網(wǎng)新易尚安全網(wǎng)關(guān)系列打破了內(nèi)容處理的障礙，可在企業(yè)網(wǎng)關(guān)處提供高效率的策略控制、入侵檢測、網(wǎng)關(guān)防病毒、內(nèi)容掃描、高性能的VPN、內(nèi)容過濾等功能。通過專用ASIC芯片設(shè)計，達(dá)到了處理速度的突破，可以為網(wǎng)絡(luò)層、應(yīng)用層內(nèi)容分析提供硬件級的性能加速。易尚網(wǎng)關(guān)防火墻減少了網(wǎng)絡(luò)資源濫用，最大限度提高網(wǎng)絡(luò)效率，在保證網(wǎng)絡(luò)性能的基礎(chǔ)上，以相對傳統(tǒng)解決方案更低廉的價格提供完善的網(wǎng)絡(luò)保護(hù)。

　　一、電子政務(wù)概述

　　電子政務(wù)是指政府機(jī)構(gòu)利用信息化手段，實現(xiàn)各類政府職能。其核心是：應(yīng)用現(xiàn)代信息和通信技術(shù)，提高政府事務(wù)處理的信息流效率，改善政府組織和公共管理。電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時代"一站式"的政府辦公模式，開辟了推動社會信息化的新途徑，創(chuàng)造了政府實施產(chǎn)業(yè)政策的新手段，有利于政府職能的轉(zhuǎn)變。

　　信息技術(shù)的飛速發(fā)展引發(fā)了一場深刻的生產(chǎn)和生活方式變革，極大地推動著經(jīng)濟(jì)和社會的發(fā)展。我國的電子政務(wù)起步于20世紀(jì)80年代末期，"電子政務(wù)"作為政府信息化的重要標(biāo)志，已被公認(rèn)為社會信息化的基礎(chǔ)。可以說政府信息化是經(jīng)濟(jì)信息化和社會信息化的前提，電子政務(wù)是未來國家核心競爭力的重點要素之一。

　　電子政務(wù)的發(fā)展目標(biāo)應(yīng)該是通過信息技術(shù)的應(yīng)用，更好的促進(jìn)國家經(jīng)濟(jì)和社會的發(fā)展;保證國家和地方的經(jīng)濟(jì)和社會發(fā)展有一個和平、穩(wěn)定的環(huán)境;同時，更好地為人民服務(wù)，以不斷提高人民的生活品質(zhì)和生活水平。

　　二、電子政務(wù)網(wǎng)絡(luò)安全風(fēng)險分析

　　電子政務(wù)行使政府職能的特點導(dǎo)致來自外部或內(nèi)部的各種攻擊，政府上網(wǎng)工程在得益于網(wǎng)絡(luò)加快業(yè)務(wù)運(yùn)作的同時，其上網(wǎng)的數(shù)據(jù)也遭到了不同程度的破壞,被刪除或被復(fù)制，數(shù)據(jù)的安全性和自身的利益受到了嚴(yán)重的威脅。

　　也正是由于電子政務(wù)系統(tǒng)本身的重要性和特殊性，其安全性問題便成了人們解析電子政務(wù)時的首要話題。

　　要保證信息的存儲安全與傳輸安全，先要從分析攻擊的方式入手，主要包括基于偵聽、截獲、竊取、破譯、業(yè)務(wù)流量分析、電磁信息提取等技術(shù)的被動攻擊和基于修改、偽造、破壞、冒充、病毒擴(kuò)散等技術(shù)的主動攻擊。網(wǎng)絡(luò)系統(tǒng)的安全性取決于網(wǎng)絡(luò)系統(tǒng)最薄弱的環(huán)節(jié)，任何疏忽的地方都可能成為黑客攻擊點，計算機(jī)系統(tǒng)本身的脆弱性和通信設(shè)施脆弱性共同構(gòu)成了計算機(jī)網(wǎng)絡(luò)的潛在威脅。

　　病毒、黑客攻擊、惡意入侵等都已經(jīng)成為主要的安全威脅，網(wǎng)絡(luò)威脅的隱蔽性、體制性、邊界模糊性、突發(fā)性、易被忽視的特點要求引起高度重視。據(jù)統(tǒng)計：11%的安全問題導(dǎo)致網(wǎng)絡(luò)數(shù)據(jù)破壞，14%的安全問題導(dǎo)致數(shù)據(jù)失密。從惡意攻擊的特點來看，65%的攻擊來自網(wǎng)絡(luò)系統(tǒng)內(nèi)部。因此，無論是有意的攻擊，還是無意的誤操作，都將會使系統(tǒng)遭受嚴(yán)重的破壞。

　　可見，網(wǎng)絡(luò)安全是一項動態(tài)的、整體的系統(tǒng)工程。從技術(shù)上來說，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測、網(wǎng)絡(luò)監(jiān)控、信息審計、通信加密、災(zāi)難恢復(fù)、安全掃描等多個安全組件組成，一個單獨的組件是無法確保您信息網(wǎng)絡(luò)的安全性。因此部署一個企業(yè)范圍的整體安全框架比單一的邊界防護(hù)和Internet防御更加有效和全面。

　　要建立一套完整的安全解決方案一般應(yīng)包括以下幾個部分：

　　身份驗證 是對網(wǎng)絡(luò)用戶、主機(jī)、應(yīng)用、業(yè)務(wù)和資源的準(zhǔn)確而肯定的鑒別。實現(xiàn)身份認(rèn)證的標(biāo)準(zhǔn)技術(shù)包括認(rèn)證協(xié)議(例如RADIUS、Kerberos)和一次性密碼工具。

　　邊界安全性 這一部分控制對關(guān)鍵網(wǎng)絡(luò)應(yīng)用、數(shù)據(jù)和業(yè)務(wù)的接入，從而保證只有合法用戶和信息才能通過網(wǎng)絡(luò)。帶有接入控制列表和/或狀態(tài)防火墻功能的路由器和交換機(jī)以及專用防火墻工具提供這一控制功能。病毒掃描儀和內(nèi)容過濾器等輔助工具也有助于控制網(wǎng)絡(luò)邊界的安全性。

　　數(shù)據(jù)私密性 經(jīng)過鑒權(quán)的保密通信，可以對信息進(jìn)行保護(hù)以防止被竊聽，在一般情況下，使用隧道技術(shù)(例如一般路由密封(GRE)或第2層隧道協(xié)議(L2TP))的數(shù)據(jù)分離方法可以提供有效的數(shù)據(jù)私密性。但是，一些更高的私密性要求使用數(shù)字加密技術(shù)和協(xié)議(例如IPSec)。

　　安全性監(jiān)控 為了確保網(wǎng)絡(luò)安全性，對安全性準(zhǔn)備狀態(tài)進(jìn)行定期測試和監(jiān)控。網(wǎng)絡(luò)薄弱環(huán)節(jié)掃描儀能預(yù)先識別薄弱區(qū)域;入侵檢查系統(tǒng)能夠監(jiān)控網(wǎng)絡(luò)安全性事件，并且在出現(xiàn)此類事件時作出相應(yīng)響應(yīng)。

　　病毒檢測 病毒檢測是在病毒進(jìn)入受保護(hù)的網(wǎng)絡(luò)之前就采取措施，將帶有病毒的信息丟掉，或是進(jìn)行處理。病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣。隨著病毒危害性的越來越大，以及大規(guī)模病毒發(fā)作的周期越來越短，人們越來越注重對于病毒的檢查和防護(hù)。

　　內(nèi)容過濾 病毒和蠕蟲攻擊隱藏在大量的網(wǎng)頁和郵件中，已成為當(dāng)前網(wǎng)絡(luò)攻擊的常用手段?；趦?nèi)容的攻擊令傳統(tǒng)的防火墻不能抵御，需要引入新一代的防火墻技術(shù)，把內(nèi)容處理和防病毒功能結(jié)合貫穿到單純的防火墻中。

　　為使企業(yè)確保免受來自互聯(lián)網(wǎng)病毒的傷害，并使其Web應(yīng)用集中于與業(yè)務(wù)相關(guān)的活動，需要借助可實現(xiàn)病毒防護(hù)和Web內(nèi)容過濾的集成式解決方案。

　　策略管理 隨著網(wǎng)絡(luò)發(fā)展的規(guī)模越來越大、復(fù)雜性越來越高，對集中策略管理工具的需求也隨之增加。管理工具應(yīng)能分析、解釋、部署和監(jiān)控安全性策略狀態(tài)，配備基于瀏覽器的用戶界面，增強(qiáng)網(wǎng)絡(luò)安全性解決方案的可用性和有效性。

　　綜上所述，網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施。無論是在局域網(wǎng)還是在廣域網(wǎng)中，網(wǎng)絡(luò)的安全措施應(yīng)是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網(wǎng)絡(luò)信息的保密性、完整性和可用性。

　　三、解決方案概述

　　1、網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計

　　政府部門之間的信息共享和實時通信;政府部門內(nèi)部的網(wǎng)絡(luò)化辦公以及政府公共信息平臺，構(gòu)成了電子政務(wù)網(wǎng)絡(luò)的主要三個部分。

　　根據(jù)《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》的規(guī)定：電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩者之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。如圖一所示：

　　電子政務(wù)政府部門之間的信息網(wǎng)絡(luò)，也就是我們通常所說的政務(wù)專網(wǎng)。該網(wǎng)絡(luò)系統(tǒng)是一個由省、各地市、各區(qū)縣政府網(wǎng)絡(luò)組成的三級網(wǎng)絡(luò)體系結(jié)構(gòu)，根據(jù)我們對網(wǎng)絡(luò)安全的需求分析，電子政務(wù)專網(wǎng)是和互聯(lián)網(wǎng)物理隔離的，同時應(yīng)在各政府部門之間做相應(yīng)的安全部署。

　　政府部門內(nèi)部的網(wǎng)絡(luò)化辦公和政府公共信息平臺，即電子政務(wù)外網(wǎng)。從網(wǎng)絡(luò)安全角度上講，它們屬于不同的網(wǎng)絡(luò)安全域，因此在各中心的網(wǎng)絡(luò)邊界，以及政務(wù)網(wǎng)和Internet邊界實施相應(yīng)的安全部署。

　　下面是網(wǎng)新易尚安全顧問根據(jù)網(wǎng)絡(luò)系統(tǒng)的安全要求，為電子政務(wù)專網(wǎng)及外網(wǎng)設(shè)計的網(wǎng)絡(luò)體系結(jié)構(gòu)。

　　電子政務(wù)外網(wǎng)部署易尚網(wǎng)關(guān)防火墻ES2000，利用多CPU和ASIC芯片提供千兆級的網(wǎng)絡(luò)保護(hù)。具有雙電源保護(hù)，支持負(fù)載均衡。線速的反病毒掃描，自帶高可用性端口。通過在ES2000配置網(wǎng)絡(luò)控制策略、網(wǎng)關(guān)防病毒、入侵檢測、NAT地址轉(zhuǎn)換、Web內(nèi)容過濾等，來實現(xiàn)對電子政務(wù)外網(wǎng)與互聯(lián)網(wǎng)的邏輯隔離與保護(hù)。同時，配置VPN功能，使出差在外的員工，可以方便的訪問公司內(nèi)部資源，而免除信息泄漏的顧慮。通過對DMZ端口的配置，使民眾可以訪問政務(wù)信息平臺，對互聯(lián)網(wǎng)提供網(wǎng)絡(luò)交互服務(wù)。

　　考慮到電子政務(wù)專網(wǎng)的安全問題，我們將互聯(lián)的政府部門之間，根據(jù)具體情況設(shè)置ES800/ES903等型號易尚網(wǎng)關(guān)防火墻。并根據(jù)具體應(yīng)用和政務(wù)專網(wǎng)所使用的信息管理系統(tǒng)，資源管理系統(tǒng)等，在防火墻上做相應(yīng)的控制策略、病毒防護(hù)、入侵檢測等設(shè)置。

　　2.解決方案應(yīng)用特點

　　網(wǎng)新易尚打破了內(nèi)容處理障礙，關(guān)閉了網(wǎng)絡(luò)弱點窗口，率先推出了在網(wǎng)絡(luò)邊界處提供網(wǎng)絡(luò)層和應(yīng)用層安全的全系列產(chǎn)品線。

　　網(wǎng)新易尚的ES系列產(chǎn)品結(jié)合了專用的硬件和軟件，在一個集成的平臺上提供了網(wǎng)絡(luò)層和應(yīng)用層的服務(wù)安全。易尚網(wǎng)關(guān)防火墻系列產(chǎn)品充分利用了ASIC芯片的高速處理技術(shù)，基于ASIC芯片的內(nèi)容掃描引擎能夠在應(yīng)用層實時地進(jìn)行內(nèi)容分析。易尚網(wǎng)關(guān)防火墻能夠提供應(yīng)用層的安全服務(wù)，獨特的結(jié)構(gòu)使得易尚系列防火墻在高速的網(wǎng)絡(luò)環(huán)境中提供了基于策略的病毒保護(hù)，內(nèi)容過濾，防火墻，VPN，入侵檢測和流量控制服務(wù)等。

　　以下是易尚網(wǎng)關(guān)防火墻部分特性的列表：

　　蠕蟲保護(hù)：掃描所有的進(jìn)行出郵件附件和WEB內(nèi)容，清除象Code Red和Nimda這樣的蠕蟲攻擊。自動更新的蠕蟲數(shù)據(jù)庫，在網(wǎng)關(guān)處阻塞最新的和最危險的病毒攻擊(強(qiáng)于主機(jī)防御)

　　病毒保護(hù):對所有的郵件附件、web內(nèi)容和下載文件實行病毒特征碼和宏病毒掃描，只需要掃描一次，強(qiáng)于單機(jī)的多次掃描處理，易尚系列產(chǎn)品可以檢測和消除Wild List 病毒組織所公布的所有病毒

　　高級的防火墻策略配置，有效控制 VPN 流量, 提供基于策略的病毒和蠕內(nèi)容過濾，阻塞象 ActiveX, Java Applets, 和 Cookies的危險內(nèi)容

　　基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)可以實時檢測上千種的入侵攻擊

　　IP/MAC綁定，防止內(nèi)部用戶的IP欺騙，限制用戶的IP地址和網(wǎng)卡的MAC地址對應(yīng)

　　高可用的集群功能，提供了設(shè)備的負(fù)載共享

　　基于狀態(tài)檢測的系統(tǒng)事件檢測

　　工業(yè)標(biāo)準(zhǔn)的IPSec, PPTP, and L2TP在網(wǎng)絡(luò)和客戶間提供了高強(qiáng)度的DES 和3DES 加密

　　簡單易用的圖形管理界面，使配置和維護(hù)工作量降到最低

　　硬件加速處理保證了實時的性能

　　多安全域和VLAN 特性通過組合物理網(wǎng)段和邏輯內(nèi)部網(wǎng)絡(luò)到不同的安全域內(nèi)，控制不同部門間的安全

　　掃描VPN 數(shù)據(jù)流量 ，阻止遠(yuǎn)程用戶訪問校園網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)而帶來的威脅

　　動態(tài)IP地址池可以進(jìn)行靈活地址翻譯

　　基與URL地址和關(guān)鍵字的內(nèi)容過濾, 自然語言表達(dá)式的理解和基于用戶組的內(nèi)容過濾

文章作者：國脈電子政務(wù)網(wǎng)