22、政务内网安全解决方案

22、政务内网安全解决方案（精选6篇）

22、政务内网安全解决方案 篇1

政务内网安全解决方案

政务内网安全解决方案

一、前言

随着经济全球化、社会信息化的不断发展，各行业各业都建设自己的网络信息化系统，而如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网络进行专门安全设计。

二、政府内网安全需求分析

政府作为国家的重要部门，在进行信息网络建设的时候，对安全性做了成熟的考虑，但是主要是基于传统的网络安全，如边界防护设备、灾难备份、病毒防护等。随着分散在各个内网主机和服务器上的有价值的信息越来越多，内网终端的安全和保密成为信息中心不得不重视的问题，也已经成为国家各部委，政府机关等主要的关心和需要建设工作内容之一。

政府单位内网主要面临的安全威胁有如下几个方面：

1.如何防止未授权终端接入政务内网，窃取政府内部重要的文件？

2.内外网隔离，如何防止雇员通过3G设备、ADSL非法连接互联网？

3.如何限制雇员上班时间玩游戏、炒股、任意下载等，保证正常政务办公效率？

4.如何迅速修复系统漏洞，保证电脑系统的安全？

5.如何对移动存储介质进行管控？

6.如何在促进文档流通电子化的同时，保证政务网络内部众多的敏感文件安全？

7.如何快速统计政府内网中的IT资产，杜绝国有资产流失？

三、政务内网安全解决方案

政府部门通过网络防火墙、外部入侵控制、访问控制等来解决政务外网所带来的安全威胁，实现了政务外网的安全，但政务内网安全仍不完善。需要一套切实可行的内网安全管理系统来保证政府单位政务系统的正常运行和解决政务网中涉密数据安全问题。

网剑内网安全综合管理系统采用C/S与B/S相结合的模式，系统主要由终端安全子系统、移动存储介质管理子系统、网络准入子系统以及文档安全管理子系统4个模块组成，这几个-1-

模块既可以单独使用，也可以统一配备，从而全方位保证政府敏感信息安全，强力规范互联网与内网的使用，防止内外网混用和非法入侵，盘点IT资产，防止国有资产流失。

1.针对非法及不安全终端接入政务内网的问题，INSS可以通过接入用户的强身份认

证、安全状态检测、802.1x协议以及arp协议阻断等措施保证接入终端的合法性，确保内部网络的业务的正常运行；

2.针对员工非法接入互联网问题，INSS通过违规外联控制策略，实时检测终端用户

是否有连接互联网的行为，并对违规终端报警、阻断其联网；

3.针对员工上班时间浏览娱乐网站、聊QQ、看电影、玩游戏问题，inss通过上网行

为访问控制、进程限制、禁止安装非法软件等措施限制员工的行为；

4.对于无法及时发现系统漏洞，安装补丁的问题，INSS能够自动智能扫描检测漏洞、下载终端机器缺少的漏洞补丁信息，保证系统安全，降低内部信息泄密风险；

5.针对移动存储介质管理问题，INSS通过对移动存储设备生命周期（注册、授权、使用、挂失、解挂和注销）的管理，有效的控制了非法移动设备接入到内网；

6.针对政务内网中涉密文件安全以及笔记本用户外出办公问题，INSS通过先进的文

件过滤驱动级的透明加解密技术，防止因黑客入侵、员工非法窃取文件、电脑丢失等原因导致涉密信息的泄露，从而有效保护了数据的安全性；

7.针对IT资产管理，防止国有资产流失问题，INSS提供了固定的软硬件资产档案管

理功能，解决了资产实物清查的繁琐问题，并能够防止国有资产流失。

方案价值

1.通过部署网剑内网安全综合管理子系统，能全面提升政务内网安全防护能力和合规

管理水平，帮助用户构建起安全可信的合规内网。

2.通过对政务内网中各单位员工的上网行为管理，可以有效的提供员工日常的工作效

率，降低内部信息泄露的风险。

3.能够解决非法终端接入政务内网，防止涉密信息泄露。

4.解决可移动存储设备的监管困难问题。

5.解决员工同时连接内外网，导致终端不安全

6.实现了对内部重要数据的监管与保护。

联系人：小曾

联系手机：***

联系电话：0591-88026604

QQ： 615410995

22、政务内网安全解决方案 篇2

1 系统组成

本系统由安全平台、监控客户端和UKey组成，如图1所示。基于TPM的安全支撑平台是系统中心部件，负责通讯加密、用户身份认证、安全策略制定、终端使用授权、以及接收客户端软件、网络监控引擎、漏洞扫描器等反馈回来的警报信息，并全面协调、控制其它各部件的运作。安全平台由九个功能模块组成，如图2所示，它们分别是TPM模块，负责信息加密和身份认证，是其它功能部件的基础;客户主机监控模块，负责分析和控制客服主机的文件存取、网络连接等操作行为;应用监控模块，负责监控业务应用软件的运行情况;网络监控模块，负责监控安全域内网络的使用情况和安全隐患;漏洞扫描模块，负责定时检测内网各主机和网络设备存在的漏洞;反病毒引擎模块，负责防范软件病毒的入侵;中心管理模块，负责监控和管理各组件的运行情况;平台自保护模块，负责保护平台在自身的安全和稳定。监控客户端安装在内部局域网的各主机上，由监控中心控制，可根据监控中心设定的监控策略对主机行为、接口、外设等进行监控，并把监控数据和警报信息发回监控中心。Ukey是硬件加密钥匙，保存用户密钥和身份信息，用户要通过Ukey通过系统的认证。

2 主要模块说明

1)可信平台模块

TPM[1,2,3](可信平台模块)是一种基于TCG(可信赖计算组织)工业标准规范，含有独立密码运算部件和存储部件的系统安全芯片，能用于存储口令、数字证书和加密密钥，为各种计算平台提供安全认证、身份认证、信息加解密、硬件保护存储和安全网络接入等服务。TPM的芯片内部结构主要部件有密码协处理器，负责加解密和签名操作;HMAC引擎，负责HMAC计算;SHA-1引擎，负责SHA-1计算;非易失性存储器，负责存储与TPM关联的信息;执行引擎，负责运行程序代码和TMP命令;密钥生成器，负责创建RSA密钥对和对称密钥;易失性存储器，负责作为TMP的工作存储器[1]。

TPM是可信计算平台的“可信根源”[4]，从硬件底层来提供对于计算设备的保护。本系统对基于硬件的“可信根源”进行扩展，包含相关软件功能，实现对系统中的安全风险进行准确的测量，而这些测量数据将作为系统调整安全策略的重要依据。

2)客户主机监控模块

客户主机监控模块由监测分析模块和功能实现模块两部分组成，如图3所示。监测分析模块负责分析和检测对系统的文件存取和网络连接等引发的各种事件和驱动调用行为，而功能实现模块主要完成本系统的各种具体功能。监测分析模块由内核层监测子模块和应用层监测子模块组成。内核层监测子模块主要采用钩子(hook)和回调函数(Callback function)技术，可以实时监测内核驱动、API调用和设备驱动等各种内核不同层次的调用事件。文件的存取和外设的动作最终都要调用内核中驱动程序去完成，而挂接在这些驱动程序上的钩子可以立即感应到这些存取事件和动作，激活相应的回调函数。回调函数对事件进行初步分析，提取出有关的信息，然后将这些信息上传给监测分析模块进行筛选分析。应用层监测子模块主要监测各种网络连接、系统日志、应用日志和系统当前状态等信息，提取出有关的部分，上传监测分析模块进行分析。功能实现模块根据监测分析模块的分析结果和用户的设置实现具体功能，包括外设及接口监控，网络连接和共享的监控，文件、数据库存取监控，应用服务监控和外联监控等等。

3)网络监控模块

网络监控模块由分组捕捉器、网络协议解码器、入侵检测、敏感内容监控模块、预警提醒、入侵模式库等组成。分组捕捉器，通过分组捕捉机制，为入侵检测系统提供从物理网络直接收集数据链路层网络原始信息的能力;网络协议解码器，实现了相当于计算机系统中网络协议栈的功能，将由分组捕捉器获得的原始网络信息，根据不同的网络协议解码相应的分组数据结构，并将已解码的协议分组信息提交入侵检测模块和敏感内容监控模块;入侵检测，对已解码的网络协议数据进行分析，并从这些网络活动中寻找预先定义的攻击模式，一旦发现其中含有攻击事件的特征标志，即将此事件提交预警提醒模块;敏感内容监控模块，负责对关键字、文件名等进行匹配，将匹配的结果送给预警提醒模块;预警提醒模块，根据入侵检测引擎提交的事件种类，根据预先指定的响应行为来执行相应的动作，如联动、预警，拍照、阻断等;入侵模式库，用来描述攻击事件的特征和相应的响应规则。

3 系统采用的关键技术

1)实时捕捉攻击者特征信息的TPM拍照取证技术

本系统采用反向拍照技术，不但可以捕捉到非常入侵者的IP和其它入侵信息，还能给非法入侵的黑客拍一张“全身照”，记录黑客的主机名、操作系统类型、版本、开放的服务、端口等主机特征信息。同时系统在拍照过取证过程，采用TMP芯片的硬件加密引擎功能对所有的数据进行TPM加密处理，使取证的数据不会被窜改,保障证据数据的安全性和可信性，为有关部门进一步追踪黑客和取证提供了有力的依据。

2)设备认证管理技术

本系统采用设备认证管理技术控制接入到安全平台中的设备。系统对管理域内的主机上的设备建立基线数据库，使系统管理内的设备可随时进行核查，而新设备接入时需先进行认证，当没有经过认证而接入系统或网络时，能自动发现并告警，并根据策略进行管理控制，有效防止了资源的滥用。同时对管理域内的存储介质中的数据都采用独有的加密技术，管理域以外的计算机系统将无法读取非法从域内泄露出去数据，有效防止信息被有意或者无意从移动存储设备泄漏出去。

3)采用TMP芯片的硬件加密引擎实现的透明安全存储技术

本系统采用TMP芯片的硬件加密引擎功，对管理域内的重要数据做到有效的安全保护。系统利用硬件加密引擎的功能在主机中开辟一个安全加密区，该加密区为独立的逻辑区，对操作系统透明，在用户输入帐号、密码前，操作系统看不到该分区。对存入该分区的数据，系统会自动进行加密处理，可以采用3DES算法，以及国家认证算法。当读出数据时，系统会自动进行解密，加解密过程都在后台进行，对用户透明。

4)基于TPM的各安全组件的联动技术

TMP芯片为系统中各安全组件提供加密功能外，同时也为平台提供了良好的联动基础。当系统发现攻击或网络异常时，控制中心可自动制定防御策略，并将各策略下发给各安全组件，各组件实时响应，按中心要求进行有效防护，构成一个“全网防御”体系，可以有效防御各类不安全的攻击、入侵、病毒等危害。系统还可以支持BDSEC、OPSEC、TOPSEC、NSSEC等主流联动协议，提供通用联动API接口，能与其它第三方厂家的安全产品实现联动，共同防御入侵。

4 结论

网络安全技术的提高和发展将直接关系到我国网络环境的安危，对我国日益增加的电子政务、电子商务系统的建设和发展起到重要的保障和推动作用。本文设计和开发的基于TPM的电子政务内网安全支撑平台，能保障内部网络的信息安全，增强网络的抗攻击能力和病毒的免疫能力。该系统的使用和推广，对于维持信息社会的稳定和谐具有重要的意义。

参考文献

[1]Trusted Computing Group.TPM main specification:design principles(version1.2)[EB/OL].[2008-07-10].http://www.trustedcomputing-group.org.

[2]Trusted computing group.Trusted computing group design,implementation,and usage principles for TPM-based platforms version1.0[EB/OL].[2007-11-28].http://www.Trustedcomputinggroup.org.

[3]Trusted Computing Group.Specification,Architecture Overview,Specification(1.2Edition)[EB/OL].[2007-11-28].http://www.trustedcom-putinggroup.org.

电子政务内网安全保卫战 篇3

安全问题区别对待

目前，政府、企事业和个人对网络的依赖程度越来越高，大到国家秘密，小到个人隐私，对网络安全的要求也会越来越高，不同层次对信息安全的要求也不一样。大多数的政务部门一般都将信息安全和网络安全等同来理解，事实上，网络安全和信息安全，在内容、技术和安全保障上都应该分开描述，分别提出要求。

以前，政务部门都是以纵向到底（中央、省、市县）的网络来开展本部门的业务，如金字工程等。在这种情况下，信息安全包括全国性的专用网络、数据和应用系统、身份认证等，这是一个系统。而如果是一个公共的政务网络来承载各政务部门的业务，按我们国家现在的分工负责制，政务网络（广域网络）的安全一般由信息化的主管部门负责或由政务网络的建设运维单位负责，包括网络信任体系等基础安全设施，而信息安全大多指本单位局域网络和应用系统的安全，由各单位自行负责。

目前政务部门传输涉密信息的网络与互联网及与互联网有连接的其他网络按要求都是物理隔离，中央级政务部门有一个内部局域网络处理涉密信息，而接入到一般的政务单位，可能是几台终端，而且不同部门的涉密网络均是相互不连通的。不同的涉密信息系统接入同一单位时，通过不同的专线接入到不同的终端上，其信息系统和网络都是不共享、相互独立的，如国办的二邮网系统、组织部门的组织工作系统等，这些信息系统均按机密定级，连接到31个省区市和新疆生产建设兵团及在京相关中央政务部门的业务对口厅室或办公室，这样的系统还有很多。

一般传输涉密信息系统的底层网络传输通道采用电信运营商的电路或光纤，两端采用端到端的加密设备，少数涉密系统的应用示范采用了身份认证。机密级和秘密级在网络传输上的要求基本上是一样的，但由于各信息系统之间在网络上不连通，无法实现网络信息资源和交换与共享，网络信任体系也无法共享，大多数的应用系统也没有采用分级保护。除了传输上加装普通密码设备外，在信息系统侧还需要安装防火墙、IDS、防病毒软件、安全审计等常规安全设备。

当前我国电子政务内网建设存在的主要问题有：

（1） 国家在信息安全方面没有明确的主管部门，缺乏总体的信息安全战略研究和统一的规划，各自为战，难以形成国家合力；

（2） 技术措施陈旧、以被动响应为主，无法对信息流的全过程实施有效的监控，IT设备的核心技术均来自国外，受制于人，大多数的问题存在于涉密终端，没有有效的技术措施和手段来控制信息不外泄；

（3） 涉密人员保密意识不强，管理制度执行检查不严，对移动存储介质不能全部做到强审计下载文件，网络信任体系尚未建立；

（4） 网络分开，意味着终端要分开，除投资增加外，相应的安全保障也要分别做；很多单位有的工作人员一个人有3台以上的终端，分别对应不同的应用系统，网络、线路和设备的使用效率低下，信息安全无法保障，管理分而治之，信息安全不可控，存在诸多隐患。

电子政务内网建设的五点建议

电子政务内网的信息安全关系到国家安全，能否针对当前我国涉密信息系统存在的问题，科学有效地制定国家的信息安全和保密方案，直接关系到能否真正保证信息的安全。因此，首先要有一个强有力的主管部门，根据业务的需要在全国建立一个统一的涉密内网，统一规划IP地址，分级负责，统一为各相关单位配备普通密码设备，建立统一的身份认证、授权管理和责任认定的机制，建立终端的按需要配置相关功能的标准规范和移动存贮介质强审计系统，在统一的电子政务基础网络平台上构建涉密内网。根据我国实际情况，现提出以下针对电子政务内网建设的具体建议：

一、 建设统一的单位涉密局域网。内网按国家保密局有关涉密计算机信息系统建设的要求进行建设，对不同涉密信息系统的不同密级进行分级保护，做好访问控制。在单位局域网的出口安装一台普通密码设备，不同业务进入一个单位时共用一台普密设备，以减少投资并对普密设备进行统一管理，而不是像现在这样一个系统配一台普密设备，系统之间的网络物理隔离。

二、 加强终端计算机的管理。在涉密網内，终端问题是最多的，因此要加强终端计算机的管理，对终端的行为进行审计，通过技术手段防止内网外联，加强移动存贮介质的管理，对终端按功能和要求进行配置，在现阶段对终端上没有用的功能进行删减，如删减无线网络连接、内置调制解调器、软件下载等功能，以减少网络和系统的脆弱性，而不是像现在这样用操作系统中提供的禁止方法来限制。

三、 加强网络信任体系的建设。通过统一的身份认证，做好信息系统的授权管理和责任认定，对每个应用系统进行访问控制和责任认定。

四、 实现信息资源的共享。党委、人大、政府、政协、法院、检察院之间需要资源共享时，统一建设数据共享与交换平台，通过网络信任体系和访问控制手段来实现政务资源信息的共享。基于中央城域网和全国的电子政务内网，传输涉密信息。其传输平台应该只有一个，便于进行管理和信息资源的共享与交换。

五、全国统一涉密内网的规划建设。在国家政务内网中的数据是加密传输的，应统一规划和管理，明确传输机密级（含）以下的涉密信息系统。

信息安全是一个在攻与防过程中不断完善提升的过程，无论从观念上，还是从技术上，都需要我们不断地研究。信息安全从现在的被动响应向主动防御的转变，还有很多工作要做。电子政务各部门从国家战略安全要求出发，结合国家各方面的力量，就一定能够把我国的信息安全工作做好。

作者简介：

医疗行业内网安全整体解决方案 篇4

信息安全解决方案

北京亿百维信息科技有限公司

概述

在经济全球化、社会信息化的进程中，我国医院已进入了数字化和信息化时代。经历了20多年的发展，已初具规模并取得了长足的进步。大型的数字化医疗设备在医院中使用，各种医院管理信息系统和医疗临床信息系统正在普及。

作为医疗行业信息化的重要推动力，医院信息系统(HIS)经过近二十年的发展，已经初具规模。目前，我国大部分医院网络系统分为两个部分——用于日常医疗信息交换的业务网以及实时获取Internet信息资源的办公网。其中的医院业务网是医院业务开展的平台，为了保障安全，业务网与办公网之间进行了物理隔离。然而，随着业务网应用的深入，业务网内网存在的一些不安全因素成为影响其正常运行的重大隐患，例如人员的非法接入、因员工滥用移动存储导致的信息泄漏，违规使用BT等P2P软件造成的带宽滥用等。为了保障内网安全，深化医疗信息化的发展，医院迫切需要一套有效的信息安全管理系统。

挑战

 外来人员非法接入给企业的信息安全带来了严重的隐患。

 业务网与互联网物理隔离导致的操作系统补丁无法及时更新，安全漏洞无法及时解决。

 员工滥用移动存储设备造成的信息泄露和病毒泛滥。

 内部人员滥用P2P软件，工作时间在线观看流媒体视频造成网络带宽被占用，工作效率下降。

 终端主机硬件信息统计困难，企业中IT资产不明确，传统的IT管理部门缺少高效可靠的IT管理方法。

 由于信息安全设备日益增加，面对各种信息安问题时信息企业中的IT管理者缺少信息安全事件管理平台。

整体解决方案架构

医疗行业信息安全整体解决方案主要从以下几点解决问题：

1、网络安全：防火墙、VPN、入侵检测，AAA认证服务器

2、终端安全解决方案：防病毒、上网行为管理、桌面安全管理

3、数据安全：备份与恢复，数据防护，安全审计

4、综合管理：应用监控，安全监控与事件管理

医疗行业解决方案架构图

整体解决方案说明：

Symantec Endpoint Protection——端点防毒

概述：

企业目前面临着利用端点设备中的漏洞，更为隐蔽、目标性更强、旨在获取经济利益的威胁。多种上述复杂威胁会避开传统的安全解决方案，使企业容易成为数据窃取和操控的受害者、造成关键业务服务中断并导致公司品牌和声誉受损。为了提前应对这些隐蔽多变的新型安全威胁，企业必须升级他们的端点防护措施。

Symantec Endpoint Protection 让企业能够采用更为有效的整体方法，来保护笔记本电脑、台式机和服务器等端点。其中结合了五种基本安全技术，可针对各种已知威胁和未知威胁主动提供最高级别的防护，这些威胁包括病毒、蠕虫、特洛伊木马、间谍软件、广告软件、Rootkit 和零日攻击。该产品将业界领先的防病毒软件、反间谍软件和防火墙与先进的主动防护技术集成到一个可部署代理中，通过中央管理控制台进行管理。而且，管理员可以根据他们的具体需要，轻松禁用或启用上述任何技术。Symantec Endpoint Protection 实现无缝的多层端点防护，可提供：

• 高级威胁防御 — 超越基于特征的传统文件扫描方法，可针对企业内外的各种已知威胁和未知威胁提供全面的端点防护。Symantec Endpoint Protection 通过可自动分析应用程序行为和网络通信的最佳技术提供高级主动防护，同时包含其它多种工具，可限制高风险的设备和

应用程序行为。

• 简化的整体端点防护方法 — 通过将多种基本端点安全技术整合为一个代理，Symantec Endpoint Protection 非常便于安装、维护和更新，让企业能够在节省时间和成本的同时保护资产和业务。其自动安全更新可针对最新威胁提供无忧防护。另外，该产品提供统一的管理控制台，它具备图形报告、集中日志记录和阈值警报等功能，为管理员提供全面的端点可见性。

统一的防控制管理平台

主要功能：

 无缝集成了一些基本技术，如防病毒、反间谍软件、防火墙、入侵防御、设备和应用程序控制。

 只需要一个代理，通过一个管理控制台即可进行管理。 由终端安全领域的市场领导者提供无可匹敌的终端防护。

 无需对每个终端额外部署软件即可立即进行 NAC 升级。

 为所有 Symantec Endpoint Protection 技术和 Symantec Network Access Control 提供一个代理。为管理所有 Symantec Endpoint Protection 技术和 Symantec Network Access Control 提供一个集成的界面。

 控制可以连接到计算机的外设以及这些外设的使用方式。它可以锁定一个终端，阻止其与拇指驱动器、CD 刻录机、打印机和其他 USB 设备相连。 防止敏感的机密信息从终端被提取或窃取（数据泄漏）。 防止终端被通过外设传播的病毒感染。





端点防毒与准入控制无缝结合

主要优势

 阻截恶意软件，如病毒、蠕虫、特洛伊木马、间谍软件、恶意软件、bot、零日威胁和

rootkit。

 防止安全违规事件的发生，从而降低管理开销。降低保障终端安全的总拥有成本。 最佳的客户端和服务器性能优化客户端启动时间和程序调用时间为不同大小和环境的客户提供全面保护和更佳的性能。

Symantec Network Access Control——网络准入控制 概述：

企业中的各个端点处于受控状态，这对 IT 基础架构及其相关业务操作的整体安全性和可用性具有重要影响。新一轮的复杂犯罪软件不仅以特定公司为目标，而且以台式机和笔记本电脑为目标，将其作为后门侵入点来攻击这些企业的业务运作和重要资源。企业要保护自身免遭这些有目标威胁的侵扰，必须采取相关措施，保证每个端点都始终遵从企业安全和配置管理策略。如果企业无法保证遵从端点策略，就会面临一系列威胁，包括恶意代码在整个企业内扩散、核心业务服务中断、增加 IT 恢复和管理成本、泄漏机密信息、公司品牌受损以及因不遵从相关法规而被罚款。

Symantec Network Access Control 使企业能够确保正确配置及设置用户端点的安全状态，其中包括现场员工、远程员工、访客、承包商以及临时工作者的端点，然后才允许他们访问企业网络中的资源。该解决方案能够发现并评估端点遵从状态，设置正确的网络访问权限并提供补救功能，确保符合端点安全策略和标准。Symantec Network Access Control 独立于网络操作系统，能够与任何网络基础架构轻松集成，所以与竞争对手的解决方案相比，其实施更加全面、速度更快且更加经济有效。

通过利用 Symantec Network Access Control 的端点遵从验证和实施功能，企业可以： • 减少恶意代码（如病毒、蠕虫、间谍软件和其它形式的犯罪软件）的传播 • 通过对访问企业网络的不受控端点和受控端点加强控制，降低风险 • 为最终用户提供更高的网络可用性，并减少服务中断的情况 • 通过近乎实时端点遵从数据获得可验证的企业遵从信息

• 企业级集中管理架构将总体拥有成本降至最低

• 验证对防病毒软件和客户端防火墙技术这样的端点安全产品投资是否得当

Symantec Network Access Control 架构

主要功能：

 阻止或隔离不遵从的设备，防止其访问公司网络和资源。

 按照预定义的模板对主机完整性进行测试（如补丁级别、服务包、防病毒软件和个人防火墙状态），并且根据企业环境量身定制自定义检查。 对公司网络内外的受管理和未加管理的笔记本电脑、台式机和服务器提供全方位的终端防护。

 与 Symantec Endpoint Protection 11.0 无缝集成。





网络准入控制流程

主要优势：

 减少恶意代码（如病毒、蠕虫、特洛伊木马、间谍软件和其他形式的犯罪软件）的传播机会

 为最终用户提供更高的网络可用性，并减少服务中断的情况。

 通过近乎实时的终端遵从检查获得可验证的企业遵从信息

 验证对防病毒软件和客户端防火墙这样的终端安全产品投资是否得到充分利用。

Veritas NetBackup平台——新一代数据保护

概述：

作为企业备份和恢复领域毋庸置疑的市场领先解决方案，Veritas NetBackup 能够为企业

备份和恢复环境提供无可匹敌的数据保护。通过实施能够对整个企业的台式机、远程办公室和数据中心提供保护的统一数据保护解决方案，将成本和复杂性降至最低。NetBackup 提供了简化的集中式实时管理，可以帮助企业管理备份和恢复的方方面面，包括基于磁盘和基于磁带的数据保护它可以充分发挥磁盘的功能，以进行比以往更快速、更可靠、更安全的备份和恢复。通过使用存储生命周期策略来创建存储层并在整个生命周期自动移动备份数据来实现服务水平协议(SLA)的承诺。此外，通过利用集成的 Bare Metal Restore™ 实现了高级的自动灾难恢复，从而在任何平台上，15 分钟之内即可进行全面的系统恢复，同时能够实现关键应用程序的全面恢复。为了在数据发往异地进行长期存储之前确保其安全，NetBackup 提供了各种授权和访问控制以及加密选件。

NetBackup 管理控制台提供了一个中心位置来进行 NetBackup 设置和管理。

主要功能：

 提供单一平台，用于跨越存储层、位置和操作系统来管理、保护和恢复数据。 具有基于磁盘的高级数据保护功能，包括重复数据删除技术、全新的虚拟磁带库(VTL)控制、对第三方磁盘硬件设备的支持，以及更多快照功能。 为虚拟环境、关键应用程序、数据库和服务器提供集成的数据保护和恢复能力。

优于 VTL：伸缩性更强、成本更低、任意磁盘、全球重复数据删除技术、核心和远程办公室

主要优势：

 通过实施能够对整个企业的台式机、远程办公室和数据中心提供保护的统一数据保护解决方案，将成本和复杂性降至最低。 凭借磁盘式快速备份满足备份时间要求、提高存储利用率，并且在多供应商存储环境中支持更多灵活的灾难恢复计划。

 可以为 VMWare 环境以及 Microsoft Exchange Server 2007 等电子邮件应用程序和大型数据库提供高级防护，从而能够以更少的人力管理更多的数据。

LANDesk ——IT管理套件 概述：

在企业网络中，终端设备是最终用户感受最为直接的地方。对于IT管理人员来说，终端的管理通常最为繁琐，频繁的软件补丁和升级、终端系统重装和维护、管理经常变化的设备资产等，使得网络管理者很忙碌。

怎么才能简化繁琐的终端系统管理呢？国际人力资源服务公司Adecco利用蓝代斯克管理套件，对其荷兰170个办事处和比利时160个办事处的近2千台终端系统进行管理，仅需要20分钟，就完成了对所有终端设备的软件升级工作。

蓝代斯克管理套件是一个集成的IT管理解决方案，能够让企业用户集中管理整个企业的IT管理任务，包括系统管理、设备发现、库存/IT资产管理、操作系统镜像和迁移、软件分发和软件许可监控等——所有的任务只需在单一控制台上即可实现。®

IT专家针对整体基础架构更多的控制力及简单的管理

主要功能：

 资产管理——对于诸如“我的企业有多少台电脑？都分别是什么操作系统？哪些系统应该升级了？” 这些一直困扰管理人员的问题，可以利用蓝代斯克管理套件中的IT资产管理功能解决。在它的帮助下，管理人员通过控制界面就可以对所有设备的相关信息一览无余，可以远程确定系统升级方案而无须到现场打开机箱后再做决定。

 通过Internet安全地管理——蓝代斯克管理套件中采用的LANDesk管理网关，使IT管理人员能够通过互联网安全地管理系统——即使是在公司防火墙之外的系统，也能清晰掌握其系统状况。这种管理方式充分利用了原有互联网连接和基础设施，无需VPN也无需专门租用线路就可以进行终端的安全和配置管理。

 支持英特尔AMT技术——LANDesk管理套件支持英特尔AMT技术，使IT管理人员能够发现带外设备并远程修复系统。即使远程计算机没有响应，也能够借助扩展的恢复和故障发现及修复工具，从单一的集中控制台上远程解决问题。

 远程控制——相信大多数IT管理员都使用过PC Anywhere或者VNC这样的远程控制软件，蓝代斯克管理套件的远程控制模式之一就类似于上述软件，同时还提供了远程咨询的模式。

 软件许可监控——蓝代斯克软件许可监控功能可以让管理员对企业内用户的应用了若指掌，并针对不同使用率的用户采取不同的管理策略，这一功能还能禁止违规软件（如游戏和聊天工具）的运行。

 操作系统分发——只需对IT管理员的工作做简单统计，不难发现最让管理员头疼的工作就是反复安装操作系统。蓝代斯克管理套件中的操作系统分发功能可以解除这一痛苦，它可以在一个任务中实现批量的安装工作，从而几倍、十几倍地提升操作系统安装的效率。

轻松的发现企业中的计算机资产及变更

主要优势：

 通过一个全面管理解决方案管理所有的系统以及复杂网络环境中的所有用户，为您节省时间，提高工作效率。 软件自带的工具能在任何网络环境中对用户进行支持，从而降低了对helpdesk的使用需求和相关成本。

 随时保持补丁的最新状态以及系统更新的及时性，维护系统级别的安全策略，从而保障了用户的生产力，并减少了资源需求。 超高效率、容错设计的专利软件分发技术帮助您节省时间和网络带宽。 综合软件证书监控功能可帮助您降低软件证书成本并快速响应审计需求。 轻松简便地向新操作系统配置用户及用户设置，从而推进效率的提升。

Websense Web Security Suite——上网行为管理

概述：

Websense® Web Security Suite™ 为领先的网络安全解决方案，除了包含 Websense

Enterprise 的全部功能之外，Web Security Suite™ 还可协助企业防范新兴及现有的Web 威胁。它可以防范间谍软件、恶意行动代码(MMC)、网络诈骗攻击、傀儡网络、病毒及其它威胁。与其它一些解决方案不同，Websense 还可以封锁间谍软件和键盘侧录程序的反向信道通讯，进而避免企业遭受攻击的损失；网页信誉(Web reputation)可评定网站信用等级，针对可疑的网站内容进行封锁，以避免可疑内容造成的损失。

使用 100 多个专利程序与系统扫描分析新兴及复杂的安全威胁

主要功能：

 提供业界领先的 Web 过滤功能——透过业界最完整的超过 3 千 5 百万条网页数据库及超过 90 种类别的弹性管理，控管使用者上网行为，避免不必要的网页浏览带来的威胁。

 动态管理网络带宽使用——可控管高流量应用如在线流媒体、P2P软件等。

 在已知威胁到达端点之前予以封锁——Websense Web Security Suite 可辨识恶意网站、协议、应用程序和(连接端口为80或非80端口的)HTTP流量等安全威胁，并在因特网网关上封锁其访问。

 减少与威胁的接触时间——Websense ThreatSeeker 技术提供的实时安全更新，在发现新的高风险威胁后，5分钟内即会自动启动，无需人工介入。 管理即时 IM 和 IM 附件——Websense Web SecuritySuite 填补了 IM 通讯中既有的安全性和遵从性漏洞，从而避免了巨大的知识财产盗窃及恶意攻击风险。

深度挖掘调查报告

主要优势：

 超过 10 类 Proxy Avoidance Protocol 与 Web Categories 能阻挡使用者穿透快取与防火墙的意图  超过 90 次Security Updates(RTSU)平均每天发布，频率可达数分钟一次  超过 8,500 次(2007 Q2)Real-Time Security Updates(RTSU)在 2007 Q2 间  超过 6 亿个每周根据恶意内容的风险与网页声誉扫描 URL  超过 50%2008 年市占率，根据 Gartner 2007 年 7 月公布的报告  超过 3,500 万个 网站存在于 Websense Master Database 中

 超过 90 种 网站类别，每个类别都有不同的策略设定与处理方式

【内网安全】堡垒机防统方方案 篇5

方案综述

极地数据内控堡垒机，是国内知名的内网安全厂商极地安全，针对医药行业“防统方”现实需求，基于当前国际上最前沿主流的内网信息系统后台高端保护技术——堡垒机技术，而研发的全面“防统方”解决方案。

该方案立足于智能主动、全程管控的“防统方”理念，通过事前的堡垒机集中账号和访问通道管控，事中的单点登录、统一授权和访问控制，事后的数据走向与行为审计等功能，具备在服务器及后台数据库的核心设备层面的数据保护、智能拦截和行为审计，实现了真正意义上的智能管控和深度审计“防统方”的目的。

通过极地数据内控堡垒机“防统方”解决方案（以下简称：“防统方”堡垒机），能够有效地防止和精确审计医院系统内外的各种有权限访问内部各个核心系统的人员的统方操作，包括：医院HIS系统使用者管理者、医院信息设备管理者、外部技术维护人员，以及外部黑客等。

极地“防统方”堡垒机的核心价值在于：(1)治本：从根源解决“防统方”难题。(2)全程：融预警变事后追查为主动防御。(3)高效：产品便捷操作，智能防御和深度审计。

(4)整体：产品方案高屋建瓴，不光针对防统方问题，同时对整个医院内网信息系统核心数据设备，构建了高效率运维支撑和高强度安全保障的信息安全体系。

医院面临的“防统方”困境

困境一：“统方”途径多，堵漏难度大

目前，卫生行业信息系统均采用专网互联，并采用了防火墙、杀毒软件等基本的安全防护软件，但仍然存在众多安全威胁和监管漏洞，导致非法“统方”行为的发生。一般而言，现在医院统方途径主要有四大方面，简单分析如下：

非法“统方”。

第四，黑客入侵医疗系统非法“统方”。在高额利益的驱使下，当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎以下三种：1）利用HIS等医疗系统的Web漏洞入侵数据库；2）利用数据库漏洞直接入侵数据库；3）入侵数据库服务器主机直接窃取数据库文件、备份文件等。

综上所述，以上四大途径，除了HIS系统途径相对容易防范，且技术管理架构清晰之外，其他三个途径，都是需要从根本体系上进行信息安全保障建设才能彻底堵住漏洞，自然，目前应用较广泛的数据库审计软件等手段，难以起到根本的作用。

困境二：政策“防统方”缺乏技术手段支撑

2010年6月21日颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出，“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理，对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理，严格统方权限和审批程序，未经批准不得统方，严禁为商业目的统方。”

福建省卫生厅近日发出《关于加强医院信息系统管理的通知》，凡是有可能涉及对药品、医用耗材用量按医生进行查询统计的模块或软件应予以卸除，并且要对信息系统中的药品相关信息查询功能模块进行清理，删除一般科室功能模块中药品信息查询统计程序。不得授权其他科室和个人查询医生用药情况。

但在以上国家政策和地方政策颁布下，由于缺乏具体的技术手段作支撑，现实中的统方事件仍然不断发生：

2005-2008年海宁某医院信息科信息管理员王力，通过医生用药数据库中的药品及医疗设备的采购资料、医生用药量等信息资料，向药品经销商沈某、方某等人出售“统方”信息，共获得14万元。

2008-2010年1月杭州某医院计算机网络中心副主任金某与职员林某，向药品销售商李某等人出售“统方”信息，共获得13万元。

2011年9月，黑客多次潜入福州多家三甲医院，接入内网窃取医院的用药信息，然后高价卖出，累计获利上百万元。

„„

困境三：单纯审计手段无法防止非法“统方”

当前部分省市医院采用审计软件“防统方”，却面临3大致命缺陷：

概念

极地安全的数据内控堡垒机是一种被加固的可以防御进攻的计算机，具备坚强的安全防护能力。极地安全数据内控堡垒机扮演着看门者的职责，所有对网络设备和服务器的请求都要从这扇大门经过。因此极地安全数据内控堡垒机能够拦截非法访问和恶意攻击，对不合法命令进行阻断、过滤掉所有对目标设备的非法访问行为。

极地安全数据内控堡垒机具备强大的输入输出审计功能，不仅能够详细记录用户操作的每一条指令，而且能够将所有的输出信息全部记录下来；具备审计回放功能，能够模拟用户的在线操作过程，丰富和完善了网络的内控审计功能。极地安全数据内控堡垒机能够在自身记录审计信息的同时在外部某台计算机上做存储备份，可以极大增强审计信息的安全性，保证审计人员有据可查。

极地安全数据内控堡垒机还具备图形终端操作的审计功能，能够对多平台的多种图形终端操作做审计，例如Windows平台的RDP方式图形终端操作，Linux/Unix平台的X11方式图形终端操作。

为了给系统管理员查看审计信息提供方便性，极地安全数据内控堡垒机提供了审计查看检索功能。系统管理员可以通过多种查询条件查看审计信息。

总之，极地安全数据内控堡垒机能够极大的保护单位内部网络设备及服务器资源的安全性，确保各种服务器数据的安全保密、管理控制和操作审计，最终确保数据安全，全面而彻底地解决了目前医院防统方的难题和困境（详见上文）。

（二）极地数据内控堡垒机1）高成熟性和安全性。

极地安全数据内控堡垒机脱胎于国内最早的4A项目：黑龙江移动运维支撑平台集中身份和认证管理系统。并在中国移动的全国范围做了多年的部署实施，对于内网系统和数据安全的实际需求满足充分。在运营商行业有长达6年的使用实践，最多管理省级运维网络高达3000多台设备，性能卓越。

堡垒机代为记忆了账号和密码，还可以大提高操作人员的工作效率，并能证明操作人员的合规操作，所以也受到操作人员的欢迎。系统的开发研制中，我们尽量采用成熟的先进技术，对系统的关键技术在前期的工作中进行了大量实验和攻关及原型建立，在已开发并经广泛测试的产品中，上述的关键技术问题已解决。而且，选取的硬件平台和软件平台，是具有良好的技术支持和发展前途的成熟产品。

系统运用了先进的加密、过滤、备份、数字签名与身份认证、权限管理等安全手段，建立健全的系统安全机制，保证了用户的合法性和数据不被非法盗取，从而保证产品的安全性。

2）良好的可扩展性。

极地安全数据内控堡垒机产品从4A解决方案中抽象出来，提供最便捷的4A项目集成方案。在程序结构上充分考虑到4A项目和非4A项目的使用场景，以先进的体系结构，清晰合理的模块划分实现多种用户场景的适用性。在4A项目中，极地安全数据内控堡垒机放弃账号、认证、授权的集中管理，只提供执行单元，完成访问控制和操作审计功能；在非4A项目中极地安全将4A的一些理念融合到数据内控堡垒机产品中，除提供基础的访问控制和操作审计功能外，还提供精简的账号、认证、授权集中管理功能。

3）全面的信息系统和数据监控及访问控制功能。

极地数据内控堡垒机除了对服务器和数据库的监控，还能控制和管理交换换机、路由器，防止假冒网络地址的窃取行为。在日常运行中，堡垒机能够提供细粒度的智能访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集合，可以是一组可执行命令，也可以是一组非可执行的命令，该命令集合用来分配给具体的用户，来限制其系统行为，管理员会根据其自身的角色为其指定相应的控制策略来限定用户。

4）智能而强大的审计功能。

极地数据内控堡垒机监控的都是人工操作，也就是所以非正常操作都被监控，不会有冗余的无效日志（数据库审计的冗余日志多大每天几万条）。同时，极地数据内控堡垒机精确记录用户操作时间。审计结果支持多种展现方式，让操作得以完整还原。审计结果可以录像回放，支持调节播放速度，并且回放过程中支持前后拖拽，方便快速定位问题操作。方便的审计查询功能，能够一次查询多条指令。

2）引入4A管理理念

极地数据内控堡垒机采用4A的管理理念，圆满地解决用户现在面临的种种运维问题。

如图，IT运维管理由账号管理、认证管理、授权管理、操作管理组成：

帐号管理，需要在各系统上为新用户建立帐号、为已有用户修改帐号、为离职用户删除帐号。

认证管理，要保证各系统不被越权访问，那么就必须做好认证管理，为系统帐号定义密码、定期要求帐号密码修改、控制密码强度等等。

授权管理，授权过程其实就是把各系统上建立的帐号分配给操作人员的过程，管理员要定义帐号的权限，然后做帐号分配，根据用户置位调整做相应的帐号权限修改。

操作审计，管理员要定期做服务器的巡检，分析各系统上的日志，查看是否有越权访问，查看是否有误操作，如果有事故还需要根据日志进行故障排查和事故追踪。

以上也就是4A管理，极地数据内控堡垒机融合统一用户账号管理、统一认证管理、统一授权管理和统一安全审计四要素，并且涵盖单点登录（SSO）等安全功能，既能够为客户提供功能完善的、高安全级别的4A管理，也能够为用户提供符合萨班斯法案（SOX）要求的内控报表。

3）SSO单点登录

极地安全数据内控堡垒机提供了基于B/S的单点登录系统，用户通过访问WEB页面一次登录系统后，就可以无需认证的访问被授权的多种基于B/S和C/S的应用系统。单点登录为具有多账号的用户提供了方便快捷的访问途经，使用户无需记忆多种登录用户ID和口令。它通过向用户和客户提供对其个性化资源的快捷访问提高工作效率。同时，由于系统自身是采用强认证的系统，从而提高了用户认证环节的安全性。

5）集中身份认证

用户提供统一的认证接口。采用统一的认证接口不但便于对用户认证的管理，而且能够采用更加安全的认证模式，提高认证的安全性和可靠性。

集中身份认证支持电子证书、Windows AD域、Windows Kerberos、双因素、动态口令和生物特征识别等多种认证方式，而且系统具有灵活的定制接口，可以方便的与第三方LDAP认证服务器对接。

6）统一资源授权

极地数据内控堡垒机提供统一的界面，对用户、角色及行为和资源进行授权，以达到对权限的细粒度控制，最大限度保护用户资源的安全。通过集中访问授权和访问控制可以对用户通过B/S、C/S对服务器主机、网络设备的访问进行审计和阻断。

在集中访问授权里强调的“集中”是逻辑上的集中，而不是物理上的集中。即在各网络设备、服务器主机系统中可能拥有各自的权限管理功能，运维人员也由各自的归口管理部门委派，这些运维人员可以通过数据内控堡垒机对各自的管理对象进行授权，而不需要进入每一个被管理对象才能授权。授权的对象包括用户、用户角色、资源和用户行为。系统不但能够实现授权用户可以通过什么角色访问资源这样基于应用边界的粗粒度授权，对某些应用还可以实现限制用户的操作，以及在什么时间、什么地点进行操作等的细粒度授权。

7）细粒度访问控制

够提供细粒度的访问控制，最大限度保护用户资源的安全。细粒度的命令策略是命令的集

支持对命令发生时间进行查询。

可以通过对命令发生的时间进行查询，可以查询到特定时间段服务器上发生过的所有行为。支持对命令名称进行查询

通过查询特定命令如ls，可以查询到使用过该命令的所有用户及其使用的时间等。支持上述六个查询条件的任意组合查询。如，可以查询“谁（用户名）”“什么时间登录（登录时间）”服务器并在“什么时间（命令发生时间）”在“服务器（目标服务器）”上执行过“什么操作（命令）”。

支持对日志的备份操作处理。支持对日志的删除处理。

电子政务网络安全解决方案 篇6

电子政务网络安全概述

以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

网络规划

各级网络

利用现有线路及网络进行完善扩充，建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心

建设集中的数据中心，对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构

政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网络进行专门安全设计。

所谓电子政务就是政府机构运用现代计算机技术和网络技术，将其管理和服务的职能转移到网络上完成，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向全社会提供高效、优质、规范、透明和全方位的管理与服务。

实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式，建立了适应网络时代的“一网式”和“一表式”的新模式，开辟了推动社会信息化的新途径，创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能，提高运作效率。

图示：原有电子政务网络情况

电子政务网络的应用系统和网络连接方式多样，由于网络本身及应用系统的复杂性，无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息；还可以篡改数据库内容、伪造用户身份、否认自己的签名；更有甚者，攻击者可以删除数据库内容、摧毁网络节点等等。

因此在电子政务网络的建设中，构建网络安全系统以确保网络信息的安全可靠是非常必要的。

物理安全风险分析

网络物理安全是整个网络系统安全的前提。物理安全的风险主要有： ◆地震、水灾、火灾等环境事故造成整个系统毁灭；

◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失； ◆设备被盗、被毁造成数据丢失或信息泄漏； ◆电磁辐射可能造成数据信息被窃取或偷阅；

◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析

网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏，他们完全有可能在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性；以上种种不安全因素都对网络构成严重的安全威胁。因此，对于政府这样带有重要信息传输的网络，数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。

远程办公安全接入 目前，政府网络应用环境纷乱复杂，既有内部的应用如：内部OA系统、文件共享、Email等应用服务，又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源？

虚拟专用网技术(VPN，Virtual PrivateNetwork)是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线，连接上本地的公众信息网，那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定，政府网络可以通过现有公有平台搭建自己的内部网络，但必须通过认证和加密技术，保证数据传输的安全性。

单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，但它没有很强的访问控制功能，例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN是当前安全产品的发展趋势，能提供一个灵活、高效、完整的安全方案。

集成VPN的防火墙安全网关的优点是，它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DDoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，当前VPN技术已经成为安全网关产品的组成部分。

政府机关Intranet网络建设的VPN连接方案，利用IPsec安全协议的VPN和加密能力，实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接，实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系，对VPN的数据可以进行有效的控制和管理，使政府机关的内部网络通信具有良好的扩展性和管理性。

图示：政府机关Intranet网VPN解决方案

如上图示，原始的数据经过加密封装在另外一个IP通道内，通道头部地址就是防火墙外部端口的IP地址，以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全，168位的3DES算法更提供了业界最高级别的安全防御体系，使政府机关的内部数据可以无忧地在公网上传输，以达到政府机关内部网络安全扩展的目的。

网络结构的安全风险分析

（一）来自与公网互联的安全威胁

如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性，内部网络将面临更加严重的安全威胁。因为，每天黑客都在试图闯入Internet节点，假如我们的网络不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。

假如内部网络的一台机器安全受损（被攻击或者被病毒感染），就会同时影响在同一网络上的许多其他系统。透过网络传播，还会影响到与本系统网络有连接的外单位网络；影响所及，还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统，国家也有规定是不能与互联网直接或间接与相连。

内部网络与系统外部网互联安全威胁

如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施，内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如：

入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞，如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等，并通过相应攻击程序对内网进行攻击。

入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息，进而假冒内部合法身份进行非法登录，窃取内部网重要信息。

恶意攻击：入侵者通过发送大量PING包对内部网重要服务器进行攻击，使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。

（三）内部局域网的安全威胁

据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构；安全管理员有意透露其用户名及口令；内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。

系统的安全风险分析

所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统，其开发厂商必然有其Back-Door（后门）。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上，系统的安全程度跟对其进行安全配置及系统的应用面有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。

如果进行安全配置，比如，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进行内部网是不容易，这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。

应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。

（一）资源共享

政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源，比如文件、打印机共享等。由此就可能存在着：员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。

电子邮件系统

电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因素。

病毒侵害

自从1983年世界上第一个计算机病毒出现以来，在20多年的时间里，计算机病毒已到了无孔不入的地步，有些甚至给我们造成了巨大的破坏。

随着网络的普及和网速的提高，计算机之间的远程控制越来越方便，传输文件也变得非常快捷，正因为如此，病毒与黑客程序（木马病毒）结合以后的危害更为严重，病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性，按照制作者的要求侵蚀固定的内容。

由于网络的普及，使得编写病毒的知识越来越容易获得。同时，各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件，只需要通过简单的操作就可以生成破坏性的病毒。

网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。

数据信息

数据安全对政府行业来说尤其重要，数据在广域网线路上传输，很难保证在传输过程中不被非法窃取，篡改。现今很多先进技术，黑客或一些工业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说，是决不允许的。

管理的安全风险分析

内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。

机房重地却是任何都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件。

内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。

防火墙系统设计方案

（一）防火墙系统

1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域，进行访问控制的功能。通过防火墙的多网口结构设计，控制授权合法用户可以访问到授权服务，而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列，可以根据各局内部网的规模大小选择适合自己的产品。

2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统，超越了传统防火墙中的基于统计异常的入侵检测功能，实现了可扩展的攻击检测库，真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块，可以自动检测网络数据流中潜在的入侵、攻击和滥用方式，通知管理员调整控制规则，为整个网络提供动态的网络保护。

3、利用曙光天罗防火墙自带的VPN功能，实现多级VPN系统。防火墙VPN模块支持两种用户模式：远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示，在省地市三级网络出口处安装曙光天罗防火墙，利用防火墙的VPN模块，实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN)；而对于一些规模比较小的区线或移动用户，通过安装VPN客户端，实现远程访问虚拟网(拨号VPN)，整个构成一个安全的虚拟内部局域网，保障电子政务网络的数据安全传输。

（二）防火墙的VPN功能

VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接，可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。

也是至关重要的一点，它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多；

政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET，所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段，如点对点专线或长途拨号；

VPN不仅可以大幅度削减传输数据的开销，同时可以削减传输话音的开销；

VPN创造了多种伴随着Web发展而出现的新的商业机会，包括：进行全球电子商务，可以在减少销售成本的同时增加销售量；实现外连网，可以使用户获得关键的信息，更加贴近世界；可以访问全球任何角落的电子通勤人员和移动用户。

在当今全球激烈竞争的环境下，最先实现VPN的政府机关将在竞争获得优势已经是不争的事实，许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务，并从中受益：

◆ 减少用于相关的调制解调器和终端服务设备的资金及费用，简化网络； ◆ 实现本地拨号接入的功能来取代远距离接入，这样能显著降低远距离通信的费用； ◆ 远端验证拨入用户服务基于标准，基于策略功能的安全服务；

◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来； ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控，可以优化网络资源；

◆ 极大的可扩展性，简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构，只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用，可以从小的政府机关扩展到最大的政府机关；

◆ 更大的网络灵活性，可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式，它综合了传统数据网络的性能优点（安全和QoS）和共享数据网络结构的优点（简单和低成本），必将成为未来传输完全汇聚业务的主要工具。

用户可以通过硬件和软件的方式来实现VPN功能，一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙，就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性，因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。

防火墙对服务器的保护

网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为“黑客”攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着“黑客”各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。

（四）防火墙对内网的保护

网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到网络的每一节点。

对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没有进行基本的安全防范处理，整个系统的安全性容易受到内部用户攻击的威胁，安全等级不高。根据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输（NETBIOS）应用；其次，是内部网络用户对内部服务器的访问，这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高，如果内部人员发起攻击，内部网络主机将无法避免地遭到损害，特别是针对于NETBIOS文件共享协议，已经有很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用“黑客”工具造成严重破坏。

由于网络环境的复杂化和网络应用的多样化日益明显，对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为，比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因，内部用户接触网络服务的机会、方法很多，如果没有专门的安全防护，“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击（CRACK），对于内部网络的用户，防范攻击的难度较大。我们主要从以下几个方面考虑：

1)内部网络风险分析：由于内部攻击发生的比较频繁，因此我们首先要分析内部网络的安全隐患，把可能发生的不安定因素找出来进行专门的安全处理；

2)内部用户网络和网络的隔离：把内部比较重要的数据服务器放在专门的区域，加上独立的控制体系，对于内部网的访问同样要进行相应的安全控制；

3)内部网络安全保护：结合物理层和链路层的特点，在物理层和链路层的接口处实施安全控制，实施IP/MAC绑定。

IDS详述

IDS（入侵检测系统）对于关心网络安全防护的人们来说已不再是一个陌生的名词，在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外，有近15%的安全项目会涉及到IDS系统，而且这些项目一般都对安全等级的要求非常高，对数据信息的保密性也有特别的要求。

IDS系统

要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段，单个网段的最小组成元素是各台主机，政府机关对各主机、各网段的安全性要求程度一般都不相同，所以确定IDS的保护对象是合理使用IDS的关键。

在优先保护的网段中部署IDS系统，并配置合适的检测策略，如在防火墙之内部署IDS则可把安全策略配置得紧一些，即使用最大化的检测策略，而在防火墙之外部署则可采用较为宽松的策略，因为经过防火墙过滤后，内部网络的安全状况相对比较简单，而外部的情况则较为复杂，误报的可能性也较大。另外，在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎，从而形成报警，而对于用户来说，这些报警事件是没有什么参考价值的，所以需要在检测范围中排除这些主机的IP地址；通常IDS系统中都有一个过滤器（FILTER）模块或像KIDS那样所具有的“非阻断列表”的功能选项，可以允许用户加入所有他们所信任的主机IP地址。

目前大多数的IDS系统主要采用基于包特征的检测技术来组建，它们的基本原理是对网络上的所有数据包进行复制并检测，然后与内部的攻击特征数据库（规则库）进行匹配比较，如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确，但会给IDS带来较大的负载，所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况，选择最适合的检测策略（可根据操作系统、应用服务或部署位置等），并对所选的策略进行修改，选择具有参考价值的检测规则，而去除一些无关紧要的选项，如对于全部是Windows的应用环境，则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外，还提供了对端口扫描检测规则的自定义，如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数，这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。

IDS监控

IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应，因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断，如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时，不但需要查看它的报警提示，而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时，网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时（DoS或DDoS），网络中的数据流量便可能会急速上升，这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析，所有安全事件或审计事件的信息都将被记录在数据库中，可以从各个角度来对这些事件进行分析归类，以总结出被保护网络的安全状态的现状和趋势，及时发现网络或主机中存在的问题或漏洞，并可归纳出相应的解决方案。

电子政务整体网络安全解决方案

电子政务系统中存在大量敏感数据和应用，因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统，确保数据和应用万无一失。

各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接，可以通过电子政务网络进行相互访问，服务器就有可能收到攻击。因此，必须在各局之间相互进行隔离防护。

如下图，我们在各局路由器后安装曙光TLFW千兆防火墙，以有三千用户在同时上Internet网计算，千兆防火墙的并发连接超过600,000，完全可以满足整个网络的需求，稳定性上也满足要求。同时，将局内网与其他区域逻辑隔离开来，在数据中心内，根据不同的服务器对安全性的不同需求，将它们分等级划分为不同的区域，并通过详细的包过滤规则制定，将这些服务器彻底保护起来，保证它们之间不能跨级别访问，这样实现分级的安全性。

通过安装防火墙，可以实现下列的安全目标：

1)利用防火墙将内部网络、Internet外部网络进行有效隔离，避免与外部网络直接通信；

2)利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；

3)利用防火墙对来自非内部网的服务请求进行控制，使非法访问在到达主机前被拒绝； 4)利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；

5)利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作；

6)利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线； 7)根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图：

图示：电子政务网络安全总体拓扑

根据以上的分析，在整个政府网络安全体系中，除了负责边界安全的防火墙设备以外，还选择了入侵检测系统进行共同防范，达到整个系统的高安全性。

同时因为用户有拨号VPN的需求，而曙光的天罗防火墙自身具备了VPN的功能，可以满足远程连接用户的安全要求。

具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用，网络性能和透明性好，拥有自行设计的全中文化WWW管理界面，通过直观、易用的界面来管理强大、复杂的系统功能。

可根据系统管理者设定的安全规则（Security Rules）把守网络的大门，提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。