黑龍江省電子政務(wù)網(wǎng)網(wǎng)絡(luò)安全解決方案

黑龍江省電子政務(wù)網(wǎng)絡(luò)是省政府實(shí)施的新一代政務(wù)通信平臺(tái)，高速、可靠、數(shù)字化和多業(yè)務(wù)共享是這個(gè)通信網(wǎng)的特點(diǎn)。該平臺(tái)的建成，大大加強(qiáng)省與各地市的信息溝通能力，能夠使省領(lǐng)導(dǎo)做到“信息全、情況明、指揮靈”。

隨著Internet及網(wǎng)絡(luò)技術(shù)在政務(wù)信息化應(yīng)用中的日趨重要，計(jì)算機(jī)網(wǎng)絡(luò)的安全問題也日益突出。由于Internet/Intranet的自身運(yùn)行機(jī)制是一種開放型的協(xié)議機(jī)制，網(wǎng)絡(luò)結(jié)點(diǎn)之間的通訊是按照固定的機(jī)制，通過交換協(xié)議數(shù)據(jù)單方完成的。以保證信息流按“包”或“幀”的形式無差錯(cuò)的傳輸。只要所傳的信息格式符合協(xié)議所規(guī)定的協(xié)議數(shù)據(jù)單元格式，這些信息“包”或“幀”就可在網(wǎng)上自由通行。至于這些協(xié)議數(shù)據(jù)單元是否來自源發(fā)方，其內(nèi)容是否真實(shí)顯然無法保障。這是在早期制定協(xié)議時(shí)，只考慮信息的無差錯(cuò)傳輸所帶來的固有的安全漏洞。目前關(guān)于計(jì)算機(jī)網(wǎng)絡(luò)的安全問題解決不利造成企業(yè)巨大經(jīng)濟(jì)損失的報(bào)道屢見不鮮，因此設(shè)計(jì)網(wǎng)絡(luò)時(shí)，要充分地考慮信息的安全性。

安全防御技術(shù)方法

目前通常采用的防火墻及安全偵防技術(shù)，一般可以分為三大類:

第一類:是安全性類，包括訪問控制、授權(quán)論證、加密、內(nèi)容安全等;

第二類:是管理和記賬，包括安全策略管理、路由器安全管理、記賬、監(jiān)控等;

第三類:是連接控制，主要為企業(yè)消息發(fā)布的服務(wù)器提供可靠的連接服務(wù)，包括負(fù)載均衡、高可靠性等。

訪問控制。這是限制未授權(quán)用戶訪問本網(wǎng)絡(luò)和信息資源的措施。評(píng)價(jià)訪問控制的一個(gè)重要因素是要看其能否適用于現(xiàn)行的所有服務(wù)和應(yīng)用。第一代包過濾技術(shù)，無法實(shí)施對(duì)應(yīng)用級(jí)協(xié)議處理，也無法處理UDP、RPC或動(dòng)態(tài)的協(xié)議。第二代應(yīng)用代理網(wǎng)關(guān)防火墻技術(shù)，為實(shí)現(xiàn)訪問控制需要占用大量的CPU資源，對(duì)Internet上不斷出現(xiàn)的新應(yīng)用(如:多媒體應(yīng)用)，無法快速支持。

授權(quán)認(rèn)證。由于一般企業(yè)網(wǎng)絡(luò)資源不僅提供給本地用戶使用，同時(shí)更要面向各種遠(yuǎn)程用戶、移動(dòng)用戶、電信用戶的訪問，為了保護(hù)自身網(wǎng)絡(luò)和信息的安全，需要對(duì)訪問連接的用戶采取有效的權(quán)限控制和訪問者的身份識(shí)別。經(jīng)過認(rèn)證，能保證一個(gè)用戶發(fā)起的通信連接在允許之前，就其真實(shí)性進(jìn)行確認(rèn)。同時(shí)對(duì)在整個(gè)企業(yè)范圍內(nèi)發(fā)生的認(rèn)證過程進(jìn)行全程的監(jiān)控、跟蹤和記錄。

內(nèi)容安全。內(nèi)容安全是把數(shù)據(jù)監(jiān)測(cè)功能擴(kuò)展到高層服務(wù)協(xié)議，保護(hù)用戶的網(wǎng)絡(luò)、信息資源免遭宏病毒、惡意Java、ActiveX小應(yīng)用程序及不需要內(nèi)容的Web文件的入侵和騷擾，同時(shí)又能提供向Internet的較好訪問。

計(jì)算機(jī)病毒掃描。病毒檢查對(duì)網(wǎng)絡(luò)安全是至關(guān)重要的，同時(shí)對(duì)如何實(shí)施病毒檢查策略也不容忽視，要取得理想的效果，應(yīng)在訪問網(wǎng)絡(luò)的每一個(gè)點(diǎn)上實(shí)施病毒檢查，而不應(yīng)該交給每個(gè)用戶自己去實(shí)施。允許系統(tǒng)管理員采用集中方式管理整個(gè)企業(yè)的安全策略。

URL掃描。URL掃描允許網(wǎng)絡(luò)管理員設(shè)定對(duì)某些Web頁面的訪問權(quán)，從而有效的節(jié)省網(wǎng)絡(luò)帶寬，增加網(wǎng)絡(luò)層的另一級(jí)別的控制機(jī)制。該機(jī)制可以實(shí)現(xiàn)內(nèi)部員工之間對(duì)不同信息的不同訪問權(quán)限的安全策略。URL掃描支持以下三種方式設(shè)定:統(tǒng)配符設(shè)定、按文件名設(shè)定、按第三方URL數(shù)據(jù)庫(kù)設(shè)定。

加密(VPN)技術(shù)。企業(yè)、合作伙伴、分公司、移動(dòng)用戶之間的長(zhǎng)距離通信已成為商業(yè)聯(lián)系的關(guān)鍵。傳統(tǒng)方法中的點(diǎn)對(duì)點(diǎn)的連接方式既缺乏靈活性，成本又高，無法大規(guī)模的使用。隨著公共網(wǎng)絡(luò)的發(fā)展，如Internet，作為一種靈活、價(jià)格低廉的網(wǎng)間互聯(lián)工具，已越來越成為企業(yè)采用的方法。但如何在公共網(wǎng)絡(luò)上實(shí)現(xiàn)企業(yè)信息的安全傳輸是一個(gè)關(guān)鍵問題。

我們通常把一個(gè)利用了部分公共網(wǎng)絡(luò)資源組成的私用網(wǎng)絡(luò)稱為虛擬專用網(wǎng)(VPN)。VPN技術(shù)在低費(fèi)用、靈活性方面明顯要比傳統(tǒng)的定制專用網(wǎng)占優(yōu)勢(shì)，VPN技術(shù)的引進(jìn)，使全球范圍內(nèi)的企業(yè)連接提供了高度靈活、安全、可靠、廉價(jià)的方法。采用VPN技術(shù)，每個(gè)專用網(wǎng)只要接入本地的Internet供應(yīng)商即可。

網(wǎng)絡(luò)地址翻譯。IP翻譯可以滿足以下兩種需求:

——隱藏企業(yè)內(nèi)部IP地址和網(wǎng)絡(luò)結(jié)構(gòu);

——把內(nèi)部的非法IP地址翻譯成合法的IP地址。

Internet技術(shù)是基于IP協(xié)議的，為了通過IP協(xié)議進(jìn)行通信，每個(gè)參與通信的設(shè)備必須具有一個(gè)唯一的IP地址。這在不與Internet相連的內(nèi)部物理網(wǎng)絡(luò)上是較易做到的。但是，一旦企業(yè)要接入Internet，則IP地址必須是全球唯一的，同時(shí)由于IP地址空間有限，現(xiàn)在要申請(qǐng)整段的IP地址已很困難，為了有效地利用有限的IP地址空間，IANA為Internet預(yù)留了三段地址空間，允許企業(yè)內(nèi)部使用。企業(yè)在建設(shè)Internet時(shí)應(yīng)采用IANA為私用網(wǎng)預(yù)留的IP地址空間，如果內(nèi)部網(wǎng)絡(luò)的非法IP地址與外部合法IP主機(jī)進(jìn)行通信時(shí)，就通過NAT進(jìn)行地址轉(zhuǎn)換。

負(fù)載均衡。負(fù)載均衡特性能使提供相同服務(wù)的多個(gè)服務(wù)器之間實(shí)現(xiàn)負(fù)載分擔(dān)。所有的HTTP服務(wù)器都可以為HTTP客戶機(jī)提供相同的服務(wù)，另外不要求所有的服務(wù)器都在防火墻之后。同樣，其中的FTP服務(wù)器也可以對(duì)所有的FTP客戶機(jī)提供相同的服務(wù)。

日志、報(bào)警、記賬能力。對(duì)用戶在網(wǎng)絡(luò)中的活動(dòng)情況應(yīng)進(jìn)行記錄，如對(duì)用戶入網(wǎng)和退網(wǎng)時(shí)間、傳送的字節(jié)數(shù)、傳送的包數(shù)量等進(jìn)行記錄。同時(shí)應(yīng)提供實(shí)時(shí)的報(bào)警功能，報(bào)警方式可以是通知系統(tǒng)管理員、發(fā)送E-mail、發(fā)送SNMP給其他網(wǎng)絡(luò)系統(tǒng)或激活用戶定義的報(bào)警方式，如發(fā)送手機(jī)短信等。

黑龍江省電子政務(wù)網(wǎng)絡(luò)的安全策略

總的來說，黑龍江省電子政務(wù)網(wǎng)的網(wǎng)絡(luò)安全應(yīng)考慮包括以下幾方面內(nèi)容:

——應(yīng)用層安全

——網(wǎng)絡(luò)層安全

——鏈路層安全

——物理層安全

建立健全完善的機(jī)房管理制度。如，出入中心機(jī)房的人員制度;嚴(yán)禁非法或盜版應(yīng)用軟件和游戲軟件的使用等;通過完善的管理機(jī)制，將來自內(nèi)部的有意或無益的進(jìn)攻的可能降到最低。

在物理層和數(shù)據(jù)鏈路層的防范策略。主要是采用冗余的物理設(shè)備，包括“冗余處理模塊、冗余電源、冗余風(fēng)扇、冗余插槽、冗余端口、冗余通訊鏈路、冗余供電線路”等手段，從網(wǎng)絡(luò)的底層來保護(hù)核心網(wǎng)絡(luò)的安全，減少單點(diǎn)故障。

在網(wǎng)絡(luò)層安全措施。與Internet的接入采用加裝硬件防火墻措施，如CISCO的PIX硬件防火墻，設(shè)置“內(nèi)網(wǎng)、外網(wǎng)、非軍事區(qū)”，對(duì)進(jìn)入內(nèi)網(wǎng)和非軍事區(qū)的數(shù)據(jù)包進(jìn)行嚴(yán)格過濾。另外，通過NAT地址轉(zhuǎn)換、有限功能設(shè)定等，防止來自Internet黑客及病毒的侵害。在路由器中配置防火墻軟件，可以實(shí)現(xiàn)對(duì)數(shù)據(jù)包的傳輸過濾。此外，在網(wǎng)絡(luò)層繼續(xù)采用訪問控制列表，在VLAN與VLAN之間建立防范措施，對(duì)各類應(yīng)用系統(tǒng)，無關(guān)人員無權(quán)訪問和登陸。

在應(yīng)用層的安全措施。對(duì)于核心應(yīng)用，應(yīng)對(duì)前端的Client用戶的權(quán)限進(jìn)行嚴(yán)格定義，從應(yīng)用層的角度劃分“超級(jí)用戶、管理級(jí)用戶、維護(hù)級(jí)用戶、開發(fā)級(jí)用戶、錄入級(jí)用戶”，每級(jí)用戶的登陸權(quán)限和數(shù)據(jù)修改權(quán)限將嚴(yán)格定義，杜絕惡意用戶的非法操作。

安裝網(wǎng)絡(luò)安全偵測(cè)產(chǎn)品和病毒掃描軟件。隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用，黑客技術(shù)的公開和有組織化，以及網(wǎng)絡(luò)的開放性使得網(wǎng)絡(luò)受到攻擊的威脅越來越大。網(wǎng)絡(luò)入侵往往是由于自身固有的漏洞引起的，同時(shí)加密、認(rèn)證等方法都無法有效解決來自內(nèi)部和外部的非法入侵，并且沒有有效的監(jiān)控手段。目前用戶常采用的防范舉措是網(wǎng)絡(luò)漏洞掃描和入侵檢測(cè)，做到防患于未然，來加強(qiáng)網(wǎng)絡(luò)安全防護(hù)的能力。

網(wǎng)絡(luò)安全設(shè)備ICG的部署及其特性

互聯(lián)網(wǎng)控制網(wǎng)關(guān)ICG(Internet Control Gateway的英文縮寫)產(chǎn)品支持三種網(wǎng)絡(luò)部署模式:透明網(wǎng)橋模式、網(wǎng)關(guān)模式和鏡像模式，分別適用于不同的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。黑龍江省電子政務(wù)網(wǎng)選擇透明網(wǎng)橋模式進(jìn)行部署。把ICG部署在政務(wù)網(wǎng)到互聯(lián)網(wǎng)的總出口防火墻之間，對(duì)來自互聯(lián)網(wǎng)的數(shù)據(jù)包進(jìn)行安全檢查。黑龍江省電子政務(wù)網(wǎng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)如圖1。

用戶可以指定靈活、有效的管理控制策略，針對(duì)網(wǎng)頁訪問過濾、網(wǎng)絡(luò)應(yīng)用控制、帶寬流量管理、內(nèi)容審計(jì);全球最大的中文網(wǎng)頁數(shù)據(jù)庫(kù);國(guó)內(nèi)最大的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)庫(kù);強(qiáng)大的查詢統(tǒng)計(jì)與分析報(bào)告;靈活的部署方式;有效解決因接入互聯(lián)網(wǎng)而可能引發(fā)的各種問題，優(yōu)化對(duì)互聯(lián)網(wǎng)資源的應(yīng)用。

人性化設(shè)計(jì)，簡(jiǎn)單易用。整體功能邏輯簡(jiǎn)潔清晰，充分貼合用戶思維習(xí)慣;界面風(fēng)格美觀大方，從整體布局到細(xì)小按鈕都經(jīng)過精心設(shè)計(jì);樹形用戶組織結(jié)構(gòu)、應(yīng)用協(xié)議結(jié)構(gòu)展示，一目了然;向?qū)脚渲茫p松完成網(wǎng)絡(luò)配置;在線幫助系統(tǒng)提供智能定位，精確解答操作疑問。

精細(xì)靈活的策略管理。精確控制IM軟件的子應(yīng)用，支持對(duì)每種子應(yīng)用進(jìn)行獨(dú)立的控制，如聊天、文件傳輸、語音視頻、遠(yuǎn)程控制、游戲等;根據(jù)用戶、時(shí)間、應(yīng)用、控制方式等多重條件設(shè)置策略，控制任意用戶任意時(shí)間的網(wǎng)絡(luò)訪問行為;支持網(wǎng)站黑/白名單、免監(jiān)控用戶列表，充分考慮策略管理的靈活性;帶寬管理細(xì)化至針對(duì)每個(gè)用戶、每種具體應(yīng)用進(jìn)行設(shè)置，根據(jù)業(yè)務(wù)重要性分配優(yōu)先級(jí)、防止個(gè)別人員獨(dú)占帶寬，又能統(tǒng)計(jì)復(fù)用，充分利用空閑帶寬;支持對(duì)任意用戶任意時(shí)間的任意應(yīng)用日志的查詢統(tǒng)計(jì)。

國(guó)內(nèi)最大的網(wǎng)絡(luò)應(yīng)用協(xié)議數(shù)據(jù)庫(kù)。超過150種流行應(yīng)用協(xié)議分析特征庫(kù);先進(jìn)的深度內(nèi)容檢測(cè)(DCI)技術(shù)，基于特征值和行為模式識(shí)別各種應(yīng)用;專業(yè)的協(xié)議分析團(tuán)隊(duì)，確保應(yīng)用協(xié)議庫(kù)的持續(xù)更新和有效管控。

強(qiáng)大的查詢統(tǒng)計(jì)與分析報(bào)告。對(duì)任意用戶在任意時(shí)段的上網(wǎng)行為進(jìn)行詳細(xì)地查詢，內(nèi)容涵蓋網(wǎng)頁訪問、郵件收發(fā)、IM聊天、P2P下載、論壇發(fā)貼、流量信息、在線娛樂等;內(nèi)置超過50種報(bào)告模板，為管理員和企業(yè)決策人員提供完整的用戶上網(wǎng)分析;獨(dú)有的遞進(jìn)式(drill-down)統(tǒng)計(jì)分析，幫助管理員從宏觀到微觀、從全局到局部、層層遞進(jìn)、深入分析，全面了解用戶上網(wǎng)行為與網(wǎng)絡(luò)資源的使用效率;所有分析報(bào)告都可以以表格、餅圖、柱圖或線圖等方式清晰直觀地展示。

靈活的部署方式。支持網(wǎng)橋模式、網(wǎng)關(guān)模式、旁路模式;網(wǎng)橋透明接入既有網(wǎng)絡(luò)環(huán)境，不影響原有網(wǎng)絡(luò)配置;串接方式接入，過濾所有報(bào)文，實(shí)現(xiàn)完整過濾、審計(jì);旁路模式確保網(wǎng)絡(luò)無單點(diǎn)故障，不對(duì)網(wǎng)絡(luò)性能產(chǎn)生任何影響。

穩(wěn)定可靠的軟硬件平臺(tái)。全系列硬件設(shè)備支持?jǐn)帱c(diǎn)物理跳接，避免電源失效導(dǎo)致的網(wǎng)絡(luò)中斷;獨(dú)有的一鍵式旁路切換設(shè)計(jì)，主動(dòng)調(diào)整網(wǎng)絡(luò)負(fù)載;靈活的軟件死鎖與高負(fù)載跳轉(zhuǎn)功能，根據(jù)預(yù)設(shè)閥值自動(dòng)分流高負(fù)載流量;系統(tǒng)軟件熱備，當(dāng)主控制系統(tǒng)發(fā)生異常后，備份系統(tǒng)可保持系統(tǒng)繼續(xù)運(yùn)轉(zhuǎn)。

獨(dú)立的日志中心與集中控管平臺(tái)。海量存儲(chǔ)，保持日志數(shù)據(jù)完整性;離線查詢，降低ICG運(yùn)算負(fù)載，提升查詢效率;集中監(jiān)控分布部署設(shè)備運(yùn)行狀態(tài);制定統(tǒng)一策略，集中管控;收集用戶日志，統(tǒng)攬全局，綜合分析。

總之，安全策略必須在網(wǎng)絡(luò)建設(shè)中予以考慮和設(shè)計(jì)，并針對(duì)用戶的具體網(wǎng)絡(luò)結(jié)構(gòu)采用適合的安全產(chǎn)品和安全策略，只有這樣才能達(dá)到安全的防范作用。解決網(wǎng)絡(luò)安全問題從不會(huì)一勞永逸，尤其應(yīng)從管理的高度認(rèn)識(shí)網(wǎng)絡(luò)安全。同時(shí)，網(wǎng)絡(luò)安全與網(wǎng)絡(luò)運(yùn)行效率、防范級(jí)別與防范投資都是相輔相成的。網(wǎng)絡(luò)的安全應(yīng)在運(yùn)行的過程中不斷發(fā)現(xiàn)薄弱環(huán)節(jié)，及時(shí)更新防范措施，在系統(tǒng)的運(yùn)行中不斷完善、不斷鞏固系統(tǒng)的安全策略。

(作者單位:黑龍江省政務(wù)信息化管理服務(wù)中心)