曙光电子政务网络安全解决方案（一）

电子政务网络安全概述

以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

网络规划

（一）各级网络

利用现有线路及网络进行完善扩充，建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。

（二）数据中心

建设集中的数据中心，对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。

网络总体结构

政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网络进行专门安全设计。

所谓电子政务就是政府机构运用现代计算机技术和网络技术，将其管理和服务的职能转移到网络上完成，同时实现政府组织结构和工作流程的重组优化，超越时间、空间和部门分隔的制约，向全社会提供高效、优质、规范、透明和全方位的管理与服务。

实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式，建立了适应网络时代的“一网式”和“一表式”的新模式，开辟了推动社会信息化的新途径，创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能，提高运作效率。

图示：原有电子政务网络情况

电子政务网络的应用系统和网络连接方式多样，由于网络本身及应用系统的复杂性，无论是有意的攻击，还是无意的误操作，都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息；还可以篡改数据库内容、伪造用户身份、否认自己的签名；更有甚者，攻击者可以删除数据库内容、摧毁网络节点等等。

因此在电子政务网络的建设中，构建网络安全系统以确保网络信息的安全可靠是非常必要的。

物理安全风险分析

网络物理安全是整个网络系统安全的前提。物理安全的风险主要有：

◆地震、水灾、火灾等环境事故造成整个系统毁灭；
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失；
◆设备被盗、被毁造成数据丢失或信息泄漏；
◆电磁辐射可能造成数据信息被窃取或偷阅；
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。

链路传输风险分析

网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏，他们完全有可能在传输线路上安装窃听装置，窃取你在网上传输的重要数据，再通过一些技术读出数据信息，造成泄密或者做一些篡改来破坏数据的完整性；以上种种不安全因素都对网络构成严重的安全威胁。因此，对于政府这样带有重要信息传输的网络，数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。

（一）远程办公安全接入

目前，政府网络应用环境纷乱复杂，既有内部的应用如：内部OA系统、文件共享、Email等应用服务，又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源？

虚拟专用网技术(VPN，Virtual Private Network)是指在公共网络中建立专用网络，数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线，连接上本地的公众信息网，那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟，是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络的长途数据线路。所谓专用网络，是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定，政府网络可以通过现有公有平台搭建自己的内部网络，但必须通过认证和加密技术，保证数据传输的安全性。

单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证，但它没有很强的访问控制功能，例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下，防火墙无法对VPN的数据流量进行任何访问控制，由此带来安全性、性能、管理上的一系列问题。因此，在防火墙安全网关上集成VPN是当前安全产品的发展趋势，能提供一个灵活、高效、完整的安全方案。　
　
集成VPN的防火墙安全网关的优点是， 它可以保证加密的流量在解密后，同样需要经过严格的访问控制策略的检查，保护VPN网关免受DDoS攻击和入侵威胁；提供更好的处理性能，简化网络管理的任务，快速适应动态、变化的网络环境。因此，当前VPN技术已经成为安全网关产品的组成部分。　
　
政府机关Intranet网络建设的VPN连接方案， 利用IPsec安全协议的VPN和加密能力，实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接，实现了安全的政府机关内部的数据通信。 通过防火墙内部策略控制体系，对VPN的数据可以进行有效的控制和管理，使政府机关的内部网络通信具有良好的扩展性和管理性。
 

图示：政府机关Intranet网VPN解决方案

如上图示，原始的数据经过加密封装在另外一个IP通道内，通道头部地址就是防火墙外部端口的IP地址，以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全，168位的3DES算法更提供了业界最高级别的安全防御体系，使政府机关的内部数据可以无忧地在公网上传输，以达到政府机关内部网络安全扩展的目的。