政府行業解決方案

 伴隨網絡的普及，安全日益成為影響網絡效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時，對安全提出了更高的要求。如何使信息網絡系統不受黑客和工業間諜的入侵，已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。政府機構從事的行業性質是跟國家緊密聯系的，所涉及信息可以說都帶有機密性，所以其信息安全問題，如敏感信息的泄漏、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。為保證政府網絡系統的安全，有必要對其網絡進行專門安全設計。
    近年來為加強政府機構的信息安全管理，相應出臺了針對信息安全的相關政策法規《信息系統安全等級保護實施指南》，在信息系統建設過程中，運營、使用單位應當按照《計算機信息系統安全保護等級劃分準則》、《信息系統安全等級保護基本要求》等技術標準，參照《信息安全技術信息系統通用安全技術要求》、《信息安全技術網絡基礎安全技術要求》、《信息安全技術操作系統安全技術要求》、《信息安全技術數據庫管理系統安全技術要求》、《信息安全技術服務器技術要求》、《信息安全技術終端計算機系統安全等級技術要求》等技術標準同步建設符合該等級要求的信息安全設施。運營、使用單位應當參照《信息安全技術信息系統安全管理要求》、《信息安全技術信息系統安全工程管理要求》、《信息系統安全等級保護基本要求》等管理規范，制定并落實符合本系統安全保護等級要求的安全管理制度。

行業現狀

目前政府的網絡分為接入Internet網絡和政務專網兩個部分，它們之間物理隔離。
    其中接入Internet網絡部署多種應用系統，如網站系統、郵件系統、辦公系統等。
    CNCERT/CC的2009年11月份的統計報告很說明問題，大約平均每5個政府網站，就有一個網站被黑!而且，近年來，政府網站被篡改的數目仍然以每年2～3倍的速度在不斷遞增。根據這些材料可以知道，網站被篡改、被攻擊的數量是非常大的，并且遞增的速度也是比較快的。
    政府的郵件系統多數采用集采的exchange郵件服務器，存在不能有效對非法言論、有害信息進行高效過濾。不能有效地防止病毒蔓延、防止郵件病毒導致的信件內容外泄等問題。 
    政府的辦公網有大量用戶需要訪問Internet ，導致關鍵應用如郵件系統、ERP系統、視頻會議等系統的帶寬無法得到保障，有限的 Internet 帶寬中充斥著 P2P 下載、游戲、在線視頻等非關鍵應用。內部員工的 Internet 訪問不受限制，經常由于訪問非法網站，導致感染病毒，影響整個內部局域網。 
    政務專網由于屬于可信任網，一直以來對安全防護的重視程度較低，主要出現的問題為蠕蟲爆發、arp病毒等，造成斷網現象，影響整個專務專網的正常運行。

政府一般都有Internet接入和政務專網兩種接入方式，以往的防護方式已經引起不止一次的風險發生，而政府部門對政務專網的安全和應用更是缺乏有效防護和管理意識，嚴重影響辦事效率。以下我們根據以往的經驗針對政府網絡構架的防護和優化提供完整的建議方案：

  應用層安全防護：
    根據CNCERT/CC的2009年11月份的統計報告，大約平均每5個政府網站，就有一個網站被黑! 對于網站系統， web應用防火墻采用多重安全防護提供最高級別的保護。這些防護包括動態配置文件、HTTP 協議驗證、平臺攻擊安全和關聯攻擊確認。對于數據庫系統, 數據庫應用監控防護系統可為 Oracle、MS-SQL 、DB2（包括主機）和 Sybase 數據庫提供自動化評估、審計和保護功能。動態建模技術可自動創建數據庫使用業務模型和細化到訪問數據庫的每個用戶和應用程序的查詢級別的安全策略。詳細的數據庫活動審計和報告功能使得滿足審計規定要求更方便，且不會對數據庫性能產生任何影響。獨特的業務活動分析和相關性技術可將真正的攻擊與無害的用戶行為變化分離開來，從而提供實時保護。

  郵件審計和安全防護：
    目前政府集采的郵件服務器，存在不能有效對非法言論、有害信息進行高效過濾。不能有效地防止病毒蔓延、防止郵件病毒導致的信件內容外泄等問題。如何解決？
我們提供業界中最有效的兩層垃圾控制技術。在外層，提供獨特的信譽過濾功能，在內層，提供深層內容過濾的技術。

  網絡攻擊及入侵（入侵防御系統防護）：
    當業務系統遇到互聯網的非法攻擊和入侵的時候，勢必對業務系統產生影響，造成訪問效率下降、網絡擁堵等狀況，采用主動式入侵防御系統利用高可靠識別攻擊，精確判斷入侵及攻擊行為并作出相應的反應來解決客戶遇到的上述問題。

  移動辦公接入（SSLVPN網關）：
    客戶為加強遠程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對客戶端安全檢查、靈活定制訪問策略和權限的技術手段，滿足移動辦公用戶接入數據中心簡單方便的需求。

  帶寬管理 ：
    政府的互聯網帶寬通常在200M左右，而政府有大量的的內部用戶訪問互聯網，其關鍵應用的保障以及非關鍵應用的限制以監控需要使用帶寬管理產品對Internet 出口帶寬進行控制，通過深入識別流量與應用，結合豐富的流量管理策略對某種應用進行帶寬的保證、帶寬限制、按照優先級處理等。

  服務器負載均衡 ：
    多種應用系統服務器的負載均衡和冗余：不同的政府職能部門部署不同的應用系統，如公安的綜合查詢系統、應急指揮系統，稅務的金稅工程等，如何保證這些系統穩定、可靠運行？對于各種應用系統，可以采用服務器負載均衡的方式提高應用的可用性。采用負載均衡產品把大量用戶的請求平均分發到多臺服務器上面，并實時監控服務器運行狀態，快速發現服務器的故障，把用戶請求轉發到其他正常的服務器上面。

  鏈路負載均衡 ：
    作為電子政務網平臺的一部分，多條 Internet 接入是必須的，能夠防止單點故障，減少停機時間。如何把外網用戶的請求負載均衡到兩條鏈路上面，同時把內網用戶訪問外網的請求負載均衡到兩條鏈路上面，并且在某一條鏈路出現故障時，能夠及時把上述兩種請求切換到正常的鏈路？
    我們采用鏈路負載均衡產品，把訪問外網資源的內網用戶按照要求負載均衡到兩條鏈路，任何一條鏈路出現故障，都能夠實時發現，自動把請求轉發至正常的鏈路；同時把訪問內網資源的用戶自動導向到訪問質量最優的鏈路，并實時監控鏈路的狀態，如果某一鏈路出現故障，自動切換到其他正常鏈路。

  安全防護 ：
    為了提高整個網絡的安全性，如何進行安全區域的劃分，保護內網服務器資源，同時進行入侵檢測，保護服務器資源免受各種攻擊的侵害？
    我們使用防火墻對內外網、 DMZ 等安全區域進行隔離，并進行入侵防護。通過高性能的防火墻產品對不同的安全區域進行訪問控制，并通過多種檢測機制，發現攻擊流量，實時進行阻斷，提高應用系統的安全性。

  Internet 安全訪問網關：
    采用 Internet 安全訪問網關設備，對員工上網行為進行管理，提高工作效率。

  統一訪問控制 ：
    網絡在不斷擴展，但是安全性卻在不斷下降，新的威脅出現在可信的用戶流量中，如何在客戶端在接入網絡之前評估其安全狀態，對不符合要求的用戶進行隔離或者修復？如何建立基于身份的和策略的網絡準入控制？
    我們對整個網絡采用一套網絡控制器，對終端進行統一的認證授權和策略的下發。
    采用統一的認證和授權機制，對內部網絡的終端進行驗證，認證和授權的內容不再局限于簡單的用戶名和密碼。實現基于用戶身份、所處網絡位置（用戶 IP 地址）、終端主機的安全狀況的統一的授權。
    網絡中的控制點作為策略的執行點（包括防火墻和交換機等）。
    根據終端用戶認證信息的不同（用戶身份、 IP 地址、終端主機的安全狀況），在邊界控制防火墻上動態的為該終端動態加載策略，實現不同的訪問權限。
    對于不符合安全策略的終端，防火墻上阻斷其訪問權限，同時對其進行修復。