网络通信 频道

网新易尚电子政务安全解决方案

  【IT168 报道】网新易尚安全网关系列打破了内容处理的障碍,可在企业网关处提供高效率的策略控制、入侵检测、网关防病毒、内容扫描、高性能的VPN、内容过滤等功能。通过专用ASIC芯片设计,达到了处理速度的突破,可以为网络层、应用层内容分析提供硬件级的性能加速。易尚网关防火墙减少了网络资源滥用,最大限度提高网络效率,在保证网络性能的基础上,以相对传统解决方案更低廉的价格提供完善的网络保护。

     一、电子政务概述

  电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是:应用现代信息和通信技术,提高政府事务处理的信息流效率,改善政府组织和公共管理。电子政务的意义在于突破了传统的工业时代"一站式"的政府办公模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段,有利于政府职能的转变。

  信息技术的飞速发展引发了一场深刻的生产和生活方式变革,极大地推动着经济和社会的发展。我国的电子政务起步于20世纪80年代末期,"电子政务"作为政府信息化的重要标志,已被公认为社会信息化的基础。可以说政府信息化是经济信息化和社会信息化的前提,电子政务是未来国家核心竞争力的重点要素之一。

  电子政务的发展目标应该是通过信息技术的应用,更好的促进国家经济和社会的发展;保证国家和地方的经济和社会发展有一个和平、稳定的环境;同时,更好地为人民服务,以不断提高人民的生活品质和生活水平。

    二、电子政务网络安全风险分析

  电子政务行使政府职能的特点导致来自外部或内部的各种攻击,政府上网工程在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的破坏,被删除或被复制,数据的安全性和自身的利益受到了严重的威胁。

  也正是由于电子政务系统本身的重要性和特殊性,其安全性问题便成了人们解析电子政务时的首要话题。

  要保证信息的存储安全与传输安全,先要从分析攻击的方式入手,主要包括基于侦听、截获、窃取、破译、业务流量分析、电磁信息提取等技术的被动攻击和基于修改、伪造、破坏、冒充、病毒扩散等技术的主动攻击。网络系统的安全性取决于网络系统最薄弱的环节,任何疏忽的地方都可能成为黑客攻击点,计算机系统本身的脆弱性和通信设施脆弱性共同构成了计算机网络的潜在威胁。

  病毒、黑客攻击、恶意入侵等都已经成为主要的安全威胁,网络威胁的隐蔽性、体制性、边界模糊性、突发性、易被忽视的特点要求引起高度重视。据统计:11%的安全问题导致网络数据破坏,14%的安全问题导致数据失密。从恶意攻击的特点来看,65%的攻击来自网络系统内部。因此,无论是有意的攻击,还是无意的误操作,都将会使系统遭受严重的破坏。

  可见,网络安全是一项动态的、整体的系统工程。从技术上来说,网络安全由安全的操作系统、应用系统、防病毒、防火墙、入侵检测、网络监控、信息审计、通信加密、灾难恢复、安全扫描等多个安全组件组成,一个单独的组件是无法确保您信息网络的安全性。因此部署一个企业范围的整体安全框架比单一的边界防护和Internet防御更加有效和全面。

要建立一套完整的安全解决方案一般应包括以下几个部分:

  身份验证   是对网络用户、主机、应用、业务和资源的准确而肯定的鉴别。实现身份认证的标准技术包括认证协议(例如RADIUS、Kerberos)和一次性密码工具。

  边界安全性  这一部分控制对关键网络应用、数据和业务的接入,从而保证只有合法用户和信息才能通过网络。带有接入控制列表和/或状态防火墙功能的路由器和交换机以及专用防火墙工具提供这一控制功能。病毒扫描仪和内容过滤器等辅助工具也有助于控制网络边界的安全性。

  数据私密性  经过鉴权的保密通信,可以对信息进行保护以防止被窃听,在一般情况下,使用隧道技术(例如一般路由密封(GRE)或第2层隧道协议(L2TP))的数据分离方法可以提供有效的数据私密性。但是,一些更高的私密性要求使用数字加密技术和协议(例如IPSec)。

  安全性监控  为了确保网络安全性,对安全性准备状态进行定期测试和监控。网络薄弱环节扫描仪能预先识别薄弱区域;入侵检查系统能够监控网络安全性事件,并且在出现此类事件时作出相应响应。

  病毒检测    病毒检测是在病毒进入受保护的网络之前就采取措施,将带有病毒的信息丢掉,或是进行处理。病毒在网络中存储、传播、感染的方式各异且途径多种多样。随着病毒危害性的越来越大,以及大规模病毒发作的周期越来越短,人们越来越注重对于病毒的检查和防护。

  内容过滤    病毒和蠕虫攻击隐藏在大量的网页和邮件中,已成为当前网络攻击的常用手段。基于内容的攻击令传统的防火墙不能抵御,需要引入新一代的防火墙技术,把内容处理和防病毒功能结合贯穿到单纯的防火墙中。
为使企业确保免受来自互联网病毒的伤害,并使其Web应用集中于与业务相关的活动,需要借助可实现病毒防护和Web内容过滤的集成式解决方案。

  策略管理    随着网络发展的规模越来越大、复杂性越来越高,对集中策略管理工具的需求也随之增加。管理工具应能分析、解释、部署和监控安全性策略状态,配备基于浏览器的用户界面,增强网络安全性解决方案的可用性和有效性。

  综上所述,网络必须有足够强的安全措施。无论是在局域网还是在广域网中,网络的安全措施应是能全方位地针对各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。

三、解决方案概述

 1、网络结构设计

  政府部门之间的信息共享和实时通信;政府部门内部的网络化办公以及政府公共信息平台,构成了电子政务网络的主要三个部分。

  根据《国家信息化领导小组关于我国电子政务建设指导意见》的规定:电子政务网络由政务内网和政务外网构成,两者之间物理隔离,政务外网与互联网之间逻辑隔离。如图一所示:

#$[*34681.jpg*#图一 电子政务网络结构示意图*#0*#0*#center*]$#

  电子政务政府部门之间的信息网络,也就是我们通常所说的政务专网。该网络系统是一个由省、各地市、各区县政府网络组成的三级网络体系结构,根据我们对网络安全的需求分析,电子政务专网是和互联网物理隔离的,同时应在各政府部门之间做相应的安全部署。

  政府部门内部的网络化办公和政府公共信息平台,即电子政务外网。从网络安全角度上讲,它们属于不同的网络安全域,因此在各中心的网络边界,以及政务网和Internet边界实施相应的安全部署。

  下面是网新易尚安全顾问根据网络系统的安全要求,为电子政务专网及外网设计的网络体系结构,如图二、图三所示。

#$[*34685.jpg*#图二 XX市政务外网安全拓扑示意图*#0*#0*#center*]$#

  电子政务外网部署易尚网关防火墙ES2000,利用多CPU和ASIC芯片提供千兆级的网络保护。具有双电源保护,支持负载均衡。线速的反病毒扫描,自带高可用性端口。通过在ES2000配置网络控制策略、网关防病毒、入侵检测、NAT地址转换、Web内容过滤等,来实现对电子政务外网与互联网的逻辑隔离与保护。同时,配置VPN功能,使出差在外的员工,可以方便的访问公司内部资源,而免除信息泄漏的顾虑。通过对DMZ端口的配置,使民众可以访问政务信息平台,对互联网提供网络交互服务。

#$[*34686.jpg*#图三 XX市政务专网安全拓扑示意图*#0*#0*#center*]$#

  考虑到电子政务专网的安全问题,我们将互联的政府部门之间,根据具体情况设置ES800/ES903等型号易尚网关防火墙。并根据具体应用和政务专网所使用的信息管理系统,资源管理系统等,在防火墙上做相应的控制策略、病毒防护、入侵检测等设置。

 2.解决方案应用特点

  网新易尚打破了内容处理障碍,关闭了网络弱点窗口,率先推出了在网络边界处提供网络层和应用层安全的全系列产品线。

  网新易尚的ES系列产品结合了专用的硬件和软件,在一个集成的平台上提供了网络层和应用层的服务安全。易尚网关防火墙系列产品充分利用了ASIC芯片的高速处理技术,基于ASIC芯片的内容扫描引擎能够在应用层实时地进行内容分析。易尚网关防火墙能够提供应用层的安全服务,独特的结构使得易尚系列防火墙在高速的网络环境中提供了基于策略的病毒保护,内容过滤,防火墙,VPN,入侵检测和流量控制服务等。

以下是易尚网关防火墙部分特性的列表:

  • 蠕虫保护:扫描所有的进行出邮件附件和WEB内容,清除象Code Red和Nimda这样的蠕虫攻击。自动更新的蠕虫数据库,在网关处阻塞最新的和最危险的病毒攻击(强于主机防御)
  • 病毒保护:对所有的邮件附件、web内容和下载文件实行病毒特征码和宏病毒扫描,只需要扫描一次,强于单机的多次扫描处理,易尚系列产品可以检测和消除Wild List 病毒组织所公布的所有病毒
  • 高级的防火墙策略配置,有效控制 VPN 流量, 提供基于策略的病毒和蠕内容过滤,阻塞象 ActiveX, Java Applets, 和 Cookies的危险内容
  • 基于网络的入侵检测系统可以实时检测上千种的入侵攻击
  • IP/MAC绑定,防止内部用户的IP欺骗,限制用户的IP地址和网卡的MAC地址对应
  • 高可用的集群功能,提供了设备的负载共享
  • 基于状态检测的系统事件检测
  • 工业标准的IPSec, PPTP, and L2TP在网络和客户间提供了高强度的DES 和3DES 加密
  • 简单易用的图形管理界面,使配置和维护工作量降到最低
  • 硬件加速处理保证了实时的性能
  • 多安全域和VLAN 特性通过组合物理网段和逻辑内部网络到不同的安全域内,控制不同部门间的安全
  • 扫描VPN 数据流量 ,阻止远程用户访问校园网络和企业网络而带来的威胁
  • 动态IP地址池可以进行灵活地址翻译
  • 基与URL地址和关键字的内容过滤, 自然语言表达式的理解和基于用户组的内容过滤
0
相关文章