網新易尚安全網關系列打破了內容處理的障礙，可在企業網關處提供高效率的策略控制、入侵檢測、網關防病毒、內容掃描、高性能的VPN、內容過濾等功能。通過專用ASIC芯片設計，達到了處理速度的突破，可以為網絡層、應用層內容分析提供硬件級的性能加速。易尚網關防火墻減少了網絡資源濫用，最大限度提高網絡效率，在保證網絡性能的基礎上，以相對傳統解決方案更低廉的價格提供完善的網絡保護。

　　一、電子政務概述

　　電子政務是指政府機構利用信息化手段，實現各類政府職能。其核心是：應用現代信息和通信技術，提高政府事務處理的信息流效率，改善政府組織和公共管理。電子政務的意義在于突破了傳統的工業時代"一站式"的政府辦公模式，開辟了推動社會信息化的新途徑，創造了政府實施產業政策的新手段，有利于政府職能的轉變。

　　信息技術的飛速發展引發了一場深刻的生產和生活方式變革，極大地推動著經濟和社會的發展。我國的電子政務起步于20世紀80年代末期，"電子政務"作為政府信息化的重要標志，已被公認為社會信息化的基礎。可以說政府信息化是經濟信息化和社會信息化的前提，電子政務是未來國家核心競爭力的重點要素之一。

　　電子政務的發展目標應該是通過信息技術的應用，更好的促進國家經濟和社會的發展;保證國家和地方的經濟和社會發展有一個和平、穩定的環境;同時，更好地為人民服務，以不斷提高人民的生活品質和生活水平。

　　二、電子政務網絡安全風險分析

　　電子政務行使政府職能的特點導致來自外部或內部的各種攻擊，政府上網工程在得益于網絡加快業務運作的同時，其上網的數據也遭到了不同程度的破壞,被刪除或被復制，數據的安全性和自身的利益受到了嚴重的威脅。

　　也正是由于電子政務系統本身的重要性和特殊性，其安全性問題便成了人們解析電子政務時的首要話題。

　　要保證信息的存儲安全與傳輸安全，先要從分析攻擊的方式入手，主要包括基于偵聽、截獲、竊取、破譯、業務流量分析、電磁信息提取等技術的被動攻擊和基于修改、偽造、破壞、冒充、病毒擴散等技術的主動攻擊。網絡系統的安全性取決于網絡系統最薄弱的環節，任何疏忽的地方都可能成為黑客攻擊點，計算機系統本身的脆弱性和通信設施脆弱性共同構成了計算機網絡的潛在威脅。

　　病毒、黑客攻擊、惡意入侵等都已經成為主要的安全威脅，網絡威脅的隱蔽性、體制性、邊界模糊性、突發性、易被忽視的特點要求引起高度重視。據統計：11%的安全問題導致網絡數據破壞，14%的安全問題導致數據失密。從惡意攻擊的特點來看，65%的攻擊來自網絡系統內部。因此，無論是有意的攻擊，還是無意的誤操作，都將會使系統遭受嚴重的破壞。

　　可見，網絡安全是一項動態的、整體的系統工程。從技術上來說，網絡安全由安全的操作系統、應用系統、防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保您信息網絡的安全性。因此部署一個企業范圍的整體安全框架比單一的邊界防護和Internet防御更加有效和全面。

　　要建立一套完整的安全解決方案一般應包括以下幾個部分：

　　身份驗證 是對網絡用戶、主機、應用、業務和資源的準確而肯定的鑒別。實現身份認證的標準技術包括認證協議(例如RADIUS、Kerberos)和一次性密碼工具。

　　邊界安全性 這一部分控制對關鍵網絡應用、數據和業務的接入，從而保證只有合法用戶和信息才能通過網絡。帶有接入控制列表和/或狀態防火墻功能的路由器和交換機以及專用防火墻工具提供這一控制功能。病毒掃描儀和內容過濾器等輔助工具也有助于控制網絡邊界的安全性。

　　數據私密性 經過鑒權的保密通信，可以對信息進行保護以防止被竊聽，在一般情況下，使用隧道技術(例如一般路由密封(GRE)或第2層隧道協議(L2TP))的數據分離方法可以提供有效的數據私密性。但是，一些更高的私密性要求使用數字加密技術和協議(例如IPSec)。

　　安全性監控 為了確保網絡安全性，對安全性準備狀態進行定期測試和監控。網絡薄弱環節掃描儀能預先識別薄弱區域;入侵檢查系統能夠監控網絡安全性事件，并且在出現此類事件時作出相應響應。

　　病毒檢測 病毒檢測是在病毒進入受保護的網絡之前就采取措施，將帶有病毒的信息丟掉，或是進行處理。病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣。隨著病毒危害性的越來越大，以及大規模病毒發作的周期越來越短，人們越來越注重對于病毒的檢查和防護。

　　內容過濾 病毒和蠕蟲攻擊隱藏在大量的網頁和郵件中，已成為當前網絡攻擊的常用手段。基于內容的攻擊令傳統的防火墻不能抵御，需要引入新一代的防火墻技術，把內容處理和防病毒功能結合貫穿到單純的防火墻中。

　　為使企業確保免受來自互聯網病毒的傷害，并使其Web應用集中于與業務相關的活動，需要借助可實現病毒防護和Web內容過濾的集成式解決方案。

　　策略管理 隨著網絡發展的規模越來越大、復雜性越來越高，對集中策略管理工具的需求也隨之增加。管理工具應能分析、解釋、部署和監控安全性策略狀態，配備基于瀏覽器的用戶界面，增強網絡安全性解決方案的可用性和有效性。

　　綜上所述，網絡必須有足夠強的安全措施。無論是在局域網還是在廣域網中，網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網絡信息的保密性、完整性和可用性。

　　三、解決方案概述

　　1、網絡結構設計

　　政府部門之間的信息共享和實時通信;政府部門內部的網絡化辦公以及政府公共信息平臺，構成了電子政務網絡的主要三個部分。

　　根據《國家信息化領導小組關于我國電子政務建設指導意見》的規定：電子政務網絡由政務內網和政務外網構成，兩者之間物理隔離，政務外網與互聯網之間邏輯隔離。如圖一所示：

　　電子政務政府部門之間的信息網絡，也就是我們通常所說的政務專網。該網絡系統是一個由省、各地市、各區縣政府網絡組成的三級網絡體系結構，根據我們對網絡安全的需求分析，電子政務專網是和互聯網物理隔離的，同時應在各政府部門之間做相應的安全部署。

　　政府部門內部的網絡化辦公和政府公共信息平臺，即電子政務外網。從網絡安全角度上講，它們屬于不同的網絡安全域，因此在各中心的網絡邊界，以及政務網和Internet邊界實施相應的安全部署。

　　下面是網新易尚安全顧問根據網絡系統的安全要求，為電子政務專網及外網設計的網絡體系結構。

　　電子政務外網部署易尚網關防火墻ES2000，利用多CPU和ASIC芯片提供千兆級的網絡保護。具有雙電源保護，支持負載均衡。線速的反病毒掃描，自帶高可用性端口。通過在ES2000配置網絡控制策略、網關防病毒、入侵檢測、NAT地址轉換、Web內容過濾等，來實現對電子政務外網與互聯網的邏輯隔離與保護。同時，配置VPN功能，使出差在外的員工，可以方便的訪問公司內部資源，而免除信息泄漏的顧慮。通過對DMZ端口的配置，使民眾可以訪問政務信息平臺，對互聯網提供網絡交互服務。

　　考慮到電子政務專網的安全問題，我們將互聯的政府部門之間，根據具體情況設置ES800/ES903等型號易尚網關防火墻。并根據具體應用和政務專網所使用的信息管理系統，資源管理系統等，在防火墻上做相應的控制策略、病毒防護、入侵檢測等設置。

　　2.解決方案應用特點

　　網新易尚打破了內容處理障礙，關閉了網絡弱點窗口，率先推出了在網絡邊界處提供網絡層和應用層安全的全系列產品線。

　　網新易尚的ES系列產品結合了專用的硬件和軟件，在一個集成的平臺上提供了網絡層和應用層的服務安全。易尚網關防火墻系列產品充分利用了ASIC芯片的高速處理技術，基于ASIC芯片的內容掃描引擎能夠在應用層實時地進行內容分析。易尚網關防火墻能夠提供應用層的安全服務，獨特的結構使得易尚系列防火墻在高速的網絡環境中提供了基于策略的病毒保護，內容過濾，防火墻，VPN，入侵檢測和流量控制服務等。

　　以下是易尚網關防火墻部分特性的列表：

　　蠕蟲保護：掃描所有的進行出郵件附件和WEB內容，清除象Code Red和Nimda這樣的蠕蟲攻擊。自動更新的蠕蟲數據庫，在網關處阻塞最新的和最危險的病毒攻擊(強于主機防御)

　　病毒保護:對所有的郵件附件、web內容和下載文件實行病毒特征碼和宏病毒掃描，只需要掃描一次，強于單機的多次掃描處理，易尚系列產品可以檢測和消除Wild List 病毒組織所公布的所有病毒

　　高級的防火墻策略配置，有效控制 VPN 流量, 提供基于策略的病毒和蠕內容過濾，阻塞象 ActiveX, Java Applets, 和 Cookies的危險內容

　　基于網絡的入侵檢測系統可以實時檢測上千種的入侵攻擊

　　IP/MAC綁定，防止內部用戶的IP欺騙，限制用戶的IP地址和網卡的MAC地址對應

　　高可用的集群功能，提供了設備的負載共享

　　基于狀態檢測的系統事件檢測

　　工業標準的IPSec, PPTP, and L2TP在網絡和客戶間提供了高強度的DES 和3DES 加密

　　簡單易用的圖形管理界面，使配置和維護工作量降到最低

　　硬件加速處理保證了實時的性能

　　多安全域和VLAN 特性通過組合物理網段和邏輯內部網絡到不同的安全域內，控制不同部門間的安全

　　掃描VPN 數據流量 ，阻止遠程用戶訪問校園網絡和企業網絡而帶來的威脅

　　動態IP地址池可以進行靈活地址翻譯

　　基與URL地址和關鍵字的內容過濾, 自然語言表達式的理解和基于用戶組的內容過濾

文章作者：國脈電子政務網