第一篇:基层政府电子政务一体化解决方案
基层政府电子政务一体化解决方案
方案综述:
电子政务是指国家各级政府部门综合运用现代信息网络与数字技术,彻底转变传统工作模式,实现公务、政务、商务、事务的一体化管理和运行,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效优质、规范透明和全方位的管理与服务。
基层政府作为我国电子政务整体框架中的底层单位,承担着最直接为人民群众服务的任务。通过电子政务的建设,提高政府社会工作服务的效率,增加服务的透明度,将是基层政府电子政务需要解决的核心问题。
基层政府电子政务一体化解决方案能够帮助基层政府机构建成一个包含政府内部网与政府公共服务网的完善电子政务应用平台。
背景分析
“十六大”第一次非常明确提出“壮大县域经济”的号召,我国已加入世贸组织,意味着县域经济将在更大范围和更深程度上参与国际经济合作与竞争,“引进来”和“走出去”是对外开放的两种形式。进一步转变基层政府职能,增强基层政府统筹的能力,把职能从用行政手段指挥和管理经济转变到用市场手段服务和调控经济上。
网络政务先行,为实现政府重塑、重组与改革传统政务流程提供了信息平台,创造了契机和准备条件。正如《十六大报告》所提出的那样——“进一步转变政府职能,改进管理方式推行电子政务,提高行政效率,降低行政成本,形成行为规范、运转协调、公正透明、廉洁高效的行政管理体制。”将信息技术有效地融入政府行政业务,可以增强政府的决策水平,提高行政效率和质量;另一方面互联网的发展为政府提供了能够更好地为居民、企业等服务对象服务的环境和沟通渠道。
方案目标
根据我国电子政务建设的整体目标和要求,基层政府部门在电子政务的规划和建设过程中,所涉及的服务主体和范围如图所示: 服务于政府内部
电子政务服务于政府内部服务于地方经济服务于社会公众基层政府电子政务的一个核心内容为实现政府内部各项业务的电子化,通过信息化的手段,提升政务内部的办公效率、增强决策的科学性。 服务于社会公众
基层政府作为我国电子政务整体框架中的底层单位,承担着最直接为人民群众服务的任务,通过电子政务的建设,提高政府社会工作服务的效率,增加服务的透明度,将是基层政府级电子政务需要解决的另一个核心问题。图1 基层政府级电子政务的服务主体和范围 服务于地方经济 通过电子政务的建设,增强基层政府级政府对地方经济的宏观调控能力,改善招商引资的环境,提升为企业服务的水平,是电子政务实现的第三个核心任务。
设计思路
根据上文所述的内容,基层政府电子政务一体化解决方案的设计将依据以下的思路: 1.广度
为了保证整个电子政务系统的实施效果,在设计中需要考虑系统是否能够为基层政府领导和
政府人员的日常工作提供有效的支持,为社会公众和企业提供全方位服务,这样,电子政务系统的实施和推广才能得到有效的保证。2.深度
电子政务涉及的面很广,需要解决的问题有轻重缓急,对于轻缓的问题可以先做浅,对于重
要的问题,我们一定要做深做透,才能有效地改造原有政府业务活动,从而大幅度地提升政府内部协作和对外服务的工作效率。3.显示度
电子政务系统的成功实施,一个重要的方面就是要得到社会公众的认可,因此在基层政府级电子政务的各个应用的功能设计中,是否能够解决面向公众服务的显示度问题是非常重要的。因此在设计中需要重点考虑如何为社会公众提供和他们密切相关的服务内容,让社会公众逐渐认识电子政务,并乐于通过电子政务提供的各项功能参政议政;如何为企业提供有效支持,使得电子政务逐渐成为促进地方经济发展的平台。
总体框架
根据基层政府级电子政务中的建设内容以及各基层政府的需求特点,基层政府级电子政务的核心建设内容可以概括为“12345”,具体为: ♦ 一个中心:数据资源中心 ♦ 二个网站: 互联网门户网站、政务专网门户网站 ♦ 三个平台: 应用支撑平台、安全支持平台、系统管理平台
♦ 四个面向公众服务的系统: 政民互动系统、网上审批系统、企业上网系统、三农服务系统 ♦ 五个内部政务应用系统:
公文交换系统、效能监控系统、指挥协同系统、领导辅助系统、ASP 政务办公系统 图 2 基层政府电子政务核心建设内容在整体框架中的位置
组成及内容
一个中心
一个中心指的是数据资源中心。对基层政府重点政务信息资源进行整合、管理和开发,形成统一的政务信息资源库,建成统一的共享和交换体系。数据资源中心的主要建设内容包括:为政府部门服务的政府信息库和为经济活动服务的商贸信息库。
政府信息库主要包括
做好4 个基础数据库:人口基础信息库、法人单位基础信息库、自然资源和空间地理基础信息库和宏观经济数据库。还根据各地政府电子政务具体需求建设其他重点数据库。 商贸信息库主要包括
商品供求信息库、企业信息库、劳务信息库等。
两个网站
1.互联网门户网站
互联网门户网站将作为政府面向社会公众发布信息的平台,并作为各项面向公众服务的系统的入口,互联网门户网站发布的主要内容包括:政府领导、政府公告信息、职能部门、政府采购、政策法规、投资环境、招商引资、投资政策、天气预报、教育信息、数字地图、文化体育、休闲娱乐、衣食住行、社区服务、人才交流等栏目。2.政务专网门户网站
政务专网门户网站将作为基层政府在政务专网上的宣传网站,建立基层政府党政机关、行政事业单位在省政务网内对外发布信息的基础平台。包括政府公告、职能部门、政府采购、政策法规等栏目。三个平台
三个平台指的是在整个基层政府级电子政务框架中最基础的辅助支撑平台,三个平台包括应用支撑平台、安全支持平台和系统管理平台。
1.应用支撑平台
应用支撑平台中包括了一系列的电子 政务基本功能的组件,这些组件所涉及的功能都是能够适用于不同政务系统需求的基础功能。其中主要的功能组件包括: 任务调度系统、任务分发中心、任务监控与服务反馈系统、工作流引擎、通用审批系统、全文检索系统、统计报表系统等。
2.安全支持平台 安全支持平台完成基层政府级电子政务框架中所要求的各项安全工作,其中主要的功能包括用户身份认证、权限管理、应用业务加密、信息交换安全、网络安全等。3.系统管理平台
系统管理是所有政务应用的必要组成部份,系统管理平台实现了对所有政务应用的统一的管理,采用这种方式后,各政务应用不需要再开发自己的系统管理功能,这将能够大大提升系统的可维护性、可扩展性。
系统管理平台主要包括配置管理、远程管理、性能监控、系统监控和网络监控等功能。
四个面向公众服务的系统
1.政民互动系统
政民互动系统即政民互动呼叫中心将为社会公众和政府部门之间建立一个多渠道的沟通平台。公众可以通过呼叫中心所提供的电话、传真等方式向政府进行咨询、建议、投诉等,也可以通过政民互动网站在网站上完成相应的工作。
其中主要的功能模块:政府呼叫中心、政民互动网站、受理中心、处理平台、服务监控。2.网上审批系统
网上审批是为企业和社会公众提供基于Internet 的申报和审批服务。通过网上审批和行政服务大厅相配合,对于计算机使用比较普及的企业和社会公众,将可以通过一站式网上审批系统,足不出户便可以实现相关的审批的申报工作。对于其中必须通过纸质方式进行提交的行政审批,则可以通过网上审批和行政服务大厅相配合完成相应的提交和审批工作。
其中主要的功能模块包括:网上申报、网上预审、电子表格下载、审批处理平台、服务监控、网上查询反馈系统。3.企业上网系统
企业上网系统将为本地区的企业提供一个对外展示企业产品、获取市场信息的渠道,企业上网系统主要提供的功能包括:企业信息发布平台、企业黄页、企业产品信息发布平台、供需信息发布平台、政府有关部门发布的有关供求信息等。4.三农服务系统
三农服务系统将主要为三农工作的管理和服务,提供方便、快捷的信息技术支撑。三农服务系统主要提供的功能包括:农产品供求答疑、科技成果、科技人才专栏等栏目。
五个内部政务应用系统
1.公文交换系统
公文交换系统实现基层政府和下属部各委办局,以及和有关上级部门之间的公文交换工作。主要的功能包括:公文收文、公文发文、统计查询等功能。
2.效能监控系统 政府效能监控系主要为基层政府领导提供对政府内部各项事务处理情况进行监控和评估,将目前传统的机关效能投诉工作电子化,为效能监控提供了有效地支持。各级领导可以方便地了解机关效能建设工作的进行情况,并且可以通过对数据的分析了解目前机关效能投诉过程中的问题,从而为领导的决策提供服务。
其中主要功能包括:内部公告栏、简报、效能分析历史数据库、效能分析、目标管理、催督办、公众服务、投诉管理、公众效能信息发布等。3.指挥协同系统
指挥协同系统是专门为基层政府领导定制开发的系统,基层政府领导可以直接对下属各部门的相关人员下达命令,命令可以以邮件、手机短信等多种方式直接下达到相关的责任人,并实时跟踪命令的执行情况。4.领导辅助系
领导辅助系统是专门为基层政府领导日常工作设计的辅助系统,基层政府领导可以直接查询到他们所关心的相关信息。
5.SP 模式政务办公系统
政务办公系统负责处理政府内部各类办公事务。政务办公系统由邮件系统、公文管理、资源管理、档案管理、综合事务、个人办公、信息发布管理等子系统构成。
政务办公系统可统一集中部署在政府内部,对于下属各部委办局的政务办公系统,将采用ASP(Application ServiceProvider,应用软件服务提供商)的方式进行部署。 在政府内架设专门的ASP 主机和相应的政务办公ASP 应用。有专门的ASP 管理员对政务办公ASP 应用进行配置管理。 对申请ASP 服务的各部委办局,ASP 管理员将在ASP 主机上开设其专用的政务办公应用实例和对应的存储空间,并指定该部委办局的管理员对其政务办公系统进行管理。 理员将通过政务外网访问政务办公系统,进行包括用户注册、权限设置等系统管理工作。 部委办局一般用户在管理设置完成后便可以通过政务外网直接访问政务办公系统。
特点及优势 量身定做、针对性强。立足于电子政务的基层政府客户群,将目前涉及电子政务改革方向的相关业务均纳入到整体的解决方案中,为政府办公自动化、公众服务体系提供技术先进、性能优良、适应电子政务不断发展所需功能的应用产品。
一体化、集成式。所有系统功能之间设计时通盘考虑,无缝联接,提出基层政府的一体化、集成式的解决方案,按电子政务的总体要求,把单个的业务应用、分散的数据库、静态的网站等集成到一个可管理的政务平台。
可靠的信息安全管理。基于安全支撑平台系统,采用严格的系统安全机制和用户权限管理。
通用性强,可扩展。支持多种平台,容易实现与其它系统的整合,可以将各种格式的信息集成在电子政务平台上,保护了原有的投资并可以轻松扩展。
功能强大、覆盖面广。涉及到电子政务的诸多方面的功能需求,从多方面满足用户的实际需要, 有效地满足了政府机构的信息化需求,提高了电子政务系统的覆盖范围。
操作简单、灵活易用、。B/S 结构使得客户端完全基于浏览器,保证了用户端使用的简易、直观和低维护性,并根据政府部门的用户多年来的需求积累,专为政府办公人员设计的操作界面,易于上手,在软件应用的广度和深度上能够快速实施和推广。
技术先进,产品成熟。采用了 J2EE、JDBC、Web Service、XML 等先进成熟的技术,在给用户提供了极大的灵活性的同时,也有效地保证了系统的可靠性。
应用价值
基层政府电子政务的实施将能给地方经济和社会发展带来巨大的效益,其中具体体现在 :
1.社会、经济效益
发展电子政务的一个主要目的是为提高政府管理能力和服务水平创造条件,因而它不能完全按一个市场化项目的评估标准来衡量它的投入与产出,而应当把它的经济效益和社会效益结合起来综合考虑。2.管理效益
电子政务的实施将给政府内部带来新的管理模式和新的运作体制。建立电子政务之后,政府机构各部门就可以通过虚拟办公、电子邮件交换、远程连线会议,克服了“文山会海”、“公文旅行”等现象,大大提高了推行政令的时效性和政府机构的工作效率。3.服务效益
电子政务建设给企业和居民带来的最大好处就是政府的服务效率和质量都将明显提高。首先,通过信息网络,降低了进政府办事的“门槛”。其次,政府工作人员的观念的转变,政府工作人员综合素质的逐步提高也将促进政府服务素质和水平的提高。4.体制创新产生的经济效益
电子政务的发展将加快推进政府在管理体制、管理观念、管理方式和管理手段上的转变,切实实现政府职能向宏观调控、社会服务、公共管理和市场监督方面的转化。
应用案例 2003 年4 月,“数字武夷”电子政务工程项目顺利完成。主要建设内容为:武夷山综合信息门户、政务办公自动化系统、重大项目监控系统、市领导直通车系统、机关人员效能监控系统、媒体信息自动采集系统、“三农”服务系统、武夷山呼叫中心应用系统等。目前,市委、市政府及市直80 多个单位上网发布信息,各类企事业单位已建成网站达60 余个。
武夷山门户网站
建立了全市统一的公众信息平台和面向全世界统一的武夷山综合信息门户。
整合了武夷山现有的网络信息资源,建立了方便快捷、反应及时的信息来源反馈系统,党政机关、企事业单位信息发布系统。目前共有35 个模块,165 个拦目,5000 多条信息,2000余张图片。
政务办公系统平台
建立了市党政机关、行政事业单位网上办公的基础平台。
系统能提供一个友好、多功能、全方位的网络办公环境,是一个集公文流转、信息跟踪、党政机关内部信息共享和交互的平台。
第二篇:基层政府对电子政务的应用研究
基层政府对电子政务的应用研究
——以吉林省东丰县为例
2015级公共管理
王佳宁
摘要:辽源市作为全国首批“智慧城市”建设试点城市,在“十二五”期间投入了大量人力物力建设电子政务平台,取得了较好的成绩,作为辽源市下辖县的东丰县也建立了比较完善的电子政务平台,甚至在社区网络方面得到了群众的广泛认可,同时也发现了一些问题,本文通过对问题的分析,探讨出更有效的电子政务应用手段。
关键词:智慧城市电子政务
前言
我国电子政务是从20世纪80年代开始进行建设,1985年中央政府进行办公自动化(OA)系统建设,1993年多个部委开始建设“三金工程”,1999年随着40多个部委(局、办)共同倡议发起“政府上网工程”,从中央到地方政府掀起一轮电子政务建设热潮,gov.cn下注册的政府域名从最初的几百个发展到2013年的三万多个。目前,一个安全高效、结构合理、高速宽带、互联互通的政务网络基础设施已经初具规模,政府部门内部形成了信息共享机制,面向公众的各级政府门户网站已成为沟通政府与百姓的重要桥梁。
一、电子政务定义
电子政务简称是一种新的管理模式,是互联网革命带来的新的行政实践。它的提出源于年月美国倡导实施的“信息高速公路计划”。电子政务是政府通过信息通信技术手段的密集性和战略性应用组织公共管理的方式,旨在提高效率、增强政府的透明度、改善财政约束、改进公共政策的质量和决策的科学性,建立良好的政府之间、政府与社会、社区以及政府与公民之间的关系,提高公共服务的质量,赢得广泛的社会参与度。
县区级政府作为国家的基层政府机构,担负着落实国际具体政策、及时回应群众诉求、上下传递政府信息的关键作用。县区级电子政务的特点是直接面对用户的诉求,是国家电子政府战略的实施和反馈的关键节点,同时也最能体现电子政务服务的质量和水平,是电子政务发展的关键。
二、电子政务发展现状
现阶段电子政务的主要载体有政府网站、政务微博、公文传输系统等。以东丰县政府网站来看,主要分为政务公开、网上办事、公众参与三大框架。政务公开能够比较全面的公开政府文件、土地征用、财政审批、城乡建设等内容;网上办事从个人事务、法人事务、公共事务等多方面都有详细的文件说明;公众参与主要是以留言和访谈的形式对百姓关注的问题进行解答,通过对以往留言的查看,问题都能通过转办及时得到答复。不仅县一级政府建立了网站,东丰县所辖乡镇、社区都依托于县政府的服务器有自己的网站,同时各村也配备了电脑、网络和远程教育系统,同时各村还开通了电子商务平台,可以方便的缴纳水费、电费、电视电话费等。从这方面看,现阶段基层政府的电子政务已经有了相对完善的硬件基础。
三、电子政务不足
虽然基础政府电子政务有了长足发展,但是在实际工作中还存在一些问题,主要有传统政府运作机制的制约;电子政务专业人才的缺失;电子政务公开程度不高。
(一)传统政府运作机制的制约。
许多地方的基层政府领导只是从表面意思理解电子政务公开的含义,认为有政府网站,工作人员使用计算机,就是电子政务了。这样的简单归结,说明对电子政务公开没有充分认识。在电子政务已逐渐普及的今天,政府工作和许多重要文件,还是以纸质形式为主,在各部门进行工作的开展,或文件的流转,相互之间缺乏协调,往往各自为政,因为没有统一的标准,而无法进行协同工作,这一表现就是对电子政务的范围和地位的认识不足所导致,基层政府没能从真正意义上理解何为电子政务。如在下发文件时,即便有公文传输系统,上级部门仍会让下级单位取纸质版红头文件;同时上报文件也要求上报领导签字盖章后纸质版文件,并没有发挥电子政务作用。
(二)电子政务专业人才的缺失。
电子政务公开发展迅速,这一点对基层的政府公务人员来说是一个挑战,对它们的职业素质提出了更高的要求。要牢固树立电子政务公开行政理念,掌握过硬的管理知识,具有信息处理能力,能熟练运用计算机,有较全面的通讯和网络知识。将大量的、繁杂的网络信息加以处理,使之在网上行政环境中透明运行,这考验着基层公务人员对信息的反应能力、判断能力、应变能力和综合分析、处理问题的能力。而专业人员的引进和培养是目前基层政府电子政务公开急需解决的问题。
(三)电子政务公开程度不高。
基层领导干部对政务公开认识的不足,更是使政府网站成为一种摆设,没有将电子政务公开作为基层民主的重要内容,承担相应的责任和义务,因为害怕曝光而对电子政务公开的工作不积极、拖拖踏踏,敷衍了事,时间延迟,内容含糊,造成该公开的不公开,许多公开工作被动,公开流于形式,或领导决定公开内容,随意性大,甚至在具体问题上模糊视线,让人云里雾里,基层政府电子政务公开起到的实际效果显得模糊不清。如涉及到一些救助申请、证件办理流程,往往得不到有效公开,或公开流程与实际办理不一样。
四、如何更好的应用电子政务
通过对基层电子政务问题的分析,笔者提出以下几个措施加以改进,希望能推动基层电子政务的进一步发展。
一是转变思想认识,充分利用电子政务。要加强对电子政务的认识与运用,不能以传统政府运作机制来应对新时代新发展,在电子政务硬件已经比较完善的基础上,充分利用起来。比如文件传达完全可以用公文传输系统代替纸质版文件,即节省时间又节约资金;设计领导电子签章,上报文件附上领导电子签章以示领导同意上报。
二是培养和引进电子政务人才。在政府部门成立专门的微机室,引进专业计算机人才对计算机等硬件进行管理维护;同时加强对现有公务员进行培训,政府工作人员必须调整自己的知识结构,积极地、主动地去适应环境,通过提升公务员的综合能力,培养良好的学习习惯,扩大其知识储备,熟练掌握先进技术,增强信息操作与处理的能力,通过吸收借鉴、消化转化,打造新型的,综合型的现代化公务员队伍。
三是丰富电子政务公开的内容。政务网站的建设不是简单的将政府工作网络化,作为人们了解政府工作、获取政府信息的重要窗口,引导民众通过网上政务大厅简便办事并通过这个来反映民意,这是对基层政府电子政务公开平台的功能作出的一个明确的定位。扩大政务公开内容深度和广度,依据政务公开的相关明文规定,本着公开的原则向公众进行电子政务公开,包括政府的决策信息、服务信息、业务信息及其社会服务功能,通过提供各类政务信息,满足民众对各种信息获取的需要,保障公众对政府工作的知情权。对于政民互动、网上办事栏目内容的进一步加强与完善,则有助于增强民众参与电子政务公开的积极性。
尽管目前我国电子政务公开的整体水平参差不齐,但是随着基层政府电子政务公开的的不断发展,通过政府和民众的共同努力,基层政府电子政务公开必将得到长足发展,同时推动基层政治、经济、社会的全面,为社会主义新城镇建设注入新鲜的血液。
参考文献:
[1]刘义理.电子政务—理论,应用与管理,北京,中国建筑工业出版社,2010年,(07)
[2]王雅泰.我国基层电子政务发展现状研究—以乌海市为例,内蒙古大学硕士论文,2014年。
[3]洪毅、杜平.《中国电子政务发展报告2012十年回顾与展望》,社会科学文献出版社2013年版。
[4]
叶娜纳.基层政府电子政务公开问题研究——以宁波市鄞州区首南街道为例,宁波大学硕士论文,2015年。
[5]
杜花蕾.基层政府电子政务建设问题研究,长安大学硕士论文,2013年。
第三篇:电子政务网络安全解决方案
电子政务网络安全解决方案
电子政务网络安全概述
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如行政部门业务系统、金融业务系统、政府机关商务系统等。伴随网络的普及,安全日益成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。
网络规划
各级网络
利用现有线路及网络进行完善扩充,建成互联互通、标准统一、结构简单、功能完善、安全可靠、高速实用、先进稳定的级别分明却又统一的网络。数据中心
建设集中的数据中心,对所有的信息资源、空间、信用等数据进行集中存放、集中管理。为省及各市部门、单位的关键应用及关键设施提供机房、安全管理与维护。网络总体结构
政府机构从事的行业性质是跟国家紧密联系的,所涉及信息可以说都带有机密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全,有必要对其网络进行专门安全设计。
所谓电子政务就是政府机构运用现代计算机技术和网络技术,将其管理和服务的职能转移到网络上完成,同时实现政府组织结构和工作流程的重组优化,超越时间、空间和部门分隔的制约,向全社会提供高效、优质、规范、透明和全方位的管理与服务。
实现电子政务的意义在于突破了传统的工业时代“一站式”的政府办公模式,建立了适应网络时代的“一网式”和“一表式”的新模式,开辟了推动社会信息化的新途径,创造了政府实施产业政策的新手段。电子政务的出现有利于政府转变职能,提高运作效率。
图示:原有电子政务网络情况
电子政务网络的应用系统和网络连接方式多样,由于网络本身及应用系统的复杂性,无论是有意的攻击,还是无意的误操作,都将会给系统带来不可估量的损失。非法进入的攻击者可能窃听网络上的信息、窃取用户的口令、数据库的信息;还可以篡改数据库内容、伪造用户身份、否认自己的签名;更有甚者,攻击者可以删除数据库内容、摧毁网络节点等等。
因此在电子政务网络的建设中,构建网络安全系统以确保网络信息的安全可靠是非常必要的。
物理安全风险分析
网络物理安全是整个网络系统安全的前提。物理安全的风险主要有: ◆地震、水灾、火灾等环境事故造成整个系统毁灭;
◆电源故障造成设备断电以至操作系统引导失败或数据库信息丢失; ◆设备被盗、被毁造成数据丢失或信息泄漏; ◆电磁辐射可能造成数据信息被窃取或偷阅;
◆报警系统的设计不足可能造成原本可以防止但实际发生了的事故。链路传输风险分析
网络安全不仅是入侵者到政府机关内部网上进行攻击、窃取或其它破坏,他们完全有可能在传输线路上安装窃听装置,窃取你在网上传输的重要数据,再通过一些技术读出数据信息,造成泄密或者做一些篡改来破坏数据的完整性;以上种种不安全因素都对网络构成严重的安全威胁。因此,对于政府这样带有重要信息传输的网络,数据在链路上传输必须加密。并通过数字签名及认证技术来保障数据在网上传输的真实性、机密性、可靠性及完整性。
远程办公安全接入 目前,政府网络应用环境纷乱复杂,既有内部的应用如:内部OA系统、文件共享、Email等应用服务,又有众多面向下属单位、合作伙伴等对外的应用。如何地有效解决远程用户安全访问网络内部资源?
虚拟专用网技术(VPN,Virtual PrivateNetwork)是指在公共网络中建立专用网络,数据通过安全的“加密通道”在公共网络中传播。政府机关只需要租用本地的数据专线,连接上本地的公众信息网,那么各地的机构就可以互相传递信息。使用VPN有节约成本、扩展性强、便于管理和实现全面控制等好处。在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的,是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。所谓虚拟,是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络的长途数据线路。所谓专用网络,是指用户可以为自己制定一个最符合自己需求的网络。根据国家有关规定,政府网络可以通过现有公有平台搭建自己的内部网络,但必须通过认证和加密技术,保证数据传输的安全性。
单独的VPN网关的主要功能是IPSec数据包的加密/解密处理和身份认证,但它没有很强的访问控制功能,例如状态包过滤、网络内容过滤、防DDoS攻击等。在这种独立的防火墙和VPN部署方式下,防火墙无法对VPN的数据流量进行任何访问控制,由此带来安全性、性能、管理上的一系列问题。因此,在防火墙安全网关上集成VPN是当前安全产品的发展趋势,能提供一个灵活、高效、完整的安全方案。
集成VPN的防火墙安全网关的优点是,它可以保证加密的流量在解密后,同样需要经过严格的访问控制策略的检查,保护VPN网关免受DDoS攻击和入侵威胁;提供更好的处理性能,简化网络管理的任务,快速适应动态、变化的网络环境。因此,当前VPN技术已经成为安全网关产品的组成部分。
政府机关Intranet网络建设的VPN连接方案,利用IPsec安全协议的VPN和加密能力,实现两个或多个政府机关之间跨越因特网的政府机关内部网络连接,实现了安全的政府机关内部的数据通信。通过防火墙内部策略控制体系,对VPN的数据可以进行有效的控制和管理,使政府机关的内部网络通信具有良好的扩展性和管理性。
图示:政府机关Intranet网VPN解决方案
如上图示,原始的数据经过加密封装在另外一个IP通道内,通道头部地址就是防火墙外部端口的IP地址,以实现在公网链路上的传输。利用高强度的、动态变换的密钥来保证数据的安全,168位的3DES算法更提供了业界最高级别的安全防御体系,使政府机关的内部数据可以无忧地在公网上传输,以达到政府机关内部网络安全扩展的目的。
网络结构的安全风险分析
(一)来自与公网互联的安全威胁
如果政府内部网络与Internet公网有互连。基于Internet公网的开放性、国际性与自由性,内部网络将面临更加严重的安全威胁。因为,每天黑客都在试图闯入Internet节点,假如我们的网络不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他网络的跳板。政府行业内部网络中其办公系统及各人主机上都有涉密信息。
假如内部网络的一台机器安全受损(被攻击或者被病毒感染),就会同时影响在同一网络上的许多其他系统。透过网络传播,还会影响到与本系统网络有连接的外单位网络;影响所及,还可能涉及法律、金融等安全敏感领域。对于政府行业网络系统,国家也有规定是不能与互联网直接或间接与相连。
内部网络与系统外部网互联安全威胁
如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施,内部网络容易遭到来自外部网络不怀好意的入侵者的攻击。如:
入侵者通过Sniffer等程序来探测扫描网络及操作系统存在的安全漏洞,如网络IP地址、应用操作系统的类型、开放哪些TCP端口号、系统保存用户名和口令等安全信息的关键文件等,并通过相应攻击程序对内网进行攻击。
入侵者通过网络监听等先进手段获得内部网用户的用户名、口令等信息,进而假冒内部合法身份进行非法登录,窃取内部网重要信息。
恶意攻击:入侵者通过发送大量PING包对内部网重要服务器进行攻击,使得服务器超负荷工作以至拒绝服务甚至系统瘫痪。
(三)内部局域网的安全威胁
据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。比如内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部员工编些具有破坏力的程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。种种因素都对整体的网络安全构成很大的威胁。
系统的安全风险分析
所谓系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统,其开发厂商必然有其Back-Door(后门)。而且系统本身必定存在安全漏洞。这些“后门”或安全漏洞都将存在重大安全隐患。但是从实际应用上,系统的安全程度跟对其进行安全配置及系统的应用面有很大关系,操作系统如果没有采用相应的安全配置,则其是漏洞百出,掌握一般攻击技术的人都可能入侵得手。
如果进行安全配置,比如,填补安全漏洞,关闭一些不常用的服务,禁止开放一些不常用而又比较敏感的端口等,那么入侵者要成功进行内部网是不容易,这需要相当高的技术水平及相当长时间。因此应正确估价自己的网络风险并根据自己的网络风险大小做出相应的安全解决方案。
应用的安全风险分析
应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用,检测安全漏洞,采取相应的安全措施,降低应用的安全风险。
(一)资源共享
政府网络系统内部必有自动化办公系统。而办公网络应用通常是共享网络资源,比如文件、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享,长期暴露在网络邻居上,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,因为缺少必要的访问控制策略。
电子邮件系统
电子邮件为网系统用户提供电子邮件应用。内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等,由于许多用户安全意识比较淡薄,对一些来历不明的邮件,没有警惕性,给入侵者提供机会,给系统带来不安全因素。
病毒侵害
自从1983年世界上第一个计算机病毒出现以来,在20多年的时间里,计算机病毒已到了无孔不入的地步,有些甚至给我们造成了巨大的破坏。
随着网络的普及和网速的提高,计算机之间的远程控制越来越方便,传输文件也变得非常快捷,正因为如此,病毒与黑客程序(木马病毒)结合以后的危害更为严重,病毒的发作往往伴随着用户机密资料的丢失。病毒的传播可能会具有一定的方向性,按照制作者的要求侵蚀固定的内容。
由于网络的普及,使得编写病毒的知识越来越容易获得。同时,各种功能强大而易学的编程工具让用户可以轻松编写一个具有极强杀伤力的病毒程序。用户通过网络甚至可以获得专门编写病毒的工具软件,只需要通过简单的操作就可以生成破坏性的病毒。
网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。因此,病毒的危害的不可以轻视的。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息泄漏、文件丢失、机器死机等不安全因素。
数据信息
数据安全对政府行业来说尤其重要,数据在广域网线路上传输,很难保证在传输过程中不被非法窃取,篡改。现今很多先进技术,黑客或一些工业间谍会通过一些手段,设法在线路上做些手脚,获得在网上传输的数据信息。也就造成的泄密。这对政府行业用户来说,是决不允许的。
管理的安全风险分析
内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。
机房重地却是任何都可以进进出出,来去自由。存有恶意的入侵者便有机会得到入侵的条件。
内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑,甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。
管理是网络中安全得到保证的重要组成部分,是防止来自内部网络入侵必须的部分。责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外,还得依靠安全管理来实现。
防火墙系统设计方案
(一)防火墙系统
1、在各网络出口处安装曙光天罗防火墙。防火墙在这里首先起到网络隔离、划分不同安全域,进行访问控制的功能。通过防火墙的多网口结构设计,控制授权合法用户可以访问到授权服务,而限制非授权的访问。曙光天罗防火墙分为百兆和千兆两个系列,可以根据各局内部网的规模大小选择适合自己的产品。
2、曙光天罗防火墙自带的入侵检测功能采用了基于模式匹配的入侵检测系统,超越了传统防火墙中的基于统计异常的入侵检测功能,实现了可扩展的攻击检测库,真正实现了抵御目前已知的各种攻击方法。防火墙的入侵检测模块,可以自动检测网络数据流中潜在的入侵、攻击和滥用方式,通知管理员调整控制规则,为整个网络提供动态的网络保护。
3、利用曙光天罗防火墙自带的VPN功能,实现多级VPN系统。防火墙VPN模块支持两种用户模式:远程访问虚拟网(拨号VPN)和政府机关内部虚拟网(网关对网关VPN)。如上图所示,在省地市三级网络出口处安装曙光天罗防火墙,利用防火墙的VPN模块,实现他们之间分层次的政府机关内部虚拟网(网关对网关VPN);而对于一些规模比较小的区线或移动用户,通过安装VPN客户端,实现远程访问虚拟网(拨号VPN),整个构成一个安全的虚拟内部局域网,保障电子政务网络的数据安全传输。
(二)防火墙的VPN功能
VPN是平衡Internet的适用性和价格优势的最有前途的新兴通信手段之一。利用共享的IP网建立VPN连接,可以使服务对象减少对昂贵租用线路和复杂远程访问方案的依赖性。
也是至关重要的一点,它可以使移动用户和一些小型的分支机构的网络开销减少达50%或更多;
政府机关新增的分支机构或站点可以非常迅速方便地加入政府机关已建的基于VPN的INTRANET,所以VPN的可扩展性大大优于传统构建政府机关INTRANET的技术手段,如点对点专线或长途拨号;
VPN不仅可以大幅度削减传输数据的开销,同时可以削减传输话音的开销;
VPN创造了多种伴随着Web发展而出现的新的商业机会,包括:进行全球电子商务,可以在减少销售成本的同时增加销售量;实现外连网,可以使用户获得关键的信息,更加贴近世界;可以访问全球任何角落的电子通勤人员和移动用户。
在当今全球激烈竞争的环境下,最先实现VPN的政府机关将在竞争获得优势已经是不争的事实,许多政府机关也开始纷纷利用经济有效的VPN来传送话音业务,并从中受益:
◆ 减少用于相关的调制解调器和终端服务设备的资金及费用,简化网络; ◆ 实现本地拨号接入的功能来取代远距离接入,这样能显著降低远距离通信的费用; ◆ 远端验证拨入用户服务基于标准,基于策略功能的安全服务;
◆ 将工作重心从管理和保留运作拨号网络的工作人员转到公司的核心业务上来; ◆ 强大的基于 Web的VPN管理工具提供基于策略的 VPN配置和监控,可以优化网络资源;
◆ 极大的可扩展性,简便地对加入网络的新用户进行调度。用户不需改变网络的原来架构,只须安装客户端软件并且设置此软件的一些参数即可。同时也支持传统的应用,可以从小的政府机关扩展到最大的政府机关;
◆ 更大的网络灵活性,可以管理和发布不同类型的数据进入同一Internet连接。VPN代表了当今网络发展演化的最高形式,它综合了传统数据网络的性能优点(安全和QoS)和共享数据网络结构的优点(简单和低成本),必将成为未来传输完全汇聚业务的主要工具。
用户可以通过硬件和软件的方式来实现VPN功能,一般用户都会使用硬件设备。在总部架设一个带有VPN功能的防火墙,就可以让地方联到总部的内部局域网了。使用这种具有VPN功能的防火墙都具有较高的安全性和稳定性,因一个最大的优点是既可以抵御外部的攻击又可以提高自身网络的安全性。
防火墙对服务器的保护
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为“黑客”攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着“黑客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
(四)防火墙对内网的保护
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用“黑客”工具造成严重破坏。
由于网络环境的复杂化和网络应用的多样化日益明显,对于内部网络除了必要的防攻击设置外还必须防止内部用户的欺骗行为,比如IP地址欺骗、网络连接的欺骗等。由于物理层上的原因,内部用户接触网络服务的机会、方法很多,如果没有专门的安全防护,“黑客”就可以比较容易地实施欺骗、伪造身份及暴力攻击(CRACK),对于内部网络的用户,防范攻击的难度较大。我们主要从以下几个方面考虑:
1)内部网络风险分析:由于内部攻击发生的比较频繁,因此我们首先要分析内部网络的安全隐患,把可能发生的不安定因素找出来进行专门的安全处理;
2)内部用户网络和网络的隔离:把内部比较重要的数据服务器放在专门的区域,加上独立的控制体系,对于内部网的访问同样要进行相应的安全控制;
3)内部网络安全保护:结合物理层和链路层的特点,在物理层和链路层的接口处实施安全控制,实施IP/MAC绑定。
IDS详述
IDS(入侵检测系统)对于关心网络安全防护的人们来说已不再是一个陌生的名词,在许多行业的计算机网络安全防御工程中除了采用防病毒、防火墙或认证加密等系统外,有近15%的安全项目会涉及到IDS系统,而且这些项目一般都对安全等级的要求非常高,对数据信息的保密性也有特别的要求。
IDS系统
要想高效使用IDS首先要对它进行合理部署。通常IDS监控保护的基本单位是一个网段,单个网段的最小组成元素是各台主机,政府机关对各主机、各网段的安全性要求程度一般都不相同,所以确定IDS的保护对象是合理使用IDS的关键。
在优先保护的网段中部署IDS系统,并配置合适的检测策略,如在防火墙之内部署IDS则可把安全策略配置得紧一些,即使用最大化的检测策略,而在防火墙之外部署则可采用较为宽松的策略,因为经过防火墙过滤后,内部网络的安全状况相对比较简单,而外部的情况则较为复杂,误报的可能性也较大。另外,在一定的情况下有些内部信任的主机也可能会触发IDS的检测引擎,从而形成报警,而对于用户来说,这些报警事件是没有什么参考价值的,所以需要在检测范围中排除这些主机的IP地址;通常IDS系统中都有一个过滤器(FILTER)模块或像KIDS那样所具有的“非阻断列表”的功能选项,可以允许用户加入所有他们所信任的主机IP地址。
目前大多数的IDS系统主要采用基于包特征的检测技术来组建,它们的基本原理是对网络上的所有数据包进行复制并检测,然后与内部的攻击特征数据库(规则库)进行匹配比较,如果相符即产生报警或响应。这种检测方式虽然比异常统计检测技术要更加精确,但会给IDS带来较大的负载,所以需要对检测策略作进一步的调整和优化。具体做法是根据政府机关自身网络的业务应用情况,选择最适合的检测策略(可根据操作系统、应用服务或部署位置等),并对所选的策略进行修改,选择具有参考价值的检测规则,而去除一些无关紧要的选项,如对于全部是Windows的应用环境,则完全可以把UNIX的规则去掉。有些IDS除了提供攻击特征检测规则的定制功能外,还提供了对端口扫描检测规则的自定义,如在KIDS中就可定义端口扫描的监控范围、信任主机地址排除和扫描模式等参数,这些参数的合理配置都能将IDS的检测能力优化到最理想的状态。
IDS监控
IDS除了能对网络上各种非法行为产生报警外还能对一些特定的事件进行实时的响应,因为只有采取及时的响应才能有效阻止重要的资源被破坏或被盗用。目前最常用的响应方式是对网络中的非法连接进行阻断,如利用防火墙阻断、列入黑名单阻断或HTTP阻断等。在利用IDS进行监控时,不但需要查看它的报警提示,而且需要参考它所提供的实时状态信息。因为在网络中发生异常行为时,网络中的许多状态信息一般都与正常情况下的状态不一样。如主机正遭到拒绝服务攻击时(DoS或DDoS),网络中的数据流量便可能会急速上升,这时可以从包流量或字节流量等实时的状态图表中发现这样的异常情况。所以参考IDS所显示的状态信息也是非常重要的。实时状态信息还包括当前的活动TCP连接、TCP/UDP/IP/ICMP等协议的包或字节流量等。IDS的最重要价值之一是它能提供事后统计分析,所有安全事件或审计事件的信息都将被记录在数据库中,可以从各个角度来对这些事件进行分析归类,以总结出被保护网络的安全状态的现状和趋势,及时发现网络或主机中存在的问题或漏洞,并可归纳出相应的解决方案。
电子政务整体网络安全解决方案
电子政务系统中存在大量敏感数据和应用,因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统,确保数据和应用万无一失。
各局的局域网计算机工作站包括终端、广域网路由器、服务器群都直接汇接到本局的主干交换机上。由于工作站分布较广且全部连接,可以通过电子政务网络进行相互访问,服务器就有可能收到攻击。因此,必须在各局之间相互进行隔离防护。
如下图,我们在各局路由器后安装曙光TLFW千兆防火墙,以有三千用户在同时上Internet网计算,千兆防火墙的并发连接超过600,000,完全可以满足整个网络的需求,稳定性上也满足要求。同时,将局内网与其他区域逻辑隔离开来,在数据中心内,根据不同的服务器对安全性的不同需求,将它们分等级划分为不同的区域,并通过详细的包过滤规则制定,将这些服务器彻底保护起来,保证它们之间不能跨级别访问,这样实现分级的安全性。
通过安装防火墙,可以实现下列的安全目标:
1)利用防火墙将内部网络、Internet外部网络进行有效隔离,避免与外部网络直接通信;
2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;
3)利用防火墙对来自非内部网的服务请求进行控制,使非法访问在到达主机前被拒绝; 4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内;
5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作;
6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线; 7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。下图是电子政务网络安全解决方案设计拓扑图:
图示:电子政务网络安全总体拓扑
根据以上的分析,在整个政府网络安全体系中,除了负责边界安全的防火墙设备以外,还选择了入侵检测系统进行共同防范,达到整个系统的高安全性。
同时因为用户有拨号VPN的需求,而曙光的天罗防火墙自身具备了VPN的功能,可以满足远程连接用户的安全要求。
具备了高安全性、高可靠性、高性能、高适用性、易管理、高度集成、灵活扩展等产品特色。易于安装和使用,网络性能和透明性好,拥有自行设计的全中文化WWW管理界面,通过直观、易用的界面来管理强大、复杂的系统功能。
可根据系统管理者设定的安全规则(Security Rules)把守网络的大门,提供强大的访问控制、网络地址转换(Network Address Translation)、带宽控制、P2P协议过滤等功能。
根据电子政务的实际需要,充分利用了曙光天罗防火墙的各功能模块,实现了各功能模块(防火墙模块、入侵检测模块、VPN模块等)的协同工作,再加上NIDS网络入侵检测系统的重点防护,构建了一个整合的动态安全门户,以比较经济实惠的方式,实现了对电子政务网络的整体安全防护。
第四篇:电子政务内网建设解决方案
电子政务内网建设解决方案
对于电子政务内网,政务专网、专线、VPN是构建电子政务网络的基础设施。安全政务网络平台是依托专网、专线、VPN设备将各接入单位安全互联起来的电子政务内网;安全支撑平台为电子政务内网信息系统提供安全互联、接入控制、统一身份认证、授权管理、恶意代码防范、入侵检测、安全审计、桌面安全防护等安全支撑;电子政务专网应用既是安全保障平台的保护对象,又是电子政务内网实施电子政务的主体,它主要内部共享信息、内部受控信息等,这两类信息运行于电子政务办公平台、和电子政务信息共享平台之上;电子政务管理制度体系是电子政务长期有效运行的保证。
电子政务内网系统构成
1)政务内网网络平台:电子政务内网建设,是依托电子政务专网、专线、VPN构造的电子政务内网网络。
2)电子政务内网应用:在安全支撑平台的作用下,基于安全电子政务内网网络平台,可以打造安全电子政务办公平台、安全政务信息共享平台。
3)安全支撑平台:安全支撑平台由安全系统组成,是电子政务内网信息系统运行的安全保障。
电子政务内网系统拓扑图
三级政务内网建议拓扑图
电子政务内网按照等保标准要求,进行安全域的划分。根据不同的划分原则,大致可以分别网络基础架构区、安全管理区、数据处理区、边界防御区、办公区、会议区等安全子区域,在实际的网络设计中,可以根据相关标准,按照实际需要进一步细分,如上图所示。
划分安全域的目标是针对不同的安全域采用不同的安全防护策略,既保证信息的安全访问,又兼顾信息的开放性。按照应用系统等级、数据流相似程度、硬件和软件环境的可共用程度、安全需求相似程度,并且从方便实施的角度,将整个电子政务业务系统分为不同的安全子域区,便于由小到大、由简到繁进行网络设计。安全域的划分有利于对电子政务系统实施分区安全防护,即分域防控。安全支撑平台的系统结构
电子政务安全支撑平台是电子政务系统运行的安全保障,由网络设备、安全设备、安全技术构成。电子政务安全支撑平台依托电子政务配套的安全设备,通过分级安全服务和分域安全管理,实现等级保护中要求的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复,从而保证整个电子政务信息系统安全,最终形成安全开放统一、分级分域防护的安全体系。电子政务安全支撑平台的系统结构下图:
电子政务安全支撑平台系统结构
安全支撑平台的系统配置
1、核心交换机双归属:两台核心交换机通过VRRP协议连接,互为冗余,保证主要网络设备的业务处理能力具备冗余空间,满足业务高峰期需要。
2、认证及地址管理系统-DCBI:DCBI可以完成基于主机的统一身份认证和全局地址管理功能。
1)基于主机的统一身份认证。终端系统通过安装802.1X认证客户端,在连接到内网之前,首先需要通过DCBI的身份认证,方能打开交换机端口,使用网络资源。
2)全局地址管理。·根据政务网地址规模灵活划分地址池 ·固定用户地址下发与永久绑定 ·漫游用户地址下发与临时绑定、自动回收 ·接入交换机端口安全策略自动绑定。·客户端地址获取方式无关性
3、全局安全管理系统-DCSM。DCSM是政务内网所有端系统的管理与控制中心,兼具用户管理、安全认证、安全状态评估、安全联动控制以及安全事件审计等功能。
1)安全认证。安全认证系统定义了对用户终端进行准入控制的一系列策略,包括用户终端安全状态认证、补丁检查项配置、安全策略配置、终端修复配置以及对终端用户的隔离方式配置等。
2)用户管理。不同的用户、不同类型的接入终端可能要求不同级别的安全检查和控制。安全策略服务器可以为不同用户提供基于身份的个性化安全配置和网络服务等级,方便管理员对网络用户制定差异化的安全策略。
3)安全联动控制。安全策略服务器负责评估安全客户端上报的安全状态,控制安全联动设备对用户的隔离与开放,下发用户终端的修复方式与安全策略。通过安全策略服务器的控制,安全客户端、安全联动设备与防病毒服务器才可以协同工作,配合完成端到端的安全准入控制。
4)日志审计。安全策略服务器收集由安全客户端上报的安全事件,并形成安全日志,可以为管理员追踪和监控网络的整个网络的安全状态 提供依据。
其中:安全管理系统代理,可以对用户终端进行身份认证、安全状态评估以及安全策略实施的主体,其主要功能包括:
1)提供802.1x、portal等多种认证方式,可以与交换机、路由器配合实现接入层、汇聚层以及VPN的端点准入控制。
2)主机桌面安全防护,检查用户终端的安全状态,包括操作系统版本、系统补丁等信息;同时提供与防病毒客户端联动的接口,实现与第三方防病毒客户端的联动,检查用户终端的防病毒软件版本、病毒库版本、以及病毒查杀信息。这些信息将被传递到认证服务器,执行端点准入的判断与控制。
3)安全策略实施,接收认证服务器下发的安全策略并强制用户终端执行,包括设置安全策略(是否监控邮件、注册表)、系统修复通知与实施(自动或手工升级补丁和病毒库)等功能。不按要求实施安全策略的用户终端将被限制在隔离区。
4)实时监控系统安全状态,包括是否更改安全设置、是否发现新病毒等,并将安全事件定时上报到安全策略服务器,用于事后进行安全审计。
5)实时监控终端用户的行为,实现用户上网行为可审计。
4、边界防火墙-DCFW
能够对网络区域进行分割,对不同区域之间的流量进行控制,通过对数据包的源地址、目的地址、源端口、目的端口、网络协议等参数进行检查,把可能的安全风险控制在相对独立的区域内,避免安全风险的大规模扩散。
对于广域网接入用户,能够对他们的网络应用行为进行管理,包括进行身份认证、对访问资源的限制、对网络访问行为进行控制等。
5、统一威胁管理-UTM
UTM集合了防火墙、防病毒网关、IPS/IDS入侵防御、防垃圾邮件网关、VPN(IPSEC、PPTP、L2TP)网关、流量整形网关、Anti-Dos网关、用户身份认证网关、审计网关、BT控制网关+IM控制网关+应用提升网关(网游 VOIP 流媒体支持),十二大功能为一体。采用专门设计的硬件平台和专用的安全操作系统,采用硬件独立总线架构并采用病毒检测专用模块,在提升产品功能的同时保证了产品在各种环境下的高性能。完成等保标准中要求的防病毒、恶意代码过滤等边界防护功能。
6、入侵检测系统-DCNIDS
入侵检测系统能够及时识别并阻止外部入侵者或内部用户对网络系统的非授权使用、误用和滥用,对网络入侵事件实施主动防御。
通过在电子政务网络平台上部署入侵检测系统,可提供对常见入侵事件、黑客程序、网络病毒的在线实时检测和告警功能,能够防止恶意入侵事件的发生。
7、漏洞扫描系统
漏洞扫描系统提供网络系统进行风险预测、风险量化、风险趋势分析等风险管理的有效工具,使用户了解网络的安全配置和运行的应用服务,及时发现安全漏洞,并客观评估网络风险等级。
漏洞扫描系统能够发现所维护的服务器的各种端口的分配、提供的服务、服务软件版本和系统存在的安全漏洞,并为用户提供网络系统弱点/漏洞/隐患情况报告和解决方案,帮助用户实现网络系统统一的安全策略,确保网络系统安全有效地运行。
8、流量整形设备-DCFS
1)控制各种应用的带宽,保证关键应用,抑制不希望有的应用:可针不同的源IP(组)和时间段,在所分配的带宽管道内,对其应用实现不同的流量带宽限制、或者是禁止使用。
2)统计、监控和分析,了解网络上各种应用所占的带宽比例,为网络的用途和规划提供科学依据:可通过设备对网络上的流量数据进行监控和分析,量化地了解当前网络中各种应用流量所占的比例、以及各应用的流量各是多少,从而得知用户的网络最主要的用途是什么,等等。
9、其它网络设备
其它网络设备,可以参照国标对应的《设备安全技术要求》进行选型。
第五篇:华为公司电子政务解决方案+
电子政务网现状与趋势
随着社会主义现代化建设的进一步推进,我国电子政务建设已经初显成效。20世纪90年代初以来,国务院有关部门相继建设了一批业务系统,金桥、金关、金税、金卡等十二金工程取得显著成效,政府上网工程也取得较大成绩。为了进一步推进政府信息化建设,同时也为了规范下一阶段政府信息化建设,中办下发的[2002]17号文件《国家信息化领导小组关于我国电子政务建设的指导意见》(简称17号文件)制定了政府信息化建设原则:
统一规划,加强领导;
需求主导,突出重点;
整合资源,拉动产业;
统一标准,保障安全。
自从《关于我国电子政务建设的指导意见》出台以后,很多部门都向国家主管部门上报了自己的电子政务项目书,但通过研究发现,各部门的电子政务建设相对独立,部门之间的电子政务系统并没有整体的内在联系,相互的系统之间也不关联。
国家信息中心专家认为,要解决目前电子政务系统的问题,关键在于要对电子政务网进行统一的规划。
电子政务与公共管理专家说:“电子政务不是政府内部的办公自动化,它必须要为公众和社会服务。”政府信息化专家们一致认为,服务、共享、效益,将是2007年乃至今后一个时期电子政务发展的主要特征。
将公众视为政府的“客户”,一切以客户为中心是21世纪政府管理创新的基本理念。今后,我国电子政务将会向突出以公众为中心的服务型政务转变。
中国信息资源的约80%由政府掌控,但这80%信息资源中的80%未被利用,所以,目前,我国电子政务建设的重点已经从应用系统开发转向跨部门信息共享、业务协同,从关注应用系统的技术先进性转向应用系统所产生的经济效益和社会效益。这意味着我国今后所有的电子政务系统设计都必须关注与相关部门的信息共享和业务协同,仅仅服务于一个部门的电子政务系统将很难得到相关主管部门的批复。
而所谓效益,是指关注电子政务网建设的成本、收益和公众满意度。
华为公司电子政务网解决方案介绍
电子政务网建设原则
为达到电子政务网络的目标要求,华为公司建议在电子政务建设过程中坚持以下建网原则:从政府的需求出发,建设高安全、高可靠、可管理的电子政务体系!
统一的网络规划
建议电于政务的建设按照国家信息化领导小组的统一部署,制定总体的网络规划,分层推进,分步实施,避免重复建设。
完善的安全体系
网络安全核心理念在于技术与管理并重。建议遵循信息安全管理标准-ISO17799,安全管理是信息安全的关键,人员管理是安全管理的核心,安全策略是安全管理的依据,安全工具是安全管理的保证。
严格的设备选型
在电子政务网建设的过程中,网络设备选择除了要考虑满足业务的需求和发展、技术的可实施性等因素之外,同时为了杜绝网络后门的出现,在满足功能、性能要求的前提下,建议优先选用具备自主知识产权的国内民族厂商产品,从设备选型上保证电子政务网络的安全性。
集成的信息管理
信息管理的核心理念是统一管理,分散控制。制定IT的规划,提供IT的运作支持和问题管理,管理用户服务水平,管理用户满意度,配置管理,可用性管理,支持IT设施的管理,安全性管理,管理IT的库存和资产,性能和容量管理,备份和恢复管理。提高系统的利用价值,降低管理成本。
电子政务网体系架构
《国家信息化领导小组关于我国电子政务建设的指导意见》中明确了电子政务网络的体系架构:电子政务网络由政务内网和政务外网构成,两网之间物理隔离,政务外网与互联网之间逻辑隔离。政务内网主要是传送涉密政务信息,所以为保证党政核心机密的安全性,内网必须与外网物理隔离。政务外网是政府的业务专网,主要运行政务部门面向社会的专业性服务业务和不需在内网上运行的业务,外网与互联网之间逻辑隔离。而从网络规模来说,政务内网和政务外网都可以按照局域网、城域网、广域网的模式进行建设;从网络层次来说,内网和外网也可以按照骨干层、汇聚层和接入层的模式有规划地进行建设。
图1:电子政务网络的体系架构
根据电子政务设计思想及应用需求,鉴于政府各部门的特殊安全性要求,严格遵循《国家信息化领导小组关于我国电子政务建设的指导意见》,在电子政务内、外网在总体建设上采用业务与网络分层构建、逐层保护的指导原则,在逻辑层次及业务上,网络的构建实施如下分配:
图2:电子政务内、外网逻辑层次
互联支撑层是电子政务网络的基础,由网络中心统一规划、构建及管理,支撑层利用宽带IP技术,保证网络的互联互通性,提供具有一定QOS的带宽保证,并提供各部门、系统网络间的逻辑隔离(VPN),保证互访的安全控制;
安全保障系统是指通过认证、加密、权限控制等技术对电子政务网上的用户访问及数据实施安全保障的监控系统,它与互联支撑层相对独立,由网络中心与各部门单位共同规划,分布构建。
业务应用层就是在安全互联的基础上实施政务网的各种应用,由网络中心与各系统单位统一规划,分别实施。
华为公司电子政务解决方案的核心理念
全面的网络安全
建设安全的电子政务网络是电子政务建设的关键。电子政务的安全建设需要管理与技术并重。在技术层面,华为公司提供防御、隔离、认证、授权、策略等多种手段为网络安全提供保证;在设备层面,华为公司自主开发的系列化路由器、交换机、防火墙设备、CAMS综合安全管理系统和统一的网络操作系统VRP可以保证电子政务网络安全。
针对于政府系统的网络华为公司提供了i3安全三维度端到端集成安全体系架构,在该架构中,除了可以从熟悉的网络层次视角来看待安全问题,同时还可以从时间及空间的角度来审视安全问题,从而大大拓展了安全的思路与视角,具备全面考虑与实施安全防护的模型与能力。
图3:华为公司i3 安全 三维度端到端集成安全体系架构
(1)华为公司i3安全三维度端到端集成安全体系架构
i-intelligence(智能),integrated(集成),individuality(个性化); 3-时间、空间及网络层次三个维度的端到端(End to End); 安全-所有IP信息网络的安全架构。
(2)网络层次(网络层、用户层、业务层)端到端安全理念
网络的各层次均存在安全威胁的可能,华为的集成安全架构充分体现了网络安全防范的分层思想,根据不同网络层次的特点进行有针对性的防范。
网络层:保障网络路由、网络设备等基础网络的安全;
用户接入层:确保合法的用户接入,访问合法的网络范围,并保障用户信息的隔离等用户接入网络的安全;
业务层:保证用户访问内容的合法性与安全性。
华为公司的i3安全集成安全架构针对传统网络在用户层防范比较薄弱的缺陷,采取了大量的增强措施,如用户接入认证、地址防盗用、访问控制等能力。
(3)时间(事前、事后)端到端安全理念
以前政府行业更关注网络的事前防范能力,往往在网络的用户认证、入侵检测、防DOS攻击、防火墙等方面投入力量较多,对事后跟踪能力实施的有效措施不多。而在安全事件发生前后,要求网络所能提供的支持也是不同的,其花费的代价与技术实现难度有非常大的差别:
事前防范:主要通过数据隔离、加密、过滤、管理等技术,加强整个网络的健壮性;
事后跟踪:华为公司的“i3安全”架构提供在网络级做日志记录的能力,通过对用户上网端口、时间、访问地的记录,全面提供用户上网的追溯能力,从而为后期的分析提供第一手的资料。(4)空间(外网、内网)端到端安全理念
控。外网:通过VPN、加密等保证信息安全,通过网络防火墙、病毒防火墙等防范网络攻击,侧重的是防范;
内网:通过对用户的识别,保证合法的用户访问合法的网络范围,并做好访问记录,侧重的是监目前政府内网即涉秘网、政府外网即办公专网,两张网按照17号文件要求严格的物理隔离分别进行建设,保证政府网络的安全。
华为公司三纬度集成安全架构提供端到端集成安全服务:
图4:华为公司i3安全三维度端到端集成安全体系架构
随着政府网络网上应用的进一步增多,随着网络进一步深入人们的生活,入侵与反入侵、盗用与反盗用的斗争也必将升级。而政府网络的安全防护作为一个系统工程,只有从网络管理、用户管理、业务管理及管理制度等多层次、多方位地多管齐下才能做到“天网恢恢,疏而不漏”。
完善的端到端的可靠性
网络可靠性主要是指当设备或网络出现故障时,网络提供服务的不间断性。可靠性一般通过设备本身的可靠性和组网设计的可靠性来实现。包括以下内容:
(1)设备可靠性
华为公司的全系列数据产品均采用电信级的可靠性设计。华为公司高端路由器和交换机产品采用分布式体系结构,不存在单点故障;采用无源背板,支持真正热插拔、热备份,同时设备的交换网络、路由处理系统等所有关键部件采用冗余热备份设计,能充分满足电子政务网络对设备高可靠性的要求。
(2)组网设计的可靠性
在控制投资的前提下,在电子政务网络的部分省地骨干节点,可采取VRRP双机备份方式或采取RPR方式进行环网自愈保护,接入骨干传输网的链路可采取双归链路设计或采取RPR方式进行环网自愈保护,从组网角度避免单点故障。
另外,可采用备份中心技术,为路由器上的任意接口提供备份接口;路由器上的任一接口可以作为其它接口(或逻辑链路)的备份接口;可对接口上的某条逻辑链路提供备份。
通过灵活的备份机制及完善的技术,可以充分利用备份资源,确保网络互联互通的可靠性。
简单高效的维护和管理
政府网络信息点数量众多,而且较为稠密,所以网络设备数量众多,特别是接入最终用户的楼层交换机。华为公司的网络管理系统在支持全网设备统一管理、实现拓扑管理、图形化操作界面、实时声光报警、中文操作系统的同时,利用华为组管理协议HGMP可以实现对数量庞大的楼层交换机的动态发现、动态拓扑生成、自动配置的功能,降低网络管理人员的工作量,提高效率。
丰富的业务承载能力
政府信息化的一个重要特点是以业务牵引网络需求,应用不断更新,对网络设备的需求不断提高,在这样的一个动态网络中,网络设备本身的业务承载能力就显得非常重要。因此,华为公司提出了第5代基于网络处理器技术,可以保证在后续新增业务对网络平台有特殊要求时,实现快速定制、快速支持,保证对网络设备投资的连续性。
利用MPLS VPN表现出强大的扩展性和前所未见的高性能,电子政务网可任由业务的增长和变化,网络可以平滑地扩充和升级,可最大程度的减少对网络架构和设备的调整。作为少数能提供整网MPLS技术的厂家,华为公司致力于为政府提供基于先进的MPLS VPN技术的数据、语音和视讯的三网合一技术。背景
“十五”期间,我国电子政务建设的主要目标是:标准统一、功能完善、安全可靠的政务信息网络平台发挥支持作用;重点业务系统建设取得显著成效;基础性、战略性政务信息库建设取得重大进展,信息资源共享程度明显提高;初步形成电子政务网络与信息安全保障体系,建立规范的培训制度,与电子政务相关的法规和标准逐步完善。这些工作完成后,中央和地方各级党委、政府部门的管理能力、决策能力、应急处理能力、公共服务得到较大改善和加强,电子政务发展奠定坚实的基础。
在坚持需求主导、资源整合、强化应用、保障安全和稳步推进的原则下,我国电子政务建设要完成各级政务内网、各级政务专网、各级政务外网的建设和整合工作,初步形成统一的国家电子政务网络。其中国家政务内网只连接中共中央办公厅、全国人大常委会办公厅、国务院办公厅、全国政协办公厅、最高人民法院办公厅、最高人民检察院办公厅、党中央和国务院组成部门及其直属机构办公厅(室)、47个副省级以上地方党委办公厅,不与其他网络相联接,不横向扩展和纵向延伸。国家政务专网承载中央和各级地方部门内部办公、管理、协调、监督等不面向社会服务的、不同安全等级的业务应用系统,主要满足中央和各级地方对口政务部门之间信息纵向传输、汇聚及各级政务部门之间信息横向交换与共享的需求。要采用必要手段,确保网络与信息安全。国家政务外网承载中央和各级地方政务部门业务协同、社会管理、公共服务、应急联动等面向社会服务的业务应用系统,主要满足中央和各级地方对口政务部门之间信息纵向传输、汇聚及各级政务部门之间、政务部门与公众、企业之间信息交换与共享的需求,与互联网安全连接,支持各级政务部门面向社会的门户网站。
虽然电子政务内网、电子政务专网、电子政务外网三张网络之间完全物理隔离,且各自运行的业务系统也有了明确的定义,但是三张网络建设使用的主要技术手段和面临的主要问题是一致的。因此,我们以电子政务外网为例阐述华为公司的电子政务解决方案。之所以选择电子政务外网,是因为只有电子政务外网需要和互联网进行安全的连接,且电子政务外网上业务系统之间的关系最为复杂。
政务外网需求分析
基础网络要求
电子政务外网的建设模式相对比较固定,从上至下分为国家电子政务外网、省电子政务外网、市电子政务外网、区县电子政务外网四级。每一级电子政务外网对网络的要求是不同的,进而对设备性能及功能要求各不相同。
业务互访要求
电子政务外网作为统一的网络承载平台,将接入不同的政府各级部门,形成在统一网络平台上的逻辑虚拟专网,各构建统一、安全、易管理的协同电子政务平台虚拟专网之间需要安全隔离。同时,因为协同型电子政务应用系统的不断发展,又要求相互隔离的虚拟专网之间能够进行部分数据交互和资源共享。此外,还涉及虚拟专网用户对公共资源的访问,对互联网的访问等等。所以,电子政务外网上存在非常复杂的业务互访需求,而且对互访需要强大灵活的控制手段。
网络安全要求
目前,很多电子政务网解决方案缺乏整体的安全规划,多是网络安全设备的简单堆砌,仅仅能解决局部的、特定的安全隐患,例如通过防火墙抵御外部发起的攻击、通过IDS检测入侵行为等等。目前解决这些安全问题的方式往往是事后的亡羊补牢,还无法做到早期的预防、检测以及整网联动的智能主动防御。
综合管理要求
电子政务外网规模较大,承载的业务会越来越多,因此对网络的管理功能提出了很高的要求。而且这种网络管理不仅仅局限于对网络设备的管理,更多是要求对网络资源的管理和调配,进而能够更好地支撑上层业务系统的正常运行。
华为公司电子政务外网解决方案简介
基础网络解决方案
电子政务外网作为电子政务外网骨干,负责连接各下级电子政务外网,整网包括核心城域网、广域骨干网、互联网出口、核心网络管理中心、地市接入网、各部委局署接入网等几个重要部分。
其中,核心城域网的规划简单如下:核心以路由器组网为主,传输带宽采用2.5G,为加快核心层数据转发和保护关键数据,大都采用环网技术,即租用电信运营商的SDH设备和传输线路,将核心设备进行环形连接;也可以只租用裸光纤线路,采用RPR(弹性分组环)环网技术进行环形组网。从技术先进性和便于维护的角度来看,城域网核心大多采用RPR来建设。可选用了多台华为公司的Quidway® NetEngine 80E核心路由器组成一个2.5G的RPR环;汇聚层设备可以采用路由器(支持E1接入)也可以采用交换机(支持GE/FE接入),汇聚层设备要求支持MPLS VPN,能够承担PE的功能并且需要支持NAT多实例功能,以支持不同接入用户在地址重叠的情况下能够通过NAT多实例功能翻译成不同的地址。汇聚层可选用华为公司的Quidway® NetEngine 40/40E核心路由器,也可采用华为公司Quidway® S8500高端交换机。一般来说,如果数据流量模型以纵向为主,那么建议选用路由器,如果以横向交互数据流居多,则选用交换机。
广域骨干网路由设备要求支持MPLS VPN(MPLS VPN 是目前电子政务外网建设中最常使用的逻辑虚拟专网划分技术手段)和QOS(端到端服务质量保证是电子政务外网建设中的基本需求)功能。从可靠性角度考虑,广域骨干网路由设备应支持关键部件全冗余配置以及NSF(不间断路由转发)和GR(平滑重启)功能。从接口上看,广域骨干网路由设备应支持2.5G/155M CPOS,GE/FE 等接口。广域骨干网可选用华为公司的Quidway® NetEngine 40/40E核心路由器,租用运营商GE或者SDH 155M接口与核心城域网汇聚层的设备相连。这种组网模式示意图如下:
图一:某电子政务外网组网示意图
业务互访解决方案
电子政务外网作为统一的网络平台将接入众多的政务部门,各政务部门之间需要相互隔离以及灵活的受控互访,电子政务外网上将形成复杂的互访关系。以下图示意。
图二:电子政务外网业务互访关系示意图
根据各自实现的功能不同,将电子政务外网分为三个独立的功能区:纵向业务区、公众服务区、资源共享区。纵向业务区是各个纵向政府部门在电子政务外网上划分出来的虚拟逻辑专网,负责传送各政府部门自身的业务数据,彼此之间严格安全隔离。公众服务区是电子政务外网上划分出的对公众服务的部分,包括各类WEB/FTP公众服务器。资源共享区是电子政务外网内部各纵向业务系统之间需要共享和交互的数据。三者之间的互访关系如上图所示,纵向业务区用户具有最高访问权限,可以访问公众服务区(提取公众需求),可以访问资源共享区(用于各纵向业务区用户之间交互数据),可以访问INTERNET(资料查询等)。资源共享区具有次高访问权限,不能访问纵向业务区,但可以访问公众服务区(提取公众需求)。公众服务器区访问权限最低,只能和INTERNET进行交互,不能进入纵向业务区也不能进入资源共享区。所有业务访问关系在技术上是通过MPLS VPN来实现的。
我们以纵向业务系统为例说明其如何实现对其余区域的访问
(1)纵向业务系统对互联网和公众服务区的访问
图三:纵向业务系统对互联网和公众服务区的访问示意图
纵向业务系统对互联网和公众服务区的访问都需要做NAT,可能在PE上,也可能在用户的接入防火墙上。通过NAT,将用户的私网地址翻译成电子政务外网统一分配的地址,以这个地址实现对公众服务区(公众服务器同样分配电子政务外网地址)访问和对互联网的访问。在访问互联网时可能需要在出口设备上将电子政务外网地址二次翻译成ISP地址,这要视具体实现方式而定。某纵向业务系统接入的PE设备(如工商系统接入的PE)需要设置静态路由指向其余业务系统(如税务)接入的PE设备地址,以直接访问其余业务系统(如税务)对外发布的公众服务器(如WEB服务器),同时需要设置缺省路由指向互联网出口PE。
(2)纵向业务系统对共享资源区的访问
纵向业务系统对共享资源区的访问并不是纵向业务系统用户直接访问共享资源区,而是通过前置机的方式访问。纵向业务系统(如工商)将自己需要和其余纵向业务系统(如税务)交互的数据通过安全的方式(如网闸)由内部服务器导入到前置机上。所有纵向业务系统的前置机自己成为一个单独的VPN,共享资源区成为一个共享VPN,共享VPN可以和所有纵向业务系统前置机VPN实现互通,实现逻辑星型连接,此方式下数据流模型为集中式。也可采用分布式数据流模型,所有纵向业务系统前置机VPN根据应用系统要求通过RT值控制直接进行互访以交互数据。两种方式视具体情况和要求而定。
安全渗透解决方案
安全渗透网络的核心理念是将安全渗透到网络的角角落落。安全不再是安全产品的简单堆砌,而是整体全面的安全规划以及全网设备的安全联动。安全渗透网络包括三个部分:端点安全、威胁抵御、基础安全功能。
(1)端点安全
目前的电子政务网络建设中,建设者们往往重视来自于网络外部的攻击或者病毒,通常采取在网络出口设置防火墙的方式来抵御外部的威胁。但建设者们却往往忽略了来自网络内部的攻击和病毒,认为网络内部的用户都是可信任用户,结果正是这一点成为网络安全最为薄弱的环节。因为电子政务网内部任何一台用户终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置)都将直接影响到整个网络的安全。如果某台终端感染了病毒,它将不断在网络中试图寻找下一个受害者,并使其感染,在一个没有对内部用户进行有效安全防护的电子政务网络中,最终的结果可能是全网瘫痪。所以,加强对电子政务网内部用户的管理和控制是解决电子政务网安全漏洞的重要手段。华为公司的安全解决方案通过安全客户端、安全策略服务器、接入设备以及防病毒软件联动,可以将不符合安全要求的终端限制在“隔离区” 内,防止“危险”终端对网络安全损害,避免“易感”终端受病毒、蠕虫的攻击。
(2)威胁抵御
针对恶意的攻击行为进行深度检测,并通过安全设备和网络设备的安全联动策略来控制攻击行为。一个黑客发起了攻击,网络设备会将这种攻击行为的数据转发到安全设备,安全设备将数据上报给管理中心,管理中心通过分析,确认这是一个攻击行为,并下发针对这一攻击行为的安全策略给安全设备。安全设备将这一安全策略转发给网络设备,网络设备就会按照安全策略阻止后续攻击。
(3)基础安全功能
将安全功能和安全设备天然的融合到网络设备中,如在路由器上提供防火墙功能和VPN功能。使安全策略更加易于控制和部署。
综合管理解决方案
电子政务外网由于面向用户众多,设备分布区域较大,因此网络的管理就非常的重要。华为公司提供强大的网络设备管理软件,实现正常的网络管理功能外,在故障管理和配置管理上更加人性化,满足管理人员的实际需求。
除了设备管理软件之外,华为公司还提供MPLS VPN业务管理软件,通过图形化简单的操作实现对复杂VPN网络的轻松管理和资源调度。MPLS VPN管理软件同时支持MPLS L2/L3 VPN,可以同时管理BGP/MPLS VPN(RFC 2547bis)、MPLS L2 VPN(VPLS、Martini、Kompella),实现了“多种VPN业务,单点集中运维”的需求,降低管理成本,提高工作效率。
MPLS VPN管理软件采用直观的业务规划,使用图形化、向导化的方式,帮助管理员快速完成VPN业务规划,并可直观的进行“业务预览”,即在业务尚未部署到设备之前,就可在业务管理系统中看到业务实施后的效果(如VPN拓扑结构、VPN内各站点间逻辑连接关系),避免业务规划过程中人为的错误。
MPLS VPN管理软件提供多种有效的业务监控手段,从而保证VPN业务质量:VPN配置审计、VPN连通性审计、端到端的网络性能(时延、丢包、抖动)监控、图形化的流量/ 带宽利用率监控、智能的业务告警分析,帮助管理员快速排障、及时了解业务状况。
能够提供完善的客户管理机制,可以维护VPN客户的各种信息,并提供丰富的客户业务租用报表、资源租用报表、性能数据报表、流量数据报表和故障数据报表等,便于管理员有效的管理VPN 客户。
完善的系统安全提供灵活的用户分权策略(可按照对象+操作给用户授权),方便用户按照管理员实际业务职责来分权;提供简便易用的数据库备份工具,简化系统管理员数据备份的工作;提供Watchman异地双机备份组件,保证系统的高可用性;提供详尽的用户操作日志记录、任务操作日志记录,便于事后跟踪。
灵活的拓扑提供丰富的网络拓扑显示视图:网络视图(PECE之间的连接关系)、客户视图(CE-CE 之间连接管理)、VPN视图(每个VPN显示为一个节点)功能,并提供放大、缩小、定位节点、鸟瞰图、节点搜索、多选等操作;并可按照客户、VPN过滤、AS、VPN类型等过滤显示;对于VPN内节点数目较大、之间的逻辑链接过多提供更细节的过滤显示功能;拓扑能够反映业务实际运行状态。
总结
华为公司在深入理解电子政务网络的基础上,分析了电子政务网络建设中存在的一系列问题,并针对性地提出解决方案。这是华为公司承建众多电子政务网络建设工程后的宝贵经验的积累。
华为公司电子政务解决方案的支撑技术
强大的MPLS VPN技术
电子政务网建设的主要目标是:建立一个开放的、基于标准的电子政务统一网络平台,避免重复建设。在电子政务的统一网络平台之上,实现政府不同部门之间的信息交换和资源共享,面向公众提供服务,增强各部门工作的透明度。但是在实现政府不同部门之间的信息交换和资源共享同时,如何保证政务内网、政务外网信息的安全性;如何保证同一行业不同部门尤其是保密部门业务和信息的安全性;如何保证不同行业之间业务和信息的安全性,是政府信息化建设面临的不可避免的问题,安全对于政府来说是至关重要的。MPLS VPN技术可以很好的解决该问题,通过将各机关部门办公系统划分为不同的VPN网络,实现各部门办公系统共享同一物理网络,但是在逻辑上却是相互隔离,从而既可以提高政府办公的自动化程度及效率,又可以保障各部门系统内数据不被其他人访问,满足了政府办公的安全需求。MPLS VPN技术作为一项有效的隔离技术,在灵活性、可扩展性、易开展性等方面具有很强的优势,目前已经成为电子政务网络建设的主要支撑技术之一。
针对MPLS VPN技术的理解和实际部署经验,华为采用了中国首个为IETF采纳的数据通信标准草案HOPE(注:HOPE全称是:Hiberarchy Of PE,即分层PE技术。HOPE是华为公司专有技术,2002年初正式向IETF提交并且获得国际电联专家委员会大力推荐的RFC国际技术标准草案。),标志着MPLS VPN大规模商业部署的技术条件已经成熟。HOPE通过引入UPE和SPE等角色和新构建流程的方式解决了边缘网络设备对MPLS VPN和路由协议支持的性能等系列问题,将MPLS VPN的良好支持范围覆盖到了全线高端路由器、交换机甚至华为公司系列中低端路由器上,这成为我们选择MPLS VPN技术体系作为电子政务网支撑技术的重要依据。结合HOPE 的MPLS VPN技术为新一代网络系统提供了一个硬件平台下构建多个纵向业务网络的有效途径。不同业务类别、应用区域从网络层就开始的完全“独立布设”使得网络安全的部署更加简明和坚固。(注:在分层PE的结构中直接连结用户的设备称为下层PE“Underlayer PE”或“User-end PE”,即用户侧PE,简写为UPE,连结UPE并位于网络内部的设备称为上层PE“Superstratum PE”或“Sevice Provider-end PE”,即服务网络侧PE,简写为SPE。)
华为也提供方便的MPLS VPN部署管理软件—MPLS VPN MANAGER,使华为公司的MPLS提供能力位于业界的最高水平。
华为网络设备在MPLS VPN的支持能力上经过了多家第三方权威机构的测试,并且在目前国内政府行业、金融行业、教育行业及运营商的网络上有大量的商用以及与其他厂商设备的互通实例。作为业界少数几家能提供整网MPLS VPN技术的厂商之一,华为公司致力在电子政务建设中提供基于MPLS VPN技术的网络受控互访与安全隔离解决方案。
先进的可控组播技术
政府有进行多媒体培训的需求、有开展网上会议直播的时候,组播技术必不可少。但从目前业界的标准组播模型来看,是无法实现对组播源和组播用户进行有效控制的,也就是说无法防止非法用户和无法防止非法组播源,这对于政府开展网上培训和会议直播无疑在安全性和可靠性方面都存在问题。根据政府网的实际现状,华为公司提出利用设备和业务管理系统配合在组播源和组播用户加入前对两者进行认证,以实现可控制的组播业务。
高效的可扩展弹性网络技术
在构建政务网络应用平台的过程中,除了广域网的建设之外,政府办公区域的局域网建设量也是非常大的,而且随着局域网络的不断扩展,如何多快好省地建设电子政务网络平台也面临着不小的挑战。
华为公司eXpandable Resilient Netwoking(XRN)可扩展弹性网络技术在建设政府的楼宇局域网、大型楼宇和园区网络的骨干核心和网络汇聚层以及大型园区网络的过程中,不仅可以通过设备控制和调控各业务的享用带宽,利用带宽控制技术,为语音和数据等不同的业务提供不同优先级服务,保证整个网络的可用性;同时可以通过分步式的网络建设提供更高效的电子政务建网方案, 实现整个网络的高性能按需构建,能够提供性能灵活出色、性价比高的网络。
图1:基于XRN技术的高效率弹性局域网络 图1是演示如何利用XRN技术构建政府局域网方案,XRN技术构成的网络核心冗余方案采用分布式路由技术完成路由交换冗余,采用分布式链路聚合技术完成第二层主干上连冗余。通过协同工作,可以智能分配网络流量,必要时在冗余点之间形成负载共享。分布式设备管理技术,使得冗余系统几乎不需要增加额外的系统配置管理负担和用户的投资,即增强网络的可靠性,又扩展网络核心的整体性能,而同时网络管理简单易行,有效减低管理成本和管理风险,一举而三得。