构建高安全政务网络.docVIP

构建高安全政务网络 　　没有安全的网络，就像没有围墙的院落，随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用，网络受到的安全挑战越来越多。如何保证政务网络的全面安全是摆在建设与管理者面前的一个难题。 　　随着政务网络的层次化、分组化以及宽带化发展，政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变，这符合当前信息网络融合发展的趋势。多网融合对应用的安全性提出了更高的要求。 　　但目前政务网络还存在一些常见的问题：一是没有统一的网络授权控制策略，仅采用简单的口令控制，使用不便，而且难以确保口令的时效限制。二是机房中心访问控制与未来跨主机业务之间的矛盾，如不同政府部门之间的业务开展和结算等。三是网络规划基本上还是以简单办公业务需求为主，没有考虑到将来政府网络支持的业务对网络架构和安全要求提高后的平滑过渡。四是政务内网与政务外网之间的数据交换存在实时性与安全性之间的矛盾。因此，政务网络需要整体性的安全解决方案。 　　 　　安全策略 　　 　　完整的安全体系结构应覆盖系统的各个层面，由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。 　　网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全；应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在应用层保证对政务网络各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控，防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁；管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统，政务网络必须对网络系统进行全方位的考虑。 　　网络的安全覆盖系统的各个层面，包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠安全保护和安全管理进行全面防护。 　　针对政府的现有网络和业务的现状，华为认为，一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的系统。 　　政务内网是政府部门的内部网络，和外界网络完全隔离，所以安全问题可能出现在局域网内部和政务内网的广域网上。 　　 　　解决方案 　　 　　针对以太网存在的各种链路层和网络层安全隐患，华为Quidway S系列以太网交换机采用多种网络安全机制，包括访问控制、用户验证、防地址假冒、入侵与防范、安全管理等技术，提供了一个有效的网络安全解决方案。 　　在这个方案中，局域网内的访问控制的原则是只允许授权的用户访问某个主机，通过网络设备来提供这种保障。政务内网的数据库、服务器等资源是受限访问的。一般一个部门内的用户的权限是相同的，可以将这些用户划分在一个VLAN内，只要设置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。这样可以看出，基于VLAN的报文过滤是最简单实用的某个用户群的访问控制策略。可以设定华为Quidway S系列以太网交换机端口禁止或允许转发来自或去往某个VLAN的报文。Quidway S系列以太网交换机支持标准及扩展的ACL。可以通过标准的ACL只设定一个简单的地址范围，也可以使用扩展的ACL设定具体到协议、源地址范围、目的地址范围、源端口范围以及优先级与服务类型等。这样可以实现复杂的访问控制策略。 　　用户验证是保证接入政务内网的用户是合法的或通过某个以太网交换机端口接入政务内网局域网的用户是预先配置的。华为解决方案可提供的用户验证包括PPPoE验证、WEB验证、802.1x端口验证、VLAN验证、CA验证等等。 　　政务内网的局域网有可能受到入侵流量攻击，对于一些连接关键部门的端口，特别是连接广域网设备的端口和财务部门、领导部门的端口，可以将以太网交换机连接协议分析仪，通过报文镜象、报文统计来监控端口流量和统计某个应用流的流量。Quidway系列以太网交换机支持端口镜象和流镜象，通过基于ACL的报文包数和字节数统计，从而了解网络的运行状况，发现网络设备是否受到入侵攻击。 　　通过在局域网出口路由器与局域网相连的接口上或与骨干IP网相连的接口上配置ISPKeeper，可很好地抵御黑客对ISP进行的流量攻击，避免内部网络受到外部网络或骨干网的大流量访问和攻击而导致内网瘫痪。华为Quidway系列设备提供对多种系统信息的记录功能。 　　 　　内网广域网的网络安全 　　 　　政务内网广域网将省市县政务内网连接在一起，为政府的内部办公提供