政府行业政务网络,负载均衡解决方案.pdfVIP

政府行业政务网络，负载均衡解决方案

行业背景

伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、

国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统

不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要

事情之一。政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密

性，所以其信息安全问题，如敏感信息的泄漏、黑客的侵扰、网络资源的非法使用以及计算

机病毒等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网

络进行专门安全设计。

近年来为加强政府机构的信息安全管理，相应出台了针对信息安全的相关政策法规《信息系

统安全等级保护实施指南》，在信息系统建设过程中，运营、使用单位应当按照《计算机信

息系统安全保护等级划分准则》、《信息系统安全等级保护基本要求》等技术标准，参照

《信息安全技术信息系统通用安全技术要求》、《信息安全技术网络基础安全技术要求》、

《信息安全技术操作系统安全技术要求》、《信息安全技术数据库管理系统安全技术要

求》、《信息安全技术服务器技术要求》、《信息安全技术终端计算机系统安全等级技术要

求》等技术标准同步建设符合该等级要求的信息安全设施。运营、使用单位应当参照《信息

安全技术信息系统安全管理要求》、《信息安全技术信息系统安全工程管理要求》、《信息

系统安全等级保护基本要求》等管理规范，制定并落实符合本系统安全保护等级要求的安全

管理制度。

行业现状

目前政府的网络分为接入Internet网络和政务专网两个部分，它们之间物理隔离。

其中接入Internet网络部署多种应用系统，如网站系统、邮件系统、办公系统等。

CNCERT/CC的2009年11月份的统计报告很说明问题，大约平均每5个政府网站，就有一个

网站被黑!而且，近年来，政府网站被篡改的数目仍然以每年2～3倍的速度在不断递增。根

据这些材料可以知道，网站被篡改、被攻击的数量是非常大的，并且递增的速度也是比较快

的。

政府的邮件系统多数采用集采的exchange邮件服务器，存在不能有效对非法言论、有害信

息进行高效过滤。不能有效地防止病毒蔓延、防止邮件病毒导致的信件内容外泄等问题。

政府的办公网有大量用户需要访问Internet，导致关键应用如邮件系统、ERP系统、视频

会议等系统的带宽无法得到保障，有限的Internet带宽中充斥着P2P下载、游戏、在线

视频等非关键应用。内部员工的Internet访问不受限制，经常由于访问非法网站，导致感

染病毒，影响整个内部局域网。

政务专网由于属于可信任网，一直以来对安全防护的重视程度较低，主要出现的问题为蠕虫

爆发、arp病毒等，造成断网现象，影响整个专务专网的正常运行。

政府一般都有Internet接入和政务专网两种接入方式，以往的防护方式已经引起不止一次

的风险发生，而政府部门对政务专网的安全和应用更是缺乏有效防护和管理意识，严重影响

办事效率。以下我们根据以往的经验针对政府网络构架的防护和优化提供完整的建议方案：

应用层安全防护：

根据CNCERT/CC的2009年11月份的统计报告，大约平均每5个政府网站，就有一个网站被

黑!对于网站系统，web应用防火墙采用多重安全防护提供最高级别的保护。这些防护包

括动态配置文件、HTTP协议验证、平台攻击安全和关联攻击确认。对于数据库系统,数据

库应用监控防护系统可为Oracle、MS-SQL、DB2（包括主机）和Sybase数据库提供自动

化评估、审计和保护功能。动态建模技术可自动创建数据库使用业务模型和细化到访问数据

库的每个用户和应用程序的查询级别的安全策略。详细的数据库活动审计和报告功能使得满

足审计规定要求更方便，且不会对数据库性能产生任何影响。独特的业务活动分析和相关性

技术可将真正的攻击与无害的用户行为变化分离开来，从而提供实时保护。

邮件审计和安全防护：

目前政府集采的邮件服务器，存在不能有效对非法言论、有害信息进行高效过滤。不能有效

地防止病毒蔓延、防止邮件病毒导致的信件内容外泄等问题。如何解决？

我们提供业界中最有效的两层垃圾控制技术。在外层，提供独特的信誉过滤功能，在内层，

提供