华为电子政务网络安全解决方案.pdfVIP

华为电子政务网络安全解决方案

编者按：没有安全的网络,就像没有围墙的院落,随时随地会受到骚扰和侵犯。随着政务网络的不断

发展和应用，网络受到的安全挑战越来越多.如何保证政务网络的全面安全？华为电子政务网络安全

解决方案为此提供了解决办法……

没有安全的网络，就像没有围墙的院落，随时随地会受到骚扰和侵犯。随着政务网络的不断发展

和应用,网络受到的安全挑战越来越多。如何保证政务网络的全面安全是摆在建设与管理者面前的一

个难题。

随着政务网络的层次化、分组化以及宽带化发展，政府部门越来越多的统计决策业务、日常监督

检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变，这符合当前

信息网络融合发展的趋势。多网融合对应用的安全性提出了更高的要求。

但目前政务网络还存在一些常见的问题：一是没有统一的网络授权控制策略,仅采用简单的口令

控制，使用不便，而且难以确保口令的时效限制。二是机房中心访问控制与未来跨主机业务之间的矛

盾,如不同政府部门之间的业务开展和结算等。三是网络规划基本上还是以简单办公业务需求为主，

没有考虑到将来政府网络支持的业务对网络架构和安全要求提高后的平滑过渡。四是政务内网与政务

外网之间的数据交换存在实时性与安全性之间的矛盾.因此，政务网络需要整体性的安全解决方案.

政务网络安全策略

完整的安全体系结构应覆盖系统的各个层面，由“网络级安全、应用级安全、系统级安全和管理

级安全”四大部分组成。

网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全；应用级安

全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在应用层保证对政务网络各种应用

系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控，防

止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁；管理级安全主要是从建设内部安全管

理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统，政务网络必须对

网络系统进行全方位的考虑.

网络的安全覆盖系统的各个层面，包括网络传送、网络服务、应用安全、安全识别、安全防御、

安全监控、审计分析、集中管理等多个方面。这需要依靠安全保护和安全管理进行全面防护.

针对政府的现有网络和业务的现状，华为认为，一个完整的网络安全方案应该由网络层安全策略

和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略

主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的

系统.

政务内网是政府部门的内部网络，和外界网络完全隔离，所以安全问题可能出现在局域网内部和

政务内网的广域网上。

政务内网局域网安全解决方案

针对以太网存在的各种链路层和网络层安全隐患，华为QuidwayS系列以太网交换机采用多种

网络安全机制，包括访问控制、用户验证、防地址假冒、入侵与防范、安全管理等技术，提供了一个

有效的网络安全解决方案。

在这个方案中，局域网内的访问控制的原则是只允许授权的用户访问某个主机，通过网络设备来

提供这种保障。政务内网的数据库、服务器等资源是受限访问的。一般一个部门内的用户的权限是相

同的，可以将这些用户划分在一个VLAN内，只要设置基于VLAN的报文过滤策略就可以实现对这

个VLAN内所有的用户的报文过滤。这样可以看出，基于VLAN的报文过滤是最简单实用的某个用

户群的访问控制策略。可以设定华为公司QuidwayS系列以太网交换机端口禁止或允许转发来自或

去往某个VLAN的报文。QuidwayS系列以太网交换机支持标准及扩展的ACL。可以通过标准的ACL

只设定一个简单的地址范围，也可以使用扩展的ACL设定具体到协议、源地址范围、目的地址范围、

源端口范围以及优先级与服务类型等。这样可以实现复杂的访问控制策略。

用户验证是保证接入政务内网的用户是合法的或通过某个以太网交换机端口接入政务内网局域

网的用户是预先配置的。华为解决方案可提供的用户验证包括PPPoE验证、WEB验证、802。1x

端口验证、VLAN验证、CA验证等等.

政务内网的局域网有可能受到入侵流量攻击，对于一些连接关键部门的端口,特别是连接广域网

设备的端口和财务部门、领导部