伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機(jī)密性，所以其信息安全問題，如敏感信息的泄漏、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計算機(jī)病毒等。都將對政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計。
    近年來為加強(qiáng)政府機(jī)構(gòu)的信息安全管理，相應(yīng)出臺了針對信息安全的相關(guān)政策法規(guī)《信息系統(tǒng)安全等級保護(hù)實施指南》，在信息系統(tǒng)建設(shè)過程中，運營、使用單位應(yīng)當(dāng)按照《計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》、《信息系統(tǒng)安全等級保護(hù)基本要求》等技術(shù)標(biāo)準(zhǔn)，參照《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》、《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》、《信息安全技術(shù)操作系統(tǒng)安全技術(shù)要求》、《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》、《信息安全技術(shù)服務(wù)器技術(shù)要求》、《信息安全技術(shù)終端計算機(jī)系統(tǒng)安全等級技術(shù)要求》等技術(shù)標(biāo)準(zhǔn)同步建設(shè)符合該等級要求的信息安全設(shè)施。運營、使用單位應(yīng)當(dāng)參照《信息安全技術(shù)信息系統(tǒng)安全管理要求》、《信息安全技術(shù)信息系統(tǒng)安全工程管理要求》、《信息系統(tǒng)安全等級保護(hù)基本要求》等管理規(guī)范，制定并落實符合本系統(tǒng)安全保護(hù)等級要求的安全管理制度。

行業(yè)現(xiàn)狀

目前政府的網(wǎng)絡(luò)分為接入Internet網(wǎng)絡(luò)和政務(wù)專網(wǎng)兩個部分，它們之間物理隔離。
    其中接入Internet網(wǎng)絡(luò)部署多種應(yīng)用系統(tǒng)，如網(wǎng)站系統(tǒng)、郵件系統(tǒng)、辦公系統(tǒng)等。
    CNCERT/CC的2009年11月份的統(tǒng)計報告很說明問題，大約平均每5個政府網(wǎng)站，就有一個網(wǎng)站被黑!而且，近年來，政府網(wǎng)站被篡改的數(shù)目仍然以每年2～3倍的速度在不斷遞增。根據(jù)這些材料可以知道，網(wǎng)站被篡改、被攻擊的數(shù)量是非常大的，并且遞增的速度也是比較快的。
    政府的郵件系統(tǒng)多數(shù)采用集采的exchange郵件服務(wù)器，存在不能有效對非法言論、有害信息進(jìn)行高效過濾。不能有效地防止病毒蔓延、防止郵件病毒導(dǎo)致的信件內(nèi)容外泄等問題。 
    政府的辦公網(wǎng)有大量用戶需要訪問Internet ，導(dǎo)致關(guān)鍵應(yīng)用如郵件系統(tǒng)、ERP系統(tǒng)、視頻會議等系統(tǒng)的帶寬無法得到保障，有限的 Internet 帶寬中充斥著 P2P 下載、游戲、在線視頻等非關(guān)鍵應(yīng)用。內(nèi)部員工的 Internet 訪問不受限制，經(jīng)常由于訪問非法網(wǎng)站，導(dǎo)致感染病毒，影響整個內(nèi)部局域網(wǎng)。 
    政務(wù)專網(wǎng)由于屬于可信任網(wǎng)，一直以來對安全防護(hù)的重視程度較低，主要出現(xiàn)的問題為蠕蟲爆發(fā)、arp病毒等，造成斷網(wǎng)現(xiàn)象，影響整個專務(wù)專網(wǎng)的正常運行。

政府一般都有Internet接入和政務(wù)專網(wǎng)兩種接入方式，以往的防護(hù)方式已經(jīng)引起不止一次的風(fēng)險發(fā)生，而政府部門對政務(wù)專網(wǎng)的安全和應(yīng)用更是缺乏有效防護(hù)和管理意識，嚴(yán)重影響辦事效率。以下我們根據(jù)以往的經(jīng)驗針對政府網(wǎng)絡(luò)構(gòu)架的防護(hù)和優(yōu)化提供完整的建議方案：

  應(yīng)用層安全防護(hù)：
    根據(jù)CNCERT/CC的2009年11月份的統(tǒng)計報告，大約平均每5個政府網(wǎng)站，就有一個網(wǎng)站被黑! 對于網(wǎng)站系統(tǒng)， web應(yīng)用防火墻采用多重安全防護(hù)提供最高級別的保護(hù)。這些防護(hù)包括動態(tài)配置文件、HTTP 協(xié)議驗證、平臺攻擊安全和關(guān)聯(lián)攻擊確認(rèn)。對于數(shù)據(jù)庫系統(tǒng), 數(shù)據(jù)庫應(yīng)用監(jiān)控防護(hù)系統(tǒng)可為 Oracle、MS-SQL 、DB2（包括主機(jī)）和 Sybase 數(shù)據(jù)庫提供自動化評估、審計和保護(hù)功能。動態(tài)建模技術(shù)可自動創(chuàng)建數(shù)據(jù)庫使用業(yè)務(wù)模型和細(xì)化到訪問數(shù)據(jù)庫的每個用戶和應(yīng)用程序的查詢級別的安全策略。詳細(xì)的數(shù)據(jù)庫活動審計和報告功能使得滿足審計規(guī)定要求更方便，且不會對數(shù)據(jù)庫性能產(chǎn)生任何影響。獨特的業(yè)務(wù)活動分析和相關(guān)性技術(shù)可將真正的攻擊與無害的用戶行為變化分離開來，從而提供實時保護(hù)。

  郵件審計和安全防護(hù)：
    目前政府集采的郵件服務(wù)器，存在不能有效對非法言論、有害信息進(jìn)行高效過濾。不能有效地防止病毒蔓延、防止郵件病毒導(dǎo)致的信件內(nèi)容外泄等問題。如何解決？
我們提供業(yè)界中最有效的兩層垃圾控制技術(shù)。在外層，提供獨特的信譽過濾功能，在內(nèi)層，提供深層內(nèi)容過濾的技術(shù)。

  網(wǎng)絡(luò)攻擊及入侵（入侵防御系統(tǒng)防護(hù)）：
    當(dāng)業(yè)務(wù)系統(tǒng)遇到互聯(lián)網(wǎng)的非法攻擊和入侵的時候，勢必對業(yè)務(wù)系統(tǒng)產(chǎn)生影響，造成訪問效率下降、網(wǎng)絡(luò)擁堵等狀況，采用主動式入侵防御系統(tǒng)利用高可靠識別攻擊，精確判斷入侵及攻擊行為并作出相應(yīng)的反應(yīng)來解決客戶遇到的上述問題。

  移動辦公接入（SSLVPN網(wǎng)關(guān)）：
    客戶為加強(qiáng)遠(yuǎn)程辦公終端的安全性和易用性，采用SSLVPN的接入方式，利用對客戶端安全檢查、靈活定制訪問策略和權(quán)限的技術(shù)手段，滿足移動辦公用戶接入數(shù)據(jù)中心簡單方便的需求。

  帶寬管理 ：
    政府的互聯(lián)網(wǎng)帶寬通常在200M左右，而政府有大量的的內(nèi)部用戶訪問互聯(lián)網(wǎng)，其關(guān)鍵應(yīng)用的保障以及非關(guān)鍵應(yīng)用的限制以監(jiān)控需要使用帶寬管理產(chǎn)品對Internet 出口帶寬進(jìn)行控制，通過深入識別流量與應(yīng)用，結(jié)合豐富的流量管理策略對某種應(yīng)用進(jìn)行帶寬的保證、帶寬限制、按照優(yōu)先級處理等。

  服務(wù)器負(fù)載均衡 ：
    多種應(yīng)用系統(tǒng)服務(wù)器的負(fù)載均衡和冗余：不同的政府職能部門部署不同的應(yīng)用系統(tǒng)，如公安的綜合查詢系統(tǒng)、應(yīng)急指揮系統(tǒng)，稅務(wù)的金稅工程等，如何保證這些系統(tǒng)穩(wěn)定、可靠運行？對于各種應(yīng)用系統(tǒng)，可以采用服務(wù)器負(fù)載均衡的方式提高應(yīng)用的可用性。采用負(fù)載均衡產(chǎn)品把大量用戶的請求平均分發(fā)到多臺服務(wù)器上面，并實時監(jiān)控服務(wù)器運行狀態(tài)，快速發(fā)現(xiàn)服務(wù)器的故障，把用戶請求轉(zhuǎn)發(fā)到其他正常的服務(wù)器上面。

  鏈路負(fù)載均衡 ：
    作為電子政務(wù)網(wǎng)平臺的一部分，多條 Internet 接入是必須的，能夠防止單點故障，減少停機(jī)時間。如何把外網(wǎng)用戶的請求負(fù)載均衡到兩條鏈路上面，同時把內(nèi)網(wǎng)用戶訪問外網(wǎng)的請求負(fù)載均衡到兩條鏈路上面，并且在某一條鏈路出現(xiàn)故障時，能夠及時把上述兩種請求切換到正常的鏈路？
    我們采用鏈路負(fù)載均衡產(chǎn)品，把訪問外網(wǎng)資源的內(nèi)網(wǎng)用戶按照要求負(fù)載均衡到兩條鏈路，任何一條鏈路出現(xiàn)故障，都能夠?qū)崟r發(fā)現(xiàn)，自動把請求轉(zhuǎn)發(fā)至正常的鏈路；同時把訪問內(nèi)網(wǎng)資源的用戶自動導(dǎo)向到訪問質(zhì)量最優(yōu)的鏈路，并實時監(jiān)控鏈路的狀態(tài)，如果某一鏈路出現(xiàn)故障，自動切換到其他正常鏈路。

  安全防護(hù) ：
    為了提高整個網(wǎng)絡(luò)的安全性，如何進(jìn)行安全區(qū)域的劃分，保護(hù)內(nèi)網(wǎng)服務(wù)器資源，同時進(jìn)行入侵檢測，保護(hù)服務(wù)器資源免受各種攻擊的侵害？
    我們使用防火墻對內(nèi)外網(wǎng)、 DMZ 等安全區(qū)域進(jìn)行隔離，并進(jìn)行入侵防護(hù)。通過高性能的防火墻產(chǎn)品對不同的安全區(qū)域進(jìn)行訪問控制，并通過多種檢測機(jī)制，發(fā)現(xiàn)攻擊流量，實時進(jìn)行阻斷，提高應(yīng)用系統(tǒng)的安全性。

  Internet 安全訪問網(wǎng)關(guān)：
    采用 Internet 安全訪問網(wǎng)關(guān)設(shè)備，對員工上網(wǎng)行為進(jìn)行管理，提高工作效率。

  統(tǒng)一訪問控制 ：
    網(wǎng)絡(luò)在不斷擴(kuò)展，但是安全性卻在不斷下降，新的威脅出現(xiàn)在可信的用戶流量中，如何在客戶端在接入網(wǎng)絡(luò)之前評估其安全狀態(tài)，對不符合要求的用戶進(jìn)行隔離或者修復(fù)？如何建立基于身份的和策略的網(wǎng)絡(luò)準(zhǔn)入控制？
    我們對整個網(wǎng)絡(luò)采用一套網(wǎng)絡(luò)控制器，對終端進(jìn)行統(tǒng)一的認(rèn)證授權(quán)和策略的下發(fā)。
    采用統(tǒng)一的認(rèn)證和授權(quán)機(jī)制，對內(nèi)部網(wǎng)絡(luò)的終端進(jìn)行驗證，認(rèn)證和授權(quán)的內(nèi)容不再局限于簡單的用戶名和密碼。實現(xiàn)基于用戶身份、所處網(wǎng)絡(luò)位置（用戶 IP 地址）、終端主機(jī)的安全狀況的統(tǒng)一的授權(quán)。
    網(wǎng)絡(luò)中的控制點作為策略的執(zhí)行點（包括防火墻和交換機(jī)等）。
    根據(jù)終端用戶認(rèn)證信息的不同（用戶身份、 IP 地址、終端主機(jī)的安全狀況），在邊界控制防火墻上動態(tài)的為該終端動態(tài)加載策略，實現(xiàn)不同的訪問權(quán)限。
    對于不符合安全策略的終端，防火墻上阻斷其訪問權(quán)限，同時對其進(jìn)行修復(fù)。