第一篇：華為公司電子政務(wù)解決方案+

電子政務(wù)網(wǎng)現(xiàn)狀與趨勢

隨著社會主義現(xiàn)代化建設(shè)的進(jìn)一步推進(jìn)，我國電子政務(wù)建設(shè)已經(jīng)初顯成效。20世紀(jì)90年代初以來，國務(wù)院有關(guān)部門相繼建設(shè)了一批業(yè)務(wù)系統(tǒng)，金橋、金關(guān)、金稅、金卡等十二金工程取得顯著成效，政府上網(wǎng)工程也取得較大成績。為了進(jìn)一步推進(jìn)政府信息化建設(shè)，同時也為了規(guī)范下一階段政府信息化建設(shè)，中辦下發(fā)的[2002]17號文件《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》(簡稱17號文件)制定了政府信息化建設(shè)原則：

統(tǒng)一規(guī)劃，加強(qiáng)領(lǐng)導(dǎo)；

需求主導(dǎo)，突出重點；

整合資源，拉動產(chǎn)業(yè)；

統(tǒng)一標(biāo)準(zhǔn)，保障安全。

自從《關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》出臺以后，很多部門都向國家主管部門上報了自己的電子政務(wù)項目書，但通過研究發(fā)現(xiàn)，各部門的電子政務(wù)建設(shè)相對獨立，部門之間的電子政務(wù)系統(tǒng)并沒有整體的內(nèi)在聯(lián)系，相互的系統(tǒng)之間也不關(guān)聯(lián)。

國家信息中心專家認(rèn)為，要解決目前電子政務(wù)系統(tǒng)的問題，關(guān)鍵在于要對電子政務(wù)網(wǎng)進(jìn)行統(tǒng)一的規(guī)劃。

電子政務(wù)與公共管理專家說：“電子政務(wù)不是政府內(nèi)部的辦公自動化，它必須要為公眾和社會服務(wù)?！闭畔⒒瘜＜覀円恢抡J(rèn)為，服務(wù)、共享、效益，將是2007年乃至今后一個時期電子政務(wù)發(fā)展的主要特征。

將公眾視為政府的“客戶”，一切以客戶為中心是21世紀(jì)政府管理創(chuàng)新的基本理念。今后，我國電子政務(wù)將會向突出以公眾為中心的服務(wù)型政務(wù)轉(zhuǎn)變。

中國信息資源的約80％由政府掌控，但這80％信息資源中的80％未被利用，所以，目前，我國電子政務(wù)建設(shè)的重點已經(jīng)從應(yīng)用系統(tǒng)開發(fā)轉(zhuǎn)向跨部門信息共享、業(yè)務(wù)協(xié)同，從關(guān)注應(yīng)用系統(tǒng)的技術(shù)先進(jìn)性轉(zhuǎn)向應(yīng)用系統(tǒng)所產(chǎn)生的經(jīng)濟(jì)效益和社會效益。這意味著我國今后所有的電子政務(wù)系統(tǒng)設(shè)計都必須關(guān)注與相關(guān)部門的信息共享和業(yè)務(wù)協(xié)同，僅僅服務(wù)于一個部門的電子政務(wù)系統(tǒng)將很難得到相關(guān)主管部門的批復(fù)。

而所謂效益，是指關(guān)注電子政務(wù)網(wǎng)建設(shè)的成本、收益和公眾滿意度。

華為公司電子政務(wù)網(wǎng)解決方案介紹

電子政務(wù)網(wǎng)建設(shè)原則

為達(dá)到電子政務(wù)網(wǎng)絡(luò)的目標(biāo)要求，華為公司建議在電子政務(wù)建設(shè)過程中堅持以下建網(wǎng)原則：從政府的需求出發(fā)，建設(shè)高安全、高可靠、可管理的電子政務(wù)體系!

統(tǒng)一的網(wǎng)絡(luò)規(guī)劃

建議電于政務(wù)的建設(shè)按照國家信息化領(lǐng)導(dǎo)小組的統(tǒng)一部署，制定總體的網(wǎng)絡(luò)規(guī)劃，分層推進(jìn)，分步實施，避免重復(fù)建設(shè)。

完善的安全體系

網(wǎng)絡(luò)安全核心理念在于技術(shù)與管理并重。建議遵循信息安全管理標(biāo)準(zhǔn)－ISO17799，安全管理是信息安全的關(guān)鍵，人員管理是安全管理的核心，安全策略是安全管理的依據(jù)，安全工具是安全管理的保證。

嚴(yán)格的設(shè)備選型

在電子政務(wù)網(wǎng)建設(shè)的過程中，網(wǎng)絡(luò)設(shè)備選擇除了要考慮滿足業(yè)務(wù)的需求和發(fā)展、技術(shù)的可實施性等因素之外，同時為了杜絕網(wǎng)絡(luò)后門的出現(xiàn)，在滿足功能、性能要求的前提下，建議優(yōu)先選用具備自主知識產(chǎn)權(quán)的國內(nèi)民族廠商產(chǎn)品，從設(shè)備選型上保證電子政務(wù)網(wǎng)絡(luò)的安全性。

集成的信息管理

信息管理的核心理念是統(tǒng)一管理，分散控制。制定IT的年度規(guī)劃，提供IT的運作支持和問題管理，管理用戶服務(wù)水平，管理用戶滿意度，配置管理，可用性管理，支持IT設(shè)施的管理，安全性管理，管理IT的庫存和資產(chǎn)，性能和容量管理，備份和恢復(fù)管理。提高系統(tǒng)的利用價值，降低管理成本。

電子政務(wù)網(wǎng)體系架構(gòu)

《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》中明確了電子政務(wù)網(wǎng)絡(luò)的體系架構(gòu)：電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。政務(wù)內(nèi)網(wǎng)主要是傳送涉密政務(wù)信息，所以為保證黨政核心機(jī)密的安全性，內(nèi)網(wǎng)必須與外網(wǎng)物理隔離。政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng)，主要運行政務(wù)部門面向社會的專業(yè)性服務(wù)業(yè)務(wù)和不需在內(nèi)網(wǎng)上運行的業(yè)務(wù)，外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。而從網(wǎng)絡(luò)規(guī)模來說，政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)都可以按照局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)的模式進(jìn)行建設(shè)；從網(wǎng)絡(luò)層次來說，內(nèi)網(wǎng)和外網(wǎng)也可以按照骨干層、匯聚層和接入層的模式有規(guī)劃地進(jìn)行建設(shè)。

圖1：電子政務(wù)網(wǎng)絡(luò)的體系架構(gòu)

根據(jù)電子政務(wù)設(shè)計思想及應(yīng)用需求，鑒于政府各部門的特殊安全性要求，嚴(yán)格遵循《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)的指導(dǎo)意見》，在電子政務(wù)內(nèi)、外網(wǎng)在總體建設(shè)上采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護(hù)的指導(dǎo)原則，在邏輯層次及業(yè)務(wù)上，網(wǎng)絡(luò)的構(gòu)建實施如下分配：

圖2：電子政務(wù)內(nèi)、外網(wǎng)邏輯層次

互聯(lián)支撐層是電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)，由網(wǎng)絡(luò)中心統(tǒng)一規(guī)劃、構(gòu)建及管理，支撐層利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，提供具有一定QOS的帶寬保證，并提供各部門、系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離(VPN)，保證互訪的安全控制；

安全保障系統(tǒng)是指通過認(rèn)證、加密、權(quán)限控制等技術(shù)對電子政務(wù)網(wǎng)上的用戶訪問及數(shù)據(jù)實施安全保障的監(jiān)控系統(tǒng)，它與互聯(lián)支撐層相對獨立，由網(wǎng)絡(luò)中心與各部門單位共同規(guī)劃，分布構(gòu)建。

業(yè)務(wù)應(yīng)用層就是在安全互聯(lián)的基礎(chǔ)上實施政務(wù)網(wǎng)的各種應(yīng)用，由網(wǎng)絡(luò)中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實施。

華為公司電子政務(wù)解決方案的核心理念

全面的網(wǎng)絡(luò)安全

建設(shè)安全的電子政務(wù)網(wǎng)絡(luò)是電子政務(wù)建設(shè)的關(guān)鍵。電子政務(wù)的安全建設(shè)需要管理與技術(shù)并重。在技術(shù)層面，華為公司提供防御、隔離、認(rèn)證、授權(quán)、策略等多種手段為網(wǎng)絡(luò)安全提供保證；在設(shè)備層面，華為公司自主開發(fā)的系列化路由器、交換機(jī)、防火墻設(shè)備、CAMS綜合安全管理系統(tǒng)和統(tǒng)一的網(wǎng)絡(luò)操作系統(tǒng)VRP可以保證電子政務(wù)網(wǎng)絡(luò)安全。

針對于政府系統(tǒng)的網(wǎng)絡(luò)華為公司提供了i3安全三維度端到端集成安全體系架構(gòu)，在該架構(gòu)中，除了可以從熟悉的網(wǎng)絡(luò)層次視角來看待安全問題，同時還可以從時間及空間的角度來審視安全問題，從而大大拓展了安全的思路與視角，具備全面考慮與實施安全防護(hù)的模型與能力。

圖3：華為公司i3 安全 三維度端到端集成安全體系架構(gòu)

（1）華為公司i3安全三維度端到端集成安全體系架構(gòu)

i－intelligence(智能)，integrated(集成)，individuality(個性化)； 3－時間、空間及網(wǎng)絡(luò)層次三個維度的端到端(End to End)； 安全－所有IP信息網(wǎng)絡(luò)的安全架構(gòu)。

（2）網(wǎng)絡(luò)層次(網(wǎng)絡(luò)層、用戶層、業(yè)務(wù)層)端到端安全理念

網(wǎng)絡(luò)的各層次均存在安全威脅的可能，華為的集成安全架構(gòu)充分體現(xiàn)了網(wǎng)絡(luò)安全防范的分層思想，根據(jù)不同網(wǎng)絡(luò)層次的特點進(jìn)行有針對性的防范。

? ? ? 網(wǎng)絡(luò)層：保障網(wǎng)絡(luò)路由、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)網(wǎng)絡(luò)的安全；

用戶接入層：確保合法的用戶接入，訪問合法的網(wǎng)絡(luò)范圍，并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全；

業(yè)務(wù)層：保證用戶訪問內(nèi)容的合法性與安全性。

華為公司的i3安全集成安全架構(gòu)針對傳統(tǒng)網(wǎng)絡(luò)在用戶層防范比較薄弱的缺陷，采取了大量的增強(qiáng)措施，如用戶接入認(rèn)證、地址防盜用、訪問控制等能力。

（3）時間(事前、事后)端到端安全理念

以前政府行業(yè)更關(guān)注網(wǎng)絡(luò)的事前防范能力，往往在網(wǎng)絡(luò)的用戶認(rèn)證、入侵檢測、防DOS攻擊、防火墻等方面投入力量較多，對事后跟蹤能力實施的有效措施不多。而在安全事件發(fā)生前后，要求網(wǎng)絡(luò)所能提供的支持也是不同的，其花費的代價與技術(shù)實現(xiàn)難度有非常大的差別：

? ? 事前防范：主要通過數(shù)據(jù)隔離、加密、過濾、管理等技術(shù)，加強(qiáng)整個網(wǎng)絡(luò)的健壯性；

事后跟蹤：華為公司的“i3安全”架構(gòu)提供在網(wǎng)絡(luò)級做日志記錄的能力，通過對用戶上網(wǎng)端口、時間、訪問地的記錄，全面提供用戶上網(wǎng)的追溯能力，從而為后期的分析提供第一手的資料。（4）空間(外網(wǎng)、內(nèi)網(wǎng))端到端安全理念

? ?

控。外網(wǎng)：通過VPN、加密等保證信息安全，通過網(wǎng)絡(luò)防火墻、病毒防火墻等防范網(wǎng)絡(luò)攻擊，側(cè)重的是防范；

內(nèi)網(wǎng)：通過對用戶的識別，保證合法的用戶訪問合法的網(wǎng)絡(luò)范圍，并做好訪問記錄，側(cè)重的是監(jiān)目前政府內(nèi)網(wǎng)即涉秘網(wǎng)、政府外網(wǎng)即辦公專網(wǎng)，兩張網(wǎng)按照17號文件要求嚴(yán)格的物理隔離分別進(jìn)行建設(shè)，保證政府網(wǎng)絡(luò)的安全。

華為公司三緯度集成安全架構(gòu)提供端到端集成安全服務(wù)：

圖4：華為公司i3安全三維度端到端集成安全體系架構(gòu)

隨著政府網(wǎng)絡(luò)網(wǎng)上應(yīng)用的進(jìn)一步增多，隨著網(wǎng)絡(luò)進(jìn)一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網(wǎng)絡(luò)的安全防護(hù)作為一個系統(tǒng)工程，只有從網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理及管理制度等多層次、多方位地多管齊下才能做到“天網(wǎng)恢恢，疏而不漏”。

完善的端到端的可靠性

網(wǎng)絡(luò)可靠性主要是指當(dāng)設(shè)備或網(wǎng)絡(luò)出現(xiàn)故障時，網(wǎng)絡(luò)提供服務(wù)的不間斷性?？煽啃砸话阃ㄟ^設(shè)備本身的可靠性和組網(wǎng)設(shè)計的可靠性來實現(xiàn)。包括以下內(nèi)容：

（1）設(shè)備可靠性

華為公司的全系列數(shù)據(jù)產(chǎn)品均采用電信級的可靠性設(shè)計。華為公司高端路由器和交換機(jī)產(chǎn)品采用分布式體系結(jié)構(gòu)，不存在單點故障；采用無源背板，支持真正熱插拔、熱備份，同時設(shè)備的交換網(wǎng)絡(luò)、路由處理系統(tǒng)等所有關(guān)鍵部件采用冗余熱備份設(shè)計，能充分滿足電子政務(wù)網(wǎng)絡(luò)對設(shè)備高可靠性的要求。

（2）組網(wǎng)設(shè)計的可靠性

在控制投資的前提下，在電子政務(wù)網(wǎng)絡(luò)的部分省地骨干節(jié)點，可采取VRRP雙機(jī)備份方式或采取RPR方式進(jìn)行環(huán)網(wǎng)自愈保護(hù)，接入骨干傳輸網(wǎng)的鏈路可采取雙歸鏈路設(shè)計或采取RPR方式進(jìn)行環(huán)網(wǎng)自愈保護(hù)，從組網(wǎng)角度避免單點故障。

另外，可采用備份中心技術(shù)，為路由器上的任意接口提供備份接口；路由器上的任一接口可以作為其它接口(或邏輯鏈路)的備份接口；可對接口上的某條邏輯鏈路提供備份。

通過靈活的備份機(jī)制及完善的技術(shù)，可以充分利用備份資源，確保網(wǎng)絡(luò)互聯(lián)互通的可靠性。

簡單高效的維護(hù)和管理

政府網(wǎng)絡(luò)信息點數(shù)量眾多，而且較為稠密，所以網(wǎng)絡(luò)設(shè)備數(shù)量眾多，特別是接入最終用戶的樓層交換機(jī)。華為公司的網(wǎng)絡(luò)管理系統(tǒng)在支持全網(wǎng)設(shè)備統(tǒng)一管理、實現(xiàn)拓?fù)涔芾怼D形化操作界面、實時聲光報警、中文操作系統(tǒng)的同時，利用華為組管理協(xié)議HGMP可以實現(xiàn)對數(shù)量龐大的樓層交換機(jī)的動態(tài)發(fā)現(xiàn)、動態(tài)拓?fù)渖?、自動配置的功能，降低網(wǎng)絡(luò)管理人員的工作量，提高效率。

豐富的業(yè)務(wù)承載能力

政府信息化的一個重要特點是以業(yè)務(wù)牽引網(wǎng)絡(luò)需求，應(yīng)用不斷更新，對網(wǎng)絡(luò)設(shè)備的需求不斷提高，在這樣的一個動態(tài)網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備本身的業(yè)務(wù)承載能力就顯得非常重要。因此，華為公司提出了第5代基于網(wǎng)絡(luò)處理器技術(shù)，可以保證在后續(xù)新增業(yè)務(wù)對網(wǎng)絡(luò)平臺有特殊要求時，實現(xiàn)快速定制、快速支持，保證對網(wǎng)絡(luò)設(shè)備投資的連續(xù)性。

利用MPLS VPN表現(xiàn)出強(qiáng)大的擴(kuò)展性和前所未見的高性能，電子政務(wù)網(wǎng)可任由業(yè)務(wù)的增長和變化，網(wǎng)絡(luò)可以平滑地擴(kuò)充和升級，可最大程度的減少對網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。作為少數(shù)能提供整網(wǎng)MPLS技術(shù)的廠家，華為公司致力于為政府提供基于先進(jìn)的MPLS VPN技術(shù)的數(shù)據(jù)、語音和視訊的三網(wǎng)合一技術(shù)。背景

“十五”期間，我國電子政務(wù)建設(shè)的主要目標(biāo)是：標(biāo)準(zhǔn)統(tǒng)一、功能完善、安全可靠的政務(wù)信息網(wǎng)絡(luò)平臺發(fā)揮支持作用；重點業(yè)務(wù)系統(tǒng)建設(shè)取得顯著成效；基礎(chǔ)性、戰(zhàn)略性政務(wù)信息庫建設(shè)取得重大進(jìn)展，信息資源共享程度明顯提高；初步形成電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系，建立規(guī)范的培訓(xùn)制度，與電子政務(wù)相關(guān)的法規(guī)和標(biāo)準(zhǔn)逐步完善。這些工作完成后，中央和地方各級黨委、政府部門的管理能力、決策能力、應(yīng)急處理能力、公共服務(wù)得到較大改善和加強(qiáng)，電子政務(wù)發(fā)展奠定堅實的基礎(chǔ)。

在堅持需求主導(dǎo)、資源整合、強(qiáng)化應(yīng)用、保障安全和穩(wěn)步推進(jìn)的原則下，我國電子政務(wù)建設(shè)要完成各級政務(wù)內(nèi)網(wǎng)、各級政務(wù)專網(wǎng)、各級政務(wù)外網(wǎng)的建設(shè)和整合工作，初步形成統(tǒng)一的國家電子政務(wù)網(wǎng)絡(luò)。其中國家政務(wù)內(nèi)網(wǎng)只連接中共中央辦公廳、全國人大常委會辦公廳、國務(wù)院辦公廳、全國政協(xié)辦公廳、最高人民法院辦公廳、最高人民檢察院辦公廳、黨中央和國務(wù)院組成部門及其直屬機(jī)構(gòu)辦公廳(室）、47個副省級以上地方黨委辦公廳，不與其他網(wǎng)絡(luò)相聯(lián)接，不橫向擴(kuò)展和縱向延伸。國家政務(wù)專網(wǎng)承載中央和各級地方部門內(nèi)部辦公、管理、協(xié)調(diào)、監(jiān)督等不面向社會服務(wù)的、不同安全等級的業(yè)務(wù)應(yīng)用系統(tǒng)，主要滿足中央和各級地方對口政務(wù)部門之間信息縱向傳輸、匯聚及各級政務(wù)部門之間信息橫向交換與共享的需求。要采用必要手段，確保網(wǎng)絡(luò)與信息安全。國家政務(wù)外網(wǎng)承載中央和各級地方政務(wù)部門業(yè)務(wù)協(xié)同、社會管理、公共服務(wù)、應(yīng)急聯(lián)動等面向社會服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)，主要滿足中央和各級地方對口政務(wù)部門之間信息縱向傳輸、匯聚及各級政務(wù)部門之間、政務(wù)部門與公眾、企業(yè)之間信息交換與共享的需求，與互聯(lián)網(wǎng)安全連接，支持各級政務(wù)部門面向社會的門戶網(wǎng)站。

雖然電子政務(wù)內(nèi)網(wǎng)、電子政務(wù)專網(wǎng)、電子政務(wù)外網(wǎng)三張網(wǎng)絡(luò)之間完全物理隔離，且各自運行的業(yè)務(wù)系統(tǒng)也有了明確的定義，但是三張網(wǎng)絡(luò)建設(shè)使用的主要技術(shù)手段和面臨的主要問題是一致的。因此，我們以電子政務(wù)外網(wǎng)為例闡述華為公司的電子政務(wù)解決方案。之所以選擇電子政務(wù)外網(wǎng)，是因為只有電子政務(wù)外網(wǎng)需要和互聯(lián)網(wǎng)進(jìn)行安全的連接，且電子政務(wù)外網(wǎng)上業(yè)務(wù)系統(tǒng)之間的關(guān)系最為復(fù)雜。

政務(wù)外網(wǎng)需求分析

?

基礎(chǔ)網(wǎng)絡(luò)要求

電子政務(wù)外網(wǎng)的建設(shè)模式相對比較固定，從上至下分為國家電子政務(wù)外網(wǎng)、省電子政務(wù)外網(wǎng)、市電子政務(wù)外網(wǎng)、區(qū)縣電子政務(wù)外網(wǎng)四級。每一級電子政務(wù)外網(wǎng)對網(wǎng)絡(luò)的要求是不同的，進(jìn)而對設(shè)備性能及功能要求各不相同。

?

業(yè)務(wù)互訪要求

電子政務(wù)外網(wǎng)作為統(tǒng)一的網(wǎng)絡(luò)承載平臺，將接入不同的政府各級部門，形成在統(tǒng)一網(wǎng)絡(luò)平臺上的邏輯虛擬專網(wǎng)，各構(gòu)建統(tǒng)一、安全、易管理的協(xié)同電子政務(wù)平臺虛擬專網(wǎng)之間需要安全隔離。同時，因為協(xié)同型電子政務(wù)應(yīng)用系統(tǒng)的不斷發(fā)展，又要求相互隔離的虛擬專網(wǎng)之間能夠進(jìn)行部分?jǐn)?shù)據(jù)交互和資源共享。此外，還涉及虛擬專網(wǎng)用戶對公共資源的訪問，對互聯(lián)網(wǎng)的訪問等等。所以，電子政務(wù)外網(wǎng)上存在非常復(fù)雜的業(yè)務(wù)互訪需求，而且對互訪需要強(qiáng)大靈活的控制手段。

?

網(wǎng)絡(luò)安全要求

目前，很多電子政務(wù)網(wǎng)解決方案缺乏整體的安全規(guī)劃，多是網(wǎng)絡(luò)安全設(shè)備的簡單堆砌，僅僅能解決局部的、特定的安全隱患，例如通過防火墻抵御外部發(fā)起的攻擊、通過IDS檢測入侵行為等等。目前解決這些安全問題的方式往往是事后的亡羊補(bǔ)牢，還無法做到早期的預(yù)防、檢測以及整網(wǎng)聯(lián)動的智能主動防御。

?

綜合管理要求

電子政務(wù)外網(wǎng)規(guī)模較大，承載的業(yè)務(wù)會越來越多，因此對網(wǎng)絡(luò)的管理功能提出了很高的要求。而且這種網(wǎng)絡(luò)管理不僅僅局限于對網(wǎng)絡(luò)設(shè)備的管理，更多是要求對網(wǎng)絡(luò)資源的管理和調(diào)配，進(jìn)而能夠更好地支撐上層業(yè)務(wù)系統(tǒng)的正常運行。

華為公司電子政務(wù)外網(wǎng)解決方案簡介

?

基礎(chǔ)網(wǎng)絡(luò)解決方案

電子政務(wù)外網(wǎng)作為電子政務(wù)外網(wǎng)骨干，負(fù)責(zé)連接各下級電子政務(wù)外網(wǎng)，整網(wǎng)包括核心城域網(wǎng)、廣域骨干網(wǎng)、互聯(lián)網(wǎng)出口、核心網(wǎng)絡(luò)管理中心、地市接入網(wǎng)、各部委局署接入網(wǎng)等幾個重要部分。

其中，核心城域網(wǎng)的規(guī)劃簡單如下：核心以路由器組網(wǎng)為主，傳輸帶寬采用2.5G，為加快核心層數(shù)據(jù)轉(zhuǎn)發(fā)和保護(hù)關(guān)鍵數(shù)據(jù)，大都采用環(huán)網(wǎng)技術(shù)，即租用電信運營商的SDH設(shè)備和傳輸線路，將核心設(shè)備進(jìn)行環(huán)形連接；也可以只租用裸光纖線路，采用RPR（彈性分組環(huán)）環(huán)網(wǎng)技術(shù)進(jìn)行環(huán)形組網(wǎng)。從技術(shù)先進(jìn)性和便于維護(hù)的角度來看，城域網(wǎng)核心大多采用RPR來建設(shè)?？蛇x用了多臺華為公司的Quidway? NetEngine 80E核心路由器組成一個2.5G的RPR環(huán)；匯聚層設(shè)備可以采用路由器（支持E1接入）也可以采用交換機(jī)（支持GE/FE接入），匯聚層設(shè)備要求支持MPLS VPN，能夠承擔(dān)PE的功能并且需要支持NAT多實例功能，以支持不同接入用戶在地址重疊的情況下能夠通過NAT多實例功能翻譯成不同的地址。匯聚層可選用華為公司的Quidway? NetEngine 40/40E核心路由器，也可采用華為公司Quidway? S8500高端交換機(jī)。一般來說，如果數(shù)據(jù)流量模型以縱向為主，那么建議選用路由器，如果以橫向交互數(shù)據(jù)流居多，則選用交換機(jī)。

廣域骨干網(wǎng)路由設(shè)備要求支持MPLS VPN（MPLS VPN 是目前電子政務(wù)外網(wǎng)建設(shè)中最常使用的邏輯虛擬專網(wǎng)劃分技術(shù)手段）和QOS（端到端服務(wù)質(zhì)量保證是電子政務(wù)外網(wǎng)建設(shè)中的基本需求）功能。從可靠性角度考慮，廣域骨干網(wǎng)路由設(shè)備應(yīng)支持關(guān)鍵部件全冗余配置以及NSF（不間斷路由轉(zhuǎn)發(fā)）和GR（平滑重啟）功能。從接口上看，廣域骨干網(wǎng)路由設(shè)備應(yīng)支持2.5G/155M CPOS，GE/FE 等接口。廣域骨干網(wǎng)可選用華為公司的Quidway? NetEngine 40/40E核心路由器，租用運營商GE或者SDH 155M接口與核心城域網(wǎng)匯聚層的設(shè)備相連。這種組網(wǎng)模式示意圖如下：

?圖一：某電子政務(wù)外網(wǎng)組網(wǎng)示意圖

業(yè)務(wù)互訪解決方案

電子政務(wù)外網(wǎng)作為統(tǒng)一的網(wǎng)絡(luò)平臺將接入眾多的政務(wù)部門，各政務(wù)部門之間需要相互隔離以及靈活的受控互訪，電子政務(wù)外網(wǎng)上將形成復(fù)雜的互訪關(guān)系。以下圖示意。

圖二：電子政務(wù)外網(wǎng)業(yè)務(wù)互訪關(guān)系示意圖

根據(jù)各自實現(xiàn)的功能不同，將電子政務(wù)外網(wǎng)分為三個獨立的功能區(qū)：縱向業(yè)務(wù)區(qū)、公眾服務(wù)區(qū)、資源共享區(qū)?？v向業(yè)務(wù)區(qū)是各個縱向政府部門在電子政務(wù)外網(wǎng)上劃分出來的虛擬邏輯專網(wǎng)，負(fù)責(zé)傳送各政府部門自身的業(yè)務(wù)數(shù)據(jù)，彼此之間嚴(yán)格安全隔離。公眾服務(wù)區(qū)是電子政務(wù)外網(wǎng)上劃分出的對公眾服務(wù)的部分，包括各類WEB/FTP公眾服務(wù)器。資源共享區(qū)是電子政務(wù)外網(wǎng)內(nèi)部各縱向業(yè)務(wù)系統(tǒng)之間需要共享和交互的數(shù)據(jù)。三者之間的互訪關(guān)系如上圖所示，縱向業(yè)務(wù)區(qū)用戶具有最高訪問權(quán)限，可以訪問公眾服務(wù)區(qū)（提取公眾需求），可以訪問資源共享區(qū)（用于各縱向業(yè)務(wù)區(qū)用戶之間交互數(shù)據(jù)），可以訪問INTERNET（資料查詢等）。資源共享區(qū)具有次高訪問權(quán)限，不能訪問縱向業(yè)務(wù)區(qū)，但可以訪問公眾服務(wù)區(qū)（提取公眾需求）。公眾服務(wù)器區(qū)訪問權(quán)限最低，只能和INTERNET進(jìn)行交互，不能進(jìn)入縱向業(yè)務(wù)區(qū)也不能進(jìn)入資源共享區(qū)。所有業(yè)務(wù)訪問關(guān)系在技術(shù)上是通過MPLS VPN來實現(xiàn)的。

我們以縱向業(yè)務(wù)系統(tǒng)為例說明其如何實現(xiàn)對其余區(qū)域的訪問

（1）縱向業(yè)務(wù)系統(tǒng)對互聯(lián)網(wǎng)和公眾服務(wù)區(qū)的訪問

圖三：縱向業(yè)務(wù)系統(tǒng)對互聯(lián)網(wǎng)和公眾服務(wù)區(qū)的訪問示意圖

縱向業(yè)務(wù)系統(tǒng)對互聯(lián)網(wǎng)和公眾服務(wù)區(qū)的訪問都需要做NAT，可能在PE上，也可能在用戶的接入防火墻上。通過NAT，將用戶的私網(wǎng)地址翻譯成電子政務(wù)外網(wǎng)統(tǒng)一分配的地址，以這個地址實現(xiàn)對公眾服務(wù)區(qū)（公眾服務(wù)器同樣分配電子政務(wù)外網(wǎng)地址）訪問和對互聯(lián)網(wǎng)的訪問。在訪問互聯(lián)網(wǎng)時可能需要在出口設(shè)備上將電子政務(wù)外網(wǎng)地址二次翻譯成ISP地址，這要視具體實現(xiàn)方式而定。某縱向業(yè)務(wù)系統(tǒng)接入的PE設(shè)備（如工商系統(tǒng)接入的PE）需要設(shè)置靜態(tài)路由指向其余業(yè)務(wù)系統(tǒng)（如稅務(wù)）接入的PE設(shè)備地址，以直接訪問其余業(yè)務(wù)系統(tǒng)（如稅務(wù)）對外發(fā)布的公眾服務(wù)器（如WEB服務(wù)器），同時需要設(shè)置缺省路由指向互聯(lián)網(wǎng)出口PE。

（2）縱向業(yè)務(wù)系統(tǒng)對共享資源區(qū)的訪問

縱向業(yè)務(wù)系統(tǒng)對共享資源區(qū)的訪問并不是縱向業(yè)務(wù)系統(tǒng)用戶直接訪問共享資源區(qū)，而是通過前置機(jī)的方式訪問?？v向業(yè)務(wù)系統(tǒng)（如工商）將自己需要和其余縱向業(yè)務(wù)系統(tǒng)（如稅務(wù)）交互的數(shù)據(jù)通過安全的方式（如網(wǎng)閘）由內(nèi)部服務(wù)器導(dǎo)入到前置機(jī)上。所有縱向業(yè)務(wù)系統(tǒng)的前置機(jī)自己成為一個單獨的VPN，共享資源區(qū)成為一個共享VPN，共享VPN可以和所有縱向業(yè)務(wù)系統(tǒng)前置機(jī)VPN實現(xiàn)互通，實現(xiàn)邏輯星型連接，此方式下數(shù)據(jù)流模型為集中式。也可采用分布式數(shù)據(jù)流模型，所有縱向業(yè)務(wù)系統(tǒng)前置機(jī)VPN根據(jù)應(yīng)用系統(tǒng)要求通過RT值控制直接進(jìn)行互訪以交互數(shù)據(jù)。兩種方式視具體情況和要求而定。

?

安全滲透解決方案

安全滲透網(wǎng)絡(luò)的核心理念是將安全滲透到網(wǎng)絡(luò)的角角落落。安全不再是安全產(chǎn)品的簡單堆砌，而是整體全面的安全規(guī)劃以及全網(wǎng)設(shè)備的安全聯(lián)動。安全滲透網(wǎng)絡(luò)包括三個部分：端點安全、威脅抵御、基礎(chǔ)安全功能。

（1）端點安全

目前的電子政務(wù)網(wǎng)絡(luò)建設(shè)中，建設(shè)者們往往重視來自于網(wǎng)絡(luò)外部的攻擊或者病毒，通常采取在網(wǎng)絡(luò)出口設(shè)置防火墻的方式來抵御外部的威脅。但建設(shè)者們卻往往忽略了來自網(wǎng)絡(luò)內(nèi)部的攻擊和病毒，認(rèn)為網(wǎng)絡(luò)內(nèi)部的用戶都是可信任用戶，結(jié)果正是這一點成為網(wǎng)絡(luò)安全最為薄弱的環(huán)節(jié)。因為電子政務(wù)網(wǎng)內(nèi)部任何一臺用戶終端的安全狀態(tài)（主要是指終端的防病毒能力、補(bǔ)丁級別和系統(tǒng)安全設(shè)置）都將直接影響到整個網(wǎng)絡(luò)的安全。如果某臺終端感染了病毒，它將不斷在網(wǎng)絡(luò)中試圖尋找下一個受害者，并使其感染，在一個沒有對內(nèi)部用戶進(jìn)行有效安全防護(hù)的電子政務(wù)網(wǎng)絡(luò)中，最終的結(jié)果可能是全網(wǎng)癱瘓。所以，加強(qiáng)對電子政務(wù)網(wǎng)內(nèi)部用戶的管理和控制是解決電子政務(wù)網(wǎng)安全漏洞的重要手段。華為公司的安全解決方案通過安全客戶端、安全策略服務(wù)器、接入設(shè)備以及防病毒軟件聯(lián)動，可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險”終端對網(wǎng)絡(luò)安全損害，避免“易感”終端受病毒、蠕蟲的攻擊。

（2）威脅抵御

針對惡意的攻擊行為進(jìn)行深度檢測，并通過安全設(shè)備和網(wǎng)絡(luò)設(shè)備的安全聯(lián)動策略來控制攻擊行為。一個黑客發(fā)起了攻擊，網(wǎng)絡(luò)設(shè)備會將這種攻擊行為的數(shù)據(jù)轉(zhuǎn)發(fā)到安全設(shè)備，安全設(shè)備將數(shù)據(jù)上報給管理中心，管理中心通過分析，確認(rèn)這是一個攻擊行為，并下發(fā)針對這一攻擊行為的安全策略給安全設(shè)備。安全設(shè)備將這一安全策略轉(zhuǎn)發(fā)給網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備就會按照安全策略阻止后續(xù)攻擊。

（3）基礎(chǔ)安全功能

將安全功能和安全設(shè)備天然的融合到網(wǎng)絡(luò)設(shè)備中，如在路由器上提供防火墻功能和VPN功能。使安全策略更加易于控制和部署。

?

綜合管理解決方案

電子政務(wù)外網(wǎng)由于面向用戶眾多，設(shè)備分布區(qū)域較大，因此網(wǎng)絡(luò)的管理就非常的重要。華為公司提供強(qiáng)大的網(wǎng)絡(luò)設(shè)備管理軟件，實現(xiàn)正常的網(wǎng)絡(luò)管理功能外，在故障管理和配置管理上更加人性化，滿足管理人員的實際需求。

除了設(shè)備管理軟件之外，華為公司還提供MPLS VPN業(yè)務(wù)管理軟件，通過圖形化簡單的操作實現(xiàn)對復(fù)雜VPN網(wǎng)絡(luò)的輕松管理和資源調(diào)度。MPLS VPN管理軟件同時支持MPLS L2/L3 VPN，可以同時管理BGP/MPLS VPN（RFC 2547bis）、MPLS L2 VPN（VPLS、Martini、Kompella），實現(xiàn)了“多種VPN業(yè)務(wù)，單點集中運維”的需求，降低管理成本，提高工作效率。

MPLS VPN管理軟件采用直觀的業(yè)務(wù)規(guī)劃，使用圖形化、向?qū)Щ姆绞?，幫助管理員快速完成VPN業(yè)務(wù)規(guī)劃，并可直觀的進(jìn)行“業(yè)務(wù)預(yù)覽”，即在業(yè)務(wù)尚未部署到設(shè)備之前，就可在業(yè)務(wù)管理系統(tǒng)中看到業(yè)務(wù)實施后的效果（如VPN拓?fù)浣Y(jié)構(gòu)、VPN內(nèi)各站點間邏輯連接關(guān)系），避免業(yè)務(wù)規(guī)劃過程中人為的錯誤。

MPLS VPN管理軟件提供多種有效的業(yè)務(wù)監(jiān)控手段，從而保證VPN業(yè)務(wù)質(zhì)量：VPN配置審計、VPN連通性審計、端到端的網(wǎng)絡(luò)性能（時延、丟包、抖動）監(jiān)控、圖形化的流量/ 帶寬利用率監(jiān)控、智能的業(yè)務(wù)告警分析，幫助管理員快速排障、及時了解業(yè)務(wù)狀況。

能夠提供完善的客戶管理機(jī)制，可以維護(hù)VPN客戶的各種信息，并提供豐富的客戶業(yè)務(wù)租用報表、資源租用報表、性能數(shù)據(jù)報表、流量數(shù)據(jù)報表和故障數(shù)據(jù)報表等，便于管理員有效的管理VPN 客戶。

完善的系統(tǒng)安全提供靈活的用戶分權(quán)策略（可按照對象＋操作給用戶授權(quán)），方便用戶按照管理員實際業(yè)務(wù)職責(zé)來分權(quán)；提供簡便易用的數(shù)據(jù)庫備份工具，簡化系統(tǒng)管理員數(shù)據(jù)備份的工作；提供Watchman異地雙機(jī)備份組件，保證系統(tǒng)的高可用性；提供詳盡的用戶操作日志記錄、任務(wù)操作日志記錄，便于事后跟蹤。

靈活的拓?fù)涮峁┴S富的網(wǎng)絡(luò)拓?fù)滹@示視圖：網(wǎng)絡(luò)視圖（PECE之間的連接關(guān)系）、客戶視圖（CE-CE 之間連接管理）、VPN視圖（每個VPN顯示為一個節(jié)點）功能，并提供放大、縮小、定位節(jié)點、鳥瞰圖、節(jié)點搜索、多選等操作；并可按照客戶、VPN過濾、AS、VPN類型等過濾顯示；對于VPN內(nèi)節(jié)點數(shù)目較大、之間的邏輯鏈接過多提供更細(xì)節(jié)的過濾顯示功能；拓?fù)淠軌蚍从硺I(yè)務(wù)實際運行狀態(tài)。

總結(jié)

華為公司在深入理解電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)上，分析了電子政務(wù)網(wǎng)絡(luò)建設(shè)中存在的一系列問題，并針對性地提出解決方案。這是華為公司承建眾多電子政務(wù)網(wǎng)絡(luò)建設(shè)工程后的寶貴經(jīng)驗的積累。

華為公司電子政務(wù)解決方案的支撐技術(shù)

強(qiáng)大的MPLS VPN技術(shù)

電子政務(wù)網(wǎng)建設(shè)的主要目標(biāo)是：建立一個開放的、基于標(biāo)準(zhǔn)的電子政務(wù)統(tǒng)一網(wǎng)絡(luò)平臺，避免重復(fù)建設(shè)。在電子政務(wù)的統(tǒng)一網(wǎng)絡(luò)平臺之上，實現(xiàn)政府不同部門之間的信息交換和資源共享，面向公眾提供服務(wù)，增強(qiáng)各部門工作的透明度。但是在實現(xiàn)政府不同部門之間的信息交換和資源共享同時，如何保證政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)信息的安全性；如何保證同一行業(yè)不同部門尤其是保密部門業(yè)務(wù)和信息的安全性；如何保證不同行業(yè)之間業(yè)務(wù)和信息的安全性，是政府信息化建設(shè)面臨的不可避免的問題，安全對于政府來說是至關(guān)重要的。MPLS VPN技術(shù)可以很好的解決該問題，通過將各機(jī)關(guān)部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡(luò)，實現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡(luò)，但是在邏輯上卻是相互隔離，從而既可以提高政府辦公的自動化程度及效率，又可以保障各部門系統(tǒng)內(nèi)數(shù)據(jù)不被其他人訪問，滿足了政府辦公的安全需求。MPLS VPN技術(shù)作為一項有效的隔離技術(shù)，在靈活性、可擴(kuò)展性、易開展性等方面具有很強(qiáng)的優(yōu)勢，目前已經(jīng)成為電子政務(wù)網(wǎng)絡(luò)建設(shè)的主要支撐技術(shù)之一。

針對MPLS VPN技術(shù)的理解和實際部署經(jīng)驗，華為采用了中國首個為IETF采納的數(shù)據(jù)通信標(biāo)準(zhǔn)草案HOPE(注：HOPE全稱是：Hiberarchy Of PE，即分層PE技術(shù)。HOPE是華為公司專有技術(shù)，2002年初正式向IETF提交并且獲得國際電聯(lián)專家委員會大力推薦的RFC國際技術(shù)標(biāo)準(zhǔn)草案。)，標(biāo)志著MPLS VPN大規(guī)模商業(yè)部署的技術(shù)條件已經(jīng)成熟。HOPE通過引入UPE和SPE等角色和新構(gòu)建流程的方式解決了邊緣網(wǎng)絡(luò)設(shè)備對MPLS VPN和路由協(xié)議支持的性能等系列問題，將MPLS VPN的良好支持范圍覆蓋到了全線高端路由器、交換機(jī)甚至華為公司系列中低端路由器上，這成為我們選擇MPLS VPN技術(shù)體系作為電子政務(wù)網(wǎng)支撐技術(shù)的重要依據(jù)。結(jié)合HOPE 的MPLS VPN技術(shù)為新一代網(wǎng)絡(luò)系統(tǒng)提供了一個硬件平臺下構(gòu)建多個縱向業(yè)務(wù)網(wǎng)絡(luò)的有效途徑。不同業(yè)務(wù)類別、應(yīng)用區(qū)域從網(wǎng)絡(luò)層就開始的完全“獨立布設(shè)”使得網(wǎng)絡(luò)安全的部署更加簡明和堅固。(注：在分層PE的結(jié)構(gòu)中直接連結(jié)用戶的設(shè)備稱為下層PE“Underlayer PE”或“User-end PE”，即用戶側(cè)PE，簡寫為UPE，連結(jié)UPE并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱為上層PE“Superstratum PE”或“Sevice Provider-end PE”，即服務(wù)網(wǎng)絡(luò)側(cè)PE，簡寫為SPE。)

華為也提供方便的MPLS VPN部署管理軟件—MPLS VPN MANAGER，使華為公司的MPLS提供能力位于業(yè)界的最高水平。

華為網(wǎng)絡(luò)設(shè)備在MPLS VPN的支持能力上經(jīng)過了多家第三方權(quán)威機(jī)構(gòu)的測試，并且在目前國內(nèi)政府行業(yè)、金融行業(yè)、教育行業(yè)及運營商的網(wǎng)絡(luò)上有大量的商用以及與其他廠商設(shè)備的互通實例。作為業(yè)界少數(shù)幾家能提供整網(wǎng)MPLS VPN技術(shù)的廠商之一，華為公司致力在電子政務(wù)建設(shè)中提供基于MPLS VPN技術(shù)的網(wǎng)絡(luò)受控互訪與安全隔離解決方案。

先進(jìn)的可控組播技術(shù)

政府有進(jìn)行多媒體培訓(xùn)的需求、有開展網(wǎng)上會議直播的時候，組播技術(shù)必不可少。但從目前業(yè)界的標(biāo)準(zhǔn)組播模型來看，是無法實現(xiàn)對組播源和組播用戶進(jìn)行有效控制的，也就是說無法防止非法用戶和無法防止非法組播源，這對于政府開展網(wǎng)上培訓(xùn)和會議直播無疑在安全性和可靠性方面都存在問題。根據(jù)政府網(wǎng)的實際現(xiàn)狀，華為公司提出利用設(shè)備和業(yè)務(wù)管理系統(tǒng)配合在組播源和組播用戶加入前對兩者進(jìn)行認(rèn)證，以實現(xiàn)可控制的組播業(yè)務(wù)。

高效的可擴(kuò)展彈性網(wǎng)絡(luò)技術(shù)

在構(gòu)建政務(wù)網(wǎng)絡(luò)應(yīng)用平臺的過程中，除了廣域網(wǎng)的建設(shè)之外，政府辦公區(qū)域的局域網(wǎng)建設(shè)量也是非常大的，而且隨著局域網(wǎng)絡(luò)的不斷擴(kuò)展，如何多快好省地建設(shè)電子政務(wù)網(wǎng)絡(luò)平臺也面臨著不小的挑戰(zhàn)。

華為公司eXpandable Resilient Netwoking(XRN)可擴(kuò)展彈性網(wǎng)絡(luò)技術(shù)在建設(shè)政府的樓宇局域網(wǎng)、大型樓宇和園區(qū)網(wǎng)絡(luò)的骨干核心和網(wǎng)絡(luò)匯聚層以及大型園區(qū)網(wǎng)絡(luò)的過程中，不僅可以通過設(shè)備控制和調(diào)控各業(yè)務(wù)的享用帶寬，利用帶寬控制技術(shù)，為語音和數(shù)據(jù)等不同的業(yè)務(wù)提供不同優(yōu)先級服務(wù)，保證整個網(wǎng)絡(luò)的可用性；同時可以通過分步式的網(wǎng)絡(luò)建設(shè)提供更高效的電子政務(wù)建網(wǎng)方案, 實現(xiàn)整個網(wǎng)絡(luò)的高性能按需構(gòu)建，能夠提供性能靈活出色、性價比高的網(wǎng)絡(luò)。

圖1：基于XRN技術(shù)的高效率彈性局域網(wǎng)絡(luò) 圖1是演示如何利用XRN技術(shù)構(gòu)建政府局域網(wǎng)方案，XRN技術(shù)構(gòu)成的網(wǎng)絡(luò)核心冗余方案采用分布式路由技術(shù)完成路由交換冗余，采用分布式鏈路聚合技術(shù)完成第二層主干上連冗余。通過協(xié)同工作，可以智能分配網(wǎng)絡(luò)流量，必要時在冗余點之間形成負(fù)載共享。分布式設(shè)備管理技術(shù)，使得冗余系統(tǒng)幾乎不需要增加額外的系統(tǒng)配置管理負(fù)擔(dān)和用戶的投資，即增強(qiáng)網(wǎng)絡(luò)的可靠性，又?jǐn)U展網(wǎng)絡(luò)核心的整體性能，而同時網(wǎng)絡(luò)管理簡單易行，有效減低管理成本和管理風(fēng)險，一舉而三得。

第二篇：電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、政府機(jī)關(guān)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國際性和自由性在增加應(yīng)用自由度的同時，對安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡(luò)規(guī)劃

各級網(wǎng)絡(luò)

利用現(xiàn)有線路及網(wǎng)絡(luò)進(jìn)行完善擴(kuò)充，建成互聯(lián)互通、標(biāo)準(zhǔn)統(tǒng)一、結(jié)構(gòu)簡單、功能完善、安全可靠、高速實用、先進(jìn)穩(wěn)定的級別分明卻又統(tǒng)一的網(wǎng)絡(luò)。數(shù)據(jù)中心

建設(shè)集中的數(shù)據(jù)中心，對所有的信息資源、空間、信用等數(shù)據(jù)進(jìn)行集中存放、集中管理。為省及各市部門、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機(jī)房、安全管理與維護(hù)。網(wǎng)絡(luò)總體結(jié)構(gòu)

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國家緊密聯(lián)系的，所涉及信息可以說都帶有機(jī)密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計算機(jī)病毒等。都將對政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計。

所謂電子政務(wù)就是政府機(jī)構(gòu)運用現(xiàn)代計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時實現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時間、空間和部門分隔的制約，向全社會提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。

實現(xiàn)電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時代“一站式”的政府辦公模式，建立了適應(yīng)網(wǎng)絡(luò)時代的“一網(wǎng)式”和“一表式”的新模式，開辟了推動社會信息化的新途徑，創(chuàng)造了政府實施產(chǎn)業(yè)政策的新手段。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運作效率。

圖示：原有電子政務(wù)網(wǎng)絡(luò)情況

電子政務(wù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接方式多樣，由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，無論是有意的攻擊，還是無意的誤操作，都將會給系統(tǒng)帶來不可估量的損失。非法進(jìn)入的攻擊者可能竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫的信息；還可以篡改數(shù)據(jù)庫內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點等等。

因此在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)以確保網(wǎng)絡(luò)信息的安全可靠是非常必要的。

物理安全風(fēng)險分析

網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險主要有： ◆地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅；

◆電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失； ◆設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。鏈路傳輸風(fēng)險分析

網(wǎng)絡(luò)安全不僅是入侵者到政府機(jī)關(guān)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來破壞數(shù)據(jù)的完整性；以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。因此，對于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。并通過數(shù)字簽名及認(rèn)證技術(shù)來保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸嵭?、機(jī)密性、可靠性及完整性。

遠(yuǎn)程辦公安全接入 目前，政府網(wǎng)絡(luò)應(yīng)用環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應(yīng)用服務(wù)，又有眾多面向下屬單位、合作伙伴等對外的應(yīng)用。如何地有效解決遠(yuǎn)程用戶安全訪問網(wǎng)絡(luò)內(nèi)部資源？

虛擬專用網(wǎng)技術(shù)(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。政府機(jī)關(guān)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴(kuò)展性強(qiáng)、便于管理和實現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動態(tài)組成的，是通過私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點到點的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實際的長途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個最符合自己需求的網(wǎng)絡(luò)。根據(jù)國家有關(guān)規(guī)定，政府網(wǎng)絡(luò)可以通過現(xiàn)有公有平臺搭建自己的內(nèi)部網(wǎng)絡(luò)，但必須通過認(rèn)證和加密技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，但它沒有很強(qiáng)的訪問控制功能，例如狀態(tài)包過濾、網(wǎng)絡(luò)內(nèi)容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下，防火墻無法對VPN的數(shù)據(jù)流量進(jìn)行任何訪問控制，由此帶來安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN是當(dāng)前安全產(chǎn)品的發(fā)展趨勢，能提供一個靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點是，它可以保證加密的流量在解密后，同樣需要經(jīng)過嚴(yán)格的訪問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此，當(dāng)前VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。

政府機(jī)關(guān)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實現(xiàn)兩個或多個政府機(jī)關(guān)之間跨越因特網(wǎng)的政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)連接，實現(xiàn)了安全的政府機(jī)關(guān)內(nèi)部的數(shù)據(jù)通信。通過防火墻內(nèi)部策略控制體系，對VPN的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使政府機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。

圖示：政府機(jī)關(guān)Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過加密封裝在另外一個IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強(qiáng)度的、動態(tài)變換的密鑰來保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級別的安全防御體系，使政府機(jī)關(guān)的內(nèi)部數(shù)據(jù)可以無憂地在公網(wǎng)上傳輸，以達(dá)到政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。

網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析

（一）來自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開放性、國際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。因為，每天黑客都在試圖闖入Internet節(jié)點，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。

假如內(nèi)部網(wǎng)絡(luò)的一臺機(jī)器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來自外部網(wǎng)絡(luò)不懷好意的入侵者的攻擊。如：

入侵者通過Sniffer等程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。

入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

系統(tǒng)的安全風(fēng)險分析

所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應(yīng)用上，系統(tǒng)的安全程度跟對其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。

如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間。因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小做出相應(yīng)的安全解決方案。

應(yīng)用的安全風(fēng)險分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。

（一）資源共享

政府網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件、打印機(jī)共享等。由此就可能存在著：員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可通過拔號或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會，給系統(tǒng)帶來不安全因素。

病毒侵害

自從1983年世界上第一個計算機(jī)病毒出現(xiàn)以來，在20多年的時間里，計算機(jī)病毒已到了無孔不入的地步，有些甚至給我們造成了巨大的破壞。

隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計算機(jī)之間的遠(yuǎn)程控制越來越方便，傳輸文件也變得非?？旖?，正因為如此，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。病毒的傳播可能會具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識越來越容易獲得。同時，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個具有極強(qiáng)殺傷力的病毒程序。用戶通過網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過簡單的操作就可以生成破壞性的病毒。

網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對政府行業(yè)來說尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取，篡改?，F(xiàn)今很多先進(jìn)技術(shù)，黑客或一些工業(yè)間諜會通過一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對政府行業(yè)用戶來說，是決不允許的。

管理的安全風(fēng)險分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。

機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來去自由。存有惡意的入侵者便有機(jī)會得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險。

管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。即除了從技術(shù)上下功夫外，還得依靠安全管理來實現(xiàn)。

防火墻系統(tǒng)設(shè)計方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡(luò)出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進(jìn)行訪問控制的功能。通過防火墻的多網(wǎng)口結(jié)構(gòu)設(shè)計，控制授權(quán)合法用戶可以訪問到授權(quán)服務(wù)，而限制非授權(quán)的訪問。曙光天羅防火墻分為百兆和千兆兩個系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計異常的入侵檢測功能，實現(xiàn)了可擴(kuò)展的攻擊檢測庫，真正實現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊，可以自動檢測網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調(diào)整控制規(guī)則，為整個網(wǎng)絡(luò)提供動態(tài)的網(wǎng)絡(luò)保護(hù)。

3、利用曙光天羅防火墻自帶的VPN功能，實現(xiàn)多級VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠(yuǎn)程訪問虛擬網(wǎng)(撥號VPN)和政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級網(wǎng)絡(luò)出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實現(xiàn)他們之間分層次的政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對網(wǎng)關(guān)VPN)；而對于一些規(guī)模比較小的區(qū)線或移動用戶，通過安裝VPN客戶端，實現(xiàn)遠(yuǎn)程訪問虛擬網(wǎng)(撥號VPN)，整個構(gòu)成一個安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價格優(yōu)勢的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務(wù)對象減少對昂貴租用線路和復(fù)雜遠(yuǎn)程訪問方案的依賴性。

也是至關(guān)重要的一點，它可以使移動用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開銷減少達(dá)50%或更多；

政府機(jī)關(guān)新增的分支機(jī)構(gòu)或站點可以非常迅速方便地加入政府機(jī)關(guān)已建的基于VPN的INTRANET，所以VPN的可擴(kuò)展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機(jī)關(guān)INTRANET的技術(shù)手段，如點對點專線或長途撥號；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機(jī)會，包括：進(jìn)行全球電子商務(wù)，可以在減少銷售成本的同時增加銷售量；實現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通勤人員和移動用戶。

在當(dāng)今全球激烈競爭的環(huán)境下，最先實現(xiàn)VPN的政府機(jī)關(guān)將在競爭獲得優(yōu)勢已經(jīng)是不爭的事實，許多政府機(jī)關(guān)也開始紛紛利用經(jīng)濟(jì)有效的VPN來傳送話音業(yè)務(wù)，并從中受益：

◆ 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費用，簡化網(wǎng)絡(luò)； ◆ 實現(xiàn)本地?fù)芴柦尤氲墓δ軄砣〈h(yuǎn)距離接入，這樣能顯著降低遠(yuǎn)距離通信的費用； ◆ 遠(yuǎn)端驗證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；

◆ 將工作重心從管理和保留運作撥號網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來； ◆ 強(qiáng)大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源；

◆ 極大的可擴(kuò)展性，簡便地對加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。用戶不需改變網(wǎng)絡(luò)的原來架構(gòu)，只須安裝客戶端軟件并且設(shè)置此軟件的一些參數(shù)即可。同時也支持傳統(tǒng)的應(yīng)用，可以從小的政府機(jī)關(guān)擴(kuò)展到最大的政府機(jī)關(guān)；

◆ 更大的網(wǎng)絡(luò)靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進(jìn)入同一Internet連接。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點（簡單和低成本），必將成為未來傳輸完全匯聚業(yè)務(wù)的主要工具。

用戶可以通過硬件和軟件的方式來實現(xiàn)VPN功能，一般用戶都會使用硬件設(shè)備。在總部架設(shè)一個帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個最大的優(yōu)點是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡(luò)的安全性。

防火墻對服務(wù)器的保護(hù)

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為“黑客”攻擊的突破口，因此，在實施方案時要對服務(wù)器的安全進(jìn)行一系列安全保護(hù)。

如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對外服務(wù)，就會面臨著“黑客”各種方式的攻擊，安全級別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測。只有訪問服務(wù)器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

（四）防火墻對內(nèi)網(wǎng)的保護(hù)

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，我們必須要對它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點。

對于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時。一般內(nèi)部用戶對于網(wǎng)絡(luò)安全防范的意識不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無法避免地遭到損害，特別是針對于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴(yán)重破壞。

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化和網(wǎng)絡(luò)應(yīng)用的多樣化日益明顯，對于內(nèi)部網(wǎng)絡(luò)除了必要的防攻擊設(shè)置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡(luò)連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡(luò)服務(wù)的機(jī)會、方法很多，如果沒有專門的安全防護(hù)，“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊（CRACK），對于內(nèi)部網(wǎng)絡(luò)的用戶，防范攻擊的難度較大。我們主要從以下幾個方面考慮：

1)內(nèi)部網(wǎng)絡(luò)風(fēng)險分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡(luò)的安全隱患，把可能發(fā)生的不安定因素找出來進(jìn)行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡(luò)和網(wǎng)絡(luò)的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務(wù)器放在專門的區(qū)域，加上獨立的控制體系，對于內(nèi)部網(wǎng)的訪問同樣要進(jìn)行相應(yīng)的安全控制；

3)內(nèi)部網(wǎng)絡(luò)安全保護(hù)：結(jié)合物理層和鏈路層的特點，在物理層和鏈路層的接口處實施安全控制，實施IP/MAC綁定。

IDS詳述

IDS（入侵檢測系統(tǒng)）對于關(guān)心網(wǎng)絡(luò)安全防護(hù)的人們來說已不再是一個陌生的名詞，在許多行業(yè)的計算機(jī)網(wǎng)絡(luò)安全防御工程中除了采用防病毒、防火墻或認(rèn)證加密等系統(tǒng)外，有近15%的安全項目會涉及到IDS系統(tǒng)，而且這些項目一般都對安全等級的要求非常高，對數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對它進(jìn)行合理部署。通常IDS監(jiān)控保護(hù)的基本單位是一個網(wǎng)段，單個網(wǎng)段的最小組成元素是各臺主機(jī)，政府機(jī)關(guān)對各主機(jī)、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護(hù)對象是合理使用IDS的關(guān)鍵。

在優(yōu)先保護(hù)的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測策略，而在防火墻之外部署則可采用較為寬松的策略，因為經(jīng)過防火墻過濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對比較簡單，而外部的情況則較為復(fù)雜，誤報的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機(jī)也可能會觸發(fā)IDS的檢測引擎，從而形成報警，而對于用戶來說，這些報警事件是沒有什么參考價值的，所以需要在檢測范圍中排除這些主機(jī)的IP地址；通常IDS系統(tǒng)中都有一個過濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項，可以允許用戶加入所有他們所信任的主機(jī)IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測技術(shù)來組建，它們的基本原理是對網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫（規(guī)則庫）進(jìn)行匹配比較，如果相符即產(chǎn)生報警或響應(yīng)。這種檢測方式雖然比異常統(tǒng)計檢測技術(shù)要更加精確，但會給IDS帶來較大的負(fù)載，所以需要對檢測策略作進(jìn)一步的調(diào)整和優(yōu)化。具體做法是根據(jù)政府機(jī)關(guān)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測策略（可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等），并對所選的策略進(jìn)行修改，選擇具有參考價值的檢測規(guī)則，而去除一些無關(guān)緊要的選項，如對于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測規(guī)則的定制功能外，還提供了對端口掃描檢測規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機(jī)地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對網(wǎng)絡(luò)上各種非法行為產(chǎn)生報警外還能對一些特定的事件進(jìn)行實時的響應(yīng)，因為只有采取及時的響應(yīng)才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應(yīng)方式是對網(wǎng)絡(luò)中的非法連接進(jìn)行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進(jìn)行監(jiān)控時，不但需要查看它的報警提示，而且需要參考它所提供的實時狀態(tài)信息。因為在網(wǎng)絡(luò)中發(fā)生異常行為時，網(wǎng)絡(luò)中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機(jī)正遭到拒絕服務(wù)攻擊時（DoS或DDoS），網(wǎng)絡(luò)中的數(shù)據(jù)流量便可能會急速上升，這時可以從包流量或字節(jié)流量等實時的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實時狀態(tài)信息還包括當(dāng)前的活動TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價值之一是它能提供事后統(tǒng)計分析，所有安全事件或?qū)徲嬍录男畔⒍紝⒈挥涗浽跀?shù)據(jù)庫中，可以從各個角度來對這些事件進(jìn)行分析歸類，以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢，及時發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問題或漏洞，并可歸納出相應(yīng)的解決方案。

電子政務(wù)整體網(wǎng)絡(luò)安全解決方案

電子政務(wù)系統(tǒng)中存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計一個高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。

各局的局域網(wǎng)計算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到本局的主干交換機(jī)上。由于工作站分布較廣且全部連接，可以通過電子政務(wù)網(wǎng)絡(luò)進(jìn)行相互訪問，服務(wù)器就有可能收到攻擊。因此，必須在各局之間相互進(jìn)行隔離防護(hù)。

如下圖，我們在各局路由器后安裝曙光TLFW千兆防火墻，以有三千用戶在同時上Internet網(wǎng)計算，千兆防火墻的并發(fā)連接超過600,000，完全可以滿足整個網(wǎng)絡(luò)的需求，穩(wěn)定性上也滿足要求。同時，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開來，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務(wù)器對安全性的不同需求，將它們分等級劃分為不同的區(qū)域，并通過詳細(xì)的包過濾規(guī)則制定，將這些服務(wù)器徹底保護(hù)起來，保證它們之間不能跨級別訪問，這樣實現(xiàn)分級的安全性。

通過安裝防火墻，可以實現(xiàn)下列的安全目標(biāo)：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)利用防火墻對來自非內(nèi)部網(wǎng)的服務(wù)請求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務(wù)器上的審計記錄，形成一個完善的審計體系，建立第二條防線； 7)根據(jù)需要設(shè)置流量控制規(guī)則，實現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。下圖是電子政務(wù)網(wǎng)絡(luò)安全解決方案設(shè)計拓?fù)鋱D：

圖示：電子政務(wù)網(wǎng)絡(luò)安全總體拓?fù)?/p>

根據(jù)以上的分析，在整個政府網(wǎng)絡(luò)安全體系中，除了負(fù)責(zé)邊界安全的防火墻設(shè)備以外，還選擇了入侵檢測系統(tǒng)進(jìn)行共同防范，達(dá)到整個系統(tǒng)的高安全性。

同時因為用戶有撥號VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠(yuǎn)程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴(kuò)展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，擁有自行設(shè)計的全中文化WWW管理界面，通過直觀、易用的界面來管理強(qiáng)大、復(fù)雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security Rules）把守網(wǎng)絡(luò)的大門，提供強(qiáng)大的訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、帶寬控制、P2P協(xié)議過濾等功能。

根據(jù)電子政務(wù)的實際需要，充分利用了曙光天羅防火墻的各功能模塊，實現(xiàn)了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡(luò)入侵檢測系統(tǒng)的重點防護(hù)，構(gòu)建了一個整合的動態(tài)安全門戶，以比較經(jīng)濟(jì)實惠的方式，實現(xiàn)了對電子政務(wù)網(wǎng)絡(luò)的整體安全防護(hù)。

第三篇：電子政務(wù)咨詢及解決方案

服務(wù)驅(qū)動、績效導(dǎo)向的電子政務(wù)咨詢服務(wù)與解決方案

一、全面的電子政務(wù)咨詢服務(wù)與解決方案

經(jīng)過近年的建設(shè)，我國的電子政務(wù)已經(jīng)基本完成了基礎(chǔ)設(shè)施的建設(shè)，以及內(nèi)部應(yīng)用的構(gòu)建，目前電子政務(wù)正進(jìn)入全新的發(fā)展階段：從重建設(shè)、輕應(yīng)用向注重深化應(yīng)用轉(zhuǎn)變；從信息網(wǎng)絡(luò)分散建設(shè)向現(xiàn)有資源整合利用轉(zhuǎn)變；從信息系統(tǒng)獨立運行向互聯(lián)互通和資源共享轉(zhuǎn)變；從信息管理偏重自我服務(wù)向注重公共服務(wù)轉(zhuǎn)變。

實現(xiàn)電子政務(wù)建設(shè)根本性的轉(zhuǎn)變，需要將企業(yè)信息化的最佳實踐引入到電子政務(wù)系統(tǒng)中，從設(shè)計、建設(shè)和實施等多個方面改進(jìn)電子政務(wù)的工作。

在架構(gòu)層面。打破已有業(yè)務(wù)和系統(tǒng)之間的界限，從面向公眾服務(wù)的一體化流程、跨部門的協(xié)同工作、以及信息系統(tǒng)互通的要求出發(fā)，設(shè)計符合電子政務(wù)總體框架要求，滿足政府政務(wù)工作持續(xù)變革需求的電子政務(wù)整體設(shè)計。

在服務(wù)與信息資源層面。梳理政府的對外公眾服務(wù)事項、對內(nèi)支撐服務(wù)工作、政務(wù)公開信息目錄，實現(xiàn)信息化提供業(yè)務(wù)支持。

在流程層面。以改進(jìn)政府的服務(wù)效率，改進(jìn)公眾的辦事體驗為目標(biāo)，梳理現(xiàn)有工作流程，減少環(huán)節(jié)，共享信息，通過信息技術(shù)提高流程的運轉(zhuǎn)效率。

在系統(tǒng)層面。打破原有的封閉的、自成體系的業(yè)務(wù)系統(tǒng)，以服務(wù)、協(xié)同、知識管理和信息資源共享，構(gòu)建互連互動、資源共享的跨部門、應(yīng)用的集成化業(yè)務(wù)支撐系統(tǒng)。

長城戰(zhàn)略咨詢提供涵蓋頂層設(shè)計、需求分析和系統(tǒng)實施全面的電子政務(wù)咨詢與系統(tǒng)實施服務(wù)，鼎力支持電子政務(wù)的創(chuàng)新與實踐。

長城戰(zhàn)略咨詢提供的咨詢服務(wù)與解決方案包括：

電子政務(wù)頂層設(shè)計 服務(wù)目錄與資源目錄梳理

需求分析與系統(tǒng)實施咨詢

中心協(xié)作式電子政務(wù)解決方案

二、績效導(dǎo)向，服務(wù)驅(qū)動的電子政務(wù)頂層設(shè)計

對于政府部門來說，電子政務(wù)頂層設(shè)計是一個全面描述支持政府戰(zhàn)略規(guī)劃和信息技術(shù)的框架。頂層設(shè)計通過基本理念、標(biāo)準(zhǔn)和最佳實踐的指導(dǎo)，描述當(dāng)前政府部門向未來愿景的發(fā)展方向，有助于利用信息技術(shù)推動政務(wù)活動的開展，并且?guī)椭罄m(xù)變革的有序進(jìn)行。

長城戰(zhàn)略咨詢運用電子政府架構(gòu)方法（Enterprise Architecture），借鑒美國政府的電子政府整體架構(gòu)（FEA）和英國政府電子政府架構(gòu)的經(jīng)驗，為政府部門提供電子政府的頂層設(shè)計。

電子政務(wù)的頂層設(shè)計包括政府部門的績效架構(gòu)、業(yè)務(wù)架構(gòu)、服務(wù)架構(gòu)、數(shù)據(jù)架構(gòu)和技術(shù)架構(gòu)，頂層設(shè)計是電子政務(wù)建設(shè)的架構(gòu)層面的指導(dǎo)文件，作為系統(tǒng)建設(shè)的框架。

長城戰(zhàn)略咨詢?yōu)橹嘘P(guān)村管委會提供了電子政務(wù)的頂層設(shè)計咨詢服務(wù)，并為中關(guān)村管委會開展全面的信息化建設(shè)提供了戰(zhàn)略指導(dǎo)。

三、基于知識管理的服務(wù)目錄與資源目錄梳理 在王岐山市長“情況清、責(zé)任明、”的思想指導(dǎo)下，北京提出“四清兩統(tǒng)一”的電子政務(wù)推進(jìn)思路。要求近期實現(xiàn)業(yè)務(wù)流程和協(xié)同工作清，網(wǎng)上服務(wù)清，信息資源清，實現(xiàn)路徑清，統(tǒng)一平臺，統(tǒng)一網(wǎng)絡(luò)，作為推進(jìn)電子政務(wù)的基礎(chǔ)性工作。

服務(wù)與資源目錄要求邏輯清晰，分類明確，能充分反映政府部門的業(yè)務(wù)工作與服務(wù)內(nèi)容；具有充分的擴(kuò)展性，能夠隨政府部門業(yè)務(wù)的創(chuàng)新而擴(kuò)展；同時需要遵循北京服務(wù)與資源目錄技術(shù)標(biāo)準(zhǔn)，實現(xiàn)與全市共享交換平臺的對接。

長城戰(zhàn)略咨詢運用流程管理和知識管理的相關(guān)理論與工具，進(jìn)行政府部門的服務(wù)目錄與資源目錄的梳理，為實現(xiàn)政府部門核心業(yè)務(wù)系統(tǒng)的建設(shè)，內(nèi)部的信息資源共享，以及部門之間的資源交換提供基礎(chǔ)。長城戰(zhàn)略咨詢先后完成了首都之窗全市政務(wù)公開目錄的梳理、中關(guān)村管委會服務(wù)目錄與資源目錄的梳理等工作。

四、業(yè)務(wù)導(dǎo)向的需求分析與系統(tǒng)實施咨詢

北京市提出了在2008年前盡快實現(xiàn)政府核心業(yè)務(wù)的全部信息化支撐的工作目標(biāo)，通過核心業(yè)務(wù)系統(tǒng)的提升與聯(lián)通，帶動電子政務(wù)整體水平的提高。

清晰的業(yè)務(wù)流程，簡單而有效的系統(tǒng)功能設(shè)計以及強(qiáng)有力的實施推動是實現(xiàn)核心業(yè)務(wù)信息化的關(guān)鍵因素。

長城戰(zhàn)略咨詢從政府的業(yè)務(wù)需求出發(fā)，以績效導(dǎo)向為目標(biāo)，站在甲方立場，分析系統(tǒng)需求，設(shè)計系統(tǒng)功能，優(yōu)化業(yè)務(wù)流程，并提供系統(tǒng)實施的相關(guān)管理支持服務(wù)。長城戰(zhàn)略咨詢先后完成了北京市科委項目經(jīng)費管理系統(tǒng)的實施咨詢、中關(guān)村管委會核心業(yè)務(wù)系統(tǒng)實施支持等工作。

中心協(xié)作式電子政務(wù)解決方案

長期以來，電子政務(wù)系統(tǒng)所蘊涵工作模型分類兩類：流程審批式和信息發(fā)布式，產(chǎn)生了一大批工作流審批系統(tǒng)以及信息門戶系統(tǒng)，這兩類系統(tǒng)難以滿足中心協(xié)同式的工作模式。

中心協(xié)作式工作是政府組織常見的工作模式，某項工作由一個單位或處室牽頭，作為工作中的中心節(jié)點，負(fù)責(zé)工作的計劃、分工、組織、工作溝通、匯總成果等事項；由其他處室單位或處室協(xié)作配合，作為協(xié)作節(jié)點，負(fù)責(zé)完成交辦使用，匯報成果等工作，與中心節(jié)點共同完成任務(wù)。在中心協(xié)同式的工作模式中，需要系統(tǒng)對信息互動、文件傳遞、知識共享等領(lǐng)域提供強(qiáng)大支持，以滿足工作協(xié)同的要求。

長城戰(zhàn)略咨詢提供“中心協(xié)同式”電子政務(wù)平臺，基于該平臺，為政府部門提供定制化的解決方案。長城戰(zhàn)略咨詢先后完成了北京市信息辦“北京市電子政務(wù)管理服務(wù)系統(tǒng)”，通州開發(fā)區(qū)“通州開發(fā)區(qū)管理與企業(yè)服務(wù)平臺”，北京市科委“北京市專家顧問團(tuán)知識管理系統(tǒng)”等電子政務(wù)系統(tǒng)。電子政務(wù)咨詢

電子政務(wù)普遍面臨的難題：

在新經(jīng)濟(jì)環(huán)境下，如何站在產(chǎn)業(yè)發(fā)展、區(qū)域創(chuàng)新和組織核心能力發(fā)展的戰(zhàn)略高度，創(chuàng)造性地運用IT技術(shù)，提高政府的績效，打造服務(wù)型政府，是所有政府機(jī)構(gòu)都必須面對的問題。電子政務(wù)咨詢服務(wù) 在多年的咨詢實踐中，形成了成熟的方法論以及豐富的案例經(jīng)驗。運用公共管理、企業(yè)管理的理論以及信息化手段，優(yōu)化政府的業(yè)務(wù)流程，提高政府組織績效，促進(jìn)政府機(jī)構(gòu)向服務(wù)型政府、創(chuàng)新型政府轉(zhuǎn)變。我們提供以下服務(wù)：

· 電子政務(wù)規(guī)劃與系統(tǒng)頂層設(shè)計。從政府機(jī)構(gòu)的定位、公共服務(wù)內(nèi)容、業(yè)務(wù)需求出發(fā)，結(jié)合國家及北京的電子政務(wù)整體發(fā)展要求，規(guī)劃政府機(jī)構(gòu)的信息化發(fā)展方向，從頂層分析和設(shè)計電子政務(wù)系統(tǒng)的整體功能與互聯(lián)關(guān)系，為開展電子政務(wù)系統(tǒng)的建設(shè)提供方向指導(dǎo)。

· 電子政務(wù)甲方項目管理。從甲方的利益出發(fā)，站在業(yè)務(wù)需求的角度，長城戰(zhàn)略咨詢?yōu)榭蛻籼峁┘追巾椖抗芾矸?wù)，建立甲方與技術(shù)開發(fā)商之間溝通的橋梁，完成業(yè)務(wù)流程梳理、系統(tǒng)需求設(shè)計、項目運行管理、項目監(jiān)理、系統(tǒng)實施支持等工作，使客戶從繁重、瑣碎、專業(yè)的電子政務(wù)項目管理工作中解放出來，集中進(jìn)行決策和監(jiān)管工作。

· 政務(wù)信息資源管理咨詢。運用政務(wù)信息資源管理與知識管理的方法，梳理資源目錄、建立信息資源管理體系、實施政務(wù)信息管理系統(tǒng)，解決信息資源快速增長所帶來的管理問題，充分發(fā)掘信息資源的價值，實現(xiàn)政府機(jī)構(gòu)內(nèi)部資源的共享與重用，建立符合信息資源交換平臺標(biāo)準(zhǔn)的機(jī)構(gòu)間信息資源交換體系。

· 電子政務(wù)項目全流程管理咨詢與解決方案。協(xié)助客戶建立電子政務(wù)項目的全流程管理框架，并提供完整的信息化解決方案，實現(xiàn)電子政務(wù)項目的規(guī)劃、立項審批、實施建設(shè)管理、驗收、績效評估以及運維管理等環(huán)節(jié)全流程管理，提高電子政務(wù)項目管理的水平與績效。

· 基礎(chǔ)數(shù)據(jù)采集管理框架與解決方案。各類基礎(chǔ)數(shù)據(jù)的采集是政府機(jī)構(gòu)進(jìn)行政策設(shè)計和正確決策的基礎(chǔ)，傳統(tǒng)上，政府機(jī)構(gòu)采取郵件、word、Excel等手工工具進(jìn)行數(shù)據(jù)的匯總與分析，工作效率低。長城戰(zhàn)略咨詢提供了基礎(chǔ)數(shù)據(jù)采集管理框架與解決方案，通過完整的管理框架，以及靈活可自定義數(shù)據(jù)表的系統(tǒng)平臺，為政府機(jī)構(gòu)采集數(shù)據(jù)工作以及基礎(chǔ)數(shù)據(jù)管理提供完整的解決方案。

電子政務(wù)常用的咨詢方法 · 電子政務(wù)系統(tǒng)頂層設(shè)計法 · KMC需求分析法 · 業(yè)務(wù)流程分析法 · 信息資源架構(gòu)法（IRA）· 信息資源目錄梳理方法 · 項目全流程管理框架

第四篇：電子政務(wù)公共服務(wù)解決方案

電子政務(wù)公共服務(wù)解決方案

發(fā)布時間:2007-05-27 作品簡介

論文報告

方案背景：

建設(shè)公共服務(wù)型政府是新階段我國政府職能轉(zhuǎn)變的基本目標(biāo)，我們目前最大的挑戰(zhàn)是如何由過去的 管制型政府過渡成明天的服務(wù)型政府。電子政務(wù)是實現(xiàn)政府職能轉(zhuǎn)變的一個重要工具，它通過政府門戶網(wǎng)站提供公共服務(wù)，加強(qiáng)政府與企業(yè)，政府和公眾的溝通，方 便百姓辦事，充分展示和提高政府形象。目前我國電子政務(wù)公共服務(wù)以正處于后臺內(nèi)部整合，互聯(lián)互通，內(nèi)網(wǎng)、外網(wǎng)、政府門戶網(wǎng)站同時建設(shè)的時期，也正處于從內(nèi) 向外，從局部到系統(tǒng)的演進(jìn)發(fā)展階段。推動各級政府門戶網(wǎng)站建設(shè)，提供公共服務(wù)是當(dāng)前電子政務(wù)的核心工作之一。

方案整體概述：

太極 計算機(jī)股份有限公司經(jīng)過長期的行業(yè)積累和知識優(yōu)化，形成一套完整的電子政務(wù)公共服務(wù)解決方案，內(nèi)容包括：政策法規(guī)、政府工作動態(tài)、辦事指南等信息發(fā)布服 務(wù)；個人戶籍、婚育、納稅及企業(yè)、團(tuán)體方面設(shè)立、資質(zhì)、生產(chǎn)、經(jīng)營等政府辦事類服務(wù)；氣象、交通、水電、煤氣、醫(yī)療、衛(wèi)生、教育等公共事業(yè)信息服務(wù)；家政 中介、商品配送、車輛租賃和買賣等生活便民服務(wù)；以及政策法規(guī)、政府辦事、企業(yè)和個人信用等咨詢服務(wù)。可以為政府部門、公共事業(yè)服務(wù)企事業(yè)單位和社區(qū)服務(wù) 企事業(yè)單位等單位和部門，以及個人(城市居民和農(nóng)村居民)、企業(yè)、其他個人、團(tuán)體或組織建立起完善的公共服務(wù)系統(tǒng)。

方案功能內(nèi)容：

1、統(tǒng)一的政府門戶網(wǎng)站

太極電子政務(wù)公共服務(wù)解決方案為用戶建立統(tǒng)一的政府門戶網(wǎng)站，在門戶中將各種服務(wù)進(jìn)行整合和發(fā)布。通過這一門戶網(wǎng)站，公共服務(wù)對象可以了解、享受到信息發(fā)布、政府辦事、公共事業(yè)、生活便民和咨詢投訴等相關(guān)服務(wù)，實現(xiàn)一次登錄、按需使用。

2、完善的內(nèi)容管理

這樣的門戶中必然涉及大量的對公服務(wù)信息，這些信息又來自政府、公共事業(yè)服務(wù)企事業(yè)單位、社區(qū)和服務(wù)企事業(yè)單位等不同途徑，從運營的角度而言，由一家單 位或部門完成所有內(nèi)容的維護(hù)是不現(xiàn)實的。太極電子政務(wù)公共服務(wù)解決方案提供了完善的內(nèi)容管理功能，它通過建立在多級組織、角色、權(quán)限基礎(chǔ)上的采、編、發(fā)機(jī) 制，讓每一個提供服務(wù)的單位獨立完成自我內(nèi)容的管理。

3、網(wǎng)上審批及協(xié)同處理的交互機(jī)制

對公共服務(wù)中往往涉及大量的協(xié)同政務(wù)和協(xié) 同事務(wù)的網(wǎng)上辦理，如戶籍、婚育、財產(chǎn)、納稅及企業(yè)、團(tuán)體方面設(shè)立、資質(zhì)、納稅；交通、供電、自來水、煤氣、醫(yī)療、衛(wèi)生、教育等，這些服務(wù)往往需要由多個 單位或部門協(xié)同完成。太極電子政務(wù)公共服務(wù)解決方案通過工作流、信息交換等技術(shù)的采用，形成網(wǎng)上審批及協(xié)同處理的交互機(jī)制，可以更好的為對公服務(wù)提供輔助 作用。

4、有效的內(nèi)、外網(wǎng)信息交換機(jī)制

公共服務(wù)門戶主要采用外網(wǎng)提供服務(wù)、受理申請和內(nèi)網(wǎng)提供信息發(fā)布、業(yè)務(wù)辦理的工作方式，太極電子政務(wù)公共服務(wù)解決方案中提供的內(nèi)、外網(wǎng)信息交換機(jī)制將內(nèi)容管理和網(wǎng)上審批這兩大環(huán)節(jié)有效的結(jié)合在一起，成為資源整合的有力保障。

5、全面的過程跟蹤

電子政務(wù)的宗旨就是政務(wù)公開、服務(wù)便捷，太極電子政務(wù)公共服務(wù)解決方案通過全面的過程跟蹤、全文檢索、多種終端接入模式以及咨詢投訴等功能實現(xiàn)這一目 的。服務(wù)對象通過門戶提交服務(wù)申請后，可以通過辦事指南了解整個服務(wù)的過程，并且可以隨時了解該項服務(wù)的具體辦理情況和辦理狀態(tài)。

6、滿足全文檢索要求

它的全文檢索機(jī)制包括條件查詢和內(nèi)容查詢，方便服務(wù)對象在龐雜繁多的信息中迅速、準(zhǔn)確的找到需要的信息。

7、實現(xiàn)多種終端接入模式

這套方案還提供了計算機(jī)、電話、手機(jī)、信息亭、數(shù)字電視等多種終端接入方式，結(jié)合網(wǎng)絡(luò)化的后臺公共服務(wù)資源，為更廣泛公眾提供服務(wù)，開展多樣化、有效的公共服務(wù)工作。

8、咨詢投訴

該方案中還提供統(tǒng)一入口、分發(fā)機(jī)制，完成主要政策法規(guī)、政府辦事、企業(yè)和個人信用、教育升學(xué)、旅游咨詢和辦理、職業(yè)介紹和職業(yè)技能培訓(xùn)、商務(wù)輔助、心理咨詢等信息的網(wǎng)絡(luò)在線咨詢以及投訴服務(wù)。

9、提供對公共服務(wù)的全面監(jiān)管

這樣一整套內(nèi)容多元、涉及部門眾多、服務(wù)對象廣泛的電子政務(wù)公共服務(wù)提訊系統(tǒng)，整體監(jiān)管和維護(hù)是必不可少的。太極電子政務(wù)公共服務(wù)解決方案中的公共服務(wù) 管理中心，就是起到了全面監(jiān)管和維護(hù)的作用。公共服務(wù)管理中心統(tǒng)一管理公共服務(wù)門戶的運行、公共服務(wù)信息發(fā)布的流程和內(nèi)容、門戶中各項服務(wù)出入口的設(shè)置、服務(wù)對象服務(wù)申請的內(nèi)容和結(jié)果，并且維護(hù)公共服務(wù)的基礎(chǔ)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，對服務(wù)辦理過程進(jìn)行監(jiān)管，對服務(wù)對象提請的咨詢投訴進(jìn)行統(tǒng)一分發(fā)。太極電子政務(wù)公 共服務(wù)解決方案通過公共服務(wù)管理中心，對各種發(fā)布信息、流程信息、交互信息、基礎(chǔ)設(shè)計以及各種辦理活動和辦理狀態(tài)進(jìn)行全面監(jiān)管，體現(xiàn)了電子政務(wù)寓監(jiān)管于服 務(wù)的要求，保證了政府信息的權(quán)威性、實時性和活動的公開性。

方案總結(jié)：

太極電子政務(wù)公共服務(wù)解決方案，同時考慮到了服務(wù)提供方和 服務(wù)對象方的需要，一方面，它通過建立門戶網(wǎng)站、進(jìn)行內(nèi)容管理等功能，信息交換、流程交互機(jī)制和全面全程監(jiān)管的公共服務(wù)管理中心，對服務(wù)提供方的全部工作 內(nèi)容進(jìn)行有效整合，使龐雜繁瑣的工作系統(tǒng)化、模塊化、流程化，既提高了有關(guān)部門的工作效率，又保證了政府信息的權(quán)威性、實時性、公開性，實現(xiàn)了電子政務(wù)的 服務(wù)目標(biāo)。另一方面，這套解決方案為服務(wù)對象提供了全面的過程跟蹤、全文檢索、多種終端介入模式和咨詢投訴功能，使他們既能快速準(zhǔn)確找到所需信息，也能對 自己提出的服務(wù)申請進(jìn)行全程跟蹤，還可以隨時提出咨詢和投訴，實現(xiàn)了政府部門工作流程透明化，有利于公眾監(jiān)督，在政府與企業(yè)、政府與公眾之間真正搭建起了 一座溝通的橋梁。

第五篇：電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案

電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案

對于電子政務(wù)內(nèi)網(wǎng)，政務(wù)專網(wǎng)、專線、VPN是構(gòu)建電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。安全政務(wù)網(wǎng)絡(luò)平臺是依托專網(wǎng)、專線、VPN設(shè)備將各接入單位安全互聯(lián)起來的電子政務(wù)內(nèi)網(wǎng)；安全支撐平臺為電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)提供安全互聯(lián)、接入控制、統(tǒng)一身份認(rèn)證、授權(quán)管理、惡意代碼防范、入侵檢測、安全審計、桌面安全防護(hù)等安全支撐；電子政務(wù)專網(wǎng)應(yīng)用既是安全保障平臺的保護(hù)對象，又是電子政務(wù)內(nèi)網(wǎng)實施電子政務(wù)的主體，它主要內(nèi)部共享信息、內(nèi)部受控信息等，這兩類信息運行于電子政務(wù)辦公平臺、和電子政務(wù)信息共享平臺之上；電子政務(wù)管理制度體系是電子政務(wù)長期有效運行的保證。

電子政務(wù)內(nèi)網(wǎng)系統(tǒng)構(gòu)成

1）政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺:電子政務(wù)內(nèi)網(wǎng)建設(shè)，是依托電子政務(wù)專網(wǎng)、專線、VPN構(gòu)造的電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)。

2）電子政務(wù)內(nèi)網(wǎng)應(yīng)用:在安全支撐平臺的作用下，基于安全電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺，可以打造安全電子政務(wù)辦公平臺、安全政務(wù)信息共享平臺。

3）安全支撐平臺:安全支撐平臺由安全系統(tǒng)組成，是電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)運行的安全保障。

電子政務(wù)內(nèi)網(wǎng)系統(tǒng)拓?fù)鋱D

三級政務(wù)內(nèi)網(wǎng)建議拓?fù)鋱D

電子政務(wù)內(nèi)網(wǎng)按照等保標(biāo)準(zhǔn)要求，進(jìn)行安全域的劃分。根據(jù)不同的劃分原則，大致可以分別網(wǎng)絡(luò)基礎(chǔ)架構(gòu)區(qū)、安全管理區(qū)、數(shù)據(jù)處理區(qū)、邊界防御區(qū)、辦公區(qū)、會議區(qū)等安全子區(qū)域，在實際的網(wǎng)絡(luò)設(shè)計中，可以根據(jù)相關(guān)標(biāo)準(zhǔn)，按照實際需要進(jìn)一步細(xì)分，如上圖所示。

劃分安全域的目標(biāo)是針對不同的安全域采用不同的安全防護(hù)策略，既保證信息的安全訪問，又兼顧信息的開放性。按照應(yīng)用系統(tǒng)等級、數(shù)據(jù)流相似程度、硬件和軟件環(huán)境的可共用程度、安全需求相似程度，并且從方便實施的角度，將整個電子政務(wù)業(yè)務(wù)系統(tǒng)分為不同的安全子域區(qū)，便于由小到大、由簡到繁進(jìn)行網(wǎng)絡(luò)設(shè)計。安全域的劃分有利于對電子政務(wù)系統(tǒng)實施分區(qū)安全防護(hù)，即分域防控。安全支撐平臺的系統(tǒng)結(jié)構(gòu)

電子政務(wù)安全支撐平臺是電子政務(wù)系統(tǒng)運行的安全保障，由網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全技術(shù)構(gòu)成。電子政務(wù)安全支撐平臺依托電子政務(wù)配套的安全設(shè)備，通過分級安全服務(wù)和分域安全管理，實現(xiàn)等級保護(hù)中要求的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)，從而保證整個電子政務(wù)信息系統(tǒng)安全，最終形成安全開放統(tǒng)一、分級分域防護(hù)的安全體系。電子政務(wù)安全支撐平臺的系統(tǒng)結(jié)構(gòu)下圖：

電子政務(wù)安全支撐平臺系統(tǒng)結(jié)構(gòu)

安全支撐平臺的系統(tǒng)配置

1、核心交換機(jī)雙歸屬：兩臺核心交換機(jī)通過VRRP協(xié)議連接，互為冗余，保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。

2、認(rèn)證及地址管理系統(tǒng)－DCBI：DCBI可以完成基于主機(jī)的統(tǒng)一身份認(rèn)證和全局地址管理功能。

1）基于主機(jī)的統(tǒng)一身份認(rèn)證。終端系統(tǒng)通過安裝802.1X認(rèn)證客戶端，在連接到內(nèi)網(wǎng)之前，首先需要通過DCBI的身份認(rèn)證，方能打開交換機(jī)端口，使用網(wǎng)絡(luò)資源。

2）全局地址管理?！じ鶕?jù)政務(wù)網(wǎng)地址規(guī)模靈活劃分地址池 ·固定用戶地址下發(fā)與永久綁定 ·漫游用戶地址下發(fā)與臨時綁定、自動回收 ·接入交換機(jī)端口安全策略自動綁定。·客戶端地址獲取方式無關(guān)性

3、全局安全管理系統(tǒng)－DCSM。DCSM是政務(wù)內(nèi)網(wǎng)所有端系統(tǒng)的管理與控制中心，兼具用戶管理、安全認(rèn)證、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。

1)安全認(rèn)證。安全認(rèn)證系統(tǒng)定義了對用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)認(rèn)證、補(bǔ)丁檢查項配置、安全策略配置、終端修復(fù)配置以及對終端用戶的隔離方式配置等。

2)用戶管理。不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個性化安全配置和網(wǎng)絡(luò)服務(wù)等級，方便管理員對網(wǎng)絡(luò)用戶制定差異化的安全策略。

3)安全聯(lián)動控制。安全策略服務(wù)器負(fù)責(zé)評估安全客戶端上報的安全狀態(tài)，控制安全聯(lián)動設(shè)備對用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動設(shè)備與防病毒服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。

4)日志審計。安全策略服務(wù)器收集由安全客戶端上報的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。

其中：安全管理系統(tǒng)代理，可以對用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評估以及安全策略實施的主體，其主要功能包括：

1）提供802.1x、portal等多種認(rèn)證方式，可以與交換機(jī)、路由器配合實現(xiàn)接入層、匯聚層以及VPN的端點準(zhǔn)入控制。

2）主機(jī)桌面安全防護(hù)，檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息；同時提供與防病毒客戶端聯(lián)動的接口，實現(xiàn)與第三方防病毒客戶端的聯(lián)動，檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到認(rèn)證服務(wù)器，執(zhí)行端點準(zhǔn)入的判斷與控制。

3）安全策略實施，接收認(rèn)證服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊表）、系統(tǒng)修復(fù)通知與實施（自動或手工升級補(bǔ)丁和病毒庫）等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。

4）實時監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時上報到安全策略服務(wù)器，用于事后進(jìn)行安全審計。

5）實時監(jiān)控終端用戶的行為，實現(xiàn)用戶上網(wǎng)行為可審計。

4、邊界防火墻－DCFW

能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對不同區(qū)域之間的流量進(jìn)行控制，通過對數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)進(jìn)行檢查，把可能的安全風(fēng)險控制在相對獨立的區(qū)域內(nèi)，避免安全風(fēng)險的大規(guī)模擴(kuò)散。

對于廣域網(wǎng)接入用戶，能夠?qū)λ麄兊木W(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，包括進(jìn)行身份認(rèn)證、對訪問資源的限制、對網(wǎng)絡(luò)訪問行為進(jìn)行控制等。

5、統(tǒng)一威脅管理－UTM

UTM集合了防火墻、防病毒網(wǎng)關(guān)、IPS/IDS入侵防御、防垃圾郵件網(wǎng)關(guān)、VPN（IPSEC、PPTP、L2TP）網(wǎng)關(guān)、流量整形網(wǎng)關(guān)、Anti-Dos網(wǎng)關(guān)、用戶身份認(rèn)證網(wǎng)關(guān)、審計網(wǎng)關(guān)、BT控制網(wǎng)關(guān)+IM控制網(wǎng)關(guān)+應(yīng)用提升網(wǎng)關(guān)(網(wǎng)游 VOIP 流媒體支持)，十二大功能為一體。采用專門設(shè)計的硬件平臺和專用的安全操作系統(tǒng)，采用硬件獨立總線架構(gòu)并采用病毒檢測專用模塊，在提升產(chǎn)品功能的同時保證了產(chǎn)品在各種環(huán)境下的高性能。完成等保標(biāo)準(zhǔn)中要求的防病毒、惡意代碼過濾等邊界防護(hù)功能。

6、入侵檢測系統(tǒng)－DCNIDS

入侵檢測系統(tǒng)能夠及時識別并阻止外部入侵者或內(nèi)部用戶對網(wǎng)絡(luò)系統(tǒng)的非授權(quán)使用、誤用和濫用，對網(wǎng)絡(luò)入侵事件實施主動防御。

通過在電子政務(wù)網(wǎng)絡(luò)平臺上部署入侵檢測系統(tǒng)，可提供對常見入侵事件、黑客程序、網(wǎng)絡(luò)病毒的在線實時檢測和告警功能，能夠防止惡意入侵事件的發(fā)生。

7、漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)提供網(wǎng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險預(yù)測、風(fēng)險量化、風(fēng)險趨勢分析等風(fēng)險管理的有效工具，使用戶了解網(wǎng)絡(luò)的安全配置和運行的應(yīng)用服務(wù)，及時發(fā)現(xiàn)安全漏洞，并客觀評估網(wǎng)絡(luò)風(fēng)險等級。

漏洞掃描系統(tǒng)能夠發(fā)現(xiàn)所維護(hù)的服務(wù)器的各種端口的分配、提供的服務(wù)、服務(wù)軟件版本和系統(tǒng)存在的安全漏洞，并為用戶提供網(wǎng)絡(luò)系統(tǒng)弱點/漏洞/隱患情況報告和解決方案，幫助用戶實現(xiàn)網(wǎng)絡(luò)系統(tǒng)統(tǒng)一的安全策略，確保網(wǎng)絡(luò)系統(tǒng)安全有效地運行。

8、流量整形設(shè)備－DCFS

1)控制各種應(yīng)用的帶寬，保證關(guān)鍵應(yīng)用，抑制不希望有的應(yīng)用：可針不同的源IP（組）和時間段，在所分配的帶寬管道內(nèi)，對其應(yīng)用實現(xiàn)不同的流量帶寬限制、或者是禁止使用。

2)統(tǒng)計、監(jiān)控和分析，了解網(wǎng)絡(luò)上各種應(yīng)用所占的帶寬比例，為網(wǎng)絡(luò)的用途和規(guī)劃提供科學(xué)依據(jù)：可通過設(shè)備對網(wǎng)絡(luò)上的流量數(shù)據(jù)進(jìn)行監(jiān)控和分析，量化地了解當(dāng)前網(wǎng)絡(luò)中各種應(yīng)用流量所占的比例、以及各應(yīng)用的流量各是多少，從而得知用戶的網(wǎng)絡(luò)最主要的用途是什么，等等。

9、其它網(wǎng)絡(luò)設(shè)備

其它網(wǎng)絡(luò)設(shè)備，可以參照國標(biāo)對應(yīng)的《設(shè)備安全技術(shù)要求》進(jìn)行選型。