第一篇：電子政務(wù)咨詢及解決方案（大全）

服務(wù)驅(qū)動(dòng)、績(jī)效導(dǎo)向的電子政務(wù)咨詢服務(wù)與解決方案

一、全面的電子政務(wù)咨詢服務(wù)與解決方案

經(jīng)過(guò)近年的建設(shè)，我國(guó)的電子政務(wù)已經(jīng)基本完成了基礎(chǔ)設(shè)施的建設(shè)，以及內(nèi)部應(yīng)用的構(gòu)建，目前電子政務(wù)正進(jìn)入全新的發(fā)展階段：從重建設(shè)、輕應(yīng)用向注重深化應(yīng)用轉(zhuǎn)變；從信息網(wǎng)絡(luò)分散建設(shè)向現(xiàn)有資源整合利用轉(zhuǎn)變；從信息系統(tǒng)獨(dú)立運(yùn)行向互聯(lián)互通和資源共享轉(zhuǎn)變；從信息管理偏重自我服務(wù)向注重公共服務(wù)轉(zhuǎn)變。

實(shí)現(xiàn)電子政務(wù)建設(shè)根本性的轉(zhuǎn)變，需要將企業(yè)信息化的最佳實(shí)踐引入到電子政務(wù)系統(tǒng)中，從設(shè)計(jì)、建設(shè)和實(shí)施等多個(gè)方面改進(jìn)電子政務(wù)的工作。

在架構(gòu)層面。打破已有業(yè)務(wù)和系統(tǒng)之間的界限，從面向公眾服務(wù)的一體化流程、跨部門的協(xié)同工作、以及信息系統(tǒng)互通的要求出發(fā)，設(shè)計(jì)符合電子政務(wù)總體框架要求，滿足政府政務(wù)工作持續(xù)變革需求的電子政務(wù)整體設(shè)計(jì)。

在服務(wù)與信息資源層面。梳理政府的對(duì)外公眾服務(wù)事項(xiàng)、對(duì)內(nèi)支撐服務(wù)工作、政務(wù)公開信息目錄，實(shí)現(xiàn)信息化提供業(yè)務(wù)支持。

在流程層面。以改進(jìn)政府的服務(wù)效率，改進(jìn)公眾的辦事體驗(yàn)為目標(biāo)，梳理現(xiàn)有工作流程，減少環(huán)節(jié)，共享信息，通過(guò)信息技術(shù)提高流程的運(yùn)轉(zhuǎn)效率。

在系統(tǒng)層面。打破原有的封閉的、自成體系的業(yè)務(wù)系統(tǒng)，以服務(wù)、協(xié)同、知識(shí)管理和信息資源共享，構(gòu)建互連互動(dòng)、資源共享的跨部門、應(yīng)用的集成化業(yè)務(wù)支撐系統(tǒng)。

長(zhǎng)城戰(zhàn)略咨詢提供涵蓋頂層設(shè)計(jì)、需求分析和系統(tǒng)實(shí)施全面的電子政務(wù)咨詢與系統(tǒng)實(shí)施服務(wù)，鼎力支持電子政務(wù)的創(chuàng)新與實(shí)踐。

長(zhǎng)城戰(zhàn)略咨詢提供的咨詢服務(wù)與解決方案包括：

電子政務(wù)頂層設(shè)計(jì) 服務(wù)目錄與資源目錄梳理

需求分析與系統(tǒng)實(shí)施咨詢

中心協(xié)作式電子政務(wù)解決方案

二、績(jī)效導(dǎo)向，服務(wù)驅(qū)動(dòng)的電子政務(wù)頂層設(shè)計(jì)

對(duì)于政府部門來(lái)說(shuō)，電子政務(wù)頂層設(shè)計(jì)是一個(gè)全面描述支持政府戰(zhàn)略規(guī)劃和信息技術(shù)的框架。頂層設(shè)計(jì)通過(guò)基本理念、標(biāo)準(zhǔn)和最佳實(shí)踐的指導(dǎo)，描述當(dāng)前政府部門向未來(lái)愿景的發(fā)展方向，有助于利用信息技術(shù)推動(dòng)政務(wù)活動(dòng)的開展，并且?guī)椭罄m(xù)變革的有序進(jìn)行。

長(zhǎng)城戰(zhàn)略咨詢運(yùn)用電子政府架構(gòu)方法（Enterprise Architecture），借鑒美國(guó)政府的電子政府整體架構(gòu)（FEA）和英國(guó)政府電子政府架構(gòu)的經(jīng)驗(yàn)，為政府部門提供電子政府的頂層設(shè)計(jì)。

電子政務(wù)的頂層設(shè)計(jì)包括政府部門的績(jī)效架構(gòu)、業(yè)務(wù)架構(gòu)、服務(wù)架構(gòu)、數(shù)據(jù)架構(gòu)和技術(shù)架構(gòu)，頂層設(shè)計(jì)是電子政務(wù)建設(shè)的架構(gòu)層面的指導(dǎo)文件，作為系統(tǒng)建設(shè)的框架。

長(zhǎng)城戰(zhàn)略咨詢?yōu)橹嘘P(guān)村管委會(huì)提供了電子政務(wù)的頂層設(shè)計(jì)咨詢服務(wù)，并為中關(guān)村管委會(huì)開展全面的信息化建設(shè)提供了戰(zhàn)略指導(dǎo)。

三、基于知識(shí)管理的服務(wù)目錄與資源目錄梳理 在王岐山市長(zhǎng)“情況清、責(zé)任明、”的思想指導(dǎo)下，北京提出“四清兩統(tǒng)一”的電子政務(wù)推進(jìn)思路。要求近期實(shí)現(xiàn)業(yè)務(wù)流程和協(xié)同工作清，網(wǎng)上服務(wù)清，信息資源清，實(shí)現(xiàn)路徑清，統(tǒng)一平臺(tái)，統(tǒng)一網(wǎng)絡(luò)，作為推進(jìn)電子政務(wù)的基礎(chǔ)性工作。

服務(wù)與資源目錄要求邏輯清晰，分類明確，能充分反映政府部門的業(yè)務(wù)工作與服務(wù)內(nèi)容；具有充分的擴(kuò)展性，能夠隨政府部門業(yè)務(wù)的創(chuàng)新而擴(kuò)展；同時(shí)需要遵循北京服務(wù)與資源目錄技術(shù)標(biāo)準(zhǔn)，實(shí)現(xiàn)與全市共享交換平臺(tái)的對(duì)接。

長(zhǎng)城戰(zhàn)略咨詢運(yùn)用流程管理和知識(shí)管理的相關(guān)理論與工具，進(jìn)行政府部門的服務(wù)目錄與資源目錄的梳理，為實(shí)現(xiàn)政府部門核心業(yè)務(wù)系統(tǒng)的建設(shè)，內(nèi)部的信息資源共享，以及部門之間的資源交換提供基礎(chǔ)。長(zhǎng)城戰(zhàn)略咨詢先后完成了首都之窗全市政務(wù)公開目錄的梳理、中關(guān)村管委會(huì)服務(wù)目錄與資源目錄的梳理等工作。

四、業(yè)務(wù)導(dǎo)向的需求分析與系統(tǒng)實(shí)施咨詢

北京市提出了在2008年前盡快實(shí)現(xiàn)政府核心業(yè)務(wù)的全部信息化支撐的工作目標(biāo)，通過(guò)核心業(yè)務(wù)系統(tǒng)的提升與聯(lián)通，帶動(dòng)電子政務(wù)整體水平的提高。

清晰的業(yè)務(wù)流程，簡(jiǎn)單而有效的系統(tǒng)功能設(shè)計(jì)以及強(qiáng)有力的實(shí)施推動(dòng)是實(shí)現(xiàn)核心業(yè)務(wù)信息化的關(guān)鍵因素。

長(zhǎng)城戰(zhàn)略咨詢從政府的業(yè)務(wù)需求出發(fā)，以績(jī)效導(dǎo)向?yàn)槟繕?biāo)，站在甲方立場(chǎng)，分析系統(tǒng)需求，設(shè)計(jì)系統(tǒng)功能，優(yōu)化業(yè)務(wù)流程，并提供系統(tǒng)實(shí)施的相關(guān)管理支持服務(wù)。長(zhǎng)城戰(zhàn)略咨詢先后完成了北京市科委項(xiàng)目經(jīng)費(fèi)管理系統(tǒng)的實(shí)施咨詢、中關(guān)村管委會(huì)核心業(yè)務(wù)系統(tǒng)實(shí)施支持等工作。

中心協(xié)作式電子政務(wù)解決方案

長(zhǎng)期以來(lái)，電子政務(wù)系統(tǒng)所蘊(yùn)涵工作模型分類兩類：流程審批式和信息發(fā)布式，產(chǎn)生了一大批工作流審批系統(tǒng)以及信息門戶系統(tǒng)，這兩類系統(tǒng)難以滿足中心協(xié)同式的工作模式。

中心協(xié)作式工作是政府組織常見的工作模式，某項(xiàng)工作由一個(gè)單位或處室牽頭，作為工作中的中心節(jié)點(diǎn)，負(fù)責(zé)工作的計(jì)劃、分工、組織、工作溝通、匯總成果等事項(xiàng)；由其他處室單位或處室協(xié)作配合，作為協(xié)作節(jié)點(diǎn)，負(fù)責(zé)完成交辦使用，匯報(bào)成果等工作，與中心節(jié)點(diǎn)共同完成任務(wù)。在中心協(xié)同式的工作模式中，需要系統(tǒng)對(duì)信息互動(dòng)、文件傳遞、知識(shí)共享等領(lǐng)域提供強(qiáng)大支持，以滿足工作協(xié)同的要求。

長(zhǎng)城戰(zhàn)略咨詢提供“中心協(xié)同式”電子政務(wù)平臺(tái)，基于該平臺(tái)，為政府部門提供定制化的解決方案。長(zhǎng)城戰(zhàn)略咨詢先后完成了北京市信息辦“北京市電子政務(wù)管理服務(wù)系統(tǒng)”，通州開發(fā)區(qū)“通州開發(fā)區(qū)管理與企業(yè)服務(wù)平臺(tái)”，北京市科委“北京市專家顧問團(tuán)知識(shí)管理系統(tǒng)”等電子政務(wù)系統(tǒng)。電子政務(wù)咨詢

電子政務(wù)普遍面臨的難題：

在新經(jīng)濟(jì)環(huán)境下，如何站在產(chǎn)業(yè)發(fā)展、區(qū)域創(chuàng)新和組織核心能力發(fā)展的戰(zhàn)略高度，創(chuàng)造性地運(yùn)用IT技術(shù)，提高政府的績(jī)效，打造服務(wù)型政府，是所有政府機(jī)構(gòu)都必須面對(duì)的問題。電子政務(wù)咨詢服務(wù) 在多年的咨詢實(shí)踐中，形成了成熟的方法論以及豐富的案例經(jīng)驗(yàn)。運(yùn)用公共管理、企業(yè)管理的理論以及信息化手段，優(yōu)化政府的業(yè)務(wù)流程，提高政府組織績(jī)效，促進(jìn)政府機(jī)構(gòu)向服務(wù)型政府、創(chuàng)新型政府轉(zhuǎn)變。我們提供以下服務(wù)：

· 電子政務(wù)規(guī)劃與系統(tǒng)頂層設(shè)計(jì)。從政府機(jī)構(gòu)的定位、公共服務(wù)內(nèi)容、業(yè)務(wù)需求出發(fā)，結(jié)合國(guó)家及北京的電子政務(wù)整體發(fā)展要求，規(guī)劃政府機(jī)構(gòu)的信息化發(fā)展方向，從頂層分析和設(shè)計(jì)電子政務(wù)系統(tǒng)的整體功能與互聯(lián)關(guān)系，為開展電子政務(wù)系統(tǒng)的建設(shè)提供方向指導(dǎo)。

· 電子政務(wù)甲方項(xiàng)目管理。從甲方的利益出發(fā)，站在業(yè)務(wù)需求的角度，長(zhǎng)城戰(zhàn)略咨詢?yōu)榭蛻籼峁┘追巾?xiàng)目管理服務(wù)，建立甲方與技術(shù)開發(fā)商之間溝通的橋梁，完成業(yè)務(wù)流程梳理、系統(tǒng)需求設(shè)計(jì)、項(xiàng)目運(yùn)行管理、項(xiàng)目監(jiān)理、系統(tǒng)實(shí)施支持等工作，使客戶從繁重、瑣碎、專業(yè)的電子政務(wù)項(xiàng)目管理工作中解放出來(lái)，集中進(jìn)行決策和監(jiān)管工作。

· 政務(wù)信息資源管理咨詢。運(yùn)用政務(wù)信息資源管理與知識(shí)管理的方法，梳理資源目錄、建立信息資源管理體系、實(shí)施政務(wù)信息管理系統(tǒng)，解決信息資源快速增長(zhǎng)所帶來(lái)的管理問題，充分發(fā)掘信息資源的價(jià)值，實(shí)現(xiàn)政府機(jī)構(gòu)內(nèi)部資源的共享與重用，建立符合信息資源交換平臺(tái)標(biāo)準(zhǔn)的機(jī)構(gòu)間信息資源交換體系。

· 電子政務(wù)項(xiàng)目全流程管理咨詢與解決方案。協(xié)助客戶建立電子政務(wù)項(xiàng)目的全流程管理框架，并提供完整的信息化解決方案，實(shí)現(xiàn)電子政務(wù)項(xiàng)目的規(guī)劃、立項(xiàng)審批、實(shí)施建設(shè)管理、驗(yàn)收、績(jī)效評(píng)估以及運(yùn)維管理等環(huán)節(jié)全流程管理，提高電子政務(wù)項(xiàng)目管理的水平與績(jī)效。

· 基礎(chǔ)數(shù)據(jù)采集管理框架與解決方案。各類基礎(chǔ)數(shù)據(jù)的采集是政府機(jī)構(gòu)進(jìn)行政策設(shè)計(jì)和正確決策的基礎(chǔ)，傳統(tǒng)上，政府機(jī)構(gòu)采取郵件、word、Excel等手工工具進(jìn)行數(shù)據(jù)的匯總與分析，工作效率低。長(zhǎng)城戰(zhàn)略咨詢提供了基礎(chǔ)數(shù)據(jù)采集管理框架與解決方案，通過(guò)完整的管理框架，以及靈活可自定義數(shù)據(jù)表的系統(tǒng)平臺(tái)，為政府機(jī)構(gòu)采集數(shù)據(jù)工作以及基礎(chǔ)數(shù)據(jù)管理提供完整的解決方案。

電子政務(wù)常用的咨詢方法 · 電子政務(wù)系統(tǒng)頂層設(shè)計(jì)法 · KMC需求分析法 · 業(yè)務(wù)流程分析法 · 信息資源架構(gòu)法（IRA）· 信息資源目錄梳理方法 · 項(xiàng)目全流程管理框架

第二篇：電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全解決方案

電子政務(wù)網(wǎng)絡(luò)安全概述

以Internet為代表的全球性信息化浪潮日益深刻，信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及和廣泛，應(yīng)用層次正在深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，典型的如行政部門業(yè)務(wù)系統(tǒng)、金融業(yè)務(wù)系統(tǒng)、政府機(jī)關(guān)商務(wù)系統(tǒng)等。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問題，而Internet所具有的開放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。如何使信息網(wǎng)絡(luò)系統(tǒng)不受黑客和工業(yè)間諜的入侵，已成為政府機(jī)構(gòu)、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。

網(wǎng)絡(luò)規(guī)劃

各級(jí)網(wǎng)絡(luò)

利用現(xiàn)有線路及網(wǎng)絡(luò)進(jìn)行完善擴(kuò)充，建成互聯(lián)互通、標(biāo)準(zhǔn)統(tǒng)一、結(jié)構(gòu)簡(jiǎn)單、功能完善、安全可靠、高速實(shí)用、先進(jìn)穩(wěn)定的級(jí)別分明卻又統(tǒng)一的網(wǎng)絡(luò)。數(shù)據(jù)中心

建設(shè)集中的數(shù)據(jù)中心，對(duì)所有的信息資源、空間、信用等數(shù)據(jù)進(jìn)行集中存放、集中管理。為省及各市部門、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機(jī)房、安全管理與維護(hù)。網(wǎng)絡(luò)總體結(jié)構(gòu)

政府機(jī)構(gòu)從事的行業(yè)性質(zhì)是跟國(guó)家緊密聯(lián)系的，所涉及信息可以說(shuō)都帶有機(jī)密性，所以其信息安全問題，如敏感信息的泄露、黑客的侵?jǐn)_、網(wǎng)絡(luò)資源的非法使用以及計(jì)算機(jī)病毒等。都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。為保證政府網(wǎng)絡(luò)系統(tǒng)的安全，有必要對(duì)其網(wǎng)絡(luò)進(jìn)行專門安全設(shè)計(jì)。

所謂電子政務(wù)就是政府機(jī)構(gòu)運(yùn)用現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時(shí)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門分隔的制約，向全社會(huì)提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。

實(shí)現(xiàn)電子政務(wù)的意義在于突破了傳統(tǒng)的工業(yè)時(shí)代“一站式”的政府辦公模式，建立了適應(yīng)網(wǎng)絡(luò)時(shí)代的“一網(wǎng)式”和“一表式”的新模式，開辟了推動(dòng)社會(huì)信息化的新途徑，創(chuàng)造了政府實(shí)施產(chǎn)業(yè)政策的新手段。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運(yùn)作效率。

圖示：原有電子政務(wù)網(wǎng)絡(luò)情況

電子政務(wù)網(wǎng)絡(luò)的應(yīng)用系統(tǒng)和網(wǎng)絡(luò)連接方式多樣，由于網(wǎng)絡(luò)本身及應(yīng)用系統(tǒng)的復(fù)雜性，無(wú)論是有意的攻擊，還是無(wú)意的誤操作，都將會(huì)給系統(tǒng)帶來(lái)不可估量的損失。非法進(jìn)入的攻擊者可能竊聽網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫(kù)的信息；還可以篡改數(shù)據(jù)庫(kù)內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)等等。

因此在電子政務(wù)網(wǎng)絡(luò)的建設(shè)中，構(gòu)建網(wǎng)絡(luò)安全系統(tǒng)以確保網(wǎng)絡(luò)信息的安全可靠是非常必要的。

物理安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全的風(fēng)險(xiǎn)主要有： ◆地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅；

◆電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失； ◆設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； ◆電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；

◆報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。鏈路傳輸風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全不僅是入侵者到政府機(jī)關(guān)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過(guò)一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性；以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。因此，對(duì)于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。并通過(guò)數(shù)字簽名及認(rèn)證技術(shù)來(lái)保障數(shù)據(jù)在網(wǎng)上傳輸?shù)恼鎸?shí)性、機(jī)密性、可靠性及完整性。

遠(yuǎn)程辦公安全接入 目前，政府網(wǎng)絡(luò)應(yīng)用環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部OA系統(tǒng)、文件共享、Email等應(yīng)用服務(wù)，又有眾多面向下屬單位、合作伙伴等對(duì)外的應(yīng)用。如何地有效解決遠(yuǎn)程用戶安全訪問網(wǎng)絡(luò)內(nèi)部資源？

虛擬專用網(wǎng)技術(shù)(VPN，Virtual PrivateNetwork)是指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過(guò)安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。政府機(jī)關(guān)只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。使用VPN有節(jié)約成本、擴(kuò)展性強(qiáng)、便于管理和實(shí)現(xiàn)全面控制等好處。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的，是通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂虛擬，是指用戶不再需要擁有實(shí)際的長(zhǎng)途數(shù)據(jù)線路，而是使用Internet公眾數(shù)據(jù)網(wǎng)絡(luò)的長(zhǎng)途數(shù)據(jù)線路。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。根據(jù)國(guó)家有關(guān)規(guī)定，政府網(wǎng)絡(luò)可以通過(guò)現(xiàn)有公有平臺(tái)搭建自己的內(nèi)部網(wǎng)絡(luò)，但必須通過(guò)認(rèn)證和加密技術(shù)，保證數(shù)據(jù)傳輸?shù)陌踩浴?/p>

單獨(dú)的VPN網(wǎng)關(guān)的主要功能是IPSec數(shù)據(jù)包的加密/解密處理和身份認(rèn)證，但它沒有很強(qiáng)的訪問控制功能，例如狀態(tài)包過(guò)濾、網(wǎng)絡(luò)內(nèi)容過(guò)濾、防DDoS攻擊等。在這種獨(dú)立的防火墻和VPN部署方式下，防火墻無(wú)法對(duì)VPN的數(shù)據(jù)流量進(jìn)行任何訪問控制，由此帶來(lái)安全性、性能、管理上的一系列問題。因此，在防火墻安全網(wǎng)關(guān)上集成VPN是當(dāng)前安全產(chǎn)品的發(fā)展趨勢(shì)，能提供一個(gè)靈活、高效、完整的安全方案。

集成VPN的防火墻安全網(wǎng)關(guān)的優(yōu)點(diǎn)是，它可以保證加密的流量在解密后，同樣需要經(jīng)過(guò)嚴(yán)格的訪問控制策略的檢查，保護(hù)VPN網(wǎng)關(guān)免受DDoS攻擊和入侵威脅；提供更好的處理性能，簡(jiǎn)化網(wǎng)絡(luò)管理的任務(wù)，快速適應(yīng)動(dòng)態(tài)、變化的網(wǎng)絡(luò)環(huán)境。因此，當(dāng)前VPN技術(shù)已經(jīng)成為安全網(wǎng)關(guān)產(chǎn)品的組成部分。

政府機(jī)關(guān)Intranet網(wǎng)絡(luò)建設(shè)的VPN連接方案，利用IPsec安全協(xié)議的VPN和加密能力，實(shí)現(xiàn)兩個(gè)或多個(gè)政府機(jī)關(guān)之間跨越因特網(wǎng)的政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)連接，實(shí)現(xiàn)了安全的政府機(jī)關(guān)內(nèi)部的數(shù)據(jù)通信。通過(guò)防火墻內(nèi)部策略控制體系，對(duì)VPN的數(shù)據(jù)可以進(jìn)行有效的控制和管理，使政府機(jī)關(guān)的內(nèi)部網(wǎng)絡(luò)通信具有良好的擴(kuò)展性和管理性。

圖示：政府機(jī)關(guān)Intranet網(wǎng)VPN解決方案

如上圖示，原始的數(shù)據(jù)經(jīng)過(guò)加密封裝在另外一個(gè)IP通道內(nèi)，通道頭部地址就是防火墻外部端口的IP地址，以實(shí)現(xiàn)在公網(wǎng)鏈路上的傳輸。利用高強(qiáng)度的、動(dòng)態(tài)變換的密鑰來(lái)保證數(shù)據(jù)的安全，168位的3DES算法更提供了業(yè)界最高級(jí)別的安全防御體系，使政府機(jī)關(guān)的內(nèi)部數(shù)據(jù)可以無(wú)憂地在公網(wǎng)上傳輸，以達(dá)到政府機(jī)關(guān)內(nèi)部網(wǎng)絡(luò)安全擴(kuò)展的目的。

網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析

（一）來(lái)自與公網(wǎng)互聯(lián)的安全威脅

如果政府內(nèi)部網(wǎng)絡(luò)與Internet公網(wǎng)有互連?；贗nternet公網(wǎng)的開放性、國(guó)際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全威脅。因?yàn)?，每天黑客都在試圖闖入Internet節(jié)點(diǎn)，假如我們的網(wǎng)絡(luò)不保持警惕，可能連黑客怎么闖入的都不知道，甚至?xí)蔀楹诳腿肭制渌W(wǎng)絡(luò)的跳板。政府行業(yè)內(nèi)部網(wǎng)絡(luò)中其辦公系統(tǒng)及各人主機(jī)上都有涉密信息。

假如內(nèi)部網(wǎng)絡(luò)的一臺(tái)機(jī)器安全受損（被攻擊或者被病毒感染），就會(huì)同時(shí)影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過(guò)網(wǎng)絡(luò)傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。對(duì)于政府行業(yè)網(wǎng)絡(luò)系統(tǒng)，國(guó)家也有規(guī)定是不能與互聯(lián)網(wǎng)直接或間接與相連。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅

如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易遭到來(lái)自外部網(wǎng)絡(luò)不懷好意的入侵者的攻擊。如：

入侵者通過(guò)Sniffer等程序來(lái)探測(cè)掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過(guò)相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。

入侵者通過(guò)網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。

惡意攻擊：入侵者通過(guò)發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

（三）內(nèi)部局域網(wǎng)的安全威脅

據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來(lái)自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部員工編些具有破壞力的程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過(guò)各種方式盜取他人涉密信息傳播出去。種種因素都對(duì)整體的網(wǎng)絡(luò)安全構(gòu)成很大的威脅。

系統(tǒng)的安全風(fēng)險(xiǎn)分析

所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其Back-Door（后門）。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。

如果進(jìn)行安全配置，比如，填補(bǔ)安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進(jìn)行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長(zhǎng)時(shí)間。因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小做出相應(yīng)的安全解決方案。

應(yīng)用的安全風(fēng)險(xiǎn)分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。

（一）資源共享

政府網(wǎng)絡(luò)系統(tǒng)內(nèi)部必有自動(dòng)化辦公系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件、打印機(jī)共享等。由此就可能存在著：?jiǎn)T工有意、無(wú)意把硬盤中重要信息目錄共享，長(zhǎng)期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因?yàn)槿鄙俦匾脑L問控制策略。

電子郵件系統(tǒng)

電子郵件為網(wǎng)系統(tǒng)用戶提供電子郵件應(yīng)用。內(nèi)部網(wǎng)用戶可通過(guò)拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來(lái)歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來(lái)不安全因素。

病毒侵害

自從1983年世界上第一個(gè)計(jì)算機(jī)病毒出現(xiàn)以來(lái)，在20多年的時(shí)間里，計(jì)算機(jī)病毒已到了無(wú)孔不入的地步，有些甚至給我們?cè)斐闪司薮蟮钠茐摹?/p>

隨著網(wǎng)絡(luò)的普及和網(wǎng)速的提高，計(jì)算機(jī)之間的遠(yuǎn)程控制越來(lái)越方便，傳輸文件也變得非常快捷，正因?yàn)槿绱?，病毒與黑客程序（木馬病毒）結(jié)合以后的危害更為嚴(yán)重，病毒的發(fā)作往往伴隨著用戶機(jī)密資料的丟失。病毒的傳播可能會(huì)具有一定的方向性，按照制作者的要求侵蝕固定的內(nèi)容。

由于網(wǎng)絡(luò)的普及，使得編寫病毒的知識(shí)越來(lái)越容易獲得。同時(shí)，各種功能強(qiáng)大而易學(xué)的編程工具讓用戶可以輕松編寫一個(gè)具有極強(qiáng)殺傷力的病毒程序。用戶通過(guò)網(wǎng)絡(luò)甚至可以獲得專門編寫病毒的工具軟件，只需要通過(guò)簡(jiǎn)單的操作就可以生成破壞性的病毒。

網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過(guò)網(wǎng)上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。

數(shù)據(jù)信息

數(shù)據(jù)安全對(duì)政府行業(yè)來(lái)說(shuō)尤其重要，數(shù)據(jù)在廣域網(wǎng)線路上傳輸，很難保證在傳輸過(guò)程中不被非法竊取，篡改?，F(xiàn)今很多先進(jìn)技術(shù)，黑客或一些工業(yè)間諜會(huì)通過(guò)一些手段，設(shè)法在線路上做些手腳，獲得在網(wǎng)上傳輸?shù)臄?shù)據(jù)信息。也就造成的泄密。這對(duì)政府行業(yè)用戶來(lái)說(shuō)，是決不允許的。

管理的安全風(fēng)險(xiǎn)分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。

機(jī)房重地卻是任何都可以進(jìn)進(jìn)出出，來(lái)去自由。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。

內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險(xiǎn)。

管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來(lái)自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。即除了從技術(shù)上下功夫外，還得依靠安全管理來(lái)實(shí)現(xiàn)。

防火墻系統(tǒng)設(shè)計(jì)方案

（一）防火墻系統(tǒng)

1、在各網(wǎng)絡(luò)出口處安裝曙光天羅防火墻。防火墻在這里首先起到網(wǎng)絡(luò)隔離、劃分不同安全域，進(jìn)行訪問控制的功能。通過(guò)防火墻的多網(wǎng)口結(jié)構(gòu)設(shè)計(jì)，控制授權(quán)合法用戶可以訪問到授權(quán)服務(wù)，而限制非授權(quán)的訪問。曙光天羅防火墻分為百兆和千兆兩個(gè)系列，可以根據(jù)各局內(nèi)部網(wǎng)的規(guī)模大小選擇適合自己的產(chǎn)品。

2、曙光天羅防火墻自帶的入侵檢測(cè)功能采用了基于模式匹配的入侵檢測(cè)系統(tǒng)，超越了傳統(tǒng)防火墻中的基于統(tǒng)計(jì)異常的入侵檢測(cè)功能，實(shí)現(xiàn)了可擴(kuò)展的攻擊檢測(cè)庫(kù)，真正實(shí)現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測(cè)模塊，可以自動(dòng)檢測(cè)網(wǎng)絡(luò)數(shù)據(jù)流中潛在的入侵、攻擊和濫用方式，通知管理員調(diào)整控制規(guī)則，為整個(gè)網(wǎng)絡(luò)提供動(dòng)態(tài)的網(wǎng)絡(luò)保護(hù)。

3、利用曙光天羅防火墻自帶的VPN功能，實(shí)現(xiàn)多級(jí)VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式：遠(yuǎn)程訪問虛擬網(wǎng)(撥號(hào)VPN)和政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)。如上圖所示，在省地市三級(jí)網(wǎng)絡(luò)出口處安裝曙光天羅防火墻，利用防火墻的VPN模塊，實(shí)現(xiàn)他們之間分層次的政府機(jī)關(guān)內(nèi)部虛擬網(wǎng)(網(wǎng)關(guān)對(duì)網(wǎng)關(guān)VPN)；而對(duì)于一些規(guī)模比較小的區(qū)線或移動(dòng)用戶，通過(guò)安裝VPN客戶端，實(shí)現(xiàn)遠(yuǎn)程訪問虛擬網(wǎng)(撥號(hào)VPN)，整個(gè)構(gòu)成一個(gè)安全的虛擬內(nèi)部局域網(wǎng)，保障電子政務(wù)網(wǎng)絡(luò)的數(shù)據(jù)安全傳輸。

（二）防火墻的VPN功能

VPN是平衡Internet的適用性和價(jià)格優(yōu)勢(shì)的最有前途的新興通信手段之一。利用共享的IP網(wǎng)建立VPN連接，可以使服務(wù)對(duì)象減少對(duì)昂貴租用線路和復(fù)雜遠(yuǎn)程訪問方案的依賴性。

也是至關(guān)重要的一點(diǎn)，它可以使移動(dòng)用戶和一些小型的分支機(jī)構(gòu)的網(wǎng)絡(luò)開銷減少達(dá)50%或更多；

政府機(jī)關(guān)新增的分支機(jī)構(gòu)或站點(diǎn)可以非常迅速方便地加入政府機(jī)關(guān)已建的基于VPN的INTRANET，所以VPN的可擴(kuò)展性大大優(yōu)于傳統(tǒng)構(gòu)建政府機(jī)關(guān)INTRANET的技術(shù)手段，如點(diǎn)對(duì)點(diǎn)專線或長(zhǎng)途撥號(hào)；

VPN不僅可以大幅度削減傳輸數(shù)據(jù)的開銷，同時(shí)可以削減傳輸話音的開銷；

VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機(jī)會(huì)，包括：進(jìn)行全球電子商務(wù)，可以在減少銷售成本的同時(shí)增加銷售量；實(shí)現(xiàn)外連網(wǎng)，可以使用戶獲得關(guān)鍵的信息，更加貼近世界；可以訪問全球任何角落的電子通勤人員和移動(dòng)用戶。

在當(dāng)今全球激烈競(jìng)爭(zhēng)的環(huán)境下，最先實(shí)現(xiàn)VPN的政府機(jī)關(guān)將在競(jìng)爭(zhēng)獲得優(yōu)勢(shì)已經(jīng)是不爭(zhēng)的事實(shí)，許多政府機(jī)關(guān)也開始紛紛利用經(jīng)濟(jì)有效的VPN來(lái)傳送話音業(yè)務(wù)，并從中受益：

◆ 減少用于相關(guān)的調(diào)制解調(diào)器和終端服務(wù)設(shè)備的資金及費(fèi)用，簡(jiǎn)化網(wǎng)絡(luò)； ◆ 實(shí)現(xiàn)本地?fù)芴?hào)接入的功能來(lái)取代遠(yuǎn)距離接入，這樣能顯著降低遠(yuǎn)距離通信的費(fèi)用； ◆ 遠(yuǎn)端驗(yàn)證撥入用戶服務(wù)基于標(biāo)準(zhǔn)，基于策略功能的安全服務(wù)；

◆ 將工作重心從管理和保留運(yùn)作撥號(hào)網(wǎng)絡(luò)的工作人員轉(zhuǎn)到公司的核心業(yè)務(wù)上來(lái)； ◆ 強(qiáng)大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控，可以優(yōu)化網(wǎng)絡(luò)資源；

◆ 極大的可擴(kuò)展性，簡(jiǎn)便地對(duì)加入網(wǎng)絡(luò)的新用戶進(jìn)行調(diào)度。用戶不需改變網(wǎng)絡(luò)的原來(lái)架構(gòu)，只須安裝客戶端軟件并且設(shè)置此軟件的一些參數(shù)即可。同時(shí)也支持傳統(tǒng)的應(yīng)用，可以從小的政府機(jī)關(guān)擴(kuò)展到最大的政府機(jī)關(guān)；

◆ 更大的網(wǎng)絡(luò)靈活性，可以管理和發(fā)布不同類型的數(shù)據(jù)進(jìn)入同一Internet連接。VPN代表了當(dāng)今網(wǎng)絡(luò)發(fā)展演化的最高形式，它綜合了傳統(tǒng)數(shù)據(jù)網(wǎng)絡(luò)的性能優(yōu)點(diǎn)（安全和QoS）和共享數(shù)據(jù)網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)點(diǎn)（簡(jiǎn)單和低成本），必將成為未來(lái)傳輸完全匯聚業(yè)務(wù)的主要工具。

用戶可以通過(guò)硬件和軟件的方式來(lái)實(shí)現(xiàn)VPN功能，一般用戶都會(huì)使用硬件設(shè)備。在總部架設(shè)一個(gè)帶有VPN功能的防火墻，就可以讓地方聯(lián)到總部的內(nèi)部局域網(wǎng)了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性，因一個(gè)最大的優(yōu)點(diǎn)是既可以抵御外部的攻擊又可以提高自身網(wǎng)絡(luò)的安全性。

防火墻對(duì)服務(wù)器的保護(hù)

網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為“黑客”攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。

如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)，就會(huì)面臨著“黑客”各種方式的攻擊，安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過(guò)防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過(guò)防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。

（四）防火墻對(duì)內(nèi)網(wǎng)的保護(hù)

網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。

對(duì)于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級(jí)不高。根據(jù)國(guó)際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無(wú)法避免地遭到損害，特別是針對(duì)于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用“黑客”工具造成嚴(yán)重破壞。

由于網(wǎng)絡(luò)環(huán)境的復(fù)雜化和網(wǎng)絡(luò)應(yīng)用的多樣化日益明顯，對(duì)于內(nèi)部網(wǎng)絡(luò)除了必要的防攻擊設(shè)置外還必須防止內(nèi)部用戶的欺騙行為，比如IP地址欺騙、網(wǎng)絡(luò)連接的欺騙等。由于物理層上的原因，內(nèi)部用戶接觸網(wǎng)絡(luò)服務(wù)的機(jī)會(huì)、方法很多，如果沒有專門的安全防護(hù)，“黑客”就可以比較容易地實(shí)施欺騙、偽造身份及暴力攻擊（CRACK），對(duì)于內(nèi)部網(wǎng)絡(luò)的用戶，防范攻擊的難度較大。我們主要從以下幾個(gè)方面考慮：

1)內(nèi)部網(wǎng)絡(luò)風(fēng)險(xiǎn)分析：由于內(nèi)部攻擊發(fā)生的比較頻繁，因此我們首先要分析內(nèi)部網(wǎng)絡(luò)的安全隱患，把可能發(fā)生的不安定因素找出來(lái)進(jìn)行專門的安全處理；

2)內(nèi)部用戶網(wǎng)絡(luò)和網(wǎng)絡(luò)的隔離：把內(nèi)部比較重要的數(shù)據(jù)服務(wù)器放在專門的區(qū)域，加上獨(dú)立的控制體系，對(duì)于內(nèi)部網(wǎng)的訪問同樣要進(jìn)行相應(yīng)的安全控制；

3)內(nèi)部網(wǎng)絡(luò)安全保護(hù)：結(jié)合物理層和鏈路層的特點(diǎn)，在物理層和鏈路層的接口處實(shí)施安全控制，實(shí)施IP/MAC綁定。

IDS詳述

IDS（入侵檢測(cè)系統(tǒng)）對(duì)于關(guān)心網(wǎng)絡(luò)安全防護(hù)的人們來(lái)說(shuō)已不再是一個(gè)陌生的名詞，在許多行業(yè)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御工程中除了采用防病毒、防火墻或認(rèn)證加密等系統(tǒng)外，有近15%的安全項(xiàng)目會(huì)涉及到IDS系統(tǒng)，而且這些項(xiàng)目一般都對(duì)安全等級(jí)的要求非常高，對(duì)數(shù)據(jù)信息的保密性也有特別的要求。

IDS系統(tǒng)

要想高效使用IDS首先要對(duì)它進(jìn)行合理部署。通常IDS監(jiān)控保護(hù)的基本單位是一個(gè)網(wǎng)段，單個(gè)網(wǎng)段的最小組成元素是各臺(tái)主機(jī)，政府機(jī)關(guān)對(duì)各主機(jī)、各網(wǎng)段的安全性要求程度一般都不相同，所以確定IDS的保護(hù)對(duì)象是合理使用IDS的關(guān)鍵。

在優(yōu)先保護(hù)的網(wǎng)段中部署IDS系統(tǒng)，并配置合適的檢測(cè)策略，如在防火墻之內(nèi)部署IDS則可把安全策略配置得緊一些，即使用最大化的檢測(cè)策略，而在防火墻之外部署則可采用較為寬松的策略，因?yàn)榻?jīng)過(guò)防火墻過(guò)濾后，內(nèi)部網(wǎng)絡(luò)的安全狀況相對(duì)比較簡(jiǎn)單，而外部的情況則較為復(fù)雜，誤報(bào)的可能性也較大。另外，在一定的情況下有些內(nèi)部信任的主機(jī)也可能會(huì)觸發(fā)IDS的檢測(cè)引擎，從而形成報(bào)警，而對(duì)于用戶來(lái)說(shuō)，這些報(bào)警事件是沒有什么參考價(jià)值的，所以需要在檢測(cè)范圍中排除這些主機(jī)的IP地址；通常IDS系統(tǒng)中都有一個(gè)過(guò)濾器（FILTER）模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項(xiàng)，可以允許用戶加入所有他們所信任的主機(jī)IP地址。

目前大多數(shù)的IDS系統(tǒng)主要采用基于包特征的檢測(cè)技術(shù)來(lái)組建，它們的基本原理是對(duì)網(wǎng)絡(luò)上的所有數(shù)據(jù)包進(jìn)行復(fù)制并檢測(cè)，然后與內(nèi)部的攻擊特征數(shù)據(jù)庫(kù)（規(guī)則庫(kù)）進(jìn)行匹配比較，如果相符即產(chǎn)生報(bào)警或響應(yīng)。這種檢測(cè)方式雖然比異常統(tǒng)計(jì)檢測(cè)技術(shù)要更加精確，但會(huì)給IDS帶來(lái)較大的負(fù)載，所以需要對(duì)檢測(cè)策略作進(jìn)一步的調(diào)整和優(yōu)化。具體做法是根據(jù)政府機(jī)關(guān)自身網(wǎng)絡(luò)的業(yè)務(wù)應(yīng)用情況，選擇最適合的檢測(cè)策略（可根據(jù)操作系統(tǒng)、應(yīng)用服務(wù)或部署位置等），并對(duì)所選的策略進(jìn)行修改，選擇具有參考價(jià)值的檢測(cè)規(guī)則，而去除一些無(wú)關(guān)緊要的選項(xiàng)，如對(duì)于全部是Windows的應(yīng)用環(huán)境，則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測(cè)規(guī)則的定制功能外，還提供了對(duì)端口掃描檢測(cè)規(guī)則的自定義，如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機(jī)地址排除和掃描模式等參數(shù)，這些參數(shù)的合理配置都能將IDS的檢測(cè)能力優(yōu)化到最理想的狀態(tài)。

IDS監(jiān)控

IDS除了能對(duì)網(wǎng)絡(luò)上各種非法行為產(chǎn)生報(bào)警外還能對(duì)一些特定的事件進(jìn)行實(shí)時(shí)的響應(yīng)，因?yàn)橹挥胁扇〖皶r(shí)的響應(yīng)才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應(yīng)方式是對(duì)網(wǎng)絡(luò)中的非法連接進(jìn)行阻斷，如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進(jìn)行監(jiān)控時(shí)，不但需要查看它的報(bào)警提示，而且需要參考它所提供的實(shí)時(shí)狀態(tài)信息。因?yàn)樵诰W(wǎng)絡(luò)中發(fā)生異常行為時(shí)，網(wǎng)絡(luò)中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機(jī)正遭到拒絕服務(wù)攻擊時(shí)（DoS或DDoS），網(wǎng)絡(luò)中的數(shù)據(jù)流量便可能會(huì)急速上升，這時(shí)可以從包流量或字節(jié)流量等實(shí)時(shí)的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實(shí)時(shí)狀態(tài)信息還包括當(dāng)前的活動(dòng)TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價(jià)值之一是它能提供事后統(tǒng)計(jì)分析，所有安全事件或?qū)徲?jì)事件的信息都將被記錄在數(shù)據(jù)庫(kù)中，可以從各個(gè)角度來(lái)對(duì)這些事件進(jìn)行分析歸類，以總結(jié)出被保護(hù)網(wǎng)絡(luò)的安全狀態(tài)的現(xiàn)狀和趨勢(shì)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)或主機(jī)中存在的問題或漏洞，并可歸納出相應(yīng)的解決方案。

電子政務(wù)整體網(wǎng)絡(luò)安全解決方案

電子政務(wù)系統(tǒng)中存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計(jì)一個(gè)高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬(wàn)無(wú)一失。

各局的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到本局的主干交換機(jī)上。由于工作站分布較廣且全部連接，可以通過(guò)電子政務(wù)網(wǎng)絡(luò)進(jìn)行相互訪問，服務(wù)器就有可能收到攻擊。因此，必須在各局之間相互進(jìn)行隔離防護(hù)。

如下圖，我們?cè)诟骶致酚善骱蟀惭b曙光TLFW千兆防火墻，以有三千用戶在同時(shí)上Internet網(wǎng)計(jì)算，千兆防火墻的并發(fā)連接超過(guò)600,000，完全可以滿足整個(gè)網(wǎng)絡(luò)的需求，穩(wěn)定性上也滿足要求。同時(shí)，將局內(nèi)網(wǎng)與其他區(qū)域邏輯隔離開來(lái)，在數(shù)據(jù)中心內(nèi)，根據(jù)不同的服務(wù)器對(duì)安全性的不同需求，將它們分等級(jí)劃分為不同的區(qū)域，并通過(guò)詳細(xì)的包過(guò)濾規(guī)則制定，將這些服務(wù)器徹底保護(hù)起來(lái)，保證它們之間不能跨級(jí)別訪問，這樣實(shí)現(xiàn)分級(jí)的安全性。

通過(guò)安裝防火墻，可以實(shí)現(xiàn)下列的安全目標(biāo)：

1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)利用防火墻對(duì)來(lái)自非內(nèi)部網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕； 4)利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

5)利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作；

6)利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線； 7)根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問控制。下圖是電子政務(wù)網(wǎng)絡(luò)安全解決方案設(shè)計(jì)拓?fù)鋱D：

圖示：電子政務(wù)網(wǎng)絡(luò)安全總體拓?fù)?/p>

根據(jù)以上的分析，在整個(gè)政府網(wǎng)絡(luò)安全體系中，除了負(fù)責(zé)邊界安全的防火墻設(shè)備以外，還選擇了入侵檢測(cè)系統(tǒng)進(jìn)行共同防范，達(dá)到整個(gè)系統(tǒng)的高安全性。

同時(shí)因?yàn)橛脩粲袚芴?hào)VPN的需求，而曙光的天羅防火墻自身具備了VPN的功能，可以滿足遠(yuǎn)程連接用戶的安全要求。

具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴(kuò)展等產(chǎn)品特色。易于安裝和使用，網(wǎng)絡(luò)性能和透明性好，擁有自行設(shè)計(jì)的全中文化WWW管理界面，通過(guò)直觀、易用的界面來(lái)管理強(qiáng)大、復(fù)雜的系統(tǒng)功能。

可根據(jù)系統(tǒng)管理者設(shè)定的安全規(guī)則（Security Rules）把守網(wǎng)絡(luò)的大門，提供強(qiáng)大的訪問控制、網(wǎng)絡(luò)地址轉(zhuǎn)換(Network Address Translation)、帶寬控制、P2P協(xié)議過(guò)濾等功能。

根據(jù)電子政務(wù)的實(shí)際需要，充分利用了曙光天羅防火墻的各功能模塊，實(shí)現(xiàn)了各功能模塊(防火墻模塊、入侵檢測(cè)模塊、VPN模塊等)的協(xié)同工作，再加上NIDS網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的重點(diǎn)防護(hù)，構(gòu)建了一個(gè)整合的動(dòng)態(tài)安全門戶，以比較經(jīng)濟(jì)實(shí)惠的方式，實(shí)現(xiàn)了對(duì)電子政務(wù)網(wǎng)絡(luò)的整體安全防護(hù)。

第三篇：電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案

電子政務(wù)內(nèi)網(wǎng)建設(shè)解決方案

對(duì)于電子政務(wù)內(nèi)網(wǎng)，政務(wù)專網(wǎng)、專線、VPN是構(gòu)建電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施。安全政務(wù)網(wǎng)絡(luò)平臺(tái)是依托專網(wǎng)、專線、VPN設(shè)備將各接入單位安全互聯(lián)起來(lái)的電子政務(wù)內(nèi)網(wǎng)；安全支撐平臺(tái)為電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)提供安全互聯(lián)、接入控制、統(tǒng)一身份認(rèn)證、授權(quán)管理、惡意代碼防范、入侵檢測(cè)、安全審計(jì)、桌面安全防護(hù)等安全支撐；電子政務(wù)專網(wǎng)應(yīng)用既是安全保障平臺(tái)的保護(hù)對(duì)象，又是電子政務(wù)內(nèi)網(wǎng)實(shí)施電子政務(wù)的主體，它主要內(nèi)部共享信息、內(nèi)部受控信息等，這兩類信息運(yùn)行于電子政務(wù)辦公平臺(tái)、和電子政務(wù)信息共享平臺(tái)之上；電子政務(wù)管理制度體系是電子政務(wù)長(zhǎng)期有效運(yùn)行的保證。

電子政務(wù)內(nèi)網(wǎng)系統(tǒng)構(gòu)成

1）政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺(tái):電子政務(wù)內(nèi)網(wǎng)建設(shè)，是依托電子政務(wù)專網(wǎng)、專線、VPN構(gòu)造的電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)。

2）電子政務(wù)內(nèi)網(wǎng)應(yīng)用:在安全支撐平臺(tái)的作用下，基于安全電子政務(wù)內(nèi)網(wǎng)網(wǎng)絡(luò)平臺(tái)，可以打造安全電子政務(wù)辦公平臺(tái)、安全政務(wù)信息共享平臺(tái)。

3）安全支撐平臺(tái):安全支撐平臺(tái)由安全系統(tǒng)組成，是電子政務(wù)內(nèi)網(wǎng)信息系統(tǒng)運(yùn)行的安全保障。

電子政務(wù)內(nèi)網(wǎng)系統(tǒng)拓?fù)鋱D

三級(jí)政務(wù)內(nèi)網(wǎng)建議拓?fù)鋱D

電子政務(wù)內(nèi)網(wǎng)按照等保標(biāo)準(zhǔn)要求，進(jìn)行安全域的劃分。根據(jù)不同的劃分原則，大致可以分別網(wǎng)絡(luò)基礎(chǔ)架構(gòu)區(qū)、安全管理區(qū)、數(shù)據(jù)處理區(qū)、邊界防御區(qū)、辦公區(qū)、會(huì)議區(qū)等安全子區(qū)域，在實(shí)際的網(wǎng)絡(luò)設(shè)計(jì)中，可以根據(jù)相關(guān)標(biāo)準(zhǔn)，按照實(shí)際需要進(jìn)一步細(xì)分，如上圖所示。

劃分安全域的目標(biāo)是針對(duì)不同的安全域采用不同的安全防護(hù)策略，既保證信息的安全訪問，又兼顧信息的開放性。按照應(yīng)用系統(tǒng)等級(jí)、數(shù)據(jù)流相似程度、硬件和軟件環(huán)境的可共用程度、安全需求相似程度，并且從方便實(shí)施的角度，將整個(gè)電子政務(wù)業(yè)務(wù)系統(tǒng)分為不同的安全子域區(qū)，便于由小到大、由簡(jiǎn)到繁進(jìn)行網(wǎng)絡(luò)設(shè)計(jì)。安全域的劃分有利于對(duì)電子政務(wù)系統(tǒng)實(shí)施分區(qū)安全防護(hù)，即分域防控。安全支撐平臺(tái)的系統(tǒng)結(jié)構(gòu)

電子政務(wù)安全支撐平臺(tái)是電子政務(wù)系統(tǒng)運(yùn)行的安全保障，由網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全技術(shù)構(gòu)成。電子政務(wù)安全支撐平臺(tái)依托電子政務(wù)配套的安全設(shè)備，通過(guò)分級(jí)安全服務(wù)和分域安全管理，實(shí)現(xiàn)等級(jí)保護(hù)中要求的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全、數(shù)據(jù)安全及備份恢復(fù)，從而保證整個(gè)電子政務(wù)信息系統(tǒng)安全，最終形成安全開放統(tǒng)一、分級(jí)分域防護(hù)的安全體系。電子政務(wù)安全支撐平臺(tái)的系統(tǒng)結(jié)構(gòu)下圖：

電子政務(wù)安全支撐平臺(tái)系統(tǒng)結(jié)構(gòu)

安全支撐平臺(tái)的系統(tǒng)配置

1、核心交換機(jī)雙歸屬：兩臺(tái)核心交換機(jī)通過(guò)VRRP協(xié)議連接，互為冗余，保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間，滿足業(yè)務(wù)高峰期需要。

2、認(rèn)證及地址管理系統(tǒng)－DCBI：DCBI可以完成基于主機(jī)的統(tǒng)一身份認(rèn)證和全局地址管理功能。

1）基于主機(jī)的統(tǒng)一身份認(rèn)證。終端系統(tǒng)通過(guò)安裝802.1X認(rèn)證客戶端，在連接到內(nèi)網(wǎng)之前，首先需要通過(guò)DCBI的身份認(rèn)證，方能打開交換機(jī)端口，使用網(wǎng)絡(luò)資源。

2）全局地址管理。·根據(jù)政務(wù)網(wǎng)地址規(guī)模靈活劃分地址池 ·固定用戶地址下發(fā)與永久綁定 ·漫游用戶地址下發(fā)與臨時(shí)綁定、自動(dòng)回收 ·接入交換機(jī)端口安全策略自動(dòng)綁定?！た蛻舳说刂帆@取方式無(wú)關(guān)性

3、全局安全管理系統(tǒng)－DCSM。DCSM是政務(wù)內(nèi)網(wǎng)所有端系統(tǒng)的管理與控制中心，兼具用戶管理、安全認(rèn)證、安全狀態(tài)評(píng)估、安全聯(lián)動(dòng)控制以及安全事件審計(jì)等功能。

1)安全認(rèn)證。安全認(rèn)證系統(tǒng)定義了對(duì)用戶終端進(jìn)行準(zhǔn)入控制的一系列策略，包括用戶終端安全狀態(tài)認(rèn)證、補(bǔ)丁檢查項(xiàng)配置、安全策略配置、終端修復(fù)配置以及對(duì)終端用戶的隔離方式配置等。

2)用戶管理。不同的用戶、不同類型的接入終端可能要求不同級(jí)別的安全檢查和控制。安全策略服務(wù)器可以為不同用戶提供基于身份的個(gè)性化安全配置和網(wǎng)絡(luò)服務(wù)等級(jí)，方便管理員對(duì)網(wǎng)絡(luò)用戶制定差異化的安全策略。

3)安全聯(lián)動(dòng)控制。安全策略服務(wù)器負(fù)責(zé)評(píng)估安全客戶端上報(bào)的安全狀態(tài)，控制安全聯(lián)動(dòng)設(shè)備對(duì)用戶的隔離與開放，下發(fā)用戶終端的修復(fù)方式與安全策略。通過(guò)安全策略服務(wù)器的控制，安全客戶端、安全聯(lián)動(dòng)設(shè)備與防病毒服務(wù)器才可以協(xié)同工作，配合完成端到端的安全準(zhǔn)入控制。

4)日志審計(jì)。安全策略服務(wù)器收集由安全客戶端上報(bào)的安全事件，并形成安全日志，可以為管理員追蹤和監(jiān)控網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的安全狀態(tài) 提供依據(jù)。

其中：安全管理系統(tǒng)代理，可以對(duì)用戶終端進(jìn)行身份認(rèn)證、安全狀態(tài)評(píng)估以及安全策略實(shí)施的主體，其主要功能包括：

1）提供802.1x、portal等多種認(rèn)證方式，可以與交換機(jī)、路由器配合實(shí)現(xiàn)接入層、匯聚層以及VPN的端點(diǎn)準(zhǔn)入控制。

2）主機(jī)桌面安全防護(hù)，檢查用戶終端的安全狀態(tài)，包括操作系統(tǒng)版本、系統(tǒng)補(bǔ)丁等信息；同時(shí)提供與防病毒客戶端聯(lián)動(dòng)的接口，實(shí)現(xiàn)與第三方防病毒客戶端的聯(lián)動(dòng)，檢查用戶終端的防病毒軟件版本、病毒庫(kù)版本、以及病毒查殺信息。這些信息將被傳遞到認(rèn)證服務(wù)器，執(zhí)行端點(diǎn)準(zhǔn)入的判斷與控制。

3）安全策略實(shí)施，接收認(rèn)證服務(wù)器下發(fā)的安全策略并強(qiáng)制用戶終端執(zhí)行，包括設(shè)置安全策略（是否監(jiān)控郵件、注冊(cè)表）、系統(tǒng)修復(fù)通知與實(shí)施（自動(dòng)或手工升級(jí)補(bǔ)丁和病毒庫(kù)）等功能。不按要求實(shí)施安全策略的用戶終端將被限制在隔離區(qū)。

4）實(shí)時(shí)監(jiān)控系統(tǒng)安全狀態(tài)，包括是否更改安全設(shè)置、是否發(fā)現(xiàn)新病毒等，并將安全事件定時(shí)上報(bào)到安全策略服務(wù)器，用于事后進(jìn)行安全審計(jì)。

5）實(shí)時(shí)監(jiān)控終端用戶的行為，實(shí)現(xiàn)用戶上網(wǎng)行為可審計(jì)。

4、邊界防火墻－DCFW

能夠?qū)W(wǎng)絡(luò)區(qū)域進(jìn)行分割，對(duì)不同區(qū)域之間的流量進(jìn)行控制，通過(guò)對(duì)數(shù)據(jù)包的源地址、目的地址、源端口、目的端口、網(wǎng)絡(luò)協(xié)議等參數(shù)進(jìn)行檢查，把可能的安全風(fēng)險(xiǎn)控制在相對(duì)獨(dú)立的區(qū)域內(nèi)，避免安全風(fēng)險(xiǎn)的大規(guī)模擴(kuò)散。

對(duì)于廣域網(wǎng)接入用戶，能夠?qū)λ麄兊木W(wǎng)絡(luò)應(yīng)用行為進(jìn)行管理，包括進(jìn)行身份認(rèn)證、對(duì)訪問資源的限制、對(duì)網(wǎng)絡(luò)訪問行為進(jìn)行控制等。

5、統(tǒng)一威脅管理－UTM

UTM集合了防火墻、防病毒網(wǎng)關(guān)、IPS/IDS入侵防御、防垃圾郵件網(wǎng)關(guān)、VPN（IPSEC、PPTP、L2TP）網(wǎng)關(guān)、流量整形網(wǎng)關(guān)、Anti-Dos網(wǎng)關(guān)、用戶身份認(rèn)證網(wǎng)關(guān)、審計(jì)網(wǎng)關(guān)、BT控制網(wǎng)關(guān)+IM控制網(wǎng)關(guān)+應(yīng)用提升網(wǎng)關(guān)(網(wǎng)游 VOIP 流媒體支持)，十二大功能為一體。采用專門設(shè)計(jì)的硬件平臺(tái)和專用的安全操作系統(tǒng)，采用硬件獨(dú)立總線架構(gòu)并采用病毒檢測(cè)專用模塊，在提升產(chǎn)品功能的同時(shí)保證了產(chǎn)品在各種環(huán)境下的高性能。完成等保標(biāo)準(zhǔn)中要求的防病毒、惡意代碼過(guò)濾等邊界防護(hù)功能。

6、入侵檢測(cè)系統(tǒng)－DCNIDS

入侵檢測(cè)系統(tǒng)能夠及時(shí)識(shí)別并阻止外部入侵者或內(nèi)部用戶對(duì)網(wǎng)絡(luò)系統(tǒng)的非授權(quán)使用、誤用和濫用，對(duì)網(wǎng)絡(luò)入侵事件實(shí)施主動(dòng)防御。

通過(guò)在電子政務(wù)網(wǎng)絡(luò)平臺(tái)上部署入侵檢測(cè)系統(tǒng)，可提供對(duì)常見入侵事件、黑客程序、網(wǎng)絡(luò)病毒的在線實(shí)時(shí)檢測(cè)和告警功能，能夠防止惡意入侵事件的發(fā)生。

7、漏洞掃描系統(tǒng)

漏洞掃描系統(tǒng)提供網(wǎng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)預(yù)測(cè)、風(fēng)險(xiǎn)量化、風(fēng)險(xiǎn)趨勢(shì)分析等風(fēng)險(xiǎn)管理的有效工具，使用戶了解網(wǎng)絡(luò)的安全配置和運(yùn)行的應(yīng)用服務(wù)，及時(shí)發(fā)現(xiàn)安全漏洞，并客觀評(píng)估網(wǎng)絡(luò)風(fēng)險(xiǎn)等級(jí)。

漏洞掃描系統(tǒng)能夠發(fā)現(xiàn)所維護(hù)的服務(wù)器的各種端口的分配、提供的服務(wù)、服務(wù)軟件版本和系統(tǒng)存在的安全漏洞，并為用戶提供網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)/漏洞/隱患情況報(bào)告和解決方案，幫助用戶實(shí)現(xiàn)網(wǎng)絡(luò)系統(tǒng)統(tǒng)一的安全策略，確保網(wǎng)絡(luò)系統(tǒng)安全有效地運(yùn)行。

8、流量整形設(shè)備－DCFS

1)控制各種應(yīng)用的帶寬，保證關(guān)鍵應(yīng)用，抑制不希望有的應(yīng)用：可針不同的源IP（組）和時(shí)間段，在所分配的帶寬管道內(nèi)，對(duì)其應(yīng)用實(shí)現(xiàn)不同的流量帶寬限制、或者是禁止使用。

2)統(tǒng)計(jì)、監(jiān)控和分析，了解網(wǎng)絡(luò)上各種應(yīng)用所占的帶寬比例，為網(wǎng)絡(luò)的用途和規(guī)劃提供科學(xué)依據(jù)：可通過(guò)設(shè)備對(duì)網(wǎng)絡(luò)上的流量數(shù)據(jù)進(jìn)行監(jiān)控和分析，量化地了解當(dāng)前網(wǎng)絡(luò)中各種應(yīng)用流量所占的比例、以及各應(yīng)用的流量各是多少，從而得知用戶的網(wǎng)絡(luò)最主要的用途是什么，等等。

9、其它網(wǎng)絡(luò)設(shè)備

其它網(wǎng)絡(luò)設(shè)備，可以參照國(guó)標(biāo)對(duì)應(yīng)的《設(shè)備安全技術(shù)要求》進(jìn)行選型。

第四篇：華為公司電子政務(wù)解決方案+

電子政務(wù)網(wǎng)現(xiàn)狀與趨勢(shì)

隨著社會(huì)主義現(xiàn)代化建設(shè)的進(jìn)一步推進(jìn)，我國(guó)電子政務(wù)建設(shè)已經(jīng)初顯成效。20世紀(jì)90年代初以來(lái)，國(guó)務(wù)院有關(guān)部門相繼建設(shè)了一批業(yè)務(wù)系統(tǒng)，金橋、金關(guān)、金稅、金卡等十二金工程取得顯著成效，政府上網(wǎng)工程也取得較大成績(jī)。為了進(jìn)一步推進(jìn)政府信息化建設(shè)，同時(shí)也為了規(guī)范下一階段政府信息化建設(shè)，中辦下發(fā)的[2002]17號(hào)文件《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)的指導(dǎo)意見》(簡(jiǎn)稱17號(hào)文件)制定了政府信息化建設(shè)原則：

統(tǒng)一規(guī)劃，加強(qiáng)領(lǐng)導(dǎo)；

需求主導(dǎo)，突出重點(diǎn)；

整合資源，拉動(dòng)產(chǎn)業(yè)；

統(tǒng)一標(biāo)準(zhǔn)，保障安全。

自從《關(guān)于我國(guó)電子政務(wù)建設(shè)的指導(dǎo)意見》出臺(tái)以后，很多部門都向國(guó)家主管部門上報(bào)了自己的電子政務(wù)項(xiàng)目書，但通過(guò)研究發(fā)現(xiàn)，各部門的電子政務(wù)建設(shè)相對(duì)獨(dú)立，部門之間的電子政務(wù)系統(tǒng)并沒有整體的內(nèi)在聯(lián)系，相互的系統(tǒng)之間也不關(guān)聯(lián)。

國(guó)家信息中心專家認(rèn)為，要解決目前電子政務(wù)系統(tǒng)的問題，關(guān)鍵在于要對(duì)電子政務(wù)網(wǎng)進(jìn)行統(tǒng)一的規(guī)劃。

電子政務(wù)與公共管理專家說(shuō)：“電子政務(wù)不是政府內(nèi)部的辦公自動(dòng)化，它必須要為公眾和社會(huì)服務(wù)?！闭畔⒒瘜＜覀円恢抡J(rèn)為，服務(wù)、共享、效益，將是2007年乃至今后一個(gè)時(shí)期電子政務(wù)發(fā)展的主要特征。

將公眾視為政府的“客戶”，一切以客戶為中心是21世紀(jì)政府管理創(chuàng)新的基本理念。今后，我國(guó)電子政務(wù)將會(huì)向突出以公眾為中心的服務(wù)型政務(wù)轉(zhuǎn)變。

中國(guó)信息資源的約80％由政府掌控，但這80％信息資源中的80％未被利用，所以，目前，我國(guó)電子政務(wù)建設(shè)的重點(diǎn)已經(jīng)從應(yīng)用系統(tǒng)開發(fā)轉(zhuǎn)向跨部門信息共享、業(yè)務(wù)協(xié)同，從關(guān)注應(yīng)用系統(tǒng)的技術(shù)先進(jìn)性轉(zhuǎn)向應(yīng)用系統(tǒng)所產(chǎn)生的經(jīng)濟(jì)效益和社會(huì)效益。這意味著我國(guó)今后所有的電子政務(wù)系統(tǒng)設(shè)計(jì)都必須關(guān)注與相關(guān)部門的信息共享和業(yè)務(wù)協(xié)同，僅僅服務(wù)于一個(gè)部門的電子政務(wù)系統(tǒng)將很難得到相關(guān)主管部門的批復(fù)。

而所謂效益，是指關(guān)注電子政務(wù)網(wǎng)建設(shè)的成本、收益和公眾滿意度。

華為公司電子政務(wù)網(wǎng)解決方案介紹

電子政務(wù)網(wǎng)建設(shè)原則

為達(dá)到電子政務(wù)網(wǎng)絡(luò)的目標(biāo)要求，華為公司建議在電子政務(wù)建設(shè)過(guò)程中堅(jiān)持以下建網(wǎng)原則：從政府的需求出發(fā)，建設(shè)高安全、高可靠、可管理的電子政務(wù)體系!

統(tǒng)一的網(wǎng)絡(luò)規(guī)劃

建議電于政務(wù)的建設(shè)按照國(guó)家信息化領(lǐng)導(dǎo)小組的統(tǒng)一部署，制定總體的網(wǎng)絡(luò)規(guī)劃，分層推進(jìn)，分步實(shí)施，避免重復(fù)建設(shè)。

完善的安全體系

網(wǎng)絡(luò)安全核心理念在于技術(shù)與管理并重。建議遵循信息安全管理標(biāo)準(zhǔn)－ISO17799，安全管理是信息安全的關(guān)鍵，人員管理是安全管理的核心，安全策略是安全管理的依據(jù)，安全工具是安全管理的保證。

嚴(yán)格的設(shè)備選型

在電子政務(wù)網(wǎng)建設(shè)的過(guò)程中，網(wǎng)絡(luò)設(shè)備選擇除了要考慮滿足業(yè)務(wù)的需求和發(fā)展、技術(shù)的可實(shí)施性等因素之外，同時(shí)為了杜絕網(wǎng)絡(luò)后門的出現(xiàn)，在滿足功能、性能要求的前提下，建議優(yōu)先選用具備自主知識(shí)產(chǎn)權(quán)的國(guó)內(nèi)民族廠商產(chǎn)品，從設(shè)備選型上保證電子政務(wù)網(wǎng)絡(luò)的安全性。

集成的信息管理

信息管理的核心理念是統(tǒng)一管理，分散控制。制定IT的規(guī)劃，提供IT的運(yùn)作支持和問題管理，管理用戶服務(wù)水平，管理用戶滿意度，配置管理，可用性管理，支持IT設(shè)施的管理，安全性管理，管理IT的庫(kù)存和資產(chǎn)，性能和容量管理，備份和恢復(fù)管理。提高系統(tǒng)的利用價(jià)值，降低管理成本。

電子政務(wù)網(wǎng)體系架構(gòu)

《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)的指導(dǎo)意見》中明確了電子政務(wù)網(wǎng)絡(luò)的體系架構(gòu)：電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。政務(wù)內(nèi)網(wǎng)主要是傳送涉密政務(wù)信息，所以為保證黨政核心機(jī)密的安全性，內(nèi)網(wǎng)必須與外網(wǎng)物理隔離。政務(wù)外網(wǎng)是政府的業(yè)務(wù)專網(wǎng)，主要運(yùn)行政務(wù)部門面向社會(huì)的專業(yè)性服務(wù)業(yè)務(wù)和不需在內(nèi)網(wǎng)上運(yùn)行的業(yè)務(wù)，外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。而從網(wǎng)絡(luò)規(guī)模來(lái)說(shuō)，政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)都可以按照局域網(wǎng)、城域網(wǎng)、廣域網(wǎng)的模式進(jìn)行建設(shè)；從網(wǎng)絡(luò)層次來(lái)說(shuō)，內(nèi)網(wǎng)和外網(wǎng)也可以按照骨干層、匯聚層和接入層的模式有規(guī)劃地進(jìn)行建設(shè)。

圖1：電子政務(wù)網(wǎng)絡(luò)的體系架構(gòu)

根據(jù)電子政務(wù)設(shè)計(jì)思想及應(yīng)用需求，鑒于政府各部門的特殊安全性要求，嚴(yán)格遵循《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子政務(wù)建設(shè)的指導(dǎo)意見》，在電子政務(wù)內(nèi)、外網(wǎng)在總體建設(shè)上采用業(yè)務(wù)與網(wǎng)絡(luò)分層構(gòu)建、逐層保護(hù)的指導(dǎo)原則，在邏輯層次及業(yè)務(wù)上，網(wǎng)絡(luò)的構(gòu)建實(shí)施如下分配：

圖2：電子政務(wù)內(nèi)、外網(wǎng)邏輯層次

互聯(lián)支撐層是電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)，由網(wǎng)絡(luò)中心統(tǒng)一規(guī)劃、構(gòu)建及管理，支撐層利用寬帶IP技術(shù)，保證網(wǎng)絡(luò)的互聯(lián)互通性，提供具有一定QOS的帶寬保證，并提供各部門、系統(tǒng)網(wǎng)絡(luò)間的邏輯隔離(VPN)，保證互訪的安全控制；

安全保障系統(tǒng)是指通過(guò)認(rèn)證、加密、權(quán)限控制等技術(shù)對(duì)電子政務(wù)網(wǎng)上的用戶訪問及數(shù)據(jù)實(shí)施安全保障的監(jiān)控系統(tǒng)，它與互聯(lián)支撐層相對(duì)獨(dú)立，由網(wǎng)絡(luò)中心與各部門單位共同規(guī)劃，分布構(gòu)建。

業(yè)務(wù)應(yīng)用層就是在安全互聯(lián)的基礎(chǔ)上實(shí)施政務(wù)網(wǎng)的各種應(yīng)用，由網(wǎng)絡(luò)中心與各系統(tǒng)單位統(tǒng)一規(guī)劃，分別實(shí)施。

華為公司電子政務(wù)解決方案的核心理念

全面的網(wǎng)絡(luò)安全

建設(shè)安全的電子政務(wù)網(wǎng)絡(luò)是電子政務(wù)建設(shè)的關(guān)鍵。電子政務(wù)的安全建設(shè)需要管理與技術(shù)并重。在技術(shù)層面，華為公司提供防御、隔離、認(rèn)證、授權(quán)、策略等多種手段為網(wǎng)絡(luò)安全提供保證；在設(shè)備層面，華為公司自主開發(fā)的系列化路由器、交換機(jī)、防火墻設(shè)備、CAMS綜合安全管理系統(tǒng)和統(tǒng)一的網(wǎng)絡(luò)操作系統(tǒng)VRP可以保證電子政務(wù)網(wǎng)絡(luò)安全。

針對(duì)于政府系統(tǒng)的網(wǎng)絡(luò)華為公司提供了i3安全三維度端到端集成安全體系架構(gòu)，在該架構(gòu)中，除了可以從熟悉的網(wǎng)絡(luò)層次視角來(lái)看待安全問題，同時(shí)還可以從時(shí)間及空間的角度來(lái)審視安全問題，從而大大拓展了安全的思路與視角，具備全面考慮與實(shí)施安全防護(hù)的模型與能力。

圖3：華為公司i3 安全 三維度端到端集成安全體系架構(gòu)

（1）華為公司i3安全三維度端到端集成安全體系架構(gòu)

i－intelligence(智能)，integrated(集成)，individuality(個(gè)性化)； 3－時(shí)間、空間及網(wǎng)絡(luò)層次三個(gè)維度的端到端(End to End)； 安全－所有IP信息網(wǎng)絡(luò)的安全架構(gòu)。

（2）網(wǎng)絡(luò)層次(網(wǎng)絡(luò)層、用戶層、業(yè)務(wù)層)端到端安全理念

網(wǎng)絡(luò)的各層次均存在安全威脅的可能，華為的集成安全架構(gòu)充分體現(xiàn)了網(wǎng)絡(luò)安全防范的分層思想，根據(jù)不同網(wǎng)絡(luò)層次的特點(diǎn)進(jìn)行有針對(duì)性的防范。

? ? ? 網(wǎng)絡(luò)層：保障網(wǎng)絡(luò)路由、網(wǎng)絡(luò)設(shè)備等基礎(chǔ)網(wǎng)絡(luò)的安全；

用戶接入層：確保合法的用戶接入，訪問合法的網(wǎng)絡(luò)范圍，并保障用戶信息的隔離等用戶接入網(wǎng)絡(luò)的安全；

業(yè)務(wù)層：保證用戶訪問內(nèi)容的合法性與安全性。

華為公司的i3安全集成安全架構(gòu)針對(duì)傳統(tǒng)網(wǎng)絡(luò)在用戶層防范比較薄弱的缺陷，采取了大量的增強(qiáng)措施，如用戶接入認(rèn)證、地址防盜用、訪問控制等能力。

（3）時(shí)間(事前、事后)端到端安全理念

以前政府行業(yè)更關(guān)注網(wǎng)絡(luò)的事前防范能力，往往在網(wǎng)絡(luò)的用戶認(rèn)證、入侵檢測(cè)、防DOS攻擊、防火墻等方面投入力量較多，對(duì)事后跟蹤能力實(shí)施的有效措施不多。而在安全事件發(fā)生前后，要求網(wǎng)絡(luò)所能提供的支持也是不同的，其花費(fèi)的代價(jià)與技術(shù)實(shí)現(xiàn)難度有非常大的差別：

? ? 事前防范：主要通過(guò)數(shù)據(jù)隔離、加密、過(guò)濾、管理等技術(shù)，加強(qiáng)整個(gè)網(wǎng)絡(luò)的健壯性；

事后跟蹤：華為公司的“i3安全”架構(gòu)提供在網(wǎng)絡(luò)級(jí)做日志記錄的能力，通過(guò)對(duì)用戶上網(wǎng)端口、時(shí)間、訪問地的記錄，全面提供用戶上網(wǎng)的追溯能力，從而為后期的分析提供第一手的資料。（4）空間(外網(wǎng)、內(nèi)網(wǎng))端到端安全理念

? ?

控。外網(wǎng)：通過(guò)VPN、加密等保證信息安全，通過(guò)網(wǎng)絡(luò)防火墻、病毒防火墻等防范網(wǎng)絡(luò)攻擊，側(cè)重的是防范；

內(nèi)網(wǎng)：通過(guò)對(duì)用戶的識(shí)別，保證合法的用戶訪問合法的網(wǎng)絡(luò)范圍，并做好訪問記錄，側(cè)重的是監(jiān)目前政府內(nèi)網(wǎng)即涉秘網(wǎng)、政府外網(wǎng)即辦公專網(wǎng)，兩張網(wǎng)按照17號(hào)文件要求嚴(yán)格的物理隔離分別進(jìn)行建設(shè)，保證政府網(wǎng)絡(luò)的安全。

華為公司三緯度集成安全架構(gòu)提供端到端集成安全服務(wù)：

圖4：華為公司i3安全三維度端到端集成安全體系架構(gòu)

隨著政府網(wǎng)絡(luò)網(wǎng)上應(yīng)用的進(jìn)一步增多，隨著網(wǎng)絡(luò)進(jìn)一步深入人們的生活，入侵與反入侵、盜用與反盜用的斗爭(zhēng)也必將升級(jí)。而政府網(wǎng)絡(luò)的安全防護(hù)作為一個(gè)系統(tǒng)工程，只有從網(wǎng)絡(luò)管理、用戶管理、業(yè)務(wù)管理及管理制度等多層次、多方位地多管齊下才能做到“天網(wǎng)恢恢，疏而不漏”。

完善的端到端的可靠性

網(wǎng)絡(luò)可靠性主要是指當(dāng)設(shè)備或網(wǎng)絡(luò)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)提供服務(wù)的不間斷性?？煽啃砸话阃ㄟ^(guò)設(shè)備本身的可靠性和組網(wǎng)設(shè)計(jì)的可靠性來(lái)實(shí)現(xiàn)。包括以下內(nèi)容：

（1）設(shè)備可靠性

華為公司的全系列數(shù)據(jù)產(chǎn)品均采用電信級(jí)的可靠性設(shè)計(jì)。華為公司高端路由器和交換機(jī)產(chǎn)品采用分布式體系結(jié)構(gòu)，不存在單點(diǎn)故障；采用無(wú)源背板，支持真正熱插拔、熱備份，同時(shí)設(shè)備的交換網(wǎng)絡(luò)、路由處理系統(tǒng)等所有關(guān)鍵部件采用冗余熱備份設(shè)計(jì)，能充分滿足電子政務(wù)網(wǎng)絡(luò)對(duì)設(shè)備高可靠性的要求。

（2）組網(wǎng)設(shè)計(jì)的可靠性

在控制投資的前提下，在電子政務(wù)網(wǎng)絡(luò)的部分省地骨干節(jié)點(diǎn)，可采取VRRP雙機(jī)備份方式或采取RPR方式進(jìn)行環(huán)網(wǎng)自愈保護(hù)，接入骨干傳輸網(wǎng)的鏈路可采取雙歸鏈路設(shè)計(jì)或采取RPR方式進(jìn)行環(huán)網(wǎng)自愈保護(hù)，從組網(wǎng)角度避免單點(diǎn)故障。

另外，可采用備份中心技術(shù)，為路由器上的任意接口提供備份接口；路由器上的任一接口可以作為其它接口(或邏輯鏈路)的備份接口；可對(duì)接口上的某條邏輯鏈路提供備份。

通過(guò)靈活的備份機(jī)制及完善的技術(shù)，可以充分利用備份資源，確保網(wǎng)絡(luò)互聯(lián)互通的可靠性。

簡(jiǎn)單高效的維護(hù)和管理

政府網(wǎng)絡(luò)信息點(diǎn)數(shù)量眾多，而且較為稠密，所以網(wǎng)絡(luò)設(shè)備數(shù)量眾多，特別是接入最終用戶的樓層交換機(jī)。華為公司的網(wǎng)絡(luò)管理系統(tǒng)在支持全網(wǎng)設(shè)備統(tǒng)一管理、實(shí)現(xiàn)拓?fù)涔芾?、圖形化操作界面、實(shí)時(shí)聲光報(bào)警、中文操作系統(tǒng)的同時(shí)，利用華為組管理協(xié)議HGMP可以實(shí)現(xiàn)對(duì)數(shù)量龐大的樓層交換機(jī)的動(dòng)態(tài)發(fā)現(xiàn)、動(dòng)態(tài)拓?fù)渖?、自?dòng)配置的功能，降低網(wǎng)絡(luò)管理人員的工作量，提高效率。

豐富的業(yè)務(wù)承載能力

政府信息化的一個(gè)重要特點(diǎn)是以業(yè)務(wù)牽引網(wǎng)絡(luò)需求，應(yīng)用不斷更新，對(duì)網(wǎng)絡(luò)設(shè)備的需求不斷提高，在這樣的一個(gè)動(dòng)態(tài)網(wǎng)絡(luò)中，網(wǎng)絡(luò)設(shè)備本身的業(yè)務(wù)承載能力就顯得非常重要。因此，華為公司提出了第5代基于網(wǎng)絡(luò)處理器技術(shù)，可以保證在后續(xù)新增業(yè)務(wù)對(duì)網(wǎng)絡(luò)平臺(tái)有特殊要求時(shí)，實(shí)現(xiàn)快速定制、快速支持，保證對(duì)網(wǎng)絡(luò)設(shè)備投資的連續(xù)性。

利用MPLS VPN表現(xiàn)出強(qiáng)大的擴(kuò)展性和前所未見的高性能，電子政務(wù)網(wǎng)可任由業(yè)務(wù)的增長(zhǎng)和變化，網(wǎng)絡(luò)可以平滑地?cái)U(kuò)充和升級(jí)，可最大程度的減少對(duì)網(wǎng)絡(luò)架構(gòu)和設(shè)備的調(diào)整。作為少數(shù)能提供整網(wǎng)MPLS技術(shù)的廠家，華為公司致力于為政府提供基于先進(jìn)的MPLS VPN技術(shù)的數(shù)據(jù)、語(yǔ)音和視訊的三網(wǎng)合一技術(shù)。背景

“十五”期間，我國(guó)電子政務(wù)建設(shè)的主要目標(biāo)是：標(biāo)準(zhǔn)統(tǒng)一、功能完善、安全可靠的政務(wù)信息網(wǎng)絡(luò)平臺(tái)發(fā)揮支持作用；重點(diǎn)業(yè)務(wù)系統(tǒng)建設(shè)取得顯著成效；基礎(chǔ)性、戰(zhàn)略性政務(wù)信息庫(kù)建設(shè)取得重大進(jìn)展，信息資源共享程度明顯提高；初步形成電子政務(wù)網(wǎng)絡(luò)與信息安全保障體系，建立規(guī)范的培訓(xùn)制度，與電子政務(wù)相關(guān)的法規(guī)和標(biāo)準(zhǔn)逐步完善。這些工作完成后，中央和地方各級(jí)黨委、政府部門的管理能力、決策能力、應(yīng)急處理能力、公共服務(wù)得到較大改善和加強(qiáng)，電子政務(wù)發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。

在堅(jiān)持需求主導(dǎo)、資源整合、強(qiáng)化應(yīng)用、保障安全和穩(wěn)步推進(jìn)的原則下，我國(guó)電子政務(wù)建設(shè)要完成各級(jí)政務(wù)內(nèi)網(wǎng)、各級(jí)政務(wù)專網(wǎng)、各級(jí)政務(wù)外網(wǎng)的建設(shè)和整合工作，初步形成統(tǒng)一的國(guó)家電子政務(wù)網(wǎng)絡(luò)。其中國(guó)家政務(wù)內(nèi)網(wǎng)只連接中共中央辦公廳、全國(guó)人大常委會(huì)辦公廳、國(guó)務(wù)院辦公廳、全國(guó)政協(xié)辦公廳、最高人民法院辦公廳、最高人民檢察院辦公廳、黨中央和國(guó)務(wù)院組成部門及其直屬機(jī)構(gòu)辦公廳(室）、47個(gè)副省級(jí)以上地方黨委辦公廳，不與其他網(wǎng)絡(luò)相聯(lián)接，不橫向擴(kuò)展和縱向延伸。國(guó)家政務(wù)專網(wǎng)承載中央和各級(jí)地方部門內(nèi)部辦公、管理、協(xié)調(diào)、監(jiān)督等不面向社會(huì)服務(wù)的、不同安全等級(jí)的業(yè)務(wù)應(yīng)用系統(tǒng)，主要滿足中央和各級(jí)地方對(duì)口政務(wù)部門之間信息縱向傳輸、匯聚及各級(jí)政務(wù)部門之間信息橫向交換與共享的需求。要采用必要手段，確保網(wǎng)絡(luò)與信息安全。國(guó)家政務(wù)外網(wǎng)承載中央和各級(jí)地方政務(wù)部門業(yè)務(wù)協(xié)同、社會(huì)管理、公共服務(wù)、應(yīng)急聯(lián)動(dòng)等面向社會(huì)服務(wù)的業(yè)務(wù)應(yīng)用系統(tǒng)，主要滿足中央和各級(jí)地方對(duì)口政務(wù)部門之間信息縱向傳輸、匯聚及各級(jí)政務(wù)部門之間、政務(wù)部門與公眾、企業(yè)之間信息交換與共享的需求，與互聯(lián)網(wǎng)安全連接，支持各級(jí)政務(wù)部門面向社會(huì)的門戶網(wǎng)站。

雖然電子政務(wù)內(nèi)網(wǎng)、電子政務(wù)專網(wǎng)、電子政務(wù)外網(wǎng)三張網(wǎng)絡(luò)之間完全物理隔離，且各自運(yùn)行的業(yè)務(wù)系統(tǒng)也有了明確的定義，但是三張網(wǎng)絡(luò)建設(shè)使用的主要技術(shù)手段和面臨的主要問題是一致的。因此，我們以電子政務(wù)外網(wǎng)為例闡述華為公司的電子政務(wù)解決方案。之所以選擇電子政務(wù)外網(wǎng)，是因?yàn)橹挥须娮诱?wù)外網(wǎng)需要和互聯(lián)網(wǎng)進(jìn)行安全的連接，且電子政務(wù)外網(wǎng)上業(yè)務(wù)系統(tǒng)之間的關(guān)系最為復(fù)雜。

政務(wù)外網(wǎng)需求分析

?

基礎(chǔ)網(wǎng)絡(luò)要求

電子政務(wù)外網(wǎng)的建設(shè)模式相對(duì)比較固定，從上至下分為國(guó)家電子政務(wù)外網(wǎng)、省電子政務(wù)外網(wǎng)、市電子政務(wù)外網(wǎng)、區(qū)縣電子政務(wù)外網(wǎng)四級(jí)。每一級(jí)電子政務(wù)外網(wǎng)對(duì)網(wǎng)絡(luò)的要求是不同的，進(jìn)而對(duì)設(shè)備性能及功能要求各不相同。

?

業(yè)務(wù)互訪要求

電子政務(wù)外網(wǎng)作為統(tǒng)一的網(wǎng)絡(luò)承載平臺(tái)，將接入不同的政府各級(jí)部門，形成在統(tǒng)一網(wǎng)絡(luò)平臺(tái)上的邏輯虛擬專網(wǎng)，各構(gòu)建統(tǒng)一、安全、易管理的協(xié)同電子政務(wù)平臺(tái)虛擬專網(wǎng)之間需要安全隔離。同時(shí)，因?yàn)閰f(xié)同型電子政務(wù)應(yīng)用系統(tǒng)的不斷發(fā)展，又要求相互隔離的虛擬專網(wǎng)之間能夠進(jìn)行部分?jǐn)?shù)據(jù)交互和資源共享。此外，還涉及虛擬專網(wǎng)用戶對(duì)公共資源的訪問，對(duì)互聯(lián)網(wǎng)的訪問等等。所以，電子政務(wù)外網(wǎng)上存在非常復(fù)雜的業(yè)務(wù)互訪需求，而且對(duì)互訪需要強(qiáng)大靈活的控制手段。

?

網(wǎng)絡(luò)安全要求

目前，很多電子政務(wù)網(wǎng)解決方案缺乏整體的安全規(guī)劃，多是網(wǎng)絡(luò)安全設(shè)備的簡(jiǎn)單堆砌，僅僅能解決局部的、特定的安全隱患，例如通過(guò)防火墻抵御外部發(fā)起的攻擊、通過(guò)IDS檢測(cè)入侵行為等等。目前解決這些安全問題的方式往往是事后的亡羊補(bǔ)牢，還無(wú)法做到早期的預(yù)防、檢測(cè)以及整網(wǎng)聯(lián)動(dòng)的智能主動(dòng)防御。

?

綜合管理要求

電子政務(wù)外網(wǎng)規(guī)模較大，承載的業(yè)務(wù)會(huì)越來(lái)越多，因此對(duì)網(wǎng)絡(luò)的管理功能提出了很高的要求。而且這種網(wǎng)絡(luò)管理不僅僅局限于對(duì)網(wǎng)絡(luò)設(shè)備的管理，更多是要求對(duì)網(wǎng)絡(luò)資源的管理和調(diào)配，進(jìn)而能夠更好地支撐上層業(yè)務(wù)系統(tǒng)的正常運(yùn)行。

華為公司電子政務(wù)外網(wǎng)解決方案簡(jiǎn)介

?

基礎(chǔ)網(wǎng)絡(luò)解決方案

電子政務(wù)外網(wǎng)作為電子政務(wù)外網(wǎng)骨干，負(fù)責(zé)連接各下級(jí)電子政務(wù)外網(wǎng)，整網(wǎng)包括核心城域網(wǎng)、廣域骨干網(wǎng)、互聯(lián)網(wǎng)出口、核心網(wǎng)絡(luò)管理中心、地市接入網(wǎng)、各部委局署接入網(wǎng)等幾個(gè)重要部分。

其中，核心城域網(wǎng)的規(guī)劃簡(jiǎn)單如下：核心以路由器組網(wǎng)為主，傳輸帶寬采用2.5G，為加快核心層數(shù)據(jù)轉(zhuǎn)發(fā)和保護(hù)關(guān)鍵數(shù)據(jù)，大都采用環(huán)網(wǎng)技術(shù)，即租用電信運(yùn)營(yíng)商的SDH設(shè)備和傳輸線路，將核心設(shè)備進(jìn)行環(huán)形連接；也可以只租用裸光纖線路，采用RPR（彈性分組環(huán)）環(huán)網(wǎng)技術(shù)進(jìn)行環(huán)形組網(wǎng)。從技術(shù)先進(jìn)性和便于維護(hù)的角度來(lái)看，城域網(wǎng)核心大多采用RPR來(lái)建設(shè)?？蛇x用了多臺(tái)華為公司的Quidway? NetEngine 80E核心路由器組成一個(gè)2.5G的RPR環(huán)；匯聚層設(shè)備可以采用路由器（支持E1接入）也可以采用交換機(jī)（支持GE/FE接入），匯聚層設(shè)備要求支持MPLS VPN，能夠承擔(dān)PE的功能并且需要支持NAT多實(shí)例功能，以支持不同接入用戶在地址重疊的情況下能夠通過(guò)NAT多實(shí)例功能翻譯成不同的地址。匯聚層可選用華為公司的Quidway? NetEngine 40/40E核心路由器，也可采用華為公司Quidway? S8500高端交換機(jī)。一般來(lái)說(shuō)，如果數(shù)據(jù)流量模型以縱向?yàn)橹?，那么建議選用路由器，如果以橫向交互數(shù)據(jù)流居多，則選用交換機(jī)。

廣域骨干網(wǎng)路由設(shè)備要求支持MPLS VPN（MPLS VPN 是目前電子政務(wù)外網(wǎng)建設(shè)中最常使用的邏輯虛擬專網(wǎng)劃分技術(shù)手段）和QOS（端到端服務(wù)質(zhì)量保證是電子政務(wù)外網(wǎng)建設(shè)中的基本需求）功能。從可靠性角度考慮，廣域骨干網(wǎng)路由設(shè)備應(yīng)支持關(guān)鍵部件全冗余配置以及NSF（不間斷路由轉(zhuǎn)發(fā)）和GR（平滑重啟）功能。從接口上看，廣域骨干網(wǎng)路由設(shè)備應(yīng)支持2.5G/155M CPOS，GE/FE 等接口。廣域骨干網(wǎng)可選用華為公司的Quidway? NetEngine 40/40E核心路由器，租用運(yùn)營(yíng)商GE或者SDH 155M接口與核心城域網(wǎng)匯聚層的設(shè)備相連。這種組網(wǎng)模式示意圖如下：

?圖一：某電子政務(wù)外網(wǎng)組網(wǎng)示意圖

業(yè)務(wù)互訪解決方案

電子政務(wù)外網(wǎng)作為統(tǒng)一的網(wǎng)絡(luò)平臺(tái)將接入眾多的政務(wù)部門，各政務(wù)部門之間需要相互隔離以及靈活的受控互訪，電子政務(wù)外網(wǎng)上將形成復(fù)雜的互訪關(guān)系。以下圖示意。

圖二：電子政務(wù)外網(wǎng)業(yè)務(wù)互訪關(guān)系示意圖

根據(jù)各自實(shí)現(xiàn)的功能不同，將電子政務(wù)外網(wǎng)分為三個(gè)獨(dú)立的功能區(qū)：縱向業(yè)務(wù)區(qū)、公眾服務(wù)區(qū)、資源共享區(qū)?？v向業(yè)務(wù)區(qū)是各個(gè)縱向政府部門在電子政務(wù)外網(wǎng)上劃分出來(lái)的虛擬邏輯專網(wǎng)，負(fù)責(zé)傳送各政府部門自身的業(yè)務(wù)數(shù)據(jù)，彼此之間嚴(yán)格安全隔離。公眾服務(wù)區(qū)是電子政務(wù)外網(wǎng)上劃分出的對(duì)公眾服務(wù)的部分，包括各類WEB/FTP公眾服務(wù)器。資源共享區(qū)是電子政務(wù)外網(wǎng)內(nèi)部各縱向業(yè)務(wù)系統(tǒng)之間需要共享和交互的數(shù)據(jù)。三者之間的互訪關(guān)系如上圖所示，縱向業(yè)務(wù)區(qū)用戶具有最高訪問權(quán)限，可以訪問公眾服務(wù)區(qū)（提取公眾需求），可以訪問資源共享區(qū)（用于各縱向業(yè)務(wù)區(qū)用戶之間交互數(shù)據(jù)），可以訪問INTERNET（資料查詢等）。資源共享區(qū)具有次高訪問權(quán)限，不能訪問縱向業(yè)務(wù)區(qū)，但可以訪問公眾服務(wù)區(qū)（提取公眾需求）。公眾服務(wù)器區(qū)訪問權(quán)限最低，只能和INTERNET進(jìn)行交互，不能進(jìn)入縱向業(yè)務(wù)區(qū)也不能進(jìn)入資源共享區(qū)。所有業(yè)務(wù)訪問關(guān)系在技術(shù)上是通過(guò)MPLS VPN來(lái)實(shí)現(xiàn)的。

我們以縱向業(yè)務(wù)系統(tǒng)為例說(shuō)明其如何實(shí)現(xiàn)對(duì)其余區(qū)域的訪問

（1）縱向業(yè)務(wù)系統(tǒng)對(duì)互聯(lián)網(wǎng)和公眾服務(wù)區(qū)的訪問

圖三：縱向業(yè)務(wù)系統(tǒng)對(duì)互聯(lián)網(wǎng)和公眾服務(wù)區(qū)的訪問示意圖

縱向業(yè)務(wù)系統(tǒng)對(duì)互聯(lián)網(wǎng)和公眾服務(wù)區(qū)的訪問都需要做NAT，可能在PE上，也可能在用戶的接入防火墻上。通過(guò)NAT，將用戶的私網(wǎng)地址翻譯成電子政務(wù)外網(wǎng)統(tǒng)一分配的地址，以這個(gè)地址實(shí)現(xiàn)對(duì)公眾服務(wù)區(qū)（公眾服務(wù)器同樣分配電子政務(wù)外網(wǎng)地址）訪問和對(duì)互聯(lián)網(wǎng)的訪問。在訪問互聯(lián)網(wǎng)時(shí)可能需要在出口設(shè)備上將電子政務(wù)外網(wǎng)地址二次翻譯成ISP地址，這要視具體實(shí)現(xiàn)方式而定。某縱向業(yè)務(wù)系統(tǒng)接入的PE設(shè)備（如工商系統(tǒng)接入的PE）需要設(shè)置靜態(tài)路由指向其余業(yè)務(wù)系統(tǒng)（如稅務(wù)）接入的PE設(shè)備地址，以直接訪問其余業(yè)務(wù)系統(tǒng)（如稅務(wù)）對(duì)外發(fā)布的公眾服務(wù)器（如WEB服務(wù)器），同時(shí)需要設(shè)置缺省路由指向互聯(lián)網(wǎng)出口PE。

（2）縱向業(yè)務(wù)系統(tǒng)對(duì)共享資源區(qū)的訪問

縱向業(yè)務(wù)系統(tǒng)對(duì)共享資源區(qū)的訪問并不是縱向業(yè)務(wù)系統(tǒng)用戶直接訪問共享資源區(qū)，而是通過(guò)前置機(jī)的方式訪問?？v向業(yè)務(wù)系統(tǒng)（如工商）將自己需要和其余縱向業(yè)務(wù)系統(tǒng)（如稅務(wù)）交互的數(shù)據(jù)通過(guò)安全的方式（如網(wǎng)閘）由內(nèi)部服務(wù)器導(dǎo)入到前置機(jī)上。所有縱向業(yè)務(wù)系統(tǒng)的前置機(jī)自己成為一個(gè)單獨(dú)的VPN，共享資源區(qū)成為一個(gè)共享VPN，共享VPN可以和所有縱向業(yè)務(wù)系統(tǒng)前置機(jī)VPN實(shí)現(xiàn)互通，實(shí)現(xiàn)邏輯星型連接，此方式下數(shù)據(jù)流模型為集中式。也可采用分布式數(shù)據(jù)流模型，所有縱向業(yè)務(wù)系統(tǒng)前置機(jī)VPN根據(jù)應(yīng)用系統(tǒng)要求通過(guò)RT值控制直接進(jìn)行互訪以交互數(shù)據(jù)。兩種方式視具體情況和要求而定。

?

安全滲透解決方案

安全滲透網(wǎng)絡(luò)的核心理念是將安全滲透到網(wǎng)絡(luò)的角角落落。安全不再是安全產(chǎn)品的簡(jiǎn)單堆砌，而是整體全面的安全規(guī)劃以及全網(wǎng)設(shè)備的安全聯(lián)動(dòng)。安全滲透網(wǎng)絡(luò)包括三個(gè)部分：端點(diǎn)安全、威脅抵御、基礎(chǔ)安全功能。

（1）端點(diǎn)安全

目前的電子政務(wù)網(wǎng)絡(luò)建設(shè)中，建設(shè)者們往往重視來(lái)自于網(wǎng)絡(luò)外部的攻擊或者病毒，通常采取在網(wǎng)絡(luò)出口設(shè)置防火墻的方式來(lái)抵御外部的威脅。但建設(shè)者們卻往往忽略了來(lái)自網(wǎng)絡(luò)內(nèi)部的攻擊和病毒，認(rèn)為網(wǎng)絡(luò)內(nèi)部的用戶都是可信任用戶，結(jié)果正是這一點(diǎn)成為網(wǎng)絡(luò)安全最為薄弱的環(huán)節(jié)。因?yàn)殡娮诱?wù)網(wǎng)內(nèi)部任何一臺(tái)用戶終端的安全狀態(tài)（主要是指終端的防病毒能力、補(bǔ)丁級(jí)別和系統(tǒng)安全設(shè)置）都將直接影響到整個(gè)網(wǎng)絡(luò)的安全。如果某臺(tái)終端感染了病毒，它將不斷在網(wǎng)絡(luò)中試圖尋找下一個(gè)受害者，并使其感染，在一個(gè)沒有對(duì)內(nèi)部用戶進(jìn)行有效安全防護(hù)的電子政務(wù)網(wǎng)絡(luò)中，最終的結(jié)果可能是全網(wǎng)癱瘓。所以，加強(qiáng)對(duì)電子政務(wù)網(wǎng)內(nèi)部用戶的管理和控制是解決電子政務(wù)網(wǎng)安全漏洞的重要手段。華為公司的安全解決方案通過(guò)安全客戶端、安全策略服務(wù)器、接入設(shè)備以及防病毒軟件聯(lián)動(dòng)，可以將不符合安全要求的終端限制在“隔離區(qū)” 內(nèi)，防止“危險(xiǎn)”終端對(duì)網(wǎng)絡(luò)安全損害，避免“易感”終端受病毒、蠕蟲的攻擊。

（2）威脅抵御

針對(duì)惡意的攻擊行為進(jìn)行深度檢測(cè)，并通過(guò)安全設(shè)備和網(wǎng)絡(luò)設(shè)備的安全聯(lián)動(dòng)策略來(lái)控制攻擊行為。一個(gè)黑客發(fā)起了攻擊，網(wǎng)絡(luò)設(shè)備會(huì)將這種攻擊行為的數(shù)據(jù)轉(zhuǎn)發(fā)到安全設(shè)備，安全設(shè)備將數(shù)據(jù)上報(bào)給管理中心，管理中心通過(guò)分析，確認(rèn)這是一個(gè)攻擊行為，并下發(fā)針對(duì)這一攻擊行為的安全策略給安全設(shè)備。安全設(shè)備將這一安全策略轉(zhuǎn)發(fā)給網(wǎng)絡(luò)設(shè)備，網(wǎng)絡(luò)設(shè)備就會(huì)按照安全策略阻止后續(xù)攻擊。

（3）基礎(chǔ)安全功能

將安全功能和安全設(shè)備天然的融合到網(wǎng)絡(luò)設(shè)備中，如在路由器上提供防火墻功能和VPN功能。使安全策略更加易于控制和部署。

?

綜合管理解決方案

電子政務(wù)外網(wǎng)由于面向用戶眾多，設(shè)備分布區(qū)域較大，因此網(wǎng)絡(luò)的管理就非常的重要。華為公司提供強(qiáng)大的網(wǎng)絡(luò)設(shè)備管理軟件，實(shí)現(xiàn)正常的網(wǎng)絡(luò)管理功能外，在故障管理和配置管理上更加人性化，滿足管理人員的實(shí)際需求。

除了設(shè)備管理軟件之外，華為公司還提供MPLS VPN業(yè)務(wù)管理軟件，通過(guò)圖形化簡(jiǎn)單的操作實(shí)現(xiàn)對(duì)復(fù)雜VPN網(wǎng)絡(luò)的輕松管理和資源調(diào)度。MPLS VPN管理軟件同時(shí)支持MPLS L2/L3 VPN，可以同時(shí)管理BGP/MPLS VPN（RFC 2547bis）、MPLS L2 VPN（VPLS、Martini、Kompella），實(shí)現(xiàn)了“多種VPN業(yè)務(wù)，單點(diǎn)集中運(yùn)維”的需求，降低管理成本，提高工作效率。

MPLS VPN管理軟件采用直觀的業(yè)務(wù)規(guī)劃，使用圖形化、向?qū)Щ姆绞?，幫助管理員快速完成VPN業(yè)務(wù)規(guī)劃，并可直觀的進(jìn)行“業(yè)務(wù)預(yù)覽”，即在業(yè)務(wù)尚未部署到設(shè)備之前，就可在業(yè)務(wù)管理系統(tǒng)中看到業(yè)務(wù)實(shí)施后的效果（如VPN拓?fù)浣Y(jié)構(gòu)、VPN內(nèi)各站點(diǎn)間邏輯連接關(guān)系），避免業(yè)務(wù)規(guī)劃過(guò)程中人為的錯(cuò)誤。

MPLS VPN管理軟件提供多種有效的業(yè)務(wù)監(jiān)控手段，從而保證VPN業(yè)務(wù)質(zhì)量：VPN配置審計(jì)、VPN連通性審計(jì)、端到端的網(wǎng)絡(luò)性能（時(shí)延、丟包、抖動(dòng)）監(jiān)控、圖形化的流量/ 帶寬利用率監(jiān)控、智能的業(yè)務(wù)告警分析，幫助管理員快速排障、及時(shí)了解業(yè)務(wù)狀況。

能夠提供完善的客戶管理機(jī)制，可以維護(hù)VPN客戶的各種信息，并提供豐富的客戶業(yè)務(wù)租用報(bào)表、資源租用報(bào)表、性能數(shù)據(jù)報(bào)表、流量數(shù)據(jù)報(bào)表和故障數(shù)據(jù)報(bào)表等，便于管理員有效的管理VPN 客戶。

完善的系統(tǒng)安全提供靈活的用戶分權(quán)策略（可按照對(duì)象＋操作給用戶授權(quán)），方便用戶按照管理員實(shí)際業(yè)務(wù)職責(zé)來(lái)分權(quán)；提供簡(jiǎn)便易用的數(shù)據(jù)庫(kù)備份工具，簡(jiǎn)化系統(tǒng)管理員數(shù)據(jù)備份的工作；提供Watchman異地雙機(jī)備份組件，保證系統(tǒng)的高可用性；提供詳盡的用戶操作日志記錄、任務(wù)操作日志記錄，便于事后跟蹤。

靈活的拓?fù)涮峁┴S富的網(wǎng)絡(luò)拓?fù)滹@示視圖：網(wǎng)絡(luò)視圖（PECE之間的連接關(guān)系）、客戶視圖（CE-CE 之間連接管理）、VPN視圖（每個(gè)VPN顯示為一個(gè)節(jié)點(diǎn)）功能，并提供放大、縮小、定位節(jié)點(diǎn)、鳥瞰圖、節(jié)點(diǎn)搜索、多選等操作；并可按照客戶、VPN過(guò)濾、AS、VPN類型等過(guò)濾顯示；對(duì)于VPN內(nèi)節(jié)點(diǎn)數(shù)目較大、之間的邏輯鏈接過(guò)多提供更細(xì)節(jié)的過(guò)濾顯示功能；拓?fù)淠軌蚍从硺I(yè)務(wù)實(shí)際運(yùn)行狀態(tài)。

總結(jié)

華為公司在深入理解電子政務(wù)網(wǎng)絡(luò)的基礎(chǔ)上，分析了電子政務(wù)網(wǎng)絡(luò)建設(shè)中存在的一系列問題，并針對(duì)性地提出解決方案。這是華為公司承建眾多電子政務(wù)網(wǎng)絡(luò)建設(shè)工程后的寶貴經(jīng)驗(yàn)的積累。

華為公司電子政務(wù)解決方案的支撐技術(shù)

強(qiáng)大的MPLS VPN技術(shù)

電子政務(wù)網(wǎng)建設(shè)的主要目標(biāo)是：建立一個(gè)開放的、基于標(biāo)準(zhǔn)的電子政務(wù)統(tǒng)一網(wǎng)絡(luò)平臺(tái)，避免重復(fù)建設(shè)。在電子政務(wù)的統(tǒng)一網(wǎng)絡(luò)平臺(tái)之上，實(shí)現(xiàn)政府不同部門之間的信息交換和資源共享，面向公眾提供服務(wù)，增強(qiáng)各部門工作的透明度。但是在實(shí)現(xiàn)政府不同部門之間的信息交換和資源共享同時(shí)，如何保證政務(wù)內(nèi)網(wǎng)、政務(wù)外網(wǎng)信息的安全性；如何保證同一行業(yè)不同部門尤其是保密部門業(yè)務(wù)和信息的安全性；如何保證不同行業(yè)之間業(yè)務(wù)和信息的安全性，是政府信息化建設(shè)面臨的不可避免的問題，安全對(duì)于政府來(lái)說(shuō)是至關(guān)重要的。MPLS VPN技術(shù)可以很好的解決該問題，通過(guò)將各機(jī)關(guān)部門辦公系統(tǒng)劃分為不同的VPN網(wǎng)絡(luò)，實(shí)現(xiàn)各部門辦公系統(tǒng)共享同一物理網(wǎng)絡(luò)，但是在邏輯上卻是相互隔離，從而既可以提高政府辦公的自動(dòng)化程度及效率，又可以保障各部門系統(tǒng)內(nèi)數(shù)據(jù)不被其他人訪問，滿足了政府辦公的安全需求。MPLS VPN技術(shù)作為一項(xiàng)有效的隔離技術(shù)，在靈活性、可擴(kuò)展性、易開展性等方面具有很強(qiáng)的優(yōu)勢(shì)，目前已經(jīng)成為電子政務(wù)網(wǎng)絡(luò)建設(shè)的主要支撐技術(shù)之一。

針對(duì)MPLS VPN技術(shù)的理解和實(shí)際部署經(jīng)驗(yàn)，華為采用了中國(guó)首個(gè)為IETF采納的數(shù)據(jù)通信標(biāo)準(zhǔn)草案HOPE(注：HOPE全稱是：Hiberarchy Of PE，即分層PE技術(shù)。HOPE是華為公司專有技術(shù)，2002年初正式向IETF提交并且獲得國(guó)際電聯(lián)專家委員會(huì)大力推薦的RFC國(guó)際技術(shù)標(biāo)準(zhǔn)草案。)，標(biāo)志著MPLS VPN大規(guī)模商業(yè)部署的技術(shù)條件已經(jīng)成熟。HOPE通過(guò)引入U(xiǎn)PE和SPE等角色和新構(gòu)建流程的方式解決了邊緣網(wǎng)絡(luò)設(shè)備對(duì)MPLS VPN和路由協(xié)議支持的性能等系列問題，將MPLS VPN的良好支持范圍覆蓋到了全線高端路由器、交換機(jī)甚至華為公司系列中低端路由器上，這成為我們選擇MPLS VPN技術(shù)體系作為電子政務(wù)網(wǎng)支撐技術(shù)的重要依據(jù)。結(jié)合HOPE 的MPLS VPN技術(shù)為新一代網(wǎng)絡(luò)系統(tǒng)提供了一個(gè)硬件平臺(tái)下構(gòu)建多個(gè)縱向業(yè)務(wù)網(wǎng)絡(luò)的有效途徑。不同業(yè)務(wù)類別、應(yīng)用區(qū)域從網(wǎng)絡(luò)層就開始的完全“獨(dú)立布設(shè)”使得網(wǎng)絡(luò)安全的部署更加簡(jiǎn)明和堅(jiān)固。(注：在分層PE的結(jié)構(gòu)中直接連結(jié)用戶的設(shè)備稱為下層PE“Underlayer PE”或“User-end PE”，即用戶側(cè)PE，簡(jiǎn)寫為UPE，連結(jié)UPE并位于網(wǎng)絡(luò)內(nèi)部的設(shè)備稱為上層PE“Superstratum PE”或“Sevice Provider-end PE”，即服務(wù)網(wǎng)絡(luò)側(cè)PE，簡(jiǎn)寫為SPE。)

華為也提供方便的MPLS VPN部署管理軟件—MPLS VPN MANAGER，使華為公司的MPLS提供能力位于業(yè)界的最高水平。

華為網(wǎng)絡(luò)設(shè)備在MPLS VPN的支持能力上經(jīng)過(guò)了多家第三方權(quán)威機(jī)構(gòu)的測(cè)試，并且在目前國(guó)內(nèi)政府行業(yè)、金融行業(yè)、教育行業(yè)及運(yùn)營(yíng)商的網(wǎng)絡(luò)上有大量的商用以及與其他廠商設(shè)備的互通實(shí)例。作為業(yè)界少數(shù)幾家能提供整網(wǎng)MPLS VPN技術(shù)的廠商之一，華為公司致力在電子政務(wù)建設(shè)中提供基于MPLS VPN技術(shù)的網(wǎng)絡(luò)受控互訪與安全隔離解決方案。

先進(jìn)的可控組播技術(shù)

政府有進(jìn)行多媒體培訓(xùn)的需求、有開展網(wǎng)上會(huì)議直播的時(shí)候，組播技術(shù)必不可少。但從目前業(yè)界的標(biāo)準(zhǔn)組播模型來(lái)看，是無(wú)法實(shí)現(xiàn)對(duì)組播源和組播用戶進(jìn)行有效控制的，也就是說(shuō)無(wú)法防止非法用戶和無(wú)法防止非法組播源，這對(duì)于政府開展網(wǎng)上培訓(xùn)和會(huì)議直播無(wú)疑在安全性和可靠性方面都存在問題。根據(jù)政府網(wǎng)的實(shí)際現(xiàn)狀，華為公司提出利用設(shè)備和業(yè)務(wù)管理系統(tǒng)配合在組播源和組播用戶加入前對(duì)兩者進(jìn)行認(rèn)證，以實(shí)現(xiàn)可控制的組播業(yè)務(wù)。

高效的可擴(kuò)展彈性網(wǎng)絡(luò)技術(shù)

在構(gòu)建政務(wù)網(wǎng)絡(luò)應(yīng)用平臺(tái)的過(guò)程中，除了廣域網(wǎng)的建設(shè)之外，政府辦公區(qū)域的局域網(wǎng)建設(shè)量也是非常大的，而且隨著局域網(wǎng)絡(luò)的不斷擴(kuò)展，如何多快好省地建設(shè)電子政務(wù)網(wǎng)絡(luò)平臺(tái)也面臨著不小的挑戰(zhàn)。

華為公司eXpandable Resilient Netwoking(XRN)可擴(kuò)展彈性網(wǎng)絡(luò)技術(shù)在建設(shè)政府的樓宇局域網(wǎng)、大型樓宇和園區(qū)網(wǎng)絡(luò)的骨干核心和網(wǎng)絡(luò)匯聚層以及大型園區(qū)網(wǎng)絡(luò)的過(guò)程中，不僅可以通過(guò)設(shè)備控制和調(diào)控各業(yè)務(wù)的享用帶寬，利用帶寬控制技術(shù)，為語(yǔ)音和數(shù)據(jù)等不同的業(yè)務(wù)提供不同優(yōu)先級(jí)服務(wù)，保證整個(gè)網(wǎng)絡(luò)的可用性；同時(shí)可以通過(guò)分步式的網(wǎng)絡(luò)建設(shè)提供更高效的電子政務(wù)建網(wǎng)方案, 實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)的高性能按需構(gòu)建，能夠提供性能靈活出色、性價(jià)比高的網(wǎng)絡(luò)。

圖1：基于XRN技術(shù)的高效率彈性局域網(wǎng)絡(luò) 圖1是演示如何利用XRN技術(shù)構(gòu)建政府局域網(wǎng)方案，XRN技術(shù)構(gòu)成的網(wǎng)絡(luò)核心冗余方案采用分布式路由技術(shù)完成路由交換冗余，采用分布式鏈路聚合技術(shù)完成第二層主干上連冗余。通過(guò)協(xié)同工作，可以智能分配網(wǎng)絡(luò)流量，必要時(shí)在冗余點(diǎn)之間形成負(fù)載共享。分布式設(shè)備管理技術(shù)，使得冗余系統(tǒng)幾乎不需要增加額外的系統(tǒng)配置管理負(fù)擔(dān)和用戶的投資，即增強(qiáng)網(wǎng)絡(luò)的可靠性，又?jǐn)U展網(wǎng)絡(luò)核心的整體性能，而同時(shí)網(wǎng)絡(luò)管理簡(jiǎn)單易行，有效減低管理成本和管理風(fēng)險(xiǎn)，一舉而三得。

第五篇：電子政務(wù)公共服務(wù)解決方案

電子政務(wù)公共服務(wù)解決方案

發(fā)布時(shí)間:2007-05-27 作品簡(jiǎn)介

論文報(bào)告

方案背景：

建設(shè)公共服務(wù)型政府是新階段我國(guó)政府職能轉(zhuǎn)變的基本目標(biāo)，我們目前最大的挑戰(zhàn)是如何由過(guò)去的 管制型政府過(guò)渡成明天的服務(wù)型政府。電子政務(wù)是實(shí)現(xiàn)政府職能轉(zhuǎn)變的一個(gè)重要工具，它通過(guò)政府門戶網(wǎng)站提供公共服務(wù)，加強(qiáng)政府與企業(yè)，政府和公眾的溝通，方 便百姓辦事，充分展示和提高政府形象。目前我國(guó)電子政務(wù)公共服務(wù)以正處于后臺(tái)內(nèi)部整合，互聯(lián)互通，內(nèi)網(wǎng)、外網(wǎng)、政府門戶網(wǎng)站同時(shí)建設(shè)的時(shí)期，也正處于從內(nèi) 向外，從局部到系統(tǒng)的演進(jìn)發(fā)展階段。推動(dòng)各級(jí)政府門戶網(wǎng)站建設(shè)，提供公共服務(wù)是當(dāng)前電子政務(wù)的核心工作之一。

方案整體概述：

太極 計(jì)算機(jī)股份有限公司經(jīng)過(guò)長(zhǎng)期的行業(yè)積累和知識(shí)優(yōu)化，形成一套完整的電子政務(wù)公共服務(wù)解決方案，內(nèi)容包括：政策法規(guī)、政府工作動(dòng)態(tài)、辦事指南等信息發(fā)布服 務(wù)；個(gè)人戶籍、婚育、納稅及企業(yè)、團(tuán)體方面設(shè)立、資質(zhì)、生產(chǎn)、經(jīng)營(yíng)等政府辦事類服務(wù)；氣象、交通、水電、煤氣、醫(yī)療、衛(wèi)生、教育等公共事業(yè)信息服務(wù)；家政 中介、商品配送、車輛租賃和買賣等生活便民服務(wù)；以及政策法規(guī)、政府辦事、企業(yè)和個(gè)人信用等咨詢服務(wù)?？梢詾檎块T、公共事業(yè)服務(wù)企事業(yè)單位和社區(qū)服務(wù) 企事業(yè)單位等單位和部門，以及個(gè)人(城市居民和農(nóng)村居民)、企業(yè)、其他個(gè)人、團(tuán)體或組織建立起完善的公共服務(wù)系統(tǒng)。

方案功能內(nèi)容：

1、統(tǒng)一的政府門戶網(wǎng)站

太極電子政務(wù)公共服務(wù)解決方案為用戶建立統(tǒng)一的政府門戶網(wǎng)站，在門戶中將各種服務(wù)進(jìn)行整合和發(fā)布。通過(guò)這一門戶網(wǎng)站，公共服務(wù)對(duì)象可以了解、享受到信息發(fā)布、政府辦事、公共事業(yè)、生活便民和咨詢投訴等相關(guān)服務(wù)，實(shí)現(xiàn)一次登錄、按需使用。

2、完善的內(nèi)容管理

這樣的門戶中必然涉及大量的對(duì)公服務(wù)信息，這些信息又來(lái)自政府、公共事業(yè)服務(wù)企事業(yè)單位、社區(qū)和服務(wù)企事業(yè)單位等不同途徑，從運(yùn)營(yíng)的角度而言，由一家單 位或部門完成所有內(nèi)容的維護(hù)是不現(xiàn)實(shí)的。太極電子政務(wù)公共服務(wù)解決方案提供了完善的內(nèi)容管理功能，它通過(guò)建立在多級(jí)組織、角色、權(quán)限基礎(chǔ)上的采、編、發(fā)機(jī) 制，讓每一個(gè)提供服務(wù)的單位獨(dú)立完成自我內(nèi)容的管理。

3、網(wǎng)上審批及協(xié)同處理的交互機(jī)制

對(duì)公共服務(wù)中往往涉及大量的協(xié)同政務(wù)和協(xié) 同事務(wù)的網(wǎng)上辦理，如戶籍、婚育、財(cái)產(chǎn)、納稅及企業(yè)、團(tuán)體方面設(shè)立、資質(zhì)、納稅；交通、供電、自來(lái)水、煤氣、醫(yī)療、衛(wèi)生、教育等，這些服務(wù)往往需要由多個(gè) 單位或部門協(xié)同完成。太極電子政務(wù)公共服務(wù)解決方案通過(guò)工作流、信息交換等技術(shù)的采用，形成網(wǎng)上審批及協(xié)同處理的交互機(jī)制，可以更好的為對(duì)公服務(wù)提供輔助 作用。

4、有效的內(nèi)、外網(wǎng)信息交換機(jī)制

公共服務(wù)門戶主要采用外網(wǎng)提供服務(wù)、受理申請(qǐng)和內(nèi)網(wǎng)提供信息發(fā)布、業(yè)務(wù)辦理的工作方式，太極電子政務(wù)公共服務(wù)解決方案中提供的內(nèi)、外網(wǎng)信息交換機(jī)制將內(nèi)容管理和網(wǎng)上審批這兩大環(huán)節(jié)有效的結(jié)合在一起，成為資源整合的有力保障。

5、全面的過(guò)程跟蹤

電子政務(wù)的宗旨就是政務(wù)公開、服務(wù)便捷，太極電子政務(wù)公共服務(wù)解決方案通過(guò)全面的過(guò)程跟蹤、全文檢索、多種終端接入模式以及咨詢投訴等功能實(shí)現(xiàn)這一目 的。服務(wù)對(duì)象通過(guò)門戶提交服務(wù)申請(qǐng)后，可以通過(guò)辦事指南了解整個(gè)服務(wù)的過(guò)程，并且可以隨時(shí)了解該項(xiàng)服務(wù)的具體辦理情況和辦理狀態(tài)。

6、滿足全文檢索要求

它的全文檢索機(jī)制包括條件查詢和內(nèi)容查詢，方便服務(wù)對(duì)象在龐雜繁多的信息中迅速、準(zhǔn)確的找到需要的信息。

7、實(shí)現(xiàn)多種終端接入模式

這套方案還提供了計(jì)算機(jī)、電話、手機(jī)、信息亭、數(shù)字電視等多種終端接入方式，結(jié)合網(wǎng)絡(luò)化的后臺(tái)公共服務(wù)資源，為更廣泛公眾提供服務(wù)，開展多樣化、有效的公共服務(wù)工作。

8、咨詢投訴

該方案中還提供統(tǒng)一入口、分發(fā)機(jī)制，完成主要政策法規(guī)、政府辦事、企業(yè)和個(gè)人信用、教育升學(xué)、旅游咨詢和辦理、職業(yè)介紹和職業(yè)技能培訓(xùn)、商務(wù)輔助、心理咨詢等信息的網(wǎng)絡(luò)在線咨詢以及投訴服務(wù)。

9、提供對(duì)公共服務(wù)的全面監(jiān)管

這樣一整套內(nèi)容多元、涉及部門眾多、服務(wù)對(duì)象廣泛的電子政務(wù)公共服務(wù)提訊系統(tǒng)，整體監(jiān)管和維護(hù)是必不可少的。太極電子政務(wù)公共服務(wù)解決方案中的公共服務(wù) 管理中心，就是起到了全面監(jiān)管和維護(hù)的作用。公共服務(wù)管理中心統(tǒng)一管理公共服務(wù)門戶的運(yùn)行、公共服務(wù)信息發(fā)布的流程和內(nèi)容、門戶中各項(xiàng)服務(wù)出入口的設(shè)置、服務(wù)對(duì)象服務(wù)申請(qǐng)的內(nèi)容和結(jié)果，并且維護(hù)公共服務(wù)的基礎(chǔ)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)，對(duì)服務(wù)辦理過(guò)程進(jìn)行監(jiān)管，對(duì)服務(wù)對(duì)象提請(qǐng)的咨詢投訴進(jìn)行統(tǒng)一分發(fā)。太極電子政務(wù)公 共服務(wù)解決方案通過(guò)公共服務(wù)管理中心，對(duì)各種發(fā)布信息、流程信息、交互信息、基礎(chǔ)設(shè)計(jì)以及各種辦理活動(dòng)和辦理狀態(tài)進(jìn)行全面監(jiān)管，體現(xiàn)了電子政務(wù)寓監(jiān)管于服 務(wù)的要求，保證了政府信息的權(quán)威性、實(shí)時(shí)性和活動(dòng)的公開性。

方案總結(jié)：

太極電子政務(wù)公共服務(wù)解決方案，同時(shí)考慮到了服務(wù)提供方和 服務(wù)對(duì)象方的需要，一方面，它通過(guò)建立門戶網(wǎng)站、進(jìn)行內(nèi)容管理等功能，信息交換、流程交互機(jī)制和全面全程監(jiān)管的公共服務(wù)管理中心，對(duì)服務(wù)提供方的全部工作 內(nèi)容進(jìn)行有效整合，使龐雜繁瑣的工作系統(tǒng)化、模塊化、流程化，既提高了有關(guān)部門的工作效率，又保證了政府信息的權(quán)威性、實(shí)時(shí)性、公開性，實(shí)現(xiàn)了電子政務(wù)的 服務(wù)目標(biāo)。另一方面，這套解決方案為服務(wù)對(duì)象提供了全面的過(guò)程跟蹤、全文檢索、多種終端介入模式和咨詢投訴功能，使他們既能快速準(zhǔn)確找到所需信息，也能對(duì) 自己提出的服務(wù)申請(qǐng)進(jìn)行全程跟蹤，還可以隨時(shí)提出咨詢和投訴，實(shí)現(xiàn)了政府部門工作流程透明化，有利于公眾監(jiān)督，在政府與企業(yè)、政府與公眾之間真正搭建起了 一座溝通的橋梁。