电子政务专网安全规划的解决方案(doc 6页).doc

安氏电子政务专网安全规划解决方案作者：来源：电子政务安全系统的建设任务是：为保护网络、信息及应用的安全，建立统一安全管理平台，部署合理的、可调整的，完全符合电子政务网络、信息及应用安全需求的安全策略，实现安全日志管理与统计分析，制定完善的安全审计策略，达到实时、动态监控全网的目标，对异常的安全事件能够进行追踪、分析、统计，对全网部署的安全设备、设施能够进行统一的管理、配置以及配置文件的统一备份和恢复。安氏互联网安全系统（中国）有限公司作为专业的网络安全公司，提供了先进的网络安全评估、入侵检测、内容安全、防火墙等产品，并致力于成为我国电子政务的安全合作伙伴和顾问。PADIMEE安全理念与业务结合安氏的目标是帮助用户建设完整、坚固的信息安全体系，因此，我们从用户对安全的需求出发，依托安氏在安全领域强大的实力，为用户提供全面的安全解决方案。安全是一个动态的过程，企业对安全系统的建设，是一个生命周期的循环过程，安氏提出了独特的PADIMEE方法论，并将自身业务和PADIMEE周期中的每个环节紧密地结合起来策略（Policy）、评估（Assessment）、设计（Design）、执行（Implementation）、管理（Management）、紧急响应（EmergencyResponse）、教育（Education）。针对用户的信息安全需求，安氏推出了由安全管理咨询、安全系统集成服务、安全客户支持、安全培训等一系列服务组成的完整解决方案，帮助用户在安全建设生命周期中获得良好的效果。方案解决之道构建动态防御系统安氏公司提供的针对政府的网络安全解决方案的目标是，保护网络安全有效的运行，保护网络中信息的保密性。首先，使用LinkTrustCyberWall防火墙产品实现各个内部子网之间、子网与关键应用服务器之间以及与其它所有外部网络的隔离与访问控制，通过配置防火墙安全策略对所有服务器的请求加以过滤，只允许正常通信的数据包到达相应服务器，其它的请求服务在到达主机前就遭到拒绝，当网络出现攻击行为或受到其它一些安全威胁时，进行实时的检测、监控、报告、预警和及时阻断。其次，使用能与防火墙系统联动的LinkTrust入侵检测系统（IDS），对服务器与重要保护网段加以监控、记录，并与防火墙一起构成一个动态的防御、报警系统。领信防火墙一站式解决方案领信防火墙主要采用透明、路由、NAT三种工作模式，充分满足用户网络结构的需求。提供LCD、SSH、Console、Web、GM等多种管理方式。支持内容过滤，包括智能URL封堵、恶意邮件过滤、Java、ActiveX、诡异木马探测等全方位的七层过滤功能。自身安全性高，采用专用的SecurityAppliance承载平台，从软硬件多角度多方位地保证系统自身安全。内置集成的入侵检测功能，其两百种以上攻击手法的检测与防范，为预算有限的企业用户提供一站式的完整经济的网络安全解决方案。通过与专用IDS的配合工作，动态调整安全策略，实时封杀攻击源。可提供基于访问控制规则的网关级流量镜像，可根据用户网络实际安全需求镜像流量到专用的IDS设备，为IDS可提供更高效率高可控的检测数据源。可提供具有保密性、安全性、低成本、配置简单等特性的虚拟专网服务（提供端到端和拨号用户到端的两种方式的VPN解决方案）。另外，LinkTrustCyberWall与带宽管理有效地结合在一起，为用户保证网络安全的同时，也防止了某些用户或通信大量占用带宽，既能避免造成网络阻塞甚至瘫痪，又能保证关键业务即使在网络繁忙时也可以正常工作。而且，LinkTrustCyberWall采用模块级别和处理方式相结合的方式配置日志，可以对单一模块、多个模块的组合以及所有模块指定处理方式。用户可以自主选择以不同的方式发送日志，包括本地共享内存、Syslog、SNMPTrap和Email告警。还有，对PPPoE和DHCP的支持，PPPoE模块专为ADSL/ISDN等拨号接入的用户而设计，利用PPPoE协议，防火墙可以方便地接入拨号网络，提供安全的网关防护功能。DHCP功能省去了公司企业为单独设置DHCP服务器所消耗的成本，防火墙在启用了DHCP功能后，内网用户可以直接从防火墙所提供的DHCP服务上获得相应的IP地址，极大节省了用户投资，方便了网络的统一管理。领信入侵监测系统实现动态保护防火墙的保护是必要的，但绝不仅仅是保护手段，特别是在某市电子政务专网中，有着许多极其重要的应用系统，这些系统能否正常运行直接关系到相关业务能否正常开展。因此，该市电子政务专网还需要一种动态和主动的保护机制，时刻检查和解析所有的访问请求和内容，一旦发现可疑的行为，及时做出适当的响应，以保证将系统调整到“最安全”和“风险最低”的状态。这种动态的保护机制就是入侵检测系统。入侵检测系统应具备以下特征：在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警与防护系统驱逐入侵攻击；在入侵攻击过程中，能减少入侵攻击所造成的损失；在被入侵攻击后，收集入侵攻击的相关信息，作为防范系统的知识，添加入知识库内，以增强系统的防范能力。网络入侵监测系统的一个重要功能在于可与防火墙联动，可有效减少IDS的部署数量，节约成本。本方案使用了安氏公司领信入侵检测系统LinkTrustNetworkDefender来构成实时入侵检测系统。LinkTrustNetworkDefender在功能和性能上具有强大的优势。NetworkDefender通过了中国信息安全产品测评认证中心的认证。NetworkDefender是领信入侵检测系统中的网络入侵检测产品，它采用了新一代的入侵检测技术，包括基于状态的协议分析技术、开放灵活的行为描述代码、安全的嵌入式操作系统、先进的体系架构、丰富完善的各种功能。它以不引人注目的方式最大限度地、全