构建高安全政务网络

没有安全的网络，就像没有围墙的院落，随时随地会受到骚扰和侵犯。随着政务网络的不断发展和应用，网络受到的安全挑战越来越多。如何保证政务网络的全面安全是摆在建设与管理者面前的一个难题。

随着政务网络的层次化、分组化以及宽带化发展，政府部门越来越多的统计决策业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字化、网络化转变，这符合当前信息网络融合发展的趋势。多网融合对应用的安全性提出了更高的要求。

但目前政务网络还存在一些常见的问题：一是没有统一的网络授权控制策略，仅采用简单的口令控制，使用不便，而且难以确保口令的时效限制。二是机房中心访问控制与未来跨主机业务之间的矛盾，如不同政府部门之间的业务开展和结算等。三是网络规划基本上还是以简单办公业务需求为主，没有考虑到将来政府网络支持的业务对网络架构和安全要求提高后的平滑过渡。四是政务内网与政务外网之间的数据交换存在实时性与安全性之间的矛盾。因此，政务网络需要整体性的安全解决方案。

安全策略

完整的安全体系结构应覆盖系统的各个层面，由“网络级安全、应用级安全、系统级安全和管理级安全”四大部分组成。

网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的安全；应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在应用层保证对政务网络各种应用系统的信息访问合法性；系统级安全主要是通过对操作系统(UNIX、NT)的安全设置和主机监控，防止不法分子利用操作系统的安全漏洞对政务网络构成安全威胁；管理级安全主要是从建设内部安全管理、审计和计算机病毒防范三方面来保障政务网的安全。因此作为一个完整的系统，政务网络必须对网络系统进行全方位的考虑。

网络的安全覆盖系统的各个层面，包括网络传送、网络服务、应用安全、安全识别、安全防御、安全监控、审计分析、集中管理等多个方面。这需要依靠安全保护和安全管理进行全面防护。

针对政府的现有网络和业务的现状，华为认为，一个完整的网络安全方案应该由网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络资源的控制，而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控制，只有两者的完美结合，才能构成一个安全的系统。

政务内网是政府部门的内部网络，和外界网络完全隔离，所以安全问题可能出现在局域网内部和政务内网的广域网上。

解决方案

针对以太网存在的各种链路层和网络层安全隐患，华为Quidway S系列以太网交换机采用多种网络安全机制，包括访问控制、用户验证、防地址假冒、入侵与防范、安全管理等技术，提供了一个有效的网络安全解决方案。

在这个方案中，局域网内的访问控制的原则是只允许授权的用户访问某个主机，通过网络设备来提供这种保障。政务内网的数据库、服务器等资源是受限访问的。一般一个部门内的用户的权限是相同的，可以将这些用户划分在一个VLAN内，只要设置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。这样可以看出，基于VLAN的报文过滤是最简单实用的某个用户群的访问控制策略。可以设定华为Quidway S系列以太网交换机端口禁止或允许转发来自或去往某个VLAN的报文。Quidway S系列以太网交换机支持标准及扩展的ACL。可以通过标准的ACL只设定一个简单的地址范围，也可以使用扩展的ACL设定具体到协议、源地址范围、目的地址范围、源端口范围以及优先级与服务类型等。这样可以实现复杂的访问控制策略。

用户验证是保证接入政务内网的用户是合法的或通过某个以太网交换机端口接入政务内网局域网的用户是预先配置的。华为解决方案可提供的用户验证包括PPPoE验证、WEB验证、802.1x端口验证、VLAN验证、CA验证等等。

政务内网的局域网有可能受到入侵流量攻击，对于一些连接关键部门的端口，特别是连接广域网设备的端口和财务部门、领导部门的端口，可以将以太网交换机连接协议分析仪，通过报文镜象、报文统计来监控端口流量和统计某个应用流的流量。Quidway系列以太网交换机支持端口镜象和流镜象，通过基于ACL的报文包数和字节数统计，从而了解网络的运行状况，发现网络设备是否受到入侵攻击。

通过在局域网出口路由器与局域网相连的接口上或与骨干IP网相连的接口上配置ISPKeeper，可很好地抵御黑客对ISP进行的流量攻击，避免内部网络受到外部网络或骨干网的大流量访问和攻击而导致内网瘫痪。华为Quidway系列设备提供对多种系统信息的记录功能。

内网广域网的网络安全

政务内网广域网将省市县政务内网连接在一起，为政府的内部办公提供了极大的便利。但由于构成Internet的TCP／IP协议本身缺乏安全性，政务内网广域网的网络安全成为必须面对的一个实际问题。政务内网广域网网络上存在着各种类型的攻击方式，包括网络层攻击、应用级攻击和系统级攻击。针对政务内网广域网存在以上各种安全隐患，建议采取如下的网络级、应用级和系统级安全措施来保证广域网的安全。

在这种解决方案中，只有网络管理员才有权访问政务内网广域网路由器，所以对访问路由器的用户需要进行身份认证。政务内网广域网由骨干路由器组成，路由器之间需要对对端路由器的身份进行认证，对端路由器不仅仅指物理上的直接点对点相连的路由器，同时还包括虚拟的点对点(如通过隧道协议)相连的路由器。如县政务内网广域网路由器和省政务内网广域网骨干路由器之间需要身份认证。

访问控制分为对路由器的访问控制、基于IP地址的访问控制、基于用户的访问控制。为了保护政务内网广域网路由器的配置，对路由器的访问权限需要进行口令的分级保护。一般情况下，各级政府部门的政务内网的网络用户是通过IP地址来区分的，不同的用户具有不同的权限。通过路由器的包过滤可以实现基于IP地址的访问控制，可以实现对政务内网的重要资源的保护。另外，路由器也可以提供接人服务功能。对于已接入的用户来说，他们之间的权限有可能是不一样的。通过对用户设置特定的过滤属性，可实现对接入用户的访问控制。

为了避免政务内网广域网因为数据窃听而造成的信息泄漏，有必要对所传输的信息进行加密，只有与它通信的对端才能对此密文进行解密。通过对路由器所发送的报文进行加密，即使在广域网上进行传输，也能保证数据的私有性、完整性以及报文内容的真实性。对于利用公网构建VPN的情况，数据加密能够保证通过隧道传输的数据安全。MPLS VPN是实现VPN方案的技术之一，它使用基于标记的转发模式，MPLS VPN可以实现DDN的安全性能，但配置、管理、调度更方便，同时也降低了用户接入门槛。

政务内网的广域网路由器作为一个政务内网对外的接口设备，是攻击者进入政务内网的第一个攻击目标。如果路由器不提供攻击检测和防范，则也是攻击者进入内部网络的一个桥梁。华为NE、R系列路由器、s系列交换机上可提供报文过滤、ASPF攻击检测等特性，可实现有效融合业务与安全思路的组网方案，在攻击的第一阶段阻止攻击行为。

安全策略管理

内部网络与外部网络之间的每一个数据报文都会通过路由器，在路由器上进行报文的审计可以提供网络运行的必要信息，有助于分析网络的运行情况。

另一方面，路由器的安全运行牵涉到越来越多的安全策略，为了实现这些安全策略的有效利用，进行安全策略管理是必需的。

在骨干网上通过划分VPN或逻辑信道对不同的业务进行隔离，同时辅以安全访问控制功能，保证各业务系统、各级网络之间互不干扰，增强数据通信的安全性。

网管员可以形象地设定安全需求，策略管理中心自动进行策略的配置，并把策略下载到相应的网络设备上。