一、 政府网络所面临的安全威胁
为了在新一轮的国际竞争中占据有利地位,各国都将电子政务的建设作为一项重要的工作,我国政务信息化的发展近年来也取得了很大的成绩,对国家信息产业的发展也起着重要的推动作用。但是,我国政政府网络也面临着越来越明显的安全挑战:以2004年度网络安全事件报告为例,网页篡改占45.91%,其余为垃圾邮件、蠕虫、网络仿冒、木马等。数字显示,政府网站最易成为攻击者选定的目标,其安全防范有待加强。
然而,行之有效的安全解决方案不能采用七拼八凑的方式,简单地堆叠到网上了事,而必须将各种安全防护设备整合到一个管理平台上,并进行统一管理和部署。
?边界安全
政府网络在向民众和其他机构开放的同时,也面临黑客攻击和非法入侵危险,它们将破坏服务和通信,使信息被窃或被篡改。
――边界防火墙部署在政府内网与外网间的网关上,从而可阻止各种类型的攻击,例如拒绝服务攻击。同时,它只允许授权用户登录企业网络。
?内部安全
内部威胁是政府面临的一个严重危险,特别是政府设施通常要对公众实行开放,则邮件、即时通信及FTP等方式往往都可以成为内部员工泄密的重要途径。
――首先对网络内部使用者的上网行为进行合理的规划,同时针对内部邮件、即时通讯、Web访问以及P2P通讯等进行全面管理与监控,通过各种过滤手段,规范政府员工的信息发送行为,以确保政府内部网络使用的保密性。
?互联网安全
一般情况下,政府机构之间通过互联网或其他公用网络处理事务和执行通信,当通信超出防火墙的安全范围而进入传送阶段时,容易被监听截取。
――政府应该使用支持虚拟专用网(VPN)的边缘防火墙。虚拟专用网能够在发送方与接收方之间,建立一种高加密数字“隧道”。所有的通信,甚至包括IP话音通信,均通过这种数字“隧道”执行传输,从而保护通讯免遭窥探。
?病毒与垃圾邮件
政府网一旦与互联网或其它公用网络相连,就会遭遇大量泛滥的垃圾邮件、病毒邮件,以及色情、政治相关信息的邮件,不但严重影响邮件系统的工作效率,危害到网络的正常运行,而且影响员工工作效率,甚至会带来一些极其不好的负面影响。
――使用 “亡羊补牢”式的防御工具,已经无法满足政府网络的需求。网关防毒工具已经成为一项迫切的需求,以在政府网络边缘阻止病毒邮件和垃圾邮件的入侵。
?应用系统的漏洞
政府协同办公平台、政府网站、政府邮件系统、政府网上报送审批平台等大量应用系统和数据平台存在于政府网中。
――存在的安全漏洞和隐患自然相应较多,也容易被攻击者利用来充当跳板。
考虑到政府网络分为内部专网与内部公网,内部公网通过有限出口接入Internet网,InfoGate只需简单地安装在政府网关处,即可保护最多的网络通讯使用协议――HTTP、FTP、SMTP、POP3、NetBios、IMAP,其中的内容过滤可以锁定未知病毒和蠕虫,阻止它们进入系统,同时可以实现反垃圾邮件、防火墙、泄密防范、VPN、上网管理等一系列功能,对政府网络安全起到了一体化、全方位的立体防御。
二、 政府网络InfoGate安全解决方案
典型案例分析
某市政府上网工程中的实际用户数在2500人左右,主干网的实际数据流量在5-10MB。过去,在网络运行的过程中发现病毒情况严重,分析下来主要来源于外部Internet网,经由内部邮件系统Lotus Domino传播而泛滥。此外,由于众多用户经常上网浏览很多站点,包括一些安全性不是很好的网站,而且还下载很多不同类型的软件,因此,通过HTTP和FTP感染病毒的情况也时有发生。鉴于某市政府上网工程中病毒威胁的实际情况,招商迪辰卓尔信息技术有限公司为市政府上网工程提供了网关级防毒解决方案――InfoGate
UTM安全网关。
由于该某市政府上网工程中的计算机较多,而且使用了各种不同的操作系统,病毒来源主要是Internet,同时其技术工程师提出不能改变政府网络的原有网络拓扑结构,也不希望在邮件服务器上安装防病毒软件增加原服务器的负载,因此推荐使用InfoGate
UTM安全网关。这个产品设计提供的高性能表现是由于集成了软件和硬件,因而允许更多的扫描进程,保护最多的网络通讯协议: HTTP、FTP、SMTP、POP3、NetBios、IMAP。并且具有高扩展能力和容错性,安装配置也非常简单,其中的内容过滤可以锁定未知病毒和蠕虫,阻止它们进入系统。
由于InfoGate UTM安全网关可以被设置为网桥模式,直接检测网络中的信息包,因此它可以被安装在任何网络配置中,不管服务器和工作站是什么操作系统。结合该市政府上网工程的实际,招商迪辰卓尔公司将InfoGate UTM安全网关部署在防火墙之后。
政府行业InfoGate方案网络拓朴图:
方案点评:
?安装和配置极其简单
?功能模块化,高度可拓展性,适用于各种大、中型网络
?方便、直观的管理界面
?强大的容错功能
?特征库文件的每日自动及智能化更新
?详细的系统日志和报警功能