政府网络面临着需求和安全的挑战。一方面,为满足公众对更好、更有效服务的要求,他们必须改进在线业务和数据共享的交付方式。另一方面,他们又必须保护所有的信息和过程免受黑客攻击、数字攻击和其他在线威胁。特别是随着数据和话音网络的不断增长,通过增强服务会进一步提高生产效率和公众访问水平。因此,在这种条件下,政府机构必须加强数据和话音网络的安全性。
然而,行之有效的安全性不能采用零敲碎打的方式,简单地放到网上了事,而必须嵌入网络基础设施的每个部件之中。为实现这种高水平的安全性,网络设备的设计应该坚持以通信安全的三大支柱为核心:保密性、完整性和可用性。也就是说,它们必须提供纵深、高安全、可扩展和抗干扰的防护功能,同时还要提供政府机构需求的全部带宽密集型服务。
本文将概要阐述政府机构网络存在的主要弱点,同时诠释政府如何实现居民所需求的全方位安全性。
边界安全
当政府向居民和其他机构开放网络时,他们将面临两种基本威胁。一是黑客攻击,它将破坏服务和通信的提供。二是无赖之徒实施的入侵活动。这些人将设法通过公用门户侵入网络,窃取或窜改敏感信息。
边界防火墙系统通过在网络周围竖起电子屏障来防止这些危险之徒的破坏活动。由于边界防火墙部署在内部系统与互联网等外部网络之间的网关上,因此能够阻止各种类型的攻击,例如拒绝服务攻击。同时,它只允许授权用户登录企业网络。
内部安全
虽然边界防火墙是一个重要的安全部件,但它仍不能防止心怀不轨的员工在网络内部从事盗窃活动。因此,内部威胁仍然是政府面临的一个严重危险,特别是政府设施通常要对公众实行开放。为了在政府局域网内部实现他们需要的纵深安全性,政府网络应该全面支持RADIUS验证标准,因为该标准只准许授权用户进入局域网。此外,政府还可以从交换解决方案中受益无穷,因为这种解决方案支持访问控制表(ACL)。访问控制表只允许合法用户检索网络内部规定的目录或文件。
为了真正提供强有力的保护,政府应该在设备级部署防火墙。例如,3Com嵌入式防火墙就是安装到服务器、台式系统、笔记本电脑等设备的网络接口卡(NIC)和PC卡,其目的是提供防火墙功能。它们只允许设备访问那些它们拥有授权的服务器和应用系统。因此,这种创新模式允许政府严格执行安全策略,同时又有利于居民处理各种事务和共享数据。
互联网安全
一般情况下,各个站点、供应商和其他政府机构之间通过互联网或其他公用网络处理居民事务和执行通信。当通信超出企业防火墙的安全范围而进入传送阶段时,容易被截取,因此面临无法接受的安全危险。为了解决这个问题,政府应该使用支持虚拟专用网(VPN)的边缘防火墙。虚拟专用网能够在发送方与接收方之间,建立一种高加密数字“隧道”。所有的通信,甚至包括IP话音通信量,均通过这种数字“隧道”执行发送,从而保护通信免遭窥探。
无线安全
无论是新建网站还是扩展现行网络,无线系统均已证明是一种经济而有效的优势技术。然而,管理员担心有人会中途拦截保密无线通信。但无线解决方案能通过提供当前最先进的安全和验证功能,为政府提供不受任何限制的实用网络。如果使用IEEE工业标准802.1×安全技术,将允许政府以无线方式建设或扩展网络,并相信他们完全符合所有的安全指令。
弹性
当设施内的通信被中断时,政府将需要弹性解决方案来保证服务的连续性。3Com公司推出的XRN™(可扩展的弹性网络)技术是通过在许多交换机之间分配网络骨干来满足政府的上述需求。即使1个核心交换机停止提供服务,基础设施仍将继续运行,不受任何影响。
而且,所有的网络产品必须在设计上注重易用性,这往往是容易被人们忽视的一个安全方面的问题。简化管理将有利于保证解决方案实现最大运营效率。使用基于网络的网管应用,管理员就能够以集中方式,管理和监视整个数据与话音基础设施,维护最高水准的可用性和性能。
提供保密性、完整性和可用性
如果采用为实现保密性、完整性和可用性而设计的网络解决方案,政府就能够实现全方位的端到端网络安全,从数据中心的服务器集群到远程站点或员工家里的无线笔记本电脑,应有尽有,无所不包。此外,政府网络解决方案应该完全基于标准,以保证和其他政府机构的系统实现互操作,由此打破信息孤岛,扩大合作范围。
使用这种立即可用的解决方案,政府就能够避免在服务与安全之间作出妥协。如果政府为在核心系统配置安全特性的解决方案进行投资,他们就能够扩展网络服务,同时提供经济、高效、强有力的保护,满足公众的期望。
