第一篇:電子政務咨詢及解決方案(大全)
服務驅動、績效導向的電子政務咨詢服務與解決方案
一、全面的電子政務咨詢服務與解決方案
經過近年的建設,我國的電子政務已經基本完成了基礎設施的建設,以及內部應用的構建,目前電子政務正進入全新的發(fā)展階段:從重建設、輕應用向注重深化應用轉變;從信息網絡分散建設向現(xiàn)有資源整合利用轉變;從信息系統(tǒng)獨立運行向互聯(lián)互通和資源共享轉變;從信息管理偏重自我服務向注重公共服務轉變。
實現(xiàn)電子政務建設根本性的轉變,需要將企業(yè)信息化的最佳實踐引入到電子政務系統(tǒng)中,從設計、建設和實施等多個方面改進電子政務的工作。
在架構層面。打破已有業(yè)務和系統(tǒng)之間的界限,從面向公眾服務的一體化流程、跨部門的協(xié)同工作、以及信息系統(tǒng)互通的要求出發(fā),設計符合電子政務總體框架要求,滿足政府政務工作持續(xù)變革需求的電子政務整體設計。
在服務與信息資源層面。梳理政府的對外公眾服務事項、對內支撐服務工作、政務公開信息目錄,實現(xiàn)信息化提供業(yè)務支持。
在流程層面。以改進政府的服務效率,改進公眾的辦事體驗為目標,梳理現(xiàn)有工作流程,減少環(huán)節(jié),共享信息,通過信息技術提高流程的運轉效率。
在系統(tǒng)層面。打破原有的封閉的、自成體系的業(yè)務系統(tǒng),以服務、協(xié)同、知識管理和信息資源共享,構建互連互動、資源共享的跨部門、應用的集成化業(yè)務支撐系統(tǒng)。
長城戰(zhàn)略咨詢提供涵蓋頂層設計、需求分析和系統(tǒng)實施全面的電子政務咨詢與系統(tǒng)實施服務,鼎力支持電子政務的創(chuàng)新與實踐。
長城戰(zhàn)略咨詢提供的咨詢服務與解決方案包括:
電子政務頂層設計 服務目錄與資源目錄梳理
需求分析與系統(tǒng)實施咨詢
中心協(xié)作式電子政務解決方案
二、績效導向,服務驅動的電子政務頂層設計
對于政府部門來說,電子政務頂層設計是一個全面描述支持政府戰(zhàn)略規(guī)劃和信息技術的框架。頂層設計通過基本理念、標準和最佳實踐的指導,描述當前政府部門向未來愿景的發(fā)展方向,有助于利用信息技術推動政務活動的開展,并且?guī)椭罄m(xù)變革的有序進行。
長城戰(zhàn)略咨詢運用電子政府架構方法(Enterprise Architecture),借鑒美國政府的電子政府整體架構(FEA)和英國政府電子政府架構的經驗,為政府部門提供電子政府的頂層設計。
電子政務的頂層設計包括政府部門的績效架構、業(yè)務架構、服務架構、數據架構和技術架構,頂層設計是電子政務建設的架構層面的指導文件,作為系統(tǒng)建設的框架。
長城戰(zhàn)略咨詢?yōu)橹嘘P村管委會提供了電子政務的頂層設計咨詢服務,并為中關村管委會開展全面的信息化建設提供了戰(zhàn)略指導。
三、基于知識管理的服務目錄與資源目錄梳理 在王岐山市長“情況清、責任明、”的思想指導下,北京提出“四清兩統(tǒng)一”的電子政務推進思路。要求近期實現(xiàn)業(yè)務流程和協(xié)同工作清,網上服務清,信息資源清,實現(xiàn)路徑清,統(tǒng)一平臺,統(tǒng)一網絡,作為推進電子政務的基礎性工作。
服務與資源目錄要求邏輯清晰,分類明確,能充分反映政府部門的業(yè)務工作與服務內容;具有充分的擴展性,能夠隨政府部門業(yè)務的創(chuàng)新而擴展;同時需要遵循北京服務與資源目錄技術標準,實現(xiàn)與全市共享交換平臺的對接。
長城戰(zhàn)略咨詢運用流程管理和知識管理的相關理論與工具,進行政府部門的服務目錄與資源目錄的梳理,為實現(xiàn)政府部門核心業(yè)務系統(tǒng)的建設,內部的信息資源共享,以及部門之間的資源交換提供基礎。長城戰(zhàn)略咨詢先后完成了首都之窗全市政務公開目錄的梳理、中關村管委會服務目錄與資源目錄的梳理等工作。
四、業(yè)務導向的需求分析與系統(tǒng)實施咨詢
北京市提出了在2008年前盡快實現(xiàn)政府核心業(yè)務的全部信息化支撐的工作目標,通過核心業(yè)務系統(tǒng)的提升與聯(lián)通,帶動電子政務整體水平的提高。
清晰的業(yè)務流程,簡單而有效的系統(tǒng)功能設計以及強有力的實施推動是實現(xiàn)核心業(yè)務信息化的關鍵因素。
長城戰(zhàn)略咨詢從政府的業(yè)務需求出發(fā),以績效導向為目標,站在甲方立場,分析系統(tǒng)需求,設計系統(tǒng)功能,優(yōu)化業(yè)務流程,并提供系統(tǒng)實施的相關管理支持服務。長城戰(zhàn)略咨詢先后完成了北京市科委項目經費管理系統(tǒng)的實施咨詢、中關村管委會核心業(yè)務系統(tǒng)實施支持等工作。
中心協(xié)作式電子政務解決方案
長期以來,電子政務系統(tǒng)所蘊涵工作模型分類兩類:流程審批式和信息發(fā)布式,產生了一大批工作流審批系統(tǒng)以及信息門戶系統(tǒng),這兩類系統(tǒng)難以滿足中心協(xié)同式的工作模式。
中心協(xié)作式工作是政府組織常見的工作模式,某項工作由一個單位或處室牽頭,作為工作中的中心節(jié)點,負責工作的計劃、分工、組織、工作溝通、匯總成果等事項;由其他處室單位或處室協(xié)作配合,作為協(xié)作節(jié)點,負責完成交辦使用,匯報成果等工作,與中心節(jié)點共同完成任務。在中心協(xié)同式的工作模式中,需要系統(tǒng)對信息互動、文件傳遞、知識共享等領域提供強大支持,以滿足工作協(xié)同的要求。
長城戰(zhàn)略咨詢提供“中心協(xié)同式”電子政務平臺,基于該平臺,為政府部門提供定制化的解決方案。長城戰(zhàn)略咨詢先后完成了北京市信息辦“北京市電子政務管理服務系統(tǒng)”,通州開發(fā)區(qū)“通州開發(fā)區(qū)管理與企業(yè)服務平臺”,北京市科委“北京市專家顧問團知識管理系統(tǒng)”等電子政務系統(tǒng)。電子政務咨詢
電子政務普遍面臨的難題:
在新經濟環(huán)境下,如何站在產業(yè)發(fā)展、區(qū)域創(chuàng)新和組織核心能力發(fā)展的戰(zhàn)略高度,創(chuàng)造性地運用IT技術,提高政府的績效,打造服務型政府,是所有政府機構都必須面對的問題。電子政務咨詢服務 在多年的咨詢實踐中,形成了成熟的方法論以及豐富的案例經驗。運用公共管理、企業(yè)管理的理論以及信息化手段,優(yōu)化政府的業(yè)務流程,提高政府組織績效,促進政府機構向服務型政府、創(chuàng)新型政府轉變。我們提供以下服務:
· 電子政務規(guī)劃與系統(tǒng)頂層設計。從政府機構的定位、公共服務內容、業(yè)務需求出發(fā),結合國家及北京的電子政務整體發(fā)展要求,規(guī)劃政府機構的信息化發(fā)展方向,從頂層分析和設計電子政務系統(tǒng)的整體功能與互聯(lián)關系,為開展電子政務系統(tǒng)的建設提供方向指導。
· 電子政務甲方項目管理。從甲方的利益出發(fā),站在業(yè)務需求的角度,長城戰(zhàn)略咨詢?yōu)榭蛻籼峁┘追巾椖抗芾矸眨⒓追脚c技術開發(fā)商之間溝通的橋梁,完成業(yè)務流程梳理、系統(tǒng)需求設計、項目運行管理、項目監(jiān)理、系統(tǒng)實施支持等工作,使客戶從繁重、瑣碎、專業(yè)的電子政務項目管理工作中解放出來,集中進行決策和監(jiān)管工作。
· 政務信息資源管理咨詢。運用政務信息資源管理與知識管理的方法,梳理資源目錄、建立信息資源管理體系、實施政務信息管理系統(tǒng),解決信息資源快速增長所帶來的管理問題,充分發(fā)掘信息資源的價值,實現(xiàn)政府機構內部資源的共享與重用,建立符合信息資源交換平臺標準的機構間信息資源交換體系。
· 電子政務項目全流程管理咨詢與解決方案。協(xié)助客戶建立電子政務項目的全流程管理框架,并提供完整的信息化解決方案,實現(xiàn)電子政務項目的規(guī)劃、立項審批、實施建設管理、驗收、績效評估以及運維管理等環(huán)節(jié)全流程管理,提高電子政務項目管理的水平與績效。
· 基礎數據采集管理框架與解決方案。各類基礎數據的采集是政府機構進行政策設計和正確決策的基礎,傳統(tǒng)上,政府機構采取郵件、word、Excel等手工工具進行數據的匯總與分析,工作效率低。長城戰(zhàn)略咨詢提供了基礎數據采集管理框架與解決方案,通過完整的管理框架,以及靈活可自定義數據表的系統(tǒng)平臺,為政府機構采集數據工作以及基礎數據管理提供完整的解決方案。
電子政務常用的咨詢方法 · 電子政務系統(tǒng)頂層設計法 · KMC需求分析法 · 業(yè)務流程分析法 · 信息資源架構法(IRA)· 信息資源目錄梳理方法 · 項目全流程管理框架
第二篇:電子政務網絡安全解決方案
電子政務網絡安全解決方案
電子政務網絡安全概述
以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統(tǒng)的、小型業(yè)務系統(tǒng)逐漸向大型、關鍵業(yè)務系統(tǒng)擴展,典型的如行政部門業(yè)務系統(tǒng)、金融業(yè)務系統(tǒng)、政府機關商務系統(tǒng)等。伴隨網絡的普及,安全日益成為影響網絡效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。如何使信息網絡系統(tǒng)不受黑客和工業(yè)間諜的入侵,已成為政府機構、企事業(yè)單位信息化健康發(fā)展所要考慮的重要事情之一。
網絡規(guī)劃
各級網絡
利用現(xiàn)有線路及網絡進行完善擴充,建成互聯(lián)互通、標準統(tǒng)一、結構簡單、功能完善、安全可靠、高速實用、先進穩(wěn)定的級別分明卻又統(tǒng)一的網絡。數據中心
建設集中的數據中心,對所有的信息資源、空間、信用等數據進行集中存放、集中管理。為省及各市部門、單位的關鍵應用及關鍵設施提供機房、安全管理與維護。網絡總體結構
政府機構從事的行業(yè)性質是跟國家緊密聯(lián)系的,所涉及信息可以說都帶有機密性,所以其信息安全問題,如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。為保證政府網絡系統(tǒng)的安全,有必要對其網絡進行專門安全設計。
所謂電子政務就是政府機構運用現(xiàn)代計算機技術和網絡技術,將其管理和服務的職能轉移到網絡上完成,同時實現(xiàn)政府組織結構和工作流程的重組優(yōu)化,超越時間、空間和部門分隔的制約,向全社會提供高效、優(yōu)質、規(guī)范、透明和全方位的管理與服務。
實現(xiàn)電子政務的意義在于突破了傳統(tǒng)的工業(yè)時代“一站式”的政府辦公模式,建立了適應網絡時代的“一網式”和“一表式”的新模式,開辟了推動社會信息化的新途徑,創(chuàng)造了政府實施產業(yè)政策的新手段。電子政務的出現(xiàn)有利于政府轉變職能,提高運作效率。
圖示:原有電子政務網絡情況
電子政務網絡的應用系統(tǒng)和網絡連接方式多樣,由于網絡本身及應用系統(tǒng)的復雜性,無論是有意的攻擊,還是無意的誤操作,都將會給系統(tǒng)帶來不可估量的損失。非法進入的攻擊者可能竊聽網絡上的信息、竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容、偽造用戶身份、否認自己的簽名;更有甚者,攻擊者可以刪除數據庫內容、摧毀網絡節(jié)點等等。
因此在電子政務網絡的建設中,構建網絡安全系統(tǒng)以確保網絡信息的安全可靠是非常必要的。
物理安全風險分析
網絡物理安全是整個網絡系統(tǒng)安全的前提。物理安全的風險主要有: ◆地震、水災、火災等環(huán)境事故造成整個系統(tǒng)毀滅;
◆電源故障造成設備斷電以至操作系統(tǒng)引導失敗或數據庫信息丟失; ◆設備被盜、被毀造成數據丟失或信息泄漏; ◆電磁輻射可能造成數據信息被竊取或偷閱;
◆報警系統(tǒng)的設計不足可能造成原本可以防止但實際發(fā)生了的事故。鏈路傳輸風險分析
網絡安全不僅是入侵者到政府機關內部網上進行攻擊、竊取或其它破壞,他們完全有可能在傳輸線路上安裝竊聽裝置,竊取你在網上傳輸的重要數據,再通過一些技術讀出數據信息,造成泄密或者做一些篡改來破壞數據的完整性;以上種種不安全因素都對網絡構成嚴重的安全威脅。因此,對于政府這樣帶有重要信息傳輸的網絡,數據在鏈路上傳輸必須加密。并通過數字簽名及認證技術來保障數據在網上傳輸的真實性、機密性、可靠性及完整性。
遠程辦公安全接入 目前,政府網絡應用環(huán)境紛亂復雜,既有內部的應用如:內部OA系統(tǒng)、文件共享、Email等應用服務,又有眾多面向下屬單位、合作伙伴等對外的應用。如何地有效解決遠程用戶安全訪問網絡內部資源?
虛擬專用網技術(VPN,Virtual PrivateNetwork)是指在公共網絡中建立專用網絡,數據通過安全的“加密通道”在公共網絡中傳播。政府機關只需要租用本地的數據專線,連接上本地的公眾信息網,那么各地的機構就可以互相傳遞信息。使用VPN有節(jié)約成本、擴展性強、便于管理和實現(xiàn)全面控制等好處。在虛擬專用網中,任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態(tài)組成的,是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。根據國家有關規(guī)定,政府網絡可以通過現(xiàn)有公有平臺搭建自己的內部網絡,但必須通過認證和加密技術,保證數據傳輸的安全性。
單獨的VPN網關的主要功能是IPSec數據包的加密/解密處理和身份認證,但它沒有很強的訪問控制功能,例如狀態(tài)包過濾、網絡內容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下,防火墻無法對VPN的數據流量進行任何訪問控制,由此帶來安全性、性能、管理上的一系列問題。因此,在防火墻安全網關上集成VPN是當前安全產品的發(fā)展趨勢,能提供一個靈活、高效、完整的安全方案。
集成VPN的防火墻安全網關的優(yōu)點是,它可以保證加密的流量在解密后,同樣需要經過嚴格的訪問控制策略的檢查,保護VPN網關免受DDoS攻擊和入侵威脅;提供更好的處理性能,簡化網絡管理的任務,快速適應動態(tài)、變化的網絡環(huán)境。因此,當前VPN技術已經成為安全網關產品的組成部分。
政府機關Intranet網絡建設的VPN連接方案,利用IPsec安全協(xié)議的VPN和加密能力,實現(xiàn)兩個或多個政府機關之間跨越因特網的政府機關內部網絡連接,實現(xiàn)了安全的政府機關內部的數據通信。通過防火墻內部策略控制體系,對VPN的數據可以進行有效的控制和管理,使政府機關的內部網絡通信具有良好的擴展性和管理性。
圖示:政府機關Intranet網VPN解決方案
如上圖示,原始的數據經過加密封裝在另外一個IP通道內,通道頭部地址就是防火墻外部端口的IP地址,以實現(xiàn)在公網鏈路上的傳輸。利用高強度的、動態(tài)變換的密鑰來保證數據的安全,168位的3DES算法更提供了業(yè)界最高級別的安全防御體系,使政府機關的內部數據可以無憂地在公網上傳輸,以達到政府機關內部網絡安全擴展的目的。
網絡結構的安全風險分析
(一)來自與公網互聯(lián)的安全威脅
如果政府內部網絡與Internet公網有互連。基于Internet公網的開放性、國際性與自由性,內部網絡將面臨更加嚴重的安全威脅。因為,每天黑客都在試圖闖入Internet節(jié)點,假如我們的網絡不保持警惕,可能連黑客怎么闖入的都不知道,甚至會成為黑客入侵其他網絡的跳板。政府行業(yè)內部網絡中其辦公系統(tǒng)及各人主機上都有涉密信息。
假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統(tǒng)。透過網絡傳播,還會影響到與本系統(tǒng)網絡有連接的外單位網絡;影響所及,還可能涉及法律、金融等安全敏感領域。對于政府行業(yè)網絡系統(tǒng),國家也有規(guī)定是不能與互聯(lián)網直接或間接與相連。
內部網絡與系統(tǒng)外部網互聯(lián)安全威脅
如果系統(tǒng)內部局域網絡與系統(tǒng)外部網絡間沒有采取一定的安全防護措施,內部網絡容易遭到來自外部網絡不懷好意的入侵者的攻擊。如:
入侵者通過Sniffer等程序來探測掃描網絡及操作系統(tǒng)存在的安全漏洞,如網絡IP地址、應用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序對內網進行攻擊。
入侵者通過網絡監(jiān)聽等先進手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。
惡意攻擊:入侵者通過發(fā)送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統(tǒng)癱瘓。
(三)內部局域網的安全威脅
據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令;內部員工編些具有破壞力的程序在內部網上傳播或者內部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網絡安全構成很大的威脅。
系統(tǒng)的安全風險分析
所謂系統(tǒng)安全通常是指網絡操作系統(tǒng)、應用系統(tǒng)的安全。目前的操作系統(tǒng)或應用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應用系統(tǒng),其開發(fā)廠商必然有其Back-Door(后門)。而且系統(tǒng)本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應用上,系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應用面有很大關系,操作系統(tǒng)如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手。
如果進行安全配置,比如,填補安全漏洞,關閉一些不常用的服務,禁止開放一些不常用而又比較敏感的端口等,那么入侵者要成功進行內部網是不容易,這需要相當高的技術水平及相當長時間。因此應正確估價自己的網絡風險并根據自己的網絡風險大小做出相應的安全解決方案。
應用的安全風險分析
應用系統(tǒng)的安全涉及很多方面。應用系統(tǒng)是動態(tài)的、不斷變化的。應用的安全性也是動態(tài)的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。
(一)資源共享
政府網絡系統(tǒng)內部必有自動化辦公系統(tǒng)。而辦公網絡應用通常是共享網絡資源,比如文件、打印機共享等。由此就可能存在著:員工有意、無意把硬盤中重要信息目錄共享,長期暴露在網絡鄰居上,可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密,因為缺少必要的訪問控制策略。
電子郵件系統(tǒng)
電子郵件為網系統(tǒng)用戶提供電子郵件應用。內部網用戶可通過拔號或其它方式進行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等,由于許多用戶安全意識比較淡薄,對一些來歷不明的郵件,沒有警惕性,給入侵者提供機會,給系統(tǒng)帶來不安全因素。
病毒侵害
自從1983年世界上第一個計算機病毒出現(xiàn)以來,在20多年的時間里,計算機病毒已到了無孔不入的地步,有些甚至給我們造成了巨大的破壞。
隨著網絡的普及和網速的提高,計算機之間的遠程控制越來越方便,傳輸文件也變得非常快捷,正因為如此,病毒與黑客程序(木馬病毒)結合以后的危害更為嚴重,病毒的發(fā)作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性,按照制作者的要求侵蝕固定的內容。
由于網絡的普及,使得編寫病毒的知識越來越容易獲得。同時,各種功能強大而易學的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網絡甚至可以獲得專門編寫病毒的工具軟件,只需要通過簡單的操作就可以生成破壞性的病毒。
網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。因此,病毒的危害的不可以輕視的。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。
數據信息
數據安全對政府行業(yè)來說尤其重要,數據在廣域網線路上傳輸,很難保證在傳輸過程中不被非法竊取,篡改。現(xiàn)今很多先進技術,黑客或一些工業(yè)間諜會通過一些手段,設法在線路上做些手腳,獲得在網上傳輸的數據信息。也就造成的泄密。這對政府行業(yè)用戶來說,是決不允許的。
管理的安全風險分析
內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風險。
機房重地卻是任何都可以進進出出,來去自由。存有惡意的入侵者便有機會得到入侵的條件。
內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統(tǒng)的弱點。利用網絡開些小玩笑,甚至破壞。如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給網絡造成極大的安全風險。
管理是網絡中安全得到保證的重要組成部分,是防止來自內部網絡入侵必須的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外,還得依靠安全管理來實現(xiàn)。
防火墻系統(tǒng)設計方案
(一)防火墻系統(tǒng)
1、在各網絡出口處安裝曙光天羅防火墻。防火墻在這里首先起到網絡隔離、劃分不同安全域,進行訪問控制的功能。通過防火墻的多網口結構設計,控制授權合法用戶可以訪問到授權服務,而限制非授權的訪問。曙光天羅防火墻分為百兆和千兆兩個系列,可以根據各局內部網的規(guī)模大小選擇適合自己的產品。
2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統(tǒng),超越了傳統(tǒng)防火墻中的基于統(tǒng)計異常的入侵檢測功能,實現(xiàn)了可擴展的攻擊檢測庫,真正實現(xiàn)了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊,可以自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式,通知管理員調整控制規(guī)則,為整個網絡提供動態(tài)的網絡保護。
3、利用曙光天羅防火墻自帶的VPN功能,實現(xiàn)多級VPN系統(tǒng)。防火墻VPN模塊支持兩種用戶模式:遠程訪問虛擬網(撥號VPN)和政府機關內部虛擬網(網關對網關VPN)。如上圖所示,在省地市三級網絡出口處安裝曙光天羅防火墻,利用防火墻的VPN模塊,實現(xiàn)他們之間分層次的政府機關內部虛擬網(網關對網關VPN);而對于一些規(guī)模比較小的區(qū)線或移動用戶,通過安裝VPN客戶端,實現(xiàn)遠程訪問虛擬網(撥號VPN),整個構成一個安全的虛擬內部局域網,保障電子政務網絡的數據安全傳輸。
(二)防火墻的VPN功能
VPN是平衡Internet的適用性和價格優(yōu)勢的最有前途的新興通信手段之一。利用共享的IP網建立VPN連接,可以使服務對象減少對昂貴租用線路和復雜遠程訪問方案的依賴性。
也是至關重要的一點,它可以使移動用戶和一些小型的分支機構的網絡開銷減少達50%或更多;
政府機關新增的分支機構或站點可以非常迅速方便地加入政府機關已建的基于VPN的INTRANET,所以VPN的可擴展性大大優(yōu)于傳統(tǒng)構建政府機關INTRANET的技術手段,如點對點專線或長途撥號;
VPN不僅可以大幅度削減傳輸數據的開銷,同時可以削減傳輸話音的開銷;
VPN創(chuàng)造了多種伴隨著Web發(fā)展而出現(xiàn)的新的商業(yè)機會,包括:進行全球電子商務,可以在減少銷售成本的同時增加銷售量;實現(xiàn)外連網,可以使用戶獲得關鍵的信息,更加貼近世界;可以訪問全球任何角落的電子通勤人員和移動用戶。
在當今全球激烈競爭的環(huán)境下,最先實現(xiàn)VPN的政府機關將在競爭獲得優(yōu)勢已經是不爭的事實,許多政府機關也開始紛紛利用經濟有效的VPN來傳送話音業(yè)務,并從中受益:
◆ 減少用于相關的調制解調器和終端服務設備的資金及費用,簡化網絡; ◆ 實現(xiàn)本地撥號接入的功能來取代遠距離接入,這樣能顯著降低遠距離通信的費用; ◆ 遠端驗證撥入用戶服務基于標準,基于策略功能的安全服務;
◆ 將工作重心從管理和保留運作撥號網絡的工作人員轉到公司的核心業(yè)務上來; ◆ 強大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監(jiān)控,可以優(yōu)化網絡資源;
◆ 極大的可擴展性,簡便地對加入網絡的新用戶進行調度。用戶不需改變網絡的原來架構,只須安裝客戶端軟件并且設置此軟件的一些參數即可。同時也支持傳統(tǒng)的應用,可以從小的政府機關擴展到最大的政府機關;
◆ 更大的網絡靈活性,可以管理和發(fā)布不同類型的數據進入同一Internet連接。VPN代表了當今網絡發(fā)展演化的最高形式,它綜合了傳統(tǒng)數據網絡的性能優(yōu)點(安全和QoS)和共享數據網絡結構的優(yōu)點(簡單和低成本),必將成為未來傳輸完全匯聚業(yè)務的主要工具。
用戶可以通過硬件和軟件的方式來實現(xiàn)VPN功能,一般用戶都會使用硬件設備。在總部架設一個帶有VPN功能的防火墻,就可以讓地方聯(lián)到總部的內部局域網了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩(wěn)定性,因一個最大的優(yōu)點是既可以抵御外部的攻擊又可以提高自身網絡的安全性。
防火墻對服務器的保護
網絡中應用的服務器,信息量大、處理能力強,往往是攻擊的主要對象。另外,服務器提供的各種服務本身有可能成為“黑客”攻擊的突破口,因此,在實施方案時要對服務器的安全進行一系列安全保護。
如果服務器沒有加任何安全防護措施而直接放在公網上提供對外服務,就會面臨著“黑客”各種方式的攻擊,安全級別很低。因此當安裝防火墻后,所有訪問服務器的請求都要經過防火墻安全規(guī)則的詳細檢測。只有訪問服務器的請求符合防火墻安全規(guī)則后,才能通過防火墻到達內部服務器。防火墻本身抵御了絕大部分對服務器的攻擊,外界只能接觸到防火墻上的特定服務,從而防止了絕大部分外界攻擊。
(四)防火墻對內網的保護
網絡內部的環(huán)境比較復雜,而且各子網的分布地域廣闊,網絡用戶、設備接入的可控性比較差,因此,內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發(fā)自內部用戶,如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性,我們必須要對它進行詳盡的分析,盡可能防護到網絡的每一節(jié)點。
對于一般的網絡應用,內部用戶可以直接接觸到網絡內部幾乎所有的服務,網絡服務器對于內部用戶缺乏基本的安全防范,特別是在內部網絡上,大部分的主機沒有進行基本的安全防范處理,整個系統(tǒng)的安全性容易受到內部用戶攻擊的威脅,安全等級不高。根據國際上流行的處理方法,我們把內部用戶跨網段的訪問分為兩大類:其一,是內部網絡用戶之間的訪問,即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸(NETBIOS)應用;其次,是內部網絡用戶對內部服務器的訪問,這一類應用主要發(fā)生在內部用戶的業(yè)務處理時。一般內部用戶對于網絡安全防范的意識不高,如果內部人員發(fā)起攻擊,內部網絡主機將無法避免地遭到損害,特別是針對于NETBIOS文件共享協(xié)議,已經有很多的漏洞在網上公開報道,如果網絡主機保護不完善,就可能被內部用戶利用“黑客”工具造成嚴重破壞。
由于網絡環(huán)境的復雜化和網絡應用的多樣化日益明顯,對于內部網絡除了必要的防攻擊設置外還必須防止內部用戶的欺騙行為,比如IP地址欺騙、網絡連接的欺騙等。由于物理層上的原因,內部用戶接觸網絡服務的機會、方法很多,如果沒有專門的安全防護,“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊(CRACK),對于內部網絡的用戶,防范攻擊的難度較大。我們主要從以下幾個方面考慮:
1)內部網絡風險分析:由于內部攻擊發(fā)生的比較頻繁,因此我們首先要分析內部網絡的安全隱患,把可能發(fā)生的不安定因素找出來進行專門的安全處理;
2)內部用戶網絡和網絡的隔離:把內部比較重要的數據服務器放在專門的區(qū)域,加上獨立的控制體系,對于內部網的訪問同樣要進行相應的安全控制;
3)內部網絡安全保護:結合物理層和鏈路層的特點,在物理層和鏈路層的接口處實施安全控制,實施IP/MAC綁定。
IDS詳述
IDS(入侵檢測系統(tǒng))對于關心網絡安全防護的人們來說已不再是一個陌生的名詞,在許多行業(yè)的計算機網絡安全防御工程中除了采用防病毒、防火墻或認證加密等系統(tǒng)外,有近15%的安全項目會涉及到IDS系統(tǒng),而且這些項目一般都對安全等級的要求非常高,對數據信息的保密性也有特別的要求。
IDS系統(tǒng)
要想高效使用IDS首先要對它進行合理部署。通常IDS監(jiān)控保護的基本單位是一個網段,單個網段的最小組成元素是各臺主機,政府機關對各主機、各網段的安全性要求程度一般都不相同,所以確定IDS的保護對象是合理使用IDS的關鍵。
在優(yōu)先保護的網段中部署IDS系統(tǒng),并配置合適的檢測策略,如在防火墻之內部署IDS則可把安全策略配置得緊一些,即使用最大化的檢測策略,而在防火墻之外部署則可采用較為寬松的策略,因為經過防火墻過濾后,內部網絡的安全狀況相對比較簡單,而外部的情況則較為復雜,誤報的可能性也較大。另外,在一定的情況下有些內部信任的主機也可能會觸發(fā)IDS的檢測引擎,從而形成報警,而對于用戶來說,這些報警事件是沒有什么參考價值的,所以需要在檢測范圍中排除這些主機的IP地址;通常IDS系統(tǒng)中都有一個過濾器(FILTER)模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項,可以允許用戶加入所有他們所信任的主機IP地址。
目前大多數的IDS系統(tǒng)主要采用基于包特征的檢測技術來組建,它們的基本原理是對網絡上的所有數據包進行復制并檢測,然后與內部的攻擊特征數據庫(規(guī)則庫)進行匹配比較,如果相符即產生報警或響應。這種檢測方式雖然比異常統(tǒng)計檢測技術要更加精確,但會給IDS帶來較大的負載,所以需要對檢測策略作進一步的調整和優(yōu)化。具體做法是根據政府機關自身網絡的業(yè)務應用情況,選擇最適合的檢測策略(可根據操作系統(tǒng)、應用服務或部署位置等),并對所選的策略進行修改,選擇具有參考價值的檢測規(guī)則,而去除一些無關緊要的選項,如對于全部是Windows的應用環(huán)境,則完全可以把UNIX的規(guī)則去掉。有些IDS除了提供攻擊特征檢測規(guī)則的定制功能外,還提供了對端口掃描檢測規(guī)則的自定義,如在KIDS中就可定義端口掃描的監(jiān)控范圍、信任主機地址排除和掃描模式等參數,這些參數的合理配置都能將IDS的檢測能力優(yōu)化到最理想的狀態(tài)。
IDS監(jiān)控
IDS除了能對網絡上各種非法行為產生報警外還能對一些特定的事件進行實時的響應,因為只有采取及時的響應才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應方式是對網絡中的非法連接進行阻斷,如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進行監(jiān)控時,不但需要查看它的報警提示,而且需要參考它所提供的實時狀態(tài)信息。因為在網絡中發(fā)生異常行為時,網絡中的許多狀態(tài)信息一般都與正常情況下的狀態(tài)不一樣。如主機正遭到拒絕服務攻擊時(DoS或DDoS),網絡中的數據流量便可能會急速上升,這時可以從包流量或字節(jié)流量等實時的狀態(tài)圖表中發(fā)現(xiàn)這樣的異常情況。所以參考IDS所顯示的狀態(tài)信息也是非常重要的。實時狀態(tài)信息還包括當前的活動TCP連接、TCP/UDP/IP/ICMP等協(xié)議的包或字節(jié)流量等。IDS的最重要價值之一是它能提供事后統(tǒng)計分析,所有安全事件或審計事件的信息都將被記錄在數據庫中,可以從各個角度來對這些事件進行分析歸類,以總結出被保護網絡的安全狀態(tài)的現(xiàn)狀和趨勢,及時發(fā)現(xiàn)網絡或主機中存在的問題或漏洞,并可歸納出相應的解決方案。
電子政務整體網絡安全解決方案
電子政務系統(tǒng)中存在大量敏感數據和應用,因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統(tǒng),確保數據和應用萬無一失。
各局的局域網計算機工作站包括終端、廣域網路由器、服務器群都直接匯接到本局的主干交換機上。由于工作站分布較廣且全部連接,可以通過電子政務網絡進行相互訪問,服務器就有可能收到攻擊。因此,必須在各局之間相互進行隔離防護。
如下圖,我們在各局路由器后安裝曙光TLFW千兆防火墻,以有三千用戶在同時上Internet網計算,千兆防火墻的并發(fā)連接超過600,000,完全可以滿足整個網絡的需求,穩(wěn)定性上也滿足要求。同時,將局內網與其他區(qū)域邏輯隔離開來,在數據中心內,根據不同的服務器對安全性的不同需求,將它們分等級劃分為不同的區(qū)域,并通過詳細的包過濾規(guī)則制定,將這些服務器徹底保護起來,保證它們之間不能跨級別訪問,這樣實現(xiàn)分級的安全性。
通過安裝防火墻,可以實現(xiàn)下列的安全目標:
1)利用防火墻將內部網絡、Internet外部網絡進行有效隔離,避免與外部網絡直接通信;
2)利用防火墻建立網絡各終端和服務器的安全保護措施,保證系統(tǒng)安全;
3)利用防火墻對來自非內部網的服務請求進行控制,使非法訪問在到達主機前被拒絕; 4)利用防火墻使用IP與MAC地址綁定功能,加強終端用戶的訪問認證,同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內;
5)利用防火墻全面監(jiān)視對服務器的訪問,及時發(fā)現(xiàn)和阻止非法操作;
6)利用防火墻及服務器上的審計記錄,形成一個完善的審計體系,建立第二條防線; 7)根據需要設置流量控制規(guī)則,實現(xiàn)網絡流量控制,并設置基于時間段的訪問控制。下圖是電子政務網絡安全解決方案設計拓撲圖:
圖示:電子政務網絡安全總體拓撲
根據以上的分析,在整個政府網絡安全體系中,除了負責邊界安全的防火墻設備以外,還選擇了入侵檢測系統(tǒng)進行共同防范,達到整個系統(tǒng)的高安全性。
同時因為用戶有撥號VPN的需求,而曙光的天羅防火墻自身具備了VPN的功能,可以滿足遠程連接用戶的安全要求。
具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴展等產品特色。易于安裝和使用,網絡性能和透明性好,擁有自行設計的全中文化WWW管理界面,通過直觀、易用的界面來管理強大、復雜的系統(tǒng)功能。
可根據系統(tǒng)管理者設定的安全規(guī)則(Security Rules)把守網絡的大門,提供強大的訪問控制、網絡地址轉換(Network Address Translation)、帶寬控制、P2P協(xié)議過濾等功能。
根據電子政務的實際需要,充分利用了曙光天羅防火墻的各功能模塊,實現(xiàn)了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協(xié)同工作,再加上NIDS網絡入侵檢測系統(tǒng)的重點防護,構建了一個整合的動態(tài)安全門戶,以比較經濟實惠的方式,實現(xiàn)了對電子政務網絡的整體安全防護。
第三篇:電子政務內網建設解決方案
電子政務內網建設解決方案
對于電子政務內網,政務專網、專線、VPN是構建電子政務網絡的基礎設施。安全政務網絡平臺是依托專網、專線、VPN設備將各接入單位安全互聯(lián)起來的電子政務內網;安全支撐平臺為電子政務內網信息系統(tǒng)提供安全互聯(lián)、接入控制、統(tǒng)一身份認證、授權管理、惡意代碼防范、入侵檢測、安全審計、桌面安全防護等安全支撐;電子政務專網應用既是安全保障平臺的保護對象,又是電子政務內網實施電子政務的主體,它主要內部共享信息、內部受控信息等,這兩類信息運行于電子政務辦公平臺、和電子政務信息共享平臺之上;電子政務管理制度體系是電子政務長期有效運行的保證。
電子政務內網系統(tǒng)構成
1)政務內網網絡平臺:電子政務內網建設,是依托電子政務專網、專線、VPN構造的電子政務內網網絡。
2)電子政務內網應用:在安全支撐平臺的作用下,基于安全電子政務內網網絡平臺,可以打造安全電子政務辦公平臺、安全政務信息共享平臺。
3)安全支撐平臺:安全支撐平臺由安全系統(tǒng)組成,是電子政務內網信息系統(tǒng)運行的安全保障。
電子政務內網系統(tǒng)拓撲圖
三級政務內網建議拓撲圖
電子政務內網按照等保標準要求,進行安全域的劃分。根據不同的劃分原則,大致可以分別網絡基礎架構區(qū)、安全管理區(qū)、數據處理區(qū)、邊界防御區(qū)、辦公區(qū)、會議區(qū)等安全子區(qū)域,在實際的網絡設計中,可以根據相關標準,按照實際需要進一步細分,如上圖所示。
劃分安全域的目標是針對不同的安全域采用不同的安全防護策略,既保證信息的安全訪問,又兼顧信息的開放性。按照應用系統(tǒng)等級、數據流相似程度、硬件和軟件環(huán)境的可共用程度、安全需求相似程度,并且從方便實施的角度,將整個電子政務業(yè)務系統(tǒng)分為不同的安全子域區(qū),便于由小到大、由簡到繁進行網絡設計。安全域的劃分有利于對電子政務系統(tǒng)實施分區(qū)安全防護,即分域防控。安全支撐平臺的系統(tǒng)結構
電子政務安全支撐平臺是電子政務系統(tǒng)運行的安全保障,由網絡設備、安全設備、安全技術構成。電子政務安全支撐平臺依托電子政務配套的安全設備,通過分級安全服務和分域安全管理,實現(xiàn)等級保護中要求的物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復,從而保證整個電子政務信息系統(tǒng)安全,最終形成安全開放統(tǒng)一、分級分域防護的安全體系。電子政務安全支撐平臺的系統(tǒng)結構下圖:
電子政務安全支撐平臺系統(tǒng)結構
安全支撐平臺的系統(tǒng)配置
1、核心交換機雙歸屬:兩臺核心交換機通過VRRP協(xié)議連接,互為冗余,保證主要網絡設備的業(yè)務處理能力具備冗余空間,滿足業(yè)務高峰期需要。
2、認證及地址管理系統(tǒng)-DCBI:DCBI可以完成基于主機的統(tǒng)一身份認證和全局地址管理功能。
1)基于主機的統(tǒng)一身份認證。終端系統(tǒng)通過安裝802.1X認證客戶端,在連接到內網之前,首先需要通過DCBI的身份認證,方能打開交換機端口,使用網絡資源。
2)全局地址管理。·根據政務網地址規(guī)模靈活劃分地址池 ·固定用戶地址下發(fā)與永久綁定 ·漫游用戶地址下發(fā)與臨時綁定、自動回收 ·接入交換機端口安全策略自動綁定。·客戶端地址獲取方式無關性
3、全局安全管理系統(tǒng)-DCSM。DCSM是政務內網所有端系統(tǒng)的管理與控制中心,兼具用戶管理、安全認證、安全狀態(tài)評估、安全聯(lián)動控制以及安全事件審計等功能。
1)安全認證。安全認證系統(tǒng)定義了對用戶終端進行準入控制的一系列策略,包括用戶終端安全狀態(tài)認證、補丁檢查項配置、安全策略配置、終端修復配置以及對終端用戶的隔離方式配置等。
2)用戶管理。不同的用戶、不同類型的接入終端可能要求不同級別的安全檢查和控制。安全策略服務器可以為不同用戶提供基于身份的個性化安全配置和網絡服務等級,方便管理員對網絡用戶制定差異化的安全策略。
3)安全聯(lián)動控制。安全策略服務器負責評估安全客戶端上報的安全狀態(tài),控制安全聯(lián)動設備對用戶的隔離與開放,下發(fā)用戶終端的修復方式與安全策略。通過安全策略服務器的控制,安全客戶端、安全聯(lián)動設備與防病毒服務器才可以協(xié)同工作,配合完成端到端的安全準入控制。
4)日志審計。安全策略服務器收集由安全客戶端上報的安全事件,并形成安全日志,可以為管理員追蹤和監(jiān)控網絡的整個網絡的安全狀態(tài) 提供依據。
其中:安全管理系統(tǒng)代理,可以對用戶終端進行身份認證、安全狀態(tài)評估以及安全策略實施的主體,其主要功能包括:
1)提供802.1x、portal等多種認證方式,可以與交換機、路由器配合實現(xiàn)接入層、匯聚層以及VPN的端點準入控制。
2)主機桌面安全防護,檢查用戶終端的安全狀態(tài),包括操作系統(tǒng)版本、系統(tǒng)補丁等信息;同時提供與防病毒客戶端聯(lián)動的接口,實現(xiàn)與第三方防病毒客戶端的聯(lián)動,檢查用戶終端的防病毒軟件版本、病毒庫版本、以及病毒查殺信息。這些信息將被傳遞到認證服務器,執(zhí)行端點準入的判斷與控制。
3)安全策略實施,接收認證服務器下發(fā)的安全策略并強制用戶終端執(zhí)行,包括設置安全策略(是否監(jiān)控郵件、注冊表)、系統(tǒng)修復通知與實施(自動或手工升級補丁和病毒庫)等功能。不按要求實施安全策略的用戶終端將被限制在隔離區(qū)。
4)實時監(jiān)控系統(tǒng)安全狀態(tài),包括是否更改安全設置、是否發(fā)現(xiàn)新病毒等,并將安全事件定時上報到安全策略服務器,用于事后進行安全審計。
5)實時監(jiān)控終端用戶的行為,實現(xiàn)用戶上網行為可審計。
4、邊界防火墻-DCFW
能夠對網絡區(qū)域進行分割,對不同區(qū)域之間的流量進行控制,通過對數據包的源地址、目的地址、源端口、目的端口、網絡協(xié)議等參數進行檢查,把可能的安全風險控制在相對獨立的區(qū)域內,避免安全風險的大規(guī)模擴散。
對于廣域網接入用戶,能夠對他們的網絡應用行為進行管理,包括進行身份認證、對訪問資源的限制、對網絡訪問行為進行控制等。
5、統(tǒng)一威脅管理-UTM
UTM集合了防火墻、防病毒網關、IPS/IDS入侵防御、防垃圾郵件網關、VPN(IPSEC、PPTP、L2TP)網關、流量整形網關、Anti-Dos網關、用戶身份認證網關、審計網關、BT控制網關+IM控制網關+應用提升網關(網游 VOIP 流媒體支持),十二大功能為一體。采用專門設計的硬件平臺和專用的安全操作系統(tǒng),采用硬件獨立總線架構并采用病毒檢測專用模塊,在提升產品功能的同時保證了產品在各種環(huán)境下的高性能。完成等保標準中要求的防病毒、惡意代碼過濾等邊界防護功能。
6、入侵檢測系統(tǒng)-DCNIDS
入侵檢測系統(tǒng)能夠及時識別并阻止外部入侵者或內部用戶對網絡系統(tǒng)的非授權使用、誤用和濫用,對網絡入侵事件實施主動防御。
通過在電子政務網絡平臺上部署入侵檢測系統(tǒng),可提供對常見入侵事件、黑客程序、網絡病毒的在線實時檢測和告警功能,能夠防止惡意入侵事件的發(fā)生。
7、漏洞掃描系統(tǒng)
漏洞掃描系統(tǒng)提供網絡系統(tǒng)進行風險預測、風險量化、風險趨勢分析等風險管理的有效工具,使用戶了解網絡的安全配置和運行的應用服務,及時發(fā)現(xiàn)安全漏洞,并客觀評估網絡風險等級。
漏洞掃描系統(tǒng)能夠發(fā)現(xiàn)所維護的服務器的各種端口的分配、提供的服務、服務軟件版本和系統(tǒng)存在的安全漏洞,并為用戶提供網絡系統(tǒng)弱點/漏洞/隱患情況報告和解決方案,幫助用戶實現(xiàn)網絡系統(tǒng)統(tǒng)一的安全策略,確保網絡系統(tǒng)安全有效地運行。
8、流量整形設備-DCFS
1)控制各種應用的帶寬,保證關鍵應用,抑制不希望有的應用:可針不同的源IP(組)和時間段,在所分配的帶寬管道內,對其應用實現(xiàn)不同的流量帶寬限制、或者是禁止使用。
2)統(tǒng)計、監(jiān)控和分析,了解網絡上各種應用所占的帶寬比例,為網絡的用途和規(guī)劃提供科學依據:可通過設備對網絡上的流量數據進行監(jiān)控和分析,量化地了解當前網絡中各種應用流量所占的比例、以及各應用的流量各是多少,從而得知用戶的網絡最主要的用途是什么,等等。
9、其它網絡設備
其它網絡設備,可以參照國標對應的《設備安全技術要求》進行選型。
第四篇:華為公司電子政務解決方案+
電子政務網現(xiàn)狀與趨勢
隨著社會主義現(xiàn)代化建設的進一步推進,我國電子政務建設已經初顯成效。20世紀90年代初以來,國務院有關部門相繼建設了一批業(yè)務系統(tǒng),金橋、金關、金稅、金卡等十二金工程取得顯著成效,政府上網工程也取得較大成績。為了進一步推進政府信息化建設,同時也為了規(guī)范下一階段政府信息化建設,中辦下發(fā)的[2002]17號文件《國家信息化領導小組關于我國電子政務建設的指導意見》(簡稱17號文件)制定了政府信息化建設原則:
統(tǒng)一規(guī)劃,加強領導;
需求主導,突出重點;
整合資源,拉動產業(yè);
統(tǒng)一標準,保障安全。
自從《關于我國電子政務建設的指導意見》出臺以后,很多部門都向國家主管部門上報了自己的電子政務項目書,但通過研究發(fā)現(xiàn),各部門的電子政務建設相對獨立,部門之間的電子政務系統(tǒng)并沒有整體的內在聯(lián)系,相互的系統(tǒng)之間也不關聯(lián)。
國家信息中心專家認為,要解決目前電子政務系統(tǒng)的問題,關鍵在于要對電子政務網進行統(tǒng)一的規(guī)劃。
電子政務與公共管理專家說:“電子政務不是政府內部的辦公自動化,它必須要為公眾和社會服務。”政府信息化專家們一致認為,服務、共享、效益,將是2007年乃至今后一個時期電子政務發(fā)展的主要特征。
將公眾視為政府的“客戶”,一切以客戶為中心是21世紀政府管理創(chuàng)新的基本理念。今后,我國電子政務將會向突出以公眾為中心的服務型政務轉變。
中國信息資源的約80%由政府掌控,但這80%信息資源中的80%未被利用,所以,目前,我國電子政務建設的重點已經從應用系統(tǒng)開發(fā)轉向跨部門信息共享、業(yè)務協(xié)同,從關注應用系統(tǒng)的技術先進性轉向應用系統(tǒng)所產生的經濟效益和社會效益。這意味著我國今后所有的電子政務系統(tǒng)設計都必須關注與相關部門的信息共享和業(yè)務協(xié)同,僅僅服務于一個部門的電子政務系統(tǒng)將很難得到相關主管部門的批復。
而所謂效益,是指關注電子政務網建設的成本、收益和公眾滿意度。
華為公司電子政務網解決方案介紹
電子政務網建設原則
為達到電子政務網絡的目標要求,華為公司建議在電子政務建設過程中堅持以下建網原則:從政府的需求出發(fā),建設高安全、高可靠、可管理的電子政務體系!
統(tǒng)一的網絡規(guī)劃
建議電于政務的建設按照國家信息化領導小組的統(tǒng)一部署,制定總體的網絡規(guī)劃,分層推進,分步實施,避免重復建設。
完善的安全體系
網絡安全核心理念在于技術與管理并重。建議遵循信息安全管理標準-ISO17799,安全管理是信息安全的關鍵,人員管理是安全管理的核心,安全策略是安全管理的依據,安全工具是安全管理的保證。
嚴格的設備選型
在電子政務網建設的過程中,網絡設備選擇除了要考慮滿足業(yè)務的需求和發(fā)展、技術的可實施性等因素之外,同時為了杜絕網絡后門的出現(xiàn),在滿足功能、性能要求的前提下,建議優(yōu)先選用具備自主知識產權的國內民族廠商產品,從設備選型上保證電子政務網絡的安全性。
集成的信息管理
信息管理的核心理念是統(tǒng)一管理,分散控制。制定IT的規(guī)劃,提供IT的運作支持和問題管理,管理用戶服務水平,管理用戶滿意度,配置管理,可用性管理,支持IT設施的管理,安全性管理,管理IT的庫存和資產,性能和容量管理,備份和恢復管理。提高系統(tǒng)的利用價值,降低管理成本。
電子政務網體系架構
《國家信息化領導小組關于我國電子政務建設的指導意見》中明確了電子政務網絡的體系架構:電子政務網絡由政務內網和政務外網構成,兩網之間物理隔離,政務外網與互聯(lián)網之間邏輯隔離。政務內網主要是傳送涉密政務信息,所以為保證黨政核心機密的安全性,內網必須與外網物理隔離。政務外網是政府的業(yè)務專網,主要運行政務部門面向社會的專業(yè)性服務業(yè)務和不需在內網上運行的業(yè)務,外網與互聯(lián)網之間邏輯隔離。而從網絡規(guī)模來說,政務內網和政務外網都可以按照局域網、城域網、廣域網的模式進行建設;從網絡層次來說,內網和外網也可以按照骨干層、匯聚層和接入層的模式有規(guī)劃地進行建設。
圖1:電子政務網絡的體系架構
根據電子政務設計思想及應用需求,鑒于政府各部門的特殊安全性要求,嚴格遵循《國家信息化領導小組關于我國電子政務建設的指導意見》,在電子政務內、外網在總體建設上采用業(yè)務與網絡分層構建、逐層保護的指導原則,在邏輯層次及業(yè)務上,網絡的構建實施如下分配:
圖2:電子政務內、外網邏輯層次
互聯(lián)支撐層是電子政務網絡的基礎,由網絡中心統(tǒng)一規(guī)劃、構建及管理,支撐層利用寬帶IP技術,保證網絡的互聯(lián)互通性,提供具有一定QOS的帶寬保證,并提供各部門、系統(tǒng)網絡間的邏輯隔離(VPN),保證互訪的安全控制;
安全保障系統(tǒng)是指通過認證、加密、權限控制等技術對電子政務網上的用戶訪問及數據實施安全保障的監(jiān)控系統(tǒng),它與互聯(lián)支撐層相對獨立,由網絡中心與各部門單位共同規(guī)劃,分布構建。
業(yè)務應用層就是在安全互聯(lián)的基礎上實施政務網的各種應用,由網絡中心與各系統(tǒng)單位統(tǒng)一規(guī)劃,分別實施。
華為公司電子政務解決方案的核心理念
全面的網絡安全
建設安全的電子政務網絡是電子政務建設的關鍵。電子政務的安全建設需要管理與技術并重。在技術層面,華為公司提供防御、隔離、認證、授權、策略等多種手段為網絡安全提供保證;在設備層面,華為公司自主開發(fā)的系列化路由器、交換機、防火墻設備、CAMS綜合安全管理系統(tǒng)和統(tǒng)一的網絡操作系統(tǒng)VRP可以保證電子政務網絡安全。
針對于政府系統(tǒng)的網絡華為公司提供了i3安全三維度端到端集成安全體系架構,在該架構中,除了可以從熟悉的網絡層次視角來看待安全問題,同時還可以從時間及空間的角度來審視安全問題,從而大大拓展了安全的思路與視角,具備全面考慮與實施安全防護的模型與能力。
圖3:華為公司i3 安全 三維度端到端集成安全體系架構
(1)華為公司i3安全三維度端到端集成安全體系架構
i-intelligence(智能),integrated(集成),individuality(個性化); 3-時間、空間及網絡層次三個維度的端到端(End to End); 安全-所有IP信息網絡的安全架構。
(2)網絡層次(網絡層、用戶層、業(yè)務層)端到端安全理念
網絡的各層次均存在安全威脅的可能,華為的集成安全架構充分體現(xiàn)了網絡安全防范的分層思想,根據不同網絡層次的特點進行有針對性的防范。
? ? ? 網絡層:保障網絡路由、網絡設備等基礎網絡的安全;
用戶接入層:確保合法的用戶接入,訪問合法的網絡范圍,并保障用戶信息的隔離等用戶接入網絡的安全;
業(yè)務層:保證用戶訪問內容的合法性與安全性。
華為公司的i3安全集成安全架構針對傳統(tǒng)網絡在用戶層防范比較薄弱的缺陷,采取了大量的增強措施,如用戶接入認證、地址防盜用、訪問控制等能力。
(3)時間(事前、事后)端到端安全理念
以前政府行業(yè)更關注網絡的事前防范能力,往往在網絡的用戶認證、入侵檢測、防DOS攻擊、防火墻等方面投入力量較多,對事后跟蹤能力實施的有效措施不多。而在安全事件發(fā)生前后,要求網絡所能提供的支持也是不同的,其花費的代價與技術實現(xiàn)難度有非常大的差別:
? ? 事前防范:主要通過數據隔離、加密、過濾、管理等技術,加強整個網絡的健壯性;
事后跟蹤:華為公司的“i3安全”架構提供在網絡級做日志記錄的能力,通過對用戶上網端口、時間、訪問地的記錄,全面提供用戶上網的追溯能力,從而為后期的分析提供第一手的資料。(4)空間(外網、內網)端到端安全理念
? ?
控。外網:通過VPN、加密等保證信息安全,通過網絡防火墻、病毒防火墻等防范網絡攻擊,側重的是防范;
內網:通過對用戶的識別,保證合法的用戶訪問合法的網絡范圍,并做好訪問記錄,側重的是監(jiān)目前政府內網即涉秘網、政府外網即辦公專網,兩張網按照17號文件要求嚴格的物理隔離分別進行建設,保證政府網絡的安全。
華為公司三緯度集成安全架構提供端到端集成安全服務:
圖4:華為公司i3安全三維度端到端集成安全體系架構
隨著政府網絡網上應用的進一步增多,隨著網絡進一步深入人們的生活,入侵與反入侵、盜用與反盜用的斗爭也必將升級。而政府網絡的安全防護作為一個系統(tǒng)工程,只有從網絡管理、用戶管理、業(yè)務管理及管理制度等多層次、多方位地多管齊下才能做到“天網恢恢,疏而不漏”。
完善的端到端的可靠性
網絡可靠性主要是指當設備或網絡出現(xiàn)故障時,網絡提供服務的不間斷性。可靠性一般通過設備本身的可靠性和組網設計的可靠性來實現(xiàn)。包括以下內容:
(1)設備可靠性
華為公司的全系列數據產品均采用電信級的可靠性設計。華為公司高端路由器和交換機產品采用分布式體系結構,不存在單點故障;采用無源背板,支持真正熱插拔、熱備份,同時設備的交換網絡、路由處理系統(tǒng)等所有關鍵部件采用冗余熱備份設計,能充分滿足電子政務網絡對設備高可靠性的要求。
(2)組網設計的可靠性
在控制投資的前提下,在電子政務網絡的部分省地骨干節(jié)點,可采取VRRP雙機備份方式或采取RPR方式進行環(huán)網自愈保護,接入骨干傳輸網的鏈路可采取雙歸鏈路設計或采取RPR方式進行環(huán)網自愈保護,從組網角度避免單點故障。
另外,可采用備份中心技術,為路由器上的任意接口提供備份接口;路由器上的任一接口可以作為其它接口(或邏輯鏈路)的備份接口;可對接口上的某條邏輯鏈路提供備份。
通過靈活的備份機制及完善的技術,可以充分利用備份資源,確保網絡互聯(lián)互通的可靠性。
簡單高效的維護和管理
政府網絡信息點數量眾多,而且較為稠密,所以網絡設備數量眾多,特別是接入最終用戶的樓層交換機。華為公司的網絡管理系統(tǒng)在支持全網設備統(tǒng)一管理、實現(xiàn)拓撲管理、圖形化操作界面、實時聲光報警、中文操作系統(tǒng)的同時,利用華為組管理協(xié)議HGMP可以實現(xiàn)對數量龐大的樓層交換機的動態(tài)發(fā)現(xiàn)、動態(tài)拓撲生成、自動配置的功能,降低網絡管理人員的工作量,提高效率。
豐富的業(yè)務承載能力
政府信息化的一個重要特點是以業(yè)務牽引網絡需求,應用不斷更新,對網絡設備的需求不斷提高,在這樣的一個動態(tài)網絡中,網絡設備本身的業(yè)務承載能力就顯得非常重要。因此,華為公司提出了第5代基于網絡處理器技術,可以保證在后續(xù)新增業(yè)務對網絡平臺有特殊要求時,實現(xiàn)快速定制、快速支持,保證對網絡設備投資的連續(xù)性。
利用MPLS VPN表現(xiàn)出強大的擴展性和前所未見的高性能,電子政務網可任由業(yè)務的增長和變化,網絡可以平滑地擴充和升級,可最大程度的減少對網絡架構和設備的調整。作為少數能提供整網MPLS技術的廠家,華為公司致力于為政府提供基于先進的MPLS VPN技術的數據、語音和視訊的三網合一技術。背景
“十五”期間,我國電子政務建設的主要目標是:標準統(tǒng)一、功能完善、安全可靠的政務信息網絡平臺發(fā)揮支持作用;重點業(yè)務系統(tǒng)建設取得顯著成效;基礎性、戰(zhàn)略性政務信息庫建設取得重大進展,信息資源共享程度明顯提高;初步形成電子政務網絡與信息安全保障體系,建立規(guī)范的培訓制度,與電子政務相關的法規(guī)和標準逐步完善。這些工作完成后,中央和地方各級黨委、政府部門的管理能力、決策能力、應急處理能力、公共服務得到較大改善和加強,電子政務發(fā)展奠定堅實的基礎。
在堅持需求主導、資源整合、強化應用、保障安全和穩(wěn)步推進的原則下,我國電子政務建設要完成各級政務內網、各級政務專網、各級政務外網的建設和整合工作,初步形成統(tǒng)一的國家電子政務網絡。其中國家政務內網只連接中共中央辦公廳、全國人大常委會辦公廳、國務院辦公廳、全國政協(xié)辦公廳、最高人民法院辦公廳、最高人民檢察院辦公廳、黨中央和國務院組成部門及其直屬機構辦公廳(室)、47個副省級以上地方黨委辦公廳,不與其他網絡相聯(lián)接,不橫向擴展和縱向延伸。國家政務專網承載中央和各級地方部門內部辦公、管理、協(xié)調、監(jiān)督等不面向社會服務的、不同安全等級的業(yè)務應用系統(tǒng),主要滿足中央和各級地方對口政務部門之間信息縱向傳輸、匯聚及各級政務部門之間信息橫向交換與共享的需求。要采用必要手段,確保網絡與信息安全。國家政務外網承載中央和各級地方政務部門業(yè)務協(xié)同、社會管理、公共服務、應急聯(lián)動等面向社會服務的業(yè)務應用系統(tǒng),主要滿足中央和各級地方對口政務部門之間信息縱向傳輸、匯聚及各級政務部門之間、政務部門與公眾、企業(yè)之間信息交換與共享的需求,與互聯(lián)網安全連接,支持各級政務部門面向社會的門戶網站。
雖然電子政務內網、電子政務專網、電子政務外網三張網絡之間完全物理隔離,且各自運行的業(yè)務系統(tǒng)也有了明確的定義,但是三張網絡建設使用的主要技術手段和面臨的主要問題是一致的。因此,我們以電子政務外網為例闡述華為公司的電子政務解決方案。之所以選擇電子政務外網,是因為只有電子政務外網需要和互聯(lián)網進行安全的連接,且電子政務外網上業(yè)務系統(tǒng)之間的關系最為復雜。
政務外網需求分析
?
基礎網絡要求
電子政務外網的建設模式相對比較固定,從上至下分為國家電子政務外網、省電子政務外網、市電子政務外網、區(qū)縣電子政務外網四級。每一級電子政務外網對網絡的要求是不同的,進而對設備性能及功能要求各不相同。
?
業(yè)務互訪要求
電子政務外網作為統(tǒng)一的網絡承載平臺,將接入不同的政府各級部門,形成在統(tǒng)一網絡平臺上的邏輯虛擬專網,各構建統(tǒng)一、安全、易管理的協(xié)同電子政務平臺虛擬專網之間需要安全隔離。同時,因為協(xié)同型電子政務應用系統(tǒng)的不斷發(fā)展,又要求相互隔離的虛擬專網之間能夠進行部分數據交互和資源共享。此外,還涉及虛擬專網用戶對公共資源的訪問,對互聯(lián)網的訪問等等。所以,電子政務外網上存在非常復雜的業(yè)務互訪需求,而且對互訪需要強大靈活的控制手段。
?
網絡安全要求
目前,很多電子政務網解決方案缺乏整體的安全規(guī)劃,多是網絡安全設備的簡單堆砌,僅僅能解決局部的、特定的安全隱患,例如通過防火墻抵御外部發(fā)起的攻擊、通過IDS檢測入侵行為等等。目前解決這些安全問題的方式往往是事后的亡羊補牢,還無法做到早期的預防、檢測以及整網聯(lián)動的智能主動防御。
?
綜合管理要求
電子政務外網規(guī)模較大,承載的業(yè)務會越來越多,因此對網絡的管理功能提出了很高的要求。而且這種網絡管理不僅僅局限于對網絡設備的管理,更多是要求對網絡資源的管理和調配,進而能夠更好地支撐上層業(yè)務系統(tǒng)的正常運行。
華為公司電子政務外網解決方案簡介
?
基礎網絡解決方案
電子政務外網作為電子政務外網骨干,負責連接各下級電子政務外網,整網包括核心城域網、廣域骨干網、互聯(lián)網出口、核心網絡管理中心、地市接入網、各部委局署接入網等幾個重要部分。
其中,核心城域網的規(guī)劃簡單如下:核心以路由器組網為主,傳輸帶寬采用2.5G,為加快核心層數據轉發(fā)和保護關鍵數據,大都采用環(huán)網技術,即租用電信運營商的SDH設備和傳輸線路,將核心設備進行環(huán)形連接;也可以只租用裸光纖線路,采用RPR(彈性分組環(huán))環(huán)網技術進行環(huán)形組網。從技術先進性和便于維護的角度來看,城域網核心大多采用RPR來建設。可選用了多臺華為公司的Quidway? NetEngine 80E核心路由器組成一個2.5G的RPR環(huán);匯聚層設備可以采用路由器(支持E1接入)也可以采用交換機(支持GE/FE接入),匯聚層設備要求支持MPLS VPN,能夠承擔PE的功能并且需要支持NAT多實例功能,以支持不同接入用戶在地址重疊的情況下能夠通過NAT多實例功能翻譯成不同的地址。匯聚層可選用華為公司的Quidway? NetEngine 40/40E核心路由器,也可采用華為公司Quidway? S8500高端交換機。一般來說,如果數據流量模型以縱向為主,那么建議選用路由器,如果以橫向交互數據流居多,則選用交換機。
廣域骨干網路由設備要求支持MPLS VPN(MPLS VPN 是目前電子政務外網建設中最常使用的邏輯虛擬專網劃分技術手段)和QOS(端到端服務質量保證是電子政務外網建設中的基本需求)功能。從可靠性角度考慮,廣域骨干網路由設備應支持關鍵部件全冗余配置以及NSF(不間斷路由轉發(fā))和GR(平滑重啟)功能。從接口上看,廣域骨干網路由設備應支持2.5G/155M CPOS,GE/FE 等接口。廣域骨干網可選用華為公司的Quidway? NetEngine 40/40E核心路由器,租用運營商GE或者SDH 155M接口與核心城域網匯聚層的設備相連。這種組網模式示意圖如下:
?圖一:某電子政務外網組網示意圖
業(yè)務互訪解決方案
電子政務外網作為統(tǒng)一的網絡平臺將接入眾多的政務部門,各政務部門之間需要相互隔離以及靈活的受控互訪,電子政務外網上將形成復雜的互訪關系。以下圖示意。
圖二:電子政務外網業(yè)務互訪關系示意圖
根據各自實現(xiàn)的功能不同,將電子政務外網分為三個獨立的功能區(qū):縱向業(yè)務區(qū)、公眾服務區(qū)、資源共享區(qū)。縱向業(yè)務區(qū)是各個縱向政府部門在電子政務外網上劃分出來的虛擬邏輯專網,負責傳送各政府部門自身的業(yè)務數據,彼此之間嚴格安全隔離。公眾服務區(qū)是電子政務外網上劃分出的對公眾服務的部分,包括各類WEB/FTP公眾服務器。資源共享區(qū)是電子政務外網內部各縱向業(yè)務系統(tǒng)之間需要共享和交互的數據。三者之間的互訪關系如上圖所示,縱向業(yè)務區(qū)用戶具有最高訪問權限,可以訪問公眾服務區(qū)(提取公眾需求),可以訪問資源共享區(qū)(用于各縱向業(yè)務區(qū)用戶之間交互數據),可以訪問INTERNET(資料查詢等)。資源共享區(qū)具有次高訪問權限,不能訪問縱向業(yè)務區(qū),但可以訪問公眾服務區(qū)(提取公眾需求)。公眾服務器區(qū)訪問權限最低,只能和INTERNET進行交互,不能進入縱向業(yè)務區(qū)也不能進入資源共享區(qū)。所有業(yè)務訪問關系在技術上是通過MPLS VPN來實現(xiàn)的。
我們以縱向業(yè)務系統(tǒng)為例說明其如何實現(xiàn)對其余區(qū)域的訪問
(1)縱向業(yè)務系統(tǒng)對互聯(lián)網和公眾服務區(qū)的訪問
圖三:縱向業(yè)務系統(tǒng)對互聯(lián)網和公眾服務區(qū)的訪問示意圖
縱向業(yè)務系統(tǒng)對互聯(lián)網和公眾服務區(qū)的訪問都需要做NAT,可能在PE上,也可能在用戶的接入防火墻上。通過NAT,將用戶的私網地址翻譯成電子政務外網統(tǒng)一分配的地址,以這個地址實現(xiàn)對公眾服務區(qū)(公眾服務器同樣分配電子政務外網地址)訪問和對互聯(lián)網的訪問。在訪問互聯(lián)網時可能需要在出口設備上將電子政務外網地址二次翻譯成ISP地址,這要視具體實現(xiàn)方式而定。某縱向業(yè)務系統(tǒng)接入的PE設備(如工商系統(tǒng)接入的PE)需要設置靜態(tài)路由指向其余業(yè)務系統(tǒng)(如稅務)接入的PE設備地址,以直接訪問其余業(yè)務系統(tǒng)(如稅務)對外發(fā)布的公眾服務器(如WEB服務器),同時需要設置缺省路由指向互聯(lián)網出口PE。
(2)縱向業(yè)務系統(tǒng)對共享資源區(qū)的訪問
縱向業(yè)務系統(tǒng)對共享資源區(qū)的訪問并不是縱向業(yè)務系統(tǒng)用戶直接訪問共享資源區(qū),而是通過前置機的方式訪問。縱向業(yè)務系統(tǒng)(如工商)將自己需要和其余縱向業(yè)務系統(tǒng)(如稅務)交互的數據通過安全的方式(如網閘)由內部服務器導入到前置機上。所有縱向業(yè)務系統(tǒng)的前置機自己成為一個單獨的VPN,共享資源區(qū)成為一個共享VPN,共享VPN可以和所有縱向業(yè)務系統(tǒng)前置機VPN實現(xiàn)互通,實現(xiàn)邏輯星型連接,此方式下數據流模型為集中式。也可采用分布式數據流模型,所有縱向業(yè)務系統(tǒng)前置機VPN根據應用系統(tǒng)要求通過RT值控制直接進行互訪以交互數據。兩種方式視具體情況和要求而定。
?
安全滲透解決方案
安全滲透網絡的核心理念是將安全滲透到網絡的角角落落。安全不再是安全產品的簡單堆砌,而是整體全面的安全規(guī)劃以及全網設備的安全聯(lián)動。安全滲透網絡包括三個部分:端點安全、威脅抵御、基礎安全功能。
(1)端點安全
目前的電子政務網絡建設中,建設者們往往重視來自于網絡外部的攻擊或者病毒,通常采取在網絡出口設置防火墻的方式來抵御外部的威脅。但建設者們卻往往忽略了來自網絡內部的攻擊和病毒,認為網絡內部的用戶都是可信任用戶,結果正是這一點成為網絡安全最為薄弱的環(huán)節(jié)。因為電子政務網內部任何一臺用戶終端的安全狀態(tài)(主要是指終端的防病毒能力、補丁級別和系統(tǒng)安全設置)都將直接影響到整個網絡的安全。如果某臺終端感染了病毒,它將不斷在網絡中試圖尋找下一個受害者,并使其感染,在一個沒有對內部用戶進行有效安全防護的電子政務網絡中,最終的結果可能是全網癱瘓。所以,加強對電子政務網內部用戶的管理和控制是解決電子政務網安全漏洞的重要手段。華為公司的安全解決方案通過安全客戶端、安全策略服務器、接入設備以及防病毒軟件聯(lián)動,可以將不符合安全要求的終端限制在“隔離區(qū)” 內,防止“危險”終端對網絡安全損害,避免“易感”終端受病毒、蠕蟲的攻擊。
(2)威脅抵御
針對惡意的攻擊行為進行深度檢測,并通過安全設備和網絡設備的安全聯(lián)動策略來控制攻擊行為。一個黑客發(fā)起了攻擊,網絡設備會將這種攻擊行為的數據轉發(fā)到安全設備,安全設備將數據上報給管理中心,管理中心通過分析,確認這是一個攻擊行為,并下發(fā)針對這一攻擊行為的安全策略給安全設備。安全設備將這一安全策略轉發(fā)給網絡設備,網絡設備就會按照安全策略阻止后續(xù)攻擊。
(3)基礎安全功能
將安全功能和安全設備天然的融合到網絡設備中,如在路由器上提供防火墻功能和VPN功能。使安全策略更加易于控制和部署。
?
綜合管理解決方案
電子政務外網由于面向用戶眾多,設備分布區(qū)域較大,因此網絡的管理就非常的重要。華為公司提供強大的網絡設備管理軟件,實現(xiàn)正常的網絡管理功能外,在故障管理和配置管理上更加人性化,滿足管理人員的實際需求。
除了設備管理軟件之外,華為公司還提供MPLS VPN業(yè)務管理軟件,通過圖形化簡單的操作實現(xiàn)對復雜VPN網絡的輕松管理和資源調度。MPLS VPN管理軟件同時支持MPLS L2/L3 VPN,可以同時管理BGP/MPLS VPN(RFC 2547bis)、MPLS L2 VPN(VPLS、Martini、Kompella),實現(xiàn)了“多種VPN業(yè)務,單點集中運維”的需求,降低管理成本,提高工作效率。
MPLS VPN管理軟件采用直觀的業(yè)務規(guī)劃,使用圖形化、向導化的方式,幫助管理員快速完成VPN業(yè)務規(guī)劃,并可直觀的進行“業(yè)務預覽”,即在業(yè)務尚未部署到設備之前,就可在業(yè)務管理系統(tǒng)中看到業(yè)務實施后的效果(如VPN拓撲結構、VPN內各站點間邏輯連接關系),避免業(yè)務規(guī)劃過程中人為的錯誤。
MPLS VPN管理軟件提供多種有效的業(yè)務監(jiān)控手段,從而保證VPN業(yè)務質量:VPN配置審計、VPN連通性審計、端到端的網絡性能(時延、丟包、抖動)監(jiān)控、圖形化的流量/ 帶寬利用率監(jiān)控、智能的業(yè)務告警分析,幫助管理員快速排障、及時了解業(yè)務狀況。
能夠提供完善的客戶管理機制,可以維護VPN客戶的各種信息,并提供豐富的客戶業(yè)務租用報表、資源租用報表、性能數據報表、流量數據報表和故障數據報表等,便于管理員有效的管理VPN 客戶。
完善的系統(tǒng)安全提供靈活的用戶分權策略(可按照對象+操作給用戶授權),方便用戶按照管理員實際業(yè)務職責來分權;提供簡便易用的數據庫備份工具,簡化系統(tǒng)管理員數據備份的工作;提供Watchman異地雙機備份組件,保證系統(tǒng)的高可用性;提供詳盡的用戶操作日志記錄、任務操作日志記錄,便于事后跟蹤。
靈活的拓撲提供豐富的網絡拓撲顯示視圖:網絡視圖(PECE之間的連接關系)、客戶視圖(CE-CE 之間連接管理)、VPN視圖(每個VPN顯示為一個節(jié)點)功能,并提供放大、縮小、定位節(jié)點、鳥瞰圖、節(jié)點搜索、多選等操作;并可按照客戶、VPN過濾、AS、VPN類型等過濾顯示;對于VPN內節(jié)點數目較大、之間的邏輯鏈接過多提供更細節(jié)的過濾顯示功能;拓撲能夠反映業(yè)務實際運行狀態(tài)。
總結
華為公司在深入理解電子政務網絡的基礎上,分析了電子政務網絡建設中存在的一系列問題,并針對性地提出解決方案。這是華為公司承建眾多電子政務網絡建設工程后的寶貴經驗的積累。
華為公司電子政務解決方案的支撐技術
強大的MPLS VPN技術
電子政務網建設的主要目標是:建立一個開放的、基于標準的電子政務統(tǒng)一網絡平臺,避免重復建設。在電子政務的統(tǒng)一網絡平臺之上,實現(xiàn)政府不同部門之間的信息交換和資源共享,面向公眾提供服務,增強各部門工作的透明度。但是在實現(xiàn)政府不同部門之間的信息交換和資源共享同時,如何保證政務內網、政務外網信息的安全性;如何保證同一行業(yè)不同部門尤其是保密部門業(yè)務和信息的安全性;如何保證不同行業(yè)之間業(yè)務和信息的安全性,是政府信息化建設面臨的不可避免的問題,安全對于政府來說是至關重要的。MPLS VPN技術可以很好的解決該問題,通過將各機關部門辦公系統(tǒng)劃分為不同的VPN網絡,實現(xiàn)各部門辦公系統(tǒng)共享同一物理網絡,但是在邏輯上卻是相互隔離,從而既可以提高政府辦公的自動化程度及效率,又可以保障各部門系統(tǒng)內數據不被其他人訪問,滿足了政府辦公的安全需求。MPLS VPN技術作為一項有效的隔離技術,在靈活性、可擴展性、易開展性等方面具有很強的優(yōu)勢,目前已經成為電子政務網絡建設的主要支撐技術之一。
針對MPLS VPN技術的理解和實際部署經驗,華為采用了中國首個為IETF采納的數據通信標準草案HOPE(注:HOPE全稱是:Hiberarchy Of PE,即分層PE技術。HOPE是華為公司專有技術,2002年初正式向IETF提交并且獲得國際電聯(lián)專家委員會大力推薦的RFC國際技術標準草案。),標志著MPLS VPN大規(guī)模商業(yè)部署的技術條件已經成熟。HOPE通過引入UPE和SPE等角色和新構建流程的方式解決了邊緣網絡設備對MPLS VPN和路由協(xié)議支持的性能等系列問題,將MPLS VPN的良好支持范圍覆蓋到了全線高端路由器、交換機甚至華為公司系列中低端路由器上,這成為我們選擇MPLS VPN技術體系作為電子政務網支撐技術的重要依據。結合HOPE 的MPLS VPN技術為新一代網絡系統(tǒng)提供了一個硬件平臺下構建多個縱向業(yè)務網絡的有效途徑。不同業(yè)務類別、應用區(qū)域從網絡層就開始的完全“獨立布設”使得網絡安全的部署更加簡明和堅固。(注:在分層PE的結構中直接連結用戶的設備稱為下層PE“Underlayer PE”或“User-end PE”,即用戶側PE,簡寫為UPE,連結UPE并位于網絡內部的設備稱為上層PE“Superstratum PE”或“Sevice Provider-end PE”,即服務網絡側PE,簡寫為SPE。)
華為也提供方便的MPLS VPN部署管理軟件—MPLS VPN MANAGER,使華為公司的MPLS提供能力位于業(yè)界的最高水平。
華為網絡設備在MPLS VPN的支持能力上經過了多家第三方權威機構的測試,并且在目前國內政府行業(yè)、金融行業(yè)、教育行業(yè)及運營商的網絡上有大量的商用以及與其他廠商設備的互通實例。作為業(yè)界少數幾家能提供整網MPLS VPN技術的廠商之一,華為公司致力在電子政務建設中提供基于MPLS VPN技術的網絡受控互訪與安全隔離解決方案。
先進的可控組播技術
政府有進行多媒體培訓的需求、有開展網上會議直播的時候,組播技術必不可少。但從目前業(yè)界的標準組播模型來看,是無法實現(xiàn)對組播源和組播用戶進行有效控制的,也就是說無法防止非法用戶和無法防止非法組播源,這對于政府開展網上培訓和會議直播無疑在安全性和可靠性方面都存在問題。根據政府網的實際現(xiàn)狀,華為公司提出利用設備和業(yè)務管理系統(tǒng)配合在組播源和組播用戶加入前對兩者進行認證,以實現(xiàn)可控制的組播業(yè)務。
高效的可擴展彈性網絡技術
在構建政務網絡應用平臺的過程中,除了廣域網的建設之外,政府辦公區(qū)域的局域網建設量也是非常大的,而且隨著局域網絡的不斷擴展,如何多快好省地建設電子政務網絡平臺也面臨著不小的挑戰(zhàn)。
華為公司eXpandable Resilient Netwoking(XRN)可擴展彈性網絡技術在建設政府的樓宇局域網、大型樓宇和園區(qū)網絡的骨干核心和網絡匯聚層以及大型園區(qū)網絡的過程中,不僅可以通過設備控制和調控各業(yè)務的享用帶寬,利用帶寬控制技術,為語音和數據等不同的業(yè)務提供不同優(yōu)先級服務,保證整個網絡的可用性;同時可以通過分步式的網絡建設提供更高效的電子政務建網方案, 實現(xiàn)整個網絡的高性能按需構建,能夠提供性能靈活出色、性價比高的網絡。
圖1:基于XRN技術的高效率彈性局域網絡 圖1是演示如何利用XRN技術構建政府局域網方案,XRN技術構成的網絡核心冗余方案采用分布式路由技術完成路由交換冗余,采用分布式鏈路聚合技術完成第二層主干上連冗余。通過協(xié)同工作,可以智能分配網絡流量,必要時在冗余點之間形成負載共享。分布式設備管理技術,使得冗余系統(tǒng)幾乎不需要增加額外的系統(tǒng)配置管理負擔和用戶的投資,即增強網絡的可靠性,又擴展網絡核心的整體性能,而同時網絡管理簡單易行,有效減低管理成本和管理風險,一舉而三得。
第五篇:電子政務公共服務解決方案
電子政務公共服務解決方案
發(fā)布時間:2007-05-27 作品簡介
論文報告
方案背景:
建設公共服務型政府是新階段我國政府職能轉變的基本目標,我們目前最大的挑戰(zhàn)是如何由過去的 管制型政府過渡成明天的服務型政府。電子政務是實現(xiàn)政府職能轉變的一個重要工具,它通過政府門戶網站提供公共服務,加強政府與企業(yè),政府和公眾的溝通,方 便百姓辦事,充分展示和提高政府形象。目前我國電子政務公共服務以正處于后臺內部整合,互聯(lián)互通,內網、外網、政府門戶網站同時建設的時期,也正處于從內 向外,從局部到系統(tǒng)的演進發(fā)展階段。推動各級政府門戶網站建設,提供公共服務是當前電子政務的核心工作之一。
方案整體概述:
太極 計算機股份有限公司經過長期的行業(yè)積累和知識優(yōu)化,形成一套完整的電子政務公共服務解決方案,內容包括:政策法規(guī)、政府工作動態(tài)、辦事指南等信息發(fā)布服 務;個人戶籍、婚育、納稅及企業(yè)、團體方面設立、資質、生產、經營等政府辦事類服務;氣象、交通、水電、煤氣、醫(yī)療、衛(wèi)生、教育等公共事業(yè)信息服務;家政 中介、商品配送、車輛租賃和買賣等生活便民服務;以及政策法規(guī)、政府辦事、企業(yè)和個人信用等咨詢服務。可以為政府部門、公共事業(yè)服務企事業(yè)單位和社區(qū)服務 企事業(yè)單位等單位和部門,以及個人(城市居民和農村居民)、企業(yè)、其他個人、團體或組織建立起完善的公共服務系統(tǒng)。
方案功能內容:
1、統(tǒng)一的政府門戶網站
太極電子政務公共服務解決方案為用戶建立統(tǒng)一的政府門戶網站,在門戶中將各種服務進行整合和發(fā)布。通過這一門戶網站,公共服務對象可以了解、享受到信息發(fā)布、政府辦事、公共事業(yè)、生活便民和咨詢投訴等相關服務,實現(xiàn)一次登錄、按需使用。
2、完善的內容管理
這樣的門戶中必然涉及大量的對公服務信息,這些信息又來自政府、公共事業(yè)服務企事業(yè)單位、社區(qū)和服務企事業(yè)單位等不同途徑,從運營的角度而言,由一家單 位或部門完成所有內容的維護是不現(xiàn)實的。太極電子政務公共服務解決方案提供了完善的內容管理功能,它通過建立在多級組織、角色、權限基礎上的采、編、發(fā)機 制,讓每一個提供服務的單位獨立完成自我內容的管理。
3、網上審批及協(xié)同處理的交互機制
對公共服務中往往涉及大量的協(xié)同政務和協(xié) 同事務的網上辦理,如戶籍、婚育、財產、納稅及企業(yè)、團體方面設立、資質、納稅;交通、供電、自來水、煤氣、醫(yī)療、衛(wèi)生、教育等,這些服務往往需要由多個 單位或部門協(xié)同完成。太極電子政務公共服務解決方案通過工作流、信息交換等技術的采用,形成網上審批及協(xié)同處理的交互機制,可以更好的為對公服務提供輔助 作用。
4、有效的內、外網信息交換機制
公共服務門戶主要采用外網提供服務、受理申請和內網提供信息發(fā)布、業(yè)務辦理的工作方式,太極電子政務公共服務解決方案中提供的內、外網信息交換機制將內容管理和網上審批這兩大環(huán)節(jié)有效的結合在一起,成為資源整合的有力保障。
5、全面的過程跟蹤
電子政務的宗旨就是政務公開、服務便捷,太極電子政務公共服務解決方案通過全面的過程跟蹤、全文檢索、多種終端接入模式以及咨詢投訴等功能實現(xiàn)這一目 的。服務對象通過門戶提交服務申請后,可以通過辦事指南了解整個服務的過程,并且可以隨時了解該項服務的具體辦理情況和辦理狀態(tài)。
6、滿足全文檢索要求
它的全文檢索機制包括條件查詢和內容查詢,方便服務對象在龐雜繁多的信息中迅速、準確的找到需要的信息。
7、實現(xiàn)多種終端接入模式
這套方案還提供了計算機、電話、手機、信息亭、數字電視等多種終端接入方式,結合網絡化的后臺公共服務資源,為更廣泛公眾提供服務,開展多樣化、有效的公共服務工作。
8、咨詢投訴
該方案中還提供統(tǒng)一入口、分發(fā)機制,完成主要政策法規(guī)、政府辦事、企業(yè)和個人信用、教育升學、旅游咨詢和辦理、職業(yè)介紹和職業(yè)技能培訓、商務輔助、心理咨詢等信息的網絡在線咨詢以及投訴服務。
9、提供對公共服務的全面監(jiān)管
這樣一整套內容多元、涉及部門眾多、服務對象廣泛的電子政務公共服務提訊系統(tǒng),整體監(jiān)管和維護是必不可少的。太極電子政務公共服務解決方案中的公共服務 管理中心,就是起到了全面監(jiān)管和維護的作用。公共服務管理中心統(tǒng)一管理公共服務門戶的運行、公共服務信息發(fā)布的流程和內容、門戶中各項服務出入口的設置、服務對象服務申請的內容和結果,并且維護公共服務的基礎數據和業(yè)務數據,對服務辦理過程進行監(jiān)管,對服務對象提請的咨詢投訴進行統(tǒng)一分發(fā)。太極電子政務公 共服務解決方案通過公共服務管理中心,對各種發(fā)布信息、流程信息、交互信息、基礎設計以及各種辦理活動和辦理狀態(tài)進行全面監(jiān)管,體現(xiàn)了電子政務寓監(jiān)管于服 務的要求,保證了政府信息的權威性、實時性和活動的公開性。
方案總結:
太極電子政務公共服務解決方案,同時考慮到了服務提供方和 服務對象方的需要,一方面,它通過建立門戶網站、進行內容管理等功能,信息交換、流程交互機制和全面全程監(jiān)管的公共服務管理中心,對服務提供方的全部工作 內容進行有效整合,使龐雜繁瑣的工作系統(tǒng)化、模塊化、流程化,既提高了有關部門的工作效率,又保證了政府信息的權威性、實時性、公開性,實現(xiàn)了電子政務的 服務目標。另一方面,這套解決方案為服務對象提供了全面的過程跟蹤、全文檢索、多種終端介入模式和咨詢投訴功能,使他們既能快速準確找到所需信息,也能對 自己提出的服務申請進行全程跟蹤,還可以隨時提出咨詢和投訴,實現(xiàn)了政府部門工作流程透明化,有利于公眾監(jiān)督,在政府與企業(yè)、政府與公眾之間真正搭建起了 一座溝通的橋梁。
點擊咨詢 