华为电子政务网络安全解决方案

1、华为电子政务网络安全解决方案编者按：没有安全的网络，就像没有围墙的院落，随时随地会受到骚扰和侵犯。随 着政务网络的不断发展和应用，网络受到的安全挑战越来越多。如何保证政务网络的 全面安全？华为电子政务网络安全解决方案为此提供了解决办法没有安全的网络，就像没有围墙的院落，随时随地会受到骚扰和侵犯。随着政务 网络的不断发展和应用，网络受到的安全挑战越来越多。如何保证政务网络的全面安 全是摆在建设与管理者面前的一个难题。随着政务网络的层次化、分组化以及宽带化发展，政府部门越来越多的统计决策 业务、日常监督检查业务、OA等管理性业务以及面向多媒体的综合业务都开始向数字 化、网络化转变，这符合当前信息网

2、络融合发展的趋势。多网融合对应用的安全性提 出了更高的要求。但目前政务网络还存在一些常见的问题：一是没有统一的网络授权控制策略，仅 采用简单的口令控制，使用不便，而且难以确保口令的时效限制。二是机房中心访问 控制与未来跨主机业务之间的矛盾，如不同政府部门之间的业务开展和结算等。三是 网络规划基本上还是以简单办公业务需求为主，没有考虑到将来政府网络支持的业务 对网络架构和安全要求提高后的平滑过渡。四是政务内网与政务外网之间的数据交换 存在实时性与安全性之间的矛盾。因此，政务网络需要整体性的安全解决方案。政务网络安全策略完整的安全体系结构应覆盖系统的各个层面，由“网络级安全、应用级安全、系 统级安

3、全和管理级安全”四大部分组成。网络级安全是指在物理层、链路层、网络层采取各种安全措施来保障政务网络的 安全；应用级安全是指采用应用层安全产品和利用应用系统自身专有的安全机制，在 应用层保证对政务网络各种应用系统的信息访问合法性；系统级安全主要是通过对操 作系统（UNIX、NT）的安全设置和主机监控，防止不法分子利用操作系统的安全漏洞对 政务网络构成安全威胁；管理级安全主要是从建设内部安全管理、审计和计算机病毒 防范三方面来保障政务网的安全。因此作为一个完整的系统，政务网络必须对网络系 统进行全方位的考虑。网络的安全覆盖系统的各个层面，包括网络传送、网络服务、应用安全、安全识 别、安全防御、安全

4、监控、审计分析、集中管理等多个方面。这需要依靠安全保护和 安全管理进行全面防护。针对政府的现有网络和业务的现状，华为认为，一个完整的网络安全方案应该由 网络层安全策略和应用层安全策略来构成，网络层安全策略主要完成对非法使用网络 资源的控制，而应用层安全策略主要是针对通过合法的渠道来非法使用业务资源的控 制，只有两者的完美结合，才能构成一个安全的系统。政务内网是政府部门的内部网络，和外界网络完全隔离，所以安全问题可能出现 在局域网内部和政务内网的广域网上。政务内网局域网安全解决方案针对以太网存在的各种链路层和网络层安全隐患，华为QuidwayS系列以太网交 换机采用多种网络安全机制，包括访问控制

5、、用户验证、防地址假冒、入侵与防范、 安全管理等技术，提供了一个有效的网络安全解决方案。在这个方案中，局域网内的访问控制的原则是只允许授权的用户访问某个主机， 通过网络设备来提供这种保障。政务内网的数据库、服务器等资源是受限访问的。一 般一个部门内的用户的权限是相同的，可以将这些用户划分在一个VLAN内，只要设 置基于VLAN的报文过滤策略就可以实现对这个VLAN内所有的用户的报文过滤。这样 可以看出，基于VLAN的报文过滤是最简单实用的某个用户群的访问控制策略。可以设定华为公司Quidway S系列以太网交换机端口禁止或允许转发来自或去往某个 VLAN的报文。Quidway S系列以太网交换

6、机支持标准及扩展的ACL。可以通过标准的 ACL只设定一个简单的地址范围，也可以使用扩展的ACL设定具体到协议、源地址范 围、目的地址范围、源端口范围以及优先级与服务类型等。这样可以实现复杂的访问 控制策略。用户验证是保证接入政务内网的用户是合法的或通过某个以太网交换机端口接 入政务内网局域网的用户是预先配置的。华为解决方案可提供的用户验证包括PPPoE 验证、WEB验证、802.1x端口验证、VLAN验证、CA验证等等。政务内网的局域网有可能受到入侵流量攻击，对于一些连接关键部门的端口，特 别是连接广域网设备的端口和财务部门、领导部门的端口，可以将以太网交换机连接 协议分析仪，通过报文镜象、

7、报文统计来监控端口流量和统计某个应用流的流量。 Quidway系列以太网交换机支持端口镜象和流镜象，通过基于ACL的报文包数和字节 数统计，从而了解网络的运行状况，发现网络设备是否受到入侵攻击。政务内网接入层网络安全解决方案通过在局域网出口路由器与局域网相连的接口上或与骨干IP网相连的接口上配 置ISPKeeper，可很好地抵御黑客对ISP进行的流量攻击，避免内部网络受到外部网 络或骨干网的大流量访问和攻击而导致内网瘫痪。华为Quidway系列设备提供对多种系统信息的记录功能。如在配置ACL时加入 LOG关键字，这样可以在交换机处理相应的报文时记录报文的关键信息；还可以对关 键事件进行记录，对

8、DEBUG信息进行记录，用于分析网络运行出现的问题。Quidway系列设备支持对各监控信息设置重要性程度；配置各监控信息的输出设 备，包括配置终端、Console 口、内部缓冲区、日志主机等。通过分析这些信息，可 以对网络进行运行维护和管理。政务内网广域网的网络安全政务内网广域网将省市县政务内网连接在一起，为政府的内部办公提供了极大的 便利。但由于构成Internet的TCP/IP协议本身缺乏安全性，政务内网广域网的网络 安全成为必须面对的一个实际问题。政务内网广域网网络上存在着各种类型的攻击方式，包括网络层攻击、应用级攻击和系统级攻击。针对政务内网广域网存在以上各种 安全隐患，建议采取如下的

9、网络级、应用级和系统级安全措施来保证广域网的安全。在这种解决方案中，只有网络管理员才有权访问政务内网广域网路由器，所以对 访问路由器的用户需要进行身份认证。政务内网广域网由骨干路由器组成，路由器之 间需要对对端路由器的身份进行认证，对端路由器不仅仅指物理上的直接点对点相连 的路由器，同时还包括虚拟的点对点（如通过隧道协议）相连的路由器。如县政务内 网广域网路由器和省政务内网广域网骨干路由器之间需要身份认证。访问控制分为对路由器的访问控制、基于IP地址的访问控制、基于用户的访问 控制。为了保护政务内网广域网路由器的配置，对路由器的访问权限需要进行口令的 分级保护。一般情况下，各级政府部门的政务内

10、网的网络用户是通过IP地址来区分 的，不同的用户具有不同的权限。通过路由器的包过滤可以实现基于IP地址的访问 控制，可以实现对政务内网的重要资源的保护。另外，路由器也可以提供接入服务功 能。对于已接入的用户来说，他们之间的权限有可能是不一样的。通过对用户设置特 定的过滤属性，可实现对接入用户的访问控制。华为Quidway系列路由器支持IETF制订的IPSec系列协议，通过采用手工配置 或自动协商密钥两种方式，在传输或隧道模式下能够单独或组合应用 AH（Authentication Header， 认证报头）和 ESP（Extended Services Processor 扩展业务处理器）安全

11、协议，对整个IP报文或数据载荷内容进行不同粒度级别的加密和认 证，从而提供验证数据源、校验数据完整性和防止报文重放等（ESP还提供加密）功能， 结合ACL访问控制列表，共同确保数据信息在电子政务网络上传送的安全保密性。为了避免政务内网广域网因为数据窃听而造成的信息泄漏，有必要对所传输的信 息进行加密，只有与它通信的对端才能对此密文进行解密。通过对路由器所发送的报 文进行加密，即使在广域网上进行传输，也能保证数据的私有性、完整性以及报文内 容的真实性。对于利用公网构建VPN的情况，数据加密能够保证通过隧道传输的数据 安全。MPLS VPN是实现VPN方案的技术之一，它使用基于标记的转发模式，MPLS VPN 可以实现DDN的安全性能，但配置、管理、调度更方便，同时也降低了用户接入门槛。政务内网的广域网路由器作为一个政务内网对外的接口设备，是攻击者进入政务 内网的第一个攻击目标。如果路由器不提供攻击检测和防范，则也是攻击者进入内部 网络的一个桥梁。华为NE、R系列路由器、S系列交换机上可提供报文过滤、ASPF攻 击检测等特性，可实现有效融合业务与安全思路的组网方案，在攻击的第一阶段阻止 攻击行为。安全策略管理内部网络与外部网络之间的每一个数据报文都会通过路由器，在路由器上进行报 文的审计可以提供网络运行的必要信息，有助