电子政务专网安全规划的解决方案样本

安氏电子政务专网安全计划处理方案作者：

起源：

电子政务安全系统建设任务是：为保护网络、信息及应用安全，建立统一安全管理平台，布署合理、可调整，完全符合电子政务网络、信息及应用安全需求安全策略，实现安全日志管理和统计分析，制订完善安全审计策略，达成实时、动态监控全网目标，对异常安全事件能够进行追踪、分析、统计，对全网布署安全设备、设施能够进行统一管理、配置和配置文件统一备份和恢复。

安氏互联网安全系统（中国）作为专业网络安全企业，提供了优异网络安全评定、入侵检测、内容安全、防火墙等产品，并致力于成为中国电子政务安全合作伙伴和顾问。

PADIMEE

安全理念和业务结合

安氏目标是帮助用户建设完整、坚固信息安全体系，所以，我们从用户对安全需求出发，依靠安氏在安全领域强大实力，为用户提供全方面安全处理方案。

安全是一个动态过程，企业对安全系统建设，是一个生命周期循环过程，安氏提出了独特PADIMEE方法论，并将本身业务和PADIMEE周期中每个步骤紧密地结合起来——策略（Policy）、评定（Assessment）、设计（Design）、实施（Implementation）、管理（Management）、紧急响应（Emergency

Response）、教育（Education）。

针对用户信息安全需求，安氏推出了由安全管理咨询、安全系统集成服务、安全用户支持、安全培训等一系列服务组成完整处理方案，帮助用户在安全建设生命周期中取得良好效果。

方案处理之道

构建动态防御系统

安氏企业提供针对政府网络安全处理方案目标是，保护网络安全有效运行，保护网络中信息保密性。

首先，使用LinkTrust

CyberWall防火墙产品实现各个内部子网之间、子网和关键应用服务器之间和和其它全部外部网络隔离和访问控制，经过配置防火墙安全策略对全部服务器请求加以过滤，只许可正常通信数据包抵达对应服务器，其它请求服务在抵达主机前就遭到拒绝，当网络出现攻击行为或受到其它部分安全威胁时，进行实时检测、监控、汇报、预警和立即阻断。其次，使用能和防火墙系统联动LinkTrust入侵检测系统（IDS），对服务器和关键保护网段加以监控、统计，并和防火墙一起组成一个动态防御、报警系统。

领信防火墙

一站式处理方案

领信防火墙关键采取透明、路由、NAT三种工作模式，充足满足用户网络结构需求。提供LCD、SSH、Console、Web、GM等多个管理方法。支持内容过滤，包含智能URL封堵、恶意邮件过滤、Java、ActiveX、诡异木马探测等全方位七层过滤功效。本身安全性高，采取专用Security

Appliance承载平台，从软硬件多角度多方位地确保系统本身安全。内置集成入侵检测功效，其两百种以上攻击手法检测和防范，为预算有限企业用户提供一站式完整经济网络安全处理方案。经过和专用IDS配合工作，动态调整安全策略，实时封杀攻击源。可提供基于访问控制规则网关级流量镜像，可依据用户网络实际安全需求镜像流量到专用IDS设备，为IDS可提供更高效率高可控检测数据源。可提供含有保密性、安全性、低成本、配置简单等特征虚拟专网服务（提供端到端和拨号用户到端两种方法VPN处理方案）。

另外，LinkTrust

CyberWall和带宽管理有效地结合在一起，为用户确保网络安全同时，也预防了一些用户或通信大量占用带宽，既能避免造成网络阻塞甚至瘫痪，又能确保关键业务即使在网络繁忙时也能够正常工作。而且，LinkTrust

CyberWall采取模块等级和处理方法相结合方法配置日志，能够对单一模块、多个模块组合和全部模块指定处理方法。用户能够自主选择以不一样方法发送日志，包含当地共享内存、Syslog、SNMP

Trap和Email告警。还有，对PPPoE和DHCP支持，PPPoE模块专为ADSL/ISDN等拨号接入用户而设计，利用PPPoE协议，防火墙能够方便地接入拨号网络，提供安全网关防护功效。DHCP功效省去了企业企业为单独设置DHCP服务器所消耗成本，防火墙在启用了DHCP

功效后，内网用户能够直接从防火墙所提供DHCP服务上取得对应IP地址，极大节省了用户投资，方便了网络统一管理。

领信入侵监测系统

实现动态保护

防火墙保护是必需，但绝不仅仅是保护手段，尤其是在某市电子政务专网中，有着很多极其关键应用系统，这些系统能否正常运行直接关系到相关业务能否正常开展。所以，该市电子政务专网还需要一个动态和主动保护机制，时刻检验和解析全部访问请求和内容，一旦发觉可疑行为，立即做出合适响应，以确保将系统调整到“最安全”和“风险最低”状态。这种动态保护机制就是入侵检测系统。

入侵检测系统应含有以下特征：在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警和防护系统驱逐入侵攻击；在入侵攻击过程中，能降低入侵攻击所造成损失；在被入侵攻击后，搜集入侵攻击相关信息，作为防范系统知识，添加入知识库内，以增强系统防范能力。

网络入侵监测系统一个关键功效在于可和防火墙联动，可有效降低IDS布署数量，节省成本。

本方案使用了安氏企业领信入侵检测系统LinkTrust

Network

Defender来组成实时入侵检测系统。LinkTrust

Network

Defender在功效和性能上含有强大优势。

Network

Defender经过了中国信息安全产品测评认证中心认证。NetworkDefender是领信入侵检测系统中网络入侵检测产品，它采取了新一代入侵检测技术，包含基于状态协议分析技术、开放灵活行为描述代码、安全嵌入式操作系统、优异体系架构、丰富完善多种功效。它以不引人注目标