1、華為電子政務(wù)網(wǎng)絡(luò)安全解決方案編者按：沒有安全的網(wǎng)絡(luò)，就像沒有圍墻的院落，隨時隨地會受到騷擾和侵犯。隨 著政務(wù)網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)受到的安全挑戰(zhàn)越來越多。如何保證政務(wù)網(wǎng)絡(luò)的 全面安全？華為電子政務(wù)網(wǎng)絡(luò)安全解決方案為此提供了解決辦法沒有安全的網(wǎng)絡(luò)，就像沒有圍墻的院落，隨時隨地會受到騷擾和侵犯。隨著政務(wù) 網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)受到的安全挑戰(zhàn)越來越多。如何保證政務(wù)網(wǎng)絡(luò)的全面安 全是擺在建設(shè)與管理者面前的一個難題。隨著政務(wù)網(wǎng)絡(luò)的層次化、分組化以及寬帶化發(fā)展，政府部門越來越多的統(tǒng)計決策 業(yè)務(wù)、日常監(jiān)督檢查業(yè)務(wù)、OA等管理性業(yè)務(wù)以及面向多媒體的綜合業(yè)務(wù)都開始向數(shù)字 化、網(wǎng)絡(luò)化轉(zhuǎn)變，這符合當(dāng)前信息網(wǎng)

2、絡(luò)融合發(fā)展的趨勢。多網(wǎng)融合對應(yīng)用的安全性提 出了更高的要求。但目前政務(wù)網(wǎng)絡(luò)還存在一些常見的問題：一是沒有統(tǒng)一的網(wǎng)絡(luò)授權(quán)控制策略，僅 采用簡單的口令控制，使用不便，而且難以確?？诹畹臅r效限制。二是機房中心訪問 控制與未來跨主機業(yè)務(wù)之間的矛盾，如不同政府部門之間的業(yè)務(wù)開展和結(jié)算等。三是 網(wǎng)絡(luò)規(guī)劃基本上還是以簡單辦公業(yè)務(wù)需求為主，沒有考慮到將來政府網(wǎng)絡(luò)支持的業(yè)務(wù) 對網(wǎng)絡(luò)架構(gòu)和安全要求提高后的平滑過渡。四是政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)之間的數(shù)據(jù)交換 存在實時性與安全性之間的矛盾。因此，政務(wù)網(wǎng)絡(luò)需要整體性的安全解決方案。政務(wù)網(wǎng)絡(luò)安全策略完整的安全體系結(jié)構(gòu)應(yīng)覆蓋系統(tǒng)的各個層面，由“網(wǎng)絡(luò)級安全、應(yīng)用級安全、系 統(tǒng)級安

3、全和管理級安全”四大部分組成。網(wǎng)絡(luò)級安全是指在物理層、鏈路層、網(wǎng)絡(luò)層采取各種安全措施來保障政務(wù)網(wǎng)絡(luò)的 安全；應(yīng)用級安全是指采用應(yīng)用層安全產(chǎn)品和利用應(yīng)用系統(tǒng)自身專有的安全機制，在 應(yīng)用層保證對政務(wù)網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級安全主要是通過對操 作系統(tǒng)（UNIX、NT）的安全設(shè)置和主機監(jiān)控，防止不法分子利用操作系統(tǒng)的安全漏洞對 政務(wù)網(wǎng)絡(luò)構(gòu)成安全威脅；管理級安全主要是從建設(shè)內(nèi)部安全管理、審計和計算機病毒 防范三方面來保障政務(wù)網(wǎng)的安全。因此作為一個完整的系統(tǒng)，政務(wù)網(wǎng)絡(luò)必須對網(wǎng)絡(luò)系 統(tǒng)進行全方位的考慮。網(wǎng)絡(luò)的安全覆蓋系統(tǒng)的各個層面，包括網(wǎng)絡(luò)傳送、網(wǎng)絡(luò)服務(wù)、應(yīng)用安全、安全識 別、安全防御、安全

4、監(jiān)控、審計分析、集中管理等多個方面。這需要依靠安全保護和 安全管理進行全面防護。針對政府的現(xiàn)有網(wǎng)絡(luò)和業(yè)務(wù)的現(xiàn)狀，華為認(rèn)為，一個完整的網(wǎng)絡(luò)安全方案應(yīng)該由 網(wǎng)絡(luò)層安全策略和應(yīng)用層安全策略來構(gòu)成，網(wǎng)絡(luò)層安全策略主要完成對非法使用網(wǎng)絡(luò) 資源的控制，而應(yīng)用層安全策略主要是針對通過合法的渠道來非法使用業(yè)務(wù)資源的控 制，只有兩者的完美結(jié)合，才能構(gòu)成一個安全的系統(tǒng)。政務(wù)內(nèi)網(wǎng)是政府部門的內(nèi)部網(wǎng)絡(luò)，和外界網(wǎng)絡(luò)完全隔離，所以安全問題可能出現(xiàn) 在局域網(wǎng)內(nèi)部和政務(wù)內(nèi)網(wǎng)的廣域網(wǎng)上。政務(wù)內(nèi)網(wǎng)局域網(wǎng)安全解決方案針對以太網(wǎng)存在的各種鏈路層和網(wǎng)絡(luò)層安全隱患，華為QuidwayS系列以太網(wǎng)交 換機采用多種網(wǎng)絡(luò)安全機制，包括訪問控制

5、、用戶驗證、防地址假冒、入侵與防范、 安全管理等技術(shù)，提供了一個有效的網(wǎng)絡(luò)安全解決方案。在這個方案中，局域網(wǎng)內(nèi)的訪問控制的原則是只允許授權(quán)的用戶訪問某個主機， 通過網(wǎng)絡(luò)設(shè)備來提供這種保障。政務(wù)內(nèi)網(wǎng)的數(shù)據(jù)庫、服務(wù)器等資源是受限訪問的。一 般一個部門內(nèi)的用戶的權(quán)限是相同的，可以將這些用戶劃分在一個VLAN內(nèi)，只要設(shè) 置基于VLAN的報文過濾策略就可以實現(xiàn)對這個VLAN內(nèi)所有的用戶的報文過濾。這樣 可以看出，基于VLAN的報文過濾是最簡單實用的某個用戶群的訪問控制策略?？梢栽O(shè)定華為公司Quidway S系列以太網(wǎng)交換機端口禁止或允許轉(zhuǎn)發(fā)來自或去往某個 VLAN的報文。Quidway S系列以太網(wǎng)交換

6、機支持標(biāo)準(zhǔn)及擴展的ACL。可以通過標(biāo)準(zhǔn)的 ACL只設(shè)定一個簡單的地址范圍，也可以使用擴展的ACL設(shè)定具體到協(xié)議、源地址范 圍、目的地址范圍、源端口范圍以及優(yōu)先級與服務(wù)類型等。這樣可以實現(xiàn)復(fù)雜的訪問 控制策略。用戶驗證是保證接入政務(wù)內(nèi)網(wǎng)的用戶是合法的或通過某個以太網(wǎng)交換機端口接 入政務(wù)內(nèi)網(wǎng)局域網(wǎng)的用戶是預(yù)先配置的。華為解決方案可提供的用戶驗證包括PPPoE 驗證、WEB驗證、802.1x端口驗證、VLAN驗證、CA驗證等等。政務(wù)內(nèi)網(wǎng)的局域網(wǎng)有可能受到入侵流量攻擊，對于一些連接關(guān)鍵部門的端口，特 別是連接廣域網(wǎng)設(shè)備的端口和財務(wù)部門、領(lǐng)導(dǎo)部門的端口，可以將以太網(wǎng)交換機連接 協(xié)議分析儀，通過報文鏡象、

7、報文統(tǒng)計來監(jiān)控端口流量和統(tǒng)計某個應(yīng)用流的流量。 Quidway系列以太網(wǎng)交換機支持端口鏡象和流鏡象，通過基于ACL的報文包數(shù)和字節(jié) 數(shù)統(tǒng)計，從而了解網(wǎng)絡(luò)的運行狀況，發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備是否受到入侵攻擊。政務(wù)內(nèi)網(wǎng)接入層網(wǎng)絡(luò)安全解決方案通過在局域網(wǎng)出口路由器與局域網(wǎng)相連的接口上或與骨干IP網(wǎng)相連的接口上配 置ISPKeeper，可很好地抵御黑客對ISP進行的流量攻擊，避免內(nèi)部網(wǎng)絡(luò)受到外部網(wǎng) 絡(luò)或骨干網(wǎng)的大流量訪問和攻擊而導(dǎo)致內(nèi)網(wǎng)癱瘓。華為Quidway系列設(shè)備提供對多種系統(tǒng)信息的記錄功能。如在配置ACL時加入 LOG關(guān)鍵字，這樣可以在交換機處理相應(yīng)的報文時記錄報文的關(guān)鍵信息；還可以對關(guān) 鍵事件進行記錄，對

8、DEBUG信息進行記錄，用于分析網(wǎng)絡(luò)運行出現(xiàn)的問題。Quidway系列設(shè)備支持對各監(jiān)控信息設(shè)置重要性程度；配置各監(jiān)控信息的輸出設(shè) 備，包括配置終端、Console 口、內(nèi)部緩沖區(qū)、日志主機等。通過分析這些信息，可 以對網(wǎng)絡(luò)進行運行維護和管理。政務(wù)內(nèi)網(wǎng)廣域網(wǎng)的網(wǎng)絡(luò)安全政務(wù)內(nèi)網(wǎng)廣域網(wǎng)將省市縣政務(wù)內(nèi)網(wǎng)連接在一起，為政府的內(nèi)部辦公提供了極大的 便利。但由于構(gòu)成Internet的TCP/IP協(xié)議本身缺乏安全性，政務(wù)內(nèi)網(wǎng)廣域網(wǎng)的網(wǎng)絡(luò) 安全成為必須面對的一個實際問題。政務(wù)內(nèi)網(wǎng)廣域網(wǎng)網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括網(wǎng)絡(luò)層攻擊、應(yīng)用級攻擊和系統(tǒng)級攻擊。針對政務(wù)內(nèi)網(wǎng)廣域網(wǎng)存在以上各種 安全隱患，建議采取如下的

9、網(wǎng)絡(luò)級、應(yīng)用級和系統(tǒng)級安全措施來保證廣域網(wǎng)的安全。在這種解決方案中，只有網(wǎng)絡(luò)管理員才有權(quán)訪問政務(wù)內(nèi)網(wǎng)廣域網(wǎng)路由器，所以對 訪問路由器的用戶需要進行身份認(rèn)證。政務(wù)內(nèi)網(wǎng)廣域網(wǎng)由骨干路由器組成，路由器之 間需要對對端路由器的身份進行認(rèn)證，對端路由器不僅僅指物理上的直接點對點相連 的路由器，同時還包括虛擬的點對點（如通過隧道協(xié)議）相連的路由器。如縣政務(wù)內(nèi) 網(wǎng)廣域網(wǎng)路由器和省政務(wù)內(nèi)網(wǎng)廣域網(wǎng)骨干路由器之間需要身份認(rèn)證。訪問控制分為對路由器的訪問控制、基于IP地址的訪問控制、基于用戶的訪問 控制。為了保護政務(wù)內(nèi)網(wǎng)廣域網(wǎng)路由器的配置，對路由器的訪問權(quán)限需要進行口令的 分級保護。一般情況下，各級政府部門的政務(wù)內(nèi)

10、網(wǎng)的網(wǎng)絡(luò)用戶是通過IP地址來區(qū)分 的，不同的用戶具有不同的權(quán)限。通過路由器的包過濾可以實現(xiàn)基于IP地址的訪問 控制，可以實現(xiàn)對政務(wù)內(nèi)網(wǎng)的重要資源的保護。另外，路由器也可以提供接入服務(wù)功 能。對于已接入的用戶來說，他們之間的權(quán)限有可能是不一樣的。通過對用戶設(shè)置特 定的過濾屬性，可實現(xiàn)對接入用戶的訪問控制。華為Quidway系列路由器支持IETF制訂的IPSec系列協(xié)議，通過采用手工配置 或自動協(xié)商密鑰兩種方式，在傳輸或隧道模式下能夠單獨或組合應(yīng)用 AH（Authentication Header， 認(rèn)證報頭）和 ESP（Extended Services Processor 擴展業(yè)務(wù)處理器）安全

11、協(xié)議，對整個IP報文或數(shù)據(jù)載荷內(nèi)容進行不同粒度級別的加密和認(rèn) 證，從而提供驗證數(shù)據(jù)源、校驗數(shù)據(jù)完整性和防止報文重放等（ESP還提供加密）功能， 結(jié)合ACL訪問控制列表，共同確保數(shù)據(jù)信息在電子政務(wù)網(wǎng)絡(luò)上傳送的安全保密性。為了避免政務(wù)內(nèi)網(wǎng)廣域網(wǎng)因為數(shù)據(jù)竊聽而造成的信息泄漏，有必要對所傳輸?shù)男?息進行加密，只有與它通信的對端才能對此密文進行解密。通過對路由器所發(fā)送的報 文進行加密，即使在廣域網(wǎng)上進行傳輸，也能保證數(shù)據(jù)的私有性、完整性以及報文內(nèi) 容的真實性。對于利用公網(wǎng)構(gòu)建VPN的情況，數(shù)據(jù)加密能夠保證通過隧道傳輸?shù)臄?shù)據(jù) 安全。MPLS VPN是實現(xiàn)VPN方案的技術(shù)之一，它使用基于標(biāo)記的轉(zhuǎn)發(fā)模式，MPLS VPN 可以實現(xiàn)DDN的安全性能，但配置、管理、調(diào)度更方便，同時也降低了用戶接入門檻。政務(wù)內(nèi)網(wǎng)的廣域網(wǎng)路由器作為一個政務(wù)內(nèi)網(wǎng)對外的接口設(shè)備，是攻擊者進入政務(wù) 內(nèi)網(wǎng)的第一個攻擊目標(biāo)。如果路由器不提供攻擊檢測和防范，則也是攻擊者進入內(nèi)部 網(wǎng)絡(luò)的一個橋梁。華為NE、R系列路由器、S系列交換機上可提供報文過濾、ASPF攻 擊檢測等特性，可實現(xiàn)有效融合業(yè)務(wù)與安全思路的組網(wǎng)方案，在攻擊的第一階段阻止 攻擊行為。安全策略管理內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的每一個數(shù)據(jù)報文都會通過路由器，在路由器上進行報 文的審計可以提供網(wǎng)絡(luò)運行的必要信息，有助