电子政务专网安全规划的解决方案样本.doc

1、安氏电子政务专网安全计划处理方案作者：起源：电子政务安全系统建设任务是：为保护网络、信息及应用安全，建立统一安全管理平台，布署合理、可调整，完全符合电子政务网络、信息及应用安全需求安全策略，实现安全日志管理和统计分析，制订完善安全审计策略，达成实时、动态监控全网目标，对异常安全事件能够进行追踪、分析、统计，对全网布署安全设备、设施能够进行统一管理、配置和配置文件统一备份和恢复。安氏互联网安全系统（中国）作为专业网络安全企业，提供了优异网络安全评定、入侵检测、内容安全、防火墙等产品，并致力于成为中国电子政务安全合作伙伴和顾问。PADIMEE安全理念和业务结合安氏目标是帮助用户建设完整、坚固信息安

2、全体系，所以，我们从用户对安全需求出发，依靠安氏在安全领域强大实力，为用户提供全方面安全处理方案。安全是一个动态过程，企业对安全系统建设，是一个生命周期循环过程，安氏提出了独特PADIMEE方法论，并将本身业务和PADIMEE周期中每个步骤紧密地结合起来策略（Policy）、评定（Assessment）、设计（Design）、实施（Implementation）、管理（Management）、紧急响应（EmergencyResponse）、教育（Education）。针对用户信息安全需求，安氏推出了由安全管理咨询、安全系统集成服务、安全用户支持、安全培训等一系列服务组成完整处理方案，帮助用户在

3、安全建设生命周期中取得良好效果。方案处理之道构建动态防御系统安氏企业提供针对政府网络安全处理方案目标是，保护网络安全有效运行，保护网络中信息保密性。首先，使用LinkTrustCyberWall防火墙产品实现各个内部子网之间、子网和关键应用服务器之间和和其它全部外部网络隔离和访问控制，经过配置防火墙安全策略对全部服务器请求加以过滤，只许可正常通信数据包抵达对应服务器，其它请求服务在抵达主机前就遭到拒绝，当网络出现攻击行为或受到其它部分安全威胁时，进行实时检测、监控、汇报、预警和立即阻断。其次，使用能和防火墙系统联动LinkTrust入侵检测系统（IDS），对服务器和关键保护网段加以监控、统计，

4、并和防火墙一起组成一个动态防御、报警系统。领信防火墙一站式处理方案领信防火墙关键采取透明、路由、NAT三种工作模式，充足满足用户网络结构需求。提供LCD、SSH、Console、Web、GM等多个管理方法。支持内容过滤，包含智能URL封堵、恶意邮件过滤、Java、ActiveX、诡异木马探测等全方位七层过滤功效。本身安全性高，采取专用SecurityAppliance承载平台，从软硬件多角度多方位地确保系统本身安全。内置集成入侵检测功效，其两百种以上攻击手法检测和防范，为预算有限企业用户提供一站式完整经济网络安全处理方案。经过和专用IDS配合工作，动态调整安全策略，实时封杀攻击源。可提供基于访

5、问控制规则网关级流量镜像，可依据用户网络实际安全需求镜像流量到专用IDS设备，为IDS可提供更高效率高可控检测数据源。可提供含有保密性、安全性、低成本、配置简单等特征虚拟专网服务（提供端到端和拨号用户到端两种方法VPN处理方案）。另外，LinkTrustCyberWall和带宽管理有效地结合在一起，为用户确保网络安全同时，也预防了一些用户或通信大量占用带宽，既能避免造成网络阻塞甚至瘫痪，又能确保关键业务即使在网络繁忙时也能够正常工作。而且，LinkTrustCyberWall采取模块等级和处理方法相结合方法配置日志，能够对单一模块、多个模块组合和全部模块指定处理方法。用户能够自主选择以不一样方

6、法发送日志，包含当地共享内存、Syslog、SNMPTrap和Email告警。还有，对PPPoE和DHCP支持，PPPoE模块专为ADSL/ISDN等拨号接入用户而设计，利用PPPoE协议，防火墙能够方便地接入拨号网络，提供安全网关防护功效。DHCP功效省去了企业企业为单独设置DHCP服务器所消耗成本，防火墙在启用了DHCP功效后，内网用户能够直接从防火墙所提供DHCP服务上取得对应IP地址，极大节省了用户投资，方便了网络统一管理。领信入侵监测系统实现动态保护防火墙保护是必需，但绝不仅仅是保护手段，尤其是在某市电子政务专网中，有着很多极其关键应用系统，这些系统能否正常运行直接关系到相关业务能否

7、正常开展。所以，该市电子政务专网还需要一个动态和主动保护机制，时刻检验和解析全部访问请求和内容，一旦发觉可疑行为，立即做出合适响应，以确保将系统调整到“最安全”和“风险最低”状态。这种动态保护机制就是入侵检测系统。入侵检测系统应含有以下特征：在入侵攻击对系统发生危害前，检测到入侵攻击，并利用报警和防护系统驱逐入侵攻击；在入侵攻击过程中，能降低入侵攻击所造成损失；在被入侵攻击后，搜集入侵攻击相关信息，作为防范系统知识，添加入知识库内，以增强系统防范能力。网络入侵监测系统一个关键功效在于可和防火墙联动，可有效降低IDS布署数量，节省成本。本方案使用了安氏企业领信入侵检测系统LinkTrustNet

8、workDefender来组成实时入侵检测系统。LinkTrustNetworkDefender在功效和性能上含有强大优势。NetworkDefender经过了中国信息安全产品测评认证中心认证。NetworkDefender是领信入侵检测系统中网络入侵检测产品，它采取了新一代入侵检测技术，包含基于状态协议分析技术、开放灵活行为描述代码、安全嵌入式操作系统、优异体系架构、丰富完善多种功效。它以不引人注目标方法最大程度地、全天候地监控和分析企业网络安全问题，捕捉安全事件，给合适响应，来阻止非法入侵行为，保护企业信息资产。它是针对电信、金融、政府、企业等大型用户安全需求和管理要求量身定做，满足上述用户对高可靠性、高安全性、可管理性、优异性和适应业务发展要求。