以先进的“平台化”模式建设电子政务网络安全系统

一、某区电子政务网概况
　　随着某区信息化建设的大力开展，某区已经形成了覆盖全区范围，包括机关大院，以及分布在不同地点的区委办局、街道、社区在内的电子政务综合网络。目前，某区电子政务综合网是以区电子政务中心网络交换平台为核心，分别通过光纤连接区委区政府大院局域网和电信ATM网、PSTN网、CPIP网连接各委办局街道、区属企业、市委市政府、各委办局、区、县的电子政务网。

　　目前，某区电子政务综合网已经采取的安全措施有：
　　在物理安全上：中心机房采用门禁和监视双系统，并配备了UPS备份恢复系统，对重要的服务器采取了双机热备、光纤实时备份等措施，设置了专门的备份服务器和磁带库。
　　在网络安全上：通过专用拨号设备接入中心平台，宽带用户采用防火墙通过ATM接入中心平台，且互联网与政务专网完全物理隔离。
　　在系统安全上：重要服务器的操作系统、数据库都做了初步的安全设置；管理员还不定期给系统升级和打补丁，系统的一些常见漏洞问题已经得到了解决。
　　在应用安全上：开通网上办公系统、政务地理信息平台等，采用统一分发用户名/口令的方式，对用户进行身份认证。
　　在管理安全上：成立信息安全领导小组办公室，统一部署和协调区电子政务信息化建设，相应部门配备专门的管理和维护人员，制订了相关的管理制度。

二、某区电子政务网防火墙产品安全方案
1） 网络安全建设原则
　　网络安全建设是一个系统工程，该区电子政务网网络安全体系建设应按照“统一规划、统筹安排，统一标准、相互配套”的原则进行，采用先进的“平台化”建设思想，避免重复投入、重复建设，充分考虑整体和局部的利益，坚持近期目标与远期目标相结合。
　　在实际建设中应遵循以下指导思想：宏观上统一规划，同步开展，相互配套；在具体设计中结构上一体化，标准化，平台化；安全保密功能上多级化，对信道适应多元化。同时网络安全设备对不同网络结构要有很好的适应能力，满足不同网络应用的具体需求，在网络环境发生变化时，安全设施能随网络扩展要求进行灵活的扩充而不改变原来的结构。
2） 防火墙产品技术方案
　　依据速通防火墙对该区电子政务网的理解，同时得力于该区有关人员和领导对网络安全的重视以及建设原则，兴硅谷制定了如下信息安全解决方案，见下图： (略）


　　对公开服务器区的保护：由于该区电子政务网拥有域名服务器、拨号服务器等对外提供公开服务的主机系统，为了简单、灵活地控制对公开服务器的授权访问控制，只需将防火墙放置于交换机的前面，并将原来连接公开服务器的交换机连接在防火墙的SSN区端口上，再配置防火墙工作在透明模式下即可。最后还要设置防火墙安全策略，只允许外部访问限定的服务端口，同时也只允许服务器响应必要的外界限定端口。
　　对核心内部网的保护：配置防火墙工作于透明模式下，设置只允许核心内部网能够访问外界有限分配资源，而不允许外界网络访问核心内部网信息资源或只允许访问有限资源；也可以在防火墙上配置NAT或MAP策略，能够更好地隐藏内部网络地址结构等信息，从而更好地保护核心内部网的系统安全。
　　建立完整、动态的安全防护平台：在防火墙上除了通过设置安全策略来增加对服务器或内部网的保护以外，同时还可以启用防火墙日志服务器记录功能来记录所有的访问情况，对非法访问进行监控；此外，在使用防火墙与入侵检测系统时共同联动功能形成动态、完整的、安全的防护平台。

三、特性描述
1）架构描述
　 专用安全操作系统：速通防火墙是国内自主开发的专用安全操作系统，支持众多网络通信协议和应用协议，如DHCP、VLAN、ADSL、IPX、RIP、ISL、802.1Q、Spanning tree、DECnet、NETBEUI、IPSEC、PPTP、AppleTalk、H.323、BOOTP等，使速通防火墙适用网络的范围更加广泛，保证用户的网络应用；方便用户扩展IP宽带接入及IP电话、视频会议、VOD点播等多媒体应用；
　 速通防火墙具有优良的性能指标：平均无故障时间大于60000小时；并发链接数：为120万；设计性能：100M(100M环境下)；1000M(1000M环境下)。
　 采用独创的最新最先进的技术：最新NP架构技术，防蠕虫、核检测技术，即基于OS内核的会话检测技术，在OS内核实现对应用层访问控制。它相对于包过滤和应用代理防火墙来讲,不但更加成功地实现了对应用层的细粒度控制，同时，更有效保证了防火墙的性能。
　 模块化结构设计：速通防火墙的架构为模块化结构设计，可扩展性好，方便用户定制与升级；它使用工控级专用硬件，采用嵌入式模块设计，支持双电源和双机备份；独特的设计方式，确保了防火墙本身的安全性和高可靠性。
　 先进独创的设计思想：速通防火墙采用面向资源的设计思想，首次引入了区域控制的概念，防火墙的每个物理接口对应一个独立的防火区域，每个区域的安全策略只对该区域有效；每个区域可以单独设置自己的默