党政机关内部网络安全解决方案

WebST 党政机关内部网络安全解决方案

目录

一、前言 (3)

二、网络结构模型及其安全需求 (3)

1.1网络结构模型 (3)

1.2网络层安全需求 (4)

1.2.1网络进出控制 (4)

1.2.2网络和链路层数据加密 (4)

1.2.3安全检测和报警 (5)

三、应用模式及其安全需求 (6)

1.1各种应用模式 (6)

1.2应用层安全需求 (6)

1.2.1公共应用的安全需求 (6)

1.2.2内部办公应用的安全需求 (7)

1.2.3具体应用软件的安全需求 (7)

四、网络层安全解决方案 (8)

1.1安全的网络结构 (8)

1.2防火墙技术与产品 (8)

1.3入侵检测技术与产品 (9)

1.4防杀病毒技术与产品 (9)

五、应用层安全解决方案 (10)

1.1W EB ST安全服务 (10)

1.2W EB ST的安全组件 (10)

1.3W EB ST应用于党政机关内部网 (12)

六、结束语 (14)

一、前言

在我国，党政机关一般指中央直属单位、国家各大部委、各省市机关。这些单位是计算机网络建设和应用的先进部分，具有网络规模适中，人员相对较少，应用以办公为主，辅以少量的数据库应用，但保密级别相当高，从密码的角度来看需要核密和普密两级。人员虽少但访问控制级别要求精确，对审计需求也很高。

目前党政机关的内部网与外部公网在物理上是隔离的，这一方面是国家有关部门的保密规定要求，另一方面也是由于没有很好的解决方案而不得已为之。即使内外隔离，内部网络的安全问题还是相当突出，更需要对内部人员的身份认证、访问授权以及相互之间的数据查加密等有效解决方案。

本文是在为国家某部委所做的整体安全解决方案的基础上，综合了党政机关内部网络的安全需求，总结性地描述如何解决其内部网络安全和应用安全。可作为类似安全需求解决方案的参考模型。

二、网络结构模型及其安全需求

网络结构模型的不同，所产生的安全需求也不同，那么相应的安全解决方案就不一样。

1.1 网络结构模型

党政机关单位在地理位置上一般是处于一个大院内或一幢大楼内，具有一个中心网络，提供公共应用服务（亦称公共应用平台），同时行使网络管理权利。按行政结构，下属各局、委、办，各自具有局域网，各局域网也具有自己的服务器，或Web或应用服务器。这些局域网都是直接连接到中心网络，共享公共应用服务，同时也提供自己的信息给其他单位共享。一般来说，这些局域网之间没有直接通信通道。

为了给首长提供机要信息，单独建设一个首长机要局域网，内设基于Web的首长查询服务器。

党政机关由于中心单位和各下属单位之间的地理位置不同，所需连接的距离也不同，形成的园区网络结构也就有所差异。这种差异最终造成安全需求及解决方案的不同。一般有两种模式：• 集中式的网络结构

• 分布式的网络结构

对于集中式的网络结构，该单位的所有下属部门都处于大楼或大院内，所有局域网与中心网络直接互连，未经过不可信的公网。

对于分布式的网络结构，该单位的主要部门都处于大楼或大院内，呈现出一个集中式的网络结构；还有一些下属部门分布在其他地方，在业务上需要信息通信和共享。这写局域网与中心网络的互连，是经过不可信的公网（Internet、X.25、PSTN等）。

这两种结构示意图如图1。

图1 网络结构图

如图的网络结构，我们称其为非安全结构，是目前采用最多的一种。一般的安全措施是在连接公网处安装防火墙，但它只能防止外部非授权的网络访问，而对内部几乎没有防范功能。

1.2 网络层安全需求

网络层安全主要解决网络互联时和在网络通讯层安全问题，需要解决的问题有：

• 网络进出控制（即IP过滤）；

• 网络和链路层数据加密；

• 安全检测和报警。

1.2.1 网络进出控制

需要对进入内部网进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。

同样需要对内网到公网进行管理和控制。

要达到授权用户可以进出内部网络，防止非授权用户进出内部网络这个基本目标。

1.2.2 网络和链路层数据加密

对关键应用需要进行链路层数据加密，特别是最核心的领导办公服务系统，为领导提供信息共享，需要有高强度的数据加密措施。

1.2.3 安全检测和报警

安全检测是实时对公开网络和公开服务器进行安全扫描和检测，及时发现不安全因素，对网络攻击进行报警。这主要是提供一种监测手段，保证网络和服务的正常运行。要实现：

• 及时发现来自网络内外对网络的攻击行为；

• 详实地记录攻击发生的情况；

• 当发现网络遭到攻击时，系统必须能够向管理员发出报警消息；

• 当发现网络遭到攻击时，系统必须能够及时阻断攻击的继续进行。

• 对防火墙进行安全检测和分析；

• 对Web服务器检测进行安全检测和分析；

• 对操作系统检测进行安全检测和分析。

三、应用模式及其安全需求

建设网络的目的在于应用，其道理如同高速公路和汽车运输的关系。人们感受网络的优势是通过网络上各种应用来实现的。详细地理解网络应用的模式，有助于了解应用安全需求，也就能够提出有针对性的安全解决方案。

1.1 各种应用模式

1.1.1.1 办公自动化

党政机关的网络应用是以办公自动化为主。以前都是基于C/S模式的应用，随着Interner的发展和普及，目前开始向基于Web的模式转向，正处于两种模式并存的过渡期。

办公系统的主要功能为：

• 公文运转

• 信息发布

• 计划管理

• 项目管理

• 行业报表管理

• 业务跟踪

上述各大功能是基本的功能，对不同的党政机关可能会有差异。党委、人大、政协部门可能以公文运转、信息发布为主；政府部门可能涵盖的更多些。

对于安全解决方案的提供商，我们更注意应用模式是基于Web的还是基于C/S的，因为模式不同，其安全解决方案也不同，效果也不同。

1.1.1.2 领导信息查询系统

该系统是基于Web的应用，一般用于首长机要子网，是传统手工的机要文件的计算机化。该系统的特点是用户少，只限于几位首长使用；安全保密强度要求高，一般属于核密或普密，不但数据传输过程要求加密，可能还会要求文件的加密存储；信息录入、修改、归档有专门的机要人员执行；授权控制简单，首长之间一般不再区分权限，除非有特别要求。

在一般安全要求相对较低的单位，可能会把这部分功能归纳到办公系统的信息发布中，这时，就要求有严格的访问控制了。

1.1.1.3 公共数据库应用

这部分是为行业内用户提供的基本数据查询服务，是基于数据库功能的，不是基于Web的。

1.2 应用层安全需求

应用层安全是建立在网络层安全基础之上的，应用层安全主要是对网络资源的有效性进行控制，管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制，具有审计和记录机制，确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的有WWW、数据库、电子邮件、FTP（文件传输）等应用方式。

1.2.1 公共应用的安全需求

公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式，其安全需求是在信息共