政府网络安全隔离建议方案

。

政府网络安全隔离

建议方案

编写：技术支持部

审核：

批准：

。

1

都江堰国土局网络安全隔离建议方案 模板版次：1.0

第 2

页 共 20 页 COPYRIGHT© 1995-2011VICTORY-IDEA

2011 珠海伟思(集团)有限公司 版权所有

文 档 信 息

请保护环境，注意纸张的回收利用

版权信息

本文件涉及之信息，属珠海伟思（集团）有限公司所有。

未经珠海伟思（集团）有限公司允许，文件中的任何部分都不能以任何形式向第三方散发。 ViGap 、VieCA 为珠海伟思（集团）有限公司系列产品，珠海伟思（集团）有限公司完全拥

有知识产权，并受国际知识产权法律保护。

。

。3 正文目录

1政府安全隔离需求分析 (4)

1.1 政府内部网网络现状 (4)

1.2 政府的安全风险分析 (4)

1.3 建立统一安全隔离数据交换安全原则 (5)

2政府网络安全隔离解决方案 (6)

2.1 政府内网安全隔离与信息交换设计 (6)

2.2 安全隔离与信息交换平台实施方案 (7)

2.3 整体解决方案拓扑图 (7)

2.4 解决方案产品选型 (8)

3隔离网闸产品方案设计 (9)

3.1 隔离网闸产品概述 (9)

3.2 产品内部架构 (9)

3.3 隔离网闸技术的优势 (10)

3.4 产品特点 (11)

3.5 产品功能 (12)

3.5.1 系统可靠性 (12)

3.5.2 系统可用性 (13)

3.5.3 安全功能 (13)

3.5.4 系统管理 (15)

3.5.5 应用支持 (16)

3.6 伟思ViGap300系统性能参数 (17)

4 系统支持与服务方案 (17)

4.1售后服务 (17)

4.2培训计划 (18)

政府网络安全隔离建议方案

模板版次：1.0

第 4 页 共 20 页 COPYRIGHT© 1995-2011 VICTORY-IDEA

2011 珠海伟思(集团)有限公司 版权所有

1 政府安全隔离需求分析

1.1 政府内部网网络现状

本单位市政务网按照《政务网络建设规范》进行建设。政府是按照省电子政务办公室确认的网络连接方式，与县局、省局建立了三级网络。

政务网与国际互联网之间在物理上完全分开，局域网由此形成物理上断开的内网（运行管理信息系统）和外网（运行信息发布和社会化服务系统）两部分，分别连入政务网和国际互联网。政务网络主要由四部分组成：

——内部运行信息系统的局域网（内网）；

——上下级互联的广域网（政务网）；

——提供信息发布查询等社会化服务的国际互联网（外网）；

——市级各部门信息资源共享的政务外网。

1.2 政府的安全风险分析

政府内外网、上下级互联互通涉及数据的交换，必然带来一定的安全风险。原来在外部网上传播的病毒、在下级县市单位存在的安全隐患可能因为数据交换而感染到本单位政府内网；原来利用互连网发动攻击的黑客、下级单位的人员疏忽、恶意试探也可能利用政府内部网络的数据交换的连接尝试攻击本单位政府内部政务网，可以影响到本单位内部网系统内部大量的重要数据正常运行，所以安全问题变得越来越复杂和突出。

综合分析网络的攻击的手段，政府内外部网络的数据交换可能面临的安全风险包括：

。

1.3建立统一安全隔离数据交换安全原则

根据对以上安全风险的归纳，市政府网络系统最大的特点是复杂程度高，信息点多，安全威胁来自从物理层到应用层多个方面。本方案在制定安全系统设计时所采用的基本策略为：主要以安全隔离信息交换技术和数据摆渡技术为主体，辅之防火墙技术、入侵检测技术内外行为控制管理技术；构造一个具有最高安全强度的、在较长一段时期内可以防御绝大部分已知和未知的网络攻击手段的、并可以满足用户多种网络应用信息安全交换的网络安全系统平台。

政府网络信息交换的安全原则和要求体现在如下几个方面：

1、建立统一的安全隔离交换平台，内部政府办公网各业务部门通过统一出口实现与外部应用网间的可信信息交换，统一管理，执行统一的安全策略，实现内部网信息和上下级单位、外部应用网数据交换的高度可控性。

。

5

政府网络安全隔离建议方案

模板版次：1.0

第 6 页 共 20 页 COPYRIGHT© 1995-2011 VICTORY-IDEA

2011 珠海伟思(集团)有限公司 版权所有

2、所采用的安全隔离设备必须通过公安部信息安全产品许可和国家保密局的技术鉴定。安全隔离设备具有安全的文件和数据库交换功能，可以支持对http 、ftp 等通用应用层协议的严格分析控制的物理隔离设备或功能。

3、制定统一的接口开发及数据传输标准，实现内部各业务部门应用系统与外部应用网安全交换平台间的数据交换，并通过该标准强化应用系统数据通信安全。

4、内部网通过安全隔离交换平台与外界进行的信息交换必须受到严格的控制，内部网安全隔离平台可以提供必要的安全手段，如信息的单向访问，防止内网向外部泄漏敏感信息和抵御外网攻击。

5、隔离平台必须提供完整的安全审计功能，能够详细记录、快速查询内外网间的访问行为及安全事件，数据传输的详细记录。

6、隔离平台与其他网络安全产品构成整体的网络安全架构，全面解决市网络安全问题。

7、专业网安全隔离平台必须具备较高的网络性能及稳定性、高可用性。

2 政府网络安全隔离解决方案

2.1 政府内网安全隔离与信息交换设计

政府内网安全隔离设计主要是政府内网与外部应用网络（互联网或上下级网络）间的安全隔离与信息交换问题。

政府内网与外部应用网之间隔离遵循“内外网物理隔断，内外网可控信息交换”的原则，政府内网不直接接受来自其他网络的数据访问请求。其中主要基于以下安全考虑：即不接收其他网络数据，使得政府内网对外不暴露任何端口和服务，完全隐藏内部网络，从而更集中、高效地保护内网安全。更重要的是该功能阻断了黑客通过木马控制内网主机的通讯途径，保护内网主机的安全。

在以安全隔离网闸为基础的内外网信息交换平台上，除了隔离网闸外，还可以应用防火墙技术、IDS 技术、SSL VPN 技术，保证政府内网数据的机密性、完整性和可用性。

这样就以隔离网闸为核心，建立了一整套完整的安全隔离与信息交换平台。