華為電子政務(wù)網(wǎng)絡(luò)安全解決方案

1、華為電子政務(wù)網(wǎng)絡(luò)安全解決方案編者按：沒有安全的網(wǎng)絡(luò)，就像沒有圍墻的院落，隨時(shí)隨地會(huì)受到騷擾和侵犯。隨 著政務(wù)網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)受到的安全挑戰(zhàn)越來越多。如何保證政務(wù)網(wǎng)絡(luò)的 全面安全？華為電子政務(wù)網(wǎng)絡(luò)安全解決方案為此提供了解決辦法沒有安全的網(wǎng)絡(luò)，就像沒有圍墻的院落，隨時(shí)隨地會(huì)受到騷擾和侵犯。隨著政務(wù) 網(wǎng)絡(luò)的不斷發(fā)展和應(yīng)用，網(wǎng)絡(luò)受到的安全挑戰(zhàn)越來越多。如何保證政務(wù)網(wǎng)絡(luò)的全面安 全是擺在建設(shè)與管理者面前的一個(gè)難題。隨著政務(wù)網(wǎng)絡(luò)的層次化、分組化以及寬帶化發(fā)展，政府部門越來越多的統(tǒng)計(jì)決策 業(yè)務(wù)、日常監(jiān)督檢查業(yè)務(wù)、OA等管理性業(yè)務(wù)以及面向多媒體的綜合業(yè)務(wù)都開始向數(shù)字 化、網(wǎng)絡(luò)化轉(zhuǎn)變，這符合當(dāng)前信息網(wǎng)

2、絡(luò)融合發(fā)展的趨勢(shì)。多網(wǎng)融合對(duì)應(yīng)用的安全性提 出了更高的要求。但目前政務(wù)網(wǎng)絡(luò)還存在一些常見的問題：一是沒有統(tǒng)一的網(wǎng)絡(luò)授權(quán)控制策略，僅 采用簡(jiǎn)單的口令控制，使用不便，而且難以確保口令的時(shí)效限制。二是機(jī)房中心訪問 控制與未來跨主機(jī)業(yè)務(wù)之間的矛盾，如不同政府部門之間的業(yè)務(wù)開展和結(jié)算等。三是 網(wǎng)絡(luò)規(guī)劃基本上還是以簡(jiǎn)單辦公業(yè)務(wù)需求為主，沒有考慮到將來政府網(wǎng)絡(luò)支持的業(yè)務(wù) 對(duì)網(wǎng)絡(luò)架構(gòu)和安全要求提高后的平滑過渡。四是政務(wù)內(nèi)網(wǎng)與政務(wù)外網(wǎng)之間的數(shù)據(jù)交換 存在實(shí)時(shí)性與安全性之間的矛盾。因此，政務(wù)網(wǎng)絡(luò)需要整體性的安全解決方案。政務(wù)網(wǎng)絡(luò)安全策略完整的安全體系結(jié)構(gòu)應(yīng)覆蓋系統(tǒng)的各個(gè)層面，由“網(wǎng)絡(luò)級(jí)安全、應(yīng)用級(jí)安全、系 統(tǒng)級(jí)安

3、全和管理級(jí)安全”四大部分組成。網(wǎng)絡(luò)級(jí)安全是指在物理層、鏈路層、網(wǎng)絡(luò)層采取各種安全措施來保障政務(wù)網(wǎng)絡(luò)的 安全；應(yīng)用級(jí)安全是指采用應(yīng)用層安全產(chǎn)品和利用應(yīng)用系統(tǒng)自身專有的安全機(jī)制，在 應(yīng)用層保證對(duì)政務(wù)網(wǎng)絡(luò)各種應(yīng)用系統(tǒng)的信息訪問合法性；系統(tǒng)級(jí)安全主要是通過對(duì)操 作系統(tǒng)（UNIX、NT）的安全設(shè)置和主機(jī)監(jiān)控，防止不法分子利用操作系統(tǒng)的安全漏洞對(duì) 政務(wù)網(wǎng)絡(luò)構(gòu)成安全威脅；管理級(jí)安全主要是從建設(shè)內(nèi)部安全管理、審計(jì)和計(jì)算機(jī)病毒 防范三方面來保障政務(wù)網(wǎng)的安全。因此作為一個(gè)完整的系統(tǒng)，政務(wù)網(wǎng)絡(luò)必須對(duì)網(wǎng)絡(luò)系 統(tǒng)進(jìn)行全方位的考慮。網(wǎng)絡(luò)的安全覆蓋系統(tǒng)的各個(gè)層面，包括網(wǎng)絡(luò)傳送、網(wǎng)絡(luò)服務(wù)、應(yīng)用安全、安全識(shí) 別、安全防御、安全

4、監(jiān)控、審計(jì)分析、集中管理等多個(gè)方面。這需要依靠安全保護(hù)和 安全管理進(jìn)行全面防護(hù)。針對(duì)政府的現(xiàn)有網(wǎng)絡(luò)和業(yè)務(wù)的現(xiàn)狀，華為認(rèn)為，一個(gè)完整的網(wǎng)絡(luò)安全方案應(yīng)該由 網(wǎng)絡(luò)層安全策略和應(yīng)用層安全策略來構(gòu)成，網(wǎng)絡(luò)層安全策略主要完成對(duì)非法使用網(wǎng)絡(luò) 資源的控制，而應(yīng)用層安全策略主要是針對(duì)通過合法的渠道來非法使用業(yè)務(wù)資源的控 制，只有兩者的完美結(jié)合，才能構(gòu)成一個(gè)安全的系統(tǒng)。政務(wù)內(nèi)網(wǎng)是政府部門的內(nèi)部網(wǎng)絡(luò)，和外界網(wǎng)絡(luò)完全隔離，所以安全問題可能出現(xiàn) 在局域網(wǎng)內(nèi)部和政務(wù)內(nèi)網(wǎng)的廣域網(wǎng)上。政務(wù)內(nèi)網(wǎng)局域網(wǎng)安全解決方案針對(duì)以太網(wǎng)存在的各種鏈路層和網(wǎng)絡(luò)層安全隱患，華為QuidwayS系列以太網(wǎng)交 換機(jī)采用多種網(wǎng)絡(luò)安全機(jī)制，包括訪問控制

5、、用戶驗(yàn)證、防地址假冒、入侵與防范、 安全管理等技術(shù)，提供了一個(gè)有效的網(wǎng)絡(luò)安全解決方案。在這個(gè)方案中，局域網(wǎng)內(nèi)的訪問控制的原則是只允許授權(quán)的用戶訪問某個(gè)主機(jī)， 通過網(wǎng)絡(luò)設(shè)備來提供這種保障。政務(wù)內(nèi)網(wǎng)的數(shù)據(jù)庫、服務(wù)器等資源是受限訪問的。一 般一個(gè)部門內(nèi)的用戶的權(quán)限是相同的，可以將這些用戶劃分在一個(gè)VLAN內(nèi)，只要設(shè) 置基于VLAN的報(bào)文過濾策略就可以實(shí)現(xiàn)對(duì)這個(gè)VLAN內(nèi)所有的用戶的報(bào)文過濾。這樣 可以看出，基于VLAN的報(bào)文過濾是最簡(jiǎn)單實(shí)用的某個(gè)用戶群的訪問控制策略?？梢栽O(shè)定華為公司Quidway S系列以太網(wǎng)交換機(jī)端口禁止或允許轉(zhuǎn)發(fā)來自或去往某個(gè) VLAN的報(bào)文。Quidway S系列以太網(wǎng)交換

6、機(jī)支持標(biāo)準(zhǔn)及擴(kuò)展的ACL?？梢酝ㄟ^標(biāo)準(zhǔn)的 ACL只設(shè)定一個(gè)簡(jiǎn)單的地址范圍，也可以使用擴(kuò)展的ACL設(shè)定具體到協(xié)議、源地址范 圍、目的地址范圍、源端口范圍以及優(yōu)先級(jí)與服務(wù)類型等。這樣可以實(shí)現(xiàn)復(fù)雜的訪問 控制策略。用戶驗(yàn)證是保證接入政務(wù)內(nèi)網(wǎng)的用戶是合法的或通過某個(gè)以太網(wǎng)交換機(jī)端口接 入政務(wù)內(nèi)網(wǎng)局域網(wǎng)的用戶是預(yù)先配置的。華為解決方案可提供的用戶驗(yàn)證包括PPPoE 驗(yàn)證、WEB驗(yàn)證、802.1x端口驗(yàn)證、VLAN驗(yàn)證、CA驗(yàn)證等等。政務(wù)內(nèi)網(wǎng)的局域網(wǎng)有可能受到入侵流量攻擊，對(duì)于一些連接關(guān)鍵部門的端口，特 別是連接廣域網(wǎng)設(shè)備的端口和財(cái)務(wù)部門、領(lǐng)導(dǎo)部門的端口，可以將以太網(wǎng)交換機(jī)連接 協(xié)議分析儀，通過報(bào)文鏡象、

7、報(bào)文統(tǒng)計(jì)來監(jiān)控端口流量和統(tǒng)計(jì)某個(gè)應(yīng)用流的流量。 Quidway系列以太網(wǎng)交換機(jī)支持端口鏡象和流鏡象，通過基于ACL的報(bào)文包數(shù)和字節(jié) 數(shù)統(tǒng)計(jì)，從而了解網(wǎng)絡(luò)的運(yùn)行狀況，發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備是否受到入侵攻擊。政務(wù)內(nèi)網(wǎng)接入層網(wǎng)絡(luò)安全解決方案通過在局域網(wǎng)出口路由器與局域網(wǎng)相連的接口上或與骨干IP網(wǎng)相連的接口上配 置ISPKeeper，可很好地抵御黑客對(duì)ISP進(jìn)行的流量攻擊，避免內(nèi)部網(wǎng)絡(luò)受到外部網(wǎng) 絡(luò)或骨干網(wǎng)的大流量訪問和攻擊而導(dǎo)致內(nèi)網(wǎng)癱瘓。華為Quidway系列設(shè)備提供對(duì)多種系統(tǒng)信息的記錄功能。如在配置ACL時(shí)加入 LOG關(guān)鍵字，這樣可以在交換機(jī)處理相應(yīng)的報(bào)文時(shí)記錄報(bào)文的關(guān)鍵信息；還可以對(duì)關(guān) 鍵事件進(jìn)行記錄，對(duì)

8、DEBUG信息進(jìn)行記錄，用于分析網(wǎng)絡(luò)運(yùn)行出現(xiàn)的問題。Quidway系列設(shè)備支持對(duì)各監(jiān)控信息設(shè)置重要性程度；配置各監(jiān)控信息的輸出設(shè) 備，包括配置終端、Console 口、內(nèi)部緩沖區(qū)、日志主機(jī)等。通過分析這些信息，可 以對(duì)網(wǎng)絡(luò)進(jìn)行運(yùn)行維護(hù)和管理。政務(wù)內(nèi)網(wǎng)廣域網(wǎng)的網(wǎng)絡(luò)安全政務(wù)內(nèi)網(wǎng)廣域網(wǎng)將省市縣政務(wù)內(nèi)網(wǎng)連接在一起，為政府的內(nèi)部辦公提供了極大的 便利。但由于構(gòu)成Internet的TCP/IP協(xié)議本身缺乏安全性，政務(wù)內(nèi)網(wǎng)廣域網(wǎng)的網(wǎng)絡(luò) 安全成為必須面對(duì)的一個(gè)實(shí)際問題。政務(wù)內(nèi)網(wǎng)廣域網(wǎng)網(wǎng)絡(luò)上存在著各種類型的攻擊方式，包括網(wǎng)絡(luò)層攻擊、應(yīng)用級(jí)攻擊和系統(tǒng)級(jí)攻擊。針對(duì)政務(wù)內(nèi)網(wǎng)廣域網(wǎng)存在以上各種 安全隱患，建議采取如下的

9、網(wǎng)絡(luò)級(jí)、應(yīng)用級(jí)和系統(tǒng)級(jí)安全措施來保證廣域網(wǎng)的安全。在這種解決方案中，只有網(wǎng)絡(luò)管理員才有權(quán)訪問政務(wù)內(nèi)網(wǎng)廣域網(wǎng)路由器，所以對(duì) 訪問路由器的用戶需要進(jìn)行身份認(rèn)證。政務(wù)內(nèi)網(wǎng)廣域網(wǎng)由骨干路由器組成，路由器之 間需要對(duì)對(duì)端路由器的身份進(jìn)行認(rèn)證，對(duì)端路由器不僅僅指物理上的直接點(diǎn)對(duì)點(diǎn)相連 的路由器，同時(shí)還包括虛擬的點(diǎn)對(duì)點(diǎn)（如通過隧道協(xié)議）相連的路由器。如縣政務(wù)內(nèi) 網(wǎng)廣域網(wǎng)路由器和省政務(wù)內(nèi)網(wǎng)廣域網(wǎng)骨干路由器之間需要身份認(rèn)證。訪問控制分為對(duì)路由器的訪問控制、基于IP地址的訪問控制、基于用戶的訪問 控制。為了保護(hù)政務(wù)內(nèi)網(wǎng)廣域網(wǎng)路由器的配置，對(duì)路由器的訪問權(quán)限需要進(jìn)行口令的 分級(jí)保護(hù)。一般情況下，各級(jí)政府部門的政務(wù)內(nèi)

10、網(wǎng)的網(wǎng)絡(luò)用戶是通過IP地址來區(qū)分 的，不同的用戶具有不同的權(quán)限。通過路由器的包過濾可以實(shí)現(xiàn)基于IP地址的訪問 控制，可以實(shí)現(xiàn)對(duì)政務(wù)內(nèi)網(wǎng)的重要資源的保護(hù)。另外，路由器也可以提供接入服務(wù)功 能。對(duì)于已接入的用戶來說，他們之間的權(quán)限有可能是不一樣的。通過對(duì)用戶設(shè)置特 定的過濾屬性，可實(shí)現(xiàn)對(duì)接入用戶的訪問控制。華為Quidway系列路由器支持IETF制訂的IPSec系列協(xié)議，通過采用手工配置 或自動(dòng)協(xié)商密鑰兩種方式，在傳輸或隧道模式下能夠單獨(dú)或組合應(yīng)用 AH（Authentication Header， 認(rèn)證報(bào)頭）和 ESP（Extended Services Processor 擴(kuò)展業(yè)務(wù)處理器）安全

11、協(xié)議，對(duì)整個(gè)IP報(bào)文或數(shù)據(jù)載荷內(nèi)容進(jìn)行不同粒度級(jí)別的加密和認(rèn) 證，從而提供驗(yàn)證數(shù)據(jù)源、校驗(yàn)數(shù)據(jù)完整性和防止報(bào)文重放等（ESP還提供加密）功能， 結(jié)合ACL訪問控制列表，共同確保數(shù)據(jù)信息在電子政務(wù)網(wǎng)絡(luò)上傳送的安全保密性。為了避免政務(wù)內(nèi)網(wǎng)廣域網(wǎng)因?yàn)閿?shù)據(jù)竊聽而造成的信息泄漏，有必要對(duì)所傳輸?shù)男?息進(jìn)行加密，只有與它通信的對(duì)端才能對(duì)此密文進(jìn)行解密。通過對(duì)路由器所發(fā)送的報(bào) 文進(jìn)行加密，即使在廣域網(wǎng)上進(jìn)行傳輸，也能保證數(shù)據(jù)的私有性、完整性以及報(bào)文內(nèi) 容的真實(shí)性。對(duì)于利用公網(wǎng)構(gòu)建VPN的情況，數(shù)據(jù)加密能夠保證通過隧道傳輸?shù)臄?shù)據(jù) 安全。MPLS VPN是實(shí)現(xiàn)VPN方案的技術(shù)之一，它使用基于標(biāo)記的轉(zhuǎn)發(fā)模式，MPLS VPN 可以實(shí)現(xiàn)DDN的安全性能，但配置、管理、調(diào)度更方便，同時(shí)也降低了用戶接入門檻。政務(wù)內(nèi)網(wǎng)的廣域網(wǎng)路由器作為一個(gè)政務(wù)內(nèi)網(wǎng)對(duì)外的接口設(shè)備，是攻擊者進(jìn)入政務(wù) 內(nèi)網(wǎng)的第一個(gè)攻擊目標(biāo)。如果路由器不提供攻擊檢測(cè)和防范，則也是攻擊者進(jìn)入內(nèi)部 網(wǎng)絡(luò)的一個(gè)橋梁。華為NE、R系列路由器、S系列交換機(jī)上可提供報(bào)文過濾、ASPF攻 擊檢測(cè)等特性，可實(shí)現(xiàn)有效融合業(yè)務(wù)與安全思路的組網(wǎng)方案，在攻擊的第一階段阻止 攻擊行為。安全策略管理內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的每一個(gè)數(shù)據(jù)報(bào)文都會(huì)通過路由器，在路由器上進(jìn)行報(bào) 文的審計(jì)可以提供網(wǎng)絡(luò)運(yùn)行的必要信息，有助