李琴　熊新斌

江西省政務(wù)信息網(wǎng)二期市、縣、區(qū)聯(lián)網(wǎng)工程已于2004年4月投入運行，為縣、區(qū)級政府相關(guān)部門的電子政務(wù)系統(tǒng)提供了承載平臺；隨著全省電子政務(wù)系統(tǒng)的深入，需將該承載平臺延伸致鄉(xiāng)鎮(zhèn)、街辦和社區(qū)，為政府部門全面實現(xiàn)電子政務(wù)系統(tǒng)提供平臺保障。本次工程是為了將青山湖區(qū)轄區(qū)內(nèi)鄉(xiāng)鎮(zhèn)、街辦等政府基層單位納入省政務(wù)信息網(wǎng)系統(tǒng)（部分鄉(xiāng)鎮(zhèn)、街辦已通過連接南昌市信息中心的網(wǎng)絡(luò)設(shè)備接入政務(wù)網(wǎng)），滿足轄區(qū)內(nèi)基層單位的數(shù)據(jù)共享及實現(xiàn)信息化辦公的需求；另一方面，對南昌市政務(wù)信息網(wǎng)及青山湖區(qū)政務(wù)信息網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)進行優(yōu)化，把原電信基站內(nèi)南昌市信息中心的設(shè)備替換下來，并將青山湖區(qū)政務(wù)信息網(wǎng)的核心移至青山湖區(qū)政府信息中心機房，形成一個市、區(qū)分層，區(qū)內(nèi)集中的網(wǎng)絡(luò)環(huán)境，方便后期對網(wǎng)絡(luò)的維護管理。

縣級政務(wù)網(wǎng)絡(luò)現(xiàn)狀分析

實施南昌市、縣、區(qū)的政務(wù)信息網(wǎng)建設(shè)工程時，已經(jīng)完成部份青山湖區(qū)轄區(qū)內(nèi)的鄉(xiāng)鎮(zhèn)、街辦接入省電子政務(wù)網(wǎng)的光纜資源覆蓋工作，光纖資源通過電信的6個基站以及青山湖區(qū)政府進行覆蓋；其中各基站匯聚層設(shè)備采用的均是南昌市政府前期采購的港灣uHammer3550-24交換機；青山湖區(qū)政府匯聚設(shè)備為港灣FlexHammer5010，通過單模光纖千兆匯聚至830基站的骨干交換機3com 4007（原港灣Big6808移至南昌市信息中心機房內(nèi)滿足市政府大樓內(nèi)各事業(yè)單位接入使用）和680基站的骨干交換機BigHammer6808。

本次網(wǎng)絡(luò)工程的目的是對青山湖區(qū)政務(wù)信息網(wǎng)設(shè)備升級與擴容規(guī)劃，完成所有所需接入網(wǎng)絡(luò)的用戶及實現(xiàn)接入層、匯聚層、核心層的設(shè)備由本區(qū)管理，同時完成規(guī)劃內(nèi)的單位與政務(wù)信息網(wǎng)的互聯(lián)。目前，隨著網(wǎng)絡(luò)用戶數(shù)和網(wǎng)絡(luò)應(yīng)用的急速增長，按照建網(wǎng)要求，需要把各鄉(xiāng)鎮(zhèn)、工業(yè)園區(qū)和街辦接入到政務(wù)外網(wǎng)，我們把網(wǎng)絡(luò)設(shè)備分成三層結(jié)構(gòu)，以830基站為核心層，以其他8個基站為各接入單位的匯聚層，各鄉(xiāng)鎮(zhèn)接入單位為接入層，各基站匯聚層與核心層之間采用千兆光纖互聯(lián)，匯聚層與接入層采用百兆光纖互聯(lián)。

由于很多社區(qū)目前用戶數(shù)還比較少，目前還沒有條件通過光纖直接接入政務(wù)外網(wǎng)，但各社區(qū)需要通過政務(wù)外網(wǎng)來傳輸相關(guān)信息，為了滿足各社區(qū)的需求，各社區(qū)可以通過VPN來訪問政務(wù)外網(wǎng)，在830基站增加一臺VPN網(wǎng)關(guān)來解決各區(qū)訪問政務(wù)外網(wǎng)的問題。

為了緩解網(wǎng)絡(luò)流量壓力，通過VPN接入政務(wù)外網(wǎng)的用戶，當訪問Internet時通過策略路由把流量指向VPN網(wǎng)關(guān)的Internet出口，當訪問政務(wù)外網(wǎng)相關(guān)信息時通過策略路由把流量指向VPN網(wǎng)關(guān)的內(nèi)網(wǎng)接口，這可以提升網(wǎng)絡(luò)負載平衡。

網(wǎng)絡(luò)安全分析

從青山湖區(qū)政府網(wǎng)絡(luò)的實際情況來看，我們認為應(yīng)該從以下幾個方面進行全面的分析。

1.網(wǎng)絡(luò)層的安全分析

網(wǎng)絡(luò)設(shè)備主要包括青山湖區(qū)政府網(wǎng)絡(luò)各節(jié)點上的路由器、交換機等設(shè)備。網(wǎng)絡(luò)層不僅為青山湖區(qū)政府網(wǎng)絡(luò)提供連接通路和網(wǎng)絡(luò)數(shù)據(jù)交換的連接，而且是網(wǎng)絡(luò)入侵者進攻信息系統(tǒng)的渠道和通路。由于大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運行的TCP/IP協(xié)議并非專為安全通訊而設(shè)計，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。整個網(wǎng)絡(luò)面臨著來自網(wǎng)絡(luò)外部和內(nèi)部的雙重威脅。

2.系統(tǒng)層的安全分析

在青山湖區(qū)政府網(wǎng)絡(luò)中有著多種不同的操作系統(tǒng)，如：Windows、 Linux等等，這些系統(tǒng)都或多或少地存在著各種各樣的漏洞。如果這些操作系統(tǒng)沒有進行系統(tǒng)的加固和正確的安全配置，而只是按照原來系統(tǒng)的默認安裝，這樣的主機系統(tǒng)是極其不安全的。一名黑客可以通過Unicode、緩存溢出、造成死機等方式進行破壞，甚至取得主機管理員的權(quán)限。此外，在網(wǎng)絡(luò)中，一些黑客利用系統(tǒng)管理員的疏忽用缺省用戶的權(quán)限和密碼口令就可以輕松地進入系統(tǒng)修改權(quán)限，從而控制主機。

3.應(yīng)用層的安全分析

青山湖區(qū)政府網(wǎng)絡(luò)與Internet相連，存在著包括Web、FTP、E-mail、DNS等各種Internet應(yīng)用。應(yīng)用系統(tǒng)的安全性主要考慮應(yīng)用系統(tǒng)與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接。在應(yīng)用層的安全問題，黑客往往抓住一些應(yīng)用服務(wù)的缺陷和弱點來對其進行攻擊的，比如針對錯誤的Web目錄結(jié)構(gòu)、CGI腳本缺陷、Web服務(wù)器應(yīng)用程序缺陷、為索引的Web頁、有缺陷的瀏覽器甚至是利用Oracle、 SAP、 Peoplesoft 缺省帳戶。

應(yīng)用層的安全威脅還包括對各種不良網(wǎng)絡(luò)內(nèi)容的訪問，比如內(nèi)網(wǎng)用戶訪問非法（如發(fā)布反動言論、宣揚法輪功等）或不良（色情、迷信）網(wǎng)站等。有的Internet站點上還包含有害的Java Applet或ActiveX小程序，如果不慎訪問將有可能帶入病毒和木馬程序，甚至有的網(wǎng)頁可以通過一段簡單的代碼直接破壞訪問者計算機的數(shù)據(jù)和系統(tǒng)，對網(wǎng)絡(luò)安全和效率都將造成極大破壞。

4.出口病毒風(fēng)險分析

計算機病毒一直是計算機安全的主要威脅。而隨著網(wǎng)絡(luò)的不斷發(fā)展，網(wǎng)絡(luò)速度越來越快，網(wǎng)絡(luò)應(yīng)用也越來越豐富多彩，使得病毒傳播的風(fēng)險也越來越大，造成的破壞也越來越強。據(jù)國際計算機安全協(xié)會的統(tǒng)計，目前已經(jīng)有超過90%的病毒是通過網(wǎng)絡(luò)進行傳播的。青山湖區(qū)政府網(wǎng)絡(luò)內(nèi)用戶訪問Internet時，無論是瀏覽WEB頁面，通過FTP下載文件，或者是收發(fā)E-mail，都可能將Internet上的病毒帶入網(wǎng)內(nèi)。而近幾年泛濫成災(zāi)的網(wǎng)絡(luò)蠕蟲病毒（如紅色代碼、尼姆達、沖擊波、振蕩波等）跟傳統(tǒng)的通過光盤、軟盤等介質(zhì)進行傳播的基于文件的病毒有很大的不同，它們本身是一個病毒與黑客工具的結(jié)合體。當網(wǎng)絡(luò)當中一臺計算機感染蠕蟲病毒后，它會自動的以極快的速度（每秒幾百個線程）掃描網(wǎng)絡(luò)當中其他計算機的安全漏洞，并主動的將病毒傳播到那些存在安全漏洞的計算機上，只要相關(guān)的安全漏洞沒有通過安裝補丁的方式加以彌補，蠕蟲病毒就會這樣以幾何級數(shù)的增長速度在網(wǎng)絡(luò)當中傳播，即使計算機上安裝了帶有實時監(jiān)控功能的防病毒軟件（包括單機版和網(wǎng)絡(luò)版）對此也無能為力。蠕蟲病毒的傳播還會大量占用網(wǎng)絡(luò)帶寬，造成網(wǎng)絡(luò)擁堵，形成拒絕服務(wù)式攻擊（DoS）。因此，對于新型的網(wǎng)絡(luò)蠕蟲病毒，必須在網(wǎng)關(guān)處進行過濾，防止病毒進入內(nèi)網(wǎng)。網(wǎng)關(guān)防病毒已經(jīng)成為未來防病毒體系中的重中之重，需要引起青山湖區(qū)政府的特別重視。

安全解決方案

上面分析了青山湖區(qū)政府網(wǎng)絡(luò)的網(wǎng)絡(luò)狀況與安全風(fēng)險后會發(fā)現(xiàn)，整個網(wǎng)絡(luò)面臨著黑客、蠕蟲病毒、網(wǎng)絡(luò)入侵、不良內(nèi)容、垃圾郵件等的威脅，需要使用專門的安全產(chǎn)品，從網(wǎng)絡(luò)隔離、病毒防護、入侵檢測、內(nèi)容過濾等各方面進行全方位的保護。如果在青山湖區(qū)政府網(wǎng)絡(luò)出口分別部署防火墻、防病毒網(wǎng)關(guān)、入侵檢測系統(tǒng)、內(nèi)容過濾、VPN等一系列安全產(chǎn)品，采購產(chǎn)品成本及將來的維護成本是非常高的。我建議使用多功能安全網(wǎng)關(guān)，在網(wǎng)絡(luò)網(wǎng)關(guān)出口處形成綜合安全防護體系，提供當前最高的性價比。

我所選的多功能網(wǎng)關(guān)是必須是基于硬件技術(shù)的產(chǎn)品

我們將多功能網(wǎng)關(guān)，部署在網(wǎng)絡(luò)邊界入，分別連接區(qū)政府辦公網(wǎng)、830基站分支接入點、市黨政網(wǎng)、以及互聯(lián)網(wǎng)出口。各個端口間通過訪問控制進行隔離，并對這些區(qū)域的流入數(shù)據(jù)開啟AV和IPS防護功能，對來自基站、市黨政網(wǎng)、互聯(lián)網(wǎng)的數(shù)據(jù)進行入侵防御及病毒檢測。

通過在多功能安全網(wǎng)關(guān)上配置防火墻、病毒防護、入侵檢測、內(nèi)容過濾、反垃圾郵件等安全設(shè)置，便可對進出青山湖區(qū)政府網(wǎng)絡(luò)的流量進行黑客攻擊、病毒、入侵、不良內(nèi)容和垃圾郵件等的進行全方位過濾。

結(jié)論

江西省政務(wù)網(wǎng)鄉(xiāng)鄉(xiāng)通工程主要采用一網(wǎng)通的方式，統(tǒng)一解決我省各級黨政機關(guān)面向鄉(xiāng)鎮(zhèn)的聯(lián)網(wǎng)需要，進一步強化社會管理和公共服務(wù)能力。省“政務(wù)網(wǎng)鄉(xiāng)鄉(xiāng)通”工程建成后，將為各級部門向鄉(xiāng)鎮(zhèn)延伸提供統(tǒng)一的網(wǎng)絡(luò)平臺，相比各部門分散重復(fù)建設(shè)，可節(jié)省大量人力資源、建設(shè)投資和運行維護經(jīng)費。該工程還可有效遏制基層“信息孤島”和“業(yè)務(wù)割據(jù)”帶來的管理風(fēng)險，為實現(xiàn)網(wǎng)絡(luò)環(huán)境下的“一體化政府”和“一站式服務(wù)”創(chuàng)造條件。

（作者單位：1.江西省信息中心；2.青山湖區(qū)信息中心）