WebST 党政机关内部网络安全解决方案目录一、前言 (3)二、网络结构模型及其安全需求 (3)1.1网络结构模型 (3)1.2网络层安全需求 (4)1.2.1网络进出控制 (4)1.2.2网络和链路层数据加密 (4)1.2.3安全检测和报警 (5)三、应用模式及其安全需求 (6)1.1各种应用模式 (6)1.2应用层安全需求 (6)1.2.1公共应用的安全需求 (6)1.2.2内部办公应用的安全需求 (7)1.2.3具体应用软件的安全需求 (7)四、网络层安全解决方案 (8)1.1安全的网络结构 (8)1.2防火墙技术与产品 (8)1.3入侵检测技术与产品 (9)1.4防杀病毒技术与产品 (9)五、应用层安全解决方案 (10)1.1W EB ST安全服务 (10)1.2W EB ST的安全组件 (10)1.3W EB ST应用于党政机关内部网 (12)六、结束语 (14)一、前言在我国，党政机关一般指中央直属单位、国家各大部委、各省市机关。

这些单位是计算机网络建设和应用的先进部分，具有网络规模适中，人员相对较少，应用以办公为主，辅以少量的数据库应用，但保密级别相当高，从密码的角度来看需要核密和普密两级。

人员虽少但访问控制级别要求精确，对审计需求也很高。

目前党政机关的内部网与外部公网在物理上是隔离的，这一方面是国家有关部门的保密规定要求，另一方面也是由于没有很好的解决方案而不得已为之。

即使内外隔离，内部网络的安全问题还是相当突出，更需要对内部人员的身份认证、访问授权以及相互之间的数据查加密等有效解决方案。

本文是在为国家某部委所做的整体安全解决方案的基础上，综合了党政机关内部网络的安全需求，总结性地描述如何解决其内部网络安全和应用安全。

可作为类似安全需求解决方案的参考模型。

二、网络结构模型及其安全需求网络结构模型的不同，所产生的安全需求也不同，那么相应的安全解决方案就不一样。

1.1 网络结构模型党政机关单位在地理位置上一般是处于一个大院内或一幢大楼内，具有一个中心网络，提供公共应用服务（亦称公共应用平台），同时行使网络管理权利。

按行政结构，下属各局、委、办，各自具有局域网，各局域网也具有自己的服务器，或Web或应用服务器。

这些局域网都是直接连接到中心网络，共享公共应用服务，同时也提供自己的信息给其他单位共享。

一般来说，这些局域网之间没有直接通信通道。

为了给首长提供机要信息，单独建设一个首长机要局域网，内设基于Web的首长查询服务器。

党政机关由于中心单位和各下属单位之间的地理位置不同，所需连接的距离也不同，形成的园区网络结构也就有所差异。

这种差异最终造成安全需求及解决方案的不同。

一般有两种模式：• 集中式的网络结构• 分布式的网络结构对于集中式的网络结构，该单位的所有下属部门都处于大楼或大院内，所有局域网与中心网络直接互连，未经过不可信的公网。

对于分布式的网络结构，该单位的主要部门都处于大楼或大院内，呈现出一个集中式的网络结构；还有一些下属部门分布在其他地方，在业务上需要信息通信和共享。

这写局域网与中心网络的互连，是经过不可信的公网（Internet、X.25、PSTN等）。

这两种结构示意图如图1。

图1 网络结构图如图的网络结构，我们称其为非安全结构，是目前采用最多的一种。

一般的安全措施是在连接公网处安装防火墙，但它只能防止外部非授权的网络访问，而对内部几乎没有防范功能。

1.2 网络层安全需求网络层安全主要解决网络互联时和在网络通讯层安全问题，需要解决的问题有：• 网络进出控制（即IP过滤）；• 网络和链路层数据加密；• 安全检测和报警。

1.2.1 网络进出控制需要对进入内部网进行管理和控制。

在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。

各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。

同样需要对内网到公网进行管理和控制。

要达到授权用户可以进出内部网络，防止非授权用户进出内部网络这个基本目标。

1.2.2 网络和链路层数据加密对关键应用需要进行链路层数据加密，特别是最核心的领导办公服务系统，为领导提供信息共享，需要有高强度的数据加密措施。

1.2.3 安全检测和报警安全检测是实时对公开网络和公开服务器进行安全扫描和检测，及时发现不安全因素，对网络攻击进行报警。

这主要是提供一种监测手段，保证网络和服务的正常运行。

要实现：• 及时发现来自网络内外对网络的攻击行为；• 详实地记录攻击发生的情况；• 当发现网络遭到攻击时，系统必须能够向管理员发出报警消息；• 当发现网络遭到攻击时，系统必须能够及时阻断攻击的继续进行。

• 对防火墙进行安全检测和分析；• 对Web服务器检测进行安全检测和分析；• 对操作系统检测进行安全检测和分析。

三、应用模式及其安全需求建设网络的目的在于应用，其道理如同高速公路和汽车运输的关系。

人们感受网络的优势是通过网络上各种应用来实现的。

详细地理解网络应用的模式，有助于了解应用安全需求，也就能够提出有针对性的安全解决方案。

1.1 各种应用模式1.1.1.1 办公自动化党政机关的网络应用是以办公自动化为主。

以前都是基于C/S模式的应用，随着Interner的发展和普及，目前开始向基于Web的模式转向，正处于两种模式并存的过渡期。

办公系统的主要功能为：• 公文运转• 信息发布• 计划管理• 项目管理• 行业报表管理• 业务跟踪上述各大功能是基本的功能，对不同的党政机关可能会有差异。

党委、人大、政协部门可能以公文运转、信息发布为主；政府部门可能涵盖的更多些。

对于安全解决方案的提供商，我们更注意应用模式是基于Web的还是基于C/S的，因为模式不同，其安全解决方案也不同，效果也不同。

1.1.1.2 领导信息查询系统该系统是基于Web的应用，一般用于首长机要子网，是传统手工的机要文件的计算机化。

该系统的特点是用户少，只限于几位首长使用；安全保密强度要求高，一般属于核密或普密，不但数据传输过程要求加密，可能还会要求文件的加密存储；信息录入、修改、归档有专门的机要人员执行；授权控制简单，首长之间一般不再区分权限，除非有特别要求。

在一般安全要求相对较低的单位，可能会把这部分功能归纳到办公系统的信息发布中，这时，就要求有严格的访问控制了。

1.1.1.3 公共数据库应用这部分是为行业内用户提供的基本数据查询服务，是基于数据库功能的，不是基于Web的。

1.2 应用层安全需求应用层安全是建立在网络层安全基础之上的，应用层安全主要是对网络资源的有效性进行控制，管理和控制什么用户对资源具有什么权限。

资源包括信息资源和服务资源。

其安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制，具有审计和记录机制，确保防止拒绝和防抵赖的防否认机制。

需要进行安全保护的有WWW、数据库、电子邮件、FTP（文件传输）等应用方式。

1.2.1 公共应用的安全需求公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式，其安全需求是在信息共享同时，保证信息资源的合法访问及通讯隐秘性。

公共应用主要有WWW、FTP、电子邮件等方式，必须严格按照用户的身份进行控制对信息的访问，对服务器也必须进行必要的身份认证。

在认证的基础上根据用户的身份对信息进行授权的访问控制，如有需要建立应用层的数据加密，保证数据隐秘性和完整性。

公共应用包括外部的和内部的，尤其是内部的公共应用，有着更高的安全要求。

如领导信息查询系统，必须从上述的多个方面保证，特别对于身份认证和传输加密，必须做到万无一失。

1.2.2 内部办公应用的安全需求内部的办公应用主要是运行在局域网上的办公事务处理，对身份认证和访问控制有更高的要求。

对身份认证必须有多重的保证，包括用户口令、使用机器的IP和MAC地址，将来需要发展到使用IC 卡或电子钥匙，通过多种方式确认用户的身份。

访问控制的控制粒度更细，必须根据不同应用的不同对象形式进行控制，如Web页面、数据库记录等。

1.2.3 具体应用软件的安全需求我们注意到，目前无论哪种模式的应用，软件开发者在开发时都或多或少地编写了一些安全管理和控制程序，如身份认证、访问控制、用户与资源的管理等。

当然这些安全措施无论是强度上还是在标准上都存在着各种问题。

首先，每个应用软件的安全设计是非统一的，产生了安全控制强度的差异性。

其次，由于安全设计者在经验和标准上的不足，遗留一些安全漏洞，例如，自己设计的用户管理模块，一定是以明文来存储注册用户信息（用户名和口令），身份认证多半是单向的、明文传输口令方式。

最后，有关授权访问的程序，是和具体应用对象结合在一起的，如遇需求变化，牵涉软件的改动较大，适应性很差。

所以，需要一个应用层的安全管理平台，统一集中地管理用户、资源和安全策略。

四、网络层安全解决方案根据前面描述的网络层安全需求，逐一提出安全解决方案。

1.1 安全的网络结构图1的网络结构是不安全的，内部网络直接连接到公网或专网，即非安全区。

这样受到非法攻击的风险非常大。

所以需要调整网络结构，使之成为基本安全的前提。

图2就是调整后的格局。

图2 安全的网络结构首先增加一个支持三网段的防火墙，将原来的中心子网和内部网分为非军事化区、服务子网和内部网。

将公开的WWW服务器放在非军事化区，并放置代理服务器（即WebST，后面会专门介绍）。

将内部使用的各种应用服务器统统放在服务子网。

通过防火墙和路由器的配置，用户无论在网络内部还是在网络外部，都是通过代理服务器来访问各个应用服务器，这就保障了网络应用的安全。

1.2 防火墙技术与产品防火墙在技术上已经相对成熟，也有许多国内外产品可供选择，但需要注意一定要选择支持三网段的防火墙。

在图2中，我们看到防火墙是设置在接入Internet的路由器后端，将网络划分为三个区域，即三个网段，如上所述。

通过合理地配置防火墙过滤规则，满足下列需求：• 远程客户只能访问非军事化区的安全代理服务器，不能直接对内部网络的各个应用服务器和数据库进行访问；• 内部网络的客户端访问本网段的应用服务器，如需访问服务子网的各个应用服务器，必须经过非军事化区的安全代理服务器；• 非军事化区中的安全代理服务器可以通过防火墙，访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口；防火墙的功能就是提供网络层访问控制，所以其配置准确严密与否至关重要，只要配置正确，关闭不需要的服务端口，就可以基本实现网络层的安全。

1.3 入侵检测技术与产品随着Internet应用的不断普及，黑客入侵事件也呈上升趋势，在安装防火墙和划分三网段安全结构后，降低了这种风险，但没有彻底消除。

因为防火墙只是被动的防止攻击，不能预警攻击。

所以对于党政机关这样关键应用，我们建议采用入侵检测系统（IDS）。