【方案特色】

●　防毒、防黑、防泄漏、防垃圾邮件、用户管理和上网管理多元合一
●　立体防御技术、性能、效果超越目前所有单一的安全产品
●　针对政府部门的安全需求特点进行了特别优化
●　自主知识产权，通过公安部门鉴定，符合政府部门的保密要求
●　特制硬件平台和系统平台具有服务器级别的可靠性，可实现零维护
●　安装部署简单，适应性极强，对现有网络结构无特殊要求
●　优秀的管理界面，可节省大量专业管理人员的劳动力
●　良好的可用性，可避免许多缺乏技术力量的情况下的虚假防护
●　拥有大量政府、教育、电信等各大行业的成功案例

第一章 前 言

　　以Internet为代表的全球性信息化浪潮日益深刻，信息网络技术的应用正日益普及和广泛，应用层次正在深入，应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展，典型的如行政部门业务系统、金融业务系统、企业商务系统等。伴随网络的普及，安全日益成为影响网络效能的重要问题，而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵，已成为政府机构、企事业单位信息化健康发展所要考虑的重要事情之一。

　　政府机构从事的行业性质是跟国家紧密联系的，所涉及信息可以说都带有机密性，所以其信息安全问题，如计算机病毒、敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及垃圾邮件的泛滥等。都将对政府机构信息安全构成威胁。为保证政府网络系统的安全，有必要对其网络进行专门安全设计。

第二章 网络安全新需求分析

　　政府上网工程中往往用户数较多，网络情况复杂。过去，在网络运行的过程中发现病毒情况严重，分析下来主要来源于外部Internet,经由邮件系统（SMTP、POP3）传播而泛滥，此外，由于众多用户经常上网浏览很多站点，包括一些安全性不是很好的网站，而且还下载很多不同类型的软件，因此，通过HTTP和FTP感染病毒的情况也时有发生。

　　垃圾邮件、病毒邮件和色情政治信息邮件的大量泛滥，严重影响了邮件系统的工作效率和普通用户工作效率，更为严重的是可能危害到计算机的正常使用。

　　政府部门存在大量机密信息，由于外部入侵的威胁和内部误用、滥用所导致的机密信息泄漏，也成为政府部门日益突出的安全隐患。特别是政府部门的从业人员一般都不具备专业的计算机知识和较深的安全技术，让所有职员都保证对各自的网络安全负责在客观上并不现实，而通常的杀毒软件之类的软件防护产品在此方面功能极其有限，无法直到良好的保密效果。

　　流行病毒的新传播趋势有如下三种：
1、通过邮件附件传播病毒，如Sobig等邮件病毒；
2、通过无口令或者弱口令共享传播病毒，如Nimda、Mumu、Lovegate等；
3、利用操作系统或者应用系统漏洞传播口令，如冲击波蠕虫、Sqlslammer蠕虫等。

　　通过上面这些方式传播的病毒，由于其传播速度惊人，传统的防毒厂商通常无法及时地完成捕获病毒，分析病毒，发布升级包的过程，既使发布了升级包，也有很多用户无法在这么短的时间内将升级包发布到各个用户端上。

2.3.1 病毒传播渠道的变化

　　目前，病毒传播的主要途径同以前比发生了很大的变化，公安部公共信息网络安全监察局2003年中国计算机病毒疫情调查技术分析报告显示，在2002年，计算机通过光盘、磁盘等存储介质传播的比例明显下降，而通过网络下载和网络浏览感染病毒的数量增幅最大。通过电子邮件传播的比例也有所上升。计算机病毒网络化的趋势愈加明显，如何有效防御网络病毒是今后的工作重点。

　　随着全球经济运行对互联网的依赖，企业同时也面对着日趋升温的病毒和黑客的侵扰，越来越多的企业考虑通过构建网络安全系统从整体上对企业的网络实行更为有效的多重防护。由此，采用在Internet入口就封杀“毒源”的高效益的网关防毒产品已成为企业网络管理员的迫切需求。同时，这种需求也将成为防病毒市场新的增长点。

2.3.2 传统安全产品力不从心

　　随着互联网的发展，出现了许多新一代的基于互联网传播的计算机病毒种类，比如电子邮件计算机病毒、蠕虫、木马等黑客程序。电子邮件已经成为计算机病毒传播的主要媒介，其比例占所有计算机病毒传播媒介的56%。由于电子邮件可附带任何类型的文件，因此，几乎所有类型的计算机病毒都可通过它来进行快速传播，事实上，还有一些电子邮件病毒根本就没有附件，它本身是一个HTML。不久前出现的名为“BubbleBoy”的计算机病毒无需用户打开附件就能够感染文件，如果用户的邮件可自动打开HTML格式的邮件，则该计算机病毒就会立刻感染用户的系统。

　　目前，一般机构普遍使用专门的企业级杀毒软件即所谓的网络版杀毒软件，进行安全防护，防毒的区域覆盖邮件服务器、文件服务器和工作站。这类软件因为安装在原有的操作系统之上，因此操作系统本身的稳定性以及是否存在漏洞，都不可避免地对软件的使用产生一定的影响。而且防病毒软件进行实时监控或者下载分发升级信息时，都或多或少地要占用部分系统资源，这就必然引起系统性能的降低。有些单位常常抱怨上网速度太慢，部分原因就是防病毒软件对文件“过滤”带来的影响。此外，像新型蠕虫SQLSlammer利用系统漏洞绕过防病毒软件直接感染计算机，令传统的防病毒软件无力招架，从某种程度上动摇了这种软硬搭配的牢固性，让人不禁怀疑仅依靠软件杀毒是否能独撑大局。

2.3.3 软件防毒影响主机性能

　　所以，虽然软件防毒是目前为止抵御网络病毒的主要手段，但是，它给服务器带来的高负荷却又阻碍了整个网络的良好运行。尤其是大中型企业，迫切需要提高防毒效能，减少资源占用。“硬件杀毒”这一概念，正是软件企业长久以来“软件硬化”趋势产生出的一个结果，目前，硬件防毒墙的价格还只能为大中型企业、政府等机构接受，但是随着技术的发展，硬件防毒墙产品可能也会产生一支“平民化”的力量，像IBM大型计算机演化成PC一样，成为整个行业的标准。

2.3.4 主动防毒的需求

　　与此同时，用户的需求也在不断发生变化，他们对安全的意识已经由最初的被动杀毒转为主动防护。由于病毒具有不可预计性，当有病毒攻击时，用户需要尽可能缩短病毒响应时间、快速自动升级等一系列必要的防护措施。此外，当用户通过电子邮件与外界联系时，他们不希望受到未知病毒的袭击。而所有这些，传统的防病毒软件已经无法面面俱到，常常顾此失彼，捉襟见肘。

2.4 垃圾邮件泛滥

　　电子邮件给人们生活带来了很多方便，也将成为人们生活、工作中不可缺少部分。电子邮件有着很多方便和好处，使得电子邮件系统提供商（ISP）蓬勃发展，电子用户群越来越大，这也是推销广告商、反动者瞄准的对象，计算机病毒传播有效途径，于是邮箱出现了很多了不需要的邮件，甚至是有害信息，如：反动信息、色情信息、计算机病毒等。我们对这些有害信息给它定义为“垃圾邮件”。

　　不道德的电子邮件发送者可以不费多大成本或根本不费成本地分发大量消息，而正常用户却被迫花费一些时间和精力从他们的邮箱中清除这些欺诈性的或不需要的邮件。在本文中，我描述了几种方法，这些方法用计算机代码来帮助消除不请自来的商业性电子邮件、病毒、特洛伊木马和蠕虫病毒以及怀有恶意的欺诈性电子邮件与其它一些不希望收到的和令人烦恼的电子邮件。

　　垃圾邮件的出现给电子邮件系统带来了很多不便和危害，造成服务器负荷增大，为了保证邮件系统的正常运行和邮箱用户利益。必须使邮件系统具有反垃圾邮件的能力。目前很多邮件系统虽然具有一定的过滤能力，但功能并不完全，性能也不高。对于的邮件系统，必须采用专用的邮件过滤设备来对邮件进行过滤净化。

　　反垃圾邮件已经不仅仅是自己的事儿了，国家有关部门已经有文件表明，提供电子邮箱服务的邮件系统都必须具备有反垃圾邮件的能力。垃圾邮件已经成为大家都重视的事情。在某种意义上，消除垃圾邮件最好的终极解决方案可能是通过立法来制止这种行为。然而，在此期间，即在法律的进步（如果有过的话）还未解决公众不断所受到的困扰之前，可以用代码开发一些工具作为过渡性的解决方案来处理这类问题。

　　如今保证互联网通讯安全成为政府机构的着重点,卓尔公司发布了一款新的位于网络边界和互联网网关级别的安全防护方案—卓尔安全防护网关InfoGate，这是一个全面解决方案，它结合了硬件与软件的保护网络边界技术。作为一个集成的解决方案，卓尔硬件安全网关InfoGate提供了高性能并且有效的防病毒保护、反垃圾邮件、WEB信息过滤、网关防护等功能。由于它的稳定性，它可以被安装在任何已经存在的网络架构中，并且在任何网络中的安装非常简单，不需要改变原网络的任何设置，对网络中的其它设备完全透明。卓尔硬件安全网关InfoGate完全符合那些中型和大型机构所要求的高扩展能力和容错能力。

　　"InfoGate安全防护网关"配置在网络出口处，实时有效的保护从网络层到应用层的数据安全，包括屏蔽各种形式的网络病毒攻击，同时为上网用户实现---屏蔽垃圾邮件、查杀电子邮件病毒（包括附件和压缩文件）和实现内容过滤。

　　InfoGate安全防护网关是市场上唯一基于内容过滤方式，实现查杀病毒和防范垃圾邮件的产品，大大提高防范准确率。

3.1 InfoGate主要特点

• 软硬件集成设计、支持双机热备份
• 标准化设计、功能模块化、安装简单方便
• 高速度、高可靠性、高安全性、高性价比
• 可伸缩、全面的邮件安全解决方案，适用于任何规模的企业
• 集成了智能内容过滤，可以防止不适宜内容进入网络并防止浏览网络中的不必要信息
• 集成的反垃圾邮件功能可以检测垃圾邮件并简化配置，将垃圾邮件对网络的影响降至最低，有助于保持带宽、邮件存储空间和生产效率
• 自动检测和过滤病毒，并防御快速扩散的网络病毒
• 根据内容以及附件名称、附件类型和附件大小的特征规律过滤电子邮件
• 改进的内容过滤有助于管理出入网络的内容
• 集成了防火墙基本功能，提供网关联接
• 改进的病毒防护功能提供针对病毒、蠕虫、特洛伊木马和混合型威胁的增强防护
• 使用卓尔安全响应中心的新病毒定义自动更新
• 无需重新安装软件即可防御新病毒，降低了拥有成本

3.2 网关防病毒技术
　　鉴于政府上网工程的病毒情况实际，深圳市卓尔伟业信息技术有限公司为政府上网工程提供了网关级防毒的解决方案——硬件防毒墙InfoGate方案。

3.2.1 采用国际领先的防病毒引擎
    卓尔InfoGate防毒墙采用世界第四大防毒厂家Sophos公司的防毒引擎。Sophos公司。Sophos公司是世界领先的防病毒厂家。从80年代末起，Sophos公司致力于防病毒技术的开发，并成功地为超过两千万客户提供了病毒防范服务。2001-2002年度，Sophos防毒产品销售增长超过50%，通过分支机构及合作伙伴服务150个国家的客户。

3.2.2 采用网桥/网关通用的结构设计
    为了适合企业的各种网络环境，同时在实施安装上为客户提供最大的方便性，卓尔InfoGate防毒墙采用网桥/网关通用的网络结构设计。在已经建立网关的网络环境里，使用网桥结构在实施时则无须改变网络结构。同时，可以使用网关结构，在Internet连接处建立起防毒网关。

3.2.3 边界保护
　　 边界保护应用于公司网络的非军事区，非军事区包括主要的Internet连接（公网）和/或私有内部网络，如主要服务器或网关。例如，在一个公司网络中，边界或非军事区有Internet连接（ADSL，T1等）和网关服务器（防火墙，SMTP网关如SendMail,Qmail,代理服务器, Web 服务器,DNS等），边界保护提供了对所有进出公司网络（电子邮件，网页浏览，文件夹交换等）通讯进行扫描和保护的可能。

　　InfoGate硬件防毒网关提供高性能和完善的边界病毒防护，在Internet入口处即采取相应措施。它是一个专门防病毒的服务器（包括硬件和软件），独有"插入即遗忘"的设计。它能阻止所有病毒、蠕虫和其它由Internet带来的威胁，在其进入网络之前被直接被拦截。因为具有很强的适应性，InfoGate硬件防毒网关很容易适应所有政府机构的网络需求，透明地调整对网络通讯容量的检测能力。它可以安装在任何网络配置中，不管服务器和工作站是什么操作系统。由于它可以被设置成一个网桥，直接检测网络中的信息包，InfoGate硬件防毒网关可以对任何一种网络配置及基于Unix, Win32, Macintosh或Linux平台的服务器和工作站平台实行保护。InfoGate硬件防毒网关可以对所有进入网络的通道进行扫描，它的专业功能是总体上保护所有类型的安全威胁及重点防护特殊的病毒，其病毒防护功能还得到了基于内容过滤技术的主动防护功能的完善。

3.2.4  Web管理模式
    采用基于Web的管理界面设计，为用户提供了方便的管理手段。同时，卓尔InfoGate在产品设计时，充分考虑了统计报表对防病毒产品的重要性，保证了产品能够通过其Web界面提供详尽的统计数据。

3.2.5 保证可扩展性
   在产品的配置上，采用开放式的标准设计结构，从而保证产品针对不同的环境，能够保持很好的扩展性，适应不同环境的网络需求。

3.2.6 产品性能

1）      高性能的防病毒保护
　　InfoGate网关能够一小时扫描54,000条信息,全面高效地查、杀毒并不会干预用户的操作和影响带宽。

2）简单的安装和配置
　　InfoGate按照即插即用的设计思路，可以应用于任何政府的任何网络中，而不需要重新配置或重新路由Internet流量。当安装完成后,InfoGate将开始完全扫描所有网络流量，保障网络的100％安全

3）保护主要的通讯协议
　　InfoGate网关对最常用协议进行防病毒扫描：电子邮件（SMTP、POP3），网页浏览（HTTP），文件下载(FTP)，简单而有效的保护所有可能的病毒入口。

4）内容过滤
　　这个重要的功能能够阻止潜在的危险文件在未经过扫描就进入系统，减低带宽资源的总消耗量，在危险信息进入网络前就进行阻断。

3.3 网关反垃圾邮件技术

3.3.1 高度准确性

　　InfoGate 引擎采用评级系统通过一系列测试对电子邮件进行评估。 它可以高度准备地识别出垃圾邮件，并且可以捕获所有垃圾邮件中高达 70% 的垃圾邮件，垃圾邮件未被识别出来的错误肯定率小于 1%。 其默认规则由卓尔公司维护，无需设置规则就可以高效检测出垃圾邮件。

3.3.2 等级评定和识别

　　卓尔公司使用一种基于全面的规则集的等级评定系统来判断某个电子邮件是否为垃圾邮件。 针对每个电子邮件运行数百个规则，每个规则都有一个负的或正的分数。得负分数的规则表示邮件为合法邮件，得正分数的规则表示邮件为未经请求的非法邮件。 将所有分数相加，就能够得出每一封邮件的“总体垃圾邮件级别”。 采用一种遗传算法 (genetic algorithm) 对分数进行优化处理，并使用数百万个垃圾邮件和非垃圾邮件存档消息来评估每一个规则的分数。由于电子邮件是企业体系结构中的关键组成部分，因此对于每一个进行垃圾邮件防护的供应商来讲，防止错误地识别垃圾邮件至关重要。在当今反垃圾邮件的斗争中，评级系统起着基石的作用，它们比传统的匹配技术更为准确，在检测要识别的垃圾邮件时它可以检测到角角落落的区域。

3.3.3 扫描邮件系统

　　InfoGate 设备通过扫描传入和传出电子邮件减少了垃圾邮件的成本，从而极大降低网络资源的损耗。在 Internet 网关处检测垃圾邮件可以防止其进入网络并浪费宝贵的网络资源，同时，通过减轻员工阅读无用邮件的负担可以提高员工的生产效率。 此外，InfoGate 还可防止接收非法邮件内容，以便更好地执行 HR 策略。

3.3.4 垃圾邮件的形成

　　如果电子邮件已经过扫描，同时还接收到分数较低的垃圾邮件评分，则该邮件可以被标记为潜在的垃圾邮件。管理员可以选择为该邮件添加主题前缀，然后传送该邮件；或者将垃圾邮件的分数以及违规规则的缩写列表和/或全面的垃圾邮件规则添加到 X-Headers 邮件中。 这样用户就可以创建“收件箱”规则，自动对潜在的垃圾邮件进行排序。

3.3.5 多种检测方法

　　利用基本的默认规则集过程，InfoGate设备通过不同的检测方法对用户收到的每一封电子邮件进行检查

• 完整性分析 - InfoGate对每一封邮件的邮件头、版面和组织进行检查，以识别垃圾邮件的一般特征。 在单次传递过程中，高级模式匹配引擎同时应用数百个算法，然后确定其可能得分以判断该邮件是否为垃圾邮件。 这种用于检测垃圾邮件的方法非常准确。
• 前瞻性检测 - 前瞻性检测通过一系列内部测试来判断某个邮件是垃圾邮件的可能性，每一个测试都有相应的分值，以便降低错误率。 强大的前瞻性检测功能确保 InfoGate能够前瞻性地工作，以保护您的环境免受垃圾邮件的威胁。
• 内容过滤 - 该功能可以用来识别电子邮件中的关键字或关键短语，从而判断其是否为垃圾邮件。 管理员可以输入字或短语来创建被禁止内容的列表。
• 黑名单和优先名单支持 - 管理员定义的黑名单会拦截住管理员认为是垃圾邮件发件人所发送的电子邮件，而管理员定义的优先名单允许管理员指定域中的电子邮件的通过。
• RBL 支持 - InfoGate 设备提供完整的反垃圾邮件功能，其实现方法是支持使用基于 DNS 的黑洞名单，这样通过在邮件进入组织前拦截垃圾邮件可以节省网络带宽。

3.3.6 内容管理

　　InfoGate设备会监控进出网络的一切事物。 内容过滤功能可以保护用户电子邮件不包含任何非法或诽谤性的字或短语。 同时，由于这些设备可以扫描传出流量，从而可以通过阻止非法传出电子邮件离开网络而保护组织免受潜在法律问题的困扰。为了进行更多的法律保护，使用这些设备可以将自定义声明插入到传入和传出的电子邮件中，这样有助于确保邮件符合公司政策。 此外，InfoGate设备还可以根据文件名、扩展名或文件大小查找文件。 通过这种设备，管理员可以限制某些带特定扩展名的文件进入组织内部，例如扩展名为 EXE 的文件可能包含安全威胁。 限制可以进入或离开组织的文件大小也有助于节省网络带宽。 为了检查邮件大小，这些设备可以用于限制用户发送带特定类型附件的电子邮件或者包含过多附件的电子邮件。