1、河北省政府网络现状

　　自1999年开始实施“政府上网”工程以来，在社会上引起了很大反响。国家信息化领导小组《关于我国电子政务建设指导意见》早已出台，国家“十五”信息化专项规划已经将电子政务作为国家信息化的重点内容。整个“十五”期间，从中央到地方政府，将有60%以上的政府业务和30%以上的政府对企业和公众的办公业务上网进行。

　　河北省政府积极响应国家“政府上网”工程的号召，在信息化方面进行了多方面的建设并取得了显著的效果，得到了各级领导的认可。目前河北省政府电子政务网络分为政务内网与门户网站两个部分。

　　　1.1政务内网

　　政务内网是省政府职能部门的内部OA电子化办公自动化系统，侧重于政府日常协同办公运作，并运用先进的数据交换，共享，采集，发布手段，使得各政府机构在同一平台上传递信息、开展业务，促进原来分散的业务系统的整合，加速不同部门之间、不同行业之间的信息交流，紧密的将神经网络中的各级政府部门政务内网，企事业单位结合在一起，实现协同政务，资源共享，科学决策，包括公文收发、会议管理、人员管理、项目管理、财务管理等完整的电子办公功能，极大地提高省政府各机构的管理能力和工作效率。

　　河北省所辖的各地、市政府政务网和省级党政部门已全部连入政务内网，形成以核心网络为枢纽，省、市、县三级区域的互连互通。其网络拓扑结构如下图所示。

　　省政府政务内网包括核心层、汇聚层、接入层三层结构。核心层采用千兆以太网交换技术，由核心交换机和核心路由器构成核心节点；汇聚层采用具有三层交换功能的以太网交换机，通过2个千兆端口与核心节点形成冗余连接；接入层节点设置在各楼层的专用配线间，通过多模光纤上连至汇聚层的以太网交换机，上联接口速率为1G。同时采用路由器设备，通过租用专有线路，下联至省属各地市政务内网。横向实现省委、人大等省政府委、办、局级单位和政协的互联。

　　政务内网中的关键服务器主要是OA服务器、打印服务器、文件服务器、备份服务器以及磁盘阵列等。

　　　1.2政务外网

　　政务外网是互联网（INTERNET）上公共行政部门统一的门户网站，各公共行政部门的政务公开、网上办事平台等，是公共行政部门对外宣传、形象展示以及与社会公众和企业交流、业务受理和咨询的平台和窗口。

　　门户网站系统是河北省人民政府在国际互联网上建立的政府综合门户网站。是全省各级政府机关公用的信息综合平台。“中国河北”门户网站于2002年12月上线运行，经过不断修改充实，日臻完善。目前完成了河北概况、河北政务、河北经济、社会生活、科技文化、网上办事等六大类，300个栏目的建设，内容涉及省政府47个部门，涵盖省政府工作的方方面面；实现了与省政府60个部门网站和11个设区市政府网站的整合。通过整合各种面向公众的政务信息和服务，初步形成了信息分类科学、服务功能完善的综合门户网站。河北省人民政府门户网站应用了主页防窜改、防病毒、入侵检测以及防火墙等技术手段，构建了较为完整的安全体系，保障网站安全运行。

　　河北省政府门户网站系统采用标准的星形结构，核心交换机为CISCO 4006，服务器区主要是各种应用服务器，提供对公众的服务，整个门户网站系统通过100M专线接入Internet，门户网站边界采用CISCO 3725路由器，然后通过防火墙进行细粒度的访问控制，针对服务器区，专门部署了入侵检测系统，监控违规的行为。

　　网络中存在的关键应用如下：

　　★ Web服务器，采用两台IBMP640（7026-B80）作为服务器，通过软件实现负载均衡；

　　★ 邮件服务器，采用一台IBMP640（7026-B80）小型机；

　　★ DNS服务器，采用一台IBMP640（7026-B80）小型机；

　　★ 应用服务器，采用一台IBMP660-6小型机；

　　★ 数据库服务器，与磁盘阵列相连接；

　　★ 文件服务器、备份服务器，连接磁带库；

　　★ 核心交换，CISCO 4006交换机；

　　★ 路由器，CISCO 3725路由器。

　　河北省政府门户网站已经部署了防火墙，网站的所有服务器放在防火墙以内的区域，在防火墙上增加访问控制规则，很大程度上保证服务器的安全。

　　已经部署了网络入侵检测系统，针对服务器的安全，能够提供很有效的监控以及审计措施。

　　网页篡改系统很好的保障了针对政府网站的网页窜改。

　　在内网部属了防病毒软件系统，用于病毒的防范。

　　网络拓扑总图如下：

　　

　2、省政府网络的安全需求分析

　　目前，省政府办公厅内外网实现逻辑上的隔离，外网和门户网站已经部署了齐全的网络安全设备和措施，采用了包括防火墙、入侵检测、网页防篡改系统、防病毒软件系统等安全技术和措施。但是在近两年内还出现以下的问题未得到较为全面的有效解决，并且比较突出的部分问题已经严重影响到正常工作：

　　首先、由于现在来源于互联网的新型的蠕虫混合型病毒，不定时地会导致网络的堵塞和不稳定。会造成互联网用户访问变慢和不稳定，如何较为有效的杜绝来自于互联网新型病毒需要尽快解决。

　　其次、来源于互联网的黑客程序和间谍程序和一些网上银行的钓鱼程序，也导致政务内外网的关键业务数据内部数据的丢失和破坏。

　　第三、最近发现的网络拨号器程序也来源于互联网络，导致政府内网出现无序盗拨的情况，造成经济利益损失。

　　第四、在订阅一些国外的IT新技术的新闻组（NNTP）协议的新闻订阅，

　　有些不规范的新闻网站也会将病毒和间谍程序带入到政府网络中、导致数据丢失和被破坏，严重会影响到网络的应用。

　　第五、新型病毒造成的垃圾邮件的泛滥，导致收到很多无序的病毒邮件，而且对于非专用域名后缀的邮件无法用专业的防垃圾邮件防范，对于公网上的国内国外的一些免费邮箱的使用无法做到有效防范。

　　第六、对于非法站点的防范，无法控制内部用户对互联网络的访问和把关，例如法轮功站点和色情站点的访问和一些网站广告的杜绝。

　　第七、传统意义的防病毒软件对于未打补丁的客户端防范能力较弱，当客户端没有及时的更新和升级， 仍然会导致客户端数据被破坏，没有很好的入侵防范能力。

　　第八、对于来源于互联网络，文件下载、邮件传递、新闻组订阅、以及及时通讯等的病毒防范仍然无法有效防范，使有些恶意程序在网络中传播造成不良影响。

　　3、方正熊猫安全网关的解决方案

　　针对以上省政府网络中存在的安全问题，方正信息安全技术有限公司为之量身定做了方正熊猫安全网关解决方案。

　　　3.1 方案的设计原则

　　我们在设计本方案、选择网络安全产品的过程中充分为客户作了多方面的考虑，并遵守以下原则：

　　★ 全面防护原则：为省政府办公厅政务内网提供全面的病毒防护，建立多层次立体的防护体系。

　　★ 安全性原则：充分保证系统的安全性。使用的信息安全产品和技术方案在设计和实现的全过程中有具体的措施来充分保证其安全性。

　　★ 可靠性原则：保证产品质量的可靠性。对项目实施过程实现严格的技术管理和设备的冗余配置，保证系统的安全可靠。

　　★ 先进性原则：具体技术和技术方案应保证整个系统具有技术先进性和持续发展性。

　　★ 可扩展性原则：由于目前安全技术的发展和变化非常迅速，方案采用的技术应具有良好的可扩展性，充分保护当前的投资和利益。

　　★ 可管理性原则：系统都应具备在线式的安全监控和管理模式。

　　★ 合法性原则：产品需要公安部和国家信息安全产品测评中心的认证，参与实施企业需具有国家认可得安全服务资质。

　　　3.2 解决方案特点

　　安全解决方案的其特点如下：

　　1、能够做到对主流互联网的HTTP、SMTP、FTP、POP3、NNTP、IMAP以及即时通讯的QQ、MSN以及可以传输文件的例外的TCP端口进行有效防范。

　　2、具有极强的可扩展性。随着网络的发展，可采用负载均衡的方式扩容，而且除设备本身之外不必再增加第三方设备导致额外成本产生。

　　3、采用了国际一流技术TruPrevent技术来防范病毒和恶意软件，尤其是未知病毒和恶意软件，未知病毒检测率超过98%。TruPrevent技术在06年德国的CeBit大展中，击败微软获得了最佳软件奖。在方案中，该技术不仅集成在方正熊猫硬件安全网关中，而且作为单独的软件被安装在工作站和服务器上，协同工作抵御未知威胁。

　　4、每天至少一次的病毒码更新。并与现有省政府网络中的防病毒产品可以进行互动。

　　5、在出现故障时，可以做到在10分钟内快速恢复。不影响网络的应用。

　　6、保证桌面用户在未打系统补丁的时候，仍然可以不被病毒侵害，并提供入侵安全警告，和防病毒系统形成互补防范病毒。

　　7、WEB过滤功能，可防范用户对互联网非法站点的访问，而且具有可以对特殊用户开放权限的功能。也可以设置可信站点，这些站点将不被扫描和过滤，以减少网络的流量压力。

　　8、可一键恢复出厂配置；采用透明网桥结构，方便在网络中使用、而且不用改变网络的现有配置和结构。

　　9、反垃圾邮件功能可防范国内外主流的垃圾邮件、并具有黑白名单的添加功能。

　　10、方正提供24小时的 800免费电话支持服务，保证为客户提供及时周到的服务。

　　　3.3 实施后的拓扑

　　实施了解决方案后的拓扑总图：

　　

　　4、综合效益分析