李琴　熊新斌

江西省政务信息网二期市、县、区联网工程已于2004年4月投入运行，为县、区级政府相关部门的电子政务系统提供了承载平台；随着全省电子政务系统的深入，需将该承载平台延伸致乡镇、街办和社区，为政府部门全面实现电子政务系统提供平台保障。本次工程是为了将青山湖区辖区内乡镇、街办等政府基层单位纳入省政务信息网系统（部分乡镇、街办已通过连接南昌市信息中心的网络设备接入政务网），满足辖区内基层单位的数据共享及实现信息化办公的需求；另一方面，对南昌市政务信息网及青山湖区政务信息网的网络结构进行优化，把原电信基站内南昌市信息中心的设备替换下来，并将青山湖区政务信息网的核心移至青山湖区政府信息中心机房，形成一个市、区分层，区内集中的网络环境，方便后期对网络的维护管理。

县级政务网络现状分析

实施南昌市、县、区的政务信息网建设工程时，已经完成部份青山湖区辖区内的乡镇、街办接入省电子政务网的光缆资源覆盖工作，光纤资源通过电信的6个基站以及青山湖区政府进行覆盖；其中各基站汇聚层设备采用的均是南昌市政府前期采购的港湾uHammer3550-24交换机；青山湖区政府汇聚设备为港湾FlexHammer5010，通过单模光纤千兆汇聚至830基站的骨干交换机3com 4007（原港湾Big6808移至南昌市信息中心机房内满足市政府大楼内各事业单位接入使用）和680基站的骨干交换机BigHammer6808。

本次网络工程的目的是对青山湖区政务信息网设备升级与扩容规划，完成所有所需接入网络的用户及实现接入层、汇聚层、核心层的设备由本区管理，同时完成规划内的单位与政务信息网的互联。目前，随着网络用户数和网络应用的急速增长，按照建网要求，需要把各乡镇、工业园区和街办接入到政务外网，我们把网络设备分成三层结构，以830基站为核心层，以其他8个基站为各接入单位的汇聚层，各乡镇接入单位为接入层，各基站汇聚层与核心层之间采用千兆光纤互联，汇聚层与接入层采用百兆光纤互联。

由于很多社区目前用户数还比较少，目前还没有条件通过光纤直接接入政务外网，但各社区需要通过政务外网来传输相关信息，为了满足各社区的需求，各社区可以通过VPN来访问政务外网，在830基站增加一台VPN网关来解决各区访问政务外网的问题。

为了缓解网络流量压力，通过VPN接入政务外网的用户，当访问Internet时通过策略路由把流量指向VPN网关的Internet出口，当访问政务外网相关信息时通过策略路由把流量指向VPN网关的内网接口，这可以提升网络负载平衡。

网络安全分析

从青山湖区政府网络的实际情况来看，我们认为应该从以下几个方面进行全面的分析。

1.网络层的安全分析

网络设备主要包括青山湖区政府网络各节点上的路由器、交换机等设备。网络层不仅为青山湖区政府网络提供连接通路和网络数据交换的连接，而且是网络入侵者进攻信息系统的渠道和通路。由于大型网络系统内运行的TCP/IP协议并非专为安全通讯而设计，所以网络系统存在大量安全隐患和威胁。整个网络面临着来自网络外部和内部的双重威胁。

2.系统层的安全分析

在青山湖区政府网络中有着多种不同的操作系统，如：Windows、 Linux等等，这些系统都或多或少地存在着各种各样的漏洞。如果这些操作系统没有进行系统的加固和正确的安全配置，而只是按照原来系统的默认安装，这样的主机系统是极其不安全的。一名黑客可以通过Unicode、缓存溢出、造成死机等方式进行破坏，甚至取得主机管理员的权限。此外，在网络中，一些黑客利用系统管理员的疏忽用缺省用户的权限和密码口令就可以轻松地进入系统修改权限，从而控制主机。

3.应用层的安全分析

青山湖区政府网络与Internet相连，存在着包括Web、FTP、E-mail、DNS等各种Internet应用。应用系统的安全性主要考虑应用系统与系统层和网络层的安全服务无缝连接。在应用层的安全问题，黑客往往抓住一些应用服务的缺陷和弱点来对其进行攻击的，比如针对错误的Web目录结构、CGI脚本缺陷、Web服务器应用程序缺陷、为索引的Web页、有缺陷的浏览器甚至是利用Oracle、 SAP、 Peoplesoft 缺省帐户。

应用层的安全威胁还包括对各种不良网络内容的访问，比如内网用户访问非法（如发布反动言论、宣扬法轮功等）或不良（色情、迷信）网站等。有的Internet站点上还包含有害的Java Applet或ActiveX小程序，如果不慎访问将有可能带入病毒和木马程序，甚至有的网页可以通过一段简单的代码直接破坏访问者计算机的数据和系统，对网络安全和效率都将造成极大破坏。

4.出口病毒风险分析

计算机病毒一直是计算机安全的主要威胁。而随着网络的不断发展，网络速度越来越快，网络应用也越来越丰富多彩，使得病毒传播的风险也越来越大，造成的破坏也越来越强。据国际计算机安全协会的统计，目前已经有超过90%的病毒是通过网络进行传播的。青山湖区政府网络内用户访问Internet时，无论是浏览WEB页面，通过FTP下载文件，或者是收发E-mail，都可能将Internet上的病毒带入网内。而近几年泛滥成灾的网络蠕虫病毒（如红色代码、尼姆达、冲击波、振荡波等）跟传统的通过光盘、软盘等介质进行传播的基于文件的病毒有很大的不同，它们本身是一个病毒与黑客工具的结合体。当网络当中一台计算机感染蠕虫病毒后，它会自动的以极快的速度（每秒几百个线程）扫描网络当中其他计算机的安全漏洞，并主动的将病毒传播到那些存在安全漏洞的计算机上，只要相关的安全漏洞没有通过安装补丁的方式加以弥补，蠕虫病毒就会这样以几何级数的增长速度在网络当中传播，即使计算机上安装了带有实时监控功能的防病毒软件（包括单机版和网络版）对此也无能为力。蠕虫病毒的传播还会大量占用网络带宽，造成网络拥堵，形成拒绝服务式攻击（DoS）。因此，对于新型的网络蠕虫病毒，必须在网关处进行过滤，防止病毒进入内网。网关防病毒已经成为未来防病毒体系中的重中之重，需要引起青山湖区政府的特别重视。

安全解决方案

上面分析了青山湖区政府网络的网络状况与安全风险后会发现，整个网络面临着黑客、蠕虫病毒、网络入侵、不良内容、垃圾邮件等的威胁，需要使用专门的安全产品，从网络隔离、病毒防护、入侵检测、内容过滤等各方面进行全方位的保护。如果在青山湖区政府网络出口分别部署防火墙、防病毒网关、入侵检测系统、内容过滤、VPN等一系列安全产品，采购产品成本及将来的维护成本是非常高的。我建议使用多功能安全网关，在网络网关出口处形成综合安全防护体系，提供当前最高的性价比。

我所选的多功能网关是必须是基于硬件技术的产品

我们将多功能网关，部署在网络边界入，分别连接区政府办公网、830基站分支接入点、市党政网、以及互联网出口。各个端口间通过访问控制进行隔离，并对这些区域的流入数据开启AV和IPS防护功能，对来自基站、市党政网、互联网的数据进行入侵防御及病毒检测。

通过在多功能安全网关上配置防火墙、病毒防护、入侵检测、内容过滤、反垃圾邮件等安全设置，便可对进出青山湖区政府网络的流量进行黑客攻击、病毒、入侵、不良内容和垃圾邮件等的进行全方位过滤。

结论

江西省政务网乡乡通工程主要采用一网通的方式，统一解决我省各级党政机关面向乡镇的联网需要，进一步强化社会管理和公共服务能力。省“政务网乡乡通”工程建成后，将为各级部门向乡镇延伸提供统一的网络平台，相比各部门分散重复建设，可节省大量人力资源、建设投资和运行维护经费。该工程还可有效遏制基层“信息孤岛”和“业务割据”带来的管理风险，为实现网络环境下的“一体化政府”和“一站式服务”创造条件。

（作者单位：1.江西省信息中心；2.青山湖区信息中心）