冯巧玲

（漳州城市职业学院电子信息工程系，福建 漳州 363000）

IPS在电子政务系统中的部署与实现

冯巧玲

（漳州城市职业学院电子信息工程系，福建 漳州 363000）

以某县电子政务系统网络防护为例，研究IPS在电子政务系统的实际应用，部署并实现了入侵防御与检测、病毒过滤、带宽管理等功能的系统架构.

IPS；电子政务系统；访问控制

近年来，电子政务系统的实施已经成为新时期政府转型的一项重要举措.在享受电子政务系统提供的便利的同时，政府部门也饱尝了病毒，黑客和其他网络的不利因素困扰［1］.因此，电子政务系统的安全问题，也随之摆在了各个政府部门的面前.IPS（入侵防御系统）是由FW（防火墙），IDS（入侵检测系统）和其他网络安全技术相融合而成的防御技术，相较于FW和IDS，IPS拥有更强的主动性，且具有智能性，对于未知类型的网络攻击具有更强的防范性［2］.下面以某县电子政务系统网络防护为例，研究IPS在电子政务系统的实际应用.

1 NIPS（网络型IPS）在电子政务系统中的部署与实现

1.1 系统建设目标及拓扑结构

某县电子政务系统建设目标：建设与整合电子政务系统，使系统具有统一标准，功能更加完善、安全可靠，横向联通县级各单位，纵向联接各乡镇.同时，上联市级的政务信息网络平台，为各项应用系统提供基础平台和接口.总体拓扑结构如图1.

图1 系统的总体拓扑结构

1.2 网络安全部署

在这个系统中，为加强安全防范，部署的网络安全设备有防火墙、IPS、网闸、防病毒软件，除此之外还有网页防篡改系统.NIPS主要负责拦截针对应用层的入侵与攻击，以保证整个系统的安全.

其具体功能描述如下：

IPS实时、主动防御各种来自外部的应用层多种攻击，如网络病毒、蠕虫、后门木马等恶意攻击，以及正对WEB网站系统的SQL注入、网页篡改等WEB应用攻击等；IPS可以阻断办公网络非授权用户的恶意篡改，合理利用网络资源，有效保障网络流畅和安全，并通过对关键应用程序的监视以防护系统资源的滥用；事件IPS监听内部员工访问WEB区的流量，发现可以实时告警，保护WEB服务器区因为内部访问的原因导致的病毒感染、恶意破坏等行为.

在网络内部任意处部署一台安全中心，可以对IPS设备的运行情况进行监控，并采集设备的日志进行汇总分析.为管理员日常设备维护和对各设备的日志分析，制作报表等提供方便.

1.2.1 访问控制的实现

在NIPS中，可以通过设定相应的规则策略以确认访问的许可与否［3］.初始化时，管理员对NIPS进行设置，制定不受时限的阻断和放行规则，阻断了一些不用检测的访问，同时也放行了一些不同检测的访问［4］.根据该电子政务系统的具体情况，在进行了具体分析后，结合所用产品NIPS的特点，设置如下的数据结构：

NIPS访问控制规则的数据结构：

1.2.2 行为内容检测的实现

行为内容分析检测是由数据包分析检测和数据流分析检测组成，前者包含了单个数据包行为检测和内容检测.同时，由于两者的检测规则各不相同，因此规则库也分为两类.

在该系统中，行为内容分析检测的数据结构如下：

数据包检测规则：

数据包分析检测的流程：

（1）数据包依次应用检测规则对其进行检测，即逐条检测.

（2）若其中一条规则认定被检测的数据包为入侵，则将数据包及该规则记录入缓冲区，并继续下一条规则检测.

（3）到最后，若被检测的数据包不满足所有规则而被认定为正常数据包，则通行.数据流检测规则：

检测数据流可以通过时间阙值和计数阙值综合评价该数据流是否是入侵.如果一个程序向一个主机的同一端口连续不断发出内容大致相同的数据包，则必然会超出时间阙值或计数阙值而被评定为入侵，被阻断.

2 方案测试及部署效果分析

为了测试方案的防护效果，我们从“入侵防御、病毒过滤、上网行为管理、内容过滤、VPN接入、日志与审计”6大项约90个子项对方案进行严密测试.试验数据表明，IPS有效解决了一系列的电子政务系统安全问题.主要表现在以下几个方面：

（1）入侵防御和病毒过滤效果明显、有效保护了网络的安全.通过不断升级的IPS入侵防御策略及病毒库，实现了对各类攻击行为和流行病毒实时的入侵阻断和病毒过滤.从数据中心报表分析，仅网络总出口IPS系统，每日产生有效入侵防御日志9 700余条、病毒过滤日志12 000余条.

（2）流量管理效果明显，有效节约带宽.经过测试，通过在上班时段设置分时段控制策略，有效控制了各类恶意流量和非主流应用，限制了P2P文件共享，保证了高峰时段各政务部门正常的网页访问需求.经过一段时间的验证，高峰期带宽使用率降低了25%～40%.

（3）上网日志审计详细高效，满足NAT用户日志留存和查询的要求.经过测试，IPS系统具有详细的日志审计功能，可以通过目的URL、IP地址、IM账户、邮件地址等对内网用户的上网行为进行有效审计，加强了安全管理.通过旁路服务器的部署，日志存储时间大大增加，可以满足至少三个月的日志留存，同时旁路服务器查询效率高，速度快，能够实现大日志量下的高效实时查询.

（4）VPN远程访问的实现，满足远程办公的需求.利用IPS的VPN接入功能，成功实现了远程移动办公用户的内网接入，同时为特殊情况下的远程网络管理和网络维护提供了条件.

（5）系统管理方便，高效运行.通过产品的统一管理，实现了市县两级网络安全系统部署、防御和管理的集成.在高峰期时，对各设备从CPU、内存占用，以及使用效率等方面进行综合考量，发现IPS的部署能够满足高带宽、多用户的上网应用需求，期间CPU占用率保持在30%以下，没有感觉到明显的网络延时.

［1］ 张林.我国政府政务信息安全防范体系研究［D］.上海：上海交通大学，2009.

［2］ 沈迎君.基于Windows环境网络入侵防御系统的研究［D］.北京：北京工业大学，2009.

［3］ 姜参.入侵防御系统（IPS）研究与设计［D］.沈阳：东北大学，2008.

［4］ 张龙.IPS入侵预防系统研究与设计［D］.济南：山东大学，2006.

［责任编辑王新奇］

Deployment and Im plementation of IPS in E-Government System

FENG Qiao-ling

（Department of Electronic Information Engineering，Zhangzhou City College，Zhangzhou 363000，China）

With the system of e-government network protection as an example，this paper gives an analysis of the application of IPS to E-government system.A new model of E-government-oriented IPS is provided with a system framework of the functions such as network intrusion defense and detection，virus filter，and band-width management.

IPS；e-government network；access control

TP393.08

A

1008-5564（2015）02-0051-04

2014-11-12

冯巧玲（1979—），女，福建华安人，漳州城市职业学院电子信息工程系讲师，硕士，主要从事计算机网络研究.