電子政務安全系統的建設任務是：為保護網絡、信息及應用的安全，建立統一安全管理平臺，部署合理的、可調整的，完全符合電子政務網絡、信息及應用安全需求的安全策略，實現安全日志管理與統計分析，制定完善的安全審計策略，達到實時、動態監控全網的目標，對異常的安全事件能夠進行追蹤、分析、統計，對全網部署的安全設備、設施能夠進行統一的管理、配置以及配置文件的統一備份和恢復。

    安氏互聯網安全系統（中國）有限公司作為專業的網絡安全公司，提供了先進的網絡安全評估、入侵檢測、內容安全、防火墻等產品，并致力于成為我國電子政務的安全合作伙伴和顧問。

    PADIMEE 安全理念與業務結合

    安氏的目標是幫助用戶建設完整、堅固的信息安全體系，因此，我們從用戶對安全的需求出發，依托安氏在安全領域強大的實力，為用戶提供全面的安全解決方案。

    安全是一個動態的過程，企業對安全系統的建設，是一個生命周期的循環過程，安氏提出了獨特的PADIMEE方法論，并將自身業務和PADIMEE周期中的每個環節緊密地結合起來——策略（Policy）、評估（Assessment）、設計（Design）、執行（Implementation）、管理（Management）、緊急響應（Emergency Response）、教育（Education）。

    針對用戶的信息安全需求，安氏推出了由安全管理咨詢、安全系統集成服務、安全客戶支持、安全培訓等一系列服務組成的完整解決方案，幫助用戶在安全建設生命周期中獲得良好的效果。

    方案解決之道 構建動態防御系統

    安氏公司提供的針對政府的網絡安全解決方案的目標是，保護網絡安全有效的運行，保護網絡中信息的保密性。

    首先，使用LinkTrust CyberWall防火墻產品實現各個內部子網之間、子網與關鍵應用服務器之間以及與其它所有外部網絡的隔離與訪問控制，通過配置防火墻安全策略對所有服務器的請求加以過濾，只允許正常通信的數據包到達相應服務器，其它的請求服務在到達主機前就遭到拒絕，當網絡出現攻擊行為或受到其它一些安全威脅時，進行實時的檢測、監控、報告、預警和及時阻斷。其次，使用能與防火墻系統聯動的LinkTrust入侵檢測系統（IDS），對服務器與重要保護網段加以監控、記錄，并與防火墻一起構成一個動態的防御、報警系統。

    領信防火墻 一站式解決方案

    領信防火墻主要采用透明、路由、NAT三種工作模式，充分滿足用戶網絡結構的需求。提供LCD、SSH、Console、Web、GM等多種管理方式。支持內容過濾，包括智能URL封堵、惡意郵件過濾、Java、ActiveX、詭異木馬探測等全方位的七層過濾功能。自身安全性高，采用專用的Security Appliance承載平臺，從軟硬件多角度多方位地保證系統自身安全。內置集成的入侵檢測功能，其兩百種以上攻擊手法的檢測與防范，為預算有限的企業用戶提供一站式的完整經濟的網絡安全解決方案。通過與專用IDS的配合工作，動態調整安全策略，實時封殺攻擊源。可提供基于訪問控制規則的網關級流量鏡像，可根據用戶網絡實際安全需求鏡像流量到專用的IDS設備，為IDS可提供更高效率高可控的檢測數據源。可提供具有保密性、安全性、低成本、配置簡單等特性的虛擬專網服務（提供端到端和撥號用戶到端的兩種方式的VPN解決方案）。

    另外，LinkTrust CyberWall與帶寬管理有效地結合在一起，為用戶保證網絡安全的同時，也防止了某些用戶或通信大量占用帶寬，既能避免造成網絡阻塞甚至癱瘓，又能保證關鍵業務即使在網絡繁忙時也可以正常工作。而且，LinkTrust CyberWall采用模塊級別和處理方式相結合的方式配置日志，可以對單一模塊、多個模塊的組合以及所有模塊指定處理方式。用戶可以自主選擇以不同的方式發送日志，包括本地共享內存、Syslog、SNMP Trap和Email告警。還有，對PPPoE和DHCP的支持，PPPoE模塊專為ADSL/ISDN等撥號接入的用戶而設計，利用PPPoE協議，防火墻可以方便地接入撥號網絡，提供安全的網關防護功能。DHCP功能省去了公司企業為單獨設置DHCP服務器所消耗的成本，防火墻在啟用了DHCP 功能后，內網用戶可以直接從防火墻所提供的DHCP服務上獲得相應的IP地址，極大節省了用戶投資，方便了網絡的統一管理。

    領信入侵監測系統 實現動態保護

    防火墻的保護是必要的，但絕不僅僅是保護手段，特別是在某市電子政務專網中，有著許多極其重要的應用系統，這些系統能否正常運行直接關系到相關業務能否正常開展。因此，該市電子政務專網還需要一種動態和主動的保護機制，時刻檢查和解析所有的訪問請求和內容，一旦發現可疑的行為，及時做出適當的響應，以保證將系統調整到“最安全”和“風險最低”的狀態。這種動態的保護機制就是入侵檢測系統。

    入侵檢測系統應具備以下特征：在入侵攻擊對系統發生危害前，檢測到入侵攻擊，并利用報警與防護系統驅逐入侵攻擊；在入侵攻擊過程中，能減少入侵攻擊所造成的損失；在被入侵攻擊后，收集入侵攻擊的相關信息，作為防范系統的知識，添加入知識庫內，以增強系統的防范能力。

    網絡入侵監測系統的一個重要功能在于可與防火墻聯動，可有效減少IDS的部署數量，節約成本。

    本方案使用了安氏公司領信入侵檢測系統LinkTrust Network Defender來構成實時入侵檢測系統。LinkTrust Network Defender在功能和性能上具有強大的優勢。

    Network Defender通過了中國信息安全產品測評認證中心的認證。NetworkDefender是領信入侵檢測系統中的網絡入侵檢測產品，它采用了新一代的入侵檢測技術，包括基于狀態的協議分析技術、開放靈活的行為描述代碼、安全的嵌入式操作系統、先進的體系架構、豐富完善的各種功能。它以不引人注目的方式最大限度地、全天候地監控和分析企業網絡的安全問題，捕獲安全事件，給予適當的響應，來阻止非法的入侵行為，保護企業的信息資產。它是針對電信、金融、政府、企業等大型用戶的安全需求和管理要求量身定做的，滿足上述客戶對高可靠性、高安全性、可管理性、先進性和適應業務發展的要求。