【51CTO.com 綜合報道】隨著中國政務(wù)信息化的發(fā)展，各級政府都希望能夠經(jīng)濟合理的搭建一個安全高效的信息化平臺，安徽民政系統(tǒng)長期以來便采用安達通的網(wǎng)絡(luò)安全產(chǎn)品，近日則以全省統(tǒng)一部署的形式構(gòu)建了一個龐大的TPN網(wǎng)絡(luò)。安達通是中國信息安全領(lǐng)域的排頭兵之一，對于提升政府的信息化辦公水平有著豐富的研究和經(jīng)驗。

TPN系統(tǒng)將上網(wǎng)行為管理、內(nèi)網(wǎng)安全性管理、VPN接入技術(shù)及主機行為控制技術(shù)融為一體，借助處于網(wǎng)絡(luò)邊界位置的TPN安全網(wǎng)關(guān)和安裝在每臺主機上的主機威脅引擎的聯(lián)動體系，將“本地局域網(wǎng)—遠地局域網(wǎng)—移動接入節(jié)點”的資源和安全策略進行統(tǒng)一管理，一體化解決全網(wǎng)的外網(wǎng)訪問威脅、內(nèi)網(wǎng)安全管理威脅、VPN接入威脅和主機威脅的防護問題，確保全網(wǎng)用戶的網(wǎng)絡(luò)平臺可信、可控、可管，又被稱為全網(wǎng)行為管理系統(tǒng)。

在安徽省民政廳的總部使用SJW74-T2000型安全網(wǎng)關(guān)作為邊界網(wǎng)關(guān)部署在出口，分支機構(gòu)部署中低端TPN安全網(wǎng)關(guān)，構(gòu)建全網(wǎng)的可信專用網(wǎng)絡(luò)平臺，并通過TPN網(wǎng)關(guān)和內(nèi)網(wǎng)主機上部署的主機威脅引擎實現(xiàn)軟硬聯(lián)動的安全防御體系，滿足用戶的各項需求。

TPN全網(wǎng)部署示意圖

如上圖所示，在總部接入互聯(lián)網(wǎng)的出口處部署安達通的TPN安全網(wǎng)關(guān)，在內(nèi)網(wǎng)個主機上安裝一個主機威脅引擎（TPN客戶端）。由網(wǎng)關(guān)和TPN客戶端的實時連動實現(xiàn)對全網(wǎng)行為的監(jiān)控，并將主機的各種需要被監(jiān)控的行為實時的上報到TPN日志審計服務(wù)器。

內(nèi)網(wǎng)用戶（包括總部和分之機構(gòu)）在首次使用時，只需打開IE，輸入網(wǎng)管人員分配的用戶名和密碼，就能自動安裝TPN客戶端，無需網(wǎng)管人員依次安裝，非常方便。完成身份認證后，安全網(wǎng)關(guān)對用戶主機進行風(fēng)險評估檢查，只有達到TPN網(wǎng)絡(luò)管理員規(guī)定的安全級別，用戶才能夠接入到網(wǎng)絡(luò)中，訪問對應(yīng)權(quán)限的網(wǎng)絡(luò)資源，以確保各種威脅不被用戶帶進政府內(nèi)網(wǎng)。

根據(jù)上述的安徽省民政廳TPN部署方式，可實現(xiàn)以下激動人心的優(yōu)異功能：

一、提升政府內(nèi)網(wǎng)安全性和可用性

（1）防范無意識的由內(nèi)部員工引入的安全風(fēng)險

基于“主機風(fēng)險評估”的“準入控制技術(shù)”是安達通在TPN系統(tǒng)中采用的先進技術(shù)。TPN系統(tǒng)會對接入內(nèi)網(wǎng)的主機進行全面的主機安全評估，如果發(fā)現(xiàn)主機上存在安全威脅或未達到該接入網(wǎng)絡(luò)要求的安全級別，則不允許該主機訪問外網(wǎng)；通過該技術(shù)可以確保那些疏于防范的內(nèi)網(wǎng)主機不能輕易上網(wǎng)，避免將Internet上的木馬、病毒等風(fēng)險帶進內(nèi)網(wǎng)；也不會使帶有安全風(fēng)險的主機將風(fēng)險通過VPN隧道帶進政府內(nèi)網(wǎng)，從而確保整個網(wǎng)絡(luò)平臺的安全可信。

（2）實名認證，避免非法接入

TPN系統(tǒng)將根據(jù)所有合法用戶主機，生成一個“可信域”；其他用戶則被視為“非可信”?？尚胖鳈C內(nèi)存放一個只包含所有可信主機的ARP緩存表，所以只能訪問可信用戶，或根據(jù)策略訪問網(wǎng)絡(luò)資源和VPN資源；而非可信的主機將被視為“非法接入”，無法和政府網(wǎng)絡(luò)中的合法可信主機進行通信（即使在同一交換機下），更不能上網(wǎng)。TPN系統(tǒng)還能夠自動識別、定位和記錄非法接入主機的網(wǎng)絡(luò)訪問行為。

TPN網(wǎng)關(guān)支持多種用戶認證方式，包括：用戶名＋口令、數(shù)字證書、USB KEY等。     

（3）虛擬VLAN技術(shù)限制內(nèi)部人員越權(quán)訪問

虛擬VLAN功能支持在局域網(wǎng)中劃分邏輯VLAN，在不投入其他硬件設(shè)備（如：支持VLAN的交換機）的前提下，滿足不同安全等級或不同組的用戶進行邏輯隔離的需求。例如：虛擬VLAN功能可以把財務(wù)室、資料室等重要單位的主機單獨隔離到一個虛擬VLAN，這樣就在不增加額外投入的情況下，確保重要資料的安全。    

（4）防范內(nèi)網(wǎng)病毒泛濫，確保網(wǎng)絡(luò)穩(wěn)定可靠

TPN的防ARP欺騙功能，是在主機登陸TPN系統(tǒng)后，在可信域中發(fā)布該可信IP/MAC表，使所有主機的中間層驅(qū)動綁定真實的IP/MAC列表，使ARP欺騙無空可鉆。同時TPN網(wǎng)關(guān)進行定期的ARP欺騙檢測，以保證內(nèi)網(wǎng)的穩(wěn)定性和可用性；TPN系統(tǒng)的主機微引擎CTE也會自動檢測ARP欺騙并主動報警和上報網(wǎng)關(guān)。

紅色代碼、沖擊波等洪流病毒的爆發(fā)，將會使中毒主機在短時間內(nèi)發(fā)送大量數(shù)據(jù)包文，嚴重影響網(wǎng)絡(luò)和其他主機的正常通信。TPN系統(tǒng)并不是針對某種病毒的代碼特征進行阻斷和分析，而是專門針對主機行為模式的流量異常檢測和對網(wǎng)絡(luò)洪流爆發(fā)的判斷，做到準確快速。

二、提升政府機關(guān)的形象

個別辦事窗口政府工作人員，工作時間使用與工作無關(guān)的各種軟件，不僅影響工作效率，而且對政府機構(gòu)的形象也很大影響。對此TPN系統(tǒng)可采用了多種安全技術(shù)，合理控制工作人員的網(wǎng)絡(luò)行為。

具體為以下幾種方式：

（1）禁用程序管控。TPN安全網(wǎng)關(guān)對常用需管控的程序進行了分類，包括：遠程管理類、P2P/下載類、網(wǎng)絡(luò)聊天類、游戲類、炒股類、代理軟件類等。用戶可以根據(jù)自己的實際情況，禁止在工作時間使用哪些軟件。如果在TPN網(wǎng)關(guān)上設(shè)置了某個軟件禁用，該軟件將不會在主機端執(zhí)行。例如禁止工作時間使用QQ。

值得一提的是，TPN的“程序管控”功能和和傳統(tǒng)的UTM防火墻有著本質(zhì)的區(qū)別，TPN依靠TPN客戶端實時檢測用戶主機端的各種程序的運行狀態(tài)，直接從主機端控制用戶程序的使用權(quán)限，可以很好避免UTM防火墻在網(wǎng)關(guān)上處理此類作業(yè)而消耗大量性能，而且TPN的處理方式更靈活，幾乎可以管控任何程序。

（2）URL訪問控制。TPN安全網(wǎng)關(guān)提供HTTP網(wǎng)址的URL過濾和異常URL檢測功能。對于URL網(wǎng)址和關(guān)鍵詞，TPN提供白名單和黑名單兩種方式對HTTP數(shù)據(jù)進行過濾，并可根據(jù)用戶不同區(qū)別靈活對待；對于有異常長度和包含異常代碼的URL，TPN提供檢測和過濾的功能。因此，可以將與工作相關(guān)的網(wǎng)址設(shè)置成一個白名單，工作時間只允許訪問該白名單中包含的網(wǎng)頁，其他時間不做限制。這樣達到禁止工作時間瀏覽與工作無關(guān)網(wǎng)頁的目的。

（三）防范公務(wù)人員不當(dāng)言論

公務(wù)人員的某些不當(dāng)言論，會給民眾帶來不好的影響，甚至是引起法律問題，TPN采用完善的日志審計手段來解決這個問題。

通過和TPN安全網(wǎng)關(guān)配套的“網(wǎng)絡(luò)行為審計”軟件，可以實時接收并分析來自全網(wǎng)所有TPN網(wǎng)關(guān)的大量日志和數(shù)據(jù)，并提供各式各樣的網(wǎng)絡(luò)行為審計圖表和報表供網(wǎng)管員及其相關(guān)人員使用?？梢詫崿F(xiàn)實名審計、威脅報告審計、系統(tǒng)日志審計、URL訪問審計、特權(quán)客戶端功能和內(nèi)容審計，功能齊全性能優(yōu)異。

（四）實現(xiàn)政務(wù)機構(gòu)的VPN安全互聯(lián)

VPN（虛擬專用網(wǎng)）是指通過公共網(wǎng)絡(luò)建立私有數(shù)據(jù)傳輸通道（即隧道），將遠程的分支機構(gòu)、商業(yè)伙伴、移動辦公用戶等安全連接起來的一種專用網(wǎng)絡(luò)技術(shù)。對于政府機構(gòu)而言， VPN可以替代傳統(tǒng)租用線來連接計算機或局域網(wǎng)等。政府機構(gòu)只需要租用本地的數(shù)據(jù)專線，連接上本地的公網(wǎng)，各地的機構(gòu)就可以互相傳遞信息；使用VPN有節(jié)省成本、提供遠程訪問、擴展性強、便于管理和實現(xiàn)全面控制等好處。

（1）全面集成VPN技術(shù)。TPN系統(tǒng)具備IPSec/SSL二合一、移動加速、虛地址互聯(lián)、自動路由，雙網(wǎng)隔離等安達通專有的各種VPN技術(shù)，充分分享安達通VPN領(lǐng)域的領(lǐng)先成就。

（2）VPN準入控制。VPN接入用戶接入到總部后，首先需要通過TPN安全網(wǎng)關(guān)的風(fēng)險評估檢查。如果接入用戶的機器上運行有惡意程序（如：木馬、病毒等）或沒有達到管理員規(guī)定的安全級別，TPN網(wǎng)關(guān)會阻止該VPN用戶的接入。只有達到TPN網(wǎng)絡(luò)管理員規(guī)定的安全級別，VPN接入用戶才能夠順利接入到總部，以確保各種威脅不會被VPN用戶帶進內(nèi)網(wǎng)。

（2）Qos功能——確保語音暢通。利用安全網(wǎng)關(guān)的Qos功能，能夠為特殊的網(wǎng)絡(luò)應(yīng)用和IP地址/范圍保留網(wǎng)絡(luò)帶寬，調(diào)整這些網(wǎng)絡(luò)任務(wù)的優(yōu)先級別。特別適合與VOIP、VOD等語音、視頻應(yīng)用結(jié)合使用。