沈阳市政务网安全隔离与防护

电子政务按照业务性质可分为政务内网和政务外网，政务内网运行着涉及国家秘密的政务系统，其安全性非常重要，特别是数据的安全性保护，更是安全建设的重中之重。沈阳市政务内网在经信委的牵头下，经过数年的建设，覆盖了经信委、市委办公厅及市级21个接入委办局，作为各级职能部门办理政务上报数据的网络。

Hillstone企业安全设备作为防火墙，为沈阳市政务内网提供有效的隔离与控制，设备部署在经信委、市委办公厅以及21个委办局政务内网的出口，通过严密的访问控制，为上传数据及内部邮件系统提供有力保护。

需求分析

沈阳市政务内网按照相关安全建设规范，特别是分级保护的要求，需要进行全面的安全建设，其中防火墙作为网络访问控制部分的安全措施，需要在政务内网的各个关键节点实施保护，为此沈阳市经信委对防火墙提出了如下要求：

● 简单易用：防火墙将统一配发到各委办局政务内网的关键接口，其配置和维护都由经信委和各委办局联合进行，在各委办局没有专职的安全管理人员时，用户期望防火墙应简单易用，配置和维护不需要复杂操作；

● 抗攻击：用户希望防火墙除了基本的网络访问控制之外，还能够有效对抗网络层攻击，特别是DDOS攻击行为，能够有效阻断扫描类、嗅探类、FLOOD等攻击行为；

● 运行稳定：用户希望防火墙运行稳定，具有较高的无故障运行时间；

● 集中管理：用户希望防火墙应支持集中化的管理，在经信委节点通过一台设备，即可实现对部署在市级政务内网平台各个委办局所有防火墙的统一管理，包括日志的集中收集与统计，安全策略的统一配置。

解决方案

经过对比和测试，特别是从易用性的角度，用户最终选择了Hillstone的企业安全设备，包括2台SG-6000-M3100以及20台SG-6000-M2105，其中M3100的整体吞吐量为1Gbps，部署在沈阳市经信委和市委办公厅政务内网出口，对重要的服务器实施保护；M2105的整体吞吐量为600Mbps，部署在各个接入委办局政务内网出口，对接入访问进行进行控制，杜绝非法访问。

● 满足合规性要求的访问控制

作为涉及国家秘密的政务内网，其安全建设必须参考国家分级保护的思路，从全面安全保障的角度，引入多种安全设备，进行综合防护，其中网络访问控制是其中重要的网络安全措施。Hillstone企业安全设备作为防火墙，为沈阳市政府政务内网提供有效的网络访问控制，杜绝非法和越权的访问；

● 简单易用降低管理难度

Hillstone企业安全设备采用一体化策略，配置和维护都非常简便，系统管理人员在一个窗口下即可完成大多数的安全策略配置，并在一个窗口下即可方面查询到防火墙记录的各类访问日志，减少了窗口的跳转，也大大降低了使用的难度；

● 抗攻击

Hillstone企业安全设备支持的抗攻击技术，能够对常见的网络层攻击行为进行有效对抗，特别是针对端口扫描、口令破解、SYN Flood、Ping Flood、Ping of death、UDP Flood等泛洪攻击有很强的防范能力；

● 运行可靠故障率低

Hillstone企业安全设备均采用多核技术，在操作系统层又实现了多线程和多操作系统，对于一般性的硬件层面的故障，软件层面的故障，系统均具有自我恢复能力，从而保障系统能够为上层应用提供持续的支撑能力。

● 集中安全管理

在沈阳市政府经信委署的Hillstone集中管理平台，可对全市政务内网部署的所有Hillstone企业安全设备实施集中化的管理，包括日志的集中查询统计，以及全局性策略的集中下发，集中管理提高了系统管理人员对安全事件的检索和响应效率，更好地保障安全防护的效果。

运行效果

Hillstone企业安全设备作为防火墙，部署在沈阳市政府政务内网，主要实现了网络访问控制、抗攻击等功能，设备简单易用，无论是设备上线，还是设备上线后的配置与维护，都非常简便，且UI界面友好，符合系统管理人员的习惯。设备提供的集中管理，也使得市经信委的网管人员方便地管理所有的设备，总之用户对Hillstone企业安全设备的运行效率、简单易用性的特点均非常满意。