一， 概 述

    政务电子政务系统极大的提高了政府机关的办事效率，为政府部门解决政府职能上网、政府信息上网、政府日常活动上网、政务办公上网、政府增殖服务上网的各种问题。电子政务系统将政府管理部门掌握的大量信息数据实现资源共享，使其在市场经济中发挥应有的增值作用；利用公众信息网实行政务公开，实现企业申报等工作；建立监督管理档案，改善各级管理部门内部的办公网络环境，改进办公条件，为各级领导进行宏观管理提供高效便利的服务，规范作业流程，使管理水平进一步科学化和现代化。
一般来说， 政务电子政务系统包含而不限于如下表所示的功能：
.

     一般来说， 政府实施的电子政务都已经有基于安全的考虑和措施， 但是对于这样一个庞大的系统， 对于现在的网络环境的复杂性， 安全问题需要单独考虑并实施 ，本文拟就通过永达安全智能管理与控制平台来保障政府电子政务系统做抛砖引玉的分析。

 
二，方案分析

    永达的安全系统的目标是成为一个成熟的产品解决方案，她总共有下列几个组成部分: 无缝的集成永达防火墙，永达安全代理，永达安全通讯平台，永达Linux安全代理，永达可信日志服务器，永达安全智能管理平台，永达证书管理分发系统，永达安全配置集中管理系统 ，永达网络安全评估扫描系统 ，客票业务安全操作审计系统 。

1：永达安全系统的安全评估扫描系统
    永达安全系统的安全评估扫描系统定期或不定期对网络系统或操作系统进行安全性扫描，评估网络系统及操作系统的安全等级，并分析提出补救措施。

    最后，扫描系统并发现漏洞的知识是不断更新的， 随着系统的漏洞的不断发现， 系统的知识库也得相应更新， 而且， 这个更新必须及时准确， 现在这些知识库的操作啊还是由人来做的，这就不能保证及时性和准确性，如果能把信息库的自我更新内建于系统，由系统自动完成， 可以称之为未在线更新吧， 那么不仅可以保证第一时间内可以保持知识库的准确完备， 还可以称这个知识库是智能的。最后需要强调的是，维护一个完备的知识库其实非常需要耐心和细致的工作， 因此，如果提供给用户一个自定义的开发环境和开发语言， 准确定义安全领域的原语供用户进行后期开发，将非常有意义。

2：永达安全系统的实时入侵检测系统。

    各种入侵检测系统的工作原理是基于对系统正常工作下的系统行为的判断，通常情况下两种思路， 一种思路是我们利用知识库存储我们已知的各种漏洞的bit特点图案，对现时的网络流进行检测， 如果发现由某种漏洞的bit特点图案，就做出报警。

    永达也采用了遵循这种思想， 其实时入侵检测系统能够实时获得最新系统入侵病毒库和攻击库，动态地将这些攻击技术的解决方案加入到系统知识库中, 其能够支持1500种以上最新的入侵检测并能够成功阻断这样的攻击行为，比如红色代码。针对各种攻击行为，比如TCP序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库可以实时更新、升级。

    另一种思路是利用统计学方法对系统的未来的行为模式作出预测。并且依据这种预测规定系统中什么样的行为异常， 并在发现异常的情况下报告相应的事件， 供系统处理。
数据挖掘结合永达的工程师定义的准确的的模型， 就可以智能的判断网络中的异常行为。

    这里，需要详细了解政府的工作特点。比如， 每月12日9：00以后进行某些集中的网上学习， 那么这天的这时间段的系统网络行为和操作数据库的行为就是固定的。这些网络的行为特点供数据挖掘使用分析。

3：永达防火墙

    网络安全的最主要方式还是主要依靠物理隔离保证安全， 在新的网络环境下， 物理隔离仍然是系统的最可靠的一道防线。

    单纯依靠技术没有办法有效抵制各种攻击，技术只能做到的保证系统在各种攻击之下的行为不造成严重的后果。达到这个目的的直接而有效的方法， 就是使用防火墙进行隔离， 隔离外网和内网， 隔离业务网和办公网， 隔离安全级别不同的网等等。
这里值得特别一提的是永达独特的DOS防御技术DoS全称是Denial of Service，
中文意思是拒绝服务攻击。常见的拒绝服务攻击有数据包洪水，包括Smurf洪水，TCP SYN洪水，UDP洪水和ICMP洪水， 以及畸形数据包，包括Ping of Death，Chargen，Tear drop，land和WinNuke； 通常这种攻击会导致服务器瘫痪。
由于可以通过使用一些公开的软件进行攻击，它的发动较为简单，同时要防止这种攻击又非常困难。

    但是永达的防火墙系统针对各种DOS攻击做出了防御措施。在信息到达网站服务器之前拦截信息，系统可以根据设置智能化地对访问信息进行检查，来阻挡住Sync Flood, IGMP Nuke, Win Nuke等DoS类型攻击。目前国内同类产品尚无同样功能。在我们的防火墙中以内置有这一个强大防御技术功能而不要用户进行配置。

4：永达linux/windows安全代理

    推荐采用linux安全代理。

    永达Linux安全代理是基于Linux操作系统的一个安全部件，借助智能IC卡、PKI认证体系、本地防火墙、本地流量控制、裁减内核和服务、取消多余终端、限制连接、本地操作控制、对系统的完整性的检查以及安全通讯平台的支撑，从而达到保障系统的完整、可靠及安全的目的。    

5： 永达安全通讯平台

跨多个平台，如Windows 9x， Windows NT，Windows 2000， Linux， HP-UX，IBM-AIX，SCO OpenServer， FreeBSD
支持多种通信模式，
支持LVS集群，
支持通信服务日志功能，
支持节点间通信访问控制功能，
支持断点续传，
还可以对用户数据的完整性进行鉴别，
提供了不同强度的加密， 以在效率和安全之间能取得平衡。

6：永达安全智能管理平台
    基于J2EE架构体系，运行于J2EE服务器之上，是对企业级分布式应用通用部分的抽象及实现。平台本身与具体应用无关，可重复使用。对于不同的操作系统平台采用完全一致的技术架构。

    应用本平台，使得应用的业务逻辑与其它部分（包括应用的显示逻辑和本平台）完全分离，应用消息驱动。平台对应用系统提供统一一致的业务逻辑调度和消息转发接口。通过平台实现应用系统的通讯，安全性，事物处理，数据访问及集群等基本服务，做到应用系统与以上服务无关，便于具体应用采用基本组件开发（BCD）技术，满足快速应用开发（RAD）要求。此外，平台的可重用性有效的保护了开发投资。。

7：永达可信日志服务器和永达安全配置集中管理系统
    作为通用的开发技术， 是永达安全最终产品的有效组成部分， 整个开发中注意了安全问题，所以其健壮性应该是可信的。并且灵活的体系结构有效保证了永达整个安全产品的灵活性，可伸缩性，可扩展性。

8：永达证书管理分发系统：
    对于各个需要和政府的的直接的互连，或者和外部系统的互连，均可以考虑使用永达证书分发系统。

三，总 结

    政府的电子政务工程是百年大计，发展的过程也会面临安全方面的挑战， 解决这些挑战的技术和方法不是一蹴而就的， 是个漫长和艰辛的过程，也没有一劳永逸的解决方案， 所以应该着眼于提供一个细致的，可扩展的系统，永达的解决方案分别从网络层面，操作系统和数据库系统层面， 网络应用层面，数据层面分别作了大量的安全工作，并且其动态知识库， 数据挖掘都为着眼于构件一个灵活的， 可以随未来发展而变化的系统。