政务信息化建设从20世纪80年代末开始起步，经历了从单机到联网、从分散到集成、从办公自动化到政务信息化三个发展阶段。互联网作为政府与公众、企业的交互窗口，由于其开放性，对于政府的安全建设就提出了更高的要求，那么在互联网出口我们应该如何实现有效的安全防护并进一步优化互联网传输。

面临的挑战

1、接入网络的挑战

A、互联网出口的挑战

（1）P2P应用大量侵占带宽，导致基于互联网访问业务（如门户网站、重要办公系统）带宽被挤压，导致访问质量差，领导抱怨多；

（2）政府内部人员访问非法网站，形成法律风险，如何杜绝，并事后追溯；

（3）互联网安全风险众多，如危险插件、恶意网站等，一旦终端感染木马病毒，极易扩散到政务外网，造成信息泄漏。

B、多互联网出口的挑战

（1）在多条互联网线路情况下，如何让公众选择更快的接入线路访问各政府门户网站，提高公众用户体验，实现政务信息的快速传递；

（2）当一条线路出现故障时如何无缝切换，不影响公众访问门户网站。

2、用户接入的挑战

A、统一接入访问的挑战

（1）随着今年智能手机的普及，如何在不改变现有业务系统架构情况下实现办公系统无缝迁移到智能终端上，如移动审批、移动执法等业务需要；

（2）政府内部的大量业务系统需要实现移动办公，如何保证安全接入；

（3）各基层单位街道办、居委会需要与各委办局进行交互，需要使用不同终端接入不同的委办局，而且需要记忆不同的业务系统账号，如何在信息中心实现各街道办、居委会统一门户接入，但同时实现各委办局数据传输有效隔离。

3、业务系统访问的挑战

A、门户网站及业务系统可靠性的挑战

（1）当门户网站和业务系统采用多台服务器承载，需要实现动态负载，保证系统访问高可靠性；

（2）当用户访问量激增时，如何平稳负载，保证公众访问流畅性；

（3）由于内部服务器众多，如何实现对于服务器状态的应用层监控，根据服务器状态随时调整接入访问策略。

B、系统安全防护挑战

（1）网站被挂马或遭篡改，造成经济损失，带来负面影响；

（2）应用层攻击层出不穷，如SQL注入、XSS跨站脚本、OS命令注入、CSRF攻击等加大WEB安全风险；

（3）口令爆破、弱口令探测、应用信息探测、非法上传威胁文件等造成内部系统数据泄漏。

深信服互联网统一安全优化方案

部署拓扑

方案说明：

（1）针对统一互联网管控可采用深信服上网行为管理方案，实现统一带宽管理，对所有互联网访问行为审计，做到溯源可控，同时对互联网访问的恶意网站、代码、脚本等进行过滤，保证上网安全；

（2）针对互联网多链路情况，可采用深信服应用交付实现入站和出站双向链路负载，保证公众用户访问体验，同时可做链路主备切换，同时实现内部用户快速上网；

（3）通过深信服SSL VPN实现所有政府用户统一安全接入访问，通过SSL VPN实现统一权限划分，即各委办局接入后只能访问自己的系统，实现不同政府单位访问各自的对外办公系统，实现统一移动办公。同时针对各居委会、街道办的基层人员访问可采用深信服SSL VPN实现统一门户，所有业务系统单点登录，方便基层人员快速办公，提高效率。针对智能手机接入访问，可采用EasyConnect，实现IOS、Andriod系统安全平滑访问内部办公系统；

（4）为了保证门户网站和内部业务系统的可靠性，采用应用交付实现服务器负载，实现所有访问请求自动负载，保证公众用户访问流畅性，同时借助服务器健康检查（包括应用层健康检查）保证服务器可靠性，防止访问中断；

（5）针对门户网站的安全防护以及业务系统安全，可采用深信服下一代防火墙，实现网页防篡改，应用层安全漏洞和攻击防范，同时实现应用层攻击防范，保证系统安全。

方案价值

（1）通过深信服上网行为管理实现带宽合理划分，溯源审计防范法律风险，安全过滤修复上网安全短板，提高上网安全；

（2）通过深信服应用交付实现多条互联网线路自动选择，保证用户更快接入体验；

（3）通过深信服SSL VPN实现电脑、智能手机统一安全接入访问，统一权限划分，统一管理；

（4）通过深信服应用交付保证门户网站和业务系统高可靠性；

（5）通过深信服下一代防火墙实现门户网站和业务系统安全防护，同时实现各级网络出口处作异常流量清洗，保证网络出口安全，实现L2-L7一体化安全防护。