【正文】 訪與隔離，從而組成不同的VPN。本系統(tǒng)中我們規(guī)定所有VPN實(shí)例都只發(fā)布自己的RT，只引入自己VPN的和自己需要關(guān)聯(lián)的VPN的RT。盂縣電子政務(wù)外網(wǎng)工程中采用RT值的格式：16位自治系統(tǒng)號:32位用戶自定義數(shù)字，如下表所示（ASN由市統(tǒng)一分配）：VPN名稱站點(diǎn)Export RTImport RT橫向訪問VPN數(shù)據(jù)交換中心ASN:2ASN:101．．．．．．ASN:6001各委辦局前置機(jī)ASN:101．．．．．．ASN:6001ASN:2垂直縱向VPN委辦局一ASN:110199ASN:110199．．．．．．委辦局六十ASN:60106099ASN:60106099互聯(lián)網(wǎng)VPN互聯(lián)網(wǎng)ASN:1ASN:1 IP地址規(guī)劃方案盂縣電子政務(wù)外網(wǎng)的IP地址規(guī)劃由陽泉市統(tǒng)一分配地址段后再做詳細(xì)規(guī)劃。IP地址規(guī)劃原則政務(wù)外網(wǎng)IP地址原則主要包括：l IP地址規(guī)劃主要涉及到網(wǎng)絡(luò)資源利用的方便有效的管理網(wǎng)絡(luò)的問題，Internet IP地址相對緊張的情況下，合理有效的利用IP地址成為IP地址規(guī)劃的主要問題，合理的IP地址規(guī)劃是有利于網(wǎng)絡(luò)管理的；l IP地址的合理分配是保證網(wǎng)絡(luò)順利運(yùn)行和網(wǎng)絡(luò)資源有效利用的關(guān)鍵。對于外網(wǎng)廣域骨干網(wǎng)IP地址的分配應(yīng)該盡可能地利用國家政務(wù)外網(wǎng)工程辦分配的合法地址空間，充分考慮到地址空間的合理使用，保證實(shí)現(xiàn)最佳的網(wǎng)絡(luò)內(nèi)地址分配及業(yè)務(wù)流量的均勻分布；l IP地址的規(guī)劃與劃分應(yīng)該考慮到網(wǎng)絡(luò)的后續(xù)規(guī)模和業(yè)務(wù)上的發(fā)展，能夠滿足未來發(fā)展的需要；即要滿足本期工程對IP地址的需求，同時(shí)要充分考慮未來業(yè)務(wù)發(fā)展，預(yù)留相應(yīng)的地址段；l IP地址的分配需要有足夠的靈活性，能夠滿足各種用戶接入需要；l 地址分配是由業(yè)務(wù)驅(qū)動，按照業(yè)務(wù)量的大小分配各地的地址段；l IP地址的分配必須采用VLSM(變長掩碼)技術(shù)，保證IP地址的利用效率；l 采用CIDR技術(shù)，這樣可以減小路由器路由表的大小，加快路由器路由的收斂速度，也可以減小網(wǎng)絡(luò)中廣播的路由信息的大??；l 充分合理利用已申請的地址空間，提高地址的利用效率；l IP地址規(guī)劃應(yīng)該是電子政務(wù)外網(wǎng)廣域骨干整體規(guī)劃的一部分，即IP地址規(guī)劃要和網(wǎng)絡(luò)層次規(guī)劃、路由協(xié)議規(guī)劃、流量規(guī)劃等結(jié)合起來考慮。IP地址的規(guī)劃應(yīng)盡可能和網(wǎng)絡(luò)層次相對應(yīng)，應(yīng)該是自頂向下的一種規(guī)劃； QoS實(shí)施方案網(wǎng)絡(luò)的QoS需求為了保證政務(wù)外網(wǎng)關(guān)鍵應(yīng)用的網(wǎng)絡(luò)帶寬，將對應(yīng)用按重要等級進(jìn)行分類，在網(wǎng)絡(luò)上，實(shí)現(xiàn)對不同等級的應(yīng)用提供優(yōu)先權(quán)不同的質(zhì)量服務(wù)。QoS策略的制定實(shí)施QoS的根本目的是確保網(wǎng)絡(luò)的各類信息能夠及時(shí)獲得所需要的網(wǎng)絡(luò)帶寬。針對政務(wù)外網(wǎng)信息流的內(nèi)容及特點(diǎn)，制定如下的QoS策略:1. 重要業(yè)務(wù)數(shù)據(jù)要給予最高優(yōu)先級保證，在任何情況下都要確保業(yè)務(wù)數(shù)據(jù)及時(shí)可靠地傳送。2. Voice over IP（VoIP）流量占用帶寬不大，但對延遲極為敏感，也給予較高優(yōu)先級保證。3. EMail流量，屬于一種數(shù)據(jù)傳輸業(yè)務(wù)，其對延時(shí)并不敏感，但是不允許數(shù)據(jù)丟失，將其定義為次高優(yōu)先級。4. 其它需要定義為高優(yōu)先級的業(yè)務(wù)。5. FTP等屬于非業(yè)務(wù)的數(shù)據(jù)流量，其數(shù)據(jù)包最長，對延時(shí)并不敏感，但是不允許數(shù)據(jù)丟失，將其定義為普通優(yōu)先級。6. 所有未定義的流量則被置為最低優(yōu)先級。 盂縣電子政務(wù)外網(wǎng)安全防護(hù)方案做為宏觀調(diào)控的重要部分，外網(wǎng)承載著互聯(lián)網(wǎng)訪問窗口、對公眾提供信息化交互服務(wù)。此次建設(shè)總體的安全體系將按照三級的規(guī)范來制定。外網(wǎng)的安全等級的要求比較基礎(chǔ)，根據(jù)《信息安全等級保護(hù)評測準(zhǔn)則》的安全等級保護(hù)規(guī)范，外網(wǎng)規(guī)劃整體按照“三級”進(jìn)行建設(shè)。在評測標(biāo)準(zhǔn)中，涉及到安全技術(shù)評測和安全管理評測。其中安全技術(shù)評測涵蓋5個方面：物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全。本部分將涉及到網(wǎng)絡(luò)安全和主機(jī)系統(tǒng)安全。網(wǎng)絡(luò)安全是安全等級保護(hù)落實(shí)的基礎(chǔ)，其中包括了防攻擊、增加安全策略、設(shè)定每個管理系統(tǒng)的身份認(rèn)證等。結(jié)合三級等級保護(hù)的要求，網(wǎng)絡(luò)安全要求如下表：測評要求解決方案結(jié)構(gòu)安全與網(wǎng)段劃分a) 網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力應(yīng)具備冗余空間，要求滿足業(yè)務(wù)高峰期需要；雙核心、高性能設(shè)備互為冗余備份；核心身份認(rèn)證系統(tǒng)采用雙機(jī)熱備b) 應(yīng)設(shè)計(jì)和繪制與當(dāng)前運(yùn)行情況相符的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖；通過網(wǎng)絡(luò)管理軟件進(jìn)行繪制并美化c) 應(yīng)根據(jù)機(jī)構(gòu)業(yè)務(wù)的特點(diǎn)，在滿足業(yè)務(wù)高峰期需要的基礎(chǔ)上，合理設(shè)計(jì)網(wǎng)絡(luò)帶寬；采用具備千兆或萬兆為主干的鏈路d) 應(yīng)在業(yè)務(wù)終端與業(yè)務(wù)服務(wù)器之間進(jìn)行路由控制建立安全的訪問路徑；通過訪問控制及路由控制進(jìn)行路徑的隔離e) 應(yīng)根據(jù)各部門的工作職能、重要性、所涉及信息的重要程度等因素，劃分不同的子網(wǎng)或網(wǎng)段，并按照方便管理和控制的原則為各子網(wǎng)、網(wǎng)段分配地址段；實(shí)施時(shí)將嚴(yán)格對不同工作職能等的工作部門進(jìn)行不同子網(wǎng)的分配f) 重要網(wǎng)段應(yīng)采取網(wǎng)絡(luò)層地址與數(shù)據(jù)鏈路層地址綁定措施，防止地址欺騙；通過部署具備防地址欺騙的接入安全交換機(jī)實(shí)現(xiàn)g) 應(yīng)按照對業(yè)務(wù)服務(wù)的重要次序來指定帶寬分配優(yōu)先級別，保證在網(wǎng)絡(luò)發(fā)生擁堵的時(shí)候優(yōu)先保護(hù)重要業(yè)務(wù)數(shù)據(jù)主機(jī)。在安全交換機(jī)上啟用QOS實(shí)現(xiàn)網(wǎng)絡(luò)訪問控制a) 應(yīng)能根據(jù)會話狀態(tài)信息（包括數(shù)據(jù)包的源地址、目的地址、源端口號、目的端口號、協(xié)議、出入的接口、會話序列號、發(fā)出信息的主機(jī)名等信息，并應(yīng)支持地址通配符的使用），為數(shù)據(jù)流提供明確的允許/拒絕訪問的能力；通過部署具備高級訪問控制列表的接入安全交換機(jī)實(shí)現(xiàn)b) 應(yīng)對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾，實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、POP3等協(xié)議命令級的控制；通過部署具備高級訪問控制列表的接入安全交換機(jī)實(shí)現(xiàn)c) 應(yīng)依據(jù)安全策略允許或者拒絕便攜式和移動式設(shè)備的網(wǎng)絡(luò)接入；通過部署安全準(zhǔn)入系統(tǒng)，杜絕不注冊用戶和終端的網(wǎng)絡(luò)接入d) 應(yīng)在會話處于非活躍一定時(shí)間或會話結(jié)束后終止網(wǎng)絡(luò)連接；由應(yīng)用系統(tǒng)實(shí)現(xiàn)e) 應(yīng)限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。通過防火墻、流量控制設(shè)備等安全設(shè)備實(shí)現(xiàn)撥號訪問控制a) 應(yīng)在基于安全屬性的允許遠(yuǎn)程用戶對系統(tǒng)訪問的規(guī)則的基礎(chǔ)上，對系統(tǒng)所有資源允許或拒絕用戶進(jìn)行訪問，控制粒度為單個用戶；通過部署安全準(zhǔn)入系統(tǒng)，對每一個遠(yuǎn)程用戶進(jìn)行分類訪問控制（通過局域網(wǎng)出口設(shè)備或其他設(shè)備）b) 應(yīng)限制具有撥號訪問權(quán)限的用戶數(shù)量；通過局域網(wǎng)出口設(shè)備或其他設(shè)備c) 應(yīng)按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許用戶對受控系統(tǒng)進(jìn)行資源訪問。通過部署安全準(zhǔn)入系統(tǒng)，設(shè)置嚴(yán)格的訪問規(guī)則網(wǎng)絡(luò)安全審計(jì)a) 應(yīng)對網(wǎng)絡(luò)系統(tǒng)中的網(wǎng)絡(luò)設(shè)備運(yùn)行狀況、網(wǎng)絡(luò)流量、用戶行為等進(jìn)行全面的監(jiān)測、記錄；通過部署網(wǎng)管系統(tǒng)實(shí)現(xiàn)設(shè)備狀態(tài)檢測，通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)用戶行為審計(jì)b) 對于每一個事件，其審計(jì)記錄應(yīng)包括：事件的日期和時(shí)間、用戶、事件類型、事件是否成功，及其他與審計(jì)相關(guān)的信息；通過架設(shè)syslog服務(wù)器與防火墻對接獲取日志，通過網(wǎng)管和準(zhǔn)入系統(tǒng)的日志系統(tǒng)、以及IDS實(shí)現(xiàn)c) 安全審計(jì)應(yīng)可以根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；同上d) 安全審計(jì)應(yīng)可以對特定事件，提供指定方式的實(shí)時(shí)報(bào)警；利用網(wǎng)管系統(tǒng)、入侵檢測系統(tǒng)、安全準(zhǔn)入系統(tǒng)的告警功能實(shí)現(xiàn)e) 審計(jì)記錄應(yīng)受到保護(hù)避免受到未預(yù)期的刪除、修改或覆蓋等。管理員人工保留實(shí)現(xiàn)邊界完整性檢查a) 應(yīng)能夠檢測內(nèi)部網(wǎng)絡(luò)中出現(xiàn)的內(nèi)部用戶未通過準(zhǔn)許私自聯(lián)到外部網(wǎng)絡(luò)的行為（即“非法外聯(lián)”行為）；通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)非法外聯(lián)的檢測和報(bào)告b) 應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到網(wǎng)絡(luò)的行為進(jìn)行檢查，并準(zhǔn)確定出位置，對其進(jìn)行有效阻斷；通過安全準(zhǔn)入系統(tǒng)所屬客戶端軟件進(jìn)行阻斷c) 應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢測后準(zhǔn)確定出位置，并對其進(jìn)行有效阻斷。通過安全準(zhǔn)入系統(tǒng)所屬客戶端軟件進(jìn)行阻斷網(wǎng)絡(luò)入侵防范a) 應(yīng)在網(wǎng)絡(luò)邊界處應(yīng)監(jiān)視以下攻擊行為：端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊、網(wǎng)絡(luò)蠕蟲攻擊等入侵事件的發(fā)生；部署IDS實(shí)現(xiàn)b) 當(dāng)檢測到入侵事件時(shí)，應(yīng)記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警。部署IDS實(shí)現(xiàn)惡意代碼防范a) 應(yīng)在網(wǎng)絡(luò)邊界及核心業(yè)務(wù)網(wǎng)段處對惡意代碼進(jìn)行檢測和清除；邊界防火墻實(shí)現(xiàn)b) 應(yīng)維護(hù)惡意代碼庫的升級和檢測系統(tǒng)的更新；邊界防火墻實(shí)現(xiàn)c) 應(yīng)支持惡意代碼防范的統(tǒng)一管理。邊界防火墻實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備防護(hù)a) 應(yīng)對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別；通過設(shè)置網(wǎng)絡(luò)設(shè)備落實(shí)b) 應(yīng)對網(wǎng)絡(luò)上的對等實(shí)體進(jìn)行身份鑒別；通過設(shè)置網(wǎng)絡(luò)設(shè)備落實(shí)c) 應(yīng)對網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制；通過設(shè)置網(wǎng)絡(luò)設(shè)備落實(shí)d) 網(wǎng)絡(luò)設(shè)備用戶的標(biāo)識應(yīng)唯一；通過設(shè)置網(wǎng)絡(luò)設(shè)備落實(shí)e) 身份鑒別信息應(yīng)具有不易被冒用的特點(diǎn)，例如口令長度、復(fù)雜性和定期的更新等；通過設(shè)置網(wǎng)絡(luò)設(shè)備落實(shí)f) 應(yīng)對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；通過設(shè)置網(wǎng)絡(luò)設(shè)備落實(shí)g) 應(yīng)具有登錄失敗處理功能，如結(jié)束會話、限制非法登錄次數(shù)，當(dāng)網(wǎng)絡(luò)登錄連接超時(shí)，自動退出；通過設(shè)置網(wǎng)絡(luò)設(shè)備落實(shí)h) 應(yīng)實(shí)現(xiàn)設(shè)備特權(quán)用戶的權(quán)限分離，例如將管理與審計(jì)的權(quán)限分配給不同的網(wǎng)絡(luò)設(shè)備用戶。通過設(shè)置網(wǎng)絡(luò)設(shè)備落實(shí) 主機(jī)系統(tǒng)安全 主機(jī)系統(tǒng)安全主要考量的是用戶主機(jī)的安全，通過設(shè)置操作系統(tǒng)的訪問控制、審計(jì)策略即能實(shí)現(xiàn)大部分要求。三級等級保護(hù)要求如下表：測評要求解決方案身份鑒別通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)自主訪問控制通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)強(qiáng)制訪問控制通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)安全審計(jì)通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)系統(tǒng)保護(hù)通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)入侵防范通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)惡意代碼防范通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)資源控制通過安全準(zhǔn)入系統(tǒng)實(shí)現(xiàn)在盂縣電子政務(wù)外網(wǎng)一期項(xiàng)目中，骨干網(wǎng)絡(luò)主要是縣級的廣域網(wǎng)，由路由器構(gòu)成。根據(jù)網(wǎng)絡(luò)安全的防護(hù)原則，網(wǎng)絡(luò)的防護(hù)是從邊緣進(jìn)行，在核心層主要是提供快速路由和交換平臺，因此，骨干網(wǎng)絡(luò)區(qū)域通過MPLS VPN區(qū)分業(yè)務(wù)，而不進(jìn)行安全設(shè)備防護(hù)。 城域網(wǎng)安全設(shè)計(jì)城域網(wǎng)安全涉及各接入單位的入網(wǎng)安全。在各委辦局單位接入縣級城域網(wǎng)時(shí)，應(yīng)對接入安全進(jìn)行適當(dāng)考慮。但因接入單位的接入點(diǎn)數(shù)量巨大，接入方式多樣，因此應(yīng)在在資金允許的情況下，在實(shí)際接入的時(shí)候結(jié)合網(wǎng)絡(luò)接入設(shè)備， 做好安全防護(hù)?？h城域網(wǎng)是盂縣電子政務(wù)外網(wǎng)的核心平臺，構(gòu)成了各委辦局接入電子政務(wù)外網(wǎng)的骨干。由于縣城域網(wǎng)屬于網(wǎng)絡(luò)骨干，城域網(wǎng)安全涉及各接入單位的入網(wǎng)安全。在各委辦局單位接入省、市、縣級城域網(wǎng)時(shí)，應(yīng)對接入安全進(jìn)行適當(dāng)考慮。但因接入單位的接入點(diǎn)數(shù)量巨大，接入方式多樣，因此應(yīng)在在資金允許的情況下，在實(shí)際接入的時(shí)候結(jié)合網(wǎng)絡(luò)接入設(shè)備， 做好安全防護(hù)。安全防護(hù)的需求主要體現(xiàn)在以下幾點(diǎn)：l 用戶身份管理體系，通過與網(wǎng)絡(luò)交換機(jī)的聯(lián)動，實(shí)現(xiàn)了對于用戶訪問網(wǎng)絡(luò)的身份的控制。同時(shí)，可以采用用戶名、密碼、用戶IP、用戶MAC、認(rèn)證交換機(jī)IP、認(rèn)證交換機(jī)端口號等多達(dá)6個元素的靈活綁定，來保障用戶的身份正確性，更可以根據(jù)用戶身份的不同，來給用戶賦予靈活的網(wǎng)絡(luò)權(quán)限訪問控制。l 端點(diǎn)防護(hù)體系在全局安全網(wǎng)絡(luò)體系中，用戶完成了身份認(rèn)證之后，將進(jìn)行主機(jī)端點(diǎn)防護(hù)的檢測和修復(fù)，簡單的說，就是對用戶用來上網(wǎng)的計(jì)算機(jī)的健康情況進(jìn)行檢測，檢測內(nèi)容包括用戶的軟件安裝情況、用戶的進(jìn)程啟用情況、用戶的后臺服務(wù)運(yùn)行情況、用戶的注冊表關(guān)鍵鍵值情況、用戶的Windows補(bǔ)丁更新情況、用戶的防病毒軟件運(yùn)行情況，甚至用戶的外連接口（光驅(qū)、軟驅(qū)、USB接口等）啟用情況。通過對這些元素的檢測，有效的保障了用戶的主機(jī)的健康性，避免中毒的主機(jī)進(jìn)入網(wǎng)絡(luò)帶來病毒的瘋狂傳播，也及時(shí)的補(bǔ)全了主機(jī)的漏洞，避免用戶入網(wǎng)后遭到別的主機(jī)的攻擊。在對用戶的主機(jī)健康情況檢測完成后，還能夠根據(jù)制定好的策略對用戶進(jìn)行自動修復(fù)，來完善用戶的主機(jī)健康情況。l 網(wǎng)絡(luò)通信防護(hù)體系用戶在完成了身份認(rèn)證和主機(jī)端點(diǎn)防護(hù)之后，就可以接入網(wǎng)絡(luò)了，但用戶在網(wǎng)絡(luò)中的行為依然受到全局安全網(wǎng)絡(luò)系統(tǒng)的管理和規(guī)范。通過與專業(yè)入侵檢測設(shè)備IDS的聯(lián)動，可以對用戶的網(wǎng)絡(luò)流量進(jìn)行分析，并通過內(nèi)置的安全事件庫對網(wǎng)路安全事件進(jìn)行及時(shí)的檢測和上報(bào)，并通過后臺系統(tǒng)的聯(lián)動處理來自動的處理發(fā)生的網(wǎng)絡(luò)安全事件。l 端到端安全訪問通道針對傳統(tǒng)解決方案安全域粗粒度劃分，數(shù)據(jù)在終端接入?yún)^(qū)域有交叉的問題，此次在辦公局域網(wǎng)采用MPLS VPN技術(shù)，針對不同業(yè)務(wù)的資源服務(wù)器及相關(guān)部門的終端機(jī)進(jìn)行不同MPLS VPN的劃分，將相關(guān)資源服務(wù)器及相關(guān)主機(jī)與非相關(guān)業(yè)務(wù)及主機(jī)進(jìn)行邏輯隔離，以克服終端接入?yún)^(qū)數(shù)據(jù)交叉帶來的安全隱患問題。終端在訪問應(yīng)用系統(tǒng)時(shí)，在接入交換機(jī)上即被劃分在相應(yīng)的VRF中，使該邏輯網(wǎng)絡(luò)中僅存在該終端和該應(yīng)用系統(tǒng)兩個主體，從而避免了數(shù)據(jù)交叉的問題。l 安全系統(tǒng)訪問權(quán)限劃分傳統(tǒng)解決方案在對應(yīng)用系統(tǒng)訪問做授權(quán)時(shí)，采用的是應(yīng)用層授權(quán)的方式，即通過用戶的賬號及密碼來決定是否可以獲取相關(guān)的資源，沒有相關(guān)權(quán)限的用戶則無法獲取權(quán)限以外的資源。但這種方式在應(yīng)用層面解決授權(quán)問題時(shí)，忽略了非授權(quán)用戶也可以在網(wǎng)絡(luò)層面訪問服務(wù)器，這樣存在對服務(wù)器造成網(wǎng)絡(luò)攻擊的可能性。針對傳統(tǒng)安全域解決方案中對于用戶身份認(rèn)證及授權(quán)存在的漏洞，需在數(shù)據(jù)鏈路層進(jìn)行認(rèn)證，通過認(rèn)證的賬戶在入網(wǎng)時(shí)就確定了身份，確定了身份也就隨之確定了可以到達(dá)網(wǎng)絡(luò)的權(quán)限，即使在同一個MPLS VPN中，也嚴(yán)格區(qū)分了針對不同等級安全域的訪問權(quán)限。真正做到了依照身份管理，依照應(yīng)用授權(quán)。認(rèn)證后由網(wǎng)絡(luò)設(shè)備直接隔離用戶和業(yè)務(wù)系統(tǒng)，不再依靠業(yè)務(wù)系統(tǒng)自身實(shí)現(xiàn)。即使非法用戶知道敏感信息的位置，但是該非法用戶無法嗅探到該服務(wù)器的存在。l 同一時(shí)間訪問單一安全域傳統(tǒng)解決方案中，用戶終端可以訪問自己所屬部門的資源服務(wù)器，同時(shí)也可以通過Internet出口訪問，這樣存在非常嚴(yán)重的安全隱患，一旦終端用戶被互聯(lián)網(wǎng)黑客植入木馬，則黑客可通過“肉雞”主機(jī)竊取高等級安全域中的信息數(shù)據(jù)。針對網(wǎng)