1、概述
    随着计算机网络的不断发展,信息产业已经成为人类社会的支柱产业，但由于计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击，所以网上信息的安全和保密是一个至关重要的问题。
    在某部委，近几年随着网络技术的发展，网络应用的普及和丰富，网络安全的问题也日益严重。本项目建设的目标是建立某部委到32个省级单位互联互通的安全的专用广域网络，为该部委计算机信息及业务系统的建设及进一步应用，提供统一的信息传递平台，促进该部委信息化的建设。
2、安全风险分析
   某部委由中央统一领导，由省、市、县的分支单位组织构成，随着信息化建设步伐的加快，建设覆盖全国的大型广域网专网是必然趋势，然而，大型专网将会存在以下的安全风险及安全问题。
2.1、网络结构的合理性
    网络结构的合理性与网络信息安全息息相关，网络的覆盖范围越大，网络所面临的安全风险也会越多，任何安全建设都无法与合理的网络结构脱离，合理的网络结构将便于网络安全的建设和网络安全的管理。
2.2、临时接入的风险
    该部委的网络不是一次建成的，各级单位的内部网络不但要跟上级、下级单位进行连接，有时还要同地方政府或其他部门进行连接，大量临时性的接入线路对整个网络系统的安全带来很大的安全隐患。
2.3、网络边界安全风险
    在各级单位的网络边界，并没有做到充分的安全防护，每一个独立的组织的网络都会面临着来自非信任网络的边界安全威胁。
2.4、信息传递的安全隐患
    在该部委的网络中，各个单位之间的信息传递依赖网络进行，凭借专线或宽带接入的方式形成的广域网传输线路，数据在传输过程中采用明文，数据在传输过程中有可能被窃取、篡改和信息泄密，对数据的安全造成了极大的安全威胁。
2.5、内部网络缺乏防范
    在该部委的网络中，针对内网的安全防范相对缺乏，内网用户由于对系统的了解，其恶意攻击的有效性更强；另外，有很多时候，内网用户的误操作也会带来不可估量的损失，这些都是明显存在的安全隐患。
2.6、集中管理面临挑战
    网络信息安全的构建是由各个安全要素构成的，该部委网络信息系统遍及全国，包括现在的或者是未来的安全产品和安全策略，每一个子网的安全要素加在一起的数量之庞大可想而知，随着应用的推广和普及，各个子网之间的信息交互将会更加频繁，某一个点的安全问题有可能直接影响到全网的安全，所以对每一个子网中的每一个安全要素进行分层次的集中管理十分必要。
2.7、安全管理制度缺乏
    仅仅依靠安全产品是不可能全面实现网络的安全的，一定要有严格的安全管理制度。在该部委并没有明确的关于信息安全的管理制度，没有明确的职责划分、没有明确的操作规范、没有应急响应预案、没有信息安全的考核标准，这些都将对该部委的网络与信息系统的安全带来直接的影响。
3、解决方案
    信息传递过程中的安全问题是该部委网络安全的一个十分重要的问题，从中央到地方，有的是采用专线的接入方式，有的是采用宽带接入方式，无论哪种连接方式，信息在传递过程中的安全都不能得到有效的保证。因为数据传输采用明文方式，如果信息被截取或篡改将造成十分严重的后果，所以采用VPN技术构建的虚拟专用网络对传递的信息进行加密是当务之急。
本方案仅就该部委的VPN网络建设进行简单阐述。

    根据该部委网络互联的实际情况，采用VPN系列产品利用互联网组建覆盖全国的VPN专网，解决其所面临的网络互访、安全保密、网络管理等问题；
  针对全网VPN设备的集中管理提出解决方案；
3.1、设计目标
    所有由某部委发起的通往各省级单位的连接，均进入加密隧道，在穿过互联网时受到加密保护；
    在整个网络系统内部用户只需使用内网地址，即可访问各地的局域网；
    对进出该部委和各省级单位局域网的数据进行访问控制，屏蔽来自互联网的攻击；
    网络内部所有节点可以通过该部委的VPN星形节点实现互相访问，也可以直接进行访问；
    该部委由于其地位的特殊性，要确保其VPN通信的不间断性。

3.2、方案总体设计拓扑

    如上图所示，在某部委部署2台VPN网关做双机负载，两台设备同时工作，同时承担该部委的所有网络流量，当其中一台设备发生故障时，另一台设备承担全部流量；在32个省级单位的网路出口分别部署1台VPN网关，可将各个局域网络系统依托Internet构建成一个虚拟的专有网络系统，其感觉就像专用网络一样，该部委可以统一地规划每个局域网络的IP地址，各个局域网络系统在进行网络互访时，就像同在一个专用网络内一样的方便。
3.3、部委中央机关设计

如上图,在该部委的网络接入口处安装两台VPN网关，配置为双机负载的工作模式，两台设备之间通过心跳线连接，并为其分配静态的公网IP地址，实现该部委与各省级单位的VPN数据通讯的隧道封装和加密处理。网御神州的VPN网关设备具备极高的加密性能和吞吐能力，并兼有功能完善的防火墙模块，工作方式支持状态检测包过滤及其混合方式，支持路由模式和桥模式的数据转发，可防IP地址欺骗、端口扫描，抗DOS/DDOS攻击、IP碎片攻击、SYN攻击、DNS/RIP/ICMP攻击等。
安全策略
Ø所有通往该部委总部的连接，通过加密隧道保护。
Ø所有通往各省机构的连接，通过加密隧道保护。
Ø所有通往互联网的连接，不进入加密隧道，经VPN网关规则过滤后，进入互联网；
Ø所有来自互联网的连接，经VPN网关规则过滤后，进入内网。

3.4、各省级单位设计

    如上面图示，对于各省级单位，在外联网的接口处分别安装1台网御神州VPN网关，实现各省级单位的VPN数据通讯的隧道封装和数据加密处理。安全策略
Ø所有通往中央部委的连接，通过加密隧道保护。
Ø所有通往各省级单位的连接，通过加密隧道保护。
Ø所有通往互联网的连接，不进入加密隧道，经VPN网关规则过滤后，进入互联网。
Ø所有来自互联网的连接，经VPN网关规则过滤后，进入内网。 3.5安全管理规划方案在总部信息中心内，部署1台"VPN安全管理中心"，负责该部委整个VPN环境中VPN设备的证书签发和管理，使得该部委的VPN设备能够以电子证书方式进行身份认证和隧道的建立，并对VPN设备进行集中监控和远程管理；全网的VPN隧道管理十分重要，管理中心一旦宕机，有可能造成全网VPN系统的中断，需要对VPN安全管理中心采用必要的备份措施；安全管理系统部署示意图如下：