隨著中國政務信息化的發展，各級政府都希望能夠經濟合理的搭建一個安全高效的信息化平臺，安徽民政系統長期以來便采用安達通的網絡安全產品，近日則以全省統一部署的形式構建了一個龐大的TPN網絡。安達通是中國信息安全領域的排頭兵之一，對于提升政府的信息化辦公水平有著豐富的研究和經驗。

TPN系統將上網行為管理、內網安全性管理、VPN接入技術及主機行為控制技術融為一體，借助處于網絡邊界位置的TPN安全網關和安裝在每臺主機上的主機威脅引擎的聯動體系，將“本地局域網—遠地局域網—移動接入節點”的資源和安全策略進行統一管理，一體化解決全網的外網訪問威脅、內網安全管理威脅、VPN接入威脅和主機威脅的防護問題，確保全網用戶的網絡平臺可信、可控、可管，又被稱為全網行為管理系統。

在安徽省民政廳的總部使用SJW74-T2000型安全網關作為邊界網關部署在出口，分支機構部署中低端TPN安全網關，構建全網的可信專用網絡平臺，并通過TPN網關和內網主機上部署的主機威脅引擎實現軟硬聯動的安全防御體系，滿足用戶的各項需求。

TPN全網部署示意圖

如上圖所示，在總部接入互聯網的出口處部署安達通的TPN安全網關，在內網個主機上安裝一個主機威脅引擎（TPN客戶端）。由網關和TPN客戶端的實時連動實現對全網行為的監控，并將主機的各種需要被監控的行為實時的上報到TPN日志審計服務器。

內網用戶（包括總部和分之機構）在首次使用時，只需打開IE，輸入網管人員分配的用戶名和密碼，就能自動安裝TPN客戶端，無需網管人員依次安裝，非常方便。完成身份認證后，安全網關對用戶主機進行風險評估檢查，只有達到TPN網絡管理員規定的安全級別，用戶才能夠接入到網絡中，訪問對應權限的網絡資源，以確保各種威脅不被用戶帶進政府內網。

根據上述的安徽省民政廳TPN部署方式，可實現以下激動人心的優異功能：

一、提升政府內網安全性和可用性

（1）防范無意識的由內部員工引入的安全風險

基于“主機風險評估”的“準入控制技術”是安達通在TPN系統中采用的先進技術。TPN系統會對接入內網的主機進行全面的主機安全評估，如果發現主機上存在安全威脅或未達到該接入網絡要求的安全級別，則不允許該主機訪問外網；通過該技術可以確保那些疏于防范的內網主機不能輕易上網，避免將Internet上的木馬、病毒等風險帶進內網；也不會使帶有安全風險的主機將風險通過VPN隧道帶進政府內網，從而確保整個網絡平臺的安全可信。

（2）實名認證，避免非法接入

TPN系統將根據所有合法用戶主機，生成一個“可信域”；其他用戶則被視為“非可信”。可信主機內存放一個只包含所有可信主機的ARP緩存表，所以只能訪問可信用戶，或根據策略訪問網絡資源和VPN資源；而非可信的主機將被視為“非法接入”，無法和政府網絡中的合法可信主機進行通信（即使在同一交換機下），更不能上網。TPN系統還能夠自動識別、定位和記錄非法接入主機的網絡訪問行為。

TPN網關支持多種用戶認證方式，包括：用戶名＋口令、數字證書、USB KEY等。

    （3）虛擬VLAN技術限制內部人員越權訪問

虛擬VLAN功能支持在局域網中劃分邏輯VLAN，在不投入其他硬件設備（如：支持VLAN的交換機）的前提下，滿足不同安全等級或不同組的用戶進行邏輯隔離的需求。例如：虛擬VLAN功能可以把財務室、資料室等重要單位的主機單獨隔離到一個虛擬VLAN，這樣就在不增加額外投入的情況下，確保重要資料的安全。

    （4）防范內網病毒泛濫，確保網絡穩定可靠

TPN的防ARP欺騙功能，是在主機登陸TPN系統后，在可信域中發布該可信IP/MAC表，使所有主機的中間層驅動綁定真實的IP/MAC列表，使ARP欺騙無空可鉆。同時TPN網關進行定期的ARP欺騙檢測，以保證內網的穩定性和可用性；TPN系統的主機微引擎CTE也會自動檢測ARP欺騙并主動報警和上報網關。 

紅色代碼、沖擊波等洪流病毒的爆發，將會使中毒主機在短時間內發送大量數據包文，嚴重影響網絡和其他主機的正常通信。TPN系統并不是針對某種病毒的代碼特征進行阻斷和分析，而是專門針對主機行為模式的流量異常檢測和對網絡洪流爆發的判斷，做到準確快速。

二、提升政府機關的形象

個別辦事窗口政府工作人員，工作時間使用與工作無關的各種軟件，不僅影響工作效率，而且對政府機構的形象也很大影響。對此TPN系統可采用了多種安全技術，合理控制工作人員的網絡行為。

具體為以下幾種方式：

（1）禁用程序管控。TPN安全網關對常用需管控的程序進行了分類，包括：遠程管理類、P2P/下載類、網絡聊天類、游戲類、炒股類、代理軟件類等。用戶可以根據自己的實際情況，禁止在工作時間使用哪些軟件。如果在TPN網關上設置了某個軟件禁用，該軟件將不會在主機端執行。例如禁止工作時間使用QQ。

值得一提的是，TPN的“程序管控”功能和和傳統的UTM防火墻有著本質的區別，TPN依靠TPN客戶端實時檢測用戶主機端的各種程序的運行狀態，直接從主機端控制用戶程序的使用權限，可以很好避免UTM防火墻在網關上處理此類作業而消耗大量性能，而且TPN的處理方式更靈活，幾乎可以管控任何程序。

（2）URL訪問控制。TPN安全網關提供HTTP網址的URL過濾和異常URL檢測功能。對于URL網址和關鍵詞，TPN提供白名單和黑名單兩種方式對HTTP數據進行過濾，并可根據用戶不同區別靈活對待；對于有異常長度和包含異常代碼的URL，TPN提供檢測和過濾的功能。因此，可以將與工作相關的網址設置成一個白名單，工作時間只允許訪問該白名單中包含的網頁，其他時間不做限制。這樣達到禁止工作時間瀏覽與工作無關網頁的目的。

（三）防范公務人員不當言論

公務人員的某些不當言論，會給民眾帶來不好的影響，甚至是引起法律問題，TPN采用完善的日志審計手段來解決這個問題。

通過和TPN安全網關配套的“網絡行為審計”軟件，可以實時接收并分析來自全網所有TPN網關的大量日志和數據，并提供各式各樣的網絡行為審計圖表和報表供網管員及其相關人員使用。可以實現實名審計、威脅報告審計、系統日志審計、URL訪問審計、特權客戶端功能和內容審計，功能齊全性能優異。

（四）實現政務機構的VPN安全互聯

VPN（虛擬專用網）是指通過公共網絡建立私有數據傳輸通道（即隧道），將遠程的分支機構、商業伙伴、移動辦公用戶等安全連接起來的一種專用網絡技術。對于政府機構而言， VPN可以替代傳統租用線來連接計算機或局域網等。政府機構只需要租用本地的數據專線，連接上本地的公網，各地的機構就可以互相傳遞信息；使用VPN有節省成本、提供遠程訪問、擴展性強、便于管理和實現全面控制等好處。 

（1）全面集成VPN技術。TPN系統具備IPSec/SSL二合一、移動加速、虛地址互聯、自動路由，雙網隔離等安達通專有的各種VPN技術，充分分享安達通VPN領域的領先成就。

（2）VPN準入控制。VPN接入用戶接入到總部后，首先需要通過TPN安全網關的風險評估檢查。如果接入用戶的機器上運行有惡意程序（如：木馬、病毒等）或沒有達到管理員規定的安全級別，TPN網關會阻止該VPN用戶的接入。只有達到TPN網絡管理員規定的安全級別，VPN接入用戶才能夠順利接入到總部，以確保各種威脅不會被VPN用戶帶進內網。

（2）Qos功能——確保語音暢通。利用安全網關的Qos功能，能夠為特殊的網絡應用和IP地址/范圍保留網絡帶寬，調整這些網絡任務的優先級別。特別適合與VOIP、VOD等語音、視頻應用結合使用。