用户需求:
    在经济和信息全球化迅猛发展的大背景下，电子政务已经成为提升一个国家或地区综合竞争力的重要因素之一。因此，建设电子网络政府、推动电子政务发展，已经成为电子信息技术应用到政府管理的必然趋势。电子政务也必将在经济社会发展中发挥重要的作用。
    但是以Internet网为主体的信息高速公路的迅猛发展，正以前所未有的速度和能力改变着人们的生活和工作方式，我们真正处于一个“信息爆炸”的时代。一方面，Internet网使得人们能够跨越时空的限制，为学习、生活和工作带来空前的便利；另一方面，面对信息的汪洋大海，人们往往感到无所适丛，出现“信息迷向”的现象。特别是，Internet网是一个无国界的虚拟信息社会，现实社会中的各种问题都会在Internet网上通过电子手段予以重现，信息犯罪愈演愈烈。网络安全问题变得越来越重要。信息安全问题不仅仅涉及到国家的经济安全、金融安全，还涉及到国家的国防安全、政治安全和文化安全。
    政务用户目前网络状况仍然面临着下面几方面的需求和挑战：

需求特点：
1.确保政务网络安全性和可用性需求
    根据信息安全主管部门调查结果：来自内部的安全威胁占整个比例的85%，而来自外网的黑客攻击仅仅占到5% ；我国著名信息安全专家沈昌祥院士研究认为：80%的信息安全事故为内部人员和内外勾结所为，而且呈上升的趋势。因此我们应该以 “防内为主、内外兼防”的模式，从提高政府网络的内部自身安全着手，构筑积极、综合的安全防护系统。
    调查结果和专家的研究都表明，要保证政务用户计算机信息网络的安全，不能仅仅将目光盯在防范外部对计算机信息网络的各种途径的入侵上面，更加需要防范计算机信息网络内部自身的安全！

◎防范内部工作人员的无意识导致的安全风险
   部分工作人员不遵守单位的网络安全制度，主机上不安装杀毒软件、防火墙或不及时更新杀毒软件的病毒库，导致上网误中病毒、木马。这种由于内部人员不注意安全细节，将外网威胁带到内网，极易引起内网的病毒泛滥。

◎缺乏内网接入的身份认证机制造成的安全风险
   很多政务单位，他们的工作人员接入内网无需认证，IP地址也是由网关自动下发，工作人员在内网的各种行为，实质上是一种无监管状态。因为根本无法确认内网的肇事主机的身份，是单位内部人员还是外来访客，这种情况下一旦发生某个主机发起内网攻击或者非法访问单位敏感资源的事件，将无法定位指控相关责任人。

◎内网病毒泛滥导致网络不稳定应用无法运行
   随着现在政务信息化的不断发展，每个政务单位都有自己较为完备的信息化网络体系，在这个网络中，不仅主机接入数量多、提供应用的服务器多且管理相对复杂。一旦出现像ARP病毒攻击和内网洪流病毒攻击，将会给现有的网络体系带来很大的麻烦：

※  内部主机访问Internet经常掉线
※  内网服务器请求不响应
※  内部信息被无故窃取
※  内网网络堵塞，企业交换机当机等；

2.政府机关形象提升需求
       作为政府机关，很多部门是的面向老百姓的办事窗口，在这些部门工作的人员，他们的一言一行都代表着党和政府的形象，如果我们一些行为不注重民意，造成对老百姓的感情的伤害，那对政府的形象是影响很大的。不久前，多个电视媒体都曝光了，某政府机关的对外办事窗口工作人员，上班时间在电脑上聊天、玩游戏，给群众极其不好的印象。
    为此相关部门出台了工作人员上班时间上网行为相关的规定，在上班时间要求工作人员的上网行为做了明确规定。

3.防范公务人员的不当言论避免法律风险需求
    不久前的“华南虎照片事件”发生后，在公众对虎照产生广泛质疑后，在陕西省政府明令禁止公务人员参与争论炒作的情况下，个别工作人员仍开设博客参与争论并发表不当言论，加剧了舆论的关注程度，造成恶劣的社会影响，造成民众对政府严重的信任危机。
    为了避免工作人员使用网络不会有意或无意的浏览或发表一些过激或敏感言论的帖子、访问一些反动色情的网站，我们要能够对上网内容过滤和审计，对上网信息进行记录存储，并对其进行定位。

4.电子政务VPN联网需求
    随着各级政府机构在信息化建设上的投入，各个系统的政务单位的办公网络平台都已经颇具规模。如何更好的利用现有廉价便捷的Intenet网，使我们的政务网络能够更加安全方便的给我们提供信息沟通服务。利用VPN技术实现各个机构之间的安全信息互通，将是解决政务机构异地安全互联需求的最优方案。
    采用VPN技术，可以实现政务系统的各种B/S或C/S应用，另外像VOIP，视频会议等增值业务也可以运行，不仅提高的政府通信的安全性和便捷性，同时也大大降低了政府的各方面费用开支。


应用特点：
1.提升政府内网安全性和可用性
针对前面需求中提到的内网安全性面临的几个问题，TPN系统都有详细的解决方案，下面分别介绍：
（1）防范无意识由内部员工引入的安全风险
    基于“主机风险评估”的“准入控制技术”是安达通在全网行为管理系统中采用的先进技术。
    全网行为管理系统会对接入内网的主机进行全面的主机安全评估，如果发现主机上存在安全威胁或未达到该接入网络要求的安全级别（如：没有启用杀毒软件、防火墙、或者杀毒软件没有及时更新病毒库等），则不允许该主机访问外网；通过该技术可以确保那些疏于防范的内网主机不能轻易上网，避免将Internet上的木马、病毒等风险带进内网；也不会使带有安全风险的主机将风险通过VPN隧道带进公司内网，从而确保整个网络平台的安全可信。
    准入控制技术的引入，网络管理人员将不在因为员工不安装杀毒软件、不及时安装系统补丁而烦恼，他们都会主动去安装，因为没有运行杀毒软件、没有打补丁将无法使用任何网络资源。

（2）员工实名认证，避免非法接入
   TPN系统将根据所有合法用户主机，生成一个“可信域”；其他用户则被视为“非可信”。可信主机内存放一个只包含所有可信主机的ARP缓存表，所以只能访问可信用户，或根据策略访问网络资源和VPN资源；而非可信的主机将被视为“非法接入”，无法和政府网络中的合法可信主机进行通信（即使在同一交换机下），更不能上网。TPN系统还能够自动识别、定位和记录非法接入主机的网络访问行为。
    TPN网关支持多种用户认证方式，包括：用户名＋口令、数字证书、USB KEY等。

（3）虚拟VLAN技术限制内部人员越权访问
   虚拟VLAN功能支持在局域网中划分逻辑VLAN，在不投入其他硬件设备（如：支持VLAN的交换机）的前提下，满足不同安全等级或不同组的用户进行逻辑隔离的需求。
    例如：虚拟VLAN功能可以把财务、人事等重要单位的主机单独隔离到一个虚拟VLAN，这样就在不增加额外投入的情况下，确保重要资料的安全。

（4）防范内网病毒泛滥，确保网络稳定可靠
   ARP欺骗一般有伪造ARP请求，伪造ARP广播和伪造ARP应答三种机制，将会造成被骗主机无法上网或者诱骗和截获通信数据的恶劣影响。TPN的防ARP欺骗功能，是在主机登陆TPN系统后，在可信域中发布该可信IP/MAC表，使所有主机的中间层驱动绑定真实的IP/MAC列表，使ARP欺骗无空可钻。同时TPN网关进行定期的ARP欺骗检测，以保证内网的稳定性和可用性；TPN系统的主机微引擎CTE也会自动检测ARP欺骗并主动报警和上报网关，如图所示。
    红色代码、冲击波等洪流病毒的爆发，将会使中毒主机在短时间内发送大量数据包文，严重影响网络和其他主机的正常通信。TPN系统并不是针对某种病毒的代码特征进行阻断和分析，而是专门针对主机行为模式的流量异常检测和对网络洪流爆发的判断。
    洪流病毒爆发定位功能，是TPN主机威胁引擎在每台主机上开启分析和统计ICMP/TCP及UDP数据报文的功能；根据对数据协议报文和网络行为的分析和判断。如果在一定时间内超过了预先设定的洪流流量阀值或符合特定的攻击特征，将会立即阻断本主机的所有网络通信，并同时向网关报警，以便使网管员第一时间获知洪流病毒爆发点；而该主机的网络访问也会被阻断，不允许其进行网络通信直到威胁排除。

2.提升政府机关的形象
    为了防止办事窗口政府工作人员，工作时间使用与工作无关的各种软件，不仅影响工作效率，而且对政府机构的形象也很大影响。对此TPN系统可采用了多种安全技术，合理控制工作人员的网络行为。
   具体为以下两种方式：
【禁用程序管控】TPN安全网关对常用需管控的程序进行了分类，包括：远程管理类、P2P/下载类、网络聊天类、游戏类、炒股类、代理软件类等。企业可以根据自己的实际情况，禁止在工作时间使用哪些软件。如果在TPN网关上设置了某个软件禁用，该软件将不会在主机端执行。例如禁止工作时间使用QQ。
TPN的程序检测包含对进程文件名、内部名称、源文件名和MD4校验码等特征的检测，针对不同软件，安达通灵活地使用了上述组合进行特征判定，安达通公司也会定期发布“管控程序”特征的升级包；此外，用户还可根据上述特征自定义需管控的程序。
值得一提的是，TPN的“程序管控”功能和和传统的UTM防火墙有着本质的区别，TPN依靠TPN客户端实时检测用户主机端的各种程序的运行状态，直接从主机端控制用户程序的使用权限，可以很好避免UTM防火墙在网关上处理此类作业而消耗大量性能，而且TPN的处理方式更灵活，几乎可以管控任何程序。

【URL访问控制】TPN安全网关提供HTTP网址的URL过滤和异常URL检测功能。对于URL网址和关键词，TPN提供白名单和黑名单两种方式对HTTP数据进行过滤，并可根据用户不同区别灵活对待；对于有异常长度和包含异常代码的URL，TPN提供检测和过滤的功能。因此，可以将与工作相关的网址设置成一个白名单，工作时间只允许访问该白名单中包含的网页，其他时间不做限制。这样达到禁止工作时间浏览与工作无关网页的目的。

3.防范公务人员不当言论
        对于防范公务人员不当言论，给民众带来不好的影响，甚至是引起法律问题，TPN采用完善的日志审计手段来解决这个问题：
【网络行为审计】通过和TPN安全网关配套的“网络行为审计”软件，可以实时接收并分析来自全网所有TPN网关的大量日志和数据，并提供各式各样的网络行为审计图表和报表供网管员及其相关人员使用。具体可以实现以下功能：
◎  实名审计
TPN审计系统基于用户名，而非IP进行日志和审计，直观易用。
◎  威胁报告审计
包括系统生成的内网、边界、接入和系统威胁等所有类型威胁分析报告，包含威胁报告量的时间统计和排名统计的报表，以及手动查询用户威胁报告细节和导出功能。
◎  系统日志审计
提供TPN设备的网关日志统计报表，以及手动查询网关日志和用户日志功能
◎  URL访问审计
提供URL访问的总量时间统计和URL访问数量排名统计的报表，以及自定义查询用户URL访问细节和导出功能
◎  特权客户端
全网行为管理系统可以定义一些特权用户。特权用户用管理员特殊定义的SureID（即：特权客户端）标示其身份，插入SureID的主机其所有的网络和主机的访问行为，均不会被TPN审计系统所记录。
◎  内容审计
TPN能对内网用户的聊天内容（QQ、MSN）、邮件内容、WEB表单内容（BBS发帖）做全面的记录和审计。

4.实现政务机构的VPN安全互联
    VPN（虚拟专用网）是指通过公共网络建立私有数据传输通道（即隧道），将远程的分支机构、商业伙伴、移动办公用户等安全连接起来的一种专用网络技术。在该网中的主机将不再感觉到公共网络的存在，仿佛所有的主机都处于一个网络之中。对企业而言， VPN可以替代传统租用线来连接计算机或局域网等。企业只需要租用本地的数据专线，连接上本地的公网，各地的机构就可以互相传递信息；使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处。
【全面兼容VPN技术】：TPN系统具备IPSec/SSL二合一、移动加速、虚地址互联、自动路由，双网隔离等安达通专有的各种VPN技术，充分分享安达通VPN领域的领先成就。
【VPN准入控制】VPN接入用户接入到总部后，首先需要通过TPN安全网关的风险评估检查。如果接入用户的机器上运行有恶意程序（如：木马、病毒等）或没有达到管理员规定的安全级别，TPN网关会阻止该VPN用户的接入。只有达到TPN网络管理员规定的安全级别，VPN接入用户才能够顺利接入到总部，以确保各种威胁不会被VPN用户带进内网。
【Qos功能——确保语音畅通】利用安全网关的Qos功能，能够为特殊的网络应用和IP地址/范围保留网络带宽，调整这些网络任务的优先级别。特别适合与VOIP、VOD等语音、视频应用结合使用。