1、1.1 某市政府網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析某市電子政務(wù)工程總體規(guī)劃方案主要建設(shè)內(nèi)容為：一個(gè)專網(wǎng)(政務(wù)通信專網(wǎng))，一個(gè)平臺(tái)(電子政務(wù)基礎(chǔ)平臺(tái))，一個(gè)中心(安全監(jiān)控和備份中心)，七大數(shù)據(jù)庫(經(jīng)濟(jì)信息數(shù)據(jù)庫、法人單位基礎(chǔ)信息數(shù)據(jù)庫、自然資源和空間地理信息數(shù)據(jù)庫、人口基礎(chǔ)信息庫、社會(huì)信用數(shù)據(jù)庫、海洋經(jīng)濟(jì)信息數(shù)據(jù)庫、政務(wù)動(dòng)態(tài)信息數(shù)據(jù)庫)，十二大系統(tǒng)(政府辦公業(yè)務(wù)資源系統(tǒng)、經(jīng)濟(jì)管理信息系統(tǒng)、政務(wù)決策服務(wù)信息系統(tǒng)、社會(huì)信用信息系統(tǒng)、城市通卡信息系統(tǒng)、多媒體增值服務(wù)信息系統(tǒng)、綜合地理信息系統(tǒng)、海洋經(jīng)濟(jì)信息系統(tǒng)、金農(nóng)信息系統(tǒng)、金水信息系統(tǒng)、金盾信息系統(tǒng)、社會(huì)保障信息系統(tǒng))。主要包括：政務(wù)通信專網(wǎng) 電子政務(wù)基礎(chǔ)平

2、臺(tái)安全監(jiān)控和備份中心政府辦公業(yè)務(wù)資源系統(tǒng)政務(wù)決策服務(wù)信息系統(tǒng)綜合地理信息系統(tǒng)多媒體增值服務(wù)信息系統(tǒng)某市政府中心網(wǎng)絡(luò)安全方案設(shè)計(jì)1.2 安全系統(tǒng)建設(shè)目標(biāo)本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全管理制度策略的制定、安全策略的實(shí)施體系結(jié)構(gòu)的設(shè)計(jì)、安全產(chǎn)品的選擇和部署實(shí)施，以及長期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全管理。1) 將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；2) 通過部署不同類型的安全產(chǎn)品，實(shí)現(xiàn)對(duì)不同層次、不同類別網(wǎng)絡(luò)安全

3、問題的防護(hù)；3) 使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。具體來說，本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制，并能夠?qū)χ匾刂泣c(diǎn)進(jìn)行細(xì)粒度的訪問控制；其次，對(duì)于通過對(duì)網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)重要服務(wù)器的運(yùn)行狀況進(jìn)行全面監(jiān)控。1.2.1 防火墻系統(tǒng)設(shè)計(jì)方案 防火墻對(duì)服務(wù)器的安全保護(hù)網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為"黑客"攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。如果服務(wù)器沒有加任何

4、安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)，就會(huì)面臨著"黑客"各種方式的攻擊，安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測。只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。 防火墻對(duì)內(nèi)部非法用戶的防范網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)

5、內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。對(duì)于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級(jí)不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸(NETBIOS)應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要

6、發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無法避免地遭到損害，特別是針對(duì)于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用"黑客"工具造成嚴(yán)重破壞。1.2.2 入侵檢測系統(tǒng)利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內(nèi)。網(wǎng)絡(luò)入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時(shí)偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)

7、絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有安全風(fēng)險(xiǎn)的地方，如局域網(wǎng)出入口、重點(diǎn)保護(hù)主機(jī)、遠(yuǎn)程接入服務(wù)器、內(nèi)部網(wǎng)重點(diǎn)工作站組等。在重點(diǎn)保護(hù)區(qū)域，可以單獨(dú)各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)(管理器+探測引擎)，也可以在每個(gè)需要保護(hù)的地方單獨(dú)部署一個(gè)探測引擎，在全網(wǎng)使用一個(gè)管理器，這種方式便于進(jìn)行集中管理。在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段，使用網(wǎng)絡(luò)探測引擎，監(jiān)視并記錄該網(wǎng)段上的所有操作，在一定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機(jī)。同時(shí)，網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過程，可幫助安全管理

8、員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。需要說明的是，IDS是對(duì)防火墻的非常有必要的附加而不僅僅是簡單的補(bǔ)充。按照現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)區(qū)域，xxx市政府本期網(wǎng)絡(luò)安全系統(tǒng)項(xiàng)目的需求為：區(qū)域 部署安全產(chǎn)品內(nèi)網(wǎng) 連接到Internet的出口處安裝兩臺(tái)互為雙機(jī)熱備的海信FW3010PF-4000型百兆防火墻；在主干交換機(jī)上安裝海信千兆眼鏡蛇入侵檢測系統(tǒng)探測器；在主干交換機(jī)上安裝NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)；在內(nèi)部工作站上安裝趨勢防毒墻網(wǎng)絡(luò)版防病毒軟件；在各服務(wù)器上安裝趨勢防毒墻服務(wù)器版防病毒軟件。DMZ區(qū) 在服務(wù)器上安裝趨勢防毒墻服務(wù)器版防病毒軟件；安裝一臺(tái)

9、InterScan VirusWall防病毒網(wǎng)關(guān)；安裝百兆眼鏡蛇入侵檢測系統(tǒng)探測器和NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)。安全監(jiān)控與備份中心 安裝FW3010-5000千兆防火墻，安裝RJ-iTOP榕基網(wǎng)絡(luò)安全漏洞掃描器；安裝眼鏡蛇入侵檢測系統(tǒng)控制臺(tái)和百兆探測器；安裝趨勢防毒墻服務(wù)器版管理服務(wù)器，趨勢防毒墻網(wǎng)絡(luò)版管理服務(wù)器，對(duì)各防病毒軟件進(jìn)行集中管理。1.3 防火墻安全系統(tǒng)技術(shù)方案某市政府局域網(wǎng)是應(yīng)用的中心，存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計(jì)一個(gè)高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。所有的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群

10、都直接匯接到主干交換機(jī)上。由于工作站分布較廣且全部連接,對(duì)中心的服務(wù)器及應(yīng)用構(gòu)成了極大的威脅，尤其是可能通過廣域網(wǎng)上的工作站直接攻擊服務(wù)器。因此，必須將中心與廣域網(wǎng)進(jìn)行隔離防護(hù)。考慮到效率，數(shù)據(jù)主要在主干交換機(jī)上流通，通過防火墻流入流出的流量不會(huì)超過百兆，因此使用百兆防火墻就完全可以滿足要求。如下圖，我們?cè)谥行臋C(jī)房的DMZ服務(wù)區(qū)上安裝兩臺(tái)互為冗余備份的海信FW3010PF-4000百兆防火墻，DMZ口通過交換機(jī)與WWW/FTP、DNS/MAIL服務(wù)器連接。同時(shí)，安裝一臺(tái)Fw3010PF-5000千兆防火墻，將安全與備份中心與其他區(qū)域邏輯隔離開來通過安裝防火墻，實(shí)現(xiàn)下列的安全目標(biāo)：1) 

11、;利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；2) 利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；3) 利用防火墻對(duì)來自外網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；4) 利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；5) 利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作；6) 利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線；7)&#

12、160;根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問控制。1.4 入侵檢測系統(tǒng)技術(shù)方案如下圖所示，我們建議在局域網(wǎng)中心交換機(jī)安裝一臺(tái)海信眼鏡蛇入侵檢測系統(tǒng)千兆探測器，DMZ區(qū)交換機(jī)上安裝一臺(tái)海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器，用以實(shí)時(shí)檢測局域網(wǎng)用戶和外網(wǎng)用戶對(duì)主機(jī)的訪問，在安全監(jiān)控與備份中心安裝一臺(tái)海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器和海信眼鏡蛇入侵檢測系統(tǒng)控制臺(tái)，由系統(tǒng)控制臺(tái)進(jìn)行統(tǒng)一的管理(統(tǒng)一事件庫升級(jí)、統(tǒng)一安全防護(hù)策略、統(tǒng)一上報(bào)日志生成報(bào)表)。其中，海信眼鏡蛇網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以與海信FW3010PF防火墻進(jìn)行聯(lián)動(dòng)，一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為，將向防火墻發(fā)送

13、通知報(bào)文，由防火墻來阻斷連接，實(shí)現(xiàn)動(dòng)態(tài)的安全防護(hù)體系。海信眼鏡蛇入侵檢測系統(tǒng)可以聯(lián)動(dòng)的防火墻有：海信FW3010PF防火墻，支持OPSEC協(xié)議的防火墻。 通過使用入侵檢測系統(tǒng)，我們可以做到：1) 對(duì)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行檢測，防止黑客的入侵；2) 對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測，防止入侵者的蓄意破壞和篡改；3) 監(jiān)視內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作；4) 對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；5) 實(shí)時(shí)對(duì)檢測到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動(dòng)；6) 對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。通過使用海信眼鏡蛇入侵檢測系統(tǒng)可以容易的完成對(duì)以下的攻擊識(shí)別：網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&D