網(wǎng)絡(luò)安全設(shè)計(jì)方案

1、? 某市政府網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析某市電子政務(wù)工程總體規(guī)劃方案主要建設(shè)內(nèi)容為：一個(gè)專網(wǎng) （ 政務(wù)通信專網(wǎng) ） ，一個(gè)平臺(tái) （ 電子政務(wù)基礎(chǔ)平臺(tái) ） ，一個(gè)中心（ 安全監(jiān)控和備份中心） ，七大數(shù)據(jù)庫(kù)（ 經(jīng)濟(jì)信息數(shù)據(jù)庫(kù)、法人單位基礎(chǔ)信息數(shù)據(jù)庫(kù)、自然資源和空間地理信息數(shù)據(jù)庫(kù)、人口基礎(chǔ)信息庫(kù)、社會(huì)信用數(shù)據(jù)庫(kù)、海洋經(jīng)濟(jì)信息數(shù)據(jù)庫(kù)、政務(wù)動(dòng)態(tài)信息數(shù)據(jù)庫(kù)），十二大系統(tǒng)（政府辦公業(yè)務(wù)資源系統(tǒng)、經(jīng)濟(jì)管理信息系統(tǒng)、政務(wù)決策服務(wù)信息系統(tǒng)、社會(huì)信用信息系統(tǒng)、城市通卡信息系統(tǒng)、多媒體增值服務(wù)信息系統(tǒng)、綜合地理信息系統(tǒng)、海洋經(jīng)濟(jì)信息系統(tǒng)、金農(nóng)信息系統(tǒng)、金水信息系統(tǒng)、金盾信息系統(tǒng)、社會(huì)保障信息系統(tǒng)） 。主要包括：政務(wù)通信專網(wǎng)電子政

2、務(wù)基礎(chǔ)平臺(tái)安全監(jiān)控和備份中心政府辦公業(yè)務(wù)資源系統(tǒng)政務(wù)決策服務(wù)信息系統(tǒng)綜合地理信息系統(tǒng)多媒體增值服務(wù)信息系統(tǒng)某市政府中心網(wǎng)絡(luò)安全方案設(shè)計(jì)? 安全系統(tǒng)建設(shè)目標(biāo)本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案， 包括安全管理制度策略的制定、 安全策略的實(shí)施體系結(jié)構(gòu)的設(shè)計(jì)、 安全產(chǎn)品的選擇和部署實(shí)施， 以及長(zhǎng)期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全管理。1）?將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；2）?通過部署不同類型的安全產(chǎn)品，實(shí)現(xiàn)對(duì)不同層次、不同類別網(wǎng)絡(luò)安全問題的防護(hù)；3）?

3、使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。具體來說， 本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制， 并能夠?qū)χ匾刂泣c(diǎn)進(jìn)行細(xì)粒度的訪問控制；其次，對(duì)于通過對(duì)網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)重要服務(wù)器的運(yùn)行狀況進(jìn)行全面監(jiān)控。? 防火墻系統(tǒng)設(shè)計(jì)方案? 防火墻對(duì)服務(wù)器的安全保護(hù)網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為 黑客 攻擊的突破口， 因此， 在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全 保護(hù)。如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)， 就會(huì)面臨著 黑客 各種方式的攻擊，

4、安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊， 外界只能接觸到防火墻上的特定服務(wù)， 從而防止了絕大部分外 界攻擊。? 防火墻對(duì)內(nèi)部非法用戶的防范網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此， 內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。 特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶， 如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。 為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可 靠性和安全性，我們必須要對(duì)它進(jìn)行

5、詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。對(duì)于一般的網(wǎng)絡(luò)應(yīng)用， 內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)， 網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級(jí)不高。根據(jù)國(guó)際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸（NETBIOS）應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。 一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高， 如果內(nèi)部人員發(fā)起攻擊，內(nèi)部

6、網(wǎng)絡(luò)主機(jī)將無法避免地遭到損害，特別是針對(duì)于NETBIOSS件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道， 如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善， 就可能被內(nèi)部用戶利用 黑客 工具造成嚴(yán) 重破壞。? 入侵檢測(cè)系統(tǒng)利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內(nèi)。網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上， 通過實(shí)時(shí)偵聽網(wǎng)絡(luò)數(shù)據(jù)流， 尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。 當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時(shí)， 網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安

7、全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有安全風(fēng)險(xiǎn)的地方，如局域網(wǎng)出入口、重點(diǎn)保護(hù)主機(jī)、遠(yuǎn)程接入服務(wù)器、內(nèi)部網(wǎng)重點(diǎn)工作站組等。在重點(diǎn)保護(hù)區(qū)域，可以單獨(dú)各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)（ 管理器+探測(cè)引擎） ，也可以在每個(gè)需要保護(hù)的地方單獨(dú)部署一個(gè)探測(cè)引擎，在全網(wǎng)使用一個(gè)管理器，這種方式便于進(jìn)行集中管理。在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段，使用網(wǎng)絡(luò)探測(cè)引擎，監(jiān)視并記錄該網(wǎng)段上的所有操作，在一定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機(jī)。 同時(shí)， 網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作 的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。需要說明的是， IDS 是對(duì)防火墻的非常有必要的附加而不僅僅是簡(jiǎn)單的補(bǔ)充。按照現(xiàn)階段的

8、網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)區(qū)域， xxx 市政府本期網(wǎng)絡(luò)安全系統(tǒng)項(xiàng)目的需 求為：區(qū)域 ?部署安全產(chǎn)品內(nèi)網(wǎng)？連接到Internet的出口處安裝兩臺(tái)互為雙機(jī)熱備的海信FW3010PF-4000型百兆防火墻；在主干交換機(jī)上安裝海信千兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器； 在主干交換機(jī)上安裝NetHawk 網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)； 在內(nèi)部工作站上安裝趨勢(shì)防毒墻網(wǎng)絡(luò)版防病毒軟件； 在各服務(wù)器上安裝趨勢(shì)防毒墻服務(wù) 器版防病毒軟件。DMZK ?在服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件；安裝一臺(tái)InterScan VirusWall 防病毒網(wǎng)關(guān)；安裝百兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器和NetHawk 網(wǎng)絡(luò)安全監(jiān)控

9、與審計(jì)系統(tǒng)。安全監(jiān)控與備份中心？安裝FW3010-5000千兆防火墻，安裝 RJ-iTOP榕基網(wǎng)絡(luò)安全漏洞掃描器；安裝眼鏡蛇入侵檢測(cè)系統(tǒng)控制臺(tái)和百兆探測(cè)器； 安裝趨勢(shì)防毒墻服務(wù)器版管理服務(wù)器， 趨勢(shì)防毒墻網(wǎng) 絡(luò)版管理服務(wù)器，對(duì)各防病毒軟件進(jìn)行集中管理。? 防火墻安全系統(tǒng)技術(shù)方案某市政府局域網(wǎng)是應(yīng)用的中心，存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計(jì)一個(gè)高安全性、高可靠 性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。所有的局域網(wǎng)計(jì)算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到主干交換機(jī)上。由于工作站分布較廣且全部連接 , 對(duì)中心的服務(wù)器及應(yīng)用構(gòu)成了極大的威脅，尤其是可能通過廣域網(wǎng)上的工

10、作站直接攻擊服務(wù)器。因此，必須將中心與廣域網(wǎng)進(jìn)行隔離防護(hù)。考慮到效率，數(shù)據(jù)主要在主干交換機(jī)上流通， 通過防火墻流入流出的流量不會(huì)超過百兆， 因此使用百兆防火墻就完全可以滿足要求。如下圖，我們?cè)谥行臋C(jī)房的 DM2S艮務(wù)區(qū)上安裝兩臺(tái)互為冗余備份的海信FW3010PF-4000百兆防火墻，DMZH通過交換機(jī)與 WWW/FTPDNS/MAIL服務(wù)器連接。同時(shí)，安裝一臺(tái) Fw3010PF-5000千兆防火 墻，將安全與備份中心與其他區(qū)域邏輯隔離開來通過安裝防火墻，實(shí)現(xiàn)下列的安全目標(biāo)：1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet 外部網(wǎng)絡(luò)、DM團(tuán)艮務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔 離，避免與外部網(wǎng)絡(luò)直接通

11、信；利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；利用防火墻對(duì)來自外網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；4)利用防火墻使用IP與MAC*址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時(shí)在不影響用戶正 常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作；利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線；根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問控制。1.4 入侵檢測(cè)系統(tǒng)技術(shù)方案如下圖所示，我們建議在局域網(wǎng)中心交換機(jī)安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)千兆探測(cè)器， DMZ區(qū)交換機(jī)上

12、安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)百兆探測(cè)器， 用以實(shí)時(shí)檢測(cè)局域網(wǎng)用戶和外網(wǎng)用戶對(duì)主機(jī)的訪問， 在安全監(jiān)控與備份中心安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)百兆探測(cè)器和海信眼鏡蛇入侵檢測(cè)系統(tǒng)控制臺(tái)，由系統(tǒng)控制臺(tái)進(jìn)行統(tǒng)一的管理( 統(tǒng)一事件庫(kù)升級(jí)、統(tǒng)一安全防護(hù)策略、統(tǒng)一上報(bào)日志生成報(bào)表 ) 。其中，海信眼鏡蛇網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以與海信FW3010P就火墻進(jìn)行聯(lián)動(dòng)，一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為，將向防火墻發(fā)送通知報(bào)文，由防火墻來阻斷連接，實(shí)現(xiàn)動(dòng)態(tài)的安全防護(hù)體系。海信眼鏡蛇入侵檢測(cè)系統(tǒng)可以聯(lián)動(dòng)的防火墻有：海信FW3010PFB火墻，支持 OPSEC1、議的防火墻。通過使用入侵檢測(cè)系統(tǒng)，我們可以做到：對(duì)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行檢測(cè)，防止黑客的入侵；對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè)，防止入侵者的蓄意破壞和篡改；監(jiān)視內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作；對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；實(shí)時(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻/ 系統(tǒng)聯(lián)動(dòng)；對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。通過使用海信眼鏡蛇入侵檢測(cè)系統(tǒng)可以容易的完成對(duì)以下的攻擊識(shí)別： 網(wǎng)絡(luò)信息收集、 網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)