網(wǎng)絡(luò)安全設(shè)計方案

1.1

某市政府網(wǎng)絡(luò)系統(tǒng)現(xiàn)實狀況分析《某市電子政務(wù)工程總體規(guī)劃方案》重要建設(shè)內(nèi)容為：一種專網(wǎng)(政務(wù)通信專網(wǎng))，一種平臺(電子政務(wù)基礎(chǔ)平臺)，一種中心(安全監(jiān)控和備份中心)，七大數(shù)據(jù)庫(經(jīng)濟(jì)信息數(shù)據(jù)庫、法人單位基礎(chǔ)信息數(shù)據(jù)庫、自然資源和空間地理信息數(shù)據(jù)庫、人口基礎(chǔ)信息庫、社會信用數(shù)據(jù)庫、海洋經(jīng)濟(jì)信息數(shù)據(jù)庫、政務(wù)動態(tài)信息數(shù)據(jù)庫)，十二大系統(tǒng)(政府辦公業(yè)務(wù)資源系統(tǒng)、經(jīng)濟(jì)管理信息系統(tǒng)、政務(wù)決策服務(wù)信息系統(tǒng)、社會信用信息系統(tǒng)、都市通卡信息系統(tǒng)、多媒體增值服務(wù)信息系統(tǒng)、綜合地理信息系統(tǒng)、海洋經(jīng)濟(jì)信息系統(tǒng)、金農(nóng)信息系統(tǒng)、金水信息系統(tǒng)、金盾信息系統(tǒng)、社會保障信息系統(tǒng))。重要包括：政務(wù)通信專網(wǎng)電子政務(wù)基礎(chǔ)平臺安全監(jiān)控和備份中心政府辦公業(yè)務(wù)資源系統(tǒng)政務(wù)決策服務(wù)信息系統(tǒng)綜合地理信息系統(tǒng)多媒體增值服務(wù)信息系統(tǒng)某市政府中心網(wǎng)絡(luò)安全方案設(shè)計1.2

安全系統(tǒng)建設(shè)目的本技術(shù)方案意在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全處理方案，包括安全管理制度方略的制定、安全方略的實行體系構(gòu)造的設(shè)計、安全產(chǎn)品的選擇和布署實行，以及長期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目的是在不影響目前業(yè)務(wù)的前提下，實現(xiàn)對網(wǎng)絡(luò)的全面安全管理。1)

將安全方略、硬件及軟件等措施結(jié)合起來，構(gòu)成一種統(tǒng)一的防御系統(tǒng)，有效制止非法顧客進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險；2)

通過布署不一樣類型的安全產(chǎn)品，實現(xiàn)對不一樣層次、不一樣類別網(wǎng)絡(luò)安全問題的防護(hù)；3)

使網(wǎng)絡(luò)管理者可以很快重新組織被破壞了的文獻(xiàn)或使用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大程度地減少損失。詳細(xì)來說，本安全方案可以實現(xiàn)全面網(wǎng)絡(luò)訪問控制，并可以對重要控制點進(jìn)行細(xì)粒度的訪問控制；另一方面，對于通過對網(wǎng)絡(luò)的流量進(jìn)行實時監(jiān)控，對重要服務(wù)器的運行狀況進(jìn)行全面監(jiān)控。1.2.1

防火墻系統(tǒng)設(shè)計方案

防火墻對服務(wù)器的安全保護(hù)網(wǎng)絡(luò)中使用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是襲擊的重要對象。此外，服務(wù)器提供的多種服務(wù)自身有也許成為"黑客"襲擊的突破口，因此，在實行方案時要對服務(wù)器的安全進(jìn)行一系列安全保護(hù)。假如服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對外服務(wù)，就會面臨著"黑客"多種方式的襲擊，安全級別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的祈求都要通過防火墻安全規(guī)則的詳細(xì)檢測。只有訪問服務(wù)器的祈求符合防火墻安全規(guī)則后，才能通過防火墻抵達(dá)內(nèi)部服務(wù)器。防火墻自身抵御了絕大部分對服務(wù)器的襲擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界襲擊。

防火墻對內(nèi)部非法顧客的防備網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，并且各子網(wǎng)的分布地區(qū)廣闊，網(wǎng)絡(luò)顧客、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)顧客的可靠性并不能得到完全的保證。尤其是對于寄存敏感數(shù)據(jù)的主機(jī)的襲擊往往發(fā)自內(nèi)部顧客，怎樣對內(nèi)部顧客進(jìn)行訪問控制和安全防備就顯得尤其重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，我們必須要對它進(jìn)行詳盡的分析，盡量防護(hù)到網(wǎng)絡(luò)的每一節(jié)點。對于一般的網(wǎng)絡(luò)使用，內(nèi)部顧客可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對于內(nèi)部顧客缺乏基本的安全防備，尤其是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防備處理，整個系統(tǒng)的安全性輕易受到內(nèi)部顧客襲擊的威脅，安全等級不高。根據(jù)國際上流行的處理措施，我們把內(nèi)部顧客跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)顧客之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的使用重要有顧客共享文獻(xiàn)的傳播(NETBIOS)使用；另一方面，是內(nèi)部網(wǎng)絡(luò)顧客對內(nèi)部服務(wù)器的訪問，這一類使用重要發(fā)生在內(nèi)部顧客的業(yè)務(wù)處理時。一般內(nèi)部顧客對于網(wǎng)絡(luò)安全防備的意識不高，假如內(nèi)部人員發(fā)起襲擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無法防止地遭到損害，尤其是針對于NETBIOS文獻(xiàn)共享協(xié)議，已經(jīng)有諸多的漏洞在網(wǎng)上公開報道，假如網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就也許被內(nèi)部顧客運用"黑客"工具導(dǎo)致嚴(yán)重破壞。1.2.2

入侵檢測系統(tǒng)運用防火墻技術(shù)，通過仔細(xì)的配置，一般可以在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，減少了網(wǎng)絡(luò)安全風(fēng)險，不過入侵者可尋找防火墻背后也許敞開的后門，入侵者也也許就在防火墻內(nèi)。網(wǎng)絡(luò)入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以根據(jù)系統(tǒng)安全方略做出反應(yīng)，包括實時報警、事件登錄，或執(zhí)行顧客自定義的安全方略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以布署在網(wǎng)絡(luò)中有安全風(fēng)險的地方，如局域網(wǎng)出入口、重點保護(hù)主機(jī)、遠(yuǎn)程接入服務(wù)器、內(nèi)部網(wǎng)重點工作站組等。在重點保護(hù)區(qū)域，可以單獨各布署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)(管理器+探測引擎)，也可以在每個需要保護(hù)的地方單獨布署一種探測引擎，在全網(wǎng)使用一種管理器，這種方式便于進(jìn)行集中管理。在內(nèi)部使用網(wǎng)絡(luò)中的重要網(wǎng)段，使用網(wǎng)絡(luò)探測引擎，監(jiān)視并記錄該網(wǎng)段上的所有操作，在一定程度上防止非法操作和惡意襲擊網(wǎng)絡(luò)中的重要服務(wù)器和主機(jī)。同步，網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過程，可協(xié)助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。需要闡明的是，IDS是對防火墻的非常有必要的附加而不僅僅是簡樸的補(bǔ)充。按照現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不一樣的網(wǎng)絡(luò)安全風(fēng)險區(qū)域，xxx市政府本期網(wǎng)絡(luò)安全系統(tǒng)項目的需求為：區(qū)域

布署安全產(chǎn)品內(nèi)網(wǎng)

連接到Internet的出口處安裝兩臺互為雙機(jī)熱備的海信FW3010PF-4000型百兆防火墻；在主干互換機(jī)上安裝海信千兆眼鏡蛇入侵檢測系統(tǒng)探測器；在主干互換機(jī)上安裝NetHawk網(wǎng)絡(luò)安全監(jiān)控和審計系統(tǒng)；在內(nèi)部工作站上安裝趨勢防毒墻網(wǎng)絡(luò)版防病毒軟件；在各服務(wù)器上安裝趨勢防毒墻服務(wù)器版防病毒軟件。DMZ區(qū)

在服務(wù)器上安裝趨勢防毒墻服務(wù)器版防病毒軟件；安裝一臺InterScanVirusWall防病毒網(wǎng)關(guān)；安裝百兆眼鏡蛇入侵檢測系統(tǒng)探測器和NetHawk網(wǎng)絡(luò)安全監(jiān)控和審計系統(tǒng)。安全監(jiān)控和備份中心

安裝FW3010-5000千兆防火墻，安裝RJ-iTOP榕基網(wǎng)絡(luò)安全漏洞掃描器；安裝眼鏡蛇入侵檢測系統(tǒng)控制臺和百兆探測器；安裝趨勢防毒墻服務(wù)器版管理服務(wù)器，趨勢防毒墻網(wǎng)絡(luò)版管理服務(wù)器，對各防病毒軟件進(jìn)行集中管理。1.3

防火墻安全系統(tǒng)技術(shù)方案某市政府局域網(wǎng)是使用的中心，存在大量敏感數(shù)據(jù)和使用，因此必須設(shè)計一種高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，保證數(shù)據(jù)和使用萬無一失。所有的局域網(wǎng)計算機(jī)工作站包括終端、廣域網(wǎng)路由器、服務(wù)器群都直接匯接到主干互換機(jī)上。由于工作站分布較廣且所有連接,對中心的服務(wù)器及使用構(gòu)成了極大的威脅，尤其是也許通過廣域網(wǎng)上的工作站直接襲擊服務(wù)器。因此，必須將中心和廣域網(wǎng)進(jìn)行隔離防護(hù)?？紤]到效率，數(shù)據(jù)重要在主干互換機(jī)上流通，通過防火墻流入流出的流量不會超過百兆，因此使用百兆防火墻就完全可以滿足規(guī)定。如下圖，我們在中心機(jī)房的DMZ服務(wù)區(qū)上安裝兩臺互為冗余備份的海信FW3010PF-4000百兆防火墻，DMZ口通過互換機(jī)和WWW/FTP、DNS/MAIL服務(wù)器連接。同步，安裝一臺Fw3010PF-5000千兆防火墻，將安全和備份中心和其他區(qū)域邏輯隔離開來通過安裝防火墻，實現(xiàn)下列的安全目的：1)

運用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控和備份中心進(jìn)行有效隔離，防止和外部網(wǎng)絡(luò)直接通信；

2)

運用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)

運用防火墻對來自外網(wǎng)的服務(wù)祈求進(jìn)行控制，使非法訪問在抵達(dá)主機(jī)前被拒絕；

4)

運用防火墻使用IP和MAC地址綁定功能，加強(qiáng)終端顧客的訪問認(rèn)證，同步在不影響顧客正常訪問的基礎(chǔ)上將顧客的訪問權(quán)限控制在最低程度內(nèi)；

5)

運用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和制止非法操作；

6)

運用防火墻及服務(wù)器上的審計記錄，形成一種完善的審計體系，建立第二條防線；

7)

根據(jù)需要設(shè)置流量控制規(guī)則，實現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。1.4

入侵檢測系統(tǒng)技術(shù)方案如下圖所示，我們提議在局域網(wǎng)中心互換機(jī)安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)千兆探測器，DMZ區(qū)互換機(jī)上安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器，用以實時檢測局域網(wǎng)顧客和外網(wǎng)顧客對主機(jī)的訪問，在安全監(jiān)控和備份中心安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器和海信眼鏡蛇入侵檢測系統(tǒng)控制臺，由系統(tǒng)控制臺進(jìn)行統(tǒng)一的管理(統(tǒng)一事件庫升級、統(tǒng)一安全防護(hù)方略、統(tǒng)一上報日志生成報表)。其中，海信眼鏡蛇網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以和海信FW3010PF防火墻進(jìn)行聯(lián)動，一旦發(fā)現(xiàn)由外部發(fā)起的襲擊行為，將向防火墻發(fā)送告知報文，由防火墻來阻斷連接，實現(xiàn)動態(tài)的安全防護(hù)體系。海信眼鏡蛇入侵檢測系統(tǒng)可以聯(lián)動的防火墻有：海信FW3010PF防火墻，支持OPSEC協(xié)議的防火墻。通過使用入侵檢測系統(tǒng)，我們可以做到：1)

對網(wǎng)絡(luò)邊界點的數(shù)據(jù)進(jìn)行檢測，防止黑客的入侵；

2)

對服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測，防止入侵者的蓄意破壞和篡改；

3)

監(jiān)視內(nèi)部顧客和系統(tǒng)的運行狀況，查找非法顧客和合法顧客的越權(quán)操作；

4)

對顧客的非正常活動進(jìn)行記錄分析，發(fā)現(xiàn)入侵行為的規(guī)律；

5)

實時對檢測到的入侵行為進(jìn)行報警、阻斷，可以和防火墻/系統(tǒng)聯(lián)動；

6)

對關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計跟蹤管理。通過使用海信眼鏡蛇入侵檢測系統(tǒng)可以輕易的完畢對如下的襲擊識別：網(wǎng)絡(luò)信息搜集、網(wǎng)絡(luò)服務(wù)缺陷襲擊、Dos&Ddos襲擊、