政府網絡拓撲

某市政府網絡系統(tǒng)現(xiàn)狀分析《某市電子政務工程總體規(guī)劃方案》主要建設內容為：一個專網〔政務通信專網，一〔電子政務根底平臺〔安全監(jiān)控和備份中心〔經濟信息數(shù)據庫、法人單位根底信息數(shù)據庫、自然資源和空間地理信息數(shù)據庫、人口根底信息庫信用數(shù)據庫、海洋經濟信息數(shù)據庫、政務動態(tài)信息數(shù)據庫，十二大系統(tǒng)〔政府辦公業(yè)務資源系統(tǒng)、經濟治理信息系統(tǒng)、政務決策效勞信息系統(tǒng)、社會信用信息系統(tǒng)、多媒體增值效勞信息系統(tǒng)、綜合地理信息系統(tǒng)、海洋經濟信息系統(tǒng)、金農信息系統(tǒng)、金水信息系統(tǒng)、金盾信息系統(tǒng)、社會保障信息系統(tǒng)。主要包括：政務通信專網電子政務根底平臺安全監(jiān)控和備份中心政府辦公業(yè)務資源系統(tǒng)政務決策效勞信息系統(tǒng)綜合地理信息系統(tǒng)多媒體增值效勞信息系統(tǒng)圖1某市政府中心機房網絡拓撲圖某市政府中心網絡安全方案設計安全系統(tǒng)建設目標本技術方案旨在為某市政府網絡供給全面的網絡系統(tǒng)安全解決方案。將安全策略、硬件及軟件等方法結合起來，構成一個統(tǒng)一的防范系統(tǒng)，有效阻擋非法用戶進入網絡，削減網絡的安全風險；通過部署不同類型的安全產品，實現(xiàn)對不同層次、不同類別網絡安全問題的防護；使網絡治理者能夠很快重組織被破壞了的文件或應用。使系統(tǒng)重恢復到破壞前的狀態(tài)。最大限度地削減損失。訪問把握；其次，對于通過對網絡的流量進展實時監(jiān)控，對重要效勞器的運行狀況進展全面監(jiān)控。防火墻系統(tǒng)設計方案防火墻對效勞器的安全保護網絡中應用的效勞器，信息量大、處理力氣強，往往是攻擊的主要對象。另外，效勞器供給的各種效勞本身有可能成為“黑客”全進展一系列安全保護。假設效勞器沒有加任何安全防護措施而直接放在公網上供給對外效勞，就會面臨著“黑客”各種方式的攻擊，安全級別很低。因此當安裝防火墻后，全部訪問效勞器的懇求都要經上的特定效勞，從而防止了絕大部格外界攻擊。防火墻對內部非法用戶的防范主機的攻擊往往發(fā)自內部用戶，如何對內部用戶進展訪問把握和安全防范就顯得特別重要。網絡的每一節(jié)點。對于一般的網絡應用，內部用戶可以直接接觸到網絡內部幾乎全部的效勞。依據國際上流行的處理方法，我們把內部用戶跨網段的訪問分為兩大類：其一，是內部網絡用戶之間的訪問，即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸〔NETBIOS〕應用；其次，是內部網絡用戶對內部效勞器的訪問，這一類應用主要發(fā)生在擊，內部網絡主機將無法避開地遭到損害，特別是針對于NETBIOS文件共享協(xié)議，已經有“黑客”工具造成嚴峻破壞。入侵檢測系統(tǒng)內。護主機、遠程接入效勞器、內部網重點工作站組等。在重點保護區(qū)域網絡監(jiān)控系統(tǒng)〔探測引擎在全網使用一個治理器，這種方式便于進展集中治理。在內部應用網絡中的重要網段，使用網絡探測引擎，監(jiān)視并記錄該網段上的全部操作，以形象地重現(xiàn)操作的過程，可幫助安全治理員覺察網絡安全的隱患。需要說明的是，IDS是對防火墻的格外有必要的附加而不僅僅是簡潔的補充。某市政府安全系統(tǒng)技術方案依據現(xiàn)階段的網絡及系統(tǒng)環(huán)境劃分不同的網絡安全風險區(qū)域，xxx市政府本期網絡安全系統(tǒng)工程的需求為：區(qū)域部署安全產品內網連接到Internet的出口處安裝兩臺互為雙機熱備的海信FW3010PF-4000型百兆防火墻；在主干交換機上安裝海信千兆眼鏡蛇入侵檢測系統(tǒng)探測器；在主干交換機上安裝NetHawk網絡安全監(jiān)控與審計系統(tǒng)；在內部工作站上安裝趨勢防毒墻網絡版防病毒軟件；在各效勞器上安裝趨勢防毒墻效勞器版防病毒軟件。DMZ區(qū)在效勞器上安裝趨勢防毒墻效勞器版防病毒軟件；安裝一臺InterScanVirusWall防病毒網關；安裝百兆眼鏡蛇入侵檢測系統(tǒng)探測器和NetHawk網絡安全監(jiān)控與審計系統(tǒng)。安全監(jiān)控與備份中心安裝FW3010-5000RJ-iTOP榕基網絡安全漏洞掃描器；安裝眼鏡蛇入侵檢測系統(tǒng)把握臺和百兆探測器；安裝趨勢防毒墻效勞器版治理效勞器，趨勢防毒墻網絡版治理效勞器，對各防病毒軟件進展集中治理。表格1某市政府網絡安全系統(tǒng)產品部署需求防火墻安全系統(tǒng)技術方案某市政府局域網是應用的中心高牢靠性及高性能的防火墻安全保護系統(tǒng)，確保數(shù)據和應用萬無一失。機上。由于工作站分布較廣且全部連接,對中心的效勞器及應用構成了極大的威逼，尤其是使用百兆防火墻就完全可以滿足要求。如以以下圖，我們在中心機房的DMZ效勞區(qū)上安裝兩臺互為冗余備份的海信FW3010PF-4000百兆防火墻，DMZ口通過交換機與WWW/FTP、DNS/MAIL效勞器連接。同時，安裝一臺Fw3010PF-5000千兆防火墻，將安全與備份中心與其他區(qū)域規(guī)律隔離開來。通過安裝防火墻，實現(xiàn)以下的安全目標：利用防火墻將內部網絡、Internet外部網絡、DMZ效勞區(qū)、安全監(jiān)控與備份中心進展有效隔離，避開與外部網絡直接通信；利用防火墻建立網絡各終端和效勞器的安全保護措施，保證系統(tǒng)安全；利用防火墻對來自外網的效勞懇求進展把握，使非法訪問在到達主機前被拒絕；利用防火墻使用IP與MAC用戶正常訪問的根底上將用戶的訪問權限把握在最低限度內；利用防火墻全面監(jiān)視對效勞器的訪問，準時覺察和阻擋非法操作；利用防火墻及效勞器上的審計記錄，形成一個完善的審計體系，建立其次條防線；依據需要設置流量把握規(guī)章，實現(xiàn)網絡流量把握，并設置基于時間段的訪問把握。圖2某市政府中心機房防火墻安全系統(tǒng)網絡拓撲圖入侵檢測系統(tǒng)技術方案器，DMZ區(qū)交換機上安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器，用以實時檢測局域網〔統(tǒng)一大事庫升級、統(tǒng)一安全防護策略、統(tǒng)一上報日志生成報表。圖3某市政府中心機房入侵檢測系統(tǒng)網絡拓撲圖其中，海信眼鏡蛇網絡入侵檢測系統(tǒng)還可以與海信FW3010PF防火墻進展聯(lián)動，一旦安全防護體系。海信眼鏡蛇入侵檢測系統(tǒng)可以聯(lián)動的防火墻有：海信FW3010PF防火墻，支持OPSEC協(xié)議的防火墻。通過使用入侵檢測系統(tǒng)，我們可以做到：對網絡邊界點的數(shù)據進展檢測，防止黑客的入侵；對效勞器的數(shù)據流量進展檢測，防止入侵者的蓄意破壞和篡改；監(jiān)視內部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權操作；對用戶的非正?；顒舆M展統(tǒng)計分析，覺察入侵行為的規(guī)律；實時對檢測到的入侵行為進展報警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動；對關鍵正常大事及特別行為記錄日志，進展審計跟蹤治理。通過使用海信眼鏡蛇入侵檢測系統(tǒng)可以簡潔的完成對以下的攻擊識別：網絡信息收集、網絡效勞缺陷