網(wǎng)絡(luò)安全設(shè)計方案

1.1

某市政府網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析《某市電子政務(wù)工程總體規(guī)劃方案》主要建設(shè)內(nèi)容為：一個專網(wǎng)(政務(wù)通信專網(wǎng))，一個平臺(電子政務(wù)基礎(chǔ)平臺)，一個中心(安全監(jiān)控和備份中心)，七大數(shù)據(jù)庫(經(jīng)濟信息數(shù)據(jù)庫、法人單位基礎(chǔ)信息數(shù)據(jù)庫、自然資源和空間地理信息數(shù)據(jù)庫、人口基礎(chǔ)信息庫、社會信用數(shù)據(jù)庫、海洋經(jīng)濟信息數(shù)據(jù)庫、政務(wù)動態(tài)信息數(shù)據(jù)庫)，十二大系統(tǒng)(政府辦公業(yè)務(wù)資源系統(tǒng)、經(jīng)濟管理信息系統(tǒng)、政務(wù)決策服務(wù)信息系統(tǒng)、社會信用信息系統(tǒng)、城市通卡信息系統(tǒng)、多媒體增值服務(wù)信息系統(tǒng)、綜合地理信息系統(tǒng)、海洋經(jīng)濟信息系統(tǒng)、金農(nóng)信息系統(tǒng)、金水信息系統(tǒng)、金盾信息系統(tǒng)、社會保障信息系統(tǒng))。主要包括：政務(wù)通信專網(wǎng)電子政務(wù)基礎(chǔ)平臺安全監(jiān)控和備份中心政府辦公業(yè)務(wù)資源系統(tǒng)政務(wù)決策服務(wù)信息系統(tǒng)綜合地理信息系統(tǒng)多媒體增值服務(wù)信息系統(tǒng)某市政府中心網(wǎng)絡(luò)安全方案設(shè)計1.2

安全系統(tǒng)建設(shè)目標(biāo)本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全管理制度策略的制定、安全策略的實施體系結(jié)構(gòu)的設(shè)計、安全產(chǎn)品的選擇和部署實施，以及長期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對網(wǎng)絡(luò)的全面安全管理。1)

將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險；2)

通過部署不同類型的安全產(chǎn)品，實現(xiàn)對不同層次、不同類別網(wǎng)絡(luò)安全問題的防護(hù)；3)

使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。具體來說，本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制，并能夠?qū)χ匾刂泣c進(jìn)行細(xì)粒度的訪問控制；其次，對于通過對網(wǎng)絡(luò)的流量進(jìn)行實時監(jiān)控，對重要服務(wù)器的運行狀況進(jìn)行全面監(jiān)控。1.2.1

防火墻系統(tǒng)設(shè)計方案1.2.1.1

防火墻對服務(wù)器的安全保護(hù)網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強，往往是攻擊的主要對象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為"黑客"攻擊的突破口，因此，在實施方案時要對服務(wù)器的安全進(jìn)行一系列安全保護(hù)。如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對外服務(wù)，就會面臨著"黑客"各種方式的攻擊，安全級別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測。只有訪問服務(wù)器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。1.2.1.2

防火墻對內(nèi)部非法用戶的防范網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運行的可靠性和安全性，我們必須要對它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點。對于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機沒有進(jìn)行基本的安通過安裝防火墻，實現(xiàn)下列的安全目標(biāo)：1)

利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)

利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)

利用防火墻對來自外網(wǎng)的服務(wù)請求進(jìn)行控制，使非法訪問在到達(dá)主機前被拒絕；

4)

利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認(rèn)證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

5)

利用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作；

6)

利用防火墻及服務(wù)器上的審計記錄，形成一個完善的審計體系，建立第二條防線；

7)

根據(jù)需要設(shè)置流量控制規(guī)則，實現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。1.4

入侵檢測系統(tǒng)技術(shù)方案如下圖所示，我們建議在局域網(wǎng)中心交換機安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)千兆探測器，DMZ區(qū)交換機上安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器，用以實時檢測局域網(wǎng)用戶和外網(wǎng)用戶對主機的訪問，在安全監(jiān)控與備份中心安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器和海信眼鏡蛇入侵檢測系統(tǒng)控制臺，由系統(tǒng)控制臺進(jìn)行統(tǒng)一的管理(統(tǒng)一事件庫升級、統(tǒng)一安全防護(hù)策略、統(tǒng)一上報日志生成報表)。其中，海信眼鏡蛇網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以與海信FW3010PF防火墻進(jìn)行聯(lián)動，一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為，將向防火墻發(fā)送通知報文，由防火墻來阻斷連接，實現(xiàn)動態(tài)的安全防護(hù)體系。海信眼鏡蛇入侵檢測系統(tǒng)可以聯(lián)動的防火墻有：海信FW3010PF防火墻，支持OPSEC協(xié)議的防火墻。通過使用入侵檢測系統(tǒng)，我們可以做到：1)

對網(wǎng)絡(luò)邊界點的數(shù)據(jù)進(jìn)行檢測，防止黑客的入侵；

2)

對服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測，防止入侵者的蓄意破壞和篡改；

3)

監(jiān)視內(nèi)部用戶和系統(tǒng)的運行狀況，查找非法用戶和合法用戶的越權(quán)操作；

4)

對用戶的非正?；顒舆M(jìn)行統(tǒng)計分析，發(fā)現(xiàn)入侵行為的規(guī)律；

5)

實時對檢測到的入侵行為進(jìn)行報警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動；

6)

對關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計跟蹤管理。通過使用海信眼鏡蛇入侵檢測系統(tǒng)可以容易的完成對以下的攻擊識別：網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門攻擊等。網(wǎng)絡(luò)給某市政府帶來巨大便利的同時，也帶來了許多挑戰(zhàn)，其中安全問題尤為突出。加上一些人缺乏安全控制機制和對網(wǎng)絡(luò)安全政