網(wǎng)絡(luò)安全設(shè)計(jì)方案

1.1

某市政府網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析《某市電子政務(wù)工程總體規(guī)劃方案》主要建設(shè)內(nèi)容為：一個(gè)專網(wǎng)(政務(wù)通信專網(wǎng))，一個(gè)平臺(tái)(電子政務(wù)基礎(chǔ)平臺(tái))，一個(gè)中心(安全監(jiān)控和備份中心)，七大數(shù)據(jù)庫(經(jīng)濟(jì)信息數(shù)據(jù)庫、法人單位基礎(chǔ)信息數(shù)據(jù)庫、自然資源和空間地理信息數(shù)據(jù)庫、人口基礎(chǔ)信息庫、社會(huì)信用數(shù)據(jù)庫、海洋經(jīng)濟(jì)信息數(shù)據(jù)庫、政務(wù)動(dòng)態(tài)信息數(shù)據(jù)庫)，十二大系統(tǒng)(政府辦公業(yè)務(wù)資源系統(tǒng)、經(jīng)濟(jì)管理信息系統(tǒng)、政務(wù)決策服務(wù)信息系統(tǒng)、社會(huì)信用信息系統(tǒng)、城市通卡信息系統(tǒng)、多媒體增值服務(wù)信息系統(tǒng)、綜合地理信息系統(tǒng)、海洋經(jīng)濟(jì)信息系統(tǒng)、金農(nóng)信息系統(tǒng)、金水信息系統(tǒng)、金盾信息系統(tǒng)、社會(huì)保障信息系統(tǒng))。主要包括：政務(wù)通信專網(wǎng)電子政務(wù)基礎(chǔ)平臺(tái)安全監(jiān)控和備份中心政府辦公業(yè)務(wù)資源系統(tǒng)政務(wù)決策服務(wù)信息系統(tǒng)綜合地理信息系統(tǒng)多媒體增值服務(wù)信息系統(tǒng)某市政府中心網(wǎng)絡(luò)安全方案設(shè)計(jì)1.2

安全系統(tǒng)建設(shè)目標(biāo)本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全管理制度策略的制定、安全策略的實(shí)施體系結(jié)構(gòu)的設(shè)計(jì)、安全產(chǎn)品的選擇和部署實(shí)施，以及長(zhǎng)期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全管理。1)

將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險(xiǎn)；2)

通過部署不同類型的安全產(chǎn)品，實(shí)現(xiàn)對(duì)不同層次、不同類別網(wǎng)絡(luò)安全問題的防護(hù)；3)

使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。具體來說，本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制，并能夠?qū)χ匾刂泣c(diǎn)進(jìn)行細(xì)粒度的訪問控制；其次，對(duì)于通過對(duì)網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)重要服務(wù)器的運(yùn)行狀況進(jìn)行全面監(jiān)控。1.2.1

防火墻系統(tǒng)設(shè)計(jì)方案1.2.1.1

防火墻對(duì)服務(wù)器的安全保護(hù)網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為"黑客"攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)，就會(huì)面臨著"黑客"各種方式的攻擊，安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。1.2.1.2

防火墻對(duì)內(nèi)部非法用戶的防范網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。對(duì)于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對(duì)于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安通過安裝防火墻，實(shí)現(xiàn)下列的安全目標(biāo)：1)

利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；

2)

利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；

3)

利用防火墻對(duì)來自外網(wǎng)的服務(wù)請(qǐng)求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；

4)

利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時(shí)在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；

5)

利用防火墻全面監(jiān)視對(duì)服務(wù)器的訪問，及時(shí)發(fā)現(xiàn)和阻止非法操作；

6)

利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個(gè)完善的審計(jì)體系，建立第二條防線；

7)

根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時(shí)間段的訪問控制。1.4

入侵檢測(cè)系統(tǒng)技術(shù)方案如下圖所示，我們建議在局域網(wǎng)中心交換機(jī)安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)千兆探測(cè)器，DMZ區(qū)交換機(jī)上安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)百兆探測(cè)器，用以實(shí)時(shí)檢測(cè)局域網(wǎng)用戶和外網(wǎng)用戶對(duì)主機(jī)的訪問，在安全監(jiān)控與備份中心安裝一臺(tái)海信眼鏡蛇入侵檢測(cè)系統(tǒng)百兆探測(cè)器和海信眼鏡蛇入侵檢測(cè)系統(tǒng)控制臺(tái)，由系統(tǒng)控制臺(tái)進(jìn)行統(tǒng)一的管理(統(tǒng)一事件庫升級(jí)、統(tǒng)一安全防護(hù)策略、統(tǒng)一上報(bào)日志生成報(bào)表)。其中，海信眼鏡蛇網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)還可以與海信FW3010PF防火墻進(jìn)行聯(lián)動(dòng)，一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為，將向防火墻發(fā)送通知報(bào)文，由防火墻來阻斷連接，實(shí)現(xiàn)動(dòng)態(tài)的安全防護(hù)體系。海信眼鏡蛇入侵檢測(cè)系統(tǒng)可以聯(lián)動(dòng)的防火墻有：海信FW3010PF防火墻，支持OPSEC協(xié)議的防火墻。通過使用入侵檢測(cè)系統(tǒng)，我們可以做到：1)

對(duì)網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行檢測(cè)，防止黑客的入侵；

2)

對(duì)服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測(cè)，防止入侵者的蓄意破壞和篡改；

3)

監(jiān)視內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作；

4)

對(duì)用戶的非正常活動(dòng)進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；

5)

實(shí)時(shí)對(duì)檢測(cè)到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻/系統(tǒng)聯(lián)動(dòng)；

6)

對(duì)關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。通過使用海信眼鏡蛇入侵檢測(cè)系統(tǒng)可以容易的完成對(duì)以下的攻擊識(shí)別：網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門攻擊等。網(wǎng)絡(luò)給某市政府帶來巨大便利的同時(shí)，也帶來了許多挑戰(zhàn)，其中安全問題尤為突出。加上一些人缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政