网络安全设计专项方案.doc

1、1.1 某市政府网络系统现实状况分析 　　《某市电子政务工程总体计划方案》关键建设内容为：一个专网(政务通信专网)，一个平台(电子政务基础平台)，一个中心(安全监控和备份中心)，七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库)，十二大系统(政府办公业务资源系统、经济管理信息系统、政务决议服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。关键包含： 　　政务通信专网

2、 　　电子政务基础平台 　　安全监控和备份中心 　　政府办公业务资源系统 　　政务决议服务信息系统 　　综合地理信息系统 　　多媒体增值服务信息系统 　　某市政府中心网络安全方案设计 　　1.2 安全系统建设目标 　　本技术方案意在为某市政府网络提供全方面网络系统安全处理方案，包含安全管理制度策略制订、安全策略实施体系结构设计、安全产品选择和布署实施，和长久合作和技术支持服务。系统建设目标是在不影响目前业务前提下，实现对网络全方面安全管理。 　　1) 将安全策略、硬件及软件等方法结合起来，组成一个统一防御系统，有效阻止非法用户进入网络，降低网络安全风险； 　　2) 经

3、过布署不一样类型安全产品，实现对不一样层次、不一样类别网络安全问题防护； 　　3) 使网络管理者能够很快重新组织被破坏了文件或应用。使系统重新恢复到破坏前状态。最大程度地降低损失。 　　具体来说，本安全方案能够实现全方面网络访问控制，并能够对关键控制点进行细粒度访问控制； 　　其次，对于经过对网络流量进行实时监控，对关键服务器运行情况进行全方面监控。 　　1.2.1 防火墙系统设计方案 　　1.2.1.1 防火墙对服务器安全保护 　　网络中应用服务器，信息量大、处理能力强，往往是攻击关键对象。另外，服务器提供多种服务本身有可能成为"黑客"攻击突破口，所以，在实施方案时要对服务器安全

4、进行一系列安全保护。 　　假如服务器没有加任何安全防护方法而直接放在公网上提供对外服务，就见面临着"黑客"多种方法攻击，安全等级很低。所以当安装防火墙后，全部访问服务器请求全部要经过防火墙安全规则具体检测。只有访问服务器请求符合防火墙安全规则后，才能经过防火墙抵达内部服务器。防火墙本身抵御了绝大部分对服务器攻击，外界只能接触到防火墙上特定服务，从而预防了绝大部分外界攻击。 　　1.2.1.2 防火墙对内部非法用户防范 　　网络内部环境比较复杂，而且各子网分布地域宽广，网络用户、设备接入可控性比较差，所以，内部网络用户可靠性并不能得到完全确保。尤其是对于存放敏感数据主机攻击往往发自内部用户

5、怎样对内部用户进行访问控制和安全防范就显得尤其关键。为了保障内部网络运行可靠性和安全性，我们必需要对它进行详尽分析，尽可能防护到网络每一节点。 　　对于通常网络应用，内部用户能够直接接触到网络内部几乎全部服务，网络服务器对于内部用户缺乏基础安全防范，尤其是在内部网络上，大部分主机没有进行基础安全防范处理，整个系统安全性轻易受到内部用户攻击威胁，安全等级不高。依据国际上流行处理方法，我们把内部用户跨网段访问分为两大类：其一，是内部网络用户之间访问，即单机到单机访问。这一层次上应用关键有用户共享文件传输(NETBIOS)应用；其次，是内部网络用户对内部服务器访问，这一类应用关键发生在内部用户业

6、务处理时。通常内部用户对于网络安全防范意识不高，假如内部人员提议攻击，内部网络主机将无法避免地遭到损害，尤其是针对于NETBIOS文件共享协议，已经有很多漏洞在网上公开报道，假如网络主机保护不完善，就可能被内部用户利用"黑客"工具造成严重破坏。 　　1.2.2 入侵检测系统 　　利用防火墙技术，经过仔细配置，通常能够在内外网之间提供安全网络保护，降低了网络安全风险，不过入侵者可寻求防火墙背后可能敞开后门，入侵者也可能就在防火墙内。 　　网络入侵检测系统在有敏感数据需要保护网络上，经过实时侦听网络数据流，寻求网络违规模式和未授权网络访问尝试。当发觉网络违规行为和未授权网络访问时，网络监控系

7、统能够依据系统安全策略做出反应，包含实时报警、事件登录，或实施用户自定义安全策略等。网络监控系统能够布署在网络中有安全风险地方，如局域网出入口、关键保护主机、远程接入服务器、内部网关键工作站组等。在关键保护区域，能够单独各布署一套网络监控系统(管理器+探测引擎)，也能够在每个需要保护地方单独布署一个探测引擎，在全网使用一个管理器，这种方法便于进行集中管理。 　　在内部应用网络中关键网段，使用网络探测引擎，监视并统计该网段上全部操作，在一定程度上预防非法操作和恶意攻击网络中关键服务器和主机。同时，网络监视器还能够形象地重现操作过程，可帮助安全管理员发觉网络安全隐患。 　　需要说明是，IDS是

8、对防火墙很有必需附加而不仅仅是简单补充。 根据现阶段网络及系统环境划分不一样网络安全风险区域，xxx市政府本期网络安全系统项目标需求为： 　　区域 布署安全产品 　　内网 连接到Internet出口处安装两台互为双机热备海信FW3010PF-4000型百兆防火墙；在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器；在主干交换机上安装NetHawk网络安全监控和审计系统；在内部工作站上安装趋势防毒墙网络版防病毒软件；在各服务器上安装趋势防毒墙服务器版防病毒软件。 　　DMZ区 在服务器上安装趋势防毒墙服务器版防病毒软件；安装一台InterScan VirusWall防病毒网关；安装百

9、兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控和审计系统。 　　安全监控和备份中心 安装FW3010-5000千兆防火墙，安装RJ-iTOP榕基网络安全漏洞扫描器；安装眼镜蛇入侵检测系统控制台和百兆探测器；安装趋势防毒墙服务器版管理服务器，趋势防毒墙网络版管理服务器，对各防病毒软件进行集中管理。 　　1.3 防火墙安全系统技术方案 　　某市政府局域网是应用中心，存在大量敏感数据和应用，所以必需设计一个高安全性、高可靠性及高性能防火墙安全保护系统，确保数据和应用万无一失。 　　全部局域网计算机工作站包含终端、广域网路由器、服务器群全部直接汇接到主干交换机上。因为工作站分布较广

10、且全部连接,对中心服务器及应用组成了极大威胁，尤其是可能经过广域网上工作站直接攻击服务器。所以，必需将中心和广域网进行隔离防护。考虑到效率，数据关键在主干交换机上流通，经过防火墙流入流出流量不会超出百兆，所以使用百兆防火墙就完全能够满足要求。 　　以下图，我们在中心机房DMZ服务区上安装两台互为冗余备份海信FW3010PF-4000百兆防火墙，DMZ口经过交换机和WWW/FTP、DNS/MAIL服务器连接。同时，安装一台Fw3010PF-5000千兆防火墙，将安全和备份中心和其它区域逻辑隔离开来 经过安装防火墙，实现下列安全目标： 　　1) 利用防火墙将内部网络、Internet

11、外部网络、DMZ服务区、安全监控和备份中心进行有效隔离，避免和外部网络直接通信； 　　2) 利用防火墙建立网络各终端和服务器安全保护方法，确保系统安全； 　　3) 利用防火墙对来自外网服务请求进行控制，使非法访问在抵达主机前被拒绝； 　　4) 利用防火墙使用IP和MAC地址绑定功效，加强终端用户访问认证，同时在不影响用户正常访问基础上将用户访问权限控制在最低程度内； 　　5) 利用防火墙全方面监视对服务器访问，立即发觉和阻止非法操作； 　　6) 利用防火墙及服务器上审计统计，形成一个完善审计体系，建立第二条防线； 　　7) 依据需要设置流量控制规则，实现网络流量控制，并设置基于时间

12、段访问控制。 　　1.4 入侵检测系统技术方案 　　以下图所表示，我们提议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测器，DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网用户和外网用户对主机访问，在安全监控和备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台，由系统控制台进行统一管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。 　　其中，海信眼镜蛇网络入侵检测系统还能够和海信FW3010PF防火墙进行联动，一旦发觉由外部提议攻击行为，将向防火墙发送通知报文，由防火墙来阻断连接，实现动态安全防护体系

13、海信眼镜蛇入侵检测系统能够联动防火墙有：海信FW3010PF防火墙，支持OPSEC协议防火墙。 　　经过使用入侵检测系统，我们能够做到： 　　1) 对网络边界点数据进行检测，预防黑客入侵； 　　2) 对服务器数据流量进行检测，预防入侵者蓄意破坏和篡改； 　　3) 监视内部用户和系统运行情况，查找非法用户和正当用户越权操作； 　　4) 对用户非正常活动进行统计分析，发觉入侵行为规律； 　　5) 实时对检测到入侵行为进行报警、阻断，能够和防火墙/系统联动； 　　6) 对关键正常事件及异常行为统计日志，进行审计跟踪管理。 　　经过使用海信眼镜蛇入侵检测系统能够轻易完成对以下攻击识别：网络信息搜集、网络服务缺点攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。 　　网络给某市政府带来巨大便利同时，也带来了很多挑战，其中安全问题尤为突出。加上部分人缺乏安全控制机制和对网络安全政策及防护意识认识不足，这些风险会日益加重。引发这些风险原因有多个，其中网络系统结构和系统应用等原因尤为关键。关键包含物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等方面。经过以上方案设计和实施，全部安全隐患就得到了良好改善。（完