林业厅整体安全解决方案

xx省林业厅二○一一年七月

目 录第一章 前言 3 政府网络安全背景 3政府网络安全现状及挑战 3政府网络安全的前进之路 4 国家关于网络信息安全的政策 4国家信息安全的形势 5近年国内政府秘密受攻击的案例 6 林业厅网络安全建设意义和必要性 8建设意义 8建设必要性 9第二章政府网络安全建设目标及内容 102.1指导思想 10建设目标 11政府网安全的应用需求 11第三章林业厅整体网络安全方案 11林业厅政府网整体安全建设的需求及意义 11安全信息化政府网的意义 12 政府网络安全的意义 13林业厅整体网络安全 15．政府网出口统一审计控制 16．政府网内部安全攻击监控和防御 17．政府网邮件应用安全防护 错误！未定义书签。．政府网服务器安全防护 19第四章 林业厅整体网络安全建议选型方案 23 信息安全建议的政府网方案 23网络安全方案的设计原则 23各层次的安全解决方案 32 信息安全政府网推荐方案 46强化应用安全解决邮件系统 错误！未定义书签。综合管理平台解决众多品牌不同设备的管理 51第五单 林业厅二套方案设备简述 53 整体网络安全建议方案 53 整体网络安全备选建议方案 53

第一章 前言 政府网络安全背景政府网络安全现状及挑战经过多年以来信息化工程的建设，政府中信息化的应用也越来越高，并取得了突飞猛进的发展。但是在成绩的背后，存在的安全问题也很突出。当今网络环境的复杂性、多变性以及信息系统的脆弱性、开放性和易受攻击性，决定了网络安全威胁的客观存在。人们在享受到各种生活便利和沟通便捷的同时，网络安全问题也日渐突出、形势日益严峻。网络攻击、病毒传播、垃圾邮件等迅速增长，利用网络进行盗窃、诈骗、敲诈勒索、窃密等案件逐年上升，严重影响了网络的正常秩序，严重损害了网民的利益；网上色情、暴力等不良和有害信息的传播，严重危害了学生的身心健康。网络系统的安全性和可靠性正在成为世界各国共同关注的焦点，近期在我国政府中的国家秘密及信息安全也是特别受到国家相关部门的重视。另外，虽然各政府信息化建设过程中基础网络已初具规模，实现了网络的基本覆盖和联通，以及信息化应用服务于政府的研发和生产，但是网络的管理问题也很严重。据统计，超过70%-90%的流量是非核心业务的流量。政府员工的BT下载、聊天、游戏等网络行为对于政府正常运行的研发、办公和管理等业务的开展造成了比较大的负面影响，如政府中的远程沟通、视频会议系统等实时和高带宽业务得不到足够的资源和带宽保障。同时，政府网络没有标准化的、成熟的安全解决方案，目前大多数的政府是通过防火墙及核心的交换机、路由器上配置的ACL作为安全保障措施，但实际上无法真正抵御病毒和攻击，基础网络的服务质量无法保证。如何保证基础网络畅通无阻及安全可靠，保障政府各项业务的正常开展是政府必须面对和解决的突出的难题。1.1.2政府网络安全的前进之路面对问题和挑战，结合国家“十一五”振兴规划，各级政府部门也纷纷制定了各自的“十一五”信息化发展战略。而信息化发展的前提就是先要建立成起安全稳定、防范管理、审计控制的整体网络安全体系。“十一五”信息化规划的基本内容如下：完善网络基础设施建设，实现随时随地的上网，整体网络高速畅通、安全可信、稳定可靠、审计管理、防范控制；完善数据共享基础平台的建设，包括统一的信息资源库、统一的电子身份认证系统的建设；完善和创新网络服务平台。国家关于网络信息安全的政策从互联网“诞生”至今，全球网民数量已接近7亿。在国际刑法界列举的现代社会新型犯罪排行榜上，计算机犯罪和网络侵权已名列榜首。无论是数量、手段，还是性质、规模，都出乎人们的意料。据有关方面统计，目前美国每年由于网络安全问题而遭受的经济损失超过170亿美元，德国、英国也均在10亿美元以上，法国为100亿法郎，日本、新加坡问题也很严重。比经济损失更为严重的是，人们将逐渐对全球网络的安全失去信心。网络问题不断，人们还怎么敢使用它？一旦不用网络，再好的网络服务也维持不下去。特别是全球互联网规模在不断扩大、技术含量不断提高，这些都要求有一个高可靠性、高质量的网络来承载，支撑由此带来的网络流量、管理控制、交换传输的复杂变化，这些都对全球网络的安全提出了新的更高要求。我国从早就意识到这方面的情况，并且在1994年开始就相继颁布了相关的法律法规，我国保密局等相关部门也十分重视这方面的建设要求在国家保密局的网站也有明确指示。《中华人民共和国计算机信息系统安全保护条例》；《中国教育和科研计算机网管理办法(试行)》《中华人民共和国计算机信息网络国际联网管理暂行规定》；《计算机信息网络国际联网安全保护管理办法》公安部33号令；《国务院信息办关于中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》；《国家保密局关于计算机信息网络国际联网保密管理规定》；《关于信息安全等级保护工作的实施意见（公通字[2004]66号）》《互联网安全保护技术措施规定》公安部82号令；《信息安全等级保护管理办法（公通字[2007]43号）》1.2.1近年来，网络病毒泛滥、安全事件频频发生可以说是一个总趋势。拿2005年上半年为例，据CNCERT/CC统计，从2005年1月1日到2005年6月30日，全球共新增蠕虫、木马、病毒等恶意代码11851种，是前一年同期增长数量的1.2倍。自2005年起，安全将会越来越成为我们网络稳定可靠运营的一个保障。根据美国FBI的调查，美国每年因为网络安全造成的经济损失超过170亿美元。从IDC网络安全调查数据来看，网络的安全威胁主要来自三个方面：第一、网络的恶意破坏者，也就是我们所说的黑客，造成的正常网络服务的不可用、系统/数据的破坏；第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播；第三、就是别有用心的间谍人员，通过窃取他人身份进行越权数据访问，以及偷取机密的或者他人的私密信息。其中，由于内部人员而造成的网络安全问题占到了70%。面临着更严峻的网络安全形势。越来越多的报道表明由商业秘密而带来和商业利益使政府网络已逐渐成为黑客的攻击重点。这一方面是由于网络病毒、黑客工具的泛滥，用户安全意识的淡薄，而另一方面，政府员工——对新鲜事物有着好奇心。有关数字显示，目前政府网遭受的恶意攻击，90%来自政府网络内部，如何保障政府网络的安全成为政府网络建设时不得不考虑的问题。1.2.2今天上半年国内国家秘密上半年,在北京市保密局盘处的泄密事件中，网上涉嫌泄密占到相当高的比例，为近年来所少见。案例一：社会同站登载涉密内容1、某门户网站下属的房地产专业网站登载《公安部关于xx的通知》，涉嫌泄密。在该刚站上查到的上述涉密信息，是注册名为“米糕”(化名)的用户在某论坛上发的帖子。2、“似曾相识雁归来”网站(化名)登载《x日记》一文，涉嫌泄密。经对该网站调查，确认该信息是一名网友在论坛上发布的。3、北京市互联网宣传管理办公室在“红心网”(化名)上发现一网民以发帖子的方式，介绍其参及购买某敏感器材的“幕后故事”，涉嫌泄密。案例二：登载内容及工作范围有关，但涉及国家秘密上互联网“中华x网”、“中x网”刊登《经济工作中国家秘密及其密级具体范围的抛定》，涉嫌泄密。这是北京市保密局对互联网进行检查时发现的。事后，市保密局分别向这两家网站发送了《责令删除互联网站涉密信息通知书》，责成网站对上述信息进行彻底删除。据两网站整改报告，信息是两家网站互相转载的。对此，市保密局要求网站引以为戒，加强对员工保密教育，强化各项管理，杜绝类似事件再次发生。案例三：汇编文件上网涉嫌泄密北京某信息网登载对敏感项日进行检查的道知，涉嫌泄密。经查，内容摘自某部门2001年编辑出版的《xx行业管理法规文件汇编》书。该书收集了全国人大、国务院以及相关部委，北京市人大、市政府等出台的法律、法规及规范性文件，目的是为了满足行政执法人员对有关法律法规的学习，是一本参考工具书。但此书在未经该部门保密办审核、市保密局审定的情况下，将前述涉及国家秘密内容的文件编辑并出版，严重违反丁有关保密规定。该书共印刷5000册，已发放2000余册，剩余部分已在2003年单位搬家时集中销毁。案例四：涉密文件上互联网1、北京市保密局发现“大华网”(化名)蹙裁中央领导同志在某项工作座谈会上的讲话，涉嫌泄密。2、北京市保密局发现北京市大学网站登载中央有关部门关于某工程建设的意见，涉嫌泄密。3、北京市保密局发现某区小学网站登载某项建没规划纲要，涉嫌泄密。据该网站前网管员回忆，该文是从互联网上发现并下载的，下载的目的是便于他人学习掌握有关精神。4、北京市保密局发现某政府公众信息网登载中央两办关丁加强某项资源开发的意见，涉赚泄密。1.2第一，保密工作部门加大了落实职能严格监管的力度。今年上半年，北京市保密局加大了对网络的监管力度，从中发现了不少问题，反映出我州信息化步伐加快后，保密管理相划滞后的问题。当然网上泄密事什的骤然增多，并不代表这些泄密事件都是今年出现的，其中有些涉密信息是前些年就登载在网上，属于陈年旧案，只是今年上半年才发现而已。第二，上述涉嫌泄密事件突出反映出一些涉密单位基础保密管理工作不到位，一些基本的工作机制或缺失，或执行不力，结果造成不应有的泄密。比如，保密教育是增强保密意识的有效力式，基本的涉密信息上网审批制度，对涉密信息起到有山的保护作用。再如，对控制国家秘密知悉范围的规定，不但要在源头上控制国家秘密不被外泄的基本要求；更要严格履行好国家秘密传递中的登记制度，有利于涉密单位的日常保密管理，也有利于临管部门在查处事件过程中取证，便于工作的开展。但在查处泄密事什过程中，保密工作部门发现，发生泄密的涉密单位存在保密管理制度缺失，或虽有保密制度但执行不力等问题，这不能不引起监管部门和其他涉密单位的极大警觉，必须进一步加强制度建设和执行的力度，把管理国家秘密的工作落实、做到位。第三，这里面反映出几个问题，一是保密工柞部门技术手段上的不足，限制了对涉嫌泄密事件的进一步调查取证。二是相关法律法规的缺失使保密工作部门无法规范社会网站的保密管理，有效促使其在制度上保证不登载涉密信息，进而加大对社会网站这一泄密“黑洞”的制约力度。三是保密壮治观念淡薄。当新奇的政治、军事、社会等内容上传到网站时，出于猎奇抢发新闻的动机，网站不加甄别地采用(有些无法甄别，多数还是能看出是涉密信息)，是造成社会网站频频发生泄密事件的根本原因之一，反映出网站管理方保密意识淡薄。林业厅网络安全建设意义和必要性建设意义林业厅网络是由重要政府职能部门的网络之一。林业厅其主要职责是：（一）贯彻执行国家关于森林生态环境建设、森林资源保护和国土绿化的方针、政策和法律、法规，研究拟定地方性林业法规、规章并监督实施。（二）研究拟定全省林业发展战略、中长期发展规划和年度计划并监督实施；管理省级林业资金；监督全省林业资金的管理和使用。（三）组织开展植树造林和封山育林以及国土种草（不包括农田种草、牧场种草）工作；组织、指导以植树种草等生物措施防治水土流失和防沙治沙工作；指导全省国有林业局、国有林场（苗圃）、林业工作站及集体林场的建设和管理；组织指导全省森林病虫鼠害防治工作和森林植物检疫工作。（四）负责全省森林资源的管理；负责派驻森林资源监督机构的管理；组织全省森林资源调查、动态监督和统计；审核、监督森林资源的使用；组织编制森林采伐限额并监督执行；负责林木凭证采伐、运输；组织指导林地（含生态草地、芦苇用地）、林权管理并依法对应由国家和省政府批准的林地征用、占用进行初审。（五）组织、指导陆生野生动植物资源的保护和合理开发利用；组织指导全省森林和陆生野生动物类型自然保护区的建设和管理；组织、协调全省湿地保护管理工作。（六）组织协调、指导监督全省森林防火工作；协调全省林业公、检、法工作及队伍建设工作。（七）制定全省林业科技发展规划，组织安排重大科研项目，负责新技术、新成果开发、推广和应用；提供科技信息服务；负责全省林产品许可证发放和管理。（八）研究提出林业发展的经济调节意见；监管国有林业资产，审批重点林业建设项目。（九）指导各类商品林（包括用材林、经济林、薪炭林、药用林等）和风景林的培育。（十）承办省政府交办的其他事项等。林业厅领导历来重视本部门的信息化建设，林业厅的各种网络是实现政府信息化最重要的基础设施。展望未来，信息化的发展是政府高速发展必不可少的条件之一，而实现的基础就是计算机网络的安全。林业厅网络包括：涉密网、内部网(业务网)、外部网(公开网站等)三个部分。建设必要性林业厅网络信息安全建设是一个全面系统的工程，而针对国家政策及省部委的要求信息化发展要走一条“安全管理、和谐建设、稳定快速发展”的道路。而从网络安全建设管理方面主要突出二方面的必要性：一、林业厅在员工上网管理及安全的必要性政府网络及互联网相连不但是加强的政府对外的宣传，同时可能成为黑客关注和攻击的目标。而政府员工内部上网形为由于其自身信息化水平及网络安全意识等原因有可能造成政府网络安全的隐患，这对政府信息化的健康成长是十分危险的。二、网络出口管理及审计的必要性互联网时代的到来，使政府的办公、管理活动越来越依赖于网络，在信息网络的使用，在给政府带来更广泛的交流空间的同时，也带来了巨大的负面影响，如果管理不当，甚至可能出现在资源重大浪费的同时，管理效率下降的恶果。请看以下的一些统计数据（由互联网统计中心做出）。在政府有60%-70%的上网访问活动及工作无关70%的无关方面的访问都是发生在上午9点-下午5点的时间视频、音频等流媒体的使用从现在到2009年将增长二倍全国60%以上的政府建立了上网行为监管全国40%以上的政府对网络出口进行了有效流量管理 第二章政府网络安全建设目标及内容2.1指导思想按国家公安部、国家保密局、国家密码办等关于2007全年全面开展全国信息安全等级化保护的要求有规定。国家要求各级部委及下属单位、各级政府对所涉及的信息安全的信息系统进行定级备案和等级划分和评估。而根据这方面的国家指示和要求，林业厅在此次网络安全的指导思想主要在下面几个方面进行注意：物理安全；网络安全；主机安全；应用安全；数据安全林业厅此次政府网整体安全建设的指导思想和原则是：适应厂情，详细规划，论证合理，逐步发展，保持先进。建成一个具有一定规模容量，技术先进、功能齐全、、安全可靠、审计管理、全面控制，适应全方位、多层次需求的现代化的安全网络。设计简单、结构灵活、可塑性好，便于更新调整和扩展升级。2.2建设目标政府网安全的应用需求政府网平台建设均采取“总体规划、方案论证、分步实施”的方式积极推进政府信息化进程。根据各政府的特点制定信息化建设数据标准，建立了结构合理的安全数字化政府平台，实施了政府网络平台及政府资源中心、综合管理系统、办公信息管理系统、电子邮件系统及邮件网关等。信息化应用取得明显成效，显著提升了政府办公及管理水平。合理使用互联网资料、充分保障内网办公安全、严格管理控制专网使用将是政府网络安全的最需要考虑的方面。第三章林业厅整体网络安全方案3.1林业厅政府网整体安全建设的需求及意义林业厅网络包括涉密网、内部网(业务网)、外部网(公开网站等)三个部分。其中，政务内网、外网承载着财政、审计等功能。总的节点有数百台，设备众多。而涉密网中存储着政务中的各种机要文件，如全省相关行业的核心经济数据、省重要干部信息、中央下发的涉密工作文件等。林业厅在信息安全方面也作了大量工作，出于安全的考虑，已经将网络中的涉密网及政务内、外网进行了物理隔离。两个网络的数据不能相互通信。而涉密网也及因特网隔离，保证了涉密数据不外泄。然而在日常工作中，涉密网中的某个职员想在因特网上进行数据查询，考虑到去政务外网中查询不太方便，该职员就在涉密网终端上通过连接政务外网网线的方式，访问了因特网。该职员在因特网上浏览网页时，访问了某个论坛，而这个论坛正好被黑客攻击了，网页上被挂了利用“网页木马生成器”打包进去的灰鸽子变种病毒。黑客利用“自动下载程序技术”，让该职员在未察觉的情况下可能会被种植了木马。随着国家政府上网工程的不断开展，我国计算机及网络泄密案件也在逐年增加。据报道，在上年的一起网络间谍案调查中，有关部门从政府某部门的内部电脑网络发行了非法外联的情况，并在许多内部电脑中检测出了不少特制的木马程序，检测结果表明，所有入侵木马的连接都指向境外的特定间谍机构。专业部门进行检测时，测出的木马很多还正在下载、外传资料，专业人员当即采取措施，制止了进一步的危害。3安全信息化政府网的意义政府信息化应该是以IP通信平台为基础,实现环境(特别是重点、敏感区域的视频监控)、资源（网络资源、存储资源、计算资源）、到活动（网络的开放架构对定制业务的支持）的全部数字化，利用标准的ITOIP解决方案，以IP技术为标准技术，利用SOA开放架构实现对整体IT平台的统一集成支撑并保障其在网络中的信息安全可靠。建设安全可靠的政府网络平台 具备网络结构优化能力——政府网的整体架构具备更有效的容灾能力，以应对故障节点、故障链路、路由震荡所带来对业务的影响；而随着政府核心网的普及，应用对带宽新的要求，政府网需要具备网络千兆到汇聚的升级能力、以及关键业务千兆到桌面的能力； 具备网络业务拓展能力——政府业务可平滑向下一代网络迁移，向IPv6迁移兼容现有政府组网环境，IPv6完全由分布式硬件完成，保护投资；政府业务可以随时随地使用，政府业务可以基于移动漫游环境，移动漫游环境无需管理者手工干预 具备安全渗透防御能力——政府网出口具备攻击、非法业务的隔离、控制，具备在线主动抵御的能力；政府核心网络自身集成安全防御能力，缩小攻击、病毒在政府影响范围；用户接入网络屏蔽用户非法操作，隔离网络攻击3.1.2 政府网络安全面对全球性的信息技术发展环境，中国的政府部门一直在加强信息化建设的步伐。自十几年前政府网建设启动至今，目前100%的省市级政府建立了政府网。目前政府信息系统已由基础网络建设向内容建设迈进，管理、增值、合作等越来越多的应用在政府网络上运行。随着信息系统的广泛使用，信息的安全、可靠、服务的连续运行变得越来越重要，任何的停机会让我们无所适从，迫使我们不得不考虑信息系统的整体安全性建设。其存在以下安全风险和其脆弱性：政府信息网平台比较开放，终端数量庞大，非常容易受到来自CERNET本身的安全威胁，例如网络蠕虫传播、安全攻击，垃圾邮件泛滥等等。此外，政府网终端没有统一的管理，每台机器上的操作系统安全漏洞补丁不能及时更新。这些威胁都会严重影响政府网络的正常使用。政府在联系网使用过程中的数据需要采取严格的安全保护措施。对这部分网络的访问并不一定完全是政府内部的人员，同时还会有相关的政府以外的人员。必须要对该网段的访问进行严格的监控和控制措施，以保障其信息的完整性。政府网的管理结构相对简单，没有系统的安全管理和安全事件监控机制。一旦遇到网络蠕虫传播、垃圾邮件拥塞、安全攻击等紧急情况，没有相应的处理流程。而且，如果只是通过被动的事后响应，政府投入的IT资源回报无法最大化，总是在事倍功半的恶性循环之中。通过上述总结分析可以看出，政府网的安全防护必须是多层次的，全方位的。根据政府网的实际情况，设计了完整、先进的政府网主动安全防护体系也是十分必要的。3.1.3 政府网络涉密通常出现的隐患 非法外联的威胁 现在，一些安全性较高的内部网络(如政府部门、军事部门的网络)常常及外部网络(如Internet)实施物理隔离，以确保其网络的安全性。物理隔离确保了外部网络和内部网络之间不存在任何可能的物理链路，因此这种安全手段对付外部攻击是十分高效的。但是，假如这样的网络中有某个主机通过拨号或其他形式私自接入外部网络，这种物理隔离就会被破坏。黑客极可能通过该主机进入内部网络，进而通过嗅探、破解密码等方式对内部的关键信息或敏感数据进行收集，或以该主机为“跳板”对内部网络的其他主机进行攻击。一直以来，安全防御理念局限在常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计、防病毒、IDS)等方面的防御，重要的安全设施大致集中于机房、网络入口处，在这些设备的严密监控下，来自网络外部的安全威胁大大减小。于是，来自网络内部的安全威胁成了多数网络管理人员真正需要面对的问题。在实施物理隔离的工作中，工作量最大的部分来自客户端的安全管理部分，对网络的正常运转威胁最大的也同样是客户端安全管理。我们知道，内网的客户端构成了内网90%以上的组成，当之无愧地成为内网安全的重中之重。实践证明，单纯的物理隔离手段还不足以完全将内部网络及外部网络隔离开来，对内网客户端机器使用、管理还存在众多安全隐患，特别是非法外联的隐患。“非法外联”主要表现为内网客户端机器内外网线交叉错接;内网客户端机器使用拨号、无线网卡、双网卡等方式接入外网;方便携带的笔记本电脑按入内部网络使用，事后又接入外部网络使用。这些人为故意或无意的疏忽，在内网及外网间开出了新的连接通道，外部的黑客攻击或者病毒就能够绕过内、外网之间的防护屏障，顺利侵入非法外联的计算机，盗窃内网的敏感信息和机密数据，甚至利用该机作为跳板，攻击、传染内网的重要服务器，导致整个内网工作瘫痪。木马入侵静悄悄内部终端非法外联到外部网络后，常碰到各种安全威胁，如病毒、木马、非授权访问、数据窃听、暴力破解等。其中木马是目前威胁比较广、威胁后果比较严重、常导致涉密信息泄漏的一种威胁。木马具有高度的隐蔽性，入侵后用户毫无察觉，这也给黑客盗取用户私人信息提供了“有利”条件。黑客往往通过邮件、IM工具以及网页挂马等方式将木马植入用户电脑，进而获得用户电脑的控制权，对用户电脑内的私人信息为所欲为。调查表明，木马入侵的重要的途径是涉密网络终端不遵守保密管理办法，例如非法接入到外部网络，移动介质和非移动介质混用等情况，境外间谍部门专门设计了各种各样的木马，并且搜集了我国大量保密单位工作人员的个人网址或在许多站点网页挂马，只要这些人当中有非法连接到互联网，摆渡木马就有可能悄悄植入内部网络终端，立刻感染内网，把保密资料传输到攻击者指定地方，从而实现保密信息的窃取。可以看出，在保密内网的安全建设中，非法外联和木马攻击是两大突出问题，需要在安全措施上提供完成全面的应对手段。3.2林业厅整体网络安全分析通过前面所述林业厅信息安全需求及意义总结分析可以看出，林业厅政府网的安全防护必须是多层次的，全方位的。根据政府网的实际情况，设计了完整、先进的政府网主动安全防护体系，它主要包括：－政府网络出口统一审计控制－政府网络内部安全监控和防御－政府网络内部重要服务器、应用防护－政府网络内部终端安全防护－政府网络出口流量的管理及控制政府网信息安全管理体系3.2.1．林业厅网络出口统一审计控制当今信息安全厂家比较多，根据财政部制定的《自主创新产品政府首购和订购管理办法》和《政府采购进口产品管理办法》近日开始实施。特别是国家公安部及国家保密局从2007全面开展的等级化保护及分级化保护等要求。我们建议在信息安全产品中还应该以国内产品为主。联想网御、启明星辰、任子行等都是国内在信息安全领域的著名制造厂家。它们采用了多种先进的安全技术，对进、出政府网的数据包进行检查、处理和控制。它可以满足政府网抵御混合型威胁的需要。作为业界最全面的统一威胁和审计管理设备，它将全封包检查防火墙、基于协议异常和基于特征的入侵防御及入侵检测引擎技术无缝地集成在一起。在政府网出口的地方，我们还可以利用建立出DMZ区域，放入一些对应的服务器，如WEB服务器，EMAIL服务器等。为了避免政府出口的单点故障，可以部署两台或多台设备。这些设备可以同时执行负载均衡和高可用性责任。以上方案的效果可以使管理员灵活控制来自CERNET的通讯流量，阻止各种政府外来黑客攻击和病毒、蠕虫以及垃圾邮件；对DMZ区和政府内部网络区别看待，使用不同的安全访问控制规则。除了在政府网出口部署统一威胁管理方案，还可以在政府外网的网段之间部署。设置适合本网段的安全访问控制规则及安全攻击检测规则，保护信息以合法的方式被访问。对于政府网的其它网段，可视情况部署同样的方案。利用防火墙部署在政府网出口和内部重要网段；利用网络安全审计部署在政府网出口和内部重要网段，作为政府网络中的网络审计及上网形为审计等方面。特点如下：全面记录网络访问信息强大高效的防泄密功能即时通讯、股票软件、游戏控制丰富的网站分类控制强大的日志查询及分析灵活直观的网络访问控制策略特别是应具有用旁路模式完全不会影响任何网络速度和网络上的应用。3.2.2．政府自从2003年冲击波病毒发作以来，安全问题已经成为所有政府和个人用户最为关注的问题。长期以来，IT管理人员都把保证系统的安全作为其关注的焦点，并实施了丰富的解决方案。但是实施的效果并不是非常理想。除了因为影响政府网络安全的因素比较复杂，要保证从网络，设备，系统到应用层的整体安全之外，更重要的一点是因为以往的安全解决方案大多是构建政府网络边界的安全屏障，而且往往针对某种特定的安全防护技术，针对内部的和全面的攻击方式缺乏前瞻性的预防。统计表明，安全威胁大部分来自于内部的攻击，而攻击产生的原因除了少量来自内部蓄意的恶意攻击之外，往往是由于用户对设备和应用使用的不规范性，用户系统本身的安全级别不高造成的。所面临严重的安全威胁现实要求，只有对用户的安全行为进行规范，对终端平台的安全性进行整体管理，才可以便被动防御为主动预防，消灭安全威胁的主要来源和传播途径。在这里就必须引入配置安全管理的概念。所谓的配置安全管理，是指使用安全管理工具，通过收集设备终端安全相关的细粒度信息和监控用户的安全行为，并通过远程操作迅速应对安全威胁来实现对终端系统安全的全面监控和保障。我政府由于现有网络安全设备不足这方面也是一样困惑和防碍网络大规模发展的因素之一。只单单依靠现有技术人员的手工操作已经无法适应我政府高速发展的信息化建设要求，也无法满足政府对于信息安全的渴求。该产品应该具有配置管理和安全管理集成的解决方案。部署在政府网具备如下特点：产品架构和通讯机制：安全套件包括主动的补丁管理，网络连接控制，间谍软件查杀，安全威胁分析，应用阻止/禁用，自定义漏洞等功能。这些功能的高效和准确实现基于安全套件统一的后台架构和通讯机制。网络连接控制器：通过网络连接和I/O设备来监控和限制对受管设备的访问。可以对允许设备连接的网络IP地址进行限制，也可以对那些允许访问设备数据的设备（如端口、调制解调器、驱动器、USB端口和无线连接）的使用进行限制。信任访问可以为整个政府网络提高终端的符合性安全：通过在安全和修补程序管理工具中配置自定义的符合性安全策略，对于试图访问政府网络的设备，强制性地通过验证过程保证这些安全策略的符合性。自动的厂家安全更新。来自厂家安全响应中心的定期、快速响应安全更新可提供顶尖的安全保护和最新的安全上下文信息，包括利用和漏洞信息、事件说明以及用于防御不断增多的威胁的事件细化规则。这些操作大大减少了政府管理员的维护工作量。3.2.4．政府网服务器安全防护内网危机往往在一般的网络拓扑中，内网的保护措施仅仅只有漏洞扫描，那么漏洞扫描所起到的作用只能是检测到未补丁、或安装了某些有漏洞的软件的机器，而且相对来说漏洞扫描的策略库是比较滞后的，必须是非常普及的漏洞才能检测得到，对新的或未知的漏洞没有任何作用，而且有一定误报率非常高，使管理员无法准确判断漏洞是否真的存在，延误了修补工作的进度。而且VLAN之间所运行的服务如：Web、数据库和FTP服务等，而这一类服务的认证方式在传输过程是均是采用明文，如在其中一台机器上进行ARP欺骗将及Sniffer，那么内网中所有敏感的用户以及口令将全部被截获。并可造成内网的拒绝服务。脆弱的二级操作系统往往服务器除安装补丁以及一些手工加固以后，没有对系统本身保护的产品和措施，那么如果采用来自应用层的攻击，且进行包重组技术，完全有可能扰过IDS，由于是应用层攻击，防火墙无法控制，那么这种攻击行为可以直接顺利进入内网任何一台服务器，而对于杀毒软件来说，攻击者只需要稍微对攻击的特征代码进行修改，就可轻松逃避杀毒软件。我们可以说只要通过防火墙，操作系统将成为没有任何防御攻击能力的傀儡。系统内核安全设计在内网服务器上安装服务器安全加固系统，将服务器安全透明提升到三级标准，这样可以预防为知的漏洞攻击、病毒以及攻击手法，即使攻击者能够突破防火墙、IDS、漏洞扫描，也不能够对服务器造成任何威胁，并在Web服务器上安装Web卫士，避免了Web应用攻击手法，保证了Web服务器以及数据库的安全。常见的操作系统有WINDOWS，LINUX/UNIX，UNIX等，那么系统层的安全一般由厂商来控制，商用系统普通用户无法对系统内核进行修改，而目前所有操作系统通过手工配置仅能达到等级保护二级标准（自主访问控制），也就是说一旦超级管理员权限被攻击者或病毒获取，那么系统无其他防护措施。那么在系统层的安全隐患主要有：系统内核漏洞、缓冲区溢出、系统自带的服务漏洞、以及非可信的访问。因为无论是病毒和黑客攻击行为的发生，前提必须有一个生存环境：文件、进程、服务、权限、网络、注册表（仅WINDOWS）。那么只要控制生存环境，那么可以说对二级以下的安全隐患会产生免疫。及传统的防火墙、入侵检测系统等基于网络防护的安全产品不同，能够很好地满足现有各种复杂的网络环境的应用需求，并已达到了国家等级保护三级技术要求。为用户的网络服务器构造一个可信的运营平台。安全功能强制的访问控制功能：内核级实现文件强制访问控制、注册表强制访问控制、进程强制访问控制，服务强制访问控制。安全审计功能：文件的完整性检测、服务的完整性检测，WEB请求监测过滤。系统自身的保护功能：保护系统自身进程不被异常终止、伪造、信息注入。安全等级提供国家第三级安全等级标准的安全功能。可操作性完全兼容Windows2000/2003系统，专业的、人性化的操作界面，运行开销小，不会引起能察觉的系统延时，对用户透明。

第四章 林业厅整体网络安全建议方案根据林业厅的实际情况和网络日益发展的需求。我们将采用二套整体网安全解决方案（一套建议、一套可选），以便领导进行参考。同时也将根据不同规格的方案列出相应具体功能和优势。4.1 信息安全建议的政府网方案 根据政府网的各种需求及发展，前面所述已经十分明显。为什么我们建议在网络扩展及信息化政府下要优先考虑信息安全呢？ 其它原因比较简单：信息安全无论是在任何情况下都是信息发展的最重要因素之一。信息安全体系的建立是林业厅在现在网络情况下最急需的，也就是说在没有扩容和改造的前提下，也应该先将建立网络安全方面的工作。信息安全体系的建立是国家法律法规上的要求、公安部及教育部推行的等级化保护、以及信息化不断发展的需求下所决定的。4网络安全方案的设计原则安全方案建议充分理解我院需求的前提下，综合考虑了多方面的因素，符合如下的设计原则：1.综合性、整体性原则应用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。2.需求、风险、代价平衡的原则对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络进行实际研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性及定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。3.一致性原则一致性原则主要是指网络安全问题应及整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须及网络的安全需求相一致。安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容及措施，实际上，在网络建设的开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。4.易操作性原则安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。其次，措施的采用不能影响系统的正常运行。5.分步实施原则由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此统一规划、分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。6.可扩展性原则由于网络安全是动态的，虽然现在的方案解决了目前安全，但是随着时间的变化，原有的网络安全解决方案可能满足不了其需求，这时就需要对原有的网络解决方案进行升级，所以现有的网络解决方案应该是具有可扩展性。7.先进性原则林业厅网络系统其网络安全的建设更是代表了整个林业厅的网络安全技术水平，所以林业厅网络系统的安全必须是有一个先进水平的安全。具体的技术和技术方案应保证整个系统具有的技术先进性。8.合理规划,分步实施原则一个完整的网络安全解决方案不可能在很短的时间全部实施完成，需要对整个安全建设过程进行合理的规划。9.保障安全系统自身的安全原则网络安全系统是保护整个网络的重要部分，如果网络安全系统本身被攻破，那么整个网络就自然被攻破了，所以安全系统本身的安全也是必须是林业厅网络系统网络安全所必须考虑的。10.投入产出比原则结合林业厅网络系统自身的网络结构和已经使用部分了的安全产品设计一个完整的安全解决方案，让用户用最小的投资获取最大的回报，避免重复性投资。上面的几点是本安全方案建议的考虑，希望通过下面提到的良好的产品性能和方案设计，再加上供应商提供的良好服务，为我院的整体网络安全建设提供有利的保障。安全需求分析泄密及信息安全事件是由一系列事件构成的，包括内网非法外联、木马通过外部网络进入内部网络、木马感染主机、泄密、发现泄密事件等阶段。要防止泄密事件的发生，就要阻断木马传播、主动预防、检测和清除木马，形成一个纵深的防御体系。对边界防护的需求木马都是由外部网络传入内部网络的，必须在边界处进行有效的控制，防止恶意行为的发生，实现拒敌于国门之外。针对边界防护，需要考虑加强防护的方面有：内网和外网间的边界防护在条件允许的情况下，实现保密内网及外网的物理隔离，从而将攻击者、攻击途径彻底隔断。即使在部分单位，内网、外网有交换数据的需求，也必须部署安全隔离和信息交换系统，从而实现单向信息交换，即只允许外网数据传输到内网，禁止内网信息流出到外网。对核心内部服务器的边界防护内网中常包括核心服务器群、内网终端两大部分，核心服务器保存着大部分保密信息。为避免内网终端非法外联、窃密者非法获取核心服务器上的保密数据，就要实现核心服务器及内网终端间的边界防护。感染木马时，核心服务器的边界安全网关能够阻止终端的越权访问，并检查是否含有木马，然后进行清除。但在实现网关的封堵、查杀木马的同时，要防止对系统带宽资源的严重损耗。防止不安全的在线非法外联内网及外网的连接点必须做到可管、可控，必须有效监控内网是否存在违规拨号行为、无线上网行为、搭线上网行为，避免内用户采取私自拨号等方式的访问互联网而造成的安全风险。防止离线非法外联或不安全的接入行为要限制终端设备，如PC机、笔记本，直接接入并访问内网区域，对于不符合安全条件的设备(比如没有安装防病毒软件，操作系统没有及时升级补丁，没有获得合法分配的IP地址或离线外联过)，则必须禁止进入。对主机安全的需求内网终端非法外联后木马入侵的目的都是最终的主机。主机的防护必须全面、及时。木马病毒的查杀和检测能力的需求由于内部网络中的计算机数量很多，要确保网络中所有计算机都安装防木马软件，并实施实施统一的防木马策略。防木马软件至少应能扫描内存、驱动器、目录、文件和LotusNotes数据库和邮件系统;具备良好的检测和清除能力;支持网络远程自动安装功能和自动升级功能。系统自身安全防护的需求木马在主机中的隐藏、执行和攻击最后都是体现在操作系统层面。要确保操作系统及时升级，防止漏洞被木马和病毒利用。在及时升级操作系统的基础上，要实时对计算机进程、访问端口的进行监控，以及时发现异常及木马;同时要有注册表防护手段，保障木马不能修改系统信息，从而使木马不能隐藏及自动运行。移动存储介质控制的需求木马传播重要一个渠道是移动存储介质。主机系统要在移动介质接入系统时立即截获该事件，然后根据策略或者拒绝接入，或者立即对移动介质进行扫描，以阻断移动介质病毒的自动运行及传播。安全审计的需求系统的日志记录了系统的工作情况，也反应了工作人员的操作行为。审计关键主机的访问行为，可判断内部人员是否有违规的行为;同时，还可以实时发现木马的行踪，并找出深层次的安全威胁。对安全管理的需求为防止泄密事件的发生，除了加强安全技术的管控外，也要加强安全管理。首先，要引入第三方安全服务，定期查看关键计算机设备的状态，以发现及解决计算机中的木马;其次，要建立应急响应机制，使得在泄密事件发生后，能及时定位及隔离涉及的主机，使安全事件能够追查到责任人。1、边界防护的措施

1)防火墙技术

防火墙是实现内网终端及内网核心服务器隔离的基本手段。防火墙通常位于不同网络或网络安全域间的唯一连接处，根据组织的业务特点、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，实现对出入核心服务器网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测)，控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面，从而实现对不良网站的封堵。

但是，传统单一的防火墙无法有效对抗更隐蔽的攻击行为，如欺骗攻击、木马攻击等，因此，有必要在这些边界采取防护能力更强的技术。

2)防病毒网关技术

随着网络的飞速发展，单机版的防病毒软件面临着集中管理、智能更新等多方面的问题，无法对木马、蠕虫、邮件性病毒进行全网整体的防护，已经不能满足复杂应用环境，所以，构建整体病毒防护体系已成为必然。完整的防毒体系包括：

网关级防病毒——部署在网络入口处，对木马、病毒、蠕虫和垃圾邮件进行有效过滤;

服务器防病毒——服务器为资源共享和信息交换提供了便利条件，但同时也给病毒的传播和扩散以可乘之机;

桌面级防病毒——在客户端安装，将病毒在本地清除而不至于扩散到其他主机或服务器;

病毒管理中心——能实现防病毒软件的集中管理和分发、病毒库分发、病毒事件集中审计等。

在不及外网连接的内部保密网中，可将防病毒网关部署在核心服务器区和终端区之间，通过网关把病毒拒于核心服务器区网络之外。

在及外网连接的内部保密网中，可将防病毒网关部署在外网和内网连接边界中之间，通过网关把病毒拒于内部保密网络之外。这要求网关防毒产品部署简便、能承受防病毒网关的数据流量、能检测并清除病毒。

3)终端防护系统

为了防止不安全的在线非法外联、离线非法外联或不安全的接入行为，必须把终端防护系统及其它网关防护技术结合起来。

通过终端防护系统的统一策略配置的主机防火墙和主机IDS，能实现对桌面系统的网络安全检测和防护，当IDS检测到威胁后，能及主机防火墙进行联动，自动阻断外部攻击行为。

通过终端防护系统，可对桌面系统的远程拨号行为、无线上网行为、搭线上网行为进行控制，发现存在违规外联的主机，给出报警，通过防火墙切断该主机及网络的连接，避免导致内网遭到更大的破坏。

通过终端防护系统的安全状态检测策略，可监测进入内网的终端设备，对于不符合安全条件的设备，可不允许其接入内网。

4)网闸技术

在安全性要求很高，但又有内部网络和外网数据交换的情况下，必须采取网闸技术，以实现内网和外网的单向安全隔离和数据交换。

2、主机安全的防护

1)桌面木马及病毒查杀技术

在一个整体病毒防护方案中，桌面级防病毒是重要的支点。对木马的防范，除了通常的桌面防病毒产品外，还有一些专门的木马查杀产品，象瑞星卡卡、360安全卫士等。桌面查杀产品拥有查杀流行木马、清理恶评及系统插件、管理应用软件、系统实时保护，修复系统漏洞等数个强劲功能，同时还提供系统全面诊断，弹出插件免疫，清理使用痕迹以及系统还原等特定辅助功能，并且提供对系统的全面诊断报告，方便用户及时定位问题所在，为用户提供全方位的系统桌面保护。

2)终端防护技术

终端管理系统是对局域网内部的网络行为进行全面监管，检测并保障桌面系统的安全产品。系统一般共分四大模块：桌面行为监管、桌面系统监管、系统资源管理，通过统一定制、下发安全策略并强制执行的机制，实现对局域网内部桌面系统的管理和维护，能有效保障桌面系统及机密数据的安全。

终端管理系统自动检测桌面系统的安全状态，能针对桌面系统的补丁自动检测、下发和安装，修复存在的安全漏洞，防止漏洞被木马和病毒利用。

终端管理系统监管桌面行为，对桌面系统上拨号行为、打印行为、外存使用行为、文件操作行为的监控，通过策略定制限制主机是否允许使用外存设备，确保机密数据的安全，避免了内部保密数据的泄漏。

终端管理系统桌面监管系统，解决了难以及时、准确掌控桌面系统基础信息的问题，规范了客户端操作行为，提高了桌面系统的安全等级。

通过系统监管模块管理员能够远程查看桌面系统当前的详细信息，包括：已安装软件、已安装硬件、进程、端口、CPU、磁盘、内存等，及时发现异常。

终端管理系统为管理员提供了Agent管理、IP管理等功能，能对网络内的Agent进行有效管理，避免IP地址混乱、非法接入、木马运行等情况。

终端管理系统在对收集的事件进行详尽的分析和统计的基础上，支持丰富的报表功能，实现了分析结果的可视化。为帮助网络管理员对网络中的情况进行深度挖掘分析，系统提供了多种报表模板，支持管理员从不同方面进行网络事件和用户行为的可视化分析，满足了安全审计的需求。

3、安全管理

1)安全审计系统

安全审计既是发现安全问题的重要手段，也是管理内部人员行为的威慑手段。如果不计划部署安全管理平台，就一定要安装安全审计系统。推荐通过引入集中日志审计的技术手段，对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行统一的安全审计，及时自动分析系统安全事件，实现系统安全运行管理。

2)安全管理平台系统

在内部部署了防病毒等一系列安全设备后，可以在一定程度上提高安全防御水平，降低发生泄密事件的概率。但同时也要加强安全管理，引入安全管理平台。

信息安全管理平台，能实时对网络设备、服务器、安全设备、数据库、中间件、应用系统的安全状况进行统一监控、采集安全事件和日志信息、进行整合和关联分析、评估安全风险、审计用户行为、产生安全事故和告警、生成安全报告并及时进行应急响应，确保相关系统的业务持续运行，协助管理人员排除安全隐患和安全故障，同时为相关部门的信息安全审计和考核提供技术手段和依据，实现全网的安全集中监控、审计和应急响应，全面提升保密内网的信息安全保障能力。

对于内网泄密事件而言，安全管理平台可以对关键主机的访问行为进行记录，一方面形成威慑，另一方面方便事后取证;安全管理平台还可以找出系统内感染木马病毒的机器。

3)定期巡检服务

定期巡检服务是一种第三方安全服务，可以定期查看并发现系统的安全漏洞，检测关键计算机设备的状态，发现并定位计算机中已经感染的木马，防止木马的泄密等破坏行为发生。4.1.3各层次的安全解决方案网络层安全解决方案防火墙技术防火墙是实现内网终端及内网核心服务器隔离的基本手段。防火墙通常位于不同网络或网络安全域间的唯一连接处，根据组织的业务特点、管理制度所制定的安全策略，运用包过滤、代理网关、NAT转换、IP+MAC地址绑定等技术，实现对出入核心服务器网络的信息流进行全面的控制(允许通过、拒绝通过、过程监测)，控制类别包括IP地址、TCP/UDP端口、协议、服务、连接状态等网络信息的各个方面，从而实现对不良网站的封堵。但是，传统单一的防火墙无法有效对抗更隐蔽的攻击行为，如欺骗攻击、木马攻击等，因此，有必要在这些边界采取防护能力更强的技术。我们建议采用联想网御的多功能防火墙。，其特点如下：具有多种必要的网络安全功能，集成了防火墙、基于URL的内容过滤、以及符合IPSec标准的VPN技术。可以在一台设备上实现对政府网的统一威胁管理。具有独到之处在于采用“最佳适配”规则系统。管理员可以按任意顺序创建访问控制规则（顺序无关），防火墙会自动按照最安全的策略选择并解释执行规则。大大减少了信息管理员的管理成本，易于维护使用。政府网的信息平台相对开放，多数具有较强破坏力的复杂攻击是对应用数据流的攻击，而不是仅仅在IP层，所以对应用数据和协议命令的控制是非常必要的。联想网御系列使用智能安全代理，对IP应用（例如，SQL*NET）独立控制，保证只有合法的协议命令和数据才能通过。例如联想网御系列防火墙可以抵制SMTP后门命令和FTP、SMTP和HTTP数据流中存在的缓冲区溢出攻击。联想网御提供集中式管理，通过集中的日志记录、警报、报告和策略配置简化网络安全的管理。同时联想网御具有集成的高可用性和负载均衡选件，能够满足任何规模的政府网的性能要求。入侵检测防护技术建议自从1990年开始在网络中引入防火墙以来，网络安全解决方案已经定型成为以防火墙为主的方案。这种方案的特点就是：将网络划分成不同安全等级的网段，在网络边界放置防火墙，进行网段隔离和访问控制。即使后来出现了针对应用层威胁的入侵检测技术，也无法动摇防火墙在网络安全方案中的核心地位。防火墙虽然能抵御网络外部安全威胁，但对网络内部发起的攻击，显得无能为力。动态地监测网络内部活动并做出及时的响应，就要依靠基于网络的实时的入侵防护技术。监控网络上的数据流，从中检测出攻击的行为并给及响应和处理。实时入侵防护技术还能检测到绕过防火墙的攻击。通过分析最近两年来的网络安全发展形势，可以看出传统的单一防火墙方案已经无法满足政府用户的应用安全需求了。从安全的发展来看，至少有三点值得反思：第一，大部分的威胁来自网络内部。随着很多政府加速笔记本电脑的普及，移动办公得到了发展，越来越多的计算机终端在政府的内网和外网之间漫游，这样很容易造成网络威胁从外网进入内网，从而在内网进行传播。另外，由于VPN技术的普及，使得政府内网无限扩展，从而变相加大了安全威胁进入内网的机会。第二，基于Web的攻击成为主流。各种蠕虫、病毒、应用层攻击技术频频发作，混合攻击的出现令传统的安全防御变得困难重重。目前来看，大量的混合攻击主要威胁政府的核心服务器和应用，给用户带来了重大损失。一些对网络基础设施进行的DDoS攻击，造成基础设施瘫痪。此外，一些P2P应用，如BT、电驴，以及一些IM应用，如QQ、MSN，对政府的网络带宽提出了挑战。统计表明，这种及业务无关的网络流量对政府网络的核心性能造成了威胁。事实上，此类应用都是基于第七层的，而普通的三、四层防火墙显然无能为力。第三，安全及网络结合。目前，越来越多的病毒和蠕虫是基于网络来传播的，有了网络这个介质，威胁的传播速度大大加快。比如著名的SQLSlammer攻击，10分钟内就感染了全球90%的有漏洞的计算机。不难看出，如果网络对于这些威胁不能识别，不能在其传播扩散的通道上进行阻截，纯粹依靠人工手动的打补丁、升级防病毒软件和在防火墙上设置ACL，根本无法抑制这些蠕虫病毒的大规模泛滥。在这种应用安全的需求之下，基于网络的Web主动防御技术应运而生。其中，入侵检测防御系统IDS/IPS就是这样技术的代表。可以说，IDS/IPS的出现就是应用拉动技术发展的一个例证：当前越来越多的政府，其IT部门急需保护应用系统、网络基础设施，并确保应用中的应用安全。入侵检测防御系统IDS/IPS对计算机网络进行自主地，实时地攻击检测及响应。这种领先产品对网络安全轮回监控，使用户可以在系统被破坏之前自主地中断并响应安全漏洞和误操作。实时监控在网络中分析可疑的数据而不会影响数据在网络上的传输。它对安全威胁的自主响应为用户提供了最大限度的安全保障。入侵检测防御系统IDS/IPS在检测到网络入侵后，除了可以及时报警以及切断攻击行为之外，还可以进行动态地的防护策略，成为一个动态的智能的防护体系。我们建议采用联想网御的IDS设备使用效果及解决问题：通过检测流经的网络流量，提供对网络系统的安全保护；防止网络攻击入侵操作系统以及应用程序。入侵防护能够保护服务器的安全弱点不被不法分子所利用；实时检测及阻断功能很有可能出现网络攻击形为；防止目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS和黑客攻击，包括未知的攻击形式；阻止来自外部或内部的蠕虫、病毒和黑客等的威胁，确保政府信息资产的安全；阻止间谍软件的威胁，保护我院机密；阻止网内因为各种IM即时通讯软件、网络在线游戏、P2P下载、在线视频导致的政府网络资源滥用而影响正常工作，净化流量，为网络加速；阻止P2P应用可能导致的重要机密信息泄漏和可能引发的及版权相关的法律问题；实时保障网络系统7x24不间断运行，提高整体的网络安全水平。强大的功能联想网御IDS入侵防护系统先进的入侵检测/防御技术包括：状态检测内容重组通信协议检测应用协议检测内容检测高可靠性（HA）在高可用性群集中的每台联想网御IPS入侵防护系统加强了整体的安全性策略并拥有相同的配置设置。一个HA群集最多可以添加32台设备。HA群集中的每台设备必须是相同的型号并运行相同的固件镜像。联想网御IPS入侵防护系统高可用性支持冗余链接及冗余设备。管理功能图形管理：支持WebUI图形配置CLI管理：支持命令行接口远程管理：支持SSH、Telnet远程命令行管理，支持HTTPS的远程图形管理配置向导：提供快速配置向导模板语言：提供中文、英文等多语言支持日志：支持图形化报表，支持日志关键字搜索、支持日志分类监控：支持SNMP，支持VPN监控，报警：通过E-mail发送病毒、攻击报警应用层安全解决方案针对服务器防病毒安全技术建议病毒是系统中最常见、威胁最大的安全来源，建立一个全方位的病毒防范系统是林业厅网络系统中网络建设的重要任务。随着网络的飞速发展，单机版的防病毒软件面临着集中管理、智能更新等多方面的问题，无法对木马、蠕虫、邮件性病毒进行全网整体的防护，已经不能满足复杂应用环境，所以，构建整体病毒防护体系已成为必然。目前主要采用病毒防范系统解决病毒查找、清杀问题，根据林业厅的网络系统的网络结构和计算机分布情况，病毒防范系统的安装实施要求为：能够配置成分布式运行和集中管理，由防病毒代理和防病毒服务器端组成。针对现有林业厅防病毒需求，防病毒客户端安装在系统的关键主机中，如机房的服务器、工作站和网管终端。在防病毒服务器能够交互式地操作防病毒客户端进行病毒扫描和清杀，设定病毒防范策略。能够从多层次进行病毒防范，第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。用户尽管普遍使用了防病毒、单机防火墙产品，但是它们的安全系统还是存在漏洞。这种局面主要是因为现在信息化的发展更加多样化、复杂化、智能化的混合威胁，过去传统单一防护产品是不能完全保障安全的，对于关键业务计算机，只有采取多项安全技术集成的整体解决方案才能抵御威胁入侵，减少损失。因此，易安装、易升级具有较高性价比的整体解决方案是首选产品。我们建议采用联想网御的防毒墙结合原有的防病毒软件进行防病毒体系的支撑。审计检测安全技术建议审计检测系统对分析“可能的攻击行为”非常有用。举例来说，有时候它除了指出入侵者试图执行一些“危险的命令”之外，还能分辨出入侵者干了什么事：他们运行了什么程序、打开了哪些文件、执行了哪些系统调用。入侵检测系统由于安装网络上，所以对网络结构没有影响。推荐产品和服务——任天行系统认证审计系统来解决相关的管理问题和安全问题，为林业厅网络系统的关键业务系统提供一个用户身份及认证、应用操作审计及访问控制的管理平台，对系统中关键人员、核心操作进行集中的管理和控制。对网络行为进行统计并形成审计报表，直观地显示出用户所关心的关键环节的实际情况；系统管理员可以根据审计报表的内容，对系统的安全状况、运行状况做出相应的评估结果；如果评估的结果是系统面临比较大的安全风险，则可以及时地采取相应的措施来规避风险。也是公安网监部门所推荐的产品应用效果：完善的、可不断更新的不良站点库，禁止在校人员访问不良站点；个性化的策略控制师生的上网行为，提高学生，教师的工作学习效率全面的上网内容审计详细记录的上网行为专业，全面的流量分析和统计报表，帮助行政管理完善的功能特点：有效的互联网管理针对互联网滥用所造成的不良影响，系统提供了一系列贴近用户的管理功能。如针对互联网工作效率的杀手，即时聊天工具（QQ、MSN、YahooMessenger、网易泡泡、Skype等）的使用管理，不良站点、娱乐休闲、新闻等及工作无关站点的访问管理；针对外发信息的通用途径，电子邮件，Webmail，FTP等的审计记录；针对带宽流量滥用，各种P2P（BT，电驴等）下载工具的使用控制，音视频等文件的下载的管理；为了使管理人员能直观了解互联网的使用情况，提供了灵活的日志检索和丰富的报表。这些功能有效地帮助各种组织提升互联网的使用效率。安全可靠使用最小化的、经过裁减的LINUX内核作为系统运行平台，使得系统的不稳定性及不安全性减至最少；采用特有的文件系统，使设备能抵御突然掉电造成的损害。同时采用多种加密及防护措施，以及多种系统管理权限的实现，数据备份等，保障系统本身信息的安全。加密的数据通道 系统使用SSL加密技术来确保系统在各个工作环节中所有的传输数据的安全性。这主要在三个方面：一、用户登陆管理界面时，我们使用SSL技术为用户建立一条加密通道,保证用户帐号，口令不被窃听；二、在任天行及网络安全中心平台进行通信连接时，采用SSL强加密算法对传输数据进行加密，确保传输数据在传输过程中不会被窃听、篡改或者伪造；防暴力攻击为了防止黑客采用暴力方法猜测用户账号和密码，我们采用图形校验码验证，且当连续3次尝试登陆失败，系统自动锁住一段时间的方法阻止暴力攻击。隐藏自身的IP地址系统的所有探测端口均屏蔽了自身的IP地址，使攻击者无法通过探测端口对任天行网络安全管理系统进行扫描和攻击，确保系统自身的安全性。高效的系统权限管理系统提供usbkey，指定权限的管理员必须通过usbkey才能访问特定权限的功能模块，否则无法访问指定的功能模块。从而避免了公司、政府敏感信息在非授权人员中泄露，避免系统受到非授权人员的操作等。简单易用跟传统的应用软件采用C/S（服务端/客户端）结构所不同的是，系统采用B/S模式的结构，用户的管理操作全部通过浏览器方式完成，而这种B/S模式的用户界面存在以下优点：对用户环境没有任何特殊要求，无须用户为满足产品使用进行任何环境的改变，也无须安装客户端软件；B/S结构模式的数据处理过程全部在服务器端完成，不会增加管理主机系统负载。用户界面设计风格简洁朴素，操作习惯充分考虑可用性，帮助简明易懂。性能卓越在对Linux的系统内核进行充分剖析的基础上，在操作系统级对系统各支撑引擎进行了修改和全面优化，并且对硬件的驱动程序进行了改造，大大提高了系统的数据捕获和处理能力，使系统在高数据带宽下的性能，比采用Windows和Linux系统下流行开源代码完成数据不获的网络内容分析产品性能高出一倍以上。同时系统采用了专用高效的协议还原分析技术，大大提高了协议分析和还原效率，是真正的百兆和千兆内容审计系统，在国内外处于领先水平。适用各种网络结构网络的数据采集有基于旁路监听、基于网关、或在监控制机器中安装AGENT三种方式。其中基于网关的设备需要改变原有网络结构，且接入设备会成为整个网络的单点故障点，如果一旦设备发生异常，则影响整个网络的使用，这对于政府中需要使用互联网的关键业务会有灾难性地影响。而在监控制机器中安装AGENT的方法也会增加被监控主机的稳定性，并且会占用一定的要器资源，减慢被监控机器的运行速度，同时布署升级等的维护工作量也很大。基于旁路监听的技术，安装后完全不影响原有的网络运行，也不会成为单点故障，而且布署极为方便，只要简单地安装在网络口的交换机镜象口或是共享HUB上。适用于以ADSL拔号、专线、城域网等各种上网方式。相关产品的对比：产品对比项任天行网络安全管理系统网关型产品（企智通、招商卓尔、深信服）其他旁路型产品（中科新业等）接入方式旁路接入，不会给政府网络造成任何影响网关型，大流量下将造成性能瓶颈，出故障时引起网络中断旁路接入，不会给政府网络造成任何影响包处理方式使用自主开发优化网卡驱动和捕包引擎，绕过libpcap的性能瓶颈，性能和稳定性高于同类产品底层使用免费开源的开发库libpcap，性能存在瓶颈，稳定性有隐患，不具备修改能力底层使用免费开源的开发库libpcap，性能存在瓶颈，稳定性有隐患，不具备修改能力多网卡捕包能力全线型号均支持双网卡/多网卡捕包没有2000用户数以上的产品才支持双网卡捕包，且无法支持多于两块网卡捕包稳定性把操作系统本身不必要的功能全部关掉，负荷少；使用专业嵌入式数据库，断电等非正常关机不会引起系统故障，运行稳定UTM集成产品，开了防火墙等多项功能，有的产品甚至集安全审计、防火墙、过滤邮件等于一身，严重影响性能的稳定性照搬操作系统默认配置，使用关系型数据库，断电等非正常关机引起文件系统故障的概率较大，稳定性有较大隐患安全性用户登录使用的是SSL加密通道，并且无外网IP，只有内网IP，使安全性得到最大的保障无加密通道，用户登录为明文传输，管理帐号的密码非常容易泄漏，有外网IP，易受攻击，安全隐患较大无加密通道，用户登录为明文传输，管理帐号的密码非常容易泄漏，安全隐患较大用户数量级可支持100-20000范围的用户数最多支持上千用户数，当用户数量及达到万级后，性能瓶颈严重支持数千用户，当用户数量及达到万级后，性能瓶颈开始放大研发力量7年专业经验，专业人才超过150人以上，能为您做到更好的服务。从业时间短，专业技术人员少从业3年，专业人员50人以内安全扩展具备自主算法的USB加密物理钥匙，对敏感数据的保护更加安全没有没有多代理服务器支持可支持局域网内多个不同类型代理服务器并存的情况最多只能支持一个代理服务器，或者是一类的代理服务器最多只能支持一个代理服务器，或者是一类的代理服务器HTTP协议POST应用分析可扩展的特征匹配算法，支持国内外大多数POST应用的还原，覆盖面广，包括webmail，webbbs，webchat，网页登录等应用类型的完全内容审计，正文附件的还原准确率很高采用逐个分析的方法，覆盖面狭窄，分析不准确，只能大概得到日志，命中率低，对附件的还原准确率低采用逐个分析的方法，覆盖面狭窄，分析不准确，只能大概得到日志，命中率低，对附件的还原准确率低及认证系统的结合可在不改动用户本身的上网认证体系情况下，及各类认证系统无缝结合，包括MS-AD域、LDAP、HTTPproxybasic-auth，无盘终端的Cookie认证等多种认证方式必须放弃用户原有的认证体系，只能结合MS-AD域、LDAP等认证服务器使用产品自身的身份认证体系，无盘终端的上网日志无法定位到认证用户必须放弃用户原有的认证体系，只能结合MS-AD域、LDAP等认证服务器使用产品自身的身份认证体系，无盘终端的上网日志无法定位到认证用户审计报警支持针对特定条件的上网审计和报警功能，报警手段丰富，实时性强，包括页面提示报警、邮件报警、短信报警（需购置短信猫）等支持报警，报警手段单调，实时性差，最多只有页面显示、邮件报警。支持报警，报警手段单调，实时性差，最多只有页面显示、邮件报警。集中控管使用多年应用的成熟通讯体系实现对多台任天行系统进行统一管理、控制和统计，B/S架构，无需在管理用户的计算机上安装软件，使用快捷方便部分提供集中管理功能，但是基本都使用C/S架构，需要在管理用户的计算机上安装客户端软件，没有可移动性，使用繁琐部分提供集中管理功能针对网络带宽技术建议随着互联网的普及，用户对网络的依赖越来越深，同时网络给用户带来的烦恼也日益严重，总结起来，困扰用户的主要问题有以下几个：带宽不够用主干互联网虽然年年升级，但仍然不能满足用户日益增长的需求。很多政府用户和运营商长期面临带宽的烦恼：申请充足的带宽投入太多，带宽少了又不够用。造成用户带宽拥塞的原因很多，出口带宽永远低于桌面带宽是最根本的原因，其次，网络应用的迅猛发展是导致带宽不够用的主要原因，尤其是最近几年出现的P2P软件和网络病毒，极大的消耗了有限的网络资源。对于那些P2P软件的使用者来说，下载一个文件花5个小时或者10个小时差别并不大，但是对于其他浏览网页的用户，访问一个网页需要5秒钟还是10秒钟还是有很大区别的。同样，如果某个用户急需下载一个几兆大小的文件或者电子邮件，他也会很在乎当前的网络速度，而此时的网络带宽也许正在被某些P2P软件或者其他一些网络资源消耗较多的用户占用。因此，解决带宽拥塞的关键问题是如何能够将带宽合理的分配到每个桌面用户，当网络资源紧张的时候限制那些使用量大的用户，保障那些使用量小的用户，反之，当网络资源有较大空闲时则取消这些限制，让每个用户都能进行高速下载，有效利用租用的线路。网络安全问题困扰目前，多数用户的桌面操作系统都是Windows家族产品，单一化的桌面环境导致了基于Windows系统的网络病毒大规模流行。多数病毒都是通过网络进行复制和传播，这些病毒为了传播经常针对相邻网段进行大规模的扫描，而病毒的垃圾请求往往会消耗大量的网络带宽，同时可能耗尽出口路由器的NAT会话资源，致使网络的管理者误以为是带宽资源不够导致网络的拥塞。传统的防火墙设备、IDS和IPS设备只能进行简单的拦截和过滤，针对那些已知的病毒和攻击有一定的效果，但病毒和攻击日新月异，面对新的网络攻击，它们则变得束手无策。网络攻击导致网络服务中断网络服务是多数ICP生存的基础，DoS/DDoS攻击制造了大量的无效访问或者垃圾访问，严重影响了正常的网络服务，导致网络服务中断，甚至导致整个运营网络瘫痪。由于DoS/DDoS工具可以轻易从网上获取，这类攻击也日益泛滥。很多内容服务提供商都没有防护工具，遇到这类攻击他们只能采取一些简单的防护措施，面对大量的网络攻击数据流，这些防护措施显得十分脆弱。推荐产品和服务——深信服系列产品深信服系列产品，率先采用深层内容分析（DeepInspection）、深层速率控制（DeeperRateControl）和智能会话管理等一系列业内领先技术，为这些问题的解决带来曙光。使用效果及使用意义深层内容分析技术—保证网络带宽的