网络安全设计方案

1.1

某市政府网络系统现状分析《某市电子政务工程总体规划方案》主要建设内容为：一个专网(政务通信专网)，一个平台(电子政务基础平台)，一个中心(安全监控和备份中心)，七大数据库(经济信息数据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数据库、海洋经济信息数据库、政务动态信息数据库)，十二大系统(政府办公业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括：政务通信专网电子政务基础平台安全监控和备份中心政府办公业务资源系统政务决策服务信息系统综合地理信息系统多媒体增值服务信息系统某市政府中心网络安全方案设计1.2

安全系统建设目标本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案，包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下，实现对网络的全面安全管理。1)

将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险；2)

通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护；3)

使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。具体来说，本安全方案能够实现全面网络访问控制，并能够对重要控制点进行细粒度的访问控制；其次，对于通过对网络的流量进行实时监控，对重要服务器的运行状况进行全面监控。1.2.1

防火墙系统设计方案1.2.1.1

防火墙对服务器的安全保护网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为"黑客"攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着"黑客"各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。1.2.1.2

防火墙对内部非法用户的防范网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到网络的每一节点。对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没有进行基本的安通过安装防火墙，实现下列的安全目标：1)

利用防火墙将内部网络、Internet外部网络、DMZ服务区、安全监控与备份中心进行有效隔离，避免与外部网络直接通信；

2)

利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；

3)

利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝；

4)

利用防火墙使用IP与MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；

5)

利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作；

6)

利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线；

7)

根据需要设置流量控制规则，实现网络流量控制，并设置基于时间段的访问控制。1.4

入侵检测系统技术方案如下图所示，我们建议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测器，DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网用户和外网用户对主机的访问，在安全监控与备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台，由系统控制台进行统一的管理(统一事件库升级、统一安全防护策略、统一上报日志生成报表)。其中，海信眼镜蛇网络入侵检测系统还可以与海信FW3010PF防火墙进行联动，一旦发现由外部发起的攻击行为，将向防火墙发送通知报文，由防火墙来阻断连接，实现动态的安全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有：海信FW3010PF防火墙，支持OPSEC协议的防火墙。通过使用入侵检测系统，我们可以做到：1)

对网络边界点的数据进行检测，防止黑客的入侵；

2)

对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改；

3)

监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作；

4)

对用户的非正常活动进行统计分析，发现入侵行为的规律；

5)

实时对检测到的入侵行为进行报警、阻断，能够与防火墙/系统联动；

6)

对关键正常事件及异常行为记录日志，进行审计跟踪管理。通过使用海信眼镜蛇入侵检测系统可以容易的完成对以下的攻击识别：网络信息收集、网络服务缺陷攻击、Dos&Ddos攻击、缓冲区溢出攻击、Web攻击、后门攻击等。网络给某市政府带来巨大便利的同时，也带来了许多挑战，其中安全问题尤为突出。加上一些人缺乏安全控制机制和对网络安全政