2023年网络安全方案

1.背景介绍3

1.1.项目总述3

1.2.网络环境总述3

1.3.信息安全方案的组成3

1.3.1.信息安全产品的选型原则3

1.3.2.网络安全现状4

1.3.3.典型的黑客攻击5

1.3.4.网络与信息安全平台的任务7

1.3.5.网络安全解决方案的组成7

1.3.6.超高安全要求下的网络保护9

2.安全架构分析与设计10

2.1.网络整体结构11

2.2.集中管理和分级管理13

2.3.XX安全网络系统管理中心网络14

2.4.各地方管理局网络16

3.产品选型17

3.1.防火墙与入侵检测的选型17

3.1.1.方正数码公司简介17

3.1.2.产品概述17

3.1.3.系统特点18

3.1.4.方正方御防火墙功能说明22

4.工程实施方案30

4.1.测试及验收30

4.1.1.测试及验收描述30

4.2.系统初验30

4.2.1.功能测试30

4.2.2.性能测试31

5.方正方御防火墙技术支持与服务31

5.1.方正数码绿色服务体系结构介绍31

5.2.完善的技术支持与服务33

5.2.1.售前服务内容33

5.2.2.售前服务流程34

5.2.3.售后服务内容35

5.2.4.售后服务流程36

5.3.服务方式37

5.4.服务监督37

5.5.保修38

5.6.保修方式38

5.7.保修范围38

5.8.保修期的确认39

5.9.培训安排39

5.10.全国服务网络40

5.11.场地及环境准备40

5.11.1.常规要求40

5.11.2.机房电源、地线及同步要求40

5.11.3.设备场地、通信41

5.11.4.机房环境41

5.12.验收清单43

5.12.1.设备开箱验收清单43

5.12.2.用户信息清单43

5.12.3.用户验收清单44

6.方案防火墙数目45

7.方案整体优势45

8.方正方御防火墙荣誉证书47

8.1.部分方正方御防火墙客户名单52

9.方正方御防火墙成功案例55

9.1.人民银行应用案例55

9.1.1.人民银行需求分析55

9.1.2.系统安全目的57

9.1.3.安全体系结构57

9.1.4.安全系统实施58

9.2.武警总队全国安全应用实例59

1.背景介绍

1.1.项目总述

目前，XX向下各地方的市、区、县局相连，向上和广东省厅相连。形成一

个内部办公网络环境。该网络安全方案的目的，是实现电子公文、信息数据''快

速、准确、全面、可靠、安全”的收集、传输、汇总、分析功能。

12网络环境总述

XX安全网络系统是涉密的内部业务工作处理网络，传输、处理、查询工作

中涉密的信息。该网由与政府有行文关系的各市县和管理站组成。在给地方局域

网出入口安装防火墙，关键部位需要双机热备。这些防火墙系统需要集中在XX

数据中心进行管理和审计。

13信息安全方案的组成

1.3.1.信息安全产品的选型原则

xx安全网络系统是一个要求高可靠性和安全性的网络系统，若干重要的公

文信息在网络传输过程中不可泄露，如果数据被黑客修改或者删除，那么就会严

重的影响政府的工作。所以，XX安全网络系统安全产品的选型事关重大，要提

到国家战略的高度来衡量，否则一旦被黑客或者敌国攻入，其代价将是不能想象

的。

XX安全网络系统方案必须遵循如下原则：

/全局性原则：安全威胁来自最薄弱的环节，必须从全局出发规划

安全系统。XX安全网络系统安全体系，遵循中心统一规划，各县、地方

分别实施的原则。

/综合性原则：网络安全不单靠技术措施，必须结合管理，当前我

国发生的网络安全问题中，管理问题占相当大的比例，在各地方建立网

络安全设施体系的同时必须建立相应的制度和管理体系。

/均衡性原则：安全措施的实施必须以根据安全级别和经费限度统

一考虑。网络中相同安全级别的保密强度要一致。

/节约性原则：整体方案的设计应该尽可能的不改变原来网络的设

备和环境，以免资源的浪费和重复投资。

/集中性原则：所有的防火墙产品要求在XX数据中心可以进行集

中管理，这样才能保证在数据中心的服务器上可以掌握全局。

/角色化原则：防火墙产品在管理上面不仅在数据中心可以完全控

制外，在地方还需要分配适当的角色使地方可以在自己的权利下修改和

查看防火墙策略和审计。

/可扩展原则：由于XX安全网络系统设计地方比较多，是一个大

型的网络，因此随着网络规划和规模的改变，以后必然会有新的需求，

因此本方案里面考虑了该因素。

目前，很多公开的新闻表明美国国家安全局（NSA）有可能在许多美国大软

件公司的产品中安装“后门”，其中包括一些应用广泛的操作系统。为此德国军

方前些时候甚至规定在所有牵涉到机密的计算机里，不得使用美国的操作系统。

作为信息安全的保障，我们在安全产品选型时强烈建议使用国内自主开发的优秀

的网络安全产品，将安全风险降至最低。

在为各安全产品选型时，我们立足国内，同时保证所选产品的先进性及可靠

性，并要求通过国家各主要安全测评认证。

1.3.2.网络安全现状

Internet正在越来越多地融入到社会的各个方面。一方面，随着网络用户成

分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，随着

Internet和以电子商务为代表的网络应用的日益发展，Internet越来越深地渗透到

各行各业的关键要害领域。Internet的安全包括其上的信息数据安全，日益成为

与政府、军队、企业、个人的利益休戚相关的“大事情二尤其对于政府和军队

而言，如果网络安全问题不能得到妥善的解决，将会对国家安全带来严重的威胁。

2000年二月，在三天的时间里，黑客使美国数家顶级互联网站一Yahoo!、

AmazoneBay、CNN陷入瘫痪，造成了十儿亿美元的损失，令美国上下如临大

敌。黑客使用了DDoS（分布式拒绝服务）的攻击手段，用大量无用信息阻塞网

站的服务器，使其不能提供正常服务。在随后的不到一个月的时间里，又先后有

微软、ZDNet和E*TRADE等著名网站遭受攻击。

国内网站也未能幸免于难，新浪、当当书店、EC123等知名网站也先后受到

黑客攻击。国内第一家大型网上连锁商城IT163网站3月6日开始运营，然而仅

四天，该商城突遭网上黑客袭击，界面文件全部被删除，各种数据库遭到不同程

度的破坏，致使网站无法运作。

客观地说，没有任何一个网络能够免受安全的困扰，依据FinancialTimes曾

做过的统计，平均每20秒钟就有一个网络遭到入侵。仅在美国，每年由于网络

安全问题造成的经济损失就超过100亿美元。

1.3.3.典型的黑客攻击

黑客们进行网络攻击的目的各种各样，有的是出于政治目的，有的是员工内

部破坏，还有的是出于好奇或者满足自己的虚荣心。随着Internet的高速发展,

也出现了有明确军事目的的军方黑客组织。

在典型的网络攻击中，黑客一般会采取如下的步骤：

自我隐藏，黑客使用通过rsh或telnet在以前攻克的主机上跳转、通过错误

配置的proxy主机跳转等各种技术来隐藏他们的IP地址，更高级一点的黑客，

精通利用电话交换侵入主机。

网络侦探和信息收集，在利用Internet开始对目标网络进行攻击前，典型的

黑客将会对网络的外部主机进行一些初步的探测。黑客通常在查找其他弱点之前

首先试图收集网络结构本身的信息。通过查看上面查询来的结果列表，通常很容

易建立一个主机列表并且开始了解主机之间的联系。黑客在这个阶段使用一些简

单的命令来获得外部和内部主机的名称:例如，使用nslookup来执行“Is〈domain

ornetwork〉"，finger外部主机上的用户等。

确认信任的网络组成，一般而言，网络中的主控主机都会受到良好的安全保

护，黑客对这些主机的入侵是通过网络中的主控主机的信任成分来开始攻击的，

一个网络信任成员往往是主控主机或者被认为是安全的主机。黑客通常通过检查

运行nfsd或mountd的那些主机输出的NFS开始入侵，有时候一些重要目录（例

如/etc,/home）能被一个信任主机mount。

确认网络组成的弱点，如果一个黑客能建立你的外部和内部主机列表，他就

可以用扫描程序（如ADMhack,mscan,nm叩等）来扫描一些特定的远程弱点。

启动扫描程序的主机系统管理员通常都不知道一个扫描器已经在他的主机上运

行，因为，ps，和Fetstat，都被特洛伊化来隐藏扫描程序。在对外部主机扫描之后，

黑客就会对主机是否易受攻击或安全有一个正确的判断。

有效利用网络组成的弱点，当黑客确认了一些被信任的外部主机，并且同时

确认了一些在外部主机上的弱点，他们就要尝试攻克主机了。黑客将攻击一个被

信任的外部主机，用它作为发动攻击内部网络的据点。要攻击大多数的网络组成，

黑客就要使用程序来远程攻击在外部主机上运行的易受攻击服务程序，这样的例

子包括易受攻击的Sendmail,IMAP,POP3和诸如statd,mountd,pcnfsd等RPC服务。

获得对有弱点的网络组成的访问权，在攻克了一个服务程序后，黑客就要开

始清除他在记录文件中所留下的痕迹，然后留下作后门的二进制文件，使其以后

可以不被发觉地访问该主机。

目前，黑客的主要攻击方式有：

欺骗：通过伪造IP地址或者盗用用户帐号等方法来获得对系统的非授权使

用，例如盗用拨号帐号。

窃听：利用以太网广播的特性，使用监听程序来截获通过网络的数据包，对

信息进行过滤和分析后得到有用的信息，例如使用sniffer程序窃听用户密码。

数据窃取：在信息的共享和传递过程中，对信息进行非法的复制，例如，非

法拷贝网站数据库内重要的商业信息，盗取网站用户的个人信息等。

数据篡改：在信息的共享和传递过程中，对信息进行非法的修改，例如，删

除系统内的重要文件，破坏网站数据库等。

拒绝服务：使用大量无意义的服务请求来占用系统的网络带宽、CPU处理

能力和10能力，造成系统瘫痪，无法对外提供服务。典型的例子就是2000年年

初黑客对Yahoo等大型网站的攻击。

黑客的攻击往往造成重要数据丢失、敏感信息被窃取、主机资源被利用和网

络瘫痪等严重后果，如果是对军用和政府网络的攻击，还会对国家安全造成严重

威胁。

1.3.4.网络与信息安全平台的任务

网络与信息安全平台的任务就是创建一个完善的安全防护体系，对所有非法

网络行为，如越权访问、病毒传播、恶意破坏等等，事前预防、事中报警并阻止，

事后能有效的将系统恢复。

在上文对黑客行为的描述中，我们可以看出，网络上任何一个安全漏洞都会

给黑客以可乘之机。著名的木桶原理（木桶的容量由其最短的木板决定）在网络

安全里尤其适用。所以，我们的方案必须是一个完整的网络安全解决方案，对网

络安全的每一个环节，都要有仔细的考虑。

1.3.5.网络安全解决方案的组成

针对前文对黑客入侵的过程的描述，为了更为有效的保证网络安全，方正数

码提出了两个理念：立体安全防护体系和安全服务支持。首先网络的安全决不仅

仅是一个防火墙，它应是包括入侵测检（IDS）、虚拟专用网（VPN）等功能在

内的立体的安全防护体系；其次真正的网络安全一定要配备完善的高质量的安全

维护服务，以使安全产品充分发挥出其真正的安全效力。

一个好的网络安全解决方案应该由如下几个部分组成：

•防火墙：对网络攻击的阻隔

防火墙是保证网络安全的重要屏障。防火墙根据网络流的来源和访问的目标,

对网络流进行限制，允许合法网络流，并禁止非法网络流。防火墙最大的意义在

网络边界处提供统一的安全策略，有效的将复杂的网络安全问题简化，大大降低

管理成本和潜在风险。在应用防火墙技术时，正确的划分网络边界和制定完善的

安全策略是至关重要的。

发展到今天，好的防火墙往往集成了其他一些安全功能。比如方正方御防火

墙在很好的实现了防火墙功能的同时，也实现了下面所说的入侵检测功能；

•入侵检测（IDS）：对攻击试探的预警

当黑客试探攻击时，大多采用一些已知的攻击方法来试探。网络安全漏洞扫

描器是“先敌发现”，未雨绸缪。而从另外一个角度考虑问题，“实时监测”，发

现黑客攻击的企图，对于网络安全来说也是非常有意义的。甚至由此派生出了

P"DR理论。

入侵检测系统通过扫描网络流里的特征字段（网络入侵检测），或者探测系

统的异常行为（主机入侵检测），来发觉这类攻击的存在。一旦被发现，则报警

并作出相应处理，同时可以根据预定的措施自动反应，比如暂时封掉发起该扫描

的IP。

需要注意的是，入侵检测系统目前不能，以后也很难，精确的发现黑客的攻

击痕迹。事实上，黑客可以将一些广为人知的网络攻击进行一些较为复杂的变形，

就能做到没有入侵检测系统能够识别出来。所以，在应用入侵检测系统时，千万

不要因为有了入侵检测系统，就不对系统中的安全隐患进行及时补救。

•安全审计管理

安全审计系统必须实时监测网络上和用户系统中发生的各类与安全有关的

事件，如网络入侵、内部资料窃取、泄密行为、破坏行为、违规使用等，将这些

情况真实记录，并能对于严重的违规行为进行阻断。安全审计系统所做的记录如

同飞机上的黑匣子，在发生网络犯罪案件时能够提供宝贵的侦破和取证辅助数据,

并具有防销毁和篡改的特性。

安全审计跟踪机制的内容是在安全审计跟踪中记录有关安全的信息，而安全

审计管理的内容是分析和报告从安全审计跟踪中得来的信息。安全审计跟踪将考

虑要选择记录什么信息以及在什么条件下记录信息。

收集审计跟踪的信息，通过列举被记录的安全事件的类别（例如对安全要求

的明显违反或成功操作的完成），能适应各种不同的需要。已知安全审计的存在

可对某些潜在的侵犯安全的攻击源起到威摄作用。

•虚拟专用网（VPN）：远程传输的安全

VPN技术在把分散在各处的服务器群连成了一个整体，形成了一个虚拟的

专用网络。通过VPN的加密通道，数据被加密后传输，保证了远程数据传输的

安全性。使用VPN可以象管理本地服务器一样去安全的管理远程的服务器。

VPN带来的最大好处是确保安全性的同时，复用物理信道，降低使用成本。

•防病毒以及特洛伊木马

计算机病毒的危害不言而喻，计算机病毒发展到今天，已经和特洛伊木马结

合起来，成为黑客的又一利器。微软的原码失窃案，据信，就是一黑客使用特洛

伊木马所为。由于在金卡工程中没有办公系统部分，所以这部分不多加解释。

•安全策略的实施保证

网络安全知识的普及，网络安全策略的严格执行,是网络安全最重要的保障。

此外，信息备份是信息安全的最起码的要求。能减少恶意网络攻击或者意外

灾害带来的破坏性损失。

1.3.6.超高安全要求下的网络保护

对于xx安全网络系统数据中心安全而言，安全性需求就更加的高，属于超

高安全要求下的网络保护范围，因此需要在这些地方使用2台防火墙进行双机热

备，以保证数据稳定传输。

1.3.6.1.认证与授权

认证与授权是一切网络安全的根基所在，尤其在网络安全管理、外部网络访

问内部网络（包括拨号）时，要有非常严格的认证与授权机制，防止黑客假冒身

份渗透进内部网络。

对于内部访问，也要有完善的网络行为审计记录和权限限定，防止由内部人

员发起的攻击。

我们建议XX安全网络系统利用基于X.509证书的认证体系（目前最强的认

证体系）来进行认证。

方正方御防火墙管理也是用X.509证书进行认证的。

1.1.1.1.网络隔离

网络安全界的一个玩笑就是：要想安全，就不要插上网线。这是一个简单的

原理：如果网络是隔离开的，那么网络攻击就失去了其存在的介质，皮之不存，

毛将焉附。

但对于需要和外界沟通的实际应用系统来说，完全的物理隔离是行不通的。

方正数码提出了安全数据通道网络隔离解决方案，在网络连通条件下，通过

破坏网络攻击得以进行的另外两个重要条件:

＜从外部网络向内部网络发起连接

令将可执行指令传送到内部网络

从而确保XX安全网络系统的安全。

1.1.1.2.实施保证

XX安全网络系统牵涉网点众多，网络结构复杂。要保护这样一个繁杂的网

络系统的网络安全，必须有完善的管理保证。安全系统要能够提供统一的集中的

灵活的管理机制，一方面要能让XX安全网络系统网控中心的网管人员监控整体

网络安全状况，另外一方面，要能让地方网管人员灵活处理具体事务。

方正方御防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，配

置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行集

中式的管理。

方正方御防火墙符合国家最新防火墙安全标准，采用了三级权限机制，分为

管理员，策略员和审计员。管理员负责防火墙的开关及日常维护，策略员负责配

置防火墙的包过滤和入侵检测规则，审计员负责日志的管理和审计中的授权机制,

这样他们共同地负责起一个安全的管理平台。事实上，方御防火墙是通过该标准

认证的第一个包过滤防火墙。

另外，方正方御防火墙还提供了原标准中没有强制执行的实施域分组授权机

制，尤其适合于XX安全网络系统这样的大型网络。

2.安全架构分析与设计

逻辑上，XX安全网络系统将划分为2个区域：内部网络，外部互连网络。

其中每一个局域网节点划分为内部操作（控制）区、信息共享区两个网段，

网段之间设置安全隔离区。每一个网段必须能够构成一个独立的、完整的、安全

的、可靠的系统。

21网络整体结构

xx安全网络系统需要涉及若干部门，各地方的网络通过专用网连接起来。

网络整体结构如下图所示：

广州市公安局及分局网络结构图

广州市公安局网

广东省公安厅网

DDN数据网

XX网络整体结构

注：广东省局连接出口处防火墙使用双机热备的方式。

22集中管理和分级管理

由于xx安全网络系统涉及的网络安全设备繁多，因此在管理上面需要既能

集中管理，又可以在本地进行审计管理，日志查询等操作。而用户的权限机制分

配必须通过网络管理中心统一分配和管理。

需要集中管理的网络设备包括防火墙设备。在XX安全网络系统网络管理中

心需要对各管理局的网络安全设备进行集中管理。

分析XX安全网络系统的特点和需求，方正方御防火墙的集中管理功能和权

限管理机制完全可以满足这些需求。

方正方御防火墙采用基于WindowsGUI的用户界面进行远程集中式管理，

配置管理界面直观，易于操作。可以通过一个控制机对多台方正方御防火墙进行

集中式的管理。

方正方御防火墙采用了三级权限机制，分为管理员，策略员和审计员。管理

员负责防火墙的开关及日常维护，策略员负责配置防火墙的包过滤和入侵检测规

则，审计员负责日志的管理和审计中的授权机制。这样他们共同的负责起一个安

全的管理平台。

XX安全网络系统的集中管理图如下所示:

络

理局网

地市管

专

用

网

络

多级

拥有

必须

火墙

此防

题，因

的问

角色

用户

及到

就涉

中，

过程

理的

中管

在集

可

下，又

前提

况的

用情

墙使

防火

全部

掌控

中心

数据

XX

保证

样在

制，这

理机

的管

。

火墙

置防

和配

使用

限内

的权

自己

以在

员可

理人

的管

地方

以使

网络

理中心

系统管

全网络

XX安

2.3.

的

理局

各管

要对

还需

外，

服务

信息

提供

需要

除了

中心

管理

系统

网络

安全

XX

。

重要

其的

性尤

可靠

性和

安全

络的

此网

，因

管理

集中

进行

设备

网络

热备

双机

使用