1、1.1 某市政府網絡系統現狀分析某市電子政務工程總體規劃方案主要建設內容為：一個專網(政務通信專網)，一個平臺(電子政務基礎平臺)，一個中心(安全監控和備份中心)，七大數據庫(經濟信息數據庫、法人單位基礎信息數據庫、自然資源和空間地理信息數據庫、人口基礎信息庫、社會信用數據庫、海洋經濟信息數據庫、政務動態信息數據庫)，十二大系統(政府辦公業務資源系統、經濟管理信息系統、政務決策服務信息系統、社會信用信息系統、城市通卡信息系統、多媒體增值服務信息系統、綜合地理信息系統、海洋經濟信息系統、金農信息系統、金水信息系統、金盾信息系統、社會保障信息系統)。主要包括：政務通信專網 電子政務基礎平

2、臺安全監控和備份中心政府辦公業務資源系統政務決策服務信息系統綜合地理信息系統多媒體增值服務信息系統某市政府中心網絡安全方案設計1.2 安全系統建設目標本技術方案旨在為某市政府網絡提供全面的網絡系統安全解決方案，包括安全管理制度策略的制定、安全策略的實施體系結構的設計、安全產品的選擇和部署實施，以及長期的合作和技術支持服務。系統建設目標是在不影響當前業務的前提下，實現對網絡的全面安全管理。1) 將安全策略、硬件及軟件等方法結合起來，構成一個統一的防御系統，有效阻止非法用戶進入網絡，減少網絡的安全風險；2) 通過部署不同類型的安全產品，實現對不同層次、不同類別網絡安全

3、問題的防護；3) 使網絡管理者能夠很快重新組織被破壞了的文件或應用。使系統重新恢復到破壞前的狀態。最大限度地減少損失。具體來說，本安全方案能夠實現全面網絡訪問控制，并能夠對重要控制點進行細粒度的訪問控制；其次，對于通過對網絡的流量進行實時監控，對重要服務器的運行狀況進行全面監控。1.2.1 防火墻系統設計方案 防火墻對服務器的安全保護網絡中應用的服務器，信息量大、處理能力強，往往是攻擊的主要對象。另外，服務器提供的各種服務本身有可能成為"黑客"攻擊的突破口，因此，在實施方案時要對服務器的安全進行一系列安全保護。如果服務器沒有加任何

4、安全防護措施而直接放在公網上提供對外服務，就會面臨著"黑客"各種方式的攻擊，安全級別很低。因此當安裝防火墻后，所有訪問服務器的請求都要經過防火墻安全規則的詳細檢測。只有訪問服務器的請求符合防火墻安全規則后，才能通過防火墻到達內部服務器。防火墻本身抵御了絕大部分對服務器的攻擊，外界只能接觸到防火墻上的特定服務，從而防止了絕大部分外界攻擊。 防火墻對內部非法用戶的防范網絡內部的環境比較復雜，而且各子網的分布地域廣闊，網絡用戶、設備接入的可控性比較差，因此，內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發自內部用戶，如何對

5、內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性，我們必須要對它進行詳盡的分析，盡可能防護到網絡的每一節點。對于一般的網絡應用，內部用戶可以直接接觸到網絡內部幾乎所有的服務，網絡服務器對于內部用戶缺乏基本的安全防范，特別是在內部網絡上，大部分的主機沒有進行基本的安全防范處理，整個系統的安全性容易受到內部用戶攻擊的威脅，安全等級不高。根據國際上流行的處理方法，我們把內部用戶跨網段的訪問分為兩大類：其一，是內部網絡用戶之間的訪問，即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸(NETBIOS)應用；其次，是內部網絡用戶對內部服務器的訪問，這一類應用主要

6、發生在內部用戶的業務處理時。一般內部用戶對于網絡安全防范的意識不高，如果內部人員發起攻擊，內部網絡主機將無法避免地遭到損害，特別是針對于NETBIOS文件共享協議，已經有很多的漏洞在網上公開報道，如果網絡主機保護不完善，就可能被內部用戶利用"黑客"工具造成嚴重破壞。1.2.2 入侵檢測系統利用防火墻技術，經過仔細的配置，通常能夠在內外網之間提供安全的網絡保護，降低了網絡安全風險，但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內。網絡入侵檢測系統位于有敏感數據需要保護的網絡上，通過實時偵聽網絡數據流，尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網

7、絡違規行為和未授權的網絡訪問時，網絡監控系統能夠根據系統安全策略做出反應，包括實時報警、事件登錄，或執行用戶自定義的安全策略等。網絡監控系統可以部署在網絡中有安全風險的地方，如局域網出入口、重點保護主機、遠程接入服務器、內部網重點工作站組等。在重點保護區域，可以單獨各部署一套網絡監控系統(管理器+探測引擎)，也可以在每個需要保護的地方單獨部署一個探測引擎，在全網使用一個管理器，這種方式便于進行集中管理。在內部應用網絡中的重要網段，使用網絡探測引擎，監視并記錄該網段上的所有操作，在一定程度上防止非法操作和惡意攻擊網絡中的重要服務器和主機。同時，網絡監視器還可以形象地重現操作的過程，可幫助安全管理

8、員發現網絡安全的隱患。需要說明的是，IDS是對防火墻的非常有必要的附加而不僅僅是簡單的補充。按照現階段的網絡及系統環境劃分不同的網絡安全風險區域，xxx市政府本期網絡安全系統項目的需求為：區域 部署安全產品內網 連接到Internet的出口處安裝兩臺互為雙機熱備的海信FW3010PF-4000型百兆防火墻；在主干交換機上安裝海信千兆眼鏡蛇入侵檢測系統探測器；在主干交換機上安裝NetHawk網絡安全監控與審計系統；在內部工作站上安裝趨勢防毒墻網絡版防病毒軟件；在各服務器上安裝趨勢防毒墻服務器版防病毒軟件。DMZ區 在服務器上安裝趨勢防毒墻服務器版防病毒軟件；安裝一臺

9、InterScan VirusWall防病毒網關；安裝百兆眼鏡蛇入侵檢測系統探測器和NetHawk網絡安全監控與審計系統。安全監控與備份中心 安裝FW3010-5000千兆防火墻，安裝RJ-iTOP榕基網絡安全漏洞掃描器；安裝眼鏡蛇入侵檢測系統控制臺和百兆探測器；安裝趨勢防毒墻服務器版管理服務器，趨勢防毒墻網絡版管理服務器，對各防病毒軟件進行集中管理。1.3 防火墻安全系統技術方案某市政府局域網是應用的中心，存在大量敏感數據和應用，因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統，確保數據和應用萬無一失。所有的局域網計算機工作站包括終端、廣域網路由器、服務器群

10、都直接匯接到主干交換機上。由于工作站分布較廣且全部連接,對中心的服務器及應用構成了極大的威脅，尤其是可能通過廣域網上的工作站直接攻擊服務器。因此，必須將中心與廣域網進行隔離防護。考慮到效率，數據主要在主干交換機上流通，通過防火墻流入流出的流量不會超過百兆，因此使用百兆防火墻就完全可以滿足要求。如下圖，我們在中心機房的DMZ服務區上安裝兩臺互為冗余備份的海信FW3010PF-4000百兆防火墻，DMZ口通過交換機與WWW/FTP、DNS/MAIL服務器連接。同時，安裝一臺Fw3010PF-5000千兆防火墻，將安全與備份中心與其他區域邏輯隔離開來通過安裝防火墻，實現下列的安全目標：1) 

11、;利用防火墻將內部網絡、Internet外部網絡、DMZ服務區、安全監控與備份中心進行有效隔離，避免與外部網絡直接通信；2) 利用防火墻建立網絡各終端和服務器的安全保護措施，保證系統安全；3) 利用防火墻對來自外網的服務請求進行控制，使非法訪問在到達主機前被拒絕；4) 利用防火墻使用IP與MAC地址綁定功能，加強終端用戶的訪問認證，同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內；5) 利用防火墻全面監視對服務器的訪問，及時發現和阻止非法操作；6) 利用防火墻及服務器上的審計記錄，形成一個完善的審計體系，建立第二條防線；7)&#

12、160;根據需要設置流量控制規則，實現網絡流量控制，并設置基于時間段的訪問控制。1.4 入侵檢測系統技術方案如下圖所示，我們建議在局域網中心交換機安裝一臺海信眼鏡蛇入侵檢測系統千兆探測器，DMZ區交換機上安裝一臺海信眼鏡蛇入侵檢測系統百兆探測器，用以實時檢測局域網用戶和外網用戶對主機的訪問，在安全監控與備份中心安裝一臺海信眼鏡蛇入侵檢測系統百兆探測器和海信眼鏡蛇入侵檢測系統控制臺，由系統控制臺進行統一的管理(統一事件庫升級、統一安全防護策略、統一上報日志生成報表)。其中，海信眼鏡蛇網絡入侵檢測系統還可以與海信FW3010PF防火墻進行聯動，一旦發現由外部發起的攻擊行為，將向防火墻發送

13、通知報文，由防火墻來阻斷連接，實現動態的安全防護體系。海信眼鏡蛇入侵檢測系統可以聯動的防火墻有：海信FW3010PF防火墻，支持OPSEC協議的防火墻。 通過使用入侵檢測系統，我們可以做到：1) 對網絡邊界點的數據進行檢測，防止黑客的入侵；2) 對服務器的數據流量進行檢測，防止入侵者的蓄意破壞和篡改；3) 監視內部用戶和系統的運行狀況，查找非法用戶和合法用戶的越權操作；4) 對用戶的非正常活動進行統計分析，發現入侵行為的規律；5) 實時對檢測到的入侵行為進行報警、阻斷，能夠與防火墻/系統聯動；6) 對關鍵正常事件及異常行為記錄日志，進行審計跟蹤管理。通過使用海信眼鏡蛇入侵檢測系統可以容易的完成對以下的攻擊識別：網絡信息收集、網絡服務缺陷攻擊、Dos&D