網絡安全解決方案 -湖北瑞德车联科技股份有限公司

解決方案

  網絡安全解決方案
        電(diàn)子政務
        電(diàn)力行業
        教育行業
        保險行業
        企業系統
        稅務行業
        網閘應用案例
        網閘應用測試
        政府門戶網站安全方案
  軟件解決方案
        門戶解決方案
        協同管理解決方案
        中(zhōng)網IT調度綜合管理系統
        經濟數據分(fēn)析解決方案
        仲裁行業解決方案
        在線交易管理解決方案
        應急指揮解決方案
        數據整合解決方案
 
    電(diàn)話(huà):027-87367829
    郵箱:support@56telecom.com

  地址:

湖北(běi)省武漢市中(zhōng)北(běi)路1号楚天都市花園B座16樓
   
   

您的當前位置:首頁 > 解決方案 > 網絡安全解決方案

網絡安全解決方案

電(diàn)子政務

一(yī)、前言

随着計算機技術、網絡技術、通信技術的快速發展,基于網絡的應用已無孔不入地滲透到了社會的每一(yī)個角落,信息網絡技術是一(yī)把雙刃劍,它在促進國民經濟建設、豐富人民物(wù)質文化生(shēng)活的同時,也對傳統的國家安全體(tǐ)系、政府安全體(tǐ)系、企業安全體(tǐ)系提出了嚴峻的挑戰,使得國家的機密、政府敏感信息、企業商(shāng)業機密、企業生(shēng)産運行等面臨巨大(dà)的安全威脅。

政府各部門信息化基礎設施相對完善,信息化建設總體(tǐ)上處于較高水平。由于政務網系統網絡安全性與穩定性的特殊要求,建立電(diàn)子政務網安全整體(tǐ)防護體(tǐ)系,制定恰當的安全策略,加強安全管理,提高電(diàn)子政務網的安全保障能力,是當前迫在眉睫的大(dà)事。

本文以一(yī)個廳局級單位的網絡爲例,分(fēn)析其面臨的威脅,指出了部署安全防護的總體(tǐ)策略,探讨了安全防護的技術措施。

 二、網絡安全威脅分(fēn)析

政府各部門的信息網絡一(yī)般分(fēn)爲:涉密網、非涉密内網、外(wài)網,按照國家保密局要求,涉密網與外(wài)網物(wù)理斷開(kāi)。大(dà)部分(fēn)單位建設有非涉密内網和外(wài)網。以某局級單位的内網爲例,分(fēn)析其潛在安全威脅如下(xià):

局級政務網上與市政務網相聯,下(xià)與區屬局級單位相聯;在本局大(dà)樓内,聯接各處室、網絡中(zhōng)心、業務窗口、行政服務中(zhōng)心等部門;對外(wài)還直接或間接地聯到Internet。由于網絡結構比較複雜(zá),連接的部門多,使用人員(yuán)多,并且存在各種異構設備、多種應用系統,因此政務網絡上存在的潛在安全威脅非常之大(dà)。

如果從威脅來源渠道的角度來看,有來自Internet的安全威脅、來自内部的安全威脅,有有意的人爲安全威脅、有無意的人爲安全威脅。

如果從安全威脅種類的角度來看,有黑客攻擊、病毒侵害、木馬、惡意代碼、拒絕服務、後門、信息外(wài)洩、信息丢失、信息篡改、資(zī)源占用等。

安全威脅種類示意圖如下(xià):

 

如果依據網絡的理論模型進行分(fēn)析,有物(wù)理安全風險、鏈路傳輸安全風險、網絡互聯安全風險、系統安全風險、應用安全風險、以及管理安全風險。

如下(xià)圖所示:

 


三、總體(tǐ)策略

信息系統安全體(tǐ)系覆蓋通信平台、網絡平台、系統平台、應用平台,覆蓋網絡的各個層面,覆蓋各項安全功能,是一(yī)個多維度全方位的安全結構模型。安全體(tǐ)系的建立,應從設施、技術到管理整個經營運作體(tǐ)系進行通盤考慮,因此必須以系統工(gōng)程的方法進行設計。

從目前安全技術的總體(tǐ)發展水平與諸種因素情況來看,絕對安全是不可能的,需要在系統的可用性和性能、投資(zī)以及安全保障程度之間形成一(yī)定的平衡,通過相應安全措施的實施把風險降低到可接受的程度。      

廳局級單位的網絡安全體(tǐ)系設計本着:适度集中(zhōng),分(fēn)散風險,突出重點,分(fēn)級保護的總體(tǐ)策略。

根據中(zhōng)辦發[2003]27号文件精神,政府部門安全防護的總體(tǐ)策略是:

1、實行信息安全等級保護:根據系統中(zhōng)業務的重要性進行分(fēn)區,所有系統都必須置于相應的安全區内;對重點區域進行重點防護;采用不同強度的安全隔離(lí)設備使各安全區中(zhōng)的業務系統得到有效保護,關鍵是将網絡中(zhōng)心與廣域網系統等實行有效安全隔離(lí),隔離(lí)強度應接近或達到物(wù)理隔離(lí);

2、建設和完善信息安全監控體(tǐ)系;

3、建立信息安全應急響應機制;

4、加快信息安全人才培養,增強公務人員(yuán)信息安全意識;

5、加強對信息安全保障工(gōng)作的領導,建立健全信息安全管理責任制。

 

四、主要技術措施

針對不同的安全風險種類,相應的技術措施如下(xià)表:

安全威脅種類

相應的技術措施

 

管理安全:管理員(yuán)權限、口令、錯誤操作、資(zī)源亂用、内部攻擊、内部洩密。

管理體(tǐ)系、管理制度、管理措施、訪問控制、認證審計等技術。

 

 

應用安全:來自應用軟件、數據庫的漏洞,包括資(zī)源共享、Email、病毒等。

防火(huǒ)牆、物(wù)理隔離(lí)、入侵檢測、病毒防護、AAA認證技術、數據加密、内容過濾、數據備份、災難恢複。

 

系統安全:操作系統的脆弱性、協議的脆弱性、漏洞、錯誤配置。

漏洞掃描、防火(huǒ)牆、物(wù)理隔離(lí)、入侵檢測、病毒防護、主機加固。

 

 

傳輸安全:在傳輸線路上竊取數據。

VPN加密技術。

 

網絡互聯安全:來自Internet、系統内網絡、系統外(wài)網絡、内部局域網、撥号網絡等的安全威脅。

防火(huǒ)牆、物(wù)理隔離(lí)、入侵檢測、AAA認證技術。

 

物(wù)理安全:地震、火(huǒ)災、水災、設備硬件損壞、電(diàn)源故障、被盜等。

設備冗餘、線路冗餘、數據備份、異地備災中(zhōng)心等。

 

 

  

五、部署方案簡述

本方案針對局級政務内網和外(wài)網進行整體(tǐ)安全設計。政務外(wài)網主要提供對社會公衆的信息發布平台,可以通過邏輯隔離(lí)設備聯入互聯網,政務内網主要運行政務網内部公文等OA系統,縱向與上級單位和下(xià)級單位網絡相連,橫向通過物(wù)理隔離(lí)設備與政務外(wài)網相連。

在内部網絡中(zhōng),大(dà)量的工(gōng)作站是病毒進行攻擊的主要目标之一(yī)。由于各工(gōng)作站在日常工(gōng)作中(zhōng)進行頻(pín)繁的郵件收發、數據傳輸拷貝、應用軟件執行等操作,再加之内部人員(yuán)上網浏覽、下(xià)載程序及利用軟盤、光盤進行文件複制等,使得病毒感染的可能性極大(dà)。當前的病毒傳染現狀是,一(yī)旦一(yī)台工(gōng)作站染毒,則會很快蔓延至整個網絡範圍,造成業務系統及辦公網絡的極大(dà)損害。因此,應在所有的工(gōng)作站上部署客戶端防病毒産品。該産品作爲網絡版的客戶端防毒系統,使管理者通過單點控制所有客戶機上的防毒模塊,并可以自動對所有客戶端的防毒模塊進行更新。其最大(dà)特點是擁有最靈活的産品集中(zhōng)部署方式,不受Windows域管理模式的約束,除支持SMS、登錄域腳本、共享安裝以外(wài),還支持純Web的部署方式,可以在安裝時設定的防病毒策略下(xià),自動地進行日常所有的防毒、殺毒、更新、升級工(gōng)作,極大(dà)地方便了管理員(yuán)的操作,并提供最爲及時有效的病毒防範機制。

桌面安全防護是近年來安全防護的又(yòu)一(yī)重點内容。桌面安全是在邊界安全(防火(huǒ)牆)基礎上發展起來的。它克服了邊界安全防護的固有的缺點:即隻防外(wài)不防内的缺點,能夠實現一(yī)種主機駐留的安全系統,實現對服務器、工(gōng)作站的全方位保護,杜絕了一(yī)個端點系統的入侵而導緻整個網絡蔓延的情況發生(shēng)。另外(wài)它也一(yī)定程度上緩解了網絡效率和安全性設定之間的矛盾,多個防火(huǒ)牆并行運行。從一(yī)定程度上緩解了網關防火(huǒ)牆的壓力,能夠充分(fēn)發揮局域網多個機器的團隊優勢。

桌面安全系統通常是内核模式應用,它位于操作系統OSI棧的底部,直接面對網卡,它們對所有的信息流進行過濾與限制,無論是來自Internet,還是來自内部網絡。

桌面安全防護對個人計算機進行保護的方式如同邊界防火(huǒ)牆對整個網絡進行保護一(yī)樣。對于Web服務器來說,桌面安全防護系統進行配置後能夠阻止一(yī)些非必要的協議,如HTTP HTTPS之外(wài)的協議通過,從而阻止了非法入侵的發生(shēng),同時還具有入侵檢測及防護功能。

桌面安全防護系統克服了操作系統所具有的已知(zhī)及未知(zhī)的安全漏洞,如DoS(拒絕服務)、應用及口令攻擊。從而使操作系統得到強化。桌面安全防護系統對每個服務器都能進行專門的保護。系統管理員(yuán)能夠将訪問權限隻賦予服務器上的應用所使用的必要的端口及協議。如HTTP, HTTPS, port 80, port 443等。

網絡入侵檢測系統部署在有敏感數據需要保護的網段上,通過實時偵聽(tīng)網絡數據流,尋找網絡違規模式和未授權的網絡訪問嘗試。當發現網絡違規行爲和未授權的網絡訪問時,網絡監控系統能夠根據系統安全策略做出反應,包括實時報警、事件登錄,或執行用戶自定義的安全策略等。

此外(wài)網絡中(zhōng)心核心服務器區域的數據極其重要。由于人爲的操作錯誤、系統軟件或應用軟件的缺陷、硬件的損毀、電(diàn)腦病毒、黑客攻擊、自然災難等等諸多因素,都有可能造成數據的丢失,從而給用戶造成無可估量的損失。爲此建議部署數據備份系統對數據進行經常性的備份,一(yī)旦數據丢失,能夠快速恢複。

 

根據以上分(fēn)析,局級單位的電(diàn)子政務網絡典型的安全防護體(tǐ)系部署措施如下(xià):

在外(wài)網與Internet邊界處部署百兆/千兆防火(huǒ)牆系統,同時考慮到出口處的重要性和關鍵位置設備的高可用性,建議部署兩台百兆/千兆防火(huǒ)牆構成雙機熱備系統,這樣可避免單點故障帶來的網絡癱瘓;

在外(wài)網與政務内網邊界處部署物(wù)理隔離(lí)網閘設備;

在内網全網桌面部署桌面安全管理系統;

在内網全網部署網絡防病毒系統;

在核心交換機上部署入侵檢測系統(IDS);

針對内網關鍵數據庫服務器和應用服務器,應部署數據備份系統;

在内網與市級政務網相聯的邊界處,依據其接入的端口速率,部署千兆防火(huǒ)牆或百兆防火(huǒ)牆;

在每一(yī)個下(xià)局級單位的網絡邊界處,依據其接入的端口速率,部署百兆或千兆防火(huǒ)牆;

部署示意圖如下(xià):

 

另外(wài),安全解決方案或安全産品具有一(yī)定的靜态特性,而安全威脅是動态變化的。再安全的網絡設備離(lí)不開(kāi)人的管理,再好的安全策略最終要靠人來實現。隻有由專業人員(yuán)來提供的安全服務才能适應這種動态變化的特性。因此我(wǒ)們認爲,保障政務網絡安全運行的關鍵,主要起決于是否能夠提供優質的安全管理和安全服務。對此,政務網絡應選擇一(yī)支專業素質高、服務經驗豐富的技術隊伍來進行外(wài)包安全服務。