工程项目实践报告-浙江省监狱管理局全省联网工程建设案.doc

湖南工业职业技术学院工程项目实践报告 浙江省监狱管理局全省联网工程建设案 院 (系)： 信 息 工 程 系 专 业： 信 息 安 全 班 级： 信 息 s2009-1 学生姓名： 指导教师： 完成时间： 2011年12月30日 信息工程系 2011 年12月目录第一章 项目背景及建设必要性3第二章 需求分析52.1政府职能52.2信息化现状6现有网络结构图7系统部署说明72.3系统需求8第三章 系统建设规划93.1. 网络建设内容93.1.1网络建设目标93.1.2网络建设设计原则93.2 信息化建设所涉及的关键技术103.2.1 网络建设所涉及关键技术10第四章 省监狱管理局电子政务网络系统建设规划134.1系统分析134.1.1网络应用134.1.2威胁分析134.2需求分析154.2.1功能需求154.2.2管理需求154.2.3服务需求164.2.4培训需求164.3安全策略164.3.1安全建设原则164.3.2安全建设策略184.4安全体系184.5安全部署204.5.1安全措施204.6安全系统部署224.6.1防火墙系统部署224.6.2入侵检测系统部署30入侵检测系统（ids）详述324.6.3漏洞扫描系统部署374.7安全管理384.7.1安全管理制度38第五章 结论和建议 39第六章 附录406.1设备选型406.2软硬件设备清单711 项目背景及建设必要性党的十六大提出了以信息化带动工业化，以工业化促进信息化，走新型工业化道路的发展战略。中共浙江省第十一次党代会作出了建设“数字浙江”，全面推进现代化建设的重大决策，从而将我省信息化建设工作推向新的高度。 “数字浙江”是全面推进我省国民经济和社会信息化，实现以信息化带动工业化的基础工程。推进“数字浙江”建设，是以信息化带动与提升浙江工业现代化为核心，网络系统和数据库建设为基础，应用系统建设为重点，数字城市建设为支撑，通过对信息资源的全面整合。开发和利用，发挥信息技术在现代化建设中的推动作用，实现社会生产力的跨越式发展。 建设“数字浙江”的根本目的就是以信息化带动工业化，以工业化促进信息化，实施走新型工业化道路的发展战略，使信息化、工业化、城市化、市场化和国际化的进程有机结合，加速实现现代化。在当前大环境大趋势下，浙江省监狱管理局作为主管监狱执行刑罚和监管改造工作的行政机构，管理职能不断拓展。管理范围、内容、要求发生了一些的变化。依靠传统的管理方法和信息渠道，己不能满足强化宏观调控职能和监管的要求，迫切需要建立一个能够提供更多、更快、更准确、更全面的信息技术支持系统。以实现决策的科学化、业务的规范化等要求。同时，随着监狱管理系统信息化建设重点工程的启动；对信息资源的需求日益扩大，信息资源的开发利用已成为信息化建设的核心。总之，信息化建设对监狱管理部门的未来与发展具有十分重要的战略意义。是当前监狱管理部门实现职能转变、提高管理水平的根本手段。监狱管理部门要抓住有利时机迎接挑战，利用现代信息技术，建立起标准化、系统化、多功能的分布式网络与信息系统，实现资源共享。规范业务流程，强化监狱管理力度，提高整体工作水平和工作效率。同时，充分开发监狱信息资源，开展信息增值服务，充分发挥其社会效益和经济效益。监狱行政管理信息系统的建设，将使监狱行政管理执法更加规范科学，有效地提高工作效率，改进工作方式，同时为形成一支高素质的公务员队伍提供了技术手段和环境。信息化建设的实施，也将进一步提高监狱行政管理部门在整个社会中的形象和社会地位。整个浙江监狱管理局信息化建设将按照滚动开发、试用、推广的方式进行；将围绕网络建设、应用系统建设、数据库建设以及与之相关联的人才与机构的建设而展开。本方案，正是在浙江监狱管理局已有信息化建设的基础上，重点完成全省各级监狱管理职能部门的电子政务联网。本次建设思路将遵循“实用性、可靠性、先进性、安全性、开放性”的设计原则。以系统生命周期长、管理维护方便、系统集成度高和保护投资为主要设计依据和设计出发点，设计出适应当前应用和后续发展需要的建设方案。2需求分析2.1政府职能浙江省监狱管理局（简称省监狱局）为主管监狱执行刑罚和监管改造工作的副厅级行政机构，主要职能：(一)贯彻执行国家有关监狱管理工作的方针、政策、法律、法规；编制监狱系统的中长期发展规划和年度计划并监督实施。(二)管理、指导全省监狱执行刑罚、监管改造工作。(三)规划全省监狱的布局、调整等重大事项；指导全省现代化文明监狱创建工作。(四)制订监管工作规章制度，负责狱政管理、狱内侦查、罪犯调配、监狱外事接待和重刑罪犯加、减刑材料的审核工作。(五)指导检查对罪犯的生产劳动、思想教育、文化教育、技术教育，编发罪犯的报刊读物；组织对刑满释放人员的改造质量跟踪考察工作。(六)指导罪犯生活卫生管理；负责罪犯保外就医的审批工作。(七)指导监狱的安全保卫工作，查处重大事件和重大问题。(八)依法对罪犯实施劳动改造；管理、监督、检查监狱及生产单位的生产设施和各项经费的使用情况，管理监狱的国有资产、国土资源。(九)负责监狱警用装备的计划、选型、分配、调拨工作。(十)负责省属监狱领导班子建设、党务工作和警务管理，负责监狱人民警察的任免、调配、教育、培训、奖惩、警衔审报工作和离退休人员的管理。(十一)负责直属单位劳动力管理和留场就业人员的教育管理工作。(十二)指导系统职工子弟学校及监狱学会工作。管理浙江警官职业学院和监狱中心医院。(十三)承办省政府、省司法厅交办的其他事项。2.2信息化现状省监狱局的信息化建设工作起步较晚，近年来逐步更新和升级了部分电脑设备，在网络方面，通过省政府统一建设的网通高速光纤网与省级党政机关专网相连，通过宽带接入internet.网络结构图如下： 现有网络结构图系统部署说明省监狱局当前系统主要包括总局的内、外网建设。内网为浙江省监狱管理局政务内网，通过防火墙与党政专网逻辑隔离，主要实现内部办公自动化，但还没有实现与下属单位的互联。外网为浙江省监狱管理局的政务外网，通过防火墙与internet相连，主要实现外网用户的internet访问及为将来对外门户网站打下基础。内、外网通过物理隔离卡实现物理隔离。内、外网络利用防火墙系统、防病毒系统、物理隔离系统初步实现了浙江省监狱管理局总局的网络立体防护。2.3系统需求浙江省监狱管理局电子政务系统网络建设的主要目标是：将浙江省监狱管理局总局网络与下属单位网络在物理上联接起来，并建立起全省范围内一体的oa办公系统。实现政务内网的网络化办公。将浙江省监狱管理局与上级单位及相关单位实现联网。在此基础上，对浙江省监狱管理局全省电子政务网络系统进行整体调整，建立完善的符合国家保密局、浙江省保密局要求的安全网络。 网络系统平台建设首先要在浙江省监狱管理局机关内建设一个功能完善、易于扩展的局域网。此局域网根据功能的划分将分为内网与外网。内网，利用政府专网，连接各下属单位及上级单位，外网，联接internet，最终形成一个以省监狱局为中心的广域网络。考虑政府信息的重要性，网络安全将是网络系统平台建设的一个重点。3系统建设规划3.1. 网络建设内容3.1.1网络建设目标 2004年，浙江省监狱管理局电子政务网络系统将建成基于广域网的oa一体化的信息网络系统： 制定浙江省监狱管理局电子政务网络系统的建设规范与技术标准 建成浙江省监狱管理局电子政务网络系统总局及其下属单位、浙江省政务内网的互联网络 建成覆盖全省浙江省监狱管理局电子政务网络系统的广域网络，建立浙江省监狱管理局电子政务网络系统数据中心。3.1.2网络建设设计原则 建立浙江省监狱管理局电子政务网络系统的全省架构，是实现浙江省监狱管理局电子政务网络信息化管理的基础，为整个浙江省监狱管理局电子政务网络系统的信息存储、处理、传输、交换和共享提供物理上的支持，其设计结构的合理与否会直接影响到整个系统的运行效率及功能的发挥。 因此，在设计网络方案时，分析浙江省监狱管理局电子政务网络系统的实际需求，充分考虑浙江省监狱管理局电子政务网络系统建设的超前性与投资规模控制的关系，全面规划、分步实施、突出重点、一气而成。浙江省监狱管理局电子政务网络系统建设必须遵照如下的四个结合设计原则：先进性与实用性相结合：网络设计选用先进成熟的网络技术及通信设 备，保证系统性能稳定可靠、风险系数小，同时一定要注意技术的成熟性和实用性，充分利用现有的设备和资源，保护原有的投资。既适应当前业务的情况，同时又充分考虑未来的发展。 开放性与标准性相结合系统采用开放式的体系结构，支持多种协议和多种的开放式网络，能够与现有的和未来的网络系统互连。所有的网络设备符合国际标准和工业标准，使网络具有较高的可互操作性，易于扩充。 可靠性与安全性相结合网络系统具有较高的可靠性，主要的网络设备具有热插拔功能，不需中止网络运行就能进行内部插拔和模块的更换与扩充。关键设备和线路都有备份，能够进行在线修复、更换和扩充。系统安全保密性好，对人为的攻击及病毒的侵害具有较强的抵抗能力。 经济性与可扩充性相结合系统可伸缩性好，可根据需要扩大或缩小网络性能。结构模块化，便于以后随业务发展进行扩充或升级，使原有设备利用率提高。系统可维护性好，并且维护费用低。3.2 信息化建设所涉及的关键技术3.2.1 网络建设所涉及关键技术局域网技术局域网（lan）是指在一个较小地理范围内的各种计算机网络设备互连在一起的通信网络，可以包含一个或多个子网，通常局限在几千米的范围之内。目前成熟的局域网络技术，至少包括交换技术、快速以太网技术、异步传输模式（atm）等。1、交换技术（switching）交换式局域网为用户提供独占的点对点连接。支持到交换机端口的用户对以太网的带宽的独占。共享型网络是以报文广播到每个节点，而交换式以太网是在节点之间沿指定路径转发报文。共享型网络的节点争用一个信道的带宽，其它所有接点的网络请求只能等待。而交换式以太网是一个并行系统，可以同时支持多对不同源端口与不同目的端口的终端之间的通信而不发生冲突。共享型网络随着用户的增加，平均每个用户的带宽将减少，而交换式局域网是高度可扩充的，其带宽随着用户的增加可以扩张。交换技术使用于提升任何共享型局域网，现在的产品主要有交换式以太网、令牌环网、fddi和高速以太网。2、快速以太网技术（fast ethernet）100baset快速以太网的一个主要目标是延用ethernet基本的传输协议，其它高频宽的技术是通过使用一个全新协议来实现。快速以太网延用 csmacd使得 10baset和 100baset工作站间数据传输时不再需要协议的转换，从而降低了成本和时间，而且网络管理和侦错也变得简单，因为管理员不需要管理两种不同协议的两种工具。100baset快速以太网在高频宽网络中其最基本的独特的特征是高效、低价、易于使用。使用csmacd协议时使得用户可能容易的迁移到100mbps，将高频的技术集成于现存的网络中，同时使用现存的网络工具和培训，具有无可比拟的优势。 3、atm 异步传输模式（atm）是一种由 itu（国际通讯同盟）和 atm论坛制定标准的先进技术，它提供的带宽很大（从52mbps到622mbps），可以广泛用于广域网（wan）连接，局域网（lan）骨干网和桌面系统的连接，atm对交换式多媒体等需要较大带宽的应用非常诱人，但是目前在大多数lan环境下，atm设备价格昂贵、安装复杂并且互操作性较弱，它将更多地在wan和服务器群方面发展，而在桌面系统要想得以广泛应用还需要一定的时间。4、千兆以太网技术 千兆以太网技术的出现，导致了高速网络技术阵营的分裂。目前,关于atm和千兆以太网都成立了相应的网络技术论坛，并分别制定相应的数据传输标准以推动技术的应用和发展。由于千兆以太网与 10m以太网相同的 802.3帧格式，没有对信息传输格式作任何变动，因而这种网络升级方案较其它技术在投资和性能上要平滑得多。目前世界上90的用户采用的都是以太网技术，但作为一种新技术，无论在布线和传输距离、高性能的骨干连接、还是升级的可行性和可用性方面，千兆以太网具有强大生命力。广域网技术 广域网（wan）是由相距较远的局域网互连而成，如省监狱局管理局与各个省监狱局的网络连接就是一个广域网络。广域网络技术，通常是除了广域网络设备以外，还需要一些电信通讯服务的支持。主要有如下几种通讯服务方式的支持： 1、公用电话网（pstn一public switched telephone network）速度 9600bps28.8skbps，需要异步modem和电话线，投资少、安装调试容易、常常用拨号访问方式。通常我们访问internet多采用此种方式。 2、综合业务数据网（isdnintegratedted service date network）一128kbs的基本接口，使用普通电话线，但需要电信提拱isdn业务：数字传输、来电显示、拨通时间短（3s）、费用约为普通电话的4倍左右。 3、ddn专线（leased line）速度为 64kbps2.048mbps（ei标准），需要配同步 modem，有 eiatia232（v.24）和 v.35两种标准，点对点的连接方式、可靠性高。 4、x25网速度为 9600bps64kbps。比较古老的方式、应用广泛、采用冗余校验到错、可靠性高但速度慢、延迟时间长。 5、帧中继（frame relay）较新的技术，速度为 64kbps2.048mbps(e1标准)。一点对多点的连接方式、分组交换、独特的bursty 技术、在传输信息量大的情况下可以超越传输线速度。4 省监狱管理局电子政务网络系统建设规划4.1系统分析4.1.1网络应用省监狱局电子政务网络整个系统建在一个功能完善、易于扩展的网络支撑平台之上，其上的应用主要是办公自动化系统及视频会议等重要应用。它们是一个有机结合的整体。4.1.2威胁分析在阐述网络面临的安全威胁之前，我们有必要简单的了解一下威胁的实质。威胁就是将会对资产造成不利影响的潜在的事件或行为，包括自然的、故意的以及偶然的情况。威胁至少包含以下属性：动机（自然威胁除外）、能力、影响方式等。可以说威胁是不可避免的，我们只能采取有效的措施，尽量减少各种情况造成的威胁。省监狱局电子政务网络必然是多种资产的庞大组合，其所面临的威胁也就是对网络能够造成不利影响的一些潜在的事件或者行为，同样这些威胁包括自然的、故意的以及偶然的情况，其面临的威胁同样不可避免。我们将对省监狱局电子政务网络系统面临的威胁进行分析，而我们分析省监狱局电子政务网络系统面临的安全威胁的原因，就是为了减少对其的安全威胁，把省监狱局电子政务网络系统面临的安全威胁控制在我们可接受的最理想的范围内。来自外部的安全威胁分析边界网络设备安全威胁省监狱局电子政务网络系统边界网络设备是指不同应用、不同业务、不同网络相互连接的设备，如内、外网与其它网络相连的交换机等。从攻击的角度分析，边界网络设备面临的威胁主要有以下两点：第一：入侵者通过控制边界网络设备，进一步了解网络拓扑结构，利用网络渗透搜集信息，为扩大网络入侵范围奠定基础。比如，入侵者同样可以利用这些网络设备的系统（cisco的ios）漏洞或者配置漏洞，实现对其的控制。第二：通过各种手段，对网络设备实施拒绝服务攻击，使网络设备瘫痪，从而造成网络通信的瘫痪。网络正日趋被人们所了解，而网络协议自然也被越来越多的人所研究，许多网络协议的设计漏洞被不断的批露，这使得越来越多的攻击利用了网络协议的设计漏洞。很多入侵者利用网络协议的设计漏洞或者设备本身的漏洞对边界网络设备实施拒绝服务攻击，造成这些网络设备的性能下降乃至完全瘫痪。信息基础安全平台威胁信息基础平台主要是指支撑各种应用与业务运行的各种操作系统与数据库系统。今后省监狱局电子政务网络系统网络采用的操作系统主要有各业务服务器操作系统、oa平台等。相对边界网络设备来说，熟知操作系统和数据库系统的人员的范围要广的多，而且在互联网上，很容易就能找到许多针对各种操作系统和数据库系统的漏洞的详细描述，所以，针对操作系统和数据库的入侵攻击在互联网络中也是最多最常见的。不管是什么操作系统或者数据库系统，只要它运行于网络上，就必然会有或多或少的端口服务暴露在互联网上，而这些端口服务又恰恰可能存在致命的安全漏洞，这无疑会给该系统带来严重的安全威胁，从而也给系统所在的网络带来很大的安全威胁。应用与业务的网络威胁在整个省监狱局电子政务网络系统中，应用与业务网络中的数据是至关重要。而入侵者当然也会明白这一点，但是应用或业务网络往往并不能轻易的被直接入侵成功，所以，恶意的入侵者往往会采取逐步网络渗透的方法来最终达成其入侵目的。一旦这些关键应用系统遭到黑客的入侵或者破坏，将会影响整个省监狱局电子政务网络系统网络的运行，甚至会导致全网业务系统的崩溃，造成间接或直接的巨大的经济损失。来自内部的安全威胁分析内部网络的失误操作行为由于人员的技术水平的局限性以及经验的不足，可能会出现各种意想不到的操作失误，势必对系统或者网络的安全产生较大的影响。源自内部网络的恶意攻击与破坏据统计，有70%的网络攻击来自于网络的内部。对于网络内部的安全防范会明显的弱于对于网络外部的安全防范，而且由于内部人员对于内部网络的熟悉程度一般是很高的，所以，由网络内部发起的攻击也就必然更容易成功，因此一旦攻击成功，其强烈的攻击目的也就必然促使了更为隐蔽和严重的网络破坏。4.2需求分析4.2.1功能需求为保障省监狱局整个业务的正常持续的运行，需要对全网的网络运行状态和安全状态进行有效监视。对内外网的网络边界设备（router 、switch、 firewall）、基础设备（主机服务器、数据库）、应用服务（www、e-mail、系统等）进行相应的保护。从安全功能的角度，需要对省监狱局内网络进行有效的物理隔离的同时保证彼此可以进行安全访问控制，对一些重要的服务器的保护，这些服务器包括负责整个网络管理的网管服务器、负责正常工作的核心服务器、负责工作网关设备。这些服务器的安全会影响整个业务的正常运行，需要对这些服务器所在的网段进行隔离保护，对黑客对系统采取的入侵进行有效的监视防御，同时还需要对网络病毒进行有效的查杀。4.2.2管理需求l 产品管理在管理上需要实现，对防火墙的集中管理，能够在网管中心对所有节点的防火墙日志信息进行集中分析的日志分析软件；对入侵监测控制系统，能够在网管中心对所有节点的入侵检测系统进行集中控制；对防病毒控制系统，能够对所有节点的防病毒软件进行集中控制，包括集中下发、集中版本升级、病毒库更新、集中配置管理、远程安装、远程杀毒、远程报警功能。l 组织管理 良好的安全产品配置和过硬的安全技术，并不能很好的解决系统的安全问题，必须辅以完善的安全管理体制，才能促使其的作用得到完美体现。整个省监狱局系统的应用系统、网络系统管理员间的协调不利，最终导致系统安全管理的混乱。需要制定一套完善的安全管理体系，同时需要相应的安全产品进行有效的配合，从管理和技术两个方面保证系统安全的有效实施。4.2.3服务需求由于黑客攻击和病毒泛滥对系统的安全随时提出了挑战，需要提供服务的公司具有专业的安全人才和专业的安全技术，能够对最新的系统安全漏洞、攻击技术以及用户行业现状有深入的理解，并能将相应的技术通过产品升级和应急服务等方式及时提供给用户，只有这样才能保证用户系统在安全性和可用性上具有持续的保障。由于需要对安全事件进行及时相应，在产品和技术服务支持上只有能同时拥有自主产品和安全服务的综合性安全公司厂才能对用户系统安全有所保障。4.2.4培训需求安全技术的专业性很强，不同的用户对安全的需求有很大的不同，需要对参与、使用、管理、维护的人员进行不同层次、不同深度的专业安全培训，也就是需要基于角色的培训。由于这种原因，提供安全服务的公司需要有一批经验丰富、技术全面、高水平的师资队伍，并能够结合用户的实际安全需要，既有广度又有深度的为用户提供培训。4.3安全策略4.3.1安全建设原则l 完整性网络安全建设必需保证整个防御体系的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全产品对安全问题的发现处理控制等能力各有优劣，从安全性的角度考虑需要不同安全产品之间的安全互补，通过这种对照、比较，可以提高系统对安全事件响应的准确性和全面性。 l 经济性根据保护对象的价值、威胁以及存在的风险，制定保护策略，使得系统的安全和投资达到均衡，避免低价值对象采用高成本的保护，反之亦然。l 动态性随着网络脆弱性的改变和威胁攻击技术的发展，使网络安全变成了一个动态的过程，静止不变的产品根本无法适应网络安全的需要。所选用的安全产品必须及时地、不断地改进和完善，及时进行技术和设备的升级换代，只有这样才能保证系统的安全性。l 专业性攻击技术和防御技术是网络安全的一对矛盾体，两种技术从不同角度不断地对系统的安全提出了挑战，只有掌握了这两种技术才能对系统的安全有全面的认识，才能提供有效的安全技术、产品、服务，这就需要从事安全的公司拥有大量专业技术人才，并能长期的进行技术研究、积累，从而全面、系统、深入的为用户提供服务。l 可管理性由于国内的一些企业独有的管理特色，安全系统在部署的时候也要适合这种管理体系，如分布、集中、分级的管理方式在一个系统中同时要求满足。l 标准性遵守国家标准、行业标准以及国际相关的安全标准，是构建系统安全的保障和基础。l 可控性系统安全的任何一个环节都应有很好的可控性，他可以有效的保证系统安全在可以控制的范围，而这一点也是安全的核心。这就要求对安全产品本身的安全性和产品的可客户化。l 易用性安全措施要由人来完成，如果措施过于复杂，对人的要求过高，一般人员难以胜任，有可能降低系统的安全性。4.3.2安全建设策略通过以上的几个指导原则，我们在实际实施的时候采用如下策略：l 采用不同的安全产品优势互补。以有效的保证系统在出现安全问题时，能从不同的侧面有所反映，这样可以更全面的放映系统的安全现状，有利于系统安全的全面性。l 使用不同等级的安全产品进行集成，在不同的网络环境使用与之相应的等级的安全产品，可以有效的减少系统投资。l 在产品选型时，需要厂家可以提供客户化品支持服务产品。只有这样才能保证系统的安全是可以用户化的，才能有针对的为用户的应用和业务提供安全保证。国内具有自主知识产权的安全产品可以随时根据用户的要求对产品进行相应的改进。使产品更加适合用户的实际需要，而不是一般的通用性产品。l 采用可提供本地化服务的厂家的产品。可以提供本地化服务产品对用户的安全至关重要，可以及时提供应急安全响应服务，如在病毒或黑客入侵事件发生的时候，可以在第一时间进行响应，最大程度的保护用户利益。l 采用可以提供分级、分布、集中管理控制并可进行互动的产品。由于网络和系统的复杂性，对相应产品的管理控制提出了更高的要求，不但可以进行集中、分布的管理控制，还能够进行分级的管理控制以适应大规模网络的需要，同时不同安全产品之间应能够进行有效的互动，以提高系统的防御能力。l 在选择产品时需要保证符合相应的国际、国内标准，尤其是国内相关的安全标准。如国内的安全等级标准、漏洞标准，安全标准以及国际的cve、iso13335、iso15408、iso17799等标准。l 产品在使用上应具有友好的用户界面，并且可以进行相应的客户化工作，使用户在管理、使用、维护上尽量简单、直观。l 建立层次化的防护体系和管理体系4.4安全体系网络安全防范措施是动态的，它随着新技术的不断发展而发展，它是一个集技术、管理和法规为一体的系统工程。因此对安全问题的解决要有一个整体框架，并体现其动态性，采用动态自适应的安全模型，是控制计算机网络安全问题的有效的手段。省监狱局电子政务网络系统网络的安全是一个动态的概念。所以必需制定和开发出针对性的一系列安全方案、技术框架和应用工具，并发展成为一种有效的网络安全解决方案动态安全模型，它能够提供给用户比较完整、合理的安全机制。省监狱局电子政务网络系统网络的动态安全管理公式概括如下：省监狱局电子政务网络系统网络安全 =风险分析 + 制订策略 + 系统防护 + 实时监测 + 实时响应 + 恢复即：网络的安全是一个“ap2dr2”的动态安全公式，如图所示。 从安全体系的实施的动态性角度，省监狱局电子政务网络系统网络动态安全管理公式的设计充分考虑到了风险评估、安全策略的制定、防御系统、监控与检测、响应与恢复等各个方面，并且考虑到各个部分之间的动态关系与依赖性。安全需求和风险评估是制定省监狱局电子政务网络系统网络安全策略的依据。风险分析（又称风险评估、风险管理），是指确定网络资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法：定性分析和定量分析。我们协助制订业务网络安全策略的时候，是从全局进行考虑，基于风险分析的结果进行决策，建议究竟是加大投入，采取更强有力的保护措施，还是可以容忍一些小的风险存在而不采取措施。因此，我们采取了科学的风险分析方法对省监狱局电子政务网络系统网络的安全进行风险分析，风险分析的结果作为制定安全策略的重要依据之一。根据安全策略的要求，我们协助选择相应的安全机制和安全技术，实施安全防御系统、进行监控与检测。我们认为省监狱局电子政务网络系统网络安全防御系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。安全防御系统搭建得完善与否，直接决定了省监狱局电子政务网络系统网络网络的安全程度，无论哪个层面上的安全措施不到位，都可能是很大的安全隐患，都有可能造成业务网络中的后门。响应与恢复系统是保障省监狱局电子政务网络系统网络安全性的重要手段。我们协助采取检测手段，制订紧急事件响应的方法与技术。根据检测和响应的结果，可以发现防御系统中的薄弱环节，或者安全策略中的漏洞，进一步进行风险分析，修改安全策略，根据技术的发展和业务的变化，逐步完善安全策略，加强业务网安全措施。4.5安全部署4.5.1安全措施省监狱局电子政务网络系统网络的安全问题是一个系统工程，我们在制定安全网络策略时尽可能地考虑到网络中的各个方面及网络的拓展性，采用tcp/ip协议进行网络通信的网络，在网络层对计算机通信进行安全保护是业界流行的安全解决办法。遵照上述设计思想及设计原则，通常我们采用以下几项措施：1、acl策略控制在对外路由器上设置过滤规则，形成第一道防护网。使用过滤规则设置功能，作过滤防护，形成省监狱局电子政务网络系统网络与专网和内网之间的第一道防护网；2、采用vlan技术。为了更好的保证省监狱局电子政务网络系统网络的安全，我们应按照用户群组和系统资源的访问权限进行安全划分。在各节点局域网内部可根据各种业务需要或安全级别的不同，使用三层交换机划分 vlan，从而对不同vlan中的数据进行保护。3、防火墙防火墙是针对网络的周边安全问题的解决手段，网络安全的全面性原则要求在各节点网络的出口处或网络内部不同安全域之间安装防火墙设备防火墙可以通过包过滤，进行基于地址的粗粒度访问控制，同时，还可以通过口令认证对用户身份进行鉴别，既而实现基于用户的细粒度访问控制。防火墙在网络入口点检查网络通信，屏蔽非法侵入，其安全作用体现于：l 有效地防止外来的入侵；l 控制进出网络的信息流向和信息包；l 提供使用和流量的日志和审计；l 隐藏内部ip地址及网络结构的细节。l 正确地配置和使用防火墙。防火墙功能正确实施的关键是其安全策略的配置和管理。4、入侵检测系统我们采用入侵检测系统，对省监狱局电子政务网络系统网络进行实施监控和核心业务系统服务器的重点保护，从而降低了网络安全风险，防止入侵者的破坏。网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。5、网络安全扫描系统我们采用网络漏洞扫描系统对省监狱局电子政务网络系统网络进行漏洞扫描，他能够测试和评价系统的安全性，并及时发现安全漏洞。网络漏洞扫描系统就是这一技术的实现，她包括了网络模拟攻击，漏洞检测，报告服务进程，提取对象信息，以及评测风险，提供安全建议和改进措施等功能，帮助用户控制可能发生的安全事件，最大可能的消除安全隐患。安全扫描系统具有强大的漏洞检测能力和检测效率，贴切用户需求的功能定义，灵活多样的检测方式，详尽的漏洞修补方案和友好的报表系统，为网络管理人员制定与合理安全防护策略提供依据。6、网络防病毒措施省监狱局电子政务网络系统网络防病毒措施主要包括技术和管理方面，技术上可进行全方位的防病毒保护，在服务器中安装服务器端防病毒系统，以提供对病毒的检测、清除、免疫和对抗能力，防止病毒在整个网络内部进行扩散。在客户端的主机也应安装单机防病毒软件，将病毒在本地清除而不致于扩散到其他主机或服务器，在邮件服务器上安装邮件防病毒系统。管理上应制定一整套有关的规章制度，如：不许使用来历不明的软件或盗版软件，软盘使用前要首先进行消毒等。只有提高了工作人员的安全意识，并自觉遵守有关规定，才能从根本上防止病毒对网络信息系统的危害。7、物理隔离措施省监狱局电子政务网络系统物理隔离主要包括两个部分,首先是单机层面的物理隔离卡,完全阻断内、外网的互访。其次是应用系统的物理隔离，在保证内、外网数据的安全前提下，实现内、外网数据的同步。8、vpn技术省监狱局需要通过internet与外界网络相连，vpn技术将为安全互访提供保证。4.6安全系统部署4.6.1防火墙系统部署我们采用防火墙作为省监狱局电子政务网络系统网络重要的安全设备，防火墙是指设置在不同网络（如可信任的省监狱局电子政务网络系统内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据省监狱局电子政务网络系统网络的安全政策控制（允许、拒绝、监测）出入网络的信息流，防火墙可以确定哪些内部服务允许外部访问，哪些外人被许可访问所允许的内部服务，哪些外部服务可由内部人员访问。并且防火墙本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。主要特点如下：l 保护脆弱的服务。通过过滤不安全的服务，firewall可以极大地提高网络安全和减少子网中主机的风险。例如，firewall可以禁止nis、nfs服务通过，firewall同时可以拒绝源路由和icmp重定向封包。l 控制对系统的访问。firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，firewall允许外部访问特定的mail server和web server。l 集中的安全管理。firewall对企业内部网实现集中的安全管理，在firewall定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。如在firewall可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过防火墙的次认证即可访问内部网。l 增强保密性。使用firewall可以阻止攻击者获取攻击网络系统的有用信息，如finger和dns。l 记录和统计网络利用数据以及非法使用数据。firewall可以记录和统计通过firewall的网络通讯，提供关于网络使用的统计数据，并且，firewall可以提供统计数据，来判断可能的攻击和探测。l 策略执行。firewall提供了制定和执行网络安全策略的手段。未设置firewall时，网络安全取决于每台主机的用户。由于省监狱局电子政务网络系统要对外提供服务，因此网络系统必然会直接面临来自外部的攻击威胁。要确保省监狱局电子政务网络系统的对外网上服务的系统平台不被侵入和破坏，首先要在网络的出口处放置一台防火墙来对进出省监狱局电子政务网络系统网络的访问进行授权控制。另外将重要的网上服务平台放置在防火墙的dmz区内，制定安全的访问控制策略，对其进行重点保护。同时为了省监狱局电子政务网络系统内外网络的物理隔离，因此放置一台防火墙在内外网之间，同时对网络管理区域和核心数据库区域重点保护，防止内外网的用户入侵和破坏。防火墙系统详述基本功能 实时的连接状态监控功能，通过规则表与连接状态表共同配合，提高了系统的性能和安全性 动态设置过滤规则的功能，根据实际应用的需要，在建立应用服务的时候动态地增加一组规则，在服务结束的时候，自动地把规则删除 双向的网络地址转换功能，同时支持一对一的静态地址映射和多对一的动态地址映射两种方式的地址转换 对ftp, telnet, http，smtp和pop3等应用的透明代理访问方式 抗攻击和自我保护能力，通过严密的体系结构，可以防范一系列外部黑客的攻击，如：抗ip假冒攻击 抗特洛伊木马攻击 抗口令字探寻攻击 抗邮件诈骗攻击 抗dos攻击 抗网络安全性分析 提供服务模板功能，简化ip过滤规则的定制 提供网络访问活动情况，对防火墙的访问操作等的审计日志，并提供对可疑的和有攻击性的访问情况向系统管理员告警的功能 网络工作情况的事后分析和查询功能 安全的体系结构 提供操作简单的图形化用户界面对防火墙进行配置 安全的网络结构，采用内部网，dmz区，用户控制区分离的网络结构 根据用户各自不同的需要定制不同服务的功能 在访问控制规则中，提供对通过防火墙使用网络资源的用户进行身份认证的功能，身份认证过程对应用和协议透明 提供报表功能，对数据库中存档的内容以简明的表格形式显示 面向对象的可视化规则编辑和管理工具关键技术 实时的连接状态监控功能 包过滤是防火墙中的一项主要安全技术，它通过防火墙对进出网络的数据流进行控制与操作。系统管理员可以设定一系列规则，指定允许哪些类型的数据包可以流入或流出内部网络；哪些类型的数据包传输应该被拦截。防火墙不仅根据数据包的地址、协议、端口进行访问控制，同时还对任何网络连接和会话的当前状态进行分析和监控。 传统防火墙的包过滤只是与规则表进行匹配，对符合规则的数据包进行处理，不符合规则的丢弃。由于是基于规则的检查，同属于同一连接的不同包毫无任何联系，每个包都要依据规则顺序过滤，这样随着安全规则的增加，势必会使防火墙的性能大幅度的降低，造成网络拥塞。甚至黑客会采用ip spoofing的办法将自己的非法包伪装成属于某个合法的连接。这样的包过滤既缺乏效率又容易产生安全漏洞。防火墙采用了基于连接状态的检查，将属于同一连接的所有包作为一个整体的数据流看待，通过规则表与连接状态表的共同配合，大大的提高了系统的性能和安全性。 对于包过滤来说按其复杂度不同一般分为两种情况。一种是无连接的包过滤，将每个包看成是一个孤立的单元进行检测；另一种是考虑连接的包过滤，在进行包的检测时不仅将其看成是独立的单元，同时还要考虑它的历史关联性。例如，在基于tcp协议的连接中，每个包在传输时都包括了ip源地址，ip目的地址，协议的源接口和目的接口等信息，还包括了对在允许的时间间隔内是否发生了tcp握手消息的监视信息等。这些信息与每个数据包都是有关联的。换句话说，对于属于同一个连接的数据包来说并不是完全孤立的，它们存在内部的关联信息。无连接的包过滤规则没有考虑这些内在的关联信息，而是对每个数据包都进行孤立的规则检测，这样就降低了传输效率。 对于基于udp协议的应用来说，是很难用简单的包过滤技术对其处理的，因为udp协议本身对于顺序错误或丢失的包，是不做纠错或重传的。东方龙马防火墙在对基于udp协议的连接处理时，会为udp建立虚拟的连接，同样能够对连接过程状态进行监控，通过规则与连接状态的共同配合，达到包过滤的高效与安全。 实时的连接状态监控功能极大地提高了系统的安全性。在状态表中可以通过诸如ack（应答响应） no.等连接状态因素加以识别，阻止该包通过，增强了系统的安全性。 动态过滤规则技术 为应用提供动态过滤（dynamic filter）规则是防火墙的一大特色。 防火墙的ip包过滤，主要是依据一个有固定排序的规则链过滤，其中的每个规则都包含ip地址、端口、传输方向、分包、协议等多项内容。对每个被截取到的ip包，我们将依照规则链中的规则顺序地进行检查，当该ip包符合规则的要求时，则依照该规则的规定对该ip包进行处理，接受ip包，并且继续按次序使用规则进行匹配；若该ip包不符合规则的要求，则它将被丢弃。一般防火墙的包过滤的过滤规则是在启动时配置好的，只有系统管理员才可以修改，是静态存在的，称为静态规则。而动态过滤规则是根据实际应用的需要，在建立应用服务的时候动态地增加一组规则，在服务结束的时候，自动地把规则删除。 静态规则是管理员事先定好的，由于事先很难精确的判断防火墙到底有多少端口需要打开才能满足正常通讯的需求，所以，在定制静态的规则时，需要打开的端口范围极大，其中必然大部分端口是不必打开的，这样就会造成很多不安全的隐患。 动态规则的引入弥补了静态规则的这一不足，是基于规则检查技术的一个重大改进。它根据tcp/ip协议特点，由网络连接的第一个服务连接分析出后面的连接所需的端口号与地址，进而添加到过滤规则中。例如，通过端口21建立了ftp服务，动态规则就可以根据ftp端口的连接，为后面的get服务连接动态地添加一条临时规则，在get服务结束时，自动把此规则删除。由于动态规则是由系统程序直接加入的，所以防火墙应该打开的端口在应用中能够被查清，而这些端口都由应用程序通过动态规则在适当时刻打开，当应用结束时，动态规则又由系统程序删除，相应的端口也被关闭，而作为动态分析的依据，静态规则只需打开极少数事先必须打开的端口。这样在最大程度上降低了黑客进攻的成功率。 如上所述，由静态规则打开基本的服务端口，动态规则是在应用程序中确定插入、删除规则的，不会造成服务因为端口没有开放而禁止，同时能够有效的关闭系统存在的开口隐患。 双向的网络地址转换（nat） 防火墙利用natip地址和专用网络，防火墙能详尽记录每一个主机的通信，确保每个分组送往正确的地址。 防火墙提供了“内部网到外部网”，“外部网到内部网”的双向nat功能。同时支持两种方式的网络地址转换，一种为静态地址映射，即外部地址和内部地址一对一的映射，使内部地址的主机既可以访问外部网络，也可以接受外部网络提供的服务。另一种是更灵活的方式，可以支持多对一的映射，即内部的多个机器可以通过一个外部有效地址访问外部网络。让多个内部ip地址共享一个外部ip地址，就必须转换端口地址，这样内部不同ip 地址的数据包就能转换为同一个ip地址而端口地址不同，通过这些端口对外部提供服务。这种nat转换可以更有效地利用ip地址资源，并且提供更好的安全性。 在内部网络通过安全网卡访问外部网络时将产生一个映射记录。系统将外出的源地址和源端口映射为一个伪装的地址和端口，让这个伪装的地址和端口通过非安全网卡与外部网络连接，这样对外就隐藏了真实的内部网络地址。在外部网络通过非安全网卡访问内部网络时，它并不知道内部网络的连接情况，而只是通过一个开放的ip地址和端口来请求访问。防火墙可以根据预先定义好的映射规则来判断这个访问是否安全。当符合规则时，防火墙认为访问是安全的，可以接受访问请求，也可以将连接请求映射到不同的内部计算机中。当不符合规则时，防火墙认为该访问是不安全的，不能被接受，防火墙将屏蔽外部的连接请求。网络地址转换的过程对于用户来说是透明的，不需要用户进行设置，用户只要进行常规操作即可。nat的工作过程如图所示：源地址目的地址源地址目的地址00源地址目的地址源地址目的地址00内部网源ip包回应的包nat外部网nat工作示意图 统提供的双向nat功能可以使系统管理员自行设置内部的地址而不必对外公开，隐藏了内部网络的真实地址，从而使外来的黑客无法探知内部网络的结构；同时也可以解决ip地址短缺的问题。并提高整体的安全性。 透明的代理访问方式（transparent proxy） 防火墙中对ftp，telnet，http，smtp和pop3等应用实现了代理服务。这些代理服务对用户是透明的（transparent)，即用户意识不到防火墙的存在，便可完成内外网络的通讯。当内部用户需要使用透明代理访问外部资源时，用户不需要进行设置，代理服务器会建立透明的通道，让用户直接与外界通信，这样极大地方便用户的使用，避免使用中的错误，降低使用防火墙时固有的安全风险和出错概率。 下图说明了透明代理的原理：透明代理的原理图如图假设为防火墙。当a对b有连接请求时，tcp连接请求被防火墙截取并加以监控。截取后当发现连接需要使用代理服务器时，a和c之间首先建立连接，然后防火墙建立相应的代理服务通道（ftp，telnet，http， smtp， pop3等）与目标b建立连接，由此通过代理服务器建立a 和目标地址b的数据传输途径。从用户的角度看，a和b的连接是直接的，而实际上a 是通过代理服务器c和b建立连接的。反之，