电子政务网络安全解决方案.doc

电子政务网络安全解决方案项目背景 某检察院广域网分为三个层面，第一部分是包括省高院内部网及与Internet互联的外部网部分，该部分是全省广域网的核心，是地市级检察院交换的枢纽；第二部分是铁路检察院与地市市级院等单位，它们是地市级网络的核心；第三部分是地市级市级院下属的基层院，劳改院，开发区院及铁路检察院下属的基层铁检院。某检察院三级广域网为某检察院、市级院及基层院之间实现信息共享，实现便利的交流和提高检察院办事效率提供了有利的保障，该系统在应用方面主要考虑视频、语音及信息管理系统等几个平台的建设。同时，某检察院WWW服务器外网通过专线和路由器直接与INTERNET网连接，对外提供服务，及时发布检察工作动态，反映履行职能情况，展示检察风范，宣传法律知识。 下图为某检察院三级广域网整体结构示意图 安全需求 边界保护的需求 通过边界保护，可以有效规避大部分网络层安全威胁，并降低系统层安全威胁对山东检察院广域网的影响，通过严格规范山东检察院广域网的数据传输及应用，防范不同网络区域之间的非法访问和攻击，确保山东检察院三级广域网各个区域的有序访问。一般来说边界防护采用的主要技术包括防火墙技术、入侵检测技术及物理隔离交换技术。 系统加固的需求一般来讲，安全的威胁主要来自于系统的弱点，针对检察院广域网平台网络中存在的安全隐患，要设法提高整体网络的抗病毒能力，确保山东检察院广域网平台不受到病毒的侵害，从而降低系统层、应用层的安全威胁。另外，对外提供的服务的WEB服务器也是黑客攻击的主要目标，实时对其监控与恢复非常重要；一般来说系统加固采用的主要技术包括安全扫描技术、主页防篡改技术及防病毒技术。 加密传输的需求省检察院与各市级院通过专网互联，其间传输有大量涉及国家机密的重要文件和数据，由于检察院信息网的安全保密涉及党和国家的根本利益，因此在在山东检察院广域网内部构建一个完整的安全保密体系，确保在山东省检察院信息网各节点、各用户之间传输的所有信息的机密性、完整性，并且确保只有装备了相应密码产品、拥有正确密钥的用户才能访问山东检察院信息网内部信息资源。 安全方案省检察院内网省检察院外网地市市级院基层检察院在各级检察院内网核心交换机和边界路由器之间部署联想网御防火墙产品，通过防火墙隔离及控制的功能，针对上级检察院和下级检察院对各级院内网重要服务器的访问进行控制，依据某检察院广域网系统即定的安全策略，明确什么样的用户，通过何种访问方式，能够发起对各级检察院内网何种应用服务器的访问，而其他所有的访问均被禁止，从而有效的保障了各级检察院内网区域的边界安全，确保该区域内的重要信息资产被授权、合法地进行访问。 部署的防火墙均采用VPN模块，与各级检察院专网的网络边界部署的防火墙内置VPN模块配合，形成专网的加密隧道，当各级检察院之间进行传递时，数据被加密的传输，即使数据在传递过程中被窃取，攻击者也无法读出数据包的内容，从而确保的数据的传输安全；并且部署的VPN系统还支持数据完整性校验，确保数据包被完整的传递。 在防火墙系统进行边界隔离及访问控制的前提下，在各区域核心交换机部署联想网御入侵检测产品，对进出各区域的各种数据包和访问进行实时检测，进一步细化分析数据包的内容，发现存在异常时及时给予报警，确保网络访问的正常进行。 入侵检测系统能够与防火墙系统进行安全联动，在入侵检测系统发现异常后，能够将发起访问的源地址信息提供给防火墙，防火墙动态生成规则，将源地址发出的访问请求阻断在各区域之外，从而发挥出动态防护的优势。 考虑到内网区域与外网区域之间必须物理隔离的要求，在两者之间部署联想网御安全隔离与信息交换产品，利用安全隔离与信息交换产品的信息摆渡技术，在确保内、外网区域完全物理隔离的前提下，还能够将内网区域内的数据信息提供给外网主页服务器，通过主页服务器完成对各种案件信息的发布。 实施效果 实施以上方案后，可以解决检察院广域网的如下安全问题： 针技术上通过漏洞扫描服务器进行定期漏洞扫描和评估，及时了解专网内的重要主机设备和网络设备的安全现状和安全隐患；通过安全加固及时解决重要主机设备和网络设备的安全问题；通过强身份认证系统解决管理员维护重要主机和网络设备时的身份认证和安全审计问题。对物理层：解决了检察院广域网与互联网之间严格的物理隔离。技术上采用物理隔离技术，对内外网进行物理隔离。同时，针对检察院广域网内部署的病毒系统的升级，可通过专用的机器从互联网上下载病毒升级包，然后通过光盘等存储介质，再将升级包传递到山东检察院广域网内，通过病毒管理中心分发给其他机器。 针对网络层：在网络边界和内部引入了访问控制措施、入侵检测及数据加密措施。技术上对检察院广域网进行安全域划分，在边界采用防火墙进行访问控制及数据加密传输，在安全域的内部采用入侵检测系统进行监控，并和防火墙进行联动，严格限制跨域的非法访问并监控内部的攻击行为。 针对系统层：解决了重要服务器、网络设备的安全隐患发现和解决以及管理员维护主机系统、网络系统的身份认证问题。技术上通过漏洞扫描服务器进行定期漏洞扫描和评估，及时了解专网内的重要主机设备和网络设备的安全现状和安全隐患；通过安全加固及时解决重要主机设备和网络设备的安全问题；通过强身份认证系统解决管理员维护重要主机和网络设备时的身份认证和安全审计问题。 针对应用层：解决应用数据库的安全优化，专网内的病毒控制及网站恢复等问题。技术上通过安全加固对应用数据库