网闸实施方案

1 / 9 网闸实施方案 网御 SIS-3000 安全隔离网闸典型案例 “网上营业厅”的安全解决方案 目录 1.前言 . 3 2.需求分析 3 . 4 网络安全方案设计 . 6 1. 前言 Internet 作为覆盖面最广、集聚人员最多的虚拟空间，形成了一个巨大的市场。中国互联网络信息中心在 2002年 7 月的“中国互联网络发展状况统计报告”中指出，目前我国上网用户总数已经达到 4580 万人，而且一直呈现稳定、快速上升趋势。面对如此众多的上网用户，为商 家提供了无限商机。同时，若通过 Internet 中进行传统业务，将大大节约运行成本。据统计，网上银行一次资金交割的成本只有2 / 9 柜台交割的 13%。 面对 Internet 如此巨大的市场，以及大大降低运行成本的诱惑，各行各业迫切需要利用 Internet 这种新的运作方式，以适应面临的剧烈竞争。为了迎接 WTO 的挑战，实现“以客户为中心”的经营理念，各行各业最直接的应用就是建立“网上营业厅”。 但是作为基于 Internet 的业务，如何防止黑客的攻击和病毒的破坏，如何保障自身的业务网运行的安全就迫在眉睫 了。对于一般的防火墙、入侵检测、病毒扫描等等网络安全技术的安全性，在人们心中还有很多疑虑，因为很多网络安全技术都是事后技术，即只有在遭受到黑客攻击或发生了病毒感染之后才作出相应的反应。防火墙技术虽然是一种主动防护的网络安全技术，它的作用是在用户的局域网和不可信的互联网之间提供一道保护屏障，但它自身却常常被黑客攻破，成为直接威胁用户局域网的跳板。造成这种现象的主要原因是传统的网络安全设备只是基于逻辑的安全检测，不提供基于硬件隔离的安全手段。 所谓“道高一尺，魔高一丈”，面对病毒的泛滥，黑客的横行， 我们必须采用更先进的办法来解决这些问题。目前，出现了一种新的网络安全产品 联想安全隔离网闸，该系统的主要功能是在两个独立的网络之间，在物理层的隔离状态下，以应用层的安全检测为保障，提供高安全的信息3 / 9 交流服务。 2. 需求分析 XX 的网络现状 XX 网上营业厅现行的拓扑图 图 XX 网络拓扑示意图 XX 网上营业厅所面临的主要问题 具体分析， XX 网上营业厅所面临的主要问题： 1) 实时性差 2) 工作量大 3) 容易造成人为的失误 4) 运行费用高 5) 很难实现 7 24 的不间断服务 6) 业务扩展困难 将内部业务网与外部网络直接连接的安全隐患 若直接将两个网络连接起来，将出现以下安全隐患： 1) 来自网络外部非法用户的攻击和越权访问等。 2) 网络病毒的破坏。 3) 来自内部网络合法用户的无意泄密。 XX 的网络安全需求分析 1) 防止内网的主机遭受非法用户的非授权访问或恶意攻击。 2) 加强对各种交流信息的检测，其中包括：检测来4 / 9 自内部和外部的数据内容。 3) 加强对各种交流信息的病毒扫描和清除，其中包括：检测来自内部和外部的数据内容。 4) 加强对各种交流信息的日志审计。 XX 网上营业厅的安全目标 XX 网上营业厅的业务量越来越多，业务种类越来越多，对业务的性能要求越来越高，为了更好的、更有效的、更方便、更安全地提供网上营业厅服务，是实现 XX 网上营业厅的目标。实施网络安全系统项目，整体规划网络安全系统，作好以下几个方面的规划和实 施： ? 保密性 ? 安全性 ? 完整性 ? 可用性 近期目标 目前迫在眉睫的工作是保护整个系统的网络完整性、系统的完整性及系统可用性，建立安全的网络逻辑结构，为今后的实施保密性奠定基础。网络完整性主要是对网络系统的保护，通过设置安全隔离网闸等保证通讯安全，保证系统资源受控可用；系统的完整性是信息系统的保护主要有防病毒、风险评估、入侵检测。 远期目标 5 / 9 全面部署 XX 的全网的整体安全防御系统，巩固和完善网络安全及 管理系统，使 XX 网上营业厅更好的行使职能。 洛阳市电子政务网络改造 网闸实施方案 北京网御星云信息技术有限公司 2016 年 6 月 一、 业务需求 本项目为洛阳市电子政务网络建设项目，全网分为直接与互联网相连的电子政务外网和与省政府及各区县电子政务内网相连的市政府电子政务内网两部分网络。其中，电子政务外网和电子政务内网为两张独立的子网，之间必须实现物理隔离。但当前存在电子政务内网用户访问电子政务外网服务器区 OA 系统的应用需求，需要通过合理的方式在保证电子政务内网与电子政务外网相互独立的前提下，实现电子政务内网用户到电子政务外网服务器区域 OA 系统的访问需求。 根据上述的描述，在与洛阳市政府信息中心用户沟通后，决定在电子政务内网与电子政务外网之间放置安全隔离与信息交换系统。这样既能保证两个子网之间的数据隔离，也能使专网用户访问到电子政务外网服务器区域的 OA系统，同时满足了用户的访问需求及安全要求。 二、 实施拓扑 6 / 9 三、 方案描述 本次项目采用的安全隔离与信息交换系统部署 在洛阳市政府电子政务内网与洛阳市政府电子政务外网之间。安全隔离与信息交换系统外端机与电子政务外网核心区域放置的启明星辰 USG4000DUTM 相连，网关指向 UTM，外端机通讯地址： /30；内端机与电子政务内网服务器区域启明星辰USG2000C 防火墙相连，网关指向防火墙，内端机通讯地址：/29。 安全隔离与信息交换系统外端机安全通道模块内配置服务器端的普 通访问策略，内端机安全通道模块内配置客户端的普通访问策略。 安全隔离与信息交换系统使用： 外网 OA 对内网终端开 放 上的 21 端口、 4357 端口、8888 端口 内网用户需要通过访问的 21 端口、 4357 端口、8888 端口 ViGap 在政府部门的解决方案 方案背景 政府部门一般按照国家电子政务建设要求组建自己的电子政务网络，采用三级联网。政府单位为了提供便民服务，为了实现各种电子政务应用，必须将一部分原来在内网的数据信息面对公网，面对上下级单位、面对外单位企业7 / 9 网络。 政府的政务网一般主要由四部分组成： 内部运行信息系统的局域网 上下级互联的广 域网 市级各部门信息资源共享的政务外网 提供信息发布查询等社会化服务的国际互联网 政府政务内外网、上下级互联互通涉及数据的交换，必然带来一定的安全风险。原来利用互连网发动攻击的黑客、病毒、下级单位的人员疏忽、恶意试探也可能利用政府内部网络的数据交换的连接尝试攻击本单位政府内部政务网，影响到本单位内部网的重要数据正常运行，所以安全问题变得越来越复杂和突出。 解决方案 政府网络信息交换的安全原则和要求体现在如下几个方面： 1、 建立统一的安全隔离交换平台，政府政务内网的办公、业务管理系统通过统一出口实现与外部应用、单位网间的可信信息交换，统一管理，执行统一的安全策略，实现政务内网信息和上下级单位、外部应用网数据交换的高度可控性。 2、所采用的安全隔离设备必须通过公安部信息安全产品许可和国家保密局的技术鉴定，安全隔离设备支持广8 / 9 泛、可定义的应用。 内网与外部应用网之间隔离遵循“内外网物理隔断，内外网可控信息交换”的原则，即不 接收其他网络数据，使得政务应用内网对外不暴露任何内网端口和服务，完全隐藏内部网络， 从而更集中、高效地保护内网安全。更重要的是该功能阻断了黑客通过木马控制内网主机的通讯途径，保护内网主机的安全。 除了隔离网闸外，还可以应用防火墙技术、 SSL VPN技术，保证政务内网数据的机密性、完整性和可用性。这样就以隔离网闸为核心，建立了一整套完整的安全隔离与信息交换平台。 根据以上原则，政府的隔离应用设计应遵循如下基本原则： 1、在政府政务内外网网络边界、政务内网与政务专网边界处部署安全隔离网闸，隔离阻断外网直接访问政府内网的途径。外网数据库服务器仅能够通过网闸 访问部署于内网的相关应用服务器交换数据。 2、网闸可采用数据库同步和应用访问两种模式工作。 3、隔离网闸在数据进行摆渡的过程中，将严格检查数据的格式、文件内容及特征文件名，并只交换外网指定数据库或指定应用服务器，保证传入内网的数据是相关应用系9 / 9 统的合法数据。 根据网闸的工作原理、用户的实际应用环境，具体的实施方案如下： 方案特点 本用户应用方案中，政府内部网络分为政务外网和政务内网，网闸的部署利用了网闸数据库访问功能和数据同步交换功能，实现如下 安全特点： 1、安全性高：网闸隔离了内外网的直接网络数据交换，网闸仅开