网络安全设计方案

1、1.1某市政府网络系统现状分析某市电子政务工程总体规划方案 主要建设内容为：一个专网 ( 政务通信专网 ) ，一个平台 ( 电子政务基础平台 ) ，一个中心 ( 安全监控和备份中心 ) ，七大数据库 ( 经济信息数据库、法人单位基础信息数据库、 自然资源和空间地理信息数据库、 人口基础信息库、 社会信用数据库、海洋经济信息数据库、政务动态信息数据库 ) ，十二大系统 ( 政府办公业务资源系统、经济管理信息系统、 政务决策服务信息系统、 社会信用信息系统、 城市通卡信息系统、 多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)

2、 。主要包括：政务通信专网电子政务基础平台安全监控和备份中心政府办公业务资源系统政务决策服务信息系统综合地理信息系统多媒体增值服务信息系统某市政府中心网络安全方案设计1.2安全系统建设目标本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案， 包括安全管理制度策略的制定、 安全策略的实施体系结构的设计、 安全产品的选择和部署实施， 以及长期的合作和技术支持服务。 系统建设目标是在不影响当前业务的前提下， 实现对网络的全面安全管理。1) 将安全策略、 硬件及软件等方法结合起来， 构成一个统一的防御系统， 有效阻止非法用户进入网络，减少网络的安全风险；2) 通过部署不同类型的安全产品，实现对

3、不同层次、不同类别网络安全问题的防护；3) 使网络管理者能够很快重新组织被破坏了的文件或应用。 使系统重新恢复到破坏前的状态。最大限度地减少损失。具体来说， 本安全方案能够实现全面网络访问控制，访问控制；并能够对重要控制点进行细粒度的其次，对于通过对网络的流量进行实时监控，对重要服务器的运行状况进行全面监控。1.2.1防火墙系统设计方案防火墙对服务器的安全保护网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为 黑客 攻击的突破口， 因此，在实施方案时要对服务器的安全进行一系列安全保护。如果服务器没有加任何安全防护措施而直接放在

4、公网上提供对外服务，就会面临着 黑客 各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。 只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。 防火墙本身抵御了绝大部分对服务器的攻击， 外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。防火墙对内部非法用户的防范网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、 设备接入的可控性比较差， 因此，内部网络用户的可靠性并不能得到完全的保证。 特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重

5、要。为了保障内部网络运行的可靠性和安全性， 我们必须要对它进行详尽的分析， 尽可能防护到网络的每一节点。对于一般的网络应用， 内部用户可以直接接触到网络内部几乎所有的服务， 网络服务器对于内部用户缺乏基本的安全防范， 特别是在内部网络上， 大部分的主机没有进行基本的安全防范处理， 整个系统的安全性容易受到内部用户攻击的威胁， 安全等级不高。 根据国际上流行的处理方法， 我们把内部用户跨网段的访问分为两大类： 其一，是内部网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输 (NETBIOS)应用；其次，是内部网络用户对内部服务器的访问， 这一类应用主要发生在内部用户的

6、业务处理时。一般内部用户对于网络安全防范的意识不高， 如果内部人员发起攻击， 内部网络主机将无法避免地遭到损害， 特别是针对于 NETBIOS文件共享协议， 已经有很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用 黑客 工具造成严重破坏。1.2.2入侵检测系统利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险， 但是入侵者可寻找防火墙背后可能敞开的后门， 入侵者也可能就在防火墙内。网络入侵检测系统位于有敏感数据需要保护的网络上， 通过实时侦听网络数据流， 寻找网络违规模式和未授权的网络访问尝试。 当发现网络违规行为和未授权的网络访问

7、时， 网络监控系统能够根据系统安全策略做出反应， 包括实时报警、 事件登录， 或执行用户自定义的安全策略等。 网络监控系统可以部署在网络中有安全风险的地方， 如局域网出入口、 重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域， 可以单独各部署一套网络监控系统 ( 管理器 +探测引擎 ) ，也可以在每个需要保护的地方单独部署一个探测引擎，在全网使用一个管理器，这种方式便于进行集中管理。在内部应用网络中的重要网段，使用网络探测引擎，监视并记录该网段上的所有操作，在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。 同时，网络监视器还可以形象地重现操作的过程，可帮助安全管理

8、员发现网络安全的隐患。需要说明的是，IDS 是对防火墙的非常有必要的附加而不仅仅是简单的补充。按照现阶段的网络及系统环境划分不同的网络安全风险区域，项目的需求为：xxx 市政府本期网络安全系统区域部署安全产品内网 连接到 Internet 的出口处安装两台互为双机热备的海信 FW3010PF-4000型百兆防火墙；在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器；在主干交换机上安装 NetHawk 网络安全监控与审计系统；在内部工作站上安装趋势防毒墙网络版防病毒软件；在各服务器上安装趋势防毒墙服务器版防病毒软件。DMZ区 VirusWall在服务器上安装趋势防毒墙服务器版防病毒软件；安装一台

9、InterScan防病毒网关； 安装百兆眼镜蛇入侵检测系统探测器和NetHawk 网络安全监控与审计系统。安全监控与备份中心 安装 FW3010-5000 千兆防火墙， 安装 RJ-iTOP 榕基网络安全漏洞扫描器； 安装眼镜蛇入侵检测系统控制台和百兆探测器； 安装趋势防毒墙服务器版管理服务器，趋势防毒墙网络版管理服务器，对各防病毒软件进行集中管理。1.3防火墙安全系统技术方案某市政府局域网是应用的中心， 存在大量敏感数据和应用， 因此必须设计一个高安全性、高可靠性及高性能的防火墙安全保护系统，确保数据和应用万无一失。所有的局域网计算机工作站包括终端、广域网路由器、 服务器群都直接汇接到主干交

10、换机上。由于工作站分布较广且全部连接, 对中心的服务器及应用构成了极大的威胁，尤其是可能通过广域网上的工作站直接攻击服务器。因此，必须将中心与广域网进行隔离防护。考虑到效率， 数据主要在主干交换机上流通，通过防火墙流入流出的流量不会超过百兆，因此使用百兆防火墙就完全可以满足要求。如下图， 我们在中心机房的百兆防火墙， DMZ口通过交换机与DMZ服务区上安装两台互为冗余备份的海信FW3010PF-4000WWW/FTP、DNS/MAIL服务器连接。同时，安装一台Fw3010PF-5000 千兆防火墙，将安全与备份中心与其他区域逻辑隔离开来通过安装防火墙，实现下列的安全目标：1) 利用防火墙将内部

11、网络、 Internet 外部网络、 DMZ服务区、 安全监控与备份中心进行有效隔离，避免与外部网络直接通信；2) 利用防火墙建立网络各终端和服务器的安全保护措施，保证系统安全；3) 利用防火墙对来自外网的服务请求进行控制，使非法访问在到达主机前被拒绝；4) 利用防火墙使用 IP 与 MAC地址绑定功能，加强终端用户的访问认证，同时在不影响用户正常访问的基础上将用户的访问权限控制在最低限度内；5) 利用防火墙全面监视对服务器的访问，及时发现和阻止非法操作；6) 利用防火墙及服务器上的审计记录，形成一个完善的审计体系，建立第二条防线；7) 根据需要设置流量控制规则，实现网络流量控制，并设置基于时

12、间段的访问控制。1.4入侵检测系统技术方案如下图所示， 我们建议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测器， DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器，用以实时检测局域网用户和外网用户对主机的访问， 在安全监控与备份中心安装一台海信眼镜蛇入侵检测系统百兆探测器和海信眼镜蛇入侵检测系统控制台，由系统控制台进行统一的管理( 统一事件库升级、统一安全防护策略、统一上报日志生成报表) 。其中，海信眼镜蛇网络入侵检测系统还可以与海信FW3010PF防火墙进行联动，一旦发现由外部发起的攻击行为，将向防火墙发送通知报文，由防火墙来阻断连接，实现动态的安全防护体系。海信眼镜蛇入

13、侵检测系统可以联动的防火墙有：海信FW3010PF防火墙，支持OPSEC协议的防火墙。通过使用入侵检测系统，我们可以做到：1) 对网络边界点的数据进行检测，防止黑客的入侵；2) 对服务器的数据流量进行检测，防止入侵者的蓄意破坏和篡改；3) 监视内部用户和系统的运行状况，查找非法用户和合法用户的越权操作；4) 对用户的非正常活动进行统计分析，发现入侵行为的规律；5)实时对检测到的入侵行为进行报警、阻断，能够与防火墙/ 系统联动；6) 对关键正常事件及异常行为记录日志，进行审计跟踪管理。通过使用海信眼镜蛇入侵检测系统可以容易的完成对以下的攻击识别：网络信息收集、网络服务缺陷攻击、 Dos&Ddos

14、攻击、缓冲区溢出攻击、 Web攻击、后门攻击等。网络给某市政府带来巨大便利的同时， 也带来了许多挑战， 其中安全问题尤为突出。 加上一些人缺乏安全控制机制和对网络安全政策及防护意识的认识不足，这些风险会日益加重。引起这些风险的原因有多种， 其中网络系统结构和系统的应用等因素尤为重要。 主要涉及物理安全、链路安全、网络安全、系统安全、应用安全及管理安全等方面。通过以上方案的设计和实施，所有安全隐患就得到了良好的改善。（完其中专业理论知识内容包括：保安理论知识、消防业务知识、职业道德、法律常识、保安礼仪、救护知识。作技能训练内容包括：岗位操作指引、勤务技能、消防技能、军事技能。二培训的及要求培训目

15、的安全生产目标责任书为了进一步落实安全生产责任制，做到“责、权、利”相结合，根据我公司2015 年度安全生产目标的内容，现与财务部 签订如下安全生产目标：一、目标值：1 、全年人身死亡事故为零，重伤事故为零，轻伤人数为零。2 、现金安全保管，不发生盗窃事故。3 、每月足额提取安全生产费用，保障安全生产投入资金的到位。4 、安全培训合格率为 100% 。二、本单位安全工作上必须做到以下内容：1 、对本单位的安全生产负直接领导责任，必须模范遵守公司的各项安全管理制度，不发布与公司安全管理制度相抵触的指令，严格履行本人的安全职责，确保安全责任制在本单位全面落实，并全力支持安全工作。2 、保证公司各项安全管理制度和管理办法在本单位内全面实施，并自觉接受公司安全部门的监督和管理。3 、在确保安全的前提下组织生产，始终把安全工作放在首位，当“安全与交货期、质量”发生矛盾时，坚持安全第一的原则。4 、参加生产碰头会时，首先汇报本单位的安全生产情况和安全问题落实情况；在安排本单位生产任务时，必须安排安全工作内容，并写入记录。5 、在公司及政府的安全检查中杜绝各类违章现象。6 、组织本部门积极参加安全检查，做到有检查、有整改，记录全。7 、以身作则，不违章指挥、不违章操作。对发现的各类违章现象负有查禁的责任，同时要予以查处。8 、虚心接受员工提出的