网络安全设计方案_第1页
网络安全设计方案_第2页
网络安全设计方案_第3页
网络安全设计方案_第4页
网络安全设计方案_第5页
已阅读5页,还剩2页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1.1某市政府网络系统现状分析

《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一个

平台作包子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数据库、

法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会信用数

据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(政府办公业务资源系统、

经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系统、多媒

体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金水信息系

统、金盾信息系统.、社会保障信息系统)。主要包括:

政务通信专网

电子政务基础平台

安全监控和备份中心

政府办公业务资源系统

政务决策服务信息系统

综合地理信息系统

多媒体增值服务信息系统

M

e

M$

N

d

ft

tJ

e

w

JMr

,

H

N

w

o

B

n

图某市政府中心机房网络拓扑图

某市政府中心网络安全方案设计

1.2安全系统建设目标

本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度

策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长明的合

作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管

理。

1)将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止非

法用户进入网络,减少网络的安全风险;

2)通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护:

3)使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前

的状态。最大限度地减少损失。

具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒度的

访问控制;

其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。

1.2.1防火墙系统设计方案

1.2.1.1防火墙对服务器的安全保护

网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器

提供的各种服务本身有可能成为〃黑客〃攻击的突破口,因此,在实施方案时要对服务器的安

全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着〃黑

客”各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经

过防火堵安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防

火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙

上的特定服务,从而防止了绝大部分外界攻击。

1.2.1.2防火墙对内部非法用户的防范

网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性

比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的

主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。

为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到

网络的每一节点。

对于一般的网络应用,内部用户可以直接接触到网络内部几乎所有的服务,网络服务器

对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行基本的安

全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上

流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的

访问,即单机到单机访问,这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;

其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。

一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法

避免地遭到损害,特别是针对于NETBIOS文件共享协议,己经有很多的漏洞在网上公开报道,

如果网络主机保护不完善,就可能被内部用户利用〃黑客〃工具造成严重破坏。

1.2.2入停检测系统

利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低

了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙

内。

网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找

网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络

监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的

安全策略等。网络监控系统可以部署在网络中有安全风险的地方,如局域网出入口、重点保

护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域,可以单独各部署一套

网络监控系统(管理器+探刻引擎),也可以在每个需要保护的地方单独部署一个探测引擎,

在全网使用一个管理器,这种方式便于进行集中管理。

在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,

在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可

以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。

需要说明的是,【DS是对防火墙的非常有必要的附加而不仅仅是简单的补充。

按照现阶段的网络及系统环境划分不同的网络安全风险区域,xxx市政府本期网络安全系统

项目的需求为:

区域部署安全产品

内网连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆

防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装

NetHawk网络安全监控与审计系统;在内部工作站上安袤趋势防毒墙网络版防病毒软件;在

各服务器上安装趋势防毒墙服务器版防病毒软件。

DMZ区在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台InterScan

VirusWall防病毒网关:安装口兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审

计系统。

通过安装防火墙,实现下列的安全目标:

1)利用防火墙将内部网络、Internet外部网络、UMZ服务区、安全监控与备份中心进

行有效隔离,避免与外部网络直接通信;

2)利用防火墙建立网络各终端和服务器的安全保护措施,保证系统安全;

3)利用防火墙对来自外网的服务请求进行控制,使非法访问在到达主机前被拒绝;

4)利用防火墙使用IP与MAC地址绑定功能,加强终端用户的访问认证,同时在不影

响用户正常访问的基础上将用户的访问权限控制在最低限度内;

5)利用防火墙全面监视对服务器的访问,及时发现和阻止非法操作:

6)利用防火墙及服务器上的审计记录,形成一个完善的审计体系,建立第二条防线;

7)根据需要设置流量控制规则,实现网络流量控制,并设置基于时间段的访问控制。

;t.■

ft>

图0-1某市政府中心机房防火墙安全系统网络拓扑图

1.4入侵检测系统技术方案

如下图所示,我们建议在局域网中心交换机安装一台海信眼镜蛇入侵检测系统千兆探测

器,DMZ区交换机上安装一台海信眼镜蛇入侵检测系统百兆探测器,用以实时检测局域网用

户和外网用户对主机的访问,在安全监控与备份中心安装一台海信眼镜蛇入侵检测系统百兆

探测器和海信眼镜蛇入侵检测系统控制台,由系统控制台进行统一的管理(统一事件库升级、

统一安全防护策略、统一上报日志生成报表)。

BiW

MlMtoi1

—・■\___■•»•・・―、----

—・HgU<h>JBnBS^A郁

图0-2某市政府中心机房入侵检测系统网络拓扑图

其中,海信眼镜蛇网络入侵检测系统还可以与海信RV3010PF防火墙进行联动,一旦发

现由外部发起的攻击行为,将向防火墙发送通知报文,由防火墙来阻断连接,实现动态的安

全防护体系。海信眼镜蛇入侵检测系统可以联动的防火墙有:海

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论