網(wǎng)絡(luò)安全設(shè)計(jì)方案

1.1 某市政府網(wǎng)絡(luò)系統(tǒng)現(xiàn)狀分析《某市電子政務(wù)工程總體規(guī)劃方案》主要建設(shè)內(nèi)容為：一個專網(wǎng)(政務(wù)通信專網(wǎng))，一個平臺(電子政務(wù)基礎(chǔ)平臺)，一個中心(安全監(jiān)控和備份中心)，七大數(shù)據(jù)庫(經(jīng)濟(jì)信息數(shù)據(jù)庫、法人單位基礎(chǔ)信息數(shù)據(jù)庫、自然資源和空間地理信息數(shù)據(jù)庫、人口基礎(chǔ)信息庫、社會信用數(shù)據(jù)庫、海洋經(jīng)濟(jì)信息數(shù)據(jù)庫、政務(wù)動態(tài)信息數(shù)據(jù)庫)，十二大系統(tǒng)(政府辦公業(yè)務(wù)資源系統(tǒng)、經(jīng)濟(jì)管理信息系統(tǒng)、政務(wù)決策服務(wù)信息系統(tǒng)、社會信用信息系統(tǒng)、城市通卡信息系統(tǒng)、多媒體增值服務(wù)信息系統(tǒng)、綜合地理信息系統(tǒng)、海洋經(jīng)濟(jì)信息系統(tǒng)、金農(nóng)信息系統(tǒng)、金水信息系統(tǒng)、金盾信息系統(tǒng)、社會保障信息系統(tǒng) )。主要包括：政務(wù)通信專網(wǎng)電子政務(wù)基礎(chǔ)平臺安全監(jiān)控和備份中心政府辦公業(yè)務(wù)資源系統(tǒng)政務(wù)決策服務(wù)信息系統(tǒng)綜合地理信息系統(tǒng)多媒體增值服務(wù)信息系統(tǒng)某市政府中心網(wǎng)絡(luò)安全方案設(shè)計(jì)1.2 安全系統(tǒng)建設(shè)目標(biāo)本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全管理制度策略的制定、安全策略的實(shí)施體系結(jié)構(gòu)的設(shè)計(jì)、安全產(chǎn)品的選擇和部署實(shí)施，以及長期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對網(wǎng)絡(luò)的全面安全管理。將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個統(tǒng)一的防御系統(tǒng)，有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的安全風(fēng)險；通過部署不同類型的安全產(chǎn)品，實(shí)現(xiàn)對不同層次、不同類別網(wǎng)絡(luò)安全問題的防護(hù)；使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。具體來說，本安全方案能夠?qū)崿F(xiàn)全面網(wǎng)絡(luò)訪問控制，訪問控制；

并能夠?qū)χ匾刂泣c(diǎn)進(jìn)行細(xì)粒度的其次，對于通過對網(wǎng)絡(luò)的流量進(jìn)行實(shí)時監(jiān)控，對重要服務(wù)器的運(yùn)行狀況進(jìn)行全面監(jiān)控。 防火墻系統(tǒng)設(shè)計(jì)方案 防火墻對服務(wù)器的安全保護(hù)網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為"黑客"攻擊的突破口，因此，在實(shí)施方案時要對服務(wù)器的安全進(jìn)行一系列安全保護(hù)。如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對外服務(wù)，就會面臨著 "黑客"各種方式的攻擊，安全級別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測。只有訪問服務(wù)器的請求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。 防火墻對內(nèi)部非法用戶的防范網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜， 而且各子網(wǎng)的分布地域廣闊， 網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。對于一般的網(wǎng)絡(luò)應(yīng)用，內(nèi)部用戶可以直接接觸到網(wǎng)絡(luò)內(nèi)部幾乎所有的服務(wù)，網(wǎng)絡(luò)服務(wù)器對于內(nèi)部用戶缺乏基本的安全防范，特別是在內(nèi)部網(wǎng)絡(luò)上，大部分的主機(jī)沒有進(jìn)行基本的安全防范處理，整個系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級不高。根據(jù)國際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸(NETBIOS)應(yīng)用；其次，是內(nèi)部網(wǎng)絡(luò)用戶對內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時。一般內(nèi)部用戶對于網(wǎng)絡(luò)安全防范的意識不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無法避免地遭到損害，特別是針對于NETBIOS文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用"黑客"工具造成嚴(yán)重破壞。 入侵檢測系統(tǒng)利用防火墻技術(shù)， 經(jīng)過仔細(xì)的配置， 通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)， 降低了網(wǎng)絡(luò)安全風(fēng)險，但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內(nèi)。網(wǎng)絡(luò)入侵檢測系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有安全風(fēng)險的地方，如局域網(wǎng)出入口、重點(diǎn)保護(hù)主機(jī)、遠(yuǎn)程接入服務(wù)器、內(nèi)部網(wǎng)重點(diǎn)工作站組等。在重點(diǎn)保護(hù)區(qū)域，可以單獨(dú)各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)(管理器+探測引擎)，也可以在每個需要保護(hù)的地方單獨(dú)部署一個探測引擎，在全網(wǎng)使用一個管理器，這種方式便于進(jìn)行集中管理。在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段，使用網(wǎng)絡(luò)探測引擎，監(jiān)視并記錄該網(wǎng)段上的所有操作，在一定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機(jī)。同時，網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。需要說明的是， IDS是對防火墻的非常有必要的附加而不僅僅是簡單的補(bǔ)充。按照現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)安全風(fēng)險區(qū)域，項(xiàng)目的需求為：

xxx市政府本期網(wǎng)絡(luò)安全系統(tǒng)區(qū)域

部署安全產(chǎn)品內(nèi)網(wǎng)連接到Internet的出口處安裝兩臺互為雙機(jī)熱備的海信FW3010PF-4000型百兆防火墻；在主干交換機(jī)上安裝海信千兆眼鏡蛇入侵檢測系統(tǒng)探測器；在主干交換機(jī)上安裝NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)；在內(nèi)部工作站上安裝趨勢防毒墻網(wǎng)絡(luò)版防病毒軟件；在各服務(wù)器上安裝趨勢防毒墻服務(wù)器版防病毒軟件。DMZ區(qū)VirusWall

在服務(wù)器上安裝趨勢防毒墻服務(wù)器版防病毒軟件；安裝一臺 InterScan防病毒網(wǎng)關(guān)；安裝百兆眼鏡蛇入侵檢測系統(tǒng)探測器和 NetHawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)。安全監(jiān)控與備份中心安裝FW3010-5000千兆防火墻，安裝RJ-iTOP榕基網(wǎng)絡(luò)安全漏洞掃描器；安裝眼鏡蛇入侵檢測系統(tǒng)控制臺和百兆探測器；安裝趨勢防毒墻服務(wù)器版管理服務(wù)器，趨勢防毒墻網(wǎng)絡(luò)版管理服務(wù)器，對各防病毒軟件進(jìn)行集中管理。1.3 防火墻安全系統(tǒng)技術(shù)方案某市政府局域網(wǎng)是應(yīng)用的中心，存在大量敏感數(shù)據(jù)和應(yīng)用，因此必須設(shè)計(jì)一個高安全性、高可靠性及高性能的防火墻安全保護(hù)系統(tǒng)，確保數(shù)據(jù)和應(yīng)用萬無一失。所有的局域網(wǎng)計(jì)算機(jī)工作站包括終端、 廣域網(wǎng)路由器、服務(wù)器群都直接匯接到主干交換機(jī)上。由于工作站分布較廣且全部連接 ,對中心的服務(wù)器及應(yīng)用構(gòu)成了極大的威脅，尤其是可能通過廣域網(wǎng)上的工作站直接攻擊服務(wù)器。 因此，必須將中心與廣域網(wǎng)進(jìn)行隔離防護(hù)。 考慮到效率，數(shù)據(jù)主要在主干交換機(jī)上流通， 通過防火墻流入流出的流量不會超過百兆， 因此使用百兆防火墻就完全可以滿足要求。如下圖，我們在中心機(jī)房的百兆防火墻，DMZ口通過交換機(jī)與

DMZ服務(wù)區(qū)上安裝兩臺互為冗余備份的海信 FW3010PF-4000WWW/FTP、DNS/MAIL服務(wù)器連接。同時，安裝一臺Fw3010PF-5000千兆防火墻，將安全與備份中心與其他區(qū)域邏輯隔離開來通過安裝防火墻，實(shí)現(xiàn)下列的安全目標(biāo)：1)利用防火墻將內(nèi)部網(wǎng)絡(luò)、Internet外部網(wǎng)絡(luò)、DMZ服務(wù)區(qū)、安全監(jiān)控與備份中心進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信；利用防火墻建立網(wǎng)絡(luò)各終端和服務(wù)器的安全保護(hù)措施，保證系統(tǒng)安全；利用防火墻對來自外網(wǎng)的服務(wù)請求進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被拒絕；利用防火墻使用IP與MAC地址綁定功能，加強(qiáng)終端用戶的訪問認(rèn)證，同時在不影響用戶正常訪問的基礎(chǔ)上將用戶的訪問權(quán)限控制在最低限度內(nèi)；利用防火墻全面監(jiān)視對服務(wù)器的訪問，及時發(fā)現(xiàn)和阻止非法操作；利用防火墻及服務(wù)器上的審計(jì)記錄，形成一個完善的審計(jì)體系，建立第二條防線；根據(jù)需要設(shè)置流量控制規(guī)則，實(shí)現(xiàn)網(wǎng)絡(luò)流量控制，并設(shè)置基于時間段的訪問控制。1.4 入侵檢測系統(tǒng)技術(shù)方案如下圖所示，我們建議在局域網(wǎng)中心交換機(jī)安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)千兆探測器，DMZ區(qū)交換機(jī)上安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器，用以實(shí)時檢測局域網(wǎng)用戶和外網(wǎng)用戶對主機(jī)的訪問，在安全監(jiān)控與備份中心安裝一臺海信眼鏡蛇入侵檢測系統(tǒng)百兆探測器和海信眼鏡蛇入侵檢測系統(tǒng)控制臺， 由系統(tǒng)控制臺進(jìn)行統(tǒng)一的管理 (統(tǒng)一事件庫升級、統(tǒng)一安全防護(hù)策略、統(tǒng)一上報(bào)日志生成報(bào)表 )。其中，海信眼鏡蛇網(wǎng)絡(luò)入侵檢測系統(tǒng)還可以與海信 FW3010PF防火墻進(jìn)行聯(lián)動，一旦發(fā)現(xiàn)由外部發(fā)起的攻擊行為， 將向防火墻發(fā)送通知報(bào)文， 由防火墻來阻斷連接， 實(shí)現(xiàn)動態(tài)的安全防護(hù)體系。海信眼鏡蛇入侵檢測系統(tǒng)可以聯(lián)動的防火墻有：海信 FW3010PF防火墻，支持OPSEC協(xié)議的防火墻。通過使用入侵檢測系統(tǒng)，我們可以做到：對網(wǎng)絡(luò)邊界點(diǎn)的數(shù)據(jù)進(jìn)行檢測，防止黑客的入侵；對服務(wù)器的數(shù)據(jù)流量進(jìn)行檢測，防止入侵者的蓄意破壞和篡改；監(jiān)視內(nèi)部用戶和系統(tǒng)的運(yùn)行狀況，查找非法用戶和合法用戶的越權(quán)操作；對用戶的非正?；顒舆M(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)入侵行為的規(guī)律；5) 實(shí)時對檢測到的入侵行為進(jìn)行報(bào)警、阻斷，能夠與防火墻 /系統(tǒng)聯(lián)動；對關(guān)鍵正常事件及異常行為記錄日志，進(jìn)行審計(jì)跟蹤管理。通過使用海信眼鏡蛇入侵檢測系統(tǒng)可以容易的完成對以下的攻擊識別：網(wǎng)絡(luò)信息收集、網(wǎng)絡(luò)服務(wù)缺陷攻擊、Dos&Ddos攻擊、緩沖區(qū)溢出攻擊、Web攻擊、后門攻擊等。網(wǎng)絡(luò)給某市政府帶來巨大便利的同時，也帶來了許多挑戰(zhàn)，其中安全問題尤為突出。加上一些人缺乏安全控制機(jī)制和對網(wǎng)絡(luò)安全政策及防護(hù)意識的認(rèn)識不足，這些風(fēng)險會日益加重。引起這些風(fēng)險的原因有多種，其中網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素尤為重要。主要涉及物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面。通過以上方案的設(shè)計(jì)和實(shí)施，所有安全隱患就得到了良好的改善。（完物業(yè)安保培訓(xùn)方案為規(guī)范保安工作，使保安工作系統(tǒng)化 /規(guī)范化,最終使保安具備滿足工作需要的知識和技能，特制定本教學(xué)教材大綱。一、課程設(shè)置及內(nèi)容 全部課程分為專業(yè)理論知識和技能訓(xùn)練兩大科目。其中專業(yè)理論知識內(nèi)容包括：保安理論知識、消防業(yè)務(wù)知識 、職業(yè)道德、法律常識、保安禮儀、救護(hù)知識。作技能訓(xùn)練內(nèi)容包括：崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二．培訓(xùn)的及要求培訓(xùn)目的1）保安人員培訓(xùn)應(yīng)以保安理論知識、消防知識、法律常識教學(xué)為主，在教學(xué)過程中，應(yīng)要求學(xué)員全面熟知保安理論知識及消防專業(yè)知識，在工作中的操作與運(yùn)用，并基本掌握現(xiàn)場保護(hù)及處理知識 2）職業(yè)道德課程的教學(xué)應(yīng)根據(jù)不同的崗位元而予以不同的內(nèi)容，使保安在各自不同的工作崗位上都能養(yǎng)成具有本職業(yè)特點(diǎn)的良好職業(yè)道德和行為規(guī)范）法律常識教學(xué)是理論課的主要內(nèi)容之一，要求所有保安都應(yīng)熟知國家有關(guān)法律、法規(guī)，成為懂法、知法、守法的公民，運(yùn)用法律這一有力武器與違法犯罪分子作斗爭。工作入口門衛(wèi)守護(hù)，定點(diǎn)守衛(wèi)及區(qū)域巡邏為主要內(nèi)容，在日常管理和發(fā)生突發(fā)事件時能夠運(yùn)用所學(xué)的技能保護(hù)公司財(cái)產(chǎn)以及自身安全。2、培訓(xùn)要求1）保安理論培訓(xùn)通過培訓(xùn)使保安熟知保安工作性質(zhì)、地位、任務(wù)、及工作職責(zé)權(quán)限，同時全面掌握保安專業(yè)知識以及在具體工作中應(yīng)注意的事項(xiàng)及一般情況處置的原則和方法。2）消防知識及消防器材的使用通過培訓(xùn)使保安熟知掌握消防工作的方針任務(wù)和意義，熟知各種防火的措施和消防器材設(shè)施的操作及使用方法，做到防患于未燃，保護(hù)公司財(cái)產(chǎn)和員工生命財(cái)產(chǎn)的安全。法律常識及職業(yè)道德教育通過法律常識及職業(yè)道德教育，使保安樹立法律意識和良好的職業(yè)道德觀念，能夠運(yùn)用法律知識正確處理工作中發(fā)生的各種問題；增強(qiáng)保安人員愛崗敬業(yè)、無私奉獻(xiàn)更好的為公司服務(wù)的精神。工作技能培訓(xùn)其中專業(yè)理論知識內(nèi)容包括：保安理論知識、消防業(yè)務(wù)知識 、職業(yè)道德、法律常識、保安禮儀、救護(hù)知識。作技能訓(xùn)練內(nèi)容包括：崗位操作指引、勤務(wù)技能、消防技能、軍事技能。二．培訓(xùn)的及要求培訓(xùn)目的安全生產(chǎn)目標(biāo)責(zé)任書為了進(jìn)一步落實(shí)安全生產(chǎn)責(zé)任制，做到“責(zé)、權(quán)、利”相結(jié)合，根據(jù)我公司 2015年度安全生產(chǎn)目標(biāo)的內(nèi)容，現(xiàn)與 財(cái)務(wù)部簽訂如下安全生產(chǎn)目標(biāo)：一、目標(biāo)值：、全年人身死亡事故為零，重傷事故為零，輕傷人數(shù)為零。、現(xiàn)金安全保管，不發(fā)生盜竊事故。、每月足額提取安全生產(chǎn)費(fèi)用，保障安全生產(chǎn)投入資金的到位。、安全培訓(xùn)合格率為100%。二、本單位安全工作上必須做到以下內(nèi)容：、對本單位的安全生產(chǎn)負(fù)直接領(lǐng)導(dǎo)責(zé)任，必須模范遵守公司的各項(xiàng)安全管理制度，不發(fā)布與公司安全管理制度相抵觸的指令，嚴(yán)格履行本人的安全職責(zé)，確保安全責(zé)任制在本單位全面落實(shí)，并全力支持安全工作。、保證公司各項(xiàng)安全管理制度和管理辦法在本單位內(nèi)全面實(shí)施，并自覺接受公司安全部門的監(jiān)督和管理。、在確保安全的前提下組織生產(chǎn)，始終把安全工作放在首位，當(dāng)“安全與交貨期、質(zhì)量”發(fā)生矛盾時，堅(jiān)持安全第一的原則。、參加生產(chǎn)碰頭會時，首先匯報(bào)本單位的安全生產(chǎn)情況和安全問題落實(shí)情況；在安排本單位生產(chǎn)任務(wù)時，必須安排安全工作內(nèi)容，并寫入記錄。、在公司及政府的安全檢查中杜絕各類違章現(xiàn)象。、組織本部門積極參加安全檢查，做到有檢查、有整改，記錄全。、以身作則，不違章指揮、