法院網(wǎng)絡安全規(guī)劃建設設計方案

法院網(wǎng)絡安全*****************************>*****挈**規(guī)劃方案*****************發(fā)展有限公司2011年11月TOC\o"1-5"\h\z\o"CurrentDocument"方案綜述 4\o"CurrentDocument"網(wǎng)絡出口安全 5法院網(wǎng)絡出口安全設計 5\o"CurrentDocument"網(wǎng)絡出口定義 5\o"CurrentDocument"網(wǎng)絡出口安全定義 5\o"CurrentDocument"出口主干安全設計 6\o"CurrentDocument"DMZ區(qū)域安全 10\o"CurrentDocument"內(nèi)網(wǎng)與外網(wǎng)安全隔離 14\o"CurrentDocument"防火墻的部署 14\o"CurrentDocument"安全隔離及數(shù)據(jù)交換系統(tǒng) 14\o"CurrentDocument"安全管理區(qū) 15\o"CurrentDocument"互聯(lián)網(wǎng)用戶區(qū) 16網(wǎng)絡管理系統(tǒng) 17可信運維系統(tǒng) 176高可用集群軟件 181 方案綜述法院網(wǎng)絡安全整體規(guī)劃圖如下:將*****法院分為四個區(qū)域：網(wǎng)絡出口區(qū)域、內(nèi)部專網(wǎng)區(qū)域、安全管理區(qū)域、互聯(lián)網(wǎng)用戶區(qū)，其中網(wǎng)絡出口區(qū)包含DMZ區(qū)。另外采用高可用集群軟件保障服務器及盤陣的穩(wěn)定運行。各個區(qū)域網(wǎng)絡安全設計在下面章節(jié)詳細介紹。**********發(fā)展有限公司2 網(wǎng)絡出口安全法院網(wǎng)絡出口安全設計網(wǎng)絡出口定義如上圖所示：網(wǎng)絡出口是指企事業(yè)單位網(wǎng)絡與外部網(wǎng)絡（如互聯(lián)網(wǎng)、教育網(wǎng)、銀行專網(wǎng)）連接的網(wǎng)絡邊界區(qū)域，其范圍一般是指從企事業(yè)單位網(wǎng)絡核心交換到連接外部網(wǎng)絡邊界的部分，一個單位可能存在一個或多個網(wǎng)絡出口。網(wǎng)絡出口是一個單位網(wǎng)絡連接外界網(wǎng)絡的紐帶，是對外提供服務的窗口，面對的環(huán)境非常復雜，變化多端，此網(wǎng)絡區(qū)域面臨的安全風險最大，需要重點保護。網(wǎng)絡出口安全定義網(wǎng)絡出口安全是指通過一些安全措施和管理措施的實施，制止企事業(yè)單位內(nèi)部人員的反動、虛假言論等非法上網(wǎng)行為，確保員工的上網(wǎng)行為符合國家、上級主管單位及本單位要求；防范來自外部網(wǎng)絡的各種攻擊行為，確保對外業(yè)務的正常運行，維護企事業(yè)單位的形象。**********發(fā)展有限公司出口主干安全設計鏈路負載抗DDos攻擊入侵防御防火墻上網(wǎng)行為管理?透明橋接（bypass）在出口主干部署負載均衡、抗鏈路負載抗DDos攻擊入侵防御防火墻上網(wǎng)行為管理?透明橋接（bypass）在出口主干部署負載均衡、抗DDos攻擊、入侵防御系統(tǒng)、防火墻、上網(wǎng)行為管理、VPN網(wǎng)關(guān)設備，以上設備均采用雙機部署模式，其中上網(wǎng)行為管理具有審計功能。下面介紹主要設備的功能特點。 負載均衡負載均衡是建立在現(xiàn)有網(wǎng)絡結(jié)構(gòu)之上，它提供了一種廉價有效透明的方法擴展網(wǎng)**********發(fā)展有限公司絡設備和服務器的帶寬、增加吞吐量、加強網(wǎng)絡數(shù)據(jù)處理能力、提高網(wǎng)絡的靈活性和可用性。功能：全面的負載均衡包括動態(tài)速率、最少連接和觀察模式的動態(tài)平衡，這些方法用于以整體方式跟蹤服務器的動態(tài)性能。這保證了始終選擇最佳的資源，以提高性能?？芍С炙谢赥CP/IP協(xié)議的服務器負載均衡。可支持最小連接數(shù)、輪詢、比例、最快響應、哈希、預測、觀察、動態(tài)比例等負載均衡算法。應用狀態(tài)監(jiān)控用于檢查設備、應用和內(nèi)容的可用性，包括適合多種應用的專用監(jiān)視器（包括多種應用服務器、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、SMB等），以及用于檢查內(nèi)容和模擬應用調(diào)用的定制監(jiān)視器。高可用性和交易保障無論出現(xiàn)何種系統(tǒng)、服務器或應用故障，都能保證它是一個高可用的解決方案。BIG-IPLTM可以主動檢測和響應任何服務器或應用錯誤。支持NAT地址轉(zhuǎn)換提供NAT地址轉(zhuǎn)換功能，能夠?qū)崿F(xiàn)動態(tài)或靜態(tài)地址轉(zhuǎn)換。支持訪問控制列表能夠?qū)崿F(xiàn)防火墻的基本功能，建立訪問控制列表，拒接IP網(wǎng)段或端口號嗎。支持路由**********發(fā)展有限公司該功能為多數(shù)設備中基本功能，但只支持靜態(tài)路由，如果使用較為高級的OSPF路由協(xié)議，需要購買單獨的模塊來支持?？笵dOS攻擊DDoS攻擊一般通過Internet上那些“僵尸”系統(tǒng)完成，由于大量個人電腦聯(lián)入Internet，且防護措施非常少，所以極易被黑客利用，通過植入某些代碼，這些機器就成為DDoS攻擊者的武器。當黑客發(fā)動大規(guī)模的DDoS時，只需要同時向這些將僵尸機發(fā)送某些命令，就可以由這些“僵尸”機器完成攻擊。隨著Botnet的發(fā)展，DDoS造成的攻擊流量的規(guī)?？梢苑浅ｓ@人，會給應用系統(tǒng)或是網(wǎng)絡本身帶來非常大的負載消耗。針對目前流行的DDoS攻擊，包括未知的攻擊形式，綠盟科技提供了自主研發(fā)的抗拒絕服務產(chǎn)品——NSFOCUSAnti-DDoSSystem，簡稱NSFOCUSADS。通過及時發(fā)現(xiàn)背景流量中各種類型的攻擊流量，NSFOCUSADS可以迅速對攻擊流量進行過濾或旁路，保證正常流量的通過。產(chǎn)品可以在多種網(wǎng)絡環(huán)境下輕松部署，不僅能夠避免單點故障的發(fā)生，同時也能保證網(wǎng)絡的整體性能和可靠性。入侵防御系統(tǒng)近年來，企業(yè)所面臨的安全問題越來越復雜，安全威脅正在飛速增長，尤其混合威脅的風險，如黑客攻擊、蠕蟲病毒、木馬后門、間諜軟件、僵尸網(wǎng)絡、垃圾郵件、網(wǎng)絡資源濫用（P2P下載、IM即時通訊、網(wǎng)游、視頻）等，極大地困擾著用戶，給企業(yè)的信息網(wǎng)絡造成嚴重的破壞。能否及時發(fā)現(xiàn)并成功阻止網(wǎng)絡黑客的入侵、保證計算機和網(wǎng)絡系統(tǒng)的安全和正常運行便成為企業(yè)所面臨的一個重要問題。針對日趨復雜的應用安全威脅和混合型網(wǎng)絡攻擊，綠盟科技提供了完善的安全防護方案。綠盟網(wǎng)絡入侵防護系統(tǒng)（以下簡稱“NSFOCUSNIPS”）是綠盟科技擁有完全自主知識產(chǎn)權(quán)的新一代安全產(chǎn)品，作為一種在線部署的產(chǎn)品，其設計目標旨在準確監(jiān)測網(wǎng)絡異常流量，自動應對各類攻擊流量，**********發(fā)展有限公司第一時間將安全威脅阻隔在企業(yè)網(wǎng)絡外部。這類產(chǎn)品彌補了防火墻、入侵檢測等產(chǎn)品的不足，提供動態(tài)的、深度的、主動的安全防御，為企業(yè)提供了一個全新的入侵防護解決方案。下一代應用防火墻*****NGAF系列產(chǎn)品是一款以應用安全需求出發(fā)而設計的下一代應用防火墻。彌補了傳統(tǒng)防火墻基于端口/IP無法防護應用層安全威脅的缺陷；改善了UTM類設備簡單功能堆砌，性能瓶頸的弱點。通過單次解析引擎真正做到將防火墻、VPN、入侵防御、服務器防護、病毒防護、內(nèi)容過濾、流量控制等多種安全技術(shù)有機的融合到一起，提供多功能、高性能的電信級安全設備。與傳統(tǒng)安全設備相比它可以針對豐富的應用提供更完整的可視化內(nèi)容安全防護。NGAF繼承了傳統(tǒng)防火墻的優(yōu)秀品質(zhì)，能夠適應各種復雜的網(wǎng)絡環(huán)境，同時通過單次解析引擎、應用可視化引擎、灰度威脅關(guān)聯(lián)分析引擎三大創(chuàng)新引擎技術(shù)，提供強大的網(wǎng)絡安全防護、可視化的應用管控、全面的應用安全防護，形成2-7層一體化安全防護解決方案。VPN網(wǎng)關(guān)現(xiàn)在，隨著移動存儲技術(shù)及商務模式的發(fā)展，選擇遠程辦公的人越來越多。隨著中國經(jīng)濟的騰飛，企事業(yè)單位對員工移動辦公、遠程接入總部內(nèi)網(wǎng)辦公的需求越來越強，特別是WLAN技術(shù)、無線技術(shù)的發(fā)展更加劇了這種趨勢。如何實現(xiàn)網(wǎng)絡中的數(shù)據(jù)隔離、服務器隔離，構(gòu)建安全的業(yè)務子網(wǎng)，供組織日常辦公，這已成為IT管理者面臨的重大挑戰(zhàn)。*****VPN網(wǎng)關(guān)給遠程移動辦公所達到的效果1、通過SSLVPN，遠程辦公和移動用戶可以隨時訪問內(nèi)部辦公平臺，獲取、提交信息非常便捷；2、*****SSLVPN提供目前最豐富的認證，包括USBKey、短信口令、軟鍵盤、動**********發(fā)展有限公司

態(tài)令牌、CA、硬件特征碼等，最大程度上確保接入用戶身份的合法性；3、*****SSLVPN能夠?qū)?nèi)網(wǎng)的訪問權(quán)限進行細致地設定，對不同的用戶分配不同的權(quán)限規(guī)則，避免內(nèi)部出現(xiàn)安全隱患；4、*****SSLVPN操作簡易，支持多種部署模式，不會對現(xiàn)有網(wǎng)絡造成任何影響，各種服務及應用均可正常使用，與中國人民銀行的各種IT辦公系統(tǒng)結(jié)合良好。上網(wǎng)行為管理系統(tǒng)*****上網(wǎng)行為管理產(chǎn)品作為中國上網(wǎng)行為管理領域的第一品牌，可助您實現(xiàn)對互聯(lián)網(wǎng)訪問行為的全面管理。*****上網(wǎng)行為管理產(chǎn)品憑借強大的功能和簡便的操作，可在網(wǎng)頁過濾、行為控制、流量管理、防止內(nèi)網(wǎng)泄密、防范法規(guī)風險、互聯(lián)網(wǎng)訪問行為記錄、上網(wǎng)安全等多個方面為您提供最有效的解決方案。2.1.4DMZ區(qū)域安全DMZ區(qū)域部署WEB防火墻、負載均衡、IDS。下面介紹主要設備的功能特點。第10頁第10頁Web防火墻簡介：Web防火墻（WAF）是通過執(zhí)行一系列針對HTTP/HTTPS的安全策略來專門為Web應用提供保護的一款產(chǎn)品。功能：異常檢測協(xié)議Web應用防火墻會對HTTP的請求進行異常檢測，拒絕不符合HTTP標準的請求。并且，它也可以只允許HTTP協(xié)議的部分選項通過，從而減少攻擊的影響范圍。甚至，一些Web應用防火墻還可以嚴格限定HTTP協(xié)議中那些過于松散或未被完全制定的選項。增強的輸入驗證增強輸入驗證，可以有效防止網(wǎng)頁篡改、信息泄露、木馬植入等惡意網(wǎng)絡入侵行為。從而減小Web服務器被攻擊的可能性。及時補丁修補Web安全漏洞，是Web應用開發(fā)者最頭痛的問題，沒人會知道下一秒有什么樣的漏洞出現(xiàn)，會為Web應用帶來什么樣的危害?，F(xiàn)在WAF可以為我們做這項工作了——只要有全面的漏洞信息WAF能在不到一個小時的時間內(nèi)屏蔽掉這個漏洞。當然，這種屏蔽掉漏洞的方式不是非常完美的，并且沒有安裝對應的補丁本身就是一種安全威脅，但我們在沒有選擇的情況下，任何保護措施都比沒有保護措施更好?；谝?guī)則的保護和基于異常的保護基于規(guī)則的保護可以提供各種Web應用的安全規(guī)則，WAF生產(chǎn)商會維護這個規(guī)則第11頁**********第11頁狀態(tài)管理WAF能夠判斷用戶是否是第一次訪問并且將請求重定向到默認登錄頁面并且記錄事件。通過檢測用戶的整個操作行為我們可以更容易識別攻擊。狀態(tài)管理模式還能檢測出異常事件（比如登陸失敗），并且在達到極限值時進行處理。這對暴力攻擊的識別和響應是十分有利的。其他防護技術(shù)WAF還有一些安全增強的功能，可以用來解決WEB程序員過分信任輸入數(shù)據(jù)帶來的問題。比如：隱藏表單域保護、抗入侵規(guī)避技術(shù)、響應監(jiān)視和信息泄露保護。 入侵檢測系統(tǒng)入侵檢測系統(tǒng)（IDS）就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡、系統(tǒng)的運行狀況進行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡系統(tǒng)資源的機密性、完整性和可用性。功能：攻擊檢測和防護例如802.1Q支持、狀態(tài)識別、協(xié)議解碼、特征匹配、異常檢測、DoS攻擊、蠕蟲/病毒/木馬、BackDoor、緩沖區(qū)溢出、DoS/DDoS攻擊等。事件響應第12頁第12頁應支持SNMPTrap、Linktrust簡單互動協(xié)議（SLP）、控制臺實時顯示、記錄至數(shù)據(jù)庫、Mail郵件響應、SSH命令聯(lián)動、Syslog日志、用戶定制等。系統(tǒng)管理IDS在管理上應支持串口管理、集中管理平臺、安全運行中心（5。0、在線/本地升級、與第三方管理系統(tǒng)集成。故障探測對于故障探測需支持通信鏈路故障、設備故障、應用服務故障、監(jiān)控鏈路故障。抗逃避保護如IP分段重組、TCP流重組、Unicode解析、應用層協(xié)議狀態(tài)追蹤。安全性通訊加密、簽名升級包/本地數(shù)據(jù)加密。第13頁第13頁內(nèi)網(wǎng)與外網(wǎng)安全隔離依據(jù)上圖所示，在內(nèi)外網(wǎng)中間部署防火墻，防火墻后面串接網(wǎng)閘設備，而入侵檢測系統(tǒng)（IDS）進行旁路部署，通過以上部署實現(xiàn)立體和多方位的安全防范，保證內(nèi)部網(wǎng)絡業(yè)務安全及數(shù)據(jù)安全。防火墻的部署在內(nèi)網(wǎng)業(yè)務網(wǎng)絡出口部署防火墻，可以抵擋外來的攻擊，將外網(wǎng)核心交換機連接到防火墻的外網(wǎng)接口上，通過相應的策略來保護和控制內(nèi)部網(wǎng)絡不受外來的攻擊。安全隔離及數(shù)據(jù)交換系統(tǒng)依據(jù)*****法院網(wǎng)絡隔離及數(shù)據(jù)交換高安全性要求，建議采用安全隔離與信息交換子系統(tǒng)（以下簡稱網(wǎng)閘）實現(xiàn)法院內(nèi)外和外網(wǎng)之間的安全隔離及數(shù)據(jù)交換。如下圖所示：第14頁**********第14頁網(wǎng)閘網(wǎng)閘采用千兆網(wǎng)閘，實現(xiàn)法院內(nèi)外網(wǎng)的安全隔離，切斷內(nèi)外網(wǎng)的TCP/IP會話穿透，有效地防止基于網(wǎng)絡的各種攻擊如后門木馬攻擊，安全隔離確保了物理鏈路層的安全和上層應用的安全，真正實現(xiàn)了網(wǎng)絡的隔離，同時，通過網(wǎng)閘的數(shù)據(jù)庫同步模塊、web訪問模塊、郵件模塊、文件同步模塊、tcp代理模塊、udp代理模塊等實現(xiàn)內(nèi)外網(wǎng)之間特定的數(shù)據(jù)交換。4 安全管理區(qū)該區(qū)域作為整個網(wǎng)絡系統(tǒng)的管理區(qū)域，其重要性不言而喻，該區(qū)域內(nèi)部署可信運維系統(tǒng)、IDS、審計數(shù)據(jù)服務器、網(wǎng)絡管理系統(tǒng)等。第15頁第15頁互聯(lián)網(wǎng)用戶區(qū)法院互聯(lián)網(wǎng)用戶區(qū)終端數(shù)量比較多，管理難度很大，有效管理該區(qū)的終端從而有效保障網(wǎng)絡安全也顯得尤為重要。近兩年的安全防御調(diào)查也表明，政府、企業(yè)以及金融證券等單位中超過80%的管理和安全問題來自終端，計算機終端廣泛涉及每個用戶，由于其分散、不被重視、安全手段缺乏的特點，已使得終端安全成為信息安全體系的薄弱環(huán)節(jié)。因此，網(wǎng)絡安全呈現(xiàn)出了新的發(fā)展趨勢，對于各政府企業(yè)網(wǎng)絡來說，安全戰(zhàn)場已經(jīng)逐步由核心與主干的防護，轉(zhuǎn)向網(wǎng)絡內(nèi)部的每一個終端。通過部署桌面安全管理系統(tǒng)來解決互聯(lián)網(wǎng)用戶區(qū)的安全隱患和管理難題。桌面安全管理系統(tǒng)主要著眼于網(wǎng)絡中臺式機、服務器、便攜機、網(wǎng)絡設備及終端用戶的綜合安全防護。PCMaster提供網(wǎng)絡監(jiān)視模塊、網(wǎng)絡管理、網(wǎng)絡報警、軟硬件資產(chǎn)管理、補丁管理和軟件分發(fā)、遠程桌面管理等功能模塊，通過對每一個網(wǎng)絡設備的監(jiān)視和控制、網(wǎng)絡用戶行為的監(jiān)視和記錄，將網(wǎng)絡的安全隱患可視化，能最大限度地防止敏感信息的泄漏、破壞和違規(guī)外傳，并完整記錄涉及敏感信息的操作日志以便事后審計和追究泄密責任，同時也能對個人桌面系統(tǒng)的軟硬件資源實施安全管理，并對個人桌面系統(tǒng)的工作狀況進行監(jiān)控和審計，從而有效的控制和防范信息安全事故。最終實現(xiàn)內(nèi)部網(wǎng)絡始終處于安全、可靠、保密的環(huán)境下運行，幫助用戶各類業(yè)務統(tǒng)一優(yōu)化、規(guī)范管理，保障各類業(yè)務正常安全運行。第16頁第16頁網(wǎng)絡管理系統(tǒng)*****網(wǎng)絡管理系統(tǒng)（*****）是針對解決各行業(yè)中、小型企事業(yè)單位，目前在IT管理過程中所面臨的3個挑戰(zhàn)以及所需要克服的1個矛盾（即內(nèi)、外部客戶滿意度、成本控制與系統(tǒng)安全之間的挑戰(zhàn)；IT系統(tǒng)日益增長的復雜性與運維人數(shù)、專業(yè)知識結(jié)構(gòu)之間的矛盾）的第五代專家智能型綜合網(wǎng)管系統(tǒng)。*****涵蓋了網(wǎng)絡設備、服務器、安全設備、存儲設備、通訊設備、傳輸設備、數(shù)據(jù)庫應用及中間件應用等管理，它結(jié)合了大型定制型網(wǎng)管及第三代網(wǎng)管的簡單易用這兩方面的特點，并以非編程擴展的方法，滿足了用戶單位不斷增加IT資源管理的要求。同時系統(tǒng)能兼容整合第三代網(wǎng)管和其它工具，專注于用戶各種設備、應用及服務等資源的健康度、可用率和服務水平的管理，保證IT部門用戶的滿意度，并通過智能化專家系統(tǒng)解決了用戶單位日益復雜的IT資源與運維人員數(shù)量不足、專業(yè)知識結(jié)構(gòu)之間的矛盾，將各種復雜的網(wǎng)絡管理工作簡易化、便捷化與自動化，有效幫助網(wǎng)絡管理人員輕松駕馭網(wǎng)絡，提高網(wǎng)絡管理效率?？尚胚\維系統(tǒng)隨著國家信息化建設的不斷深入開展，IT系統(tǒng)在各領域發(fā)揮的重要性越來越高。政府、醫(yī)療、運營商、金融、大型工業(yè)企業(yè)都高度依賴IT系統(tǒng)進行生產(chǎn)和服務。然而，隨著IT系統(tǒng)規(guī)模的擴大，以及IT系統(tǒng)資產(chǎn)價值的增加，系統(tǒng)面臨的安全威脅也隨之增加。這些威脅中除了來自外部的黑客攻擊以外，更多的是由于內(nèi)部運維管理水平的不足而產(chǎn)生的，如：內(nèi)部運維人員的惡意破壞操作、誤操作，第三方維護人員的越權(quán)訪問、數(shù)據(jù)竊取等等。這些由于內(nèi)部（第三方支持人員）而產(chǎn)生的安全事件，對單位或者企業(yè)造成更大的負面影響，其所能造成的損失往往是不可估量。止匕外，隨著IT管理水平的提升，管理制度的健全，無論是政府還是企業(yè)單位、上市公司，對于國家或行業(yè)的法律法規(guī)的要求都越來越高，法規(guī)遵從的重點之一就是如何處理來自