2023年網(wǎng)絡(luò)安全方案

1.背景介紹3

1.1.項(xiàng)目總述3

1.2.網(wǎng)絡(luò)環(huán)境總述3

1.3.信息安全方案的組成3

1.3.1.信息安全產(chǎn)品的選型原則3

1.3.2.網(wǎng)絡(luò)安全現(xiàn)狀4

1.3.3.典型的黑客攻擊5

1.3.4.網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)7

1.3.5.網(wǎng)絡(luò)安全解決方案的組成7

1.3.6.超高安全要求下的網(wǎng)絡(luò)保護(hù)9

2.安全架構(gòu)分析與設(shè)計(jì)10

2.1.網(wǎng)絡(luò)整體結(jié)構(gòu)11

2.2.集中管理和分級(jí)管理13

2.3.XX安全網(wǎng)絡(luò)系統(tǒng)管理中心網(wǎng)絡(luò)14

2.4.各地方管理局網(wǎng)絡(luò)16

3.產(chǎn)品選型17

3.1.防火墻與入侵檢測(cè)的選型17

3.1.1.方正數(shù)碼公司簡(jiǎn)介17

3.1.2.產(chǎn)品概述17

3.1.3.系統(tǒng)特點(diǎn)18

3.1.4.方正方御防火墻功能說(shuō)明22

4.工程實(shí)施方案30

4.1.測(cè)試及驗(yàn)收30

4.1.1.測(cè)試及驗(yàn)收描述30

4.2.系統(tǒng)初驗(yàn)30

4.2.1.功能測(cè)試30

4.2.2.性能測(cè)試31

5.方正方御防火墻技術(shù)支持與服務(wù)31

5.1.方正數(shù)碼綠色服務(wù)體系結(jié)構(gòu)介紹31

5.2.完善的技術(shù)支持與服務(wù)33

5.2.1.售前服務(wù)內(nèi)容33

5.2.2.售前服務(wù)流程34

5.2.3.售后服務(wù)內(nèi)容35

5.2.4.售后服務(wù)流程36

5.3.服務(wù)方式37

5.4.服務(wù)監(jiān)督37

5.5.保修38

5.6.保修方式38

5.7.保修范圍38

5.8.保修期的確認(rèn)39

5.9.培訓(xùn)安排39

5.10.全國(guó)服務(wù)網(wǎng)絡(luò)40

5.11.場(chǎng)地及環(huán)境準(zhǔn)備40

5.11.1.常規(guī)要求40

5.11.2.機(jī)房電源、地線及同步要求40

5.11.3.設(shè)備場(chǎng)地、通信41

5.11.4.機(jī)房環(huán)境41

5.12.驗(yàn)收清單43

5.12.1.設(shè)備開(kāi)箱驗(yàn)收清單43

5.12.2.用戶(hù)信息清單43

5.12.3.用戶(hù)驗(yàn)收清單44

6.方案防火墻數(shù)目45

7.方案整體優(yōu)勢(shì)45

8.方正方御防火墻榮譽(yù)證書(shū)47

8.1.部分方正方御防火墻客戶(hù)名單52

9.方正方御防火墻成功案例55

9.1.人民銀行應(yīng)用案例55

9.1.1.人民銀行需求分析55

9.1.2.系統(tǒng)安全目的57

9.1.3.安全體系結(jié)構(gòu)57

9.1.4.安全系統(tǒng)實(shí)施58

9.2.武警總隊(duì)全國(guó)安全應(yīng)用實(shí)例59

1.背景介紹

1.1.項(xiàng)目總述

目前，XX向下各地方的市、區(qū)、縣局相連，向上和廣東省廳相連。形成一

個(gè)內(nèi)部辦公網(wǎng)絡(luò)環(huán)境。該網(wǎng)絡(luò)安全方案的目的，是實(shí)現(xiàn)電子公文、信息數(shù)據(jù)''快

速、準(zhǔn)確、全面、可靠、安全”的收集、傳輸、匯總、分析功能。

12網(wǎng)絡(luò)環(huán)境總述

XX安全網(wǎng)絡(luò)系統(tǒng)是涉密的內(nèi)部業(yè)務(wù)工作處理網(wǎng)絡(luò)，傳輸、處理、查詢(xún)工作

中涉密的信息。該網(wǎng)由與政府有行文關(guān)系的各市縣和管理站組成。在給地方局域

網(wǎng)出入口安裝防火墻，關(guān)鍵部位需要雙機(jī)熱備。這些防火墻系統(tǒng)需要集中在XX

數(shù)據(jù)中心進(jìn)行管理和審計(jì)。

13信息安全方案的組成

1.3.1.信息安全產(chǎn)品的選型原則

xx安全網(wǎng)絡(luò)系統(tǒng)是一個(gè)要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的公

文信息在網(wǎng)絡(luò)傳輸過(guò)程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會(huì)嚴(yán)

重的影響政府的工作。所以，XX安全網(wǎng)絡(luò)系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，要提

到國(guó)家戰(zhàn)略的高度來(lái)衡量，否則一旦被黑客或者敵國(guó)攻入，其代價(jià)將是不能想象

的。

XX安全網(wǎng)絡(luò)系統(tǒng)方案必須遵循如下原則：

/全局性原則：安全威脅來(lái)自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃

安全系統(tǒng)。XX安全網(wǎng)絡(luò)系統(tǒng)安全體系，遵循中心統(tǒng)一規(guī)劃，各縣、地方

分別實(shí)施的原則。

/綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我

國(guó)發(fā)生的網(wǎng)絡(luò)安全問(wèn)題中，管理問(wèn)題占相當(dāng)大的比例，在各地方建立網(wǎng)

絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。

/均衡性原則：安全措施的實(shí)施必須以根據(jù)安全級(jí)別和經(jīng)費(fèi)限度統(tǒng)

一考慮。網(wǎng)絡(luò)中相同安全級(jí)別的保密強(qiáng)度要一致。

/節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉?lái)網(wǎng)絡(luò)的設(shè)

備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。

/集中性原則：所有的防火墻產(chǎn)品要求在XX數(shù)據(jù)中心可以進(jìn)行集

中管理，這樣才能保證在數(shù)據(jù)中心的服務(wù)器上可以掌握全局。

/角色化原則：防火墻產(chǎn)品在管理上面不僅在數(shù)據(jù)中心可以完全控

制外，在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和

查看防火墻策略和審計(jì)。

/可擴(kuò)展原則：由于XX安全網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)地方比較多，是一個(gè)大

型的網(wǎng)絡(luò)，因此隨著網(wǎng)絡(luò)規(guī)劃和規(guī)模的改變，以后必然會(huì)有新的需求，

因此本方案里面考慮了該因素。

目前，很多公開(kāi)的新聞表明美國(guó)國(guó)家安全局（NSA）有可能在許多美國(guó)大軟

件公司的產(chǎn)品中安裝“后門(mén)”，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。為此德國(guó)軍

方前些時(shí)候甚至規(guī)定在所有牽涉到機(jī)密的計(jì)算機(jī)里，不得使用美國(guó)的操作系統(tǒng)。

作為信息安全的保障，我們?cè)诎踩a(chǎn)品選型時(shí)強(qiáng)烈建議使用國(guó)內(nèi)自主開(kāi)發(fā)的優(yōu)秀

的網(wǎng)絡(luò)安全產(chǎn)品，將安全風(fēng)險(xiǎn)降至最低。

在為各安全產(chǎn)品選型時(shí)，我們立足國(guó)內(nèi)，同時(shí)保證所選產(chǎn)品的先進(jìn)性及可靠

性，并要求通過(guò)國(guó)家各主要安全測(cè)評(píng)認(rèn)證。

1.3.2.網(wǎng)絡(luò)安全現(xiàn)狀

Internet正在越來(lái)越多地融入到社會(huì)的各個(gè)方面。一方面，隨著網(wǎng)絡(luò)用戶(hù)成

分越來(lái)越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來(lái)越頻繁；另一方面，隨著

Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來(lái)越深地滲透到

各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為

與政府、軍隊(duì)、企業(yè)、個(gè)人的利益休戚相關(guān)的“大事情二尤其對(duì)于政府和軍隊(duì)

而言，如果網(wǎng)絡(luò)安全問(wèn)題不能得到妥善的解決，將會(huì)對(duì)國(guó)家安全帶來(lái)嚴(yán)重的威脅。

2000年二月，在三天的時(shí)間里，黑客使美國(guó)數(shù)家頂級(jí)互聯(lián)網(wǎng)站一Yahoo!、

AmazoneBay、CNN陷入癱瘓，造成了十兒億美元的損失，令美國(guó)上下如臨大

敵。黑客使用了DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無(wú)用信息阻塞網(wǎng)

站的服務(wù)器，使其不能提供正常服務(wù)。在隨后的不到一個(gè)月的時(shí)間里，又先后有

微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。

國(guó)內(nèi)網(wǎng)站也未能幸免于難，新浪、當(dāng)當(dāng)書(shū)店、EC123等知名網(wǎng)站也先后受到

黑客攻擊。國(guó)內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開(kāi)始運(yùn)營(yíng)，然而僅

四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫(kù)遭到不同程

度的破壞，致使網(wǎng)站無(wú)法運(yùn)作。

客觀地說(shuō)，沒(méi)有任何一個(gè)網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)FinancialTimes曾

做過(guò)的統(tǒng)計(jì)，平均每20秒鐘就有一個(gè)網(wǎng)絡(luò)遭到入侵。僅在美國(guó)，每年由于網(wǎng)絡(luò)

安全問(wèn)題造成的經(jīng)濟(jì)損失就超過(guò)100億美元。

1.3.3.典型的黑客攻擊

黑客們進(jìn)行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)

部破壞，還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展,

也出現(xiàn)了有明確軍事目的的軍方黑客組織。

在典型的網(wǎng)絡(luò)攻擊中，黑客一般會(huì)采取如下的步驟：

自我隱藏，黑客使用通過(guò)rsh或telnet在以前攻克的主機(jī)上跳轉(zhuǎn)、通過(guò)錯(cuò)誤

配置的proxy主機(jī)跳轉(zhuǎn)等各種技術(shù)來(lái)隱藏他們的IP地址，更高級(jí)一點(diǎn)的黑客，

精通利用電話交換侵入主機(jī)。

網(wǎng)絡(luò)偵探和信息收集，在利用Internet開(kāi)始對(duì)目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊前，典型的

黑客將會(huì)對(duì)網(wǎng)絡(luò)的外部主機(jī)進(jìn)行一些初步的探測(cè)。黑客通常在查找其他弱點(diǎn)之前

首先試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息。通過(guò)查看上面查詢(xún)來(lái)的結(jié)果列表，通常很容

易建立一個(gè)主機(jī)列表并且開(kāi)始了解主機(jī)之間的聯(lián)系。黑客在這個(gè)階段使用一些簡(jiǎn)

單的命令來(lái)獲得外部和內(nèi)部主機(jī)的名稱(chēng):例如，使用nslookup來(lái)執(zhí)行“Is〈domain

ornetwork〉"，finger外部主機(jī)上的用戶(hù)等。

確認(rèn)信任的網(wǎng)絡(luò)組成，一般而言，網(wǎng)絡(luò)中的主控主機(jī)都會(huì)受到良好的安全保

護(hù)，黑客對(duì)這些主機(jī)的入侵是通過(guò)網(wǎng)絡(luò)中的主控主機(jī)的信任成分來(lái)開(kāi)始攻擊的，

一個(gè)網(wǎng)絡(luò)信任成員往往是主控主機(jī)或者被認(rèn)為是安全的主機(jī)。黑客通常通過(guò)檢查

運(yùn)行nfsd或mountd的那些主機(jī)輸出的NFS開(kāi)始入侵，有時(shí)候一些重要目錄（例

如/etc,/home）能被一個(gè)信任主機(jī)mount。

確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn)，如果一個(gè)黑客能建立你的外部和內(nèi)部主機(jī)列表，他就

可以用掃描程序（如ADMhack,mscan,nm叩等）來(lái)掃描一些特定的遠(yuǎn)程弱點(diǎn)。

啟動(dòng)掃描程序的主機(jī)系統(tǒng)管理員通常都不知道一個(gè)掃描器已經(jīng)在他的主機(jī)上運(yùn)

行，因?yàn)椋琾s，和Fetstat，都被特洛伊化來(lái)隱藏掃描程序。在對(duì)外部主機(jī)掃描之后，

黑客就會(huì)對(duì)主機(jī)是否易受攻擊或安全有一個(gè)正確的判斷。

有效利用網(wǎng)絡(luò)組成的弱點(diǎn)，當(dāng)黑客確認(rèn)了一些被信任的外部主機(jī)，并且同時(shí)

確認(rèn)了一些在外部主機(jī)上的弱點(diǎn)，他們就要嘗試攻克主機(jī)了。黑客將攻擊一個(gè)被

信任的外部主機(jī)，用它作為發(fā)動(dòng)攻擊內(nèi)部網(wǎng)絡(luò)的據(jù)點(diǎn)。要攻擊大多數(shù)的網(wǎng)絡(luò)組成，

黑客就要使用程序來(lái)遠(yuǎn)程攻擊在外部主機(jī)上運(yùn)行的易受攻擊服務(wù)程序，這樣的例

子包括易受攻擊的Sendmail,IMAP,POP3和諸如statd,mountd,pcnfsd等RPC服務(wù)。

獲得對(duì)有弱點(diǎn)的網(wǎng)絡(luò)組成的訪問(wèn)權(quán)，在攻克了一個(gè)服務(wù)程序后，黑客就要開(kāi)

始清除他在記錄文件中所留下的痕跡，然后留下作后門(mén)的二進(jìn)制文件，使其以后

可以不被發(fā)覺(jué)地訪問(wèn)該主機(jī)。

目前，黑客的主要攻擊方式有：

欺騙：通過(guò)偽造IP地址或者盜用用戶(hù)帳號(hào)等方法來(lái)獲得對(duì)系統(tǒng)的非授權(quán)使

用，例如盜用撥號(hào)帳號(hào)。

竊聽(tīng)：利用以太網(wǎng)廣播的特性，使用監(jiān)聽(tīng)程序來(lái)截獲通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)包，對(duì)

信息進(jìn)行過(guò)濾和分析后得到有用的信息，例如使用sniffer程序竊聽(tīng)用戶(hù)密碼。

數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過(guò)程中，對(duì)信息進(jìn)行非法的復(fù)制，例如，非

法拷貝網(wǎng)站數(shù)據(jù)庫(kù)內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶(hù)的個(gè)人信息等。

數(shù)據(jù)篡改：在信息的共享和傳遞過(guò)程中，對(duì)信息進(jìn)行非法的修改，例如，刪

除系統(tǒng)內(nèi)的重要文件，破壞網(wǎng)站數(shù)據(jù)庫(kù)等。

拒絕服務(wù)：使用大量無(wú)意義的服務(wù)請(qǐng)求來(lái)占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理

能力和10能力，造成系統(tǒng)癱瘓，無(wú)法對(duì)外提供服務(wù)。典型的例子就是2000年年

初黑客對(duì)Yahoo等大型網(wǎng)站的攻擊。

黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機(jī)資源被利用和網(wǎng)

絡(luò)癱瘓等嚴(yán)重后果，如果是對(duì)軍用和政府網(wǎng)絡(luò)的攻擊，還會(huì)對(duì)國(guó)家安全造成嚴(yán)重

威脅。

1.3.4.網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)

網(wǎng)絡(luò)與信息安全平臺(tái)的任務(wù)就是創(chuàng)建一個(gè)完善的安全防護(hù)體系，對(duì)所有非法

網(wǎng)絡(luò)行為，如越權(quán)訪問(wèn)、病毒傳播、惡意破壞等等，事前預(yù)防、事中報(bào)警并阻止，

事后能有效的將系統(tǒng)恢復(fù)。

在上文對(duì)黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個(gè)安全漏洞都會(huì)

給黑客以可乘之機(jī)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)

安全里尤其適用。所以，我們的方案必須是一個(gè)完整的網(wǎng)絡(luò)安全解決方案，對(duì)網(wǎng)

絡(luò)安全的每一個(gè)環(huán)節(jié)，都要有仔細(xì)的考慮。

1.3.5.網(wǎng)絡(luò)安全解決方案的組成

針對(duì)前文對(duì)黑客入侵的過(guò)程的描述，為了更為有效的保證網(wǎng)絡(luò)安全，方正數(shù)

碼提出了兩個(gè)理念：立體安全防護(hù)體系和安全服務(wù)支持。首先網(wǎng)絡(luò)的安全決不僅

僅是一個(gè)防火墻，它應(yīng)是包括入侵測(cè)檢（IDS）、虛擬專(zhuān)用網(wǎng)（VPN）等功能在

內(nèi)的立體的安全防護(hù)體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全

維護(hù)服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。

一個(gè)好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個(gè)部分組成：

?防火墻：對(duì)網(wǎng)絡(luò)攻擊的阻隔

防火墻是保證網(wǎng)絡(luò)安全的重要屏障。防火墻根據(jù)網(wǎng)絡(luò)流的來(lái)源和訪問(wèn)的目標(biāo),

對(duì)網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。防火墻最大的意義在

網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題簡(jiǎn)化，大大降低

管理成本和潛在風(fēng)險(xiǎn)。在應(yīng)用防火墻技術(shù)時(shí)，正確的劃分網(wǎng)絡(luò)邊界和制定完善的

安全策略是至關(guān)重要的。

發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。比如方正方御防火

墻在很好的實(shí)現(xiàn)了防火墻功能的同時(shí)，也實(shí)現(xiàn)了下面所說(shuō)的入侵檢測(cè)功能；

?入侵檢測(cè)（IDS）：對(duì)攻擊試探的預(yù)警

當(dāng)黑客試探攻擊時(shí)，大多采用一些已知的攻擊方法來(lái)試探。網(wǎng)絡(luò)安全漏洞掃

描器是“先敵發(fā)現(xiàn)”，未雨綢繆。而從另外一個(gè)角度考慮問(wèn)題，“實(shí)時(shí)監(jiān)測(cè)”，發(fā)

現(xiàn)黑客攻擊的企圖，對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)也是非常有意義的。甚至由此派生出了

P"DR理論。

入侵檢測(cè)系統(tǒng)通過(guò)掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測(cè)），或者探測(cè)系

統(tǒng)的異常行為（主機(jī)入侵檢測(cè)），來(lái)發(fā)覺(jué)這類(lèi)攻擊的存在。一旦被發(fā)現(xiàn)，則報(bào)警

并作出相應(yīng)處理，同時(shí)可以根據(jù)預(yù)定的措施自動(dòng)反應(yīng)，比如暫時(shí)封掉發(fā)起該掃描

的IP。

需要注意的是，入侵檢測(cè)系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻

擊痕跡。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，

就能做到?jīng)]有入侵檢測(cè)系統(tǒng)能夠識(shí)別出來(lái)。所以，在應(yīng)用入侵檢測(cè)系統(tǒng)時(shí)，千萬(wàn)

不要因?yàn)橛辛巳肭謾z測(cè)系統(tǒng)，就不對(duì)系統(tǒng)中的安全隱患進(jìn)行及時(shí)補(bǔ)救。

?安全審計(jì)管理

安全審計(jì)系統(tǒng)必須實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)上和用戶(hù)系統(tǒng)中發(fā)生的各類(lèi)與安全有關(guān)的

事件，如網(wǎng)絡(luò)入侵、內(nèi)部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些

情況真實(shí)記錄，并能對(duì)于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計(jì)系統(tǒng)所做的記錄如

同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時(shí)能夠提供寶貴的偵破和取證輔助數(shù)據(jù),

并具有防銷(xiāo)毀和篡改的特性。

安全審計(jì)跟蹤機(jī)制的內(nèi)容是在安全審計(jì)跟蹤中記錄有關(guān)安全的信息，而安全

審計(jì)管理的內(nèi)容是分析和報(bào)告從安全審計(jì)跟蹤中得來(lái)的信息。安全審計(jì)跟蹤將考

慮要選擇記錄什么信息以及在什么條件下記錄信息。

收集審計(jì)跟蹤的信息，通過(guò)列舉被記錄的安全事件的類(lèi)別（例如對(duì)安全要求

的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。已知安全審計(jì)的存在

可對(duì)某些潛在的侵犯安全的攻擊源起到威攝作用。

?虛擬專(zhuān)用網(wǎng)（VPN）：遠(yuǎn)程傳輸?shù)陌踩?/p>

VPN技術(shù)在把分散在各處的服務(wù)器群連成了一個(gè)整體，形成了一個(gè)虛擬的

專(zhuān)用網(wǎng)絡(luò)。通過(guò)VPN的加密通道，數(shù)據(jù)被加密后傳輸，保證了遠(yuǎn)程數(shù)據(jù)傳輸?shù)?/p>

安全性。使用VPN可以象管理本地服務(wù)器一樣去安全的管理遠(yuǎn)程的服務(wù)器。

VPN帶來(lái)的最大好處是確保安全性的同時(shí)，復(fù)用物理信道，降低使用成本。

?防病毒以及特洛伊木馬

計(jì)算機(jī)病毒的危害不言而喻，計(jì)算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)

合起來(lái)，成為黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛

伊木馬所為。由于在金卡工程中沒(méi)有辦公系統(tǒng)部分，所以這部分不多加解釋。

?安全策略的實(shí)施保證

網(wǎng)絡(luò)安全知識(shí)的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行,是網(wǎng)絡(luò)安全最重要的保障。

此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外

災(zāi)害帶來(lái)的破壞性損失。

1.3.6.超高安全要求下的網(wǎng)絡(luò)保護(hù)

對(duì)于xx安全網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)中心安全而言，安全性需求就更加的高，屬于超

高安全要求下的網(wǎng)絡(luò)保護(hù)范圍，因此需要在這些地方使用2臺(tái)防火墻進(jìn)行雙機(jī)熱

備，以保證數(shù)據(jù)穩(wěn)定傳輸。

1.3.6.1.認(rèn)證與授權(quán)

認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪

問(wèn)內(nèi)部網(wǎng)絡(luò)（包括撥號(hào)）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身

份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。

對(duì)于內(nèi)部訪問(wèn)，也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定，防止由內(nèi)部人

員發(fā)起的攻擊。

我們建議XX安全網(wǎng)絡(luò)系統(tǒng)利用基于X.509證書(shū)的認(rèn)證體系（目前最強(qiáng)的認(rèn)

證體系）來(lái)進(jìn)行認(rèn)證。

方正方御防火墻管理也是用X.509證書(shū)進(jìn)行認(rèn)證的。

1.1.1.1.網(wǎng)絡(luò)隔離

網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個(gè)簡(jiǎn)單的

原理：如果網(wǎng)絡(luò)是隔離開(kāi)的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，

毛將焉附。

但對(duì)于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來(lái)說(shuō)，完全的物理隔離是行不通的。

方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過(guò)

破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個(gè)重要條件:

＜從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接

令將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò)

從而確保XX安全網(wǎng)絡(luò)系統(tǒng)的安全。

1.1.1.2.實(shí)施保證

XX安全網(wǎng)絡(luò)系統(tǒng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。要保護(hù)這樣一個(gè)繁雜的網(wǎng)

絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的

靈活的管理機(jī)制，一方面要能讓XX安全網(wǎng)絡(luò)系統(tǒng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體

網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。

方正方御防火墻采用基于WindowsGUI的用戶(hù)界面進(jìn)行遠(yuǎn)程集中式管理，配

置管理界面直觀，易于操作。可以通過(guò)一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行集

中式的管理。

方正方御防火墻符合國(guó)家最新防火墻安全標(biāo)準(zhǔn)，采用了三級(jí)權(quán)限機(jī)制，分為

管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開(kāi)關(guān)及日常維護(hù)，策略員負(fù)責(zé)配

置防火墻的包過(guò)濾和入侵檢測(cè)規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制,

這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺(tái)。事實(shí)上，方御防火墻是通過(guò)該標(biāo)準(zhǔn)

認(rèn)證的第一個(gè)包過(guò)濾防火墻。

另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒(méi)有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)

制，尤其適合于XX安全網(wǎng)絡(luò)系統(tǒng)這樣的大型網(wǎng)絡(luò)。

2.安全架構(gòu)分析與設(shè)計(jì)

邏輯上，XX安全網(wǎng)絡(luò)系統(tǒng)將劃分為2個(gè)區(qū)域：內(nèi)部網(wǎng)絡(luò)，外部互連網(wǎng)絡(luò)。

其中每一個(gè)局域網(wǎng)節(jié)點(diǎn)劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個(gè)網(wǎng)段，

網(wǎng)段之間設(shè)置安全隔離區(qū)。每一個(gè)網(wǎng)段必須能夠構(gòu)成一個(gè)獨(dú)立的、完整的、安全

的、可靠的系統(tǒng)。

21網(wǎng)絡(luò)整體結(jié)構(gòu)

xx安全網(wǎng)絡(luò)系統(tǒng)需要涉及若干部門(mén)，各地方的網(wǎng)絡(luò)通過(guò)專(zhuān)用網(wǎng)連接起來(lái)。

網(wǎng)絡(luò)整體結(jié)構(gòu)如下圖所示：

廣州市公安局及分局網(wǎng)絡(luò)結(jié)構(gòu)圖

廣州市公安局網(wǎng)

廣東省公安廳網(wǎng)

DDN數(shù)據(jù)網(wǎng)

XX網(wǎng)絡(luò)整體結(jié)構(gòu)

注：廣東省局連接出口處防火墻使用雙機(jī)熱備的方式。

22集中管理和分級(jí)管理

由于xx安全網(wǎng)絡(luò)系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能

集中管理，又可以在本地進(jìn)行審計(jì)管理，日志查詢(xún)等操作。而用戶(hù)的權(quán)限機(jī)制分

配必須通過(guò)網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。

需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備。在XX安全網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)管理中

心需要對(duì)各管理局的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。

分析XX安全網(wǎng)絡(luò)系統(tǒng)的特點(diǎn)和需求，方正方御防火墻的集中管理功能和權(quán)

限管理機(jī)制完全可以滿足這些需求。

方正方御防火墻采用基于WindowsGUI的用戶(hù)界面進(jìn)行遠(yuǎn)程集中式管理，

配置管理界面直觀，易于操作?？梢酝ㄟ^(guò)一個(gè)控制機(jī)對(duì)多臺(tái)方正方御防火墻進(jìn)行

集中式的管理。

方正方御防火墻采用了三級(jí)權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理

員負(fù)責(zé)防火墻的開(kāi)關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過(guò)濾和入侵檢測(cè)規(guī)

則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制。這樣他們共同的負(fù)責(zé)起一個(gè)安

全的管理平臺(tái)。

XX安全網(wǎng)絡(luò)系統(tǒng)的集中管理圖如下所示:

絡(luò)

理局網(wǎng)

地市管

專(zhuān)

用

網(wǎng)

絡(luò)

多級(jí)

擁有

必須

火墻

此防

題，因

的問(wèn)

角色

用戶(hù)

及到

就涉

中，

過(guò)程

理的

中管

在集

可

下，又

前提

況的

用情

墻使

防火

全部

掌控

中心

數(shù)據(jù)

XX

保證

樣在

制，這

理機(jī)

的管

。

火墻

置防

和配

使用

限內(nèi)

的權(quán)

自己

以在

員可

理人

的管

地方

以使

網(wǎng)絡(luò)

理中心

系統(tǒng)管

全網(wǎng)絡(luò)

XX安

2.3.

的

理局

各管

要對(duì)

還需

外，

服務(wù)

信息

提供

需要

除了

中心

管理

系統(tǒng)

網(wǎng)絡(luò)

安全

XX

。

重要

其的

性尤

可靠

性和

安全

絡(luò)的

此網(wǎng)

，因

管理

集中

進(jìn)行

設(shè)備

網(wǎng)絡(luò)

熱備

雙機(jī)

使用