文件名称:网络安全设计方案.doc
文件大小:158KB
文件格式:DOC
更新时间:2022-12-25 17:02:13
文档资料
1.1 某市*网络系统现状分析 《某市电子政务工程总体规划方案》主要建设内容为:一个专网(政务通信专网),一 个平台(电子政务基础平台),一个中心(安全监控和备份中心),七大数据库(经济信息数 据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、 社会信用数据库、海洋经济信息数据库、政务动态信息数据库),十二大系统(*办公 业务资源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市 通卡信息系统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金 农信息系统、金水信息系统、金盾信息系统、社会保障信息系统)。主要包括: 政务通信专网 电子政务基础平台 安全监控和备份中心 *办公业务资源系统 政务决策服务信息系统 综合地理信息系统 多媒体增值服务信息系统 某市*中心网络安全方案设计 1.2 安全系统建设目标 本技术方案旨在为某市*网络提供全面的网络系统安全解决方案,包括安全管理 制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及 长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络 的全面安全管理。 1) 将安全策略、硬件及软件等方法结合起来,构成一个统一的防御系统,有效阻止 非法用户进入网络,减少网络的安全风险; 2) 通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护 ; 3) 使网络管理者能够很快重新组织被破坏了的文件或使用。使系统重新恢复到破坏 前的状态。最大限度地减少损失。 具体来说,本安全方案能够实现全面网络访问控制,并能够对重要控制点进行细粒 度的访问控制; 其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监 控。 1.2.1 防火墙系统设计方案 1.2.1.1 防火墙对服务器的安全保护 网络中使用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服 务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服 务器的安全进行一系列安全保护。 如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着 "黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求 都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后, 才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只 能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。 1.2.1.2 防火墙对内部非法用户的防范 网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可 控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏 感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显 得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分 析,尽可能防护到网络的每一节点。 对于一般的网络使用,内部用户可以直接接触到网络内部几乎所有的服务,网络服 务器对于内部用户缺乏基本的安全防范,特别是在内部网络上,大部分的主机没有进行 基本的安全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高 。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内 部网络用户之间的访问,即单机到单机访问。这一层次上的使用主要有用户共享文件的 传输(NETBIOS)使用;其次,是内部网络用户对内部服务器的访问,这一类使用主要发生 在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员 发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于NETBIOS文件共享协议, 已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用 "黑客"工具造成严重破坏。 1.2.2 入侵检测系统 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护, 降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就 在防火墙内。 网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流, 寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问 时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行 用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方,如局域 网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域 ,可以单独各部署一套网络监控系统(管理器+探测引擎),也