某区政府信息安全解决方案
1.1 项目背景
某区政府在信息化建设上取得了快速的发展,同时在信息安全的建设上也初具规模。由
于某区政府的业务越来越依赖于网络,并且与外部的连接接口越来越多,必然会带来一些安
全上的问题,并随着业务的发展日益突出。为保证网络、系统能够健康稳定的运行,有必要
建立起一套完整的安全保护体系,通过技术,管理和组织等多种手段保证某区政府对安全的
需求。
随着业务的发展,某区政府原有的安全防护措施无法满足安全发展的需求。近期,我们
对某区政府的网络进行了简单评估,发现当前网络流量中存在各种病毒、蠕虫、Ddos 攻击、
ARP 欺骗、后门软件等等问题。另外服务器,终端设备的漏洞比较多、补丁更新不及时。使
得网络和系统时常受到影响。为了满足信息安全的发展,某区政府需重新制定安全策略,建
立完整的安全保障体系。
1.2 安全风险分析
网络边界风险分析
网络的边界是指两个不同安全级别的网络的接入处,包括同 Internet 网的接入处,以及
内部网不同安全级别的子网之间的连接处。由于两个安全区域之间的安全等级不同,所以在
边界处存在很高的安全风险。
网络入侵风险分析
因为内网系统直接连接公网,面临着各种入侵的风险,如何发现隐藏在正常数据包中的
攻击行为将是网络安全面临的问题。
系统层安全分析
企业网络中存在不同操作系统的主机如 AIX、Windows 2000
SERVER。这些操作系统自身
也存在许多安全漏洞。
病毒入侵风险分析
病毒具有非常强的破坏力和传播能力。越是网络应用水平高,共享资源访问频繁的环境
中,计算机病毒的蔓延速度就会越快。
应用层安全分析
应用层安全是指用户在网络上的应用系统的安全,包括邮件系统、OA 系统、财务系统、
网管系统等网络基本服务系统、业务系统等。各应用包括对外部和内部的信息共享以及各种
跨局域网的应用方式,其安全需求是在信息共享的同时,保证信息资源的合法访问及通信隐
秘性。
管理层安全分析
在网络安全中安全策略和管理扮演着极其重要的角色,如果没有制定非常有效的安全策
略,没有进行严格的安全管理制度,来控制整个网络的运行,那么这个网络就很可能处在一
种混乱的状态。
1.3 安全建设目标
伴随着信息化意识的不断提高,某区政府的电子化应用不断增强,网络上的应用也统越
来越多。全方位的、更有效的、深层次的保护和管理系统资源以及网络资源,是实现某区政
府信息系统安全建设的主要目标。具体表现在:
保护网络内部的信息资源,防止内部信息泄漏、被窃、篡改、删除、假冒、抵赖;
提供对网络资源的访问控制,针对用户应用进行管理和控制,阻止外部入侵;
为网络、业务应用系统、对外服务系统提供必要的安全保护;
建立网络安全分析、审计监控及入侵检测系统,为不断提高网络安全强度提供有效
的技术手段;
建立网络防病毒体系;
建立内网漏洞评估体系;
建立安全恢复机制,在安全策略出现问题时能及时恢复;
建立完善的安全管理机制,强化安全管理。
1.4 安全解决方案
为了保护整个网络和系统的安全性,防范各种破坏网络和系统的行为,建议通过部署防
火墙系统,网络入侵保护系统,抗拒绝服务系统,漏洞扫描系统,内网安全管理系统,安全
审计系统等保证企业网络中各种应用的正常运行。在安全管理方面应当建立安全管理机构,
细化人员的分工,逐步建立企业网络安全管理制度。解决方案的拓扑结构如下:
详细方案如下:
划分安全域,将网络系统划分不同的安全域,各域之间通过部署防火墙系统实现相
互隔离及其访问控制。
针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS 等黑客攻击,以及网络资
源滥用现象,在互联网出口部署入侵保护系统,实时的、主动的防护来自互联网的
各种攻击,同时对访问互联网的内容进行管理和控制。
在内网部署漏洞扫描系统,及时发现网络中存在的安全隐患并提出解决建议和方法。
在内网部署矩阵内网安全管理系统,全方位的保证内网安全,包括:网络接入控制、
病毒库同步、主机入侵保护、主机防火墙、异常端口监听、主机的 资产管理、补
丁管理、软件分发、非法外联检测、应用软件监控、上网监控、网络配置强制管理、
策略管理、集中升级、用户管理、管理审计。
在内网部署安全审计系统,通过对访问高性能计算机数据的采集、分析、识别,实
时动态监测通信内容、网络行为和网络流量,发现和捕获各种敏感信息、违规行为,
实时报警响应,并全面记录网络系统中的各种会话和事件,实现对网络信息的智能
关联分析、评估及安全事件的准确全程跟踪定位,以便事后追查取证。
在 Web 网站服务器前部署黒洞抗拒绝服务系统,防御来自互联网的抗拒绝服务攻击。
使用补丁自动分发系统,在服务器上安置补丁代理程序,帮助客户能够更加快速方
便的实现补丁的自动更新。
建立合理的安全组织体系和岗位分工,制定网络安全策略,安全策略是建立安全保
障体系的基石。