某区政府信息安全解决方案 1.1 项目背景 某区政府在信息化建设上取得了快速的发展，同时在信息安全的建设上也初具规模。由 于某区政府的业务越来越依赖于网络，并且与外部的连接接口越来越多，必然会带来一些安 全上的问题，并随着业务的发展日益突出。为保证网络、系统能够健康稳定的运行，有必要 建立起一套完整的安全保护体系，通过技术，管理和组织等多种手段保证某区政府对安全的 需求。 随着业务的发展，某区政府原有的安全防护措施无法满足安全发展的需求。近期，我们 对某区政府的网络进行了简单评估，发现当前网络流量中存在各种病毒、蠕虫、Ddos 攻击、 ARP 欺骗、后门软件等等问题。另外服务器，终端设备的漏洞比较多、补丁更新不及时。使 得网络和系统时常受到影响。为了满足信息安全的发展，某区政府需重新制定安全策略，建 立完整的安全保障体系。 1.2 安全风险分析  网络边界风险分析 网络的边界是指两个不同安全级别的网络的接入处，包括同 Internet 网的接入处，以及 内部网不同安全级别的子网之间的连接处。由于两个安全区域之间的安全等级不同，所以在 边界处存在很高的安全风险。  网络入侵风险分析 因为内网系统直接连接公网，面临着各种入侵的风险，如何发现隐藏在正常数据包中的 攻击行为将是网络安全面临的问题。  系统层安全分析 企业网络中存在不同操作系统的主机如 AIX、Windows 2000 SERVER。这些操作系统自身 也存在许多安全漏洞。  病毒入侵风险分析 病毒具有非常强的破坏力和传播能力。越是网络应用水平高，共享资源访问频繁的环境 中，计算机病毒的蔓延速度就会越快。  应用层安全分析 

应用层安全是指用户在网络上的应用系统的安全，包括邮件系统、OA 系统、财务系统、 网管系统等网络基本服务系统、业务系统等。各应用包括对外部和内部的信息共享以及各种 跨局域网的应用方式，其安全需求是在信息共享的同时，保证信息资源的合法访问及通信隐 秘性。  管理层安全分析 在网络安全中安全策略和管理扮演着极其重要的角色，如果没有制定非常有效的安全策 略，没有进行严格的安全管理制度，来控制整个网络的运行，那么这个网络就很可能处在一 种混乱的状态。 1.3 安全建设目标 伴随着信息化意识的不断提高，某区政府的电子化应用不断增强，网络上的应用也统越 来越多。全方位的、更有效的、深层次的保护和管理系统资源以及网络资源，是实现某区政 府信息系统安全建设的主要目标。具体表现在：  保护网络内部的信息资源，防止内部信息泄漏、被窃、篡改、删除、假冒、抵赖；  提供对网络资源的访问控制，针对用户应用进行管理和控制，阻止外部入侵；  为网络、业务应用系统、对外服务系统提供必要的安全保护；  建立网络安全分析、审计监控及入侵检测系统，为不断提高网络安全强度提供有效 的技术手段；  建立网络防病毒体系；  建立内网漏洞评估体系；  建立安全恢复机制，在安全策略出现问题时能及时恢复；  建立完善的安全管理机制，强化安全管理。 1.4 安全解决方案 为了保护整个网络和系统的安全性，防范各种破坏网络和系统的行为，建议通过部署防 火墙系统，网络入侵保护系统，抗拒绝服务系统，漏洞扫描系统，内网安全管理系统，安全 审计系统等保证企业网络中各种应用的正常运行。在安全管理方面应当建立安全管理机构， 细化人员的分工，逐步建立企业网络安全管理制度。解决方案的拓扑结构如下： 

详细方案如下：  划分安全域，将网络系统划分不同的安全域，各域之间通过部署防火墙系统实现相 互隔离及其访问控制。  针对目前流行的蠕虫、病毒、间谍软件、垃圾邮件、DDoS 等黑客攻击，以及网络资 源滥用现象，在互联网出口部署入侵保护系统，实时的、主动的防护来自互联网的 各种攻击，同时对访问互联网的内容进行管理和控制。  在内网部署漏洞扫描系统，及时发现网络中存在的安全隐患并提出解决建议和方法。  在内网部署矩阵内网安全管理系统，全方位的保证内网安全，包括：网络接入控制、 病毒库同步、主机入侵保护、主机防火墙、异常端口监听、主机的 资产管理、补 丁管理、软件分发、非法外联检测、应用软件监控、上网监控、网络配置强制管理、 策略管理、集中升级、用户管理、管理审计。  在内网部署安全审计系统，通过对访问高性能计算机数据的采集、分析、识别，实 时动态监测通信内容、网络行为和网络流量，发现和捕获各种敏感信息、违规行为， 实时报警响应，并全面记录网络系统中的各种会话和事件，实现对网络信息的智能 关联分析、评估及安全事件的准确全程跟踪定位，以便事后追查取证。  在 Web 网站服务器前部署黒洞抗拒绝服务系统，防御来自互联网的抗拒绝服务攻击。  使用补丁自动分发系统，在服务器上安置补丁代理程序，帮助客户能够更加快速方 便的实现补丁的自动更新。  建立合理的安全组织体系和岗位分工，制定网络安全策略，安全策略是建立安全保 障体系的基石。