党政机关内部网络安全解决方案
某机关大楼网络系统方案
某机关大楼网络系统方案1. 简介某机关大楼是一个重要的政府机关办公场所,为了保障信息安全和提高工作效率,机关决定进行网络系统升级和改造。
本文档将介绍某机关大楼网络系统的方案设计和实施计划。
2. 目标某机关大楼网络系统方案的目标如下: - 提供稳定可靠的网络连接,确保机关办公的连续性和高效性; - 加强信息安全防护,保护机关重要数据和信息的安全性;- 支持多部门同时办公,并提供高带宽的网络速度; - 简化网络管理和维护流程,降低运营成本。
3. 方案设计3.1 网络架构采用三层分布式网络架构: - 核心层:部署核心交换机,提供高速数据转发和路由功能,负责连接楼内外网络和数据中心; - 分布层:部署分布式交换机,负责办公楼内不同部门的网络连接,并实施流量隔离和安全策略; - 接入层:部署接入交换机,提供对终端设备的接入,如电脑、打印机等。
3.2 网络设备•核心交换机:品牌 XYZ-500,具备高性能和可靠性,支持 OSPF 和BGP 协议;•分布交换机:品牌 XYZ-200,适用于办公楼内不同部门的子网划分和隔离;•接入交换机:品牌 XYZ-100,提供丰富的接口和高速连接能力,适合终端设备接入。
3.3 网络安全•防火墙:部署网络边界处,对外部攻击和恶意流量进行过滤和防护;•IDS/IPS:入侵检测和入侵防御系统,通过实时监测和阻断异常流量,保护网络安全;•VPN:虚拟私有网络,用于远程办公人员和外部合作伙伴的安全接入;•访问控制:通过权限管理和身份验证,限制对敏感数据的访问权限。
3.4 网络管理•网络监控系统:实时监测网络设备的状态和流量情况,提供警报和分析功能,便于故障排查和性能优化;•远程配置管理:通过远程管理工具,对网络设备进行配置和管理,减少人工干预;•日志管理:存储和管理网络设备的日志,支持审计和安全事件溯源。
4. 实施计划4.1 项目启动•确定网络升级和改造的目标和需求;•成立项目团队,明确各个角色和职责;•制定详细的项目计划和时间表;•确定预算和资源需求。
党政机关信息网络安全保密的措施与对策
文 , 卫 东 陆
党政机关信息网络安全保密的措施与对策
近 年 来 。随 着我 国 计 算机 网络 建
设 进 程 的 加 快 , 电 子 政 务 凭 借 其 高 办 公 计算 机 都 与国 际 互联 网 连接 ,其 中部 分计 算 机还 处 理 、存 储 着大 量 敏 制度 和 措 施也 较 规 范 。但 却 忽略 了移 动存 储介 质 这一 “ 隐型 间谍 ” 。
3使 用 人 员认 识 不 到 位 造 成 泄 密 .
运 行 安 全 现 状
近 年 来 地方 各 级 党 政机 关 电子政 务 建 设 步伐 明 显 加快 ,行 政许 可 事项 多数 上 网 .协 同 办 公 系 统 普 遍 应 用 , 终端 信 息服 务产 品 推 陈 出新 。 电子 政 务发 展 正逐 步 从 简 单 的政 府 上 网和 办 公 自动 化 阶 段 ,向 政 府协 同 办 公 、为
公众 服 务 的 “ 网 ” 阶段 转变 , 网络 用
的保 密 与 窃 密斗 争 缺 乏 应 有 的 警 惕 ;
更 有 认 为 :“ 务 公 开 ,无 密 可 保 ” 政 , 将 政 务 公 开 与 信 息 保 密 完 全 对 立 起 来 。种 种 情 况 都 随 时 有 可 能 造 成 信 息 失泄 密 。
很大 的距 离 .因 而形 成 了失 泄密 的 隐 患 。隐 患 不除 ,难 免 会 造 成涉 密 信 息 或敏 感 信 息在 与 互 联 网连 接 的计 算 机 中 出现 。
4移 动 存 储 技 术 的 发 展 为 电 子 政 .
2人 员不 精 专 ,培 训 不 普 及 。 目 . 前 党 政 机关 工 作 人 员基 本 上人 手 一 台
敏 感 信 息 及 涉 密信 息 的暴 露或 丢 失 ,
政务内网方案
政务内网方案第1篇政务内网方案一、项目背景随着我国电子政务建设的不断深入,政务内网已成为政府部门内部信息共享、业务协同、决策支持的重要平台。
为进一步提高政务内网的运行效率、安全性和稳定性,确保政务信息传输的安全可靠,本项目旨在制定一套合法合规的政务内网方案,以满足政府部门日常工作需求。
二、方案目标1. 确保政务内网的稳定性、安全性和可靠性。
2. 实现政务信息的高效传输和共享。
3. 提高政府部门间的业务协同和决策支持能力。
4. 符合国家相关法律法规和政策要求。
三、方案内容1. 网络架构设计(1)采用分层设计,分为核心层、汇聚层和接入层。
(2)核心层采用高可用性设备,确保政务内网的稳定运行。
(3)汇聚层和接入层采用高性能设备,满足各部门业务需求。
2. 网络安全设计(1)采用物理隔离和逻辑隔离相结合的方式,确保政务内网与外部网络的安全隔离。
(2)部署防火墙、入侵检测系统、病毒防护系统等安全设备,提高网络安全防护能力。
(3)实施安全策略,对网络访问进行控制,防止非法访问和数据泄露。
3. 数据传输与存储(1)采用加密技术,确保政务信息在传输过程中的安全性。
(2)部署数据备份和恢复系统,保障数据的安全性和完整性。
(3)建立数据存储规范,实现数据的分类存储和高效检索。
4. 业务应用系统(1)根据各部门业务需求,定制开发业务应用系统。
(2)采用成熟的技术框架,确保系统的高效运行和可扩展性。
(3)实现部门间业务协同,提高工作效率。
5. 人员培训与运维保障(1)组织专业培训,提高政府部门人员的信息化素质。
(2)建立健全运维管理制度,确保政务内网的正常运行。
(3)设立专门的运维团队,提供技术支持和应急响应。
四、合法合规性1. 严格遵守国家相关法律法规和政策要求,确保政务内网建设合法合规。
2. 依法进行项目招投标,确保项目实施过程公开透明。
3. 采取有效措施,保护用户隐私和信息安全。
五、项目实施与验收1. 按照项目计划,分阶段实施政务内网建设。
政府 网络安全方案
政府网络安全方案
随着互联网的普及和发展,网络安全问题日益突出。
为了保护国家网络安全,政府应制定一系列网络安全方案。
首先,政府应加强网络安全法律法规的制定和执行。
制定适应时代发展需求的法律法规,明确网络安全的标准和要求。
加大对违法行为的打击力度,严厉处罚网络攻击、黑客入侵等违法行为。
其次,政府应加强网络安全技术研发和应用。
加强对网络安全技术的研究,提升防御能力。
鼓励企业和研究机构加强合作,推动网络安全技术创新。
引进并适用国内外先进的网络安全技术,提高网络安全保护水平。
此外,政府还应加强网络安全意识教育和推广。
加强网络安全教育,提高全社会对网络安全的重视程度。
引导公众提高自我保护意识,让网络安全意识融入到日常生活中。
最后,政府应加强信息共享和合作。
与其他国家以及国际组织建立网络安全信息共享机制,加强跨国合作,共同应对网络安全威胁。
加强与行业和企业的合作,共同建立起网络安全防御体系。
综上所述,政府应制定一系列网络安全方案,并加强法律法规、技术研发和应用、意识教育和推广、信息共享和合作等方面的工作,以确保国家网络安全。
政务内网安全维护工作计划
政务内网安全维护工作计划一、前言随着信息化的发展,政务内网已成为各级政府机关的重要工具和平台。
政务内网涉及政府机关的重要信息和系统,安全维护工作显得尤为重要。
本工作计划旨在为政务内网安全维护工作提供指导,确保政务内网的安全稳定运行。
二、目标和原则1. 目标:确保政务内网的安全性、可靠性、稳定性和高效性。
2. 原则:(1) 安全优先:安全维护工作应始终把安全放在首位,不断提升政务内网的安全防护能力。
(2) 综合防御:采取综合措施,从网络、系统、数据、应用等多方面加强安全防护。
(3) 健全机制:建立健全政务内网安全管理体系,明确责任分工和工作流程。
三、组织架构1. 安全管理委员会:负责制定安全策略、制定和审核安全政策和规范,协调各部门间的安全工作。
2. 安全维护团队:负责具体的安全技术实施工作,包括网络安全、系统安全、应用安全、数据安全等。
3. 安全审计团队:定期对政务内网进行安全审计,及时发现和修复安全漏洞。
四、安全管理与策略1. 安全威胁评估:定期对政务内网进行风险评估,确定安全威胁和漏洞,并制定相应的应对措施。
2. 安全策略制定:基于安全威胁评估结果,制定对政务内网的安全策略,包括访问控制、权限管理、日志审计等。
3. 安全培训与宣传:定期组织安全培训和宣传活动,提高政务内网用户的安全意识和安全防范能力。
五、网络安全维护1. 边界防护:在政务内网与外网的边界处设置防火墙、入侵检测系统等,防止未经授权的访问和攻击。
2. 安全接入控制:采用身份认证技术,对政务内网的用户进行身份识别和权限控制,确保只有合法用户能够访问。
3. 网络监控与分析:建立网络监控系统,对政务内网的网络流量进行实时监测和分析,及时发现异常行为和安全威胁。
六、系统安全维护1. 系统漏洞修复:定期对政务内网的系统进行漏洞扫描和风险评估,及时更新和修补系统漏洞。
2. 系统访问控制:对政务内网的系统进行严格的访问控制,通过权限设置和审计日志等手段,限制用户的访问权限和行为。
解决办公室网络安全问题的方案
解决办公室网络安全问题的方案随着信息技术的高速发展,办公室网络安全问题也日益凸显。
办公室网络安全是指通过技术手段保护办公室网络系统的安全,防止未经授权的访问、数据泄露和恶意攻击。
本文将针对办公室网络安全问题,提出一些有效的解决方案。
一、建立健全的网络安全管理体系要解决办公室网络安全问题,首先需要建立健全的网络安全管理体系。
这包括以下几个方面的内容:1. 完善的网络安全策略:制定明确的网络安全策略,包括网络访问控制、数据加密、用户权限管理等方面的规定。
2. 强化系统监控与日志管理:部署网络安全设备,如防火墙、入侵检测系统等,实时监控网络流量和异常行为,并进行日志记录和分析,及时发现和应对潜在威胁。
3. 加强员工网络安全意识培训:定期对员工进行网络安全意识培训,教育他们了解网络安全威胁和防护知识,提高他们对网络安全的重视程度和自我保护能力。
二、加强网络设备的安全防护办公室网络设备是连接外部互联网和内部办公环境的桥梁,因此必须加强对网络设备的安全防护。
1. 更新和升级网络设备:及时安装厂商发布的最新安全补丁,升级网络设备的固件和软件,修复已知的漏洞,提高网络设备的安全性。
2. 强化网络设备的访问控制:设置强密码,限制管理访问权限,禁止使用默认的用户名和密码,防止未经授权的访问和操作。
3. 配置防火墙和入侵检测系统:在办公室网络中部署防火墙和入侵检测系统,对外部网络进行过滤和监控,阻止恶意攻击和未授权访问。
三、加密网络传输和数据存储办公室网络传输中的数据安全非常重要,需要通过加密手段来保护。
1. 使用安全的通信协议:对于涉及敏感数据传输的网络通信,使用安全的通信协议,如HTTPS、SSL等,确保数据在传输过程中不被窃取或篡改。
2. 加密存储设备和文件:对于存储敏感数据的设备和文件,使用加密技术进行加密,确保数据在存储过程中不被非法访问。
四、建立灾备与应急响应机制网络安全事故的发生时常难以避免,为了及时应对网络安全问题,建立灾备与应急响应机制是至关重要的。
政府网络安全解决方案
政府网络安全解决方案
《政府网络安全解决方案》
随着数字化时代的来临,政府在网络安全方面面临着越来越多的挑战。
政府机构的重要数据和信息需要得到有效的保护,以防止黑客和其他恶意攻击者的入侵。
因此,政府需要采取一系列的网络安全解决方案来保护其网络系统和数据安全。
首先,政府可以通过加强防火墙和安全审计来提高网络安全。
防火墙可以阻止未经授权的访问,并监视网络流量以发现潜在的威胁。
安全审计可以帮助政府机构不断监视网络,及时发现并解决安全漏洞。
其次,政府可以加强对网络设备和软件的管理和维护。
定期对网络设备和软件进行更新和升级,以填补潜在的安全漏洞。
政府还可以建立网络安全管理团队,负责监控和维护网络安全。
另外,政府可以通过加强员工的网络安全意识来提高整体的网络安全。
通过开展网络安全培训和教育,让政府工作人员了解网络安全的重要性,并学会如何防范网络攻击。
此外,政府还可以加强与其他政府机构和行业组织的合作,共同应对网络安全挑战。
政府可以建立网络安全信息共享平台,及时分享网络安全威胁情报,从而加强网络安全防御能力。
总而言之,政府在网络安全方面需要采取多种解决方案,包括加强防火墙和安全审计、加强设备和软件管理、提高员工网络
安全意识以及加强合作和信息共享。
只有通过综合的网络安全举措,政府才能更好地保护自身的网络系统和数据安全。
政府单位网络安全工作计划
政府单位网络安全工作计划一、背景与概述随着信息化时代的进步和发展,网络已经成为政府单位的一部分。
政府单位在网络上进行工作、信息交流和管理已经成为常态。
然而,网络也带来了一些新的安全威胁和风险,如网络攻击、数据泄露、恶意软件等。
为了保护政府单位的网络安全,保护敏感信息的安全性,制定一份网络安全工作计划是非常必要的。
二、目标与原则1. 目标:确保政府单位的网络安全,保护敏感信息的安全性。
2. 原则:(1) 领导力量:领导要高度重视网络安全工作,充分认识到其重要性,并提供必要的支持和资源。
(2) 组织安排:建立网络安全工作小组,明确各成员的职责和权限,确保网络安全工作的顺利进行。
(3) 审查政策:制定、完善和执行网络安全政策和管理办法,对违反政策的行为进行相应的惩罚和调查。
(4) 安全教育:加强网络安全教育和培训,提高员工的网络安全意识和技能。
(5) 风险评估:定期进行网络安全风险评估,识别和解决潜在的网络安全风险。
(6) 应急响应:建立网络安全应急响应机制,及时应对和处置网络安全事件。
(7) 合规性监督:定期进行合规性审核,确保政府单位的网络安全符合相关法规和标准。
三、工作内容与计划1. 建立网络安全工作小组(1) 组织结构:网络安全工作小组由专业人员组成,负责网络安全工作的计划、组织和实施。
(2) 职责与权限:明确各成员的职责和权限,确保各项工作的顺利进行。
(3) 定期会议:小组成员定期召开会议,讨论网络安全工作计划和工作进展。
2. 制定网络安全政策和管理办法(1) 政策制定:制定网络安全政策,明确网络安全工作的目标和要求。
(2) 管理办法制定:制定网络安全管理办法,规范政府单位的网络安全管理和操作。
(3) 定期审查:定期审查政策和管理办法的适用性和有效性,进行必要的修订和完善。
3. 加强网络安全教育和培训(1) 培训计划:制定网络安全培训计划,根据员工的不同职责和岗位,组织相应的培训课程。
(2) 培训内容:培训内容包括网络安全意识教育、密码安全、恶意软件防范等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
WebST 党政机关内部网络安全解决方案目录一、前言 (3)二、网络结构模型及其安全需求 (3)1.1网络结构模型 (3)1.2网络层安全需求 (4)1.2.1网络进出控制 (4)1.2.2网络和链路层数据加密 (4)1.2.3安全检测和报警 (5)三、应用模式及其安全需求 (6)1.1各种应用模式 (6)1.2应用层安全需求 (6)1.2.1公共应用的安全需求 (6)1.2.2内部办公应用的安全需求 (7)1.2.3具体应用软件的安全需求 (7)四、网络层安全解决方案 (8)1.1安全的网络结构 (8)1.2防火墙技术与产品 (8)1.3入侵检测技术与产品 (9)1.4防杀病毒技术与产品 (9)五、应用层安全解决方案 (10)1.1W EB ST安全服务 (10)1.2W EB ST的安全组件 (10)1.3W EB ST应用于党政机关内部网 (12)六、结束语 (14)一、前言在我国,党政机关一般指中央直属单位、国家各大部委、各省市机关。
这些单位是计算机网络建设和应用的先进部分,具有网络规模适中,人员相对较少,应用以办公为主,辅以少量的数据库应用,但保密级别相当高,从密码的角度来看需要核密和普密两级。
人员虽少但访问控制级别要求精确,对审计需求也很高。
目前党政机关的内部网与外部公网在物理上是隔离的,这一方面是国家有关部门的保密规定要求,另一方面也是由于没有很好的解决方案而不得已为之。
即使内外隔离,内部网络的安全问题还是相当突出,更需要对内部人员的身份认证、访问授权以及相互之间的数据查加密等有效解决方案。
本文是在为国家某部委所做的整体安全解决方案的基础上,综合了党政机关内部网络的安全需求,总结性地描述如何解决其内部网络安全和应用安全。
可作为类似安全需求解决方案的参考模型。
二、网络结构模型及其安全需求网络结构模型的不同,所产生的安全需求也不同,那么相应的安全解决方案就不一样。
1.1 网络结构模型党政机关单位在地理位置上一般是处于一个大院内或一幢大楼内,具有一个中心网络,提供公共应用服务(亦称公共应用平台),同时行使网络管理权利。
按行政结构,下属各局、委、办,各自具有局域网,各局域网也具有自己的服务器,或Web或应用服务器。
这些局域网都是直接连接到中心网络,共享公共应用服务,同时也提供自己的信息给其他单位共享。
一般来说,这些局域网之间没有直接通信通道。
为了给首长提供机要信息,单独建设一个首长机要局域网,内设基于Web的首长查询服务器。
党政机关由于中心单位和各下属单位之间的地理位置不同,所需连接的距离也不同,形成的园区网络结构也就有所差异。
这种差异最终造成安全需求及解决方案的不同。
一般有两种模式:• 集中式的网络结构• 分布式的网络结构对于集中式的网络结构,该单位的所有下属部门都处于大楼或大院内,所有局域网与中心网络直接互连,未经过不可信的公网。
对于分布式的网络结构,该单位的主要部门都处于大楼或大院内,呈现出一个集中式的网络结构;还有一些下属部门分布在其他地方,在业务上需要信息通信和共享。
这写局域网与中心网络的互连,是经过不可信的公网(Internet、X.25、PSTN等)。
这两种结构示意图如图1。
图1 网络结构图如图的网络结构,我们称其为非安全结构,是目前采用最多的一种。
一般的安全措施是在连接公网处安装防火墙,但它只能防止外部非授权的网络访问,而对内部几乎没有防范功能。
1.2 网络层安全需求网络层安全主要解决网络互联时和在网络通讯层安全问题,需要解决的问题有:• 网络进出控制(即IP过滤);• 网络和链路层数据加密;• 安全检测和报警。
1.2.1 网络进出控制需要对进入内部网进行管理和控制。
在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。
各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。
同样需要对内网到公网进行管理和控制。
要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
1.2.2 网络和链路层数据加密对关键应用需要进行链路层数据加密,特别是最核心的领导办公服务系统,为领导提供信息共享,需要有高强度的数据加密措施。
1.2.3 安全检测和报警安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。
这主要是提供一种监测手段,保证网络和服务的正常运行。
要实现:• 及时发现来自网络内外对网络的攻击行为;• 详实地记录攻击发生的情况;• 当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;• 当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行。
• 对防火墙进行安全检测和分析;• 对Web服务器检测进行安全检测和分析;• 对操作系统检测进行安全检测和分析。
三、应用模式及其安全需求建设网络的目的在于应用,其道理如同高速公路和汽车运输的关系。
人们感受网络的优势是通过网络上各种应用来实现的。
详细地理解网络应用的模式,有助于了解应用安全需求,也就能够提出有针对性的安全解决方案。
1.1 各种应用模式1.1.1.1 办公自动化党政机关的网络应用是以办公自动化为主。
以前都是基于C/S模式的应用,随着Interner的发展和普及,目前开始向基于Web的模式转向,正处于两种模式并存的过渡期。
办公系统的主要功能为:• 公文运转• 信息发布• 计划管理• 项目管理• 行业报表管理• 业务跟踪上述各大功能是基本的功能,对不同的党政机关可能会有差异。
党委、人大、政协部门可能以公文运转、信息发布为主;政府部门可能涵盖的更多些。
对于安全解决方案的提供商,我们更注意应用模式是基于Web的还是基于C/S的,因为模式不同,其安全解决方案也不同,效果也不同。
1.1.1.2 领导信息查询系统该系统是基于Web的应用,一般用于首长机要子网,是传统手工的机要文件的计算机化。
该系统的特点是用户少,只限于几位首长使用;安全保密强度要求高,一般属于核密或普密,不但数据传输过程要求加密,可能还会要求文件的加密存储;信息录入、修改、归档有专门的机要人员执行;授权控制简单,首长之间一般不再区分权限,除非有特别要求。
在一般安全要求相对较低的单位,可能会把这部分功能归纳到办公系统的信息发布中,这时,就要求有严格的访问控制了。
1.1.1.3 公共数据库应用这部分是为行业内用户提供的基本数据查询服务,是基于数据库功能的,不是基于Web的。
1.2 应用层安全需求应用层安全是建立在网络层安全基础之上的,应用层安全主要是对网络资源的有效性进行控制,管理和控制什么用户对资源具有什么权限。
资源包括信息资源和服务资源。
其安全性主要在用户和服务器间的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。
需要进行安全保护的有WWW、数据库、电子邮件、FTP(文件传输)等应用方式。
1.2.1 公共应用的安全需求公共应用包括对外部和内部的信息共享以及各种跨局域网的应用方式,其安全需求是在信息共享同时,保证信息资源的合法访问及通讯隐秘性。
公共应用主要有WWW、FTP、电子邮件等方式,必须严格按照用户的身份进行控制对信息的访问,对服务器也必须进行必要的身份认证。
在认证的基础上根据用户的身份对信息进行授权的访问控制,如有需要建立应用层的数据加密,保证数据隐秘性和完整性。
公共应用包括外部的和内部的,尤其是内部的公共应用,有着更高的安全要求。
如领导信息查询系统,必须从上述的多个方面保证,特别对于身份认证和传输加密,必须做到万无一失。
1.2.2 内部办公应用的安全需求内部的办公应用主要是运行在局域网上的办公事务处理,对身份认证和访问控制有更高的要求。
对身份认证必须有多重的保证,包括用户口令、使用机器的IP和MAC地址,将来需要发展到使用IC 卡或电子钥匙,通过多种方式确认用户的身份。
访问控制的控制粒度更细,必须根据不同应用的不同对象形式进行控制,如Web页面、数据库记录等。
1.2.3 具体应用软件的安全需求我们注意到,目前无论哪种模式的应用,软件开发者在开发时都或多或少地编写了一些安全管理和控制程序,如身份认证、访问控制、用户与资源的管理等。
当然这些安全措施无论是强度上还是在标准上都存在着各种问题。
首先,每个应用软件的安全设计是非统一的,产生了安全控制强度的差异性。
其次,由于安全设计者在经验和标准上的不足,遗留一些安全漏洞,例如,自己设计的用户管理模块,一定是以明文来存储注册用户信息(用户名和口令),身份认证多半是单向的、明文传输口令方式。
最后,有关授权访问的程序,是和具体应用对象结合在一起的,如遇需求变化,牵涉软件的改动较大,适应性很差。
所以,需要一个应用层的安全管理平台,统一集中地管理用户、资源和安全策略。
四、网络层安全解决方案根据前面描述的网络层安全需求,逐一提出安全解决方案。
1.1 安全的网络结构图1的网络结构是不安全的,内部网络直接连接到公网或专网,即非安全区。
这样受到非法攻击的风险非常大。
所以需要调整网络结构,使之成为基本安全的前提。
图2就是调整后的格局。
图2 安全的网络结构首先增加一个支持三网段的防火墙,将原来的中心子网和内部网分为非军事化区、服务子网和内部网。
将公开的WWW服务器放在非军事化区,并放置代理服务器(即WebST,后面会专门介绍)。
将内部使用的各种应用服务器统统放在服务子网。
通过防火墙和路由器的配置,用户无论在网络内部还是在网络外部,都是通过代理服务器来访问各个应用服务器,这就保障了网络应用的安全。
1.2 防火墙技术与产品防火墙在技术上已经相对成熟,也有许多国内外产品可供选择,但需要注意一定要选择支持三网段的防火墙。
在图2中,我们看到防火墙是设置在接入Internet的路由器后端,将网络划分为三个区域,即三个网段,如上所述。
通过合理地配置防火墙过滤规则,满足下列需求:• 远程客户只能访问非军事化区的安全代理服务器,不能直接对内部网络的各个应用服务器和数据库进行访问;• 内部网络的客户端访问本网段的应用服务器,如需访问服务子网的各个应用服务器,必须经过非军事化区的安全代理服务器;• 非军事化区中的安全代理服务器可以通过防火墙,访问内部网络的应用服务器和数据库服务器指定的HTTP服务端口以及TCP服务端口;防火墙的功能就是提供网络层访问控制,所以其配置准确严密与否至关重要,只要配置正确,关闭不需要的服务端口,就可以基本实现网络层的安全。
1.3 入侵检测技术与产品随着Internet应用的不断普及,黑客入侵事件也呈上升趋势,在安装防火墙和划分三网段安全结构后,降低了这种风险,但没有彻底消除。
因为防火墙只是被动的防止攻击,不能预警攻击。
所以对于党政机关这样关键应用,我们建议采用入侵检测系统(IDS)。