计算机网络的快速发展也促使网络安全的需求大大增加,因为任何一个网络的建设都不可能假设自己处于一个纯粹干净的网络环境中,要想避免被来自于网络内外的恶意使用者的攻击和探测,就必须要结合各项安全技术来保障网络的合法使用,因此,如何建设一个安全的网络构架已经成为网络工程建设中必不可少的关键环节。
本章将以电子政务网为例,介绍如何设计电子政务网络安全系统方案。
电子政务网络是**信息网络平台,如何建立一个标准统。
一、功能完善、安全可靠的电子政务网络是关系到整个**信息能否得到有效利用的关键因素。区级电子政务网络是市级电子政务网络建设的重要组成部分,而随着国民经济的发展,原有的电子政务网络已不能满足区内各级**办公和为民服务的需要,因此计划在充分利用原有政务网的基础上,重新规划建设一个覆盖全区的电子政务网络,以满足全区范围内各行政部门办公需求。
新建设的区政务网络平台作为全区各个办事机构的主要办公平台,涉及了很多部门(如财政、工商、税务等)的内部信息,因此,该网络上将会有很多部门敏感信息进行传输和流转。同时,区**网络平台又是区统一的互联网出口,将面临网络上的各种病毒和木马等风险的威胁,如果建成后网络安全无法保障,或存在重大安全漏洞,那么其后果将是极其严重的,因此,信息安全建设是区政务网络建设中及其重要的部分。
本次政务平台的安全建设是需要全面的、系统的从边界数据防护系统、病毒防治系统、数据审计系统等几个方面规划。同时本次的安全规划要与区政务网现有网络整体安全规划一致,统一考虑安全管理问题。
安全系统的建设是电子政务建设和应用的重要保障。政务应用系统中存在较多的敏感信息,对系统的保密性要求很高。政务应用系统中的数据信息将决定业务工作能否顺利开展,必须保证网络和数据的安全。
1. 项目安全系统设计目标。
本项目安全系统设计的目标是:对原有区政务网络平台进行必要的安全建设,保障政务平台的信息安全。从技术与管理两方面着手,将全区的网络应用系统建设成一个具有纵深安全体系部署的可靠系统。
重点建设内容包括以下几方面:
政务网络平台本身的基础设施建设;
政务网络平台与各个边界的安全建设;
各个业务系统及公众服务体系安全的措施。
建立完善的病毒防护机制;
数据安全保障及有效的备份中心;
建设完善的综管理系统和机制;
建立统一全网认证体系。
2项目总体安全构架。
本项目总体安全架构建设由安全技术架构和安全运行总体管理架构两部分组成。
1) 安全技术架构。
网络基础设施安全(网络设备安全配置,核心设备及重要区域链路的冗余,网络出口的负载均衡)。
边界安全策略(边界访问控制,防火墙,入侵防御,网关防病毒)。
计算环境安全(统一防病毒体系,网络审计)。
安全基础设施(公钥体系建设,安全管理中心)。
2) 安全运行管理架构。
安全运行管理架构包括安全协调策略、事件响应策略、日常监控策略、升级管理策略、分析改进策略、培训教育策略、应急响应策略。
3. 项目总体设计原则。
系统建设应充分考虑长远发展需求,统一规划、统一布局、统一设计。在实施策略上根据实际需要及投资金额,分期配置、分期实施、逐步扩展,保证系统应用的完整性和用户投资的有效性。因此在方案设计中,将遵循以下设计原则:
1) 标准化原则。系统建设、业务处理和技术方案应符合国家、市及区有关信息化标准的规定。数据指标体系及**体系统一化、标准化。
2) 资源充分利用原则。所有设计必须在原有的基础上利用现有资源对政务网络平台提出符合发展趋势的设计规划,并充分利用原有设备。
3) 实施及网络切换的高效性原则。由于在网络改造和切换的过程中将会严重影响整个区的政务办公,因此,项目的实施设计将保障改造实施及网络切换的高效性原则,要设计详细的计划和方案。
4) 安全性原则。信息管理系统中的用户有着各种各样不同的权限级别和应用层次,因此在系统设计时,应该充分考虑不同用户的需求,保证正常用户能够高效、快速地访问授权范围内的系统信息和资源。同时,也必须能够有效地阻止未授权用户的非法入侵和非授权访问。
5) 可靠性原则。信息管理系统每天将处理着全区几十个部门的审批数据,任何时刻的系统设备故障都有可能给用户带来损失,这要求系统具备很高的稳定性和可靠性,以及很高的平均无故障率,保证故障发生时系统能够提供有效的失效转移或者快速恢复等性能。硬件环境应消除单点故障,实现双机容错和负载均衡功能,保证系统的高可用性,即7×24小时不停机的工作模式。
6) 开放性原则。开放性是现今计算机技术发展过程中形成的一种建立大系统,扩大系统交流范围的技术原则。系统总体方案设计在体系结构、硬件平台、软件平台的确定方面,从产品选型到设计、开发都要充分考虑“标准和开放”的原则。
在应用系统的设计与开发方面,依据标准化和模块化的设计思想,在此基础上建立具有一定灵活性和可扩展性的应用平台,使系统不仅在体系结构上保持很大的开放性而且同时提供各种灵活可变的接口,系统内部也保持相当程度的可扩充性。
7) 实用性及可扩展性原则。系统的建设既要充分体现**系统业务的特点,充分利用现有资源,合理配置系统软硬件,保护用户投资;又要着眼建成后使用,具有良好的扩展能力,可以根据不断增长的业务需求,能够随着信息技术的发展而不断地平滑升级。各计算机应用系统的开发,应做到功能完善、使用方便、符合实际、运作高效。
实用性的原则是系统能够成功应用的关键。在系统的设计阶段就应该充分考虑本区内当前的各种业务层次的需求、各个环节的数据处理以及管理要求。在实际的项目实施过程中可以采用总体设计、分布实施的方案,保障核心部门的核心业务功能首先得到实现,增加系统的实用性。
然后再逐步扩充,保障系统建设的有效性和连贯性。
8) 可维护性及易用性原则。由于信息管理系统的范围大、应用广,因此对于系统的管理和维护性能带来了更高的要求。在方案设计时,易管理、易维护性原则成为将来系统应用实施过程中的重要条件。
因此,系统设计必须充分考虑管理维护的可视化、层次化以及控制的实时性。系统面向掌握不同计算机知识层次的人员,要容易操作使用。
9) 经济性原则。在保证系统能够安全、可靠运行的前提下,最大限度地降低系统造价,充分利用原有的计算机设备、网络设备、业务应用系统、数据等的投资,进行平滑过渡,注重经济性,避免浪费。同时计算机与网络技术的发展是非常迅速的,通常不可能选择一种永远不过时的计算机及网络技术。
所以在构造一个信息管理系统时,应该将投资与目前的应用紧密结合起来,选用便于向更高的技术过渡的方案。
某区政务网安全现状拓扑图如图6.1所示。
图6.1 区政务网安全现状拓扑图。
1. 网络平台基本状况。
目前区政务网络平台由1台核心交换机(quidway s6506)、院内外接入交换机以及3个服务器区和外网出口等几个部分组成的。
在区电子政务内网中,各乡镇与园区通过光纤连接到中心机房,并通过汇聚交换机(quidway s3526)汇总后接入网络核心;各委办局也通过汇聚交换机(quidway s3526)汇总后接入网络核心;区**大院局域网以3com6509交换机为核心交换机接入核心网络。
网络服务器按照功能分为了三个区域,一个是对外提供服务或有公众网络需求的服务器,此区域设置在出口处的防火墙dmz区,提供对外服务。另一个区域分别是公文服务器区和oa服务器区,数据库、oa、电子政务等服务器分别连接到一台汇聚交换机(quidway s3526)。一台千兆联想防火墙(联想网御防火墙2000fwe-t3)上实施安全策略以控制用户对这些服务器的访问。
**服务器和**采集服务器均直接接入核心交换机(quidway s6506)。区**的各种服务器通过汇聚形成服务器群,统一连接到核心交换机。对于web、oa和经济分析系统采用了双机热备,共用磁盘阵列,集中式存取重要数据。
外网出口有三个,政务外网用户通过防火墙(华依千兆防火墙hy-f2000ku)接入区核心网络,通过pstn访问区内网的用户经过拨号路由设备(quidway r2621+rt-6am)接入网络,internet访问用户则通过防火墙(华依百兆防火墙hy-f2000k)接入区核心网络。
2. 网络安全状况。
从安全拓扑图可以看出,区电子政务外网的网络是一个多连接的网络。多连接体现为网络连接既有节点内部不同网段的连接(如区府大院内各部门间的连接),又有节点间的连接(如区府电子政务系统与各局委办专用网络的连接),同时还存在外部连接(与国际互联网的连接)。
如果将网络结构,按照应用系统严格划分,每种应用都运行在独立的网络中,那么网络中用户相互信任程度就很高,安全问题会降低到最小。但是实际情况不允许这样划分,主要原因在于主机设备、网络设备以及通讯线路的共用,不同应用间也要交换数据。如果进行硬性的划分必然造成投资、管理以及维护工作难度的加大。
主机为支持多种应用而开放了多种网络服务,客户端通过特定的通讯线路执行某种特定应用程序的同时,这条线路也可以用来执行非必要的网络服务,这样就产生了非法访问和黑客攻击的可能。
目前区政务网均统一部署了防毒软件:采用瑞星防病毒系统。各自按照部门划分了vlan,进行访问控制。
并分别部署有2台百兆鹰眼入侵检测系统,与防火墙形成联动,其主要的安全设备如表6.1所示。
表6.1 某区电子政务网目前主要安全设备表。
3. 安全系统需求。
由于政务外网将承载区大部分的应用系统,并同互联网逻辑隔离,因此受到的安全威胁较大,也比较复杂。政务外网的安全需求主要来自应用系统安全、网络及系统技术安全、安全基础措施和支撑性基础措施四个方面:
1) 应用系统安全。
本期政务外网建成后,将运行多个应用系统,如邮件交换系统、公文流转系统、oa系统等等,这些应用系统对政务外网的接入单位提供服务。需要通过认证授权、应用审计和运行监控等对这些应用系统的正常运行进行保护。
株洲学院机房网络工程设计方案
计算机系教师机房网络工程设计方案。1.1 项目背景。株洲学院数学与信息工程学院计算机系现在教师30名,2007年新招聘9名,共计39名。目前教师机房办公室组成如表1 1所示。大多数教师需要在机房办公。表1 1 教师机房办公室组成。目前教师机房采用hub互连的共享式网络,随着教师机位的增加,网络的性能...
校园网络安全防范实例
防火墙是设置在被保护网络与外部网络之间的一道屏障,实现网络的安全保障,以防止发生不可 的,潜在的破坏性入侵。防火墙本身具有较强的抗攻击能力,他是提供网络安全服务,实现网络安全的基础设施,严峻的网络安全形势,促进了防火墙技术的不断进步,防火墙的产品也有很多。本案例主要采用工具软件例如天网防火墙,搭建和...
铁路车站安全防范工程设计
姓名 xxx部门 xxx日期 xxx 铁路车站安全防范工程设计。一般规定。1本节内容适用于新建 改建 扩建的国家铁路车站的安全防范工程。2铁路车站安全防范系统设计应考虑与消防报警 内部业务管理等有关系统联动。3铁路车站安全防范系统工程设计应考虑 音频 控制信号的远程传输,按用户要求提供远程传输接口 ...