惠州法院网络安全解决实施方案书Word文件下载.docx
《惠州法院网络安全解决实施方案书Word文件下载.docx》由会员分享,可在线阅读,更多相关《惠州法院网络安全解决实施方案书Word文件下载.docx(23页珍藏版)》请在冰豆网上搜索。
6.1基本服务部分23
6.1.1产品质保服务23
6.1.27×
24小时电话、E-MAIL技术支持服务23
6.1.37×
24小时现场维护服务24
6.1.4软件升级与更新服务24
6.1.5现场安装服务24
6.1.6现场培训服务24
6.2扩展服务部分24
6.2.1产品功能模块升级服务24
6.2.2部件/整机升级服务25
6.2.37×
24小时现场维护服务<
质保期外)25
6.3增值服务部分25
6.4安全服务部分25
6.4.1安全系统咨询服务26
6.4.2安全系统评估服务26
6.4.3安全日志分析服务26
6.4.4安全漏洞通报服务26
6.4.5紧急事件响应27
1网络系统简况
1.1网络简况
惠州中级法院内部局域网采用千兆快速以太网组网技术,为整个单位内办公的各部门提供了一个快速、方便的信息交流平台。
不仅如此,通过专线与Internet的连接,打通了一扇通向外部世界的窗户,各个部门可以直接与互联网用户进行交流、查询资料等。
通过WEB服务器,企业可以直接对外发布信息。
灵活的网络互连方案设计为惠州中级法院内部用户提供快速、方便、灵活通信平台的同时,也为内部网络的安全带来了更大的风险。
因此,在现有网络上实施一套完整、可操作的安全解决方案不仅是可行的,而且是必需的。
1.2网络结构
惠州中级法院的内部局域网按访问区域建议划分为三个主要的区域:
Internet区域、内部网络、服务器区域。
内部网络建议按照所属的部门、职能、安全重要程度将内部网络通过划分VLAN的方式进行隔离。
1.3网络结构特点
在分析惠州中级法院局域网的安全风险时,主要考虑到网络的如下几个特点:
1.网络与Internet直接连结,因此在进行安全方案设计时要考虑与Internet连结的有关风险,包括可能通过Internet传播进来病毒,黑客攻击,来自Internet的非授权访问等。
2.网络中的对外提供服务的服务器<
如WEB服务),因为WEB服务器对外必须开放部分业务,因此在进行安全方案设计时应该考虑采用安全服务器网络,避免web服务器的安全风险扩散到内部。
3.单位内部网络中存在许多不同的部门,将不同功能和安全级别的网络分割开,这可以通过交换机划分VLAN来实现。
4.网络中的数据库服务器,通过防火墙的访问控制之后,还必须考虑加强用户登录验证,防止非授权的访问。
5.内部主机的病毒防护以及查杀,建议考虑网络版的防病毒产品,支持客户端自动升级、自动安装功能
总而言之,在进行该网络安全方案设计时,根据惠州中级法院内部局域网的特点,根据产品的性能、价格、潜在的安全风险进行综合考虑。
2网络系统安全风险分析
随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。
原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;
另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。
针对惠州中级法院局域网中存在的安全隐患,在进行安全方案设计时,下述安全风险我们必须要认真考虑,并且要针对面临的风险,采取相应的安全措施。
下述风险由多种因素引起,与惠州中级法院局域网结构和系统的应用、局域网内网络服务器的可靠性等因素密切相关。
下面列出部分这类风险因素:
网络安全可以从以下三个方面来理解:
1网络物理是否安全;
2网络平台是否安全;
3系统是否安全;
4应用是否安全;
5管理是否安全。
针对每一类安全风险,结合这个企业局域网的实际情况,我们将具体的分析网络的安全风险。
2.1物理安全风险分析
网络的物理安全的风险是多种多样的。
网络的物理安全主要是指地震、水灾、火灾等环境事故;
电源故障;
人为操作失误或错误;
设备被盗、被毁;
电磁干扰;
线路截获。
以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、安全意识等。
它是整个网络系统安全的前提,在这个企业区局域网内,因为网络的物理跨度不大,只要制定健全的安全管理制度,做好备份,并且加强网络设备和机房的管理,这些风险是可以避免的。
2.2网络平台的安全风险分析
网络结构的安全涉及到网络拓扑结构、网络路由状况及网络的环境等。
局域网内服务器区作为单位的信息发布平台,一旦不能运行后者受到攻击,对企业的声誉影响巨大。
同时服务器本身要为外界服务,必须开放相应的服务;
每天,黑客都在试图闯入Internet节点,这些节点如果不保持警惕,可能连黑客怎么闯入的都不知道,甚至会成为黑客入侵其他站点的跳板。
因此,单位网络的管理人员对Internet安全事故做出有效反应变得十分重要。
我们有必要将服务器、内部网络与外部网络进行隔离,避免网络结构信息外泄;
同时还要对外网的服务请求加以过滤,只允许正常通信的数据包到达相应主机,其他的请求服务在到达主机之前就应该遭到拒绝。
整个网络结构和路由状况
安全的应用往往是建立在网络系统之上的。
网络系统的成熟与否直接影响安全系统成功的建设。
在惠州中级法院的局域网络系统中,网络设备具体配置时可以考虑使用最小化配置,关闭默认开放的端口,这就大大减少了因网络结构和网络路由设备造成的安全风险。
2.3系统的安全风险分析
所谓系统的安全显而易见是指整个局域网网络操作系统、网络硬件平台是否可靠且值得信任。
网络操作系统、网络硬件平台的可靠性:
对于中国来说,恐怕没有绝对安全的操作系统可以选择,无论是Microsoft的WindowsNT或者其他任何商用UNIX操作系统,其开发厂商必然有其Back-Door。
我们可以这样讲:
没有完全安全的操作系统。
但是,我们可以对现有的操作平台进行安全配置、对操作和访问权限进行严格控制,提高系统的安全性。
因此,不但要选用尽可能可靠的操作系统和硬件平台。
而且,必须加强登录过程的认证<
特别是在到达服务器主机之前的认证),确保用户的合法性;
其次应该严格限制登录者的操作权限,将其完成的操作限制在最小的范围内。
2.4应用的安全风险分析
应用系统的安全跟具体的应用有关,它涉及很多方面。
应用系统的安全是动态的、不断变化的。
应用的安全性也涉及到信息的安全性,它包括很多方面。
应用系统的安全动态的、不断变化的:
应用的安全涉及面很广,以目前Internet上应用最为广泛的E-mail系统来说,其解决方案有几十种,但其系统内部的编码甚至编译器导致的BUG是很少有人能够发现的,因此一套详尽的测试软件是相当必须的。
但是应用系统是不断发展且应用类型是不断增加的,其结果是安全漏洞也是不断增加且隐藏越来越深。
因此,保证应用系统的安全也是一个随网络发展不断完善的过程。
应用的安全性涉及到信息、数据的安全性:
信息的安全性涉及到:
机密信息泄露、XX的访问、破坏信息完整性、假冒、破坏系统的可用性等。
对于有些特别重要的信息需要对内部进行保密的<
比如领导子网、财务系统传递的重要信息)可以考虑在应用级进行加密,针对具体的应用直接在应用系统开发时进行加密。
2.5管理的安全风险分析
管理是网络安全中最重要的部分,管理是网络中安全最最重要的部分。
责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。
责权不明,管理混乱,使得一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,而管理上却没有相应制度来约束。
当网络出现攻击行为或网络受到其它一些安全威胁时<
如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。
同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对网络的可控性与可审查性。
这就要求我们必须对通过网络的访问活动进行多层次的记录,及时发现非法入侵行为。
建立全新网络安全机制,必须深刻理解网络并能提供直接的解决方案,因此,最可行的做法是管理制度和管理解决方案的结合。
2.6黑客攻击
黑客们的攻击行动是无时无刻不在进行的,而且会利用系统和管理上的一切可能利用的漏洞。
服务器<
包括WEB以及数据库服务器)存在漏洞的一个典型例证,是黑客可以轻易地骗过公开服务器软件,得到系统的口令文件并将之送回。
黑客侵入服务器后,有可能修改特权,从普通用户变为高级用户,一旦成功,黑客可以直接远程进入系统进行破坏。
黑客还能开发欺骗程序,将其装入服务器中,用以监听登录会话。
当它发现有用户登录时,便开始存储一个文件,这样黑客就拥有了他人的帐户和口令。
因此对于服务器安全我们可以综合采用防火墙技术入侵检测技术、内部网络监控技术等来保护网络内的信息资源,防止黑客攻击。
2.7恶意代码
恶意代码不限于病毒,还包括蠕虫、特洛伊木马、逻辑炸弹、和其他未经同意的软件。
应该加强对恶意代码的检测。
2.8病毒的攻击
计算机病毒一直是计算机安全的主要威胁。
能在Internet上传播的新型病毒,例如通过E-Mail传播的病毒,增加了这种威胁的程度。
病毒的种类和传染方式也在增加,国际空间的病毒总数已达上万甚至更多。
当然,查看文档、浏览图像或在Web上填表都不用担心病毒感染,然而,下载可执行文件和接收来历不明的E-Mail文件需要特别警惕,否则很容易使系统导致严重的破坏。
2.9网络的攻击手段
一般认为,目前对网络的攻击手段主要表现在:
非授权访问:
没有预先经过同意,就使用网络或计算机资源被看作非授权访问,如有意避开系统访问控制机制,对网络设备及资源进行非正常使用,或擅自扩大权限,越权访问信息。
它主要有以下几种形式:
假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
信息泄漏或丢失:
指敏感数据在有意或无意中被泄漏出去或丢失,它通常包括,信息在传输中丢失或泄漏<
如"
黑客"
们利用电磁泄漏或搭线窃听等方式可截获机密信息,或通过对信息流向、流量、通信频度和长度等参数的分析,推出有用信息,如用户口令、帐号等重要信息。
),信息在存储介质中丢失或泄漏,通过建立隐蔽隧道等窃取敏感信息等。
破坏数据完整性:
以非法手段窃得对数据的使用权,删除、修改、插入或重发某些重要信息,以取得有益于攻击者的响应;
恶意添加,修改数据,以干扰用户的正常使用。
拒绝服务攻击:
它不断对网络服务系统进行干扰,改变其正常的作业流程,执行无关程序使系统响应减慢甚至瘫痪,影响正常用户的使用,甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。
利用网络传播病毒:
通过网络传播计算机病毒,其破坏性大大高于单机系统,而且用户很难防范。
3安全需求分析
通过前面对惠州中级法院局域网网络结构、应用及安全威胁分析,可以看出其安全问题主要集中在对内部网络主机、服务器的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。
因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到:
●内部主机的安全防护
●服务器的安全保护
●防止黑客从外部攻击
●入侵检测与监控
●信息审计与记录
●病毒防护
●数据安全保护
●网络的安全管理
针对惠州中级法院内部局域网络系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求:
1.大幅度地提高系统的安全性<
重点是可用性和可控性);
2.保持网络原有的能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置;
3.易于操作、维护,并便于自动化管理,而不增加或少增加附加操作;
4.尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展;
5.安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;
6.安全产品具有合法性,及经过国家有关管理部门的认可或认证;
7.分布实施。
4网络安全解决方案
4.1安全方案设计原则
在对这个单位局域网网络系统安全方案设计、规划时,应遵循以下原则:
综合性、整体性原则:
应用系统项目的观点、方法,分析网络的安全及具体措施。
安全措施主要包括:
行政法律手段、各种管理制度<
人员审查、工作流程、维护保障制度等)以及专业措施<
识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。
一个较好的安全措施往往是多种方法适当综合的应用结果。
一个计算机网络,包括个人、设备、软件、数据等。
这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。
即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。
需求、风险、代价平衡的原则:
对任一网络,绝对安全难以达到,也不一定是必要的。
对一个网络进行实际额研究<
包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。
一致性原则:
一致性原则主要是指网络安全问题应与整个网络的工作周期<
或生命周期)同时存在,制定的安全体系结构必须与网络的安全需求相一致。
安全的网络系统设计<
包括初步或详细设计)及实施计划、网络验证、验收、运行等,都要有安全的内容光焕发及措施,实际上,在网络建设的开始就考虑网络安全对策,比在网络建设好后再考虑安全措施,不但容易,且花费也小得多。
易操作性原则:
安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性。
其次,措施的采用不能影响系统的正常运行。
分步实施原则:
因为网络系统及其应用扩展范围广阔,随着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。
一劳永逸地解决网络安全问题是不现实的。
同时因为实施信息安全措施需相当的费用支出。
因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。
多重保护原则:
任何安全措施都不是绝对安全的,都可能被攻破。
但是建立一个多重保护系统,各层保护相互补充,当一层保护被攻破时,其它层保护仍可保护信息的安全。
可评价性原则:
如何预先评价一个安全设计并验证其网络的安全性,这需要通过国家有关网络信息安全测评认证机构的评估来实现。
4.2安全方案设计
在安全方案设计中,首先要确定安全方案所涉及到的系统单元,其次要考虑该系统单元在各个层次所提供的安全服务<
功能),最后还应考虑这些单元系统之间的逻辑关系,在整体安全体系框架下,划分成不同的安全子系统,分别提供相应的安全解决方案,才能提供全面的、合理的、有机的安全服务。
根据以上的分析,分为以下几个子系统:
●网络防火墙系统
●网络入侵检测系统
●网络防病毒系统
●内部网络监控
本期建设项目中,只考虑部署防火墙系统。
4.2.1安全结构设计
根据惠州法院的网络状况和需求,我们设计防火墙系统网拓扑结构如下:
4.2.2安全设计说明
惠州中级法院内部局域网与互联网的安全隔离,防止来自互联网对内部网络的入侵破坏以及实现对内部用户的访问控制、安全管理,建议采用成熟的防火墙技术来实现。
访问控制可通过以下几个方面的措施来实现:
●制定严格的网络访问管理制度
将内部用户的IP地址和用户名相对应,如张三的主机IP地址为192.168.1.66,可在防火墙里将192.168.1.66对应为张三,根据张山在单位内部拥有的访问权限,可制定张山的主机通过防火墙的策略,而且可通过防火墙的日志对张山的网络访问行为进行审计。
通过细化的访问控制策略来实现对内部网络的可管理型,同时可大大降低网络管理员的工作强度。
●确保防火墙在不同安全域的唯一出口处
在该方案中,防火墙应放置于惠州中级法院内部网络、互联网以及服务器区之间,通过防火墙设备,将三个安全域进行隔离,确保不同子网间的授权访问。
防火墙主要实现以下几个方面的功能:
●控制外部<
互联网)合法用户对内部网络资源的网络访问;
●控制外部合法用户对服务器的访问;
●控制内部用户对外部网络的访问;
●阻止各种可能出现的黑客攻击与入侵;
●防止内部主机的IP欺骗;
●对外隐藏内部IP地址和网络拓扑结构;
●内容过滤;
●基于时间的访问控制策略;
●网络监控与日志审计;
4.2.3优势分析
我们建议采用南山之桥XWallX6-F108防火墙保障惠州法院网络安全,具有以下特点:
1、以ASIC处理芯片为核心的先进硬件架构
和绝大多数基于X86机构的国产防火墙不同,南山之桥×
×
防火墙采用了完全自主知识产权ASIC架构,其核心部分是南山之桥微电子有限公司自主研发设计的集路由、交换、安全于一身的Xwal核心芯片。
南山之桥Xwall芯片同时还获得了“信息产业部2005年度重大技术发明奖”。
南山之桥×
防火墙采用完全自主设计的以Xwall芯片为核心的数据转发和处理板卡、RSIC处理器的管理板,专用数据分类芯片、背板构成了全新硬件架构的防火墙。
该架构将数据分类、转发、处理、管理分别交由不同的处理芯片处理,通过专门设计的数据通道相互连接,避免了传统X86架构容易产生的CPU负载过重带来的不稳定,从芯片一级保证了大流量、复杂网络环境下下的数据的线速处理和转发。
2、分布式并行处理的先进软件架构
南山之桥Xwall防火墙将防火墙的管理层运行在RSIC处理器上,数据的控制和数据层运行在Xwall芯片上,在控制层采用专门的Hash处理策略判断和连接的维护,在数据层采用流水线和并行处理技术。
这种分布式并行处理的设计可以保证即使采用低功耗处理器也能获得很高的性能,在大数据流量、大并发连接数的情况下防火墙建立连接一级其他需要较多资源的功能和性能不会受到影响,南山之桥Xwall防火墙依然可以保持线速转发。
同时分布式并行处理的软件架构避免了X86架构防火墙常见的因为系统资源耗尽或某个进程出现错误导致系统宕机,保证了即使部分软件模块运行不正常也不会影响产品整体的正常运行。
3、基于安全域的访问控制
南山之桥Xwall防火墙采用了全新的基于安全域、安全等级的访问控制模式,将传统的基于接口的访问控制提升为基于不同安全等级的安全域的访问控制。
南山之桥Xwall防火墙从体系结构上抛弃了传统防火墙的内、外、DMZ的概念,各个域间的默认安全级别是一样的,之间的安全差异由用户来定制,具有更大的灵活性。
南山之桥Xwall防火墙可以根据企业的安全需求将不同网段划分成独立的安全域,通过为这些安全域配置独立的访问控制策略来限制不同安全登记的安全域之间的相互访问,也就是说,南山之桥Xwall防火墙提供了更加细粒度的安全控制,这样即使某个低安全等级的安全域出现了安全问题,但因为受到南山之桥Xwall防火墙的控制,这些问题不会扩散和影响其它安全域。
5、丰富的管理方式和独特的带外管理
南山之桥Xwall防火墙提供安全管理员、审计管理员、系统管理员和guest等四种角色。
同时提供基于SSH、Telnet和Console的命令行管理方式、基于GUI的图形界面管理方式和基于SNMPV2的网管平台。
因为采用了独立的RSIC处理板运行防火墙的管理软件,保证了防火墙管理平面和数据平面的分离,这种在物理上的分离保证了在任何情况下防火墙管理软件都能正常运行,管理员均可通过专门的带外管理链路实现对防火墙的管理,最大程度的提升了系统的稳定性。
而传统的X86架构防火墙在网络壅塞、遭受攻击和系统资源耗尽等情况都会造成管理员对防火墙的失控。
6、高可用性
对于大型网络,用户通常会采用冗余的网络节点来避免单点失败。
为了提高南山之桥Xwall防火墙的适应能力和可扩展能力,通过避免单点失败来提高系统的可靠性功能是南山之桥Xwall防火墙一项重要的功能;
南山之桥Xwall防火墙实现了主从式双机热备功能,配置友好方便,对防火墙失效状态判断准确全面可靠,从机接管切换快,能实现秒级切换,使用户网络防火墙节点单点失效的风险最低
7、强大的日志审计
提供日志和自带的日志管理和分析工具,有利于用户进行日志分析,日志还符合SYSLOG标准格式,以便可以通过NetIQWebTrends等日志工具来进行日志分析。
8、集成的状态检测防火墙和IPsecVPN
南山之桥Xwall防火墙采用了基于状态检测的包过滤技术,实现了快速的基于源/目的IP地址、服务、用户和时间的细粒度访问控制。
通过记录新建应用连接,状态检测检查预先设置的安全规则,允许符合规则的连接通过,并在系统中记录下该连接的相关信息,生成状态表。
对该连接的后续数据包,只要符合状态检查表,就可以快速通过。
南山之桥Xwall防火墙集成了基于IPSEC协议的VPN并完全兼容并符合IPSEC标准定义,从而保证了与其它支持IPSEC的系统和设备的互联互通。
支持手工密钥和自动密钥两种协商方式并支持DES、3DES、AES、多种加密算法和MD5、SHA1、认证算法。
支持完美的前向加密,增强了数据的私密性。
支持NAT穿越、星型部署、动态对等方和透明模式下的支持。
9、硬件的流量整形和Qos保证
南山之桥Xwall防火墙带宽管理模块提供了针对带宽资源的分配控制能力,对所有网络流量划分优先级以保证关键任务的服务质量,从而确保有限的带宽资源不会因为非关键应用的过度占用而影响关键任务的服务质量。
通过在芯片中设定10级Qos从硬件层面保证了带宽管理的精确以及任何情况下均能保证关键业务获得正常带宽。
10、良好的视频和音频支持
随着应用的逐渐丰富,会有越来越多的多媒体信息在网上传播,视频会议是提高办公效率最为有效的技术手段,南山之桥Xwall防火墙可以对视频协议得到很好的支持,支持RSPT、MMS、H.323等多种协议。
芯片级的数据线速处理、转发、低延迟等特性保证了视频、音频业务的畅通,硬件的Qos设计保证了在大数据流量环境下视频和音频业务仍能获得保证。
11、完善的VLAN支持
提供对IEEE802.1Q的支持,极大的扩展了南山之桥Xwall防火墙的适应能力,使其与三层交换机配合得天衣无缝,增强了南山之桥Xwall防火墙在网络中的布置灵活性。
同时南山之桥Xwall防火墙还提供对透明模式下的IEEE802.1Q数据报得透明处理,极大地方便了用户。
12、丰富的端口
因为将路由和交换功能集成到核心处理芯片中,南山之桥Xwall防火墙可以提供多达16个百兆防火墙接口而性能依然可以保持在线速。
同时提供从8个百兆接口到两个千兆接口加8个百兆接口的不同接口组合,极大程度的丰富了用户的选择。
11、出色的性能
作为国内唯一的采用完全自主知识产权ASIC处理芯片的硬件防火墙,南山之桥Xwall防火墙天然具备了线速处理和线速转发的能力,芯片的优良交换设计同时保证了在所有接口同时工作的情况下能全部获得线速,避免了X86的总线型结构容易导致的多接口同时工作时每个接口数据流量的大幅度下降。
分布式的软件设计保证了在大流量、高并发的情况下防火墙仍能保持很高的处理能力,新建连接和其他处理密集型业务的性能仍不会下降,避免了X86防火墙容易出现的,打开抗攻击、内容过滤等功能后性能的急剧下降。
12、对复杂网络环境的良好适应性
南山之桥Xwall防火墙支持透明、路由、混合模式的接入,保证了一些依赖网络拓扑的用户关键业务的正常运行。
优化的软硬件设计保证了防火墙能
升级会员 