【正文】 和監(jiān)控。目前關(guān)鍵的是實(shí)現(xiàn)與防火墻的聯(lián)動， ISS 支持 OPENSEC協(xié)議，能很好地支持目前我們升級的 CheckPiont 防火墻實(shí)現(xiàn)聯(lián)動，從而增加動態(tài)響應(yīng)攻擊事件的能力。 ? 文件 /應(yīng)用服務(wù)器 一旦文件 /應(yīng)用服務(wù)器遭到病毒的侵害，任何訪問此服務(wù)器上以受病毒感染的資源的客戶機(jī)，都將難逃厄運(yùn)。 5. 應(yīng)具備最先進(jìn)的檢測清除病毒的功能。 基于以上考慮，我們建議采用趨勢防病毒系統(tǒng)，其特點(diǎn)表現(xiàn)在： 采用“層層設(shè)防，集中控管”的網(wǎng)絡(luò)防毒體系結(jié)構(gòu)，其中包括客戶工作站、郵件服務(wù)器 、網(wǎng)關(guān)服務(wù)器以及集中控管工具的完整防毒產(chǎn)品線，為該體系結(jié)構(gòu)的貫徹實(shí)施提供了切實(shí)保證，將所有病毒都拒之于系統(tǒng)以外。如圖 所示： 42 SiI n t e r n e tW E B E m a i lD D N移 移 移 移C h e c k P o i n t F W 1D M Z地 稅 內(nèi) 部 網(wǎng)外 部 連 接 網(wǎng)對 外 服 務(wù) 網(wǎng)移 移移 移移 移 移 移移 移 移 移V i G a p 隔 離 網(wǎng) 閘移 移 移 移 移 移小 型 機(jī)CC防 病 毒 客 戶 端C郵 件 防 病 毒系 統(tǒng)V i G a p 隔 離 網(wǎng) 閘接 入 路 由 器防 病 毒 網(wǎng) 關(guān)Si 四、售后服務(wù)與培訓(xùn) 售后服務(wù) 我們提供的售后服務(wù)內(nèi)容主要包括以下幾個方面： 電話支持 提供專用售后服務(wù)技術(shù)電話，為用戶進(jìn)行有關(guān)產(chǎn)品使用的電話答疑和操作指導(dǎo)等?？梢酝ㄟ^網(wǎng)上更新的方式進(jìn)行升級。偉思公司和各相關(guān)安全廠商在培訓(xùn)前會準(zhǔn)備好相應(yīng)的培訓(xùn)教材 ,包括產(chǎn)品技術(shù)培訓(xùn)教材和相應(yīng)的 PPT 文檔等，培訓(xùn)講師由偉思公司和相關(guān)廠商的資深技術(shù)人員擔(dān)任，培訓(xùn)地點(diǎn)將與貴單位協(xié)商后確定。 ] 46 五、系統(tǒng)預(yù)算 序號 產(chǎn)品名稱 規(guī)格型號 單位 數(shù)量 單價 金額 1 隔離網(wǎng)閘 VIGAP 100150 偉思隔離網(wǎng)閘（不含 WEB 和EMAILL 模塊） 臺 1 2 隔離網(wǎng)閘 ViGAP 100750 偉思隔離網(wǎng)閘（含 WEB 和EMAILL 模塊） 臺 1 3 防病毒軟件 趨勢科技防毒墻（網(wǎng)絡(luò)版 +服務(wù)器版 + 網(wǎng)關(guān) + 郵件 + 集中管理，750 用戶） 套 1 總 計 珠海經(jīng)濟(jì)特區(qū)偉思有限公司 .4 47 目 錄 一、網(wǎng)絡(luò)安全概述 ........................................................... 1 信息系統(tǒng)潛在的安全風(fēng)險分析 ....................................... 1 網(wǎng)絡(luò)安全設(shè)計模型 ................................................ 4 二、 XX 市地方稅務(wù)局網(wǎng)絡(luò)安全環(huán)境分析 ......................................... 6 地稅現(xiàn)有網(wǎng)絡(luò)安全環(huán)境 ........................................... 6 目前網(wǎng)絡(luò)環(huán)境存在的安全風(fēng)險 ...................................... 8 重要網(wǎng)絡(luò)資源 ............................................. 8 目前采取的措施及風(fēng)險分析 ................................. 8 市地方稅務(wù)局的安全目標(biāo) ........................................ 10 整體安全策略 .................................................... 12 三、 XX 地稅系統(tǒng)安全設(shè)計 .................................................... 13 身份認(rèn)證及基礎(chǔ)安全服務(wù)系統(tǒng)設(shè)計 ................................. 14 訪問控制與數(shù)據(jù)加密系統(tǒng)設(shè)計 ...................................... 20 VPN 系統(tǒng)設(shè)計 ............................................ 22 隔離網(wǎng)閘系統(tǒng)設(shè)計 ........................................ 26 內(nèi)網(wǎng)認(rèn)證環(huán)境設(shè)計 ........................................ 32 防火墻設(shè)計 .............................................. 33 動態(tài)檢測系統(tǒng)設(shè)計 ................................................ 36 入侵檢測系統(tǒng)設(shè)計 ........................................ 37 防病毒系統(tǒng)設(shè)計 .......................................... 38 四、售后服務(wù)與培訓(xùn) ........................................................ 42 售后服務(wù) ............................................................... 42 培訓(xùn)計劃 ............................................................... 44 五、系統(tǒng)預(yù)算 .............................................................. 46 。 培訓(xùn)對象 培訓(xùn)的對象主要分為貴單位的安全管理人員、技術(shù)人員，另外，參加培訓(xùn)的人員還會有相關(guān)的代理商、集成商的技術(shù)人員等。在確認(rèn)需要現(xiàn)場支持后，按照故障級別，會采取不同級別的現(xiàn)場技術(shù)支持 。在 DMZ 區(qū)我們針對郵件服務(wù)建立內(nèi)置于郵件服務(wù)器的郵件網(wǎng)關(guān)防毒系統(tǒng)，該系統(tǒng)以透明方式實(shí)時清除郵件附件病毒以及宏病毒將報警信息郵寄管理員并自動跟蹤病毒來源。 病毒定義碼和掃描病毒引擎的更新必須快速方便。 40 4. 應(yīng)該能夠在各條可能感染病毒的途徑上防止病毒。如果此客戶機(jī)再去訪問企業(yè)網(wǎng)絡(luò)內(nèi)的其他資源，它就會把這些病毒繼續(xù)傳播下去。 發(fā)現(xiàn)攻擊行為后，入侵監(jiān)測系統(tǒng)的響應(yīng)器將根據(jù)預(yù)先設(shè)定的響應(yīng)方式對攻擊行為做出響應(yīng)，如 中斷 TCP會話、偽造 ICMP應(yīng)答、通過防火墻阻斷 等。主機(jī)入侵檢測可以實(shí)現(xiàn)對注冊表、關(guān)鍵文件、事件日志和撥號狀態(tài)等方面的監(jiān)測功能。它的“攝像頭”連接在網(wǎng)絡(luò)的主要節(jié)點(diǎn)上，偵聽、分析網(wǎng)絡(luò)流量；它的“監(jiān)視器”安裝在網(wǎng)絡(luò)安全管理員的主機(jī)上，以便隨時發(fā)覺網(wǎng)絡(luò)中的入侵行為。 防火墻 Inter接口對安裝有 VPN客戶端的稅務(wù)移動終端進(jìn)行證書驗(yàn)證并加密，驗(yàn)證通過的用戶將通過 DHCP 分配訪問內(nèi)網(wǎng)的 VLAN 地址、 DNS等參數(shù)，然后開放對內(nèi)網(wǎng)核心防火墻的訪問權(quán)限，該訪問以NAT方式配置。對于其它連接用戶，僅開放 DMZ 區(qū) 80、 25 和 110端口，并在 WEB 服務(wù)器上配置 HTTPS服務(wù)。已有的防火墻包括地稅內(nèi)網(wǎng)訪問 Inter的華依防火墻一臺和保護(hù) DMZ區(qū) WEB站點(diǎn)的 CheckPoint防火墻一臺。偉思 ViGap100隔離網(wǎng)閘系統(tǒng)提供用戶名口令、 Radius在內(nèi)的認(rèn)證方式，根據(jù)地稅的具體情況，我們選用用戶名 /口令方式實(shí)現(xiàn)認(rèn)證。同時，對高層協(xié)議進(jìn)行規(guī)則設(shè)置能將協(xié)議命令限制在最小范圍，從而實(shí)現(xiàn)對訪問的細(xì)粒度控制，有效增強(qiáng)網(wǎng)絡(luò)的安全防御能力。 由于訪問請求包括來自 WEB、地稅內(nèi)部辦公網(wǎng)和外部連接網(wǎng)的訪問，因此，隔離網(wǎng)閘最大并發(fā)連接數(shù)應(yīng)保證在 750 以上，才能較可靠的滿足應(yīng)用訪問的需求。這時，抽屜和里面的東西對顧客來說變得不可訪問。這樣在運(yùn)行效率和安全性上都有保證。 IntraVPN通過一個使用專用連接的共享基礎(chǔ)設(shè)施，連接企業(yè)總部、遠(yuǎn)程辦事處和分支機(jī)構(gòu)。 AccessVPN能使用戶隨時、隨地以其所需的方式訪問企業(yè)資源。 XX地稅系統(tǒng)中包括視頻會議、 WEB 服務(wù)、 GIS 應(yīng)用等在內(nèi)的 不同的業(yè)務(wù)對服務(wù)質(zhì)量 、延遲等特性 保證的要求差別較大。從以上我們可以看出，隔離網(wǎng)閘在網(wǎng)絡(luò)邊界處強(qiáng)有力地保證了內(nèi)外網(wǎng)的隔離和訪問控制的實(shí)現(xiàn)。我們部署了兩臺隔離網(wǎng)閘系統(tǒng)，一臺處于 Inte入口處用于防御針對 WEB 服務(wù)器群以及地稅內(nèi)部辦公網(wǎng)發(fā)動的各類基于網(wǎng)絡(luò)及協(xié)議漏洞的各類攻擊，另一臺處于核心防火墻與數(shù)據(jù)庫前置機(jī)之間，用于隔離保護(hù)整個數(shù)據(jù)庫區(qū)域。 。對于XX 地稅 WEB、報稅等應(yīng)用系統(tǒng)來說，可以在程序開發(fā)階段利用安全中間件或 CA廠家提供的接口 API 實(shí)現(xiàn)對數(shù)字證書認(rèn)證與加密方式的支 20 持。 ：作為 PKI 系統(tǒng)的注冊中心， RA 是 LRA和 CA 之間通訊的使者。 用戶 只需通過駐留在企業(yè)內(nèi)部的前臺系統(tǒng)對后臺的 用戶 PKI 進(jìn)行遠(yuǎn)程控制、監(jiān)管，以對用戶提供證書生命周期的各項服務(wù)。這就要求這些網(wǎng)絡(luò)的 CA 系統(tǒng)實(shí)現(xiàn)交叉驗(yàn)證，由于電子政務(wù)系統(tǒng)廣泛采用PKI/CA體系，因此可實(shí)現(xiàn)地稅系統(tǒng)與個系統(tǒng)間的交叉驗(yàn)證，實(shí)現(xiàn)系統(tǒng)資源的共享。 三、 XX 地稅系統(tǒng)安全設(shè)計 14 身份認(rèn)證及基礎(chǔ)安全服務(wù)系統(tǒng)設(shè)計 目前廣泛采用的認(rèn)證體系是基于 PKI 公鑰體制的 CA 體系，該體 系基于公鑰體制建立，具有極強(qiáng)的安全性，已經(jīng)成為國際標(biāo)準(zhǔn)認(rèn)證模式。 地稅服務(wù)器網(wǎng)安全策略： 1. 升級 Checkpoint FW 至最新軟件版本，作為核心防火墻負(fù)責(zé)將 對外服務(wù)網(wǎng)、服務(wù)器網(wǎng)、內(nèi)部網(wǎng)以及其它連入地稅的網(wǎng)絡(luò)邏輯隔斷，并控制訪問規(guī)則。網(wǎng)絡(luò)監(jiān)控同樣具有非凡的意義，攻擊行為一旦成功，將具有極強(qiáng)的隱蔽性，尤其對于類似 XX 地稅這樣的龐大系統(tǒng)來說，發(fā)現(xiàn)潛藏在系統(tǒng)中的惡意進(jìn)程更是困難，往往借助網(wǎng)絡(luò)監(jiān)控工具我們才能有效地發(fā)現(xiàn)異常的活動，從而進(jìn)一步對其定位。在 XX 市地稅的實(shí)際環(huán)境中，我們可以通過部署新的安全產(chǎn)品將四個子網(wǎng)分開，并嚴(yán)格限制它們之間的訪問范圍和端口，將風(fēng)險域限定在一個 盡量小的范圍，縮小收攻擊的可能性。該網(wǎng)絡(luò)存在的風(fēng)險包括：一是內(nèi)部沒有完整統(tǒng)一的防病毒系統(tǒng)，由于其內(nèi)網(wǎng)用戶大量訪問互聯(lián)網(wǎng)，因此，遭病毒攻擊的可能性極高，沒有統(tǒng)一的防病毒體系，整個網(wǎng)絡(luò)將面臨全面被病毒感染的風(fēng)險；二是黑客有可能利用該網(wǎng)絡(luò)攻擊服務(wù)器網(wǎng)段，內(nèi)部客戶機(jī)在網(wǎng)上無意觸發(fā)的惡意 JAVA 小程序、 ActivX控件都有可能使黑客獲得跳板攻擊服務(wù)器網(wǎng)段，或是以反彈方式旁路防火墻，這些 攻擊威脅很大，極容易突破防御。而前置機(jī)更多的是考慮應(yīng)用而設(shè)計的，在安全防護(hù)方面做得很少，漏洞很多。外部連接網(wǎng)主要是同政府其它職能部門互連，實(shí)現(xiàn)信息的互連互通。 二、 XX 市地方稅務(wù)局網(wǎng)絡(luò)安全環(huán)境分析 地稅現(xiàn)有網(wǎng)絡(luò)安全環(huán)境 XX市地方稅務(wù)局計算機(jī)網(wǎng)絡(luò)已經(jīng)構(gòu)成了一個覆蓋 全市各分局以及相關(guān)政府職能部門的大型現(xiàn)代化網(wǎng)絡(luò)，同時，還通過高速寬帶線路實(shí)現(xiàn)了網(wǎng)上稅局以及內(nèi)部用戶的互聯(lián)網(wǎng)訪問，充分利用了先進(jìn)的 WEB 技術(shù)來加速提高稅務(wù)辦公的效率和透明度。身份的標(biāo)識和鑒別是對訪問者授權(quán)的前提，并通過審計機(jī)制使系統(tǒng)保留追究用戶行為責(zé)任的能力。這種情況可導(dǎo)致管理中某些環(huán)節(jié)多重控制，而某些環(huán)節(jié)缺乏控制，造成信息系統(tǒng)的無序運(yùn)行，嚴(yán)重時導(dǎo)致雪崩式的安全漏洞和脆弱性；對信息系統(tǒng)管理員、信息安全管理員、機(jī)密信息操作員和存儲介質(zhì)管理員等的審查、錄用、素質(zhì)和道德培養(yǎng)以及調(diào)離、解聘各個環(huán)節(jié)中，管 理制度及執(zhí)行中出現(xiàn)的漏洞和疏忽。 常見的錯誤有在數(shù)據(jù)輸入、文檔編排等過程中相應(yīng)人員出現(xiàn)的操作失誤，而應(yīng)用軟件又缺乏必要的輸入數(shù)據(jù)合法性、有效性檢查機(jī)制，將導(dǎo)致處理結(jié)果的錯誤；數(shù)據(jù)在傳輸過程中出現(xiàn)錯誤，可能是傳輸數(shù)據(jù)中途被篡改，也包括傳輸?shù)哪康牡劐e誤，這種錯誤多數(shù)都與傳輸線路和設(shè)備密 切聯(lián)系，導(dǎo)致信息完整性的破壞和將信息傳輸給未授權(quán)者 。 （ 2） 無意錯誤風(fēng)險 在信息系統(tǒng)的信息處理、傳輸、存儲、維護(hù) 等過程中，由于人 2 為或系統(tǒng)原因造成的錯誤影響信息的完整性，有時也會影響信息的機(jī)密性和可用性，在一些情況下，錯誤是一種風(fēng)險（如操作員數(shù)據(jù)輸入或存取錯誤將導(dǎo)致信息的泄露、篡改和丟失）；而在一些情況下，錯誤可能帶來新的脆弱性（如錯誤地將信息存取權(quán)提供給未授權(quán)者）。 常見的