【正文】 決不僅僅是一個防火墻，它應是包括入侵測檢（IDS） 、虛擬專用網(wǎng)（VPN）等功能在內(nèi)的立體的安全防護體系；其次真正的網(wǎng)絡安全一定要配備完善的高質(zhì)量的安全維護服務，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。限制對內(nèi)部資源和系統(tǒng)的訪問范圍。由于 Windows NT 系統(tǒng)的復雜性，以及系統(tǒng)的生存周期比較短，系統(tǒng)中存在大量已知和未知的漏洞，一些國際上的安全組織已經(jīng)發(fā)布了大量的安全漏洞，其中一些漏洞可以導致入侵者獲得管理員的權限，而另一些漏洞則可以被用來實施拒絕服務攻擊。在網(wǎng)絡中，有三種方式可以訪問 NT 服務器：　?。?）通過用戶帳號、密碼、用戶組方式登錄到服務器上，在服務器允許的權限內(nèi)對資源進行訪問、操作。針對這個部分的安全控制可以采取特殊的安全策略，同時利用相關的軟件對系統(tǒng)進行配置、監(jiān)控。■竊聽和重放攻擊 (Snooping and Replay Attacks): 竊聽攻擊涉及某個對網(wǎng)絡上的兩臺機器之間的通訊流進行偵聽的入侵者。? 審計：它要求對使用身份標識和認證的機制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關安全事件進行記錄，以便系統(tǒng)管理員進行安全跟蹤。計算機專網(wǎng)安全產(chǎn)品解決方案. 數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。下面列舉了一些路由器所存在的主要安全風險：■ 路由器缺省情況下只使用簡單的口令驗證用戶身份，并且遠程 TELNET 登錄時以明文傳輸口令。如利用公共的郵件服務器進行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎；利用 sendmail 的漏洞直接入侵到郵件服務器的主機等。不能防止未經(jīng)驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。整個廣域網(wǎng)網(wǎng)絡系統(tǒng)是一個典型的星形拓樸型結構，主要負責傳輸國家、省、市、縣政府間的文字、圖像和視頻信息。在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡上任何一個安全漏洞都會給黑客以可乘之機。目前，黑客的主要攻擊方式有：計算機專網(wǎng)安全產(chǎn)品解決方案欺騙：通過偽造 IP 地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權使用，例如盜用撥號帳號。黑客通常通過檢查運行 nfsd 或 mountd 的那些主機輸出的 NFS 開始入侵，有時候一些重要目錄（例如/etc，/home ）能被一個信任主機 mount。. 典型的黑客攻擊黑客們進行網(wǎng)絡攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞，還有的是出于好奇或者滿足自己的虛榮心。尤其對于政府和軍隊而言，如果網(wǎng)絡安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。經(jīng)濟服務中心：批文、辦事程序等數(shù)據(jù)以上諸項信息內(nèi)容除已說明以外，其余都為文字、數(shù)字等形式。重大事件處理：綜合治理、災害、汛情、交通等方面的文字、圖像及視頻信息。宏觀信息：包括國際、國內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟數(shù)據(jù)，每日信息，重要會議，重大事件。一方面，國務院、省政府需要某市政府上報大量信息，如地方經(jīng)濟運行狀況、經(jīng)濟規(guī)劃、社會治安情況等；另一方面，某市政府也需要及時了解國家有關政策、法規(guī)的最新情況。核心節(jié)點與 SDH 環(huán)通過物理光纖連接，把市內(nèi)和市外兩部分連通，組成完整的政府專網(wǎng)網(wǎng)絡平臺。專網(wǎng)內(nèi)部進行邏輯分割，采用防火墻隔離、審計檢測等措施，建立有效的網(wǎng)絡安全防范體系，以滿足國家黨政機關網(wǎng)絡可傳送普密級信息的通信安全保密要求。目前已經(jīng)完成網(wǎng)絡平臺、系統(tǒng)集成、系統(tǒng)商務標的招投標工作，正在抓緊進行網(wǎng)絡平臺建設及相關設備的訂購采購工作。國 務 院 專 網(wǎng) 的 幀 中 繼 專 線 接 入 到 CISCO 路 由 器 ， 再 經(jīng) 過 防 火 墻 （ 中 科 院 的安 勝 （ ERCIST） 防 火 墻 ） ， 以 百 兆 方 式 接 入 核 心 節(jié) 點 的 接 入 交 換 機 。第四，市政府與計算機專網(wǎng)安全產(chǎn)品解決方案市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁。行業(yè)數(shù)據(jù)：科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。作為信息安全的保障，我們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡安全產(chǎn)品，將安全風險降至最低。在隨后的不到一個月的時間里，又先后有微軟、ZDNet 和 E*TRADE 等著名網(wǎng)站遭受攻擊。網(wǎng)絡偵探和信息收集，在利用 Inter 開始對目標網(wǎng)絡進行攻擊前，典型的黑客將會對網(wǎng)絡的外部主機進行一些初步的探測。在對外部主機掃描之后，黑客就會對主機是否易受攻擊或安全有一個正確的判斷。數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對信息進行非法的修改，例如，刪除系統(tǒng)內(nèi)的重要文件，破壞網(wǎng)站數(shù)據(jù)庫等。計算機專網(wǎng)安全產(chǎn)品解決方案2. 安全架構分析與設計邏輯上，某市政府系統(tǒng)計算機專網(wǎng)將劃分為三個區(qū)域：數(shù)據(jù)發(fā)布區(qū)、局域網(wǎng)用戶、遠程其他用戶。具體情況如下：（東北大院以外）73 家單位采用物理光纖分別接入四個匯集點。這些系統(tǒng)很容易成為外部網(wǎng)絡攻擊的目標或跳板。在某市政府存在各種 WWW 服務，這些服務協(xié)議或多或少存在安全隱患?！?每個管理員都可能使用相同的口令，因此，路由器對于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計的能力。如何保證和加強數(shù)據(jù)庫系統(tǒng)的安全性和保密性對于網(wǎng)絡的正常、安全運行至關重要。比如下面的一些安全隱患：■“拒絕服務”攻擊 (Denial of Service Attacks): 這些攻擊禁止系統(tǒng)向顧客提供服務，使顧客不能得到某種服務。■IP 欺騙 (IP Spoofing): 基于 IP 欺騙的攻擊涉及對計算機未經(jīng)授權的訪問。這是 NT 的文件系統(tǒng)的最大特點。通過對共享資源的共享權限的控制達到安全保護。必須限制管理系統(tǒng)內(nèi)各個部門之間訪問權限，維護各個系統(tǒng)的安全訪計算機專網(wǎng)安全產(chǎn)品解決方案問。重要信息在可控的范圍內(nèi)傳播，即有效的控制信息傳播的范圍，防止重要信息泄露解決網(wǎng)絡的邊界安全問題保證網(wǎng)絡內(nèi)部的安全實現(xiàn)系統(tǒng)安全及數(shù)據(jù)安全在用戶和資源之間進行嚴格的訪問控制（通過身份認證，訪問控制）建立一套數(shù)據(jù)審計、記錄的安全管理機制（網(wǎng)絡數(shù)據(jù)采集，審計）融合技術手段和行政手段，形成全局的安全管理。防火墻最大的意義在網(wǎng)絡邊界處提供統(tǒng)一的安全策略，有效的將復雜的網(wǎng)絡安全問題簡化，大大降低管理成本和潛在風險。一旦被發(fā)現(xiàn)，則報警并作出相應處理，同時可以根據(jù)預定的措施自動反應，比如暫時封掉發(fā)起該掃描的 IP。安全審計跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。? 防病毒以及特洛伊木馬計算機病毒的危害不言而喻，計算機病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結合起來，成為黑客的又一利器。我們建議某市政府系統(tǒng)計算機專網(wǎng)利用基于 證書的認證體系（目前最強的認證體系）來進行認證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機制，一方面要能讓某市政府系統(tǒng)計算機專網(wǎng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務。利用防火墻可以有效地劃分網(wǎng)絡不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別、和安全審計等功能。利用 DMZ 的隔離效果，盡量將對外服務的部分服務器放置在 DMZ 區(qū)域，通過 NAT 方式，保護內(nèi)部網(wǎng)絡免受攻擊。借助某方御防火墻提供的基于狀態(tài)包過濾技術對數(shù)據(jù)的各個方向采用全面安全的技術策略，制定嚴格完善的訪問控制策略保證從 IP 到傳輸層的數(shù)據(jù)安全。有效保護 應用的安全。電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進行阻斷。流量統(tǒng)計：防火墻提供流量統(tǒng)計功能，可以按照用戶名稱、地址等多種方式進行統(tǒng)計。. 支持政府專網(wǎng)運行著視頻會議數(shù)據(jù)（） 。其中，特別是 IDS 功能，幾乎每天都有新的安全風險和攻擊軟件出現(xiàn)。本方案中，我們主要根據(jù)某政府專網(wǎng)絡實際情況，針對防火墻的特殊性，從如下幾個方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡和外部網(wǎng)絡，對內(nèi)外網(wǎng)絡的通信進行嚴格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。計算機專網(wǎng)安全產(chǎn)品解決方案維護方便性管理的方便性直接關系到系統(tǒng)能否起到安全保護作用，某方御防火墻提供的專有 GUI 平臺，方便制訂各種安全策略。某市政府系統(tǒng)計算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡圖如下：、辦、局的安全網(wǎng)絡各區(qū)及委、辦、局的網(wǎng)絡結構節(jié)點也同樣劃分為內(nèi)部操作（控制）區(qū)、公開信息區(qū)兩個網(wǎng)段。某方御防火墻采用了三級權限機制，分為管理員，策略員和審計員。某數(shù)碼首先推出的就是某方御互聯(lián)網(wǎng)安全解決方案。方御防火墻是通過對國外防火墻產(chǎn)品的綜合分析，針對我們國家的具體應用環(huán)境，結合國內(nèi)外防火墻領域里的最新發(fā)展，在面向 IDC 和中小企業(yè)的防火墻的基礎上，提出的一種具有強大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運用的安全可靠的專用防火墻系統(tǒng)。多種工作模式 某方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。用戶完全可以通過設置一定的條件來符合自己的要求。狀態(tài)檢測 某方御防火墻可以根據(jù)數(shù)據(jù)包的地址、計算機專網(wǎng)安全產(chǎn)品解決方案協(xié)議和端口進行訪問控制，同時還對任何網(wǎng)絡連接和會話的當前狀態(tài)進行分析和監(jiān)控。備份防火墻服務器中存有主防火墻服務器的設置鏡像，當主防火墻因為某些原因不能正常運作，備份服務器可以在 12 秒鐘內(nèi)取代主服務器運作，充分保證整個網(wǎng)絡系統(tǒng)運作的穩(wěn)定性。另外，還得到了國家”863”計劃的支持。某方御防火墻是一個很優(yōu)秀的防火墻，同時它集成強大的入侵檢測功能。在某市政府系統(tǒng)計算機專網(wǎng)網(wǎng)絡管理中心需要對各委、辦、局的網(wǎng)絡安全設備進行集中管理。當防火墻工作在交換模式時，內(nèi)網(wǎng)、DMZ 區(qū)和路由器的內(nèi)部端口構成一個統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和 DMZ 區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡拓撲結構和各主機和設備的網(wǎng)絡設置。自身安全性防火墻作為網(wǎng)絡系統(tǒng)中的一個部件，其自身的安全性也是十分重要的，考慮到實際情況，某方御防火墻提供單獨的管理接口，管理接口服務全部關閉，同時管理接口的特殊管理數(shù)據(jù)采用標準加密算法和措施。硬件方式采用心跳線方式，當系統(tǒng)檢測到故障，也將進行切換。系統(tǒng)能夠識別 連接，保證 數(shù)據(jù)通過。. 帶寬分配，流量管理在專網(wǎng)上運行著部分重要的業(yè)務數(shù)據(jù)，這些業(yè)務數(shù)據(jù)實時性要求高，必須保證這樣的數(shù)據(jù)具有優(yōu)先權限，防止因為帶寬問題影響應用。同時系統(tǒng)提供針對各種統(tǒng)計結果按照用戶要求進行報表打印。而這個數(shù)據(jù)庫可以實時更新、升級。通過 IPMAC 地址捆綁，也可以對后期數(shù)據(jù)日志分析帶來一定的方便性。防止內(nèi)部員工對外網(wǎng)資源的非法訪問。綜合考慮某市政府網(wǎng)絡安全實際情況，在本方案中采用某數(shù)碼的某方御復合型防火墻，放置在網(wǎng)絡連接的各個節(jié)點間。管理員負責防火墻的開關及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權機制，這樣他們共同地負責起一個安全的管理平臺。但對于需要和外界溝通的實際應用系統(tǒng)來說，完全的物理隔離是行不通的。能減少惡意網(wǎng)絡攻擊或者意外災害帶來的破壞性損失。通過 VPN 的加密通道，數(shù)據(jù)被加密后傳輸，保證了遠程數(shù)據(jù)傳輸?shù)陌踩?。所以，在應用入侵檢測系統(tǒng)計算機專網(wǎng)安全產(chǎn)品解決方案時，千萬不要因為有了入侵檢測系統(tǒng)，就不對系統(tǒng)中的安全隱患進行及時補救。網(wǎng)絡安全漏洞掃描器是“先敵發(fā)現(xiàn)” ，未雨綢繆。計算機專網(wǎng)安全產(chǎn)品解決方案. 網(wǎng)絡安全解決方案的組成針對前文對黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡安全，某數(shù)碼提出了兩個理念：立體安全防護體系和安全服務支撐體系。有效防止攻擊行為。通過對文件權限的限制和對 IP 的選擇，對登錄用戶的認證可以在安全性上做到一定的保護。通過一系列的管理工具，以及對用戶帳號、口令的管理，對文件、數(shù)據(jù)授權訪問，執(zhí)行動作的限制，以及對事件的審核可以使 Windows NT達到 C2 級安全。必須對這些風險加以控制。這也可能導致某種“拒絕服務”攻擊。? 個人身份標識與認證：它主要為了確定身份，如用戶登陸時采用擴展的 DES 算法對口令進行加密。同時系統(tǒng)的 DNS 采用 UDP 協(xié)議，因為 UDP 協(xié)議是非面向連接的協(xié)議，對系統(tǒng)中的 DNS 等相關應用帶來安全風險。路由器是網(wǎng)絡的核心部件，路由器的安全將直接影響整個網(wǎng)絡的安全。EMail由于郵件服務器軟件的眾多廣為人知的安全漏洞，郵件服務器成為計算機專網(wǎng)安全產(chǎn)品解決方案進行遠程攻擊的首選目標之一。單點接入示意圖如下：市區(qū)外各部門邏輯分布圖如下圖：計算機專網(wǎng)安全產(chǎn)品解決方案. 主要應用服務的安全風險應用服務系統(tǒng)中各個節(jié)點有各種應用服務，這些應用服務提供給各級部門或單位使用。計算機專網(wǎng)安全產(chǎn)品解決方案. 某在全國政府專網(wǎng)中的位置政府專網(wǎng)是由國家、省、市及縣級政府部門共同組成的全國性廣域網(wǎng)。. 網(wǎng)絡與信息安全平臺的任務網(wǎng)絡與信息安全平臺的任務就是創(chuàng)建一個完善的安全防護體系，對所有非法網(wǎng)絡行為，如越權訪問、病毒傳播、惡意破壞等等，事前預防、事中報警并阻止，事后能有效的將系統(tǒng)恢復。獲得對有弱點的網(wǎng)絡組成的訪問權，在攻克了一個服務程序后，黑客就要開始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進制文件，使其以后可以不被發(fā)覺地訪問該主機。確認信任的網(wǎng)絡組成，一般而言，網(wǎng)絡中的主控主機都會受到良好的安全保護，黑客對這些主機的入侵是通過網(wǎng)絡中的主控主機的信任成分來開始攻擊的，一個網(wǎng)絡信任成員往往是主控主機或者被認為是安全的主機。僅在美國，每年由于網(wǎng)絡安全問題造成的經(jīng)濟損失就超過 100 億美元。Inter 的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊、企業(yè)、個人的利益休戚相關的“大事情” 。會計核算中心：財務數(shù)據(jù)