【正文】 ......................................................................73. 設(shè)備場地、通信 ......................................................................................................73. 機房環(huán)境 ..................................................................................................................73. 驗收清單 ..........................................................................................................................75. 設(shè)備開箱驗收清單 ..................................................................................................75. 用戶信息清單 ..........................................................................................................75. 用戶驗收清單 ..........................................................................................................767. 方案整體優(yōu)勢 ..........................................................................................................................788. 方正方御防火墻榮譽證書 ......................................................................................................791. 背景介紹政府專網(wǎng)是寧波市政府信息化建設(shè)的基礎(chǔ)工程，是以寧波市政府東、北大院計算機局域網(wǎng)為核心，以寬帶光纖網(wǎng)絡(luò)為通信平臺，圍繞業(yè)務(wù)管理、數(shù)據(jù)交換、語音通信、重大事件處理、視頻會議等應(yīng)用，覆蓋寧波市各縣（市）、區(qū)政府，市政府各部門，市委辦、人大辦、政協(xié)辦及市委各工作部門等，并與全國、全省政府專網(wǎng)聯(lián)接，共約122個節(jié)點的城域網(wǎng)。政府專網(wǎng)以市政府辦公廳為核心節(jié)點，在市區(qū)內(nèi)采用4個匯集點，各節(jié)點用物理光纖就近接入?yún)R集點。政府專網(wǎng)采用CISCO的WORKS2022 FOR NT作為網(wǎng)管軟件。網(wǎng)上辦公：公文及業(yè)務(wù)工作網(wǎng)上辦理流轉(zhuǎn)。工作動態(tài)：國家、省、市政府及政府有關(guān)部門的重要政策信息，政府內(nèi)部改革思路新經(jīng)驗等。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Inter和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Inter 越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。客觀地說，沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)Financial Times曾做過的統(tǒng)計，平均每20秒鐘就有一個網(wǎng)絡(luò)遭到入侵。黑客在這個階段使用一些簡單的命令來獲得外部和內(nèi)部主機的名稱：例如，使用nslookup來執(zhí)行 “l(fā)s domain or work”， finger外部主機上的用戶等。要攻擊大多數(shù)的網(wǎng)絡(luò)組成，黑客就要使用程序來遠程攻擊在外部主機上運行的易受攻擊服務(wù)程序，這樣的例子包括易受攻擊的Sendmail,IMAP,POP3和諸如statd,mountd, pfsd 等RPC服務(wù)。黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)絡(luò)癱瘓等嚴重后果，如果是對軍用和政府網(wǎng)絡(luò)的攻擊，還會對國家安全造成嚴重威脅。寧波市政府系統(tǒng)計算機專網(wǎng)需要涉及若干政府部門，各地方的網(wǎng)絡(luò)通過專用網(wǎng)連接起來。這些部門與核心節(jié)點之間將借助寧波廣電的SDH環(huán)網(wǎng)。特別是基于URL的應(yīng)用依賴于DNS系統(tǒng)，DNS的安全性也是網(wǎng)絡(luò)安全關(guān)注的焦點。. 網(wǎng)絡(luò)中主要系統(tǒng)的安全風險整個系統(tǒng)中網(wǎng)絡(luò)設(shè)備主要采用路由器設(shè)備，有必要分析這些設(shè)備的風險。■ TCP/IP風險：系統(tǒng)采用TCP/IP協(xié)議進行通信，而因為TCP/IP協(xié)議中存在固有的漏洞，比如：針對TCP序號的攻擊，TCP會話劫持，TCP SYN攻擊等。? 對象可用：當對象不需要時應(yīng)該立即清除。 ■緩沖區(qū)溢出攻擊 (Buffer Overrun Exploits): 其中包括利用軟件的弱點將任意數(shù)據(jù)添加進某個程序中，從而在它以根的身份運行時，有可能賦予剝削者對您的系統(tǒng)的根訪問權(quán)。針對Unix系統(tǒng)存在的諸多風險，應(yīng)該采取相應(yīng)的安全措施。對用戶帳號、用戶權(quán)限及資源權(quán)限的合理組合，可以有效地保證安全性。目前典型應(yīng)用有FTP、HTTP、WWW等。本次防火墻系統(tǒng)建設(shè)的目標是通過采用防火墻技術(shù)，防止不同節(jié)點間對內(nèi)聯(lián)網(wǎng)數(shù)據(jù)的非法使用和訪問，監(jiān)控整個網(wǎng)絡(luò)數(shù)據(jù)過程。為達成以上目標，方正數(shù)碼在充分調(diào)研和分析比較的基礎(chǔ)上采用合理的技術(shù)手段和產(chǎn)品以構(gòu)建一個完整的安全技術(shù)體系，協(xié)助寧波政府建立完善的安全管理體系。比如方正方御防火墻在很好的實現(xiàn)了防火墻功能的同時，也實現(xiàn)了下面所說的入侵檢測功能；? 入侵檢測（IDS）：對攻擊試探的預(yù)警當黑客試探攻擊時，大多采用一些已知的攻擊方法來試探。事實上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進行一些較為復雜的變形，就能做到?jīng)]有入侵檢測系統(tǒng)能夠識別出來。? 虛擬專用網(wǎng)（VPN）：遠程傳輸?shù)陌踩玍PN技術(shù)在把分散在各處的服務(wù)器群連成了一個整體，形成了一個虛擬的專用網(wǎng)絡(luò)。此外，信息備份是信息安全的最起碼的要求。這是一個簡單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。方正方御防火墻符合國家最新防火墻安全標準，采用了三級權(quán)限機制，分為管理員，策略員和審計員。其功能強大，是未來防火墻技術(shù)發(fā)展的一個主要趨勢?！?內(nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問也要進行嚴格的限制。內(nèi)部系統(tǒng)應(yīng)該盡量采用固定IP分配方案。針對各種攻擊行為，比如TCP序列號攻擊、劫持、碎片攻擊、端口掃描能夠識別阻斷。. 日志系統(tǒng)及系統(tǒng)報警方正方御防火墻提供強大的日志系統(tǒng)，將通過防火墻的數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、各種攻擊行為統(tǒng)計集成到一起。通過強大的日志系統(tǒng)和實時報警、日志報警等多種方式保證網(wǎng)絡(luò)出現(xiàn)安全問題時可以有資料分析；同時也可以通過對日志系統(tǒng)的分析完善系統(tǒng)安全策略。在方正方御防火墻內(nèi)部成功的進行了UDP、TCP數(shù)據(jù)同步分析。方正方御防火墻提供雙機備份功能，采用兩種方式進行備份檢測，軟件方式借用HSRP技術(shù)動態(tài)跟蹤各個區(qū)域運行狀態(tài)，發(fā)現(xiàn)任何一個區(qū)域出現(xiàn)問題即刻進行切換。同時方正方御防火墻也提供帶寬管理、分配，系統(tǒng)報警等措施從側(cè)面協(xié)助。可以將任意三個物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備和VPN設(shè)備。3. 產(chǎn)品選型我們采用方正最新型方正方御防火墻。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項目之一。雙機熱備份 通過雙機熱備份，本系統(tǒng)提供可靠的容錯/ 熱待機功能。方正方御防火墻修改了TCP/IP 堆棧的算法，使得新的syn 連接包可以正常通過，避免了由于大量的攻擊SYN 包造成網(wǎng)絡(luò)的阻塞。如果需要在Intra提供讓外部訪問的服務(wù)（如WWW、FTP等），NAT 系統(tǒng)可以為Intra里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問該服務(wù)器。用戶還可以自定義攻擊檢測庫來符合自己的要求。日志審計 審計功能是方正方御防火墻非常強大的一個部分，目前國內(nèi)防火墻的審計功能都非常不完善，方正方御防火墻提供了大量的審計內(nèi)容和對審計內(nèi)容的查詢功能，由于日志可能對一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進行查詢和管理，這樣用戶就能對防火墻的情況有一個非常透徹的了解。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換 系統(tǒng)支持動態(tài)、靜態(tài)、雙向的NAT。使用在網(wǎng)橋模式時在IP層透明，使用路由模式時可以作為三個區(qū)之間的路由器，同時提供內(nèi)網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。方正方御防火墻不僅僅是一個包過濾的防火墻，而且包括了大量的實用模塊，可以為用戶提供多方面的服務(wù)。方正方御是在經(jīng)過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。管理員負責防火墻的開關(guān)及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權(quán)機制。對于這些網(wǎng)絡(luò)我們建議使用如下方案：由于寧波市政府系統(tǒng)計算機專網(wǎng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進行審計管理，日志查詢等操作。系統(tǒng)事件管理系統(tǒng)事件和日志的統(tǒng)計直接關(guān)系到整個安全平臺的完善和后續(xù)責任追查等多個方面，方正方御防火墻為用戶提供完整、準確的數(shù)據(jù)統(tǒng)計結(jié)果，供查詢、打印等。因此方正方御防火墻提供全面的訪問控制策略、IPMAC地址捆綁、IDS入侵檢測、反電子欺騙等手段。方正防火墻內(nèi)嵌IDS功能模塊可以動態(tài)升級，保障IDS數(shù)據(jù)庫和最新動態(tài)同步。方正方御防火墻能夠準確識別H.323數(shù)據(jù)流，讓數(shù)據(jù)合法通過。系統(tǒng)報警：當有人非法對內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)進行訪問的時候，系統(tǒng)的實時報警會通過Email和聲音進行報警。同時防火墻能夠?qū)窝bIP地址進行識別。. 內(nèi)置入侵檢測（IDS）方正數(shù)碼公司和國際網(wǎng)絡(luò)安全組織合作，能夠?qū)崟r獲得最新系統(tǒng)入侵庫代碼，動態(tài)地將這些攻擊技術(shù)的解決方案加入到方正方御防火墻中,同時在方正方御防火墻內(nèi)部采用3I技術(shù)，加速應(yīng)用層安全防護查詢過程。通過嚴格的訪問控制表來進行限制。關(guān)閉操作系統(tǒng)提供的除需要以外的所有服務(wù)和應(yīng)用，防止因為這些服務(wù)和應(yīng)用自身的漏洞給系統(tǒng)帶來的風險。防火墻按實現(xiàn)的方式不同，其基本類型有：包過濾型、代理(應(yīng)用網(wǎng)關(guān))型和復合型。方正方御防火墻采用基于Windows GUI的用戶界面進行遠程集中式管理，配置管理界面直觀，易于操作。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。收集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。方正方御防火墻已經(jīng)內(nèi)置的了一套網(wǎng)絡(luò)版的 IDS系統(tǒng)能夠快速并有效的發(fā)現(xiàn)1500余種攻擊行為。在應(yīng)用防火墻技術(shù)時，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。為了解決專網(wǎng)面臨的安全問題，有必要建立一整套安全機制，包括：訪問控制、入侵檢測等多個方面。而由于整個系統(tǒng)是一個體系，任何一個點出現(xiàn)安全問題，都可能給相關(guān)人員帶來損失。但不能針對不同的用戶，當一個用戶在通過共享對某一個資源進行操作時（這時共享權(quán)限有所擴大），其他用戶趁虛而入，而造成對資源的破壞。NT的安全機制不是外加的，而是建立在操作系統(tǒng)內(nèi)部的，可以通過一定的設(shè)置使文件和其他資源免受在存放的計算機上工作的用戶和通過網(wǎng)絡(luò)接觸資源的用戶的威脅（破壞、非法的編輯等）。通過偵聽網(wǎng)絡(luò)通訊流，入侵者找到受信任主機的一個IP地址，然后發(fā)送消息時指示該消息來自受信任主機。例如，攻擊可能使用大而無用的流量充斥網(wǎng)絡(luò)，導致無法向顧客提供服務(wù)。. Unix系統(tǒng)的安全分析UNIX系統(tǒng)安全具有如下特征：? 操作系統(tǒng)可靠性：它用于保證系統(tǒng)的完整性，系統(tǒng)處于保護模式下，通過硬件和軟件保證系統(tǒng)操作可靠性?！?路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置，達到破壞網(wǎng)絡(luò)或為攻擊做準備的目的。FTP一些FTP服務(wù)器的缺陷會使服務(wù)器很容易被錯誤的配置，從而導致安全問題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令文件）并導致最終的入侵。對DNS的攻擊通常是對其他遠程主機進行攻擊做準備，如篡改域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過獲取DNS的區(qū)域文件而得到進一步入侵的重要信息。這四個匯集點分別是廣電網(wǎng)絡(luò)傳輸中心匯集點、華僑城匯集點、廣電局匯集點、電視中心匯集點。其中每一個局域網(wǎng)節(jié)點劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個網(wǎng)段，網(wǎng)段之間設(shè)置安全隔離區(qū)。拒絕服務(wù)：使用大量無意義的服務(wù)請求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和IO能力，造成系統(tǒng)癱瘓，無法對外提供服務(wù)。有效利用網(wǎng)絡(luò)組成的弱點，當黑客確認了一些被信任的外部主機，并且同時確認了一些在外部主機上的弱點，他們就要嘗試攻克主機了。黑客通常在查找其他弱點之前首先試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息。國內(nèi)網(wǎng)站也未能幸免于難，新浪、當當書店、EC123 等知名網(wǎng)站也先后受到黑客攻擊。在為各安全產(chǎn)品選型時，我們立足國內(nèi)，同時保證所選產(chǎn)品的先進性及可靠性，并要求通過國家各主要安全測評認證。通知通告：包括會議、學習、上報材料等通知，系統(tǒng)內(nèi)的通報等。、通知通告、要聞信息等文字資料為主。寧波市處理重大事件指揮中心（以下簡稱指揮中心）是一個獨立的網(wǎng)段，以多模光纖接入核心點的接入交換機，中間需以防火墻隔離。政府專網(wǎng)建成后，將極大地促進政府業(yè)務(wù)規(guī)范化、辦公自動化、管理智能化、決策科學化、提高政府機關(guān)辦事工作效率，實現(xiàn)政府各部門以及上下級政府部門之間信息和資源的共享。政府專網(wǎng)是獨立于公共網(wǎng)絡(luò)之外的政府系統(tǒng)專用網(wǎng)絡(luò)，物