【正文】 r n e tA D S LW E B E m a i lD D NC h e c k P o i n t F W 1移 移 移 移華 依 防 火 墻 （ 已 有 ）D M Z外 部 防 火 墻小 型 機(jī)服 務(wù) 器 網(wǎng)地 稅 內(nèi) 部 網(wǎng)異 地 容 災(zāi) 備 份 中 心外 部 連 接 網(wǎng)對(duì) 外 服 務(wù) 網(wǎng)內(nèi) 部 高 性 能防 火 墻 （ 計(jì) 劃 ）移 移移 移移 移 移 移移 移 移 移珠 海 地 稅 網(wǎng) 絡(luò) 環(huán) 境 XX 地稅網(wǎng)絡(luò)由四個(gè)子網(wǎng)構(gòu)成：地稅內(nèi)部網(wǎng)、服務(wù)器網(wǎng)、外部連接網(wǎng)和對(duì)外服務(wù)網(wǎng)。訪問(wèn)控制與加密系統(tǒng)通過(guò)防火墻、隔離網(wǎng)閘、 VPN、 VLAN以及操作系統(tǒng) DAC 構(gòu)成，通過(guò)統(tǒng)一的策略設(shè)置實(shí)現(xiàn)對(duì)關(guān)鍵服務(wù)器、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)等資源的訪問(wèn)控制；動(dòng)態(tài)安全檢測(cè)系統(tǒng)則通過(guò)防病毒系統(tǒng)、入侵檢測(cè)與審計(jì)系統(tǒng)系統(tǒng)及時(shí)監(jiān)測(cè)網(wǎng)絡(luò)活動(dòng)，發(fā)現(xiàn)并處理攻擊行為，通過(guò)自動(dòng) /手動(dòng)修改訪問(wèn)配置策略的方式動(dòng)態(tài)調(diào)整網(wǎng)絡(luò)防御。 4 網(wǎng)絡(luò)安全設(shè)計(jì)模型 網(wǎng)絡(luò)安全是個(gè)整體的概念，它遵循“木桶原理” ―― 就像木桶盛水的多少取決于最短的那塊木板一樣，整個(gè)網(wǎng)絡(luò)的安全強(qiáng)度取決于防護(hù)最薄弱的位置。 常見(jiàn)的有意破壞包括：破壞基礎(chǔ)設(shè)施、電磁干擾、蓄意備份未授權(quán)信息、蓄意刪除 /修改信息、擴(kuò)散病毒、竊聽(tīng)、偵聽(tīng) 、截包、電子欺騙、竊密、偽造、惡意代碼（病毒、特洛伊木馬、邏輯炸彈、時(shí)間炸彈、蠕蟲(chóng)）等等 （ 4） 管理風(fēng)險(xiǎn) 3 信息系統(tǒng)作為一個(gè)軟硬件集成的有機(jī)整體，其安全性除這些軟硬件設(shè)備自身的安全保護(hù)能力以外，重要的是對(duì)其進(jìn)行有效管理。 1 XX市地方稅務(wù)局網(wǎng)絡(luò)安全規(guī)劃建議方案 一、網(wǎng)絡(luò)安全概述 XX 市地方稅務(wù)局的網(wǎng)絡(luò)環(huán)境關(guān)系到保障國(guó)家稅收安全，支持城市發(fā)展等重大問(wèn)題，因此其系統(tǒng)對(duì)安全性和穩(wěn)定性有較高的要求，我們從整個(gè)系統(tǒng)的安全出發(fā)，對(duì)網(wǎng)絡(luò)設(shè)計(jì)完整而嚴(yán)密的安全體系。只有有效的管理，安全性才能得到相應(yīng)的保障。 因此，我們參考國(guó)際安全標(biāo)準(zhǔn)設(shè)計(jì)了的網(wǎng)絡(luò)安全對(duì) 象模型，該模型全面考慮了涉及信息安全的各個(gè)方面，我們對(duì)地稅網(wǎng)絡(luò)的安全設(shè)計(jì)以此為模型，全面分析網(wǎng)絡(luò)的各個(gè)方面，提出合理的建議，從而建立全面的安全防御體系，該模型如圖所示： 整個(gè)安全系統(tǒng)應(yīng)由五大體系構(gòu)成：身份認(rèn)證與基礎(chǔ)安全服務(wù)系統(tǒng)、訪問(wèn)控制與數(shù)據(jù)加密系統(tǒng)、動(dòng)態(tài)安全檢測(cè)系統(tǒng)、安全管理系統(tǒng)以及數(shù)據(jù)備份與恢復(fù)系統(tǒng)構(gòu)成。 安全管理系統(tǒng)位于安全防御的最上層，一般由管理員定期或在線(xiàn)進(jìn)行管理。地稅內(nèi)部網(wǎng)由市局包括各分局內(nèi)部辦公機(jī)組成，通過(guò)核心交換機(jī)互連，市局與分局間通過(guò)城域 VPN 網(wǎng)絡(luò)相連。同時(shí)，由于 WEB 服務(wù)器具有訪問(wèn)服務(wù)器網(wǎng)段的權(quán)限，因此，保護(hù) WEB 不被攻占具有十分重要的意義?？赡艿娘L(fēng)險(xiǎn)包括三個(gè)方面：一是黑客攻占 WEB 服務(wù)器然后作為跳板向內(nèi)網(wǎng)發(fā)動(dòng)攻擊；二是黑客利用漏洞更改站點(diǎn)頁(yè)面，導(dǎo)致用戶(hù)訪問(wèn)被重定向，竊取用戶(hù)商業(yè)機(jī)密甚至用戶(hù)網(wǎng)絡(luò)在不知情下被破壞；三是病毒引起該網(wǎng)癱瘓，從而造成服務(wù)不可用以及內(nèi)部的廣播風(fēng)暴，甚至感染內(nèi)部網(wǎng)絡(luò)。同時(shí)，認(rèn)證系統(tǒng)必須與應(yīng)用系統(tǒng)結(jié)合起來(lái)，才能提供完 整的認(rèn)證與授權(quán)功能。 4) 建立安全維護(hù)與管理體系 ―― 日志管理、口令管理以及網(wǎng)絡(luò)監(jiān)控系統(tǒng)是重要的安全管理手段，同時(shí)也是保證網(wǎng)絡(luò)安全的最后一道防線(xiàn)。 12 整體安全策略 地稅內(nèi)部網(wǎng)安全策略： ，實(shí)現(xiàn)全網(wǎng)一致的殺毒和升級(jí)策略，最大限度地防御病毒的襲擊。 2. 將地稅內(nèi)網(wǎng) Internt 訪問(wèn)防火墻與核心防火墻合并 ，統(tǒng)一利用 Checkpiont防火墻實(shí)現(xiàn)訪問(wèn)控制，這樣有利于集中管理，最大化地解決管理帶來(lái)的安全隱患。該體系早已成為國(guó)際標(biāo)準(zhǔn) ，能夠?yàn)榘?VPN、安全中間件、 SSL、認(rèn)證等安全技術(shù)提供基礎(chǔ)服務(wù)，實(shí)現(xiàn)良好的集成。 數(shù)字證書(shū)認(rèn)證中心(業(yè) 務(wù)CA )證書(shū)審核注冊(cè)中心(R A)證書(shū)目錄管理服務(wù)時(shí)間戳服務(wù)數(shù)字證書(shū)認(rèn)證與管理中心(根 CA )密鑰管理中心(K M)證書(shū)在線(xiàn)狀態(tài)查詢(xún)服務(wù)橋CA 其它根CA PKI 信任服務(wù)體系結(jié)構(gòu) 目前國(guó)內(nèi)外主要有兩種不同的 PKI 建設(shè)方式，即基于服務(wù)的 PKI與自建 PKI。同時(shí)，在外網(wǎng)防火墻上啟用基 于數(shù)字證書(shū)的 VPN 鏈路，使地稅移動(dòng)辦公用戶(hù)可在Inter上建立安全鏈路訪問(wèn)地稅內(nèi)部系統(tǒng)。 整個(gè)部署結(jié)構(gòu)如圖所示： 18 廣 東 省 C A 中 心珠 海 地 稅 C A 系 統(tǒng)數(shù) 字 證 書(shū) 用 戶(hù) 證書(shū)存儲(chǔ)方式選擇： 采用具有自主知識(shí)產(chǎn)權(quán)的硬件證書(shū)存儲(chǔ)方式，將用戶(hù)、設(shè)備的數(shù)字證書(shū)存儲(chǔ)在客戶(hù)端的實(shí)體鑒別密碼器中，具有傳 統(tǒng)證書(shū)存儲(chǔ)方式無(wú)法比擬的安全性，是組建網(wǎng)絡(luò)信任 環(huán)境 的用戶(hù)終端 PKI證書(shū)認(rèn)證的專(zhuān)用支持設(shè)備。 從性能上來(lái)講， Checkpoint 防火墻作為企業(yè)級(jí)的防火墻系統(tǒng)具有極強(qiáng)的穩(wěn)定性與性能，其 狀態(tài)檢測(cè)（ Stateful Inspection）專(zhuān)利技術(shù)，以不同的服務(wù)區(qū)分應(yīng)用類(lèi)型，為網(wǎng)絡(luò)提供高安全、高性能和高擴(kuò)展性保證。 ? 數(shù)據(jù)完整性，所有來(lái)自地稅移動(dòng)辦公人員通過(guò) Inter網(wǎng)流向地稅內(nèi)網(wǎng)的數(shù)據(jù)在這里經(jīng)過(guò)簽名處理后傳輸，接受方可驗(yàn)證在傳輸過(guò)程中數(shù)據(jù)未被篡改。另外，由于防火墻的安全性依賴(lài)于其低層的操作系統(tǒng)和防火墻軟件，因此存在漏洞是必然的，這使黑客總是能尋找機(jī)會(huì)穿透防火墻進(jìn)入內(nèi)網(wǎng)，甚至修改防火墻訪問(wèn)規(guī)則，從而使得邊界處訪問(wèn)控制失效，黑客進(jìn)入 內(nèi)網(wǎng)。在非面向連接的公用 IP 網(wǎng)絡(luò)上建立一個(gè)邏輯的、點(diǎn)對(duì)點(diǎn)的連接，稱(chēng)之為建立一個(gè)隧道，可以利用加密技術(shù)對(duì)經(jīng)過(guò) 隧道傳輸?shù)臄?shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)僅被指定的發(fā)送者和接收者了解，從而保證了數(shù)據(jù)的私有性和安全性。 QoS 通過(guò)流量預(yù)測(cè)與流量控制策略，可以按照優(yōu)先級(jí)分配帶寬資源，實(shí)現(xiàn)帶寬管理，使得各類(lèi)數(shù)據(jù)能夠被合理地先后發(fā)送，并預(yù)防阻塞的發(fā)生。出差員工利用當(dāng)?shù)?ISP 提供的 VPN 服務(wù)，就可以和公司的 VPN 網(wǎng)關(guān)建立私有的隧道連接。這種方式最合適地稅 VPN 系統(tǒng)網(wǎng) 25 絡(luò)環(huán)境的現(xiàn)狀和今后發(fā)展的需要。下面的例子闡述 了隔離網(wǎng)閘的工作原理： 假設(shè)一個(gè)周?chē)h(huán)境比較危險(xiǎn)的加油站，在加油完畢之后要向顧客收取現(xiàn)金，同時(shí)要避免受到損害（如搶劫）。從下面的圖中我們可以了解物理隔離比傳統(tǒng)防火墻方式帶來(lái)的優(yōu)點(diǎn)： 27 純 數(shù) 據(jù)拒 絕 所 有 已 知 或 未 知 攻 擊的 連 接隔 離 區(qū)僅 傳 送 純 數(shù) 據(jù)安 全 區(qū) 的 連 接 與 外 網(wǎng) 完 全隔 開(kāi)內(nèi) 網(wǎng)隔 離 區(qū)外 網(wǎng) I n e r n e t 物理隔離的作用是保證在網(wǎng)絡(luò)在數(shù)據(jù)交換的情況下，內(nèi)網(wǎng)與外網(wǎng)完全隔離，外網(wǎng)的攻擊 行為無(wú)論已知或未知攻擊都無(wú)法直接連接到內(nèi)網(wǎng)，物理隔離將攻擊范圍限定在了內(nèi)外網(wǎng)的邊界處，從而避免內(nèi)網(wǎng)受到攻擊的情況發(fā)生。由于音、視頻對(duì)延遲的高度敏感性和地稅系統(tǒng)所要求的快速的信息匯總能力，因此，在網(wǎng)關(guān)處的隔離網(wǎng)閘必須提供高帶寬和低延遲的特性才能保證系統(tǒng)的應(yīng)用要求。 30 建議隔離網(wǎng)閘性能 指標(biāo)等于或優(yōu)于以下指標(biāo)： 隔離部件 具有硬件隔離部件實(shí)現(xiàn)內(nèi)外網(wǎng)雙向物理隔離 隔離部件的數(shù)據(jù)交換帶寬 =1Gbps 系統(tǒng)交換速率 =90Mbps 應(yīng)用支持 廣泛支持基于 TCP/IP 以上的各類(lèi)應(yīng)用協(xié)議，包括 SNMP、 IRC、流媒體協(xié)議、 GIS 等應(yīng)用系統(tǒng)特殊協(xié)議以及 HTTP、 SMTP、 DNS等。防火墻通過(guò)監(jiān)測(cè)、限制、更改通過(guò)”防火墻”的數(shù)據(jù)流，可以保護(hù)內(nèi)部系統(tǒng)不受來(lái)自外部的攻擊。這種攻擊方法的重要變化的前提是需要企業(yè)防火墻不僅提供訪問(wèn)控制和網(wǎng)絡(luò)級(jí)攻擊保護(hù)，還要提供對(duì)應(yīng)用程序行為的復(fù)雜智能技術(shù)以抵御攻擊和入侵。三個(gè)百兆接口分別連接 DMZ、外部接入網(wǎng)和 Inter。目前最流行的動(dòng)態(tài)檢測(cè)技術(shù)包括入侵檢測(cè)技術(shù)、網(wǎng)站實(shí)時(shí) 37 保護(hù)技術(shù)和防病毒技術(shù)。 網(wǎng)絡(luò)傳感器 監(jiān)測(cè)所在網(wǎng)段的所有流量，能產(chǎn)生各類(lèi)報(bào)警事件，并具有部分響應(yīng)功能。 基于網(wǎng)絡(luò)的傳感器將以網(wǎng)絡(luò)數(shù)據(jù)包形式將信息發(fā)送到入侵監(jiān)測(cè)系統(tǒng)的檢測(cè)器，進(jìn)一步做攻擊分析。 防病毒系統(tǒng)設(shè)計(jì) 防毒體系的建立并不單純只是幾種防毒產(chǎn)品的堆積，它的重點(diǎn)在 39 于要針對(duì)現(xiàn)有的網(wǎng)絡(luò)環(huán)境，對(duì)網(wǎng)絡(luò)中所有可能存在的病毒侵入點(diǎn)進(jìn)行詳細(xì)的分析，針對(duì)每一個(gè)可能的入侵點(diǎn)進(jìn)行層層防護(hù)，對(duì)癥下藥，真正使之成為“安全的”企業(yè)網(wǎng)絡(luò)。 在防病毒體系的設(shè)計(jì)上以上四個(gè)環(huán)節(jié)必須予以考慮。 6. 對(duì)已感染的病毒文件，能夠通過(guò)先 進(jìn)的修復(fù)工具保證文件免受損害。 從 XX 地稅的應(yīng)用環(huán)境來(lái)看，可以考慮部署以下防毒體系，首先 41 在內(nèi)網(wǎng)建立 TVCS 病毒集中控制系統(tǒng)，該系 統(tǒng)能管理整個(gè)網(wǎng)絡(luò)環(huán)境中的所有殺毒組件，包括客戶(hù)端殺毒系統(tǒng)，郵件殺毒系統(tǒng)以及網(wǎng)關(guān)殺毒系統(tǒng)等，制定并監(jiān)督防毒策略的執(zhí)行，可實(shí)現(xiàn)全網(wǎng)范圍一致的殺毒策略，避免遺漏任何病毒，該系統(tǒng)能定義定時(shí)病毒全網(wǎng)升級(jí)、定時(shí)殺毒等一系列防毒策略，這也減輕了管理員的工作負(fù)擔(dān)。偉思公司的技術(shù)支持 Email為： 網(wǎng)站支持 各安全廠商將提供在公司網(wǎng)站上發(fā)布有關(guān)產(chǎn)品的信息，如FAQ、產(chǎn)品使用交流 BBS、支持信息等對(duì)客戶(hù)進(jìn)行知識(shí)服務(wù)。 44 培訓(xùn)計(jì)劃 貴單位的網(wǎng)絡(luò)管理人員和業(yè)務(wù)工作人員的培訓(xùn)是本次安全建設(shè)項(xiàng)目的重要組成部分，是實(shí)現(xiàn)業(yè)務(wù)網(wǎng)絡(luò)安全、提高安全系統(tǒng)效率的重要保證。網(wǎng)絡(luò)安全管理人員能夠在培訓(xùn)后了解一般的 安全知識(shí)，掌握防火墻、入侵檢測(cè)以及網(wǎng)絡(luò)防病毒的基礎(chǔ)理論知識(shí)，熟悉這些安全產(chǎn)品的安裝、維護(hù)，能解決一般的常見(jiàn)問(wèn)題，具備安全管理的能力。 步驟 2：用戶(hù)對(duì)培訓(xùn)中存在的問(wèn)題進(jìn)行提問(wèn)，并由培訓(xùn)教師進(jìn)行解答。 培訓(xùn)目的 本 次培訓(xùn)的主要目的是讓貴單位的技術(shù)人員可以系統(tǒng)地了解防火墻、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)和 ViGAP 隔離網(wǎng)閘的架構(gòu)、實(shí)現(xiàn)原理、策略設(shè)定及管理方式。偉思公司的網(wǎng)址為： 。OfficeScan安裝在一臺(tái) PC 上，其客戶(hù)端要安裝到每臺(tái)客 戶(hù)機(jī)上，以后就可實(shí)現(xiàn)利用 OfficeScan 管理平臺(tái)統(tǒng)一管理各個(gè)客戶(hù)端，十分方便。 7. 對(duì)總體網(wǎng)絡(luò)性能的影響應(yīng)該非常小。 2. 網(wǎng)關(guān)處實(shí)現(xiàn)對(duì) HTTP、 SMTP的自動(dòng)過(guò)濾。網(wǎng)絡(luò)中的任何一個(gè)漏洞，都將成為病毒傳播和擴(kuò)散的致命點(diǎn)，最終造成滿(mǎn)盤(pán)皆輸。 入侵監(jiān)測(cè)系統(tǒng)的檢測(cè)器一旦發(fā)現(xiàn)網(wǎng)絡(luò)流量中有攻擊特征或可疑的行為，將觸發(fā)報(bào)警器向控制臺(tái)發(fā)出攻擊事件報(bào)警信息。主機(jī)傳感器安裝在需要重點(diǎn)保護(hù)的主機(jī)上，采取分布式探測(cè)、集中報(bào)警的形式。 入侵檢測(cè)系統(tǒng)設(shè)計(jì) 入侵檢測(cè)（ Intrusion Detection）技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)，是一種用于檢測(cè)信息系統(tǒng)中違反安全策略行為的技術(shù)。允許內(nèi)網(wǎng)和撥號(hào)接入用戶(hù)訪問(wèn)服務(wù)器網(wǎng)段的業(yè)務(wù)系統(tǒng)，僅允許 DMZ 區(qū)的 WEB 服務(wù)器訪問(wèn)指定的數(shù)據(jù)庫(kù)，銀行等外部網(wǎng)絡(luò)僅能連接服務(wù)器網(wǎng)段的指定系統(tǒng)，拒絕除這 些規(guī)則以外的其它訪問(wèn)請(qǐng)求，如銀行主機(jī)試圖訪問(wèn)地稅內(nèi)部網(wǎng)的行為等。 3. 升級(jí)后的 chckpoint性能可以達(dá)到背板交換能力 ，最大支持1， 000， 000 并發(fā)連接， VPN 速率 154M/s，以及 2萬(wàn)個(gè) VPN 并發(fā)連接，這些指標(biāo)完全滿(mǎn)足 XX地稅的使用環(huán)境要求。作為內(nèi)部網(wǎng)絡(luò)與外部公共網(wǎng)絡(luò)之間的第一道屏障，防火墻是最先受到人們重視的網(wǎng)絡(luò)安全產(chǎn)品之一。 31 所有 ViGap100設(shè)備包含以下功能： ? 反射 GAP功能 ? 支持基于標(biāo)準(zhǔn)的 UDP、 TCP協(xié)議 ? 系統(tǒng)日志和報(bào)警顯示 ? 日志存檔和備份功能 ? 流量控制特性 ? 支持 DNS協(xié)議檢查 ? 支持 SNMP、 WebTrends? 和 SysLog?外部系統(tǒng)日志 ? 豐富的圖形用戶(hù)接口（ GUI）管理和規(guī)則庫(kù)系統(tǒng) ? 遠(yuǎn)程的、加密的和論證的策略管理系統(tǒng) ? 為多 ViGap提供集群和負(fù)載平衡能力 ViGap100優(yōu)點(diǎn)： 1)防止已知或未知的對(duì)網(wǎng)絡(luò)層和操作系統(tǒng)層的攻擊可信網(wǎng)絡(luò)與不可信網(wǎng)絡(luò)物理隔斷的同時(shí)，提供對(duì)它的實(shí)時(shí)訪問(wèn) 2)系統(tǒng)帶寬達(dá)到 100M/s,最大支持并發(fā) 1500個(gè)回話(huà)連接數(shù)，并提供集群功能，滿(mǎn)足流量需求 3)提供一個(gè)附加的安全層來(lái)保護(hù)網(wǎng)絡(luò)的同時(shí)，不會(huì)降低速度和性能 4)阻止攻擊進(jìn)入可信網(wǎng)絡(luò)，提高關(guān)鍵服務(wù)器正常運(yùn)行時(shí)間 ,強(qiáng)迫流量控制來(lái) 保護(hù)基礎(chǔ)設(shè)備免受 DoS 攻擊 32 5)在可信網(wǎng)絡(luò)端創(chuàng)建所有的安全策略 ,在配置 ViGap 后能提高和增強(qiáng)一個(gè)組織現(xiàn)有的安全級(jí)別 6)服務(wù)器 OS的安全漏洞的修復(fù)需求大大減少，降低維護(hù)費(fèi)用