【正文】 如建立DMZ（軍事獨立區(qū)），在其中放置公共應用服務器。管理員負責防火墻的開關及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權機制。. 方正數(shù)碼公司簡介作為方正集團互聯(lián)網(wǎng)戰(zhàn)略的實施者，方正數(shù)碼將自身定位于電子商務的“賦能者”，其業(yè)務涉及互聯(lián)網(wǎng)與電子商務的技術研究應用與系統(tǒng)集成、網(wǎng)絡市場營銷服務、空間信息應用、無線互聯(lián)以及電子商務的咨詢服務等方向，以幫助政府、行業(yè)、企業(yè)、網(wǎng)站、電子商務的運營者在互聯(lián)網(wǎng)時代健康成功的發(fā)展為己任。內部區(qū)放置控制服務器、數(shù)據(jù)庫服務器、文件服務器、認證服務器、系統(tǒng)管理服務器等設備，公開信息區(qū)放置對外的信息發(fā)布系統(tǒng)，包括WEB服務器、Mail服務器等設備等。兩臺防火墻工作在互備模式中。給特殊應用分配相對高的帶寬。IDS和訪問策略形成互動。內部員工對外網(wǎng)WWW訪問采用代理方式。另外，方正方御防火墻還提供了原標準中沒有強制執(zhí)行的實施域分組授權機制，尤其適合于寧波市政府系統(tǒng)計算機專網(wǎng)這樣的大型網(wǎng)絡。. 認證與授權認證與授權是一切網(wǎng)絡安全的根基所在，尤其在網(wǎng)絡安全管理、外部網(wǎng)絡訪問內部網(wǎng)絡（包括撥號）時，要有非常嚴格的認證與授權機制，防止黑客假冒身份滲透進內部網(wǎng)絡。安全審計系統(tǒng)所做的記錄如同飛機上的黑匣子，在發(fā)生網(wǎng)絡犯罪案件時能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。一個好的網(wǎng)絡安全解決方案應該由如下幾個部分組成：? 防火墻：對網(wǎng)絡攻擊的阻隔防火墻是保證網(wǎng)絡安全的重要屏障?！　? 管理系統(tǒng)的安全風險 管理系統(tǒng)的安全風險除了上面提到的系統(tǒng)風險之外，系統(tǒng)結構復雜、管理難度大，存在各種服務，哪些服務對哪些人是開放的、哪些是拒絕的都沒有一定的安全劃分。制定詳細的訪問控制計劃、策略。? 往來文件系統(tǒng)：UNIX系統(tǒng)提供了分布式文件系統(tǒng)（DFS）的網(wǎng)絡安全。一旦口令泄密路由器將失去所有的保護能力。而寧波市政府的這些應用系統(tǒng)是政府專網(wǎng)中最重要的組成部分。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡安全里尤其適用。確認網(wǎng)絡組成的弱點，如果一個黑客能建立你的外部和內部主機列表，他就可以用掃描程序（如ADMhack, mscan, nmap等）來掃描一些特定的遠程弱點。2022年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。第二，寧波市政府與各縣區(qū)政府數(shù)據(jù)交換量也相當大。政府專網(wǎng)涉及范圍廣，建設要求高，需分期分批進行建設。另 外 ， 省 政 府 專 網(wǎng) 的 光 纖 接 入 到 IBM2216路 由 器 ， 再 經(jīng) 過 防 火 墻 （ 上 海 華堂 ） ， 以 百 兆 方 式 接 入 核 心 節(jié) 點 的 接 入 交 換 機 ?；拘畔ⅲ喊ㄊ星椤⒖h情，各級領導情況，機構設置、直屬機構設置、編制、職能職責、聯(lián)系電話、郵箱地址等。為此德國軍方前些時候甚至規(guī)定在所有牽涉到機密的計算機里，不得使用美國的操作系統(tǒng)。在典型的網(wǎng)絡攻擊中，黑客一般會采取如下的步驟：自我隱藏，黑客使用通過rsh或tel在以前攻克的主機上跳轉、通過錯誤配置的proxy 主機跳轉等各種技術來隱藏他們的IP地址，更高級一點的黑客，精通利用電話交換侵入主機。數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進行非法的復制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫內重要的商業(yè)信息，盜取網(wǎng)站用戶的個人信息等。. 光纖網(wǎng)絡平臺光纖網(wǎng)絡平臺的提供商為寧波市廣電網(wǎng)絡傳輸中心。WWW利用HTTP服務器的一些漏洞，特別是在大量使用服務器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權的操作者可以很容易地獲得系統(tǒng)的控制權。不法份子利用已有的或者更加先進的技術手段通常對數(shù)據(jù)庫進行偽造數(shù)據(jù)庫中的數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中的數(shù)據(jù)。這有可能造成某個未經(jīng)授權的個人非法進入您的網(wǎng)絡或看到機密數(shù)據(jù)?！　。?）在局部范圍內通過資源共享的形式，這種方式建立在NETBIOS的基礎之上。包括構成所有設施、系統(tǒng)、以及系統(tǒng)所處理的數(shù)據(jù)（信息）。入侵檢測系統(tǒng)通過掃描網(wǎng)絡流里的特征字段（網(wǎng)絡入侵檢測），或者探測系統(tǒng)的異常行為（主機入侵檢測），來發(fā)覺這類攻擊的存在。方正方御防火墻提供了軟、硬兩種方式來實現(xiàn)VPN 。要保護這樣一個繁雜的網(wǎng)絡系統(tǒng)的網(wǎng)絡安全，必須有完善的管理保證。將外部對內部、DMZ內服務訪問明確限制，防止非法對內部重要系統(tǒng)，特別是業(yè)務系統(tǒng)的訪問。在該方案中我們將對內部網(wǎng)絡和外部網(wǎng)絡情況具體了解，對URL 攔截達到頁面級別。如果有內部人員對防火墻訪問，可以通過管理數(shù)據(jù)進行查詢。保證防火墻產(chǎn)品實時和網(wǎng)絡安全領域技術同步，防止因為新的安全問題給系統(tǒng)帶來的安全風險。而防火墻操作系統(tǒng)采用經(jīng)過嚴格測試專有操作系統(tǒng)。可以通過一個控制機對多臺方正方御防火墻進行集中式的管理。由于防火墻技術的針對性很強，它已成為實現(xiàn)網(wǎng)絡安全的重要保障之一。代理服務的訪問控制非常的完善，可以對時間、協(xié)議、方法、地址、DNS域、目的端口和URL來進行控制。基于PKI的授權認證 方。傳統(tǒng)的防火墻的包過濾只是根據(jù)規(guī)則表進行匹配，而方正方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合來對網(wǎng)絡狀態(tài)進行控制。在立身自主開發(fā)外，方正數(shù)碼還與眾多國際知名的安全公司保持著良好的合作關系，并集成了國內外最優(yōu)秀的公司安全產(chǎn)品，為國內Inter的安全建設保駕護航。分析寧波市政府系統(tǒng)計算機專網(wǎng)的特點和需求，方正方御防火墻的集中管理功能和權限管理機制完全可以滿足這些需求。這樣在遠程管理過程中數(shù)據(jù)通過專網(wǎng)進行管理能夠有效的保證管理的安全性。. 系統(tǒng)升級網(wǎng)絡安全技術隨著網(wǎng)絡技術發(fā)展不斷變化，而網(wǎng)絡安全策略和軟件也不能一成不變，需要不斷升級。針對通過防火墻數(shù)據(jù)，可以按照數(shù)據(jù)類型、地址進行統(tǒng)計分析。URL攔截：方正方御防火墻實現(xiàn)了透明的URL攔截功能，對通過防火墻的應用層URL進行嚴格的控制和管理，按照用戶的要求進行攔截。 ? 防火墻提供三個接口：內網(wǎng)、外網(wǎng)、DMZ；? 防火墻工作在橋模式，這樣不需要改動現(xiàn)有網(wǎng)絡的拓撲結構；? 將對外服務的各種服務設備放置在DMZ區(qū)域，和內部網(wǎng)絡嚴格區(qū)分開，保證內部系統(tǒng)安全。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡隔離解決方案，在網(wǎng)絡連通條件下，通過破壞網(wǎng)絡攻擊得以進行的另外兩個重要條件：? 從外部網(wǎng)絡向內部網(wǎng)絡發(fā)起連接? 將可執(zhí)行指令傳送到內部網(wǎng)絡從而確保寧波市政府系統(tǒng)計算機專網(wǎng)的安全。使用VPN可以象管理本地服務器一樣去安全的管理遠程的服務器。而從另外一個角度考慮問題，“實時監(jiān)測”，發(fā)現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡安全來說也是非常有意義的。限制對內部資源和系統(tǒng)的訪問范圍。在網(wǎng)絡中，有三種方式可以訪問NT服務器：　?。?）通過用戶帳號、密碼、用戶組方式登錄到服務器上，在服務器允許的權限內對資源進行訪問、操作。■竊聽和重放攻擊 (Snooping and Replay Attacks): 竊聽攻擊涉及某個對網(wǎng)絡上的兩臺機器之間的通訊流進行偵聽的入侵者。. 數(shù)據(jù)庫系統(tǒng)安全分析數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔負著管理這些數(shù)據(jù)信息的任務。如利用公共的郵件服務器進行的郵件欺騙或郵件炸彈的中轉站或引擎；利用sendmail的漏洞直接入侵到郵件服務器的主機等。整個廣域網(wǎng)網(wǎng)絡系統(tǒng)是一個典型的星形拓樸型結構，主要負責傳輸國家、省、市、縣政府間的文字、圖像和視頻信息。目前，黑客的主要攻擊方式有：欺騙：通過偽造IP地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權使用，例如盜用撥號帳號。. 典型的黑客攻擊黑客們進行網(wǎng)絡攻擊的目的各種各樣，有的是出于政治目的，有的是員工內部破壞，還有的是出于好奇或者滿足自己的虛榮心。經(jīng)濟服務中心：批文、辦事程序等數(shù)據(jù)以上諸項信息內容除已說明以外，其余都為文字、數(shù)字等形式。宏觀信息：包括國際、國內、省內、省外、市內、市外宏觀經(jīng)濟數(shù)據(jù)，每日信息，重要會議，重大事件。核心節(jié)點與SDH環(huán)通過物理光纖連接，把市內和市外兩部分連通，組成完整的政府專網(wǎng)網(wǎng)絡平臺。目前已經(jīng)完成網(wǎng)絡平臺、系統(tǒng)集成、系統(tǒng)商務標的招投標工作，正在抓緊進行網(wǎng)絡平臺建設及相關設備的訂購采購工作。第四，市政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁。行業(yè)數(shù)據(jù)：科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭受攻擊。在對外部主機掃描之后，黑客就會對主機是否易受攻擊或安全有一個正確的判斷。2. 安全架構分析與設計邏輯上，寧波市政府系統(tǒng)計算機專網(wǎng)將劃分為三個區(qū)域：數(shù)據(jù)發(fā)布區(qū)、局域網(wǎng)用戶、遠程其他用戶。這些系統(tǒng)很容易成為外部網(wǎng)絡攻擊的目標或跳板。■ 每個管理員都可能使用相同的口令，因此，路由器對于誰曾經(jīng)作過什么修改，系統(tǒng)沒有跟蹤審計的能力。比如下面的一些安全隱患：■“拒絕服務”攻擊 (Denial of Service Attacks): 這些攻擊禁止系統(tǒng)向顧客提供服務，使顧客不能得到某種服務。這是NT的文件系統(tǒng)的最大特點。必須限制管理系統(tǒng)內各個部門之間訪問權限，維護各個系統(tǒng)的安全訪問。防火墻最大的意義在網(wǎng)絡邊界處提供統(tǒng)一的安全策略，有效的將復雜的網(wǎng)絡安全問題簡化，大大降低管理成本和潛在風險。安全審計跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。 證書的認證體系（目前最強的認證體系）來進行認證。利用防火墻可以有效地劃分網(wǎng)絡不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實施訪問控制、身份鑒別、和安全審計等功能。借助方正方御防火墻提供的基于狀態(tài)包過濾技術對數(shù)據(jù)的各個方向采用全面安全的技術策略，制定嚴格完善的訪問控制策略保證從IP到傳輸層的數(shù)據(jù)安全。電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進行阻斷。. 政府專網(wǎng)運行著視頻會議數(shù)據(jù)（）。本方案中，我們主要根據(jù)寧波政府專網(wǎng)絡實際情況，針對防火墻的特殊性，從如下幾個方面考慮保障系統(tǒng)安全性防火墻放置在內外網(wǎng)之間用來隔離內部網(wǎng)絡和外部網(wǎng)絡，對內外網(wǎng)絡的通信進行嚴格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內部系統(tǒng)安全。寧波市政府系統(tǒng)計算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡圖如下：、辦、局的安全網(wǎng)絡各區(qū)及委、辦、局的網(wǎng)絡結構節(jié)點也同樣劃分為內部操作（控制）區(qū)、公開信息區(qū)兩個網(wǎng)段。方正數(shù)碼首先推出的就是方正方御互聯(lián)網(wǎng)安全解決方案。多種工作模式 方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。用戶可以通過設置源地址到目的地址單位在時間內允許通過的流量以及協(xié)議和端口來進行帶寬控制。雙向網(wǎng)絡地址轉換為企業(yè)用戶連接到Inter提供了良好的網(wǎng)絡地址隱蔽，并且能減少IP占用，替用戶節(jié)省費用。備份防火墻服務器中存有主防火墻服務器的設置鏡像，當主防火墻因為某些原因不能正常運作，備份服務器可以在12秒鐘內取代主服務器運作，充分保證整個網(wǎng)絡系統(tǒng)運作的穩(wěn)定性。方正方御防火墻是一個很優(yōu)秀的防火墻，同時它集成強大的入侵檢測功能。當防火墻工作在交換模式時，內網(wǎng)、DMZ區(qū)和路由器的內部端口構成一個統(tǒng)一的交換式物理子網(wǎng)，內網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡拓撲結構和各主機和設備的網(wǎng)絡設置。硬件方式采用心跳線方式，當系統(tǒng)檢測到故障，也將進行切換。. 帶寬分配，流量管理在專網(wǎng)上運行著部分重要的業(yè)務數(shù)據(jù)，這些業(yè)務數(shù)據(jù)實時性要求高，必須保證這樣的數(shù)據(jù)具有優(yōu)先權限，防止因為帶寬問題影響應用。而這個數(shù)據(jù)庫可以實時更新、升級。防止內部員工對外網(wǎng)資源的非法訪問。管理員負責防火墻的開關及日常維護，策略員負責配置防火墻的包過濾和入侵檢測規(guī)則，審計員負責日志的管理和審計中的授權機制，這樣他們共同地負責起一個安全的管理平臺。能減少惡意網(wǎng)絡攻擊或者意外災害帶來的破壞性損失。所以，在應用入侵檢測系統(tǒng)時，千萬不要因為有了入侵檢測系統(tǒng)，就不對系統(tǒng)中的安全隱患進行及時補救。. 網(wǎng)絡安全解決方案的組成針對前文對黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡安全，方正數(shù)碼提出了兩個理念：立體安全防護體系和安全服務支撐體系。通過對文件權限的限制和對IP的選擇，對登錄用戶的認證可以在安全性上做到一定的保護。必須對這些風險加以控制。? 個人身份標識與認證：它主要為了確定身份，如用戶登陸時采用擴展的DES算法對口令進行加密。路由器是網(wǎng)絡的核心部件，路由器的安全將直接影響整個網(wǎng)絡的安全。單點接入示意圖如下：市區(qū)外各部門邏輯分布圖如下圖：. 主要應用服務的安全風險應用服務系統(tǒng)中各個節(jié)點有各種應用服務，這些應用服務提供給各級部門或單位使用。. 網(wǎng)絡與信息安全平臺的任務網(wǎng)絡與信息安全平臺的任務就是創(chuàng)建一個完善的安全防護體系，對所有非法網(wǎng)絡行為，如越權訪問、病毒傳播、惡意破壞等等，事前預防、事中報警并阻止，事后能有效的將系統(tǒng)恢復。確認信任的網(wǎng)絡組成，一般而言，網(wǎng)絡中的主控主機都會受到良好的安全保護，黑客對這些主機的入侵是通過網(wǎng)絡中的主控主機的信任成分來開始攻擊的，一個網(wǎng)絡信任成員往往是主控主機或者被認為是安全的主機。Inter的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊、企業(yè)、個人的利益休戚相關的“大事情”。首先，寧波市政府與上級政府部門的信息數(shù)據(jù)交換量非常大。政府專網(wǎng)是獨立于公共網(wǎng)絡之外的政府系統(tǒng)專用網(wǎng)絡，物理上與外部公共網(wǎng)絡隔離。寧波市處理重大事件指揮中心（以下簡稱指揮中心）是一個獨立的網(wǎng)段，以多模光纖接入核心點的接入交換機，中間需以防火墻隔離。通知通告：包括會議、學習、上報材料等通知，系統(tǒng)內的通報等。在為各安全產(chǎn)品選型時，我們