【文章內容簡介】 周期分為二期，第一期 41 個節(jié)點于 2020 年 2月底前完成，第二期約 81 個節(jié)點于 2020年完成。目前已經完成網絡平臺、系統(tǒng)集成、系統(tǒng)商務標的招投標工作，正在抓緊進行網絡平臺建設及相關設備的訂購采購工作。政府專網建成后，將極大地促進政府業(yè)務規(guī)范化、辦公自動化、管理智能化、決策科學化、提高政府機關辦事工作效率，實現政府各部門以及上下級政府部門之間信息和資源的共享。 . 網絡環(huán)境總述 市區(qū)內采用千兆以太網技術，市區(qū)外采用 IP OVER SDH 傳輸技術，各節(jié)點用物理光纖接入。政府專網以市政府辦公廳為核 心節(jié)點，在市區(qū)內采用 4個匯集點，各節(jié)點用物理光纖就近接入匯集點。在市區(qū)外利用網絡供應商提供的 SDH 環(huán)路，各節(jié)點用物理光纖接入 SDH 環(huán)。核心節(jié)點與 SDH 環(huán)通過物理光纖連接，把市內和市外兩部分連通，組成完整的政府專網網絡平臺?？傮w結構請參見網絡總體拓撲圖。 另外，省政府專網的光纖接入到 IBM2216 路由器，再經過防火墻（上海華堂），以百兆方式接入核心節(jié)點的接入交換機。 國務院專網的幀中繼專線接入到 CISCO 路由器，再經過防火墻（中科院的安勝（ ERCIST）防火墻），以百兆方式接入核心節(jié)點的接入交換機。 XX 市 處理重大事件指揮中心（以下簡稱指揮中心）是一個獨立的網段，以多模光纖接入核心點的接入交換機，中間需以防火墻隔離。 市政府西大院所有單位作為一個節(jié)點，用 4 芯光纖接入匯集點。 政府專網采用 CISCO 的 WORKS2020 FOR NT 作為網管軟件。 . 業(yè)務現狀 首先， XX 市 政府與上級政府部門的信息數據交換量非常大。一方面，國務院、 省政府需要 XX 市 政府上報大量信息，如地方經濟運行狀況、經 濟規(guī)劃、社會治安情況等；另一方面， XX 市 政府也需要及時了解國家有關政策、法規(guī)的最新情況。第二， XX 市 政府與各縣區(qū)政府數據交換量也相 當大。第三，為了切實做好政府各項 綜合管理工作，市政府要領導、安排、督促和協(xié)調政府各職能部門工作，因此與各部門 業(yè)務聯系十分密切，信息交換量很大。第四， 市政府與市委、 人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁。 市 與上級政府部門之間的信息交流以公文、通知通告、要聞信息等文字資料為主。 市 政府系統(tǒng)（含與市委、人大、政協(xié)系統(tǒng)之間）內部信息交流內容，主要有： 網上辦公：公文及業(yè)務工作網上辦理流轉。 宏觀信息：包括國際、國內、省內、省外、市內、市外宏觀經濟數據，每日信息，重要會議，重大事件。 基本信息： 包括市情、縣情，各級領導情況，機構設置、直屬機構設置、編制、職能職責、聯系電話、郵箱地址等。 通知通告：包括會議、學習、上報材料等通知，系統(tǒng)內的通報等。 工作動態(tài)：國家、省、市政府及政府有關部門的重要政策信息，政府內部改革思路新經驗等。 重大事件 處理：綜合治理、災害、汛情、交通等方面的文字、圖像及 視頻信息 。 政策法規(guī)：地方政策法規(guī)和 國家、浙江省的 政策法規(guī) 行業(yè)數據：科技、文化、教育、交通等方面 的行業(yè)數據。 地理信息系統(tǒng)：規(guī)劃、建筑、地形地貌等方 面的數據，包括大型圖片。 會計核算中心：財務數據 經濟服務中心：批文、辦事程序等數據 以上諸項信息內容除已說明以外，其余都為文 字、數字等形式。 . 網絡信息安全概況 目前，很多公開的新聞表明美國國家安全局（ NSA）有可能在許多美國大軟件公司的產品中安裝“后門”，其中包括一些應用廣泛的操作系統(tǒng)。為此德國軍方前些時候甚至規(guī)定在所有牽涉到機密的計算機里，不得使用美國的操作系統(tǒng)。作為信息安全的保障，我們在安全產品選型時強烈建議使用國內自主開發(fā)的優(yōu)秀的網絡安全產品，將安全風險降至最低。 在為各安全產品選型時，我們立足國內，同時保證所選產品的先進性及可靠性，并要求通過國 家各主要安全測評認證。 . 網絡安全現狀 Inter 正在越來越多地融入到社會的各個方面。一方面，隨著網絡用戶成分越來越多樣化，出于各種目的的網絡入侵和攻擊越來越頻繁；另一方面，隨著Inter 和以電子商務為代表的網絡應用的日益發(fā)展， Inter 越來越深地滲透到各行各業(yè)的關鍵要害領域。 Inter 的安全包括其上的信息數據安全，日益成為與政府、軍隊、企業(yè)、個人的利益休戚相關的“大事情”。尤其對于政府和軍隊而言，如果網絡安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。 2020 年二月，在三 天的時間里，黑客使美國數家頂級互聯網站－ Yahoo!、Amazon、 eBay、 CNN 陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了 DDoS（分布式拒絕服務）的攻擊手段，用大量無用信息阻塞網站的服務器，使其不能提供正常服務。在隨后的不到一個月的時間里，又先后有微軟、 ZDNet 和 E*TRADE 等著名網站遭受攻擊。 國內網站也未能幸免于難，新浪、當當書店、 EC123 等知名網站也先后受到黑客攻擊。國內第一家大型網上連鎖商城 IT163 網站 3 月 6 日開始運營，然而僅四天，該商城突遭網上黑客襲擊，界面文件 全部被刪除，各種數據庫遭到不同程度的破壞，致使網站無法運作。 客觀地說，沒有任何一個網絡能夠免受安全的困擾，依據 Financial Times 曾做過的統(tǒng)計，平均每 20 秒鐘就有一個網絡遭到入侵。僅在美國，每年由于網絡安全問題造成的經濟損失就超過 100 億美元。 . 典型的黑客攻擊 黑客們進行網絡攻擊的目的各種各樣，有的是出于政治目的，有的是員工內部破壞，還有的是出于好奇或者滿足自己的虛榮心。隨著 Inter 的高速發(fā)展，也出現了有明確軍事目的的軍方黑客組織。 在典型的網絡攻擊中，黑客一般會采取如下的步驟： 自我隱 藏 ，黑客使用通過 rsh 或 tel 在以前攻克的主機上跳轉、通過錯誤 配置的 proxy 主機跳轉等各種技術來隱藏他們的 IP 地址，更高級一點的黑客，精通利用電話交換侵入主機。 網絡偵探和信息收集 ，在利用 Inter 開始對目標網絡進行攻擊前，典型的黑客將會對網絡的外部主機進行一些初步的探測。黑客通常在查找其他弱點之前首先試圖收集網絡結構本身的信息。通過查看上面查詢來的結果列表，通常很容易建立一個主機列表并且開始了解主機之間的聯系。黑客在這個階段使用一些簡單的命令來獲得外部和內部主機的名稱：例如，使用 nslookup 來執(zhí)行 “ ls domain or work”， finger 外部主機上的用戶等。 確認信任的網絡組成 ，一般而言，網絡中的主控主機都會受到良好的安全保護，黑客對這些主機的入侵是通過網絡中的主控主機的信任成分來開始攻擊的，一個網絡信任成員往往是主控主機或者被認為是安全的主機。黑客通常通過檢查運行 nfsd 或 mountd 的那些主機輸出的 NFS 開始入侵，有時候一些重要目錄（例如 /etc， /home）能被一個信任主機 mount。 確認網絡組成的弱點 ，如果一個黑客能建立你的外部和內部主機列表，他就可以用掃 描程序（如 ADMhack, mscan, nmap 等）來掃描一些特定的遠程弱點。啟動掃描程序的主機系統(tǒng)管理員通常都不知道一個掃描器已經在他的主機上運行，因為 ’ps’和 ’stat’都被特洛伊化來隱藏掃描程序。在對外部主機掃描之后，黑客就會對主機是否易受攻擊或安全有一個正確的判斷。 有效利用網絡組成的弱點 ，當黑客確認了一些被信任的外部主機，并且同時確認了一些在外部主機上的弱點，他們就要嘗試攻克主機了。黑客將攻擊一個被信任的外部主機，用它作為發(fā)動攻擊內部網絡的據點。要攻擊大多數的網絡組成，黑客就要使用程序來 遠程攻擊在外部主機上運行的易受攻擊服務程序，這樣的例子包括易受攻擊的 Sendmail,IMAP,POP3 和諸如 statd,mountd, pfsd 等 RPC 服務。 獲得對有弱點的網絡組成的訪問權 ，在攻克了一個服務程序后，黑客就要開始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進制文件，使其以后可以不被發(fā)覺地訪問該主機。 目前，黑客的主要攻擊方式有： 欺騙：通過偽造 IP 地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權使 用，例如盜用撥號帳號。 竊聽：利用以太網廣播的特性，使用監(jiān)聽程序來截獲通過網絡的數據 包，對信息進行過濾和分析后得到有用的信息，例如使用 sniffer 程序竊聽用戶密碼。 數據竊取：在信息的共享和傳遞過程中，對信息進行非法的復制，例如，非法拷貝網站數據庫內重要的商業(yè)信息，盜取網站用戶的個人信息等。 數據篡改：在信息的共享和傳遞過程中，對信息進行非法的修改，例如，刪除系統(tǒng)內的重要文件，破壞網站數據庫等。 拒絕服務：使用大量無意義的服務請求來占用系統(tǒng)的網絡帶寬、 CPU 處理能力和 IO 能力，造成系統(tǒng)癱瘓，無法對外提供服務。典型的例子就是 2020 年年初黑客對 Yahoo 等大型網站的攻擊。 黑客的攻擊往往造 成重要數據丟失、敏感信息被竊取、主機資源被利用和網絡癱瘓等嚴重后果，如果是對軍用和政府網絡的攻擊，還會對國家安全造成嚴重威脅。 . 網絡與信息安全平臺的任務 網絡與信息安全平臺的任務就是創(chuàng)建一個完善的安全防護體系，對所有非法網絡行為，如越權訪問、病毒傳播、惡意破壞等等，事前預防、事中報警并阻止，事后能有效的將系統(tǒng)恢復。 在上文對黑客行為的描述中，我們可以看出，網絡上任何一個安全漏洞都會給黑客以可乘之機。著名的木桶原理（木桶的容量由其最短的木板決定）在網絡安全里尤其適用。所以，我們的方案必須是一個完整的網絡安全解 決方案，對網絡安全的每一個環(huán)節(jié)，都要有仔細的考慮。 2. 安全架構分析與設計 邏輯上， XX市 政府系統(tǒng)計算機專網將劃分為三個區(qū)域：數據發(fā)布區(qū)、局域網用戶、遠程其他用戶。 其中每一個局域網節(jié)點劃分為內部操作（控制）區(qū)、信息共享區(qū)兩個網段，網段之間設置安全隔離區(qū)。每一個網段必須能夠構成一個獨立的、完整的、安全的、可靠的系統(tǒng)。 . 網絡整體結構 XX 市 政府系統(tǒng)計算機專網 需要涉及若干政府部門，各地方的網絡通過專用網連接起來。 . 寧波在全國政府專網中的位置 政府專網是由國家、省、市及縣級政府部門共同組成的全國性廣域網。整個廣域網 網絡系統(tǒng)是一個典型的星形拓樸型結構，主要負責傳輸國家、省、市、縣政府間的文字、圖像和視頻信息。其結構圖如下： 政府系統(tǒng)結構圖 整個區(qū)域網絡拓樸為一倒叉樹結構，國務院為根節(jié)點， XX 市 作為網絡中的一級節(jié)點同時又作為一個區(qū)域中心節(jié)點，它既要與國家、省各部門互聯，又要與各縣（市）、區(qū)政府和市政府各部門互聯，在整個網絡中起著一個承上啟下的作用。 . 光纖網絡平臺 光纖網絡平臺的提供商為 XX 市 廣電網絡傳輸中心。 具體情況如下： （東北大院以外） 73 家單位采用物理光纖分別接入四個匯集點。這四個匯集點分 別是廣電網絡傳輸中心匯集點、華僑城匯集點、廣電局匯集點、電視中心匯集點。單點接入示意圖如下