【文章內(nèi)容簡介】 正在抓緊進行網(wǎng)絡平臺建設及相關設備的訂購采購工作。政府專網(wǎng)建成后，將極大地促進政府業(yè)務規(guī)范化、辦公自動化、管理智能化、決策科學化、提高政府機關辦事工作效率，實現(xiàn)政府各部門以及上下級政府部門之間信息和資源的共享。市區(qū)內(nèi)采用千兆以太網(wǎng)技術，市區(qū)外采用 IP OVER SDH 傳輸技術，各節(jié)點用物理光纖接入。政府專網(wǎng)以市政府辦公廳為核心節(jié)點，在市區(qū)內(nèi)采用 4 個匯集點，各節(jié)點用物理光纖就近接入?yún)R集點。在市區(qū)外利用網(wǎng)絡供應商提供的SDH 環(huán)路，各節(jié)點用物理光纖接入 SDH 環(huán)。核心節(jié)點與 SDH 環(huán)通過物理光纖連接，把市內(nèi)和市外兩部分連通，組成完整的政府專網(wǎng)網(wǎng)絡平臺?？傮w結構請參見網(wǎng)絡總體拓撲圖。7另 外 ， 省 政 府 專 網(wǎng) 的 光 纖 接 入 到 IBM2216 路 由 器 ， 再 經(jīng) 過 防 火 墻 （ 上 海 華堂 ） ， 以 百 兆 方 式 接 入 核 心 節(jié) 點 的 接 入 交 換 機 。國 務 院 專 網(wǎng) 的 幀 中 繼 專 線 接 入 到 CISCO 路 由 器 ， 再 經(jīng) 過 防 火 墻 （ 中 科 院 的安 勝 （ ERCIST） 防 火 墻 ） ， 以 百 兆 方 式 接 入 核 心 節(jié) 點 的 接 入 交 換 機 。寧波市處理重大事件指揮中心（以下簡稱指揮中心）是一個獨立的網(wǎng)段，以多模光纖接入核心點的接入交換機，中間需以防火墻隔離。市政府西大院所有單位作為一個節(jié)點，用 4 芯光纖接入?yún)R集點。政府專網(wǎng)采用 CISCO 的 WORKS2022 FOR NT 作為網(wǎng)管軟件。首先，寧波市政府與上級政府部門的信息數(shù)據(jù)交換量非常大。一方面，國務院、省政府需要寧波市政府上報大量信息，如地方經(jīng)濟運行狀況、經(jīng)濟規(guī)劃、社會治安情況等；另一方面，寧波市政府也需要及時了解國家有關政策、法規(guī)的最新情況。第二，寧波市政府與各縣區(qū)政府數(shù)據(jù)交換量也相當大。第三，為了切實做好政府各項綜合管理工作，市政府要領導、安排、督促和協(xié)調(diào)政府各職能部門工作，因此與各部門業(yè)務聯(lián)系十分密切，信息交換量很大。第四，市8政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁。、通知通告、要聞信息等文字資料為主。（含與市委、人大、政協(xié)系統(tǒng)之間）內(nèi)部信息交流內(nèi)容，主要有：網(wǎng)上辦公：公文及業(yè)務工作網(wǎng)上辦理流轉。宏觀信息：包括國際、國內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟數(shù)據(jù)，每日信息，重要會議，重大事件。基本信息：包括市情、縣情，各級領導情況，機構設置、直屬機構設置、編制、職能職責、聯(lián)系電話、郵箱地址等。通知通告：包括會議、學習、上報材料等通知，系統(tǒng)內(nèi)的通報等。工作動態(tài)：國家、省、市政府及政府有關部門的重要政策信息，政府內(nèi)部改革思路新經(jīng)驗等。重大事件處理：綜合治理、災害、汛情、交通等方面的文字、圖像及視頻信息。政策法規(guī)：地方政策法規(guī)和國家、浙江省的政策法規(guī)行業(yè)數(shù)據(jù)：科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。地理信息系統(tǒng)：規(guī)劃、建筑、地形地貌等方面的數(shù)據(jù)，包括大型圖片。會計核算中心：財務數(shù)據(jù)經(jīng)濟服務中心：批文、辦事程序等數(shù)據(jù)以上諸項信息內(nèi)容除已說明以外，其余都為文字、數(shù)字等形式。目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的產(chǎn)品中安裝“后門” ，其中包括一些應用廣泛的操作系統(tǒng)。為此德國軍方前些時候甚至規(guī)定在所有牽涉到機密的計算機里，不得使用美國的操作系統(tǒng)。作為信息安全的保障，我們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡安全產(chǎn)品，將安全風險降至最低。9在為各安全產(chǎn)品選型時，我們立足國內(nèi)，同時保證所選產(chǎn)品的先進性及可靠性，并要求通過國家各主要安全測評認證。. 網(wǎng)絡安全現(xiàn)狀Inter 正在越來越多地融入到社會的各個方面。一方面，隨著網(wǎng)絡用戶成分越來越多樣化，出于各種目的的網(wǎng)絡入侵和攻擊越來越頻繁；另一方面，隨著 Inter 和以電子商務為代表的網(wǎng)絡應用的日益發(fā)展，Inter 越來越深地滲透到各行各業(yè)的關鍵要害領域。Inter 的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊、企業(yè)、個人的利益休戚相關的“大事情” 。尤其對于政府和軍隊而言，如果網(wǎng)絡安全問題不能得到妥善的解決，將會對國家安全帶來嚴重的威脅。2022 年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站－Yahoo!、Amazon、eBay 、CNN 陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了 DDoS（分布式拒絕服務）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務器，使其不能提供正常服務。在隨后的不到一個月的時間里，又先后有微軟、ZDNet 和 E*TRADE 等著名網(wǎng)站遭受攻擊。國內(nèi)網(wǎng)站也未能幸免于難，新浪、當當書店、EC123 等知名網(wǎng)站也先后受到黑客攻擊。國內(nèi)第一家大型網(wǎng)上連鎖商城 IT163 網(wǎng)站 3 月 6 日開始運營，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使網(wǎng)站無法運作?？陀^地說，沒有任何一個網(wǎng)絡能夠免受安全的困擾，依據(jù) Financial Times曾做過的統(tǒng)計，平均每 20 秒鐘就有一個網(wǎng)絡遭到入侵。僅在美國，每年由于網(wǎng)絡安全問題造成的經(jīng)濟損失就超過 100 億美元。. 典型的黑客攻擊黑客們進行網(wǎng)絡攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞，還有的是出于好奇或者滿足自己的虛榮心。隨著 Inter 的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。在典型的網(wǎng)絡攻擊中，黑客一般會采取如下的步驟：10自我隱藏，黑客使用通過 rsh 或 tel 在以前攻克的主機上跳轉、通過錯誤配置的 proxy 主機跳轉等各種技術來隱藏他們的 IP 地址，更高級一點的黑客，精通利用電話交換侵入主機。網(wǎng)絡偵探和信息收集，在利用 Inter 開始對目標網(wǎng)絡進行攻擊前，典型的黑客將會對網(wǎng)絡的外部主機進行一些初步的探測。黑客通常在查找其他弱點之前首先試圖收集網(wǎng)絡結構本身的信息。通過查看上面查詢來的結果列表，通常很容易建立一個主機列表并且開始了解主機之間的聯(lián)系。黑客在這個階段使用一些簡單的命令來獲得外部和內(nèi)部主機的名稱：例如，使用 nslookup 來執(zhí)行 “l(fā)s domain or work”， finger 外部主機上的用戶等。確認信任的網(wǎng)絡組成，一般而言，網(wǎng)絡中的主控主機都會受到良好的安全保護，黑客對這些主機的入侵是通過網(wǎng)絡中的主控主機的信任成分來開始攻擊的，一個網(wǎng)絡信任成員往往是主控主機或者被認為是安全的主機。黑客通常通過檢查運行 nfsd 或 mountd 的那些主機輸出的 NFS 開始入侵，有時候一些重要目錄（例如/etc，/home ）能被一個信任主機 mount。確認網(wǎng)絡組成的弱點，如果一個黑客能建立你的外部和內(nèi)部主機列表，他就可以用掃描程序（如 ADMhack, mscan, nmap 等）來掃描一些特定的遠程弱點。啟動掃描程序的主機系統(tǒng)管理員通常都不知道一個掃描器已經(jīng)在他的主機上運行，因為’ps’和’stat’ 都被特洛伊化來隱藏掃描程序。在對外部主機掃描之后，黑客就會對主機是否易受攻擊或安全有一個正確的判斷。有效利用網(wǎng)絡組成的弱點，當黑客確認了一些被信任的外部主機，并且同時確認了一些在外部主機上的弱點，他們就要嘗試攻克主機了。黑客將攻擊一個被信任的外部主機，用它作為發(fā)動攻擊內(nèi)部網(wǎng)絡的據(jù)點。要攻擊大多數(shù)的網(wǎng)絡組成，黑客就要使用程序來遠程攻擊在外部主機上運行的易受攻擊服務程序，這樣的例子包括易受攻擊的 Sendmail,IMAP,POP3 和諸如 statd,mountd, pfsd 等 RPC 服務。獲得對有弱點的網(wǎng)絡組成的訪問權，在攻克了一個服務程序后，黑客就要開始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進制文件，使其以后可以不被發(fā)覺地訪問該主機。目前，黑客的主要攻擊方式有：11欺騙：通過偽造 IP 地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權使用，例如盜用撥號帳號。竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡的數(shù)據(jù)包，對信息進行過濾和分析后得到有用的信息，例如使用 sniffer 程序竊聽用戶密碼。數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進行非法的復制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶的個人信息等。數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對信息進行非法的修改，例如，刪除系統(tǒng)內(nèi)的重要文件，破壞網(wǎng)站數(shù)據(jù)庫等。拒絕服務：使用大量無意義的服務請求來占用系統(tǒng)的網(wǎng)絡帶寬、CPU 處理能力和 IO 能力，造成系統(tǒng)癱瘓，無法對外提供服務。典型的例子就是 2022 年年初黑客對 Yahoo 等大型網(wǎng)站的攻擊。黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)絡癱瘓等嚴重后果，如果是對軍用和政府網(wǎng)絡的攻擊，還會對國家安全造成嚴重威脅。. 網(wǎng)絡與信息安全平臺的任務網(wǎng)絡與信息安全平臺的任務就是創(chuàng)建一個完善的安全防護體系，對所有非法網(wǎng)絡行為，如越權訪問、病毒傳播、惡意破壞等等，事前預防、事中報警并阻止，事后能有效的將系統(tǒng)恢復。在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡上任何一個安全漏洞都會給黑客以可乘之機。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡安全里尤其適用。所以，我們的方案必須是一個完整的網(wǎng)絡安全解決方案，對網(wǎng)絡安全的每一個環(huán)節(jié)，都要有仔細的考慮。122. 安全架構分析與設計邏輯上，寧波市政府系統(tǒng)計算機專網(wǎng)將劃分為三個區(qū)域：數(shù)據(jù)發(fā)布區(qū)、局域網(wǎng)用戶、遠程其他用戶。其中每一個局域網(wǎng)節(jié)點劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個網(wǎng)段，網(wǎng)段之間設置安全隔離區(qū)。每一個網(wǎng)段必須能夠構成一個獨立的、完整的、安全的、可靠的系統(tǒng)。寧波市政府系統(tǒng)計算機專網(wǎng)需要涉及若干政府部門，各地方的網(wǎng)絡通過專用網(wǎng)連接起來。13. 寧波在全國政府專網(wǎng)中的位置政府專網(wǎng)是由國家、省、市及縣級政府部門共同組成的全國性廣域網(wǎng)。整個廣域網(wǎng)網(wǎng)絡系統(tǒng)是一個典型的星形拓樸型結構，主要負責傳輸國家、省、市、縣政府間的文字、圖像和視頻信息。其結構圖如下：政府系統(tǒng)結構圖整 個 區(qū) 域 網(wǎng) 絡 拓 樸 為 一 倒 叉 樹 結 構 ， 國 務 院 為 根 節(jié) 點 ， 寧 波 市 作 為 網(wǎng) 絡 中的 一 級 節(jié) 點 同 時 又 作 為 一 個 區(qū) 域 中 心 節(jié) 點 ， 它 既 要 與 國 家 、 省 各 部 門 互 聯(lián) ， 又要 與 各 縣 （ 市 ） 、 區(qū) 政 府 和 市 政 府 各 部 門 互 聯(lián) ， 在 整 個 網(wǎng) 絡 中 起 著 一 個 承 上 啟下 的 作 用 。. 光纖網(wǎng)絡平臺光纖網(wǎng)絡平臺的提供商為寧波市廣電網(wǎng)絡傳輸中心。具體情況如下：（東北大院以外）73 家單位采用物理光纖分別接入四個匯集點。這四個匯集點分別是廣電網(wǎng)絡傳輸中心匯集點、華僑城匯集點、廣電局匯集點、電視中心匯集點。單點接入示意圖如下：14市區(qū)內(nèi)各部門邏輯分布圖如下圖：、慈溪、奉化、寧海、象山、鎮(zhèn)海、北侖、經(jīng)濟技術開發(fā)區(qū)、保稅區(qū)、大榭開發(fā)區(qū)、港務局等部門。這些部門與核心節(jié)點之間將借助寧波廣電的 SDH 環(huán)網(wǎng)。單點接入示意圖如下：市區(qū)外各部門邏輯分布圖如下圖：15. 主要應用服務的安全風險應用服務系統(tǒng)中各個節(jié)點有各種應用服務，這些應用服務提供給各級部門或單位使用。不能防止未經(jīng)驗證的操作人員利用應用系統(tǒng)的脆弱性來攻擊應用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。而寧波市政府的這些應用系統(tǒng)是政府專網(wǎng)中最重要的組成部分。DNS 服務DNS 是網(wǎng)絡正常運作的基本元素，它們是由運行專門的或操作系統(tǒng)提供的服務的 Unix 或 NT 主機構成。這些系統(tǒng)很容易成為外部網(wǎng)絡攻擊的目標或跳板。對 DNS 的攻擊通常是對其他遠程主機進行攻擊做準備，如篡改域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過獲取 DNS 的區(qū)域文件而得到進一步入侵的重要信息。著名的域名服務系統(tǒng) BIND 就存在眾多的可以被入侵者利用的漏洞。特別是基于 URL 的應用依賴于 DNS 系統(tǒng)，DNS 的安全性也是網(wǎng)絡安全關注的焦點。EMail由于郵件服務器軟件的眾多廣為人知的安全漏洞，郵件服務器成為16進行遠程攻擊的首選目標之一。如利用公共的郵件服務器進行的郵件欺騙或郵件炸彈的中轉站或引擎；利用 sendmail 的漏洞直接入侵到郵件服務器的主機等。而寧波政府專網(wǎng)的內(nèi)部 Email 系統(tǒng)覆蓋面廣，所以