【正文】 黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。? 安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外災(zāi)害帶來的破壞性損失。22. 超高安全要求下的網(wǎng)絡(luò)保護(hù)對于寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)數(shù)據(jù)中心安全而言，安全性需求就更加的高，屬于超高安全要求下的網(wǎng)絡(luò)保護(hù)范圍，因此需要在這些地方使用 2 臺防火墻進(jìn)行雙機(jī)熱備，以保證數(shù)據(jù)穩(wěn)定傳輸。. 認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問內(nèi)部網(wǎng)絡(luò)（包括撥號）時(shí)，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)內(nèi)部網(wǎng)絡(luò)。對于內(nèi)部訪問，也要有完善的網(wǎng)絡(luò)行為審計(jì)記錄和權(quán)限限定，防止由內(nèi)部人員發(fā)起的攻擊──70%以上的攻擊都是內(nèi)部人員發(fā)起的。我們建議寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)利用基于 證書的認(rèn)證體系（目前最強(qiáng)的認(rèn)證體系）來進(jìn)行認(rèn)證。方正方御防火墻管理也是用 證書進(jìn)行認(rèn)證的。. 網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個(gè)玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個(gè)簡單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。但對于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來說，完全的物理隔離是行不通的。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個(gè)重要條件：? 從外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)發(fā)起連接? 將可執(zhí)行指令傳送到內(nèi)部網(wǎng)絡(luò)從而確保寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)的安全。23. 實(shí)施保證寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。要保護(hù)這樣一個(gè)繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。方正方御防火墻采用基于 Windows GUI 的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。可以通過一個(gè)控制機(jī)對多臺方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級權(quán)限機(jī)制，分為管理員，策略員和審計(jì)員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計(jì)員負(fù)責(zé)日志的管理和審計(jì)中的授權(quán)機(jī)制，這樣他們共同地負(fù)責(zé)起一個(gè)安全的管理平臺。事實(shí)上，方御防火墻是通過該標(biāo)準(zhǔn)認(rèn)證的第一個(gè)狀態(tài)檢測型包過濾防火墻。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)這樣的大型網(wǎng)絡(luò)。防火墻是網(wǎng)絡(luò)安全領(lǐng)域首要的、基礎(chǔ)的設(shè)施，它對維護(hù)內(nèi)部網(wǎng)絡(luò)的安全起著重要的作用。利用防火墻可以有效地劃分網(wǎng)絡(luò)不同安全級別區(qū)域間的邊界，并在邊界上對不同區(qū)域間的訪問實(shí)施訪問控制、身份鑒別、和安全審計(jì)等功能。防火墻按實(shí)現(xiàn)的方式不同，其基本類型有：包過濾型、代理(應(yīng)用網(wǎng)關(guān))型和復(fù)合型。復(fù)合型防火墻是在綜合動態(tài)包過濾技術(shù)和代理技術(shù)的優(yōu)點(diǎn)的情況下采取的一種更加完善和安全的防火墻技術(shù)。其功能強(qiáng)大，是未來防火墻技術(shù)發(fā)展的一個(gè)主要趨勢。綜合考慮寧波市政府網(wǎng)絡(luò)安全實(shí)際情況，在本方案中采用方正數(shù)碼的方正方御復(fù)合型防火墻，放置在網(wǎng)絡(luò)連接的各個(gè)節(jié)點(diǎn)間。24 ? 防火墻提供三個(gè)接口：內(nèi)網(wǎng)、外網(wǎng)、DMZ；? 防火墻工作在橋模式，這樣不需要改動現(xiàn)有網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)；? 將對外服務(wù)的各種服務(wù)設(shè)備放置在 DMZ 區(qū)域，和內(nèi)部網(wǎng)絡(luò)嚴(yán)格區(qū)分開，保證內(nèi)部系統(tǒng)安全。. 完善的訪問控制規(guī)則控制：通過方正方御防火墻提供的基于 TCP/IP 協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全控制，生成完整安全的訪問控制表，這個(gè)表包括：■ 外網(wǎng)對 DMZ 內(nèi)服務(wù)訪問控制。將外部對內(nèi)部、DMZ 內(nèi)服務(wù)訪問明確限制，防止非法對內(nèi)部重要系統(tǒng)，特別是業(yè)務(wù)系統(tǒng)的訪問。利用 DMZ 的隔離效果，盡量將對外服務(wù)的部分服務(wù)器放置在 DMZ 區(qū)域，通過 NAT 方式，保護(hù)內(nèi)部網(wǎng)絡(luò)免受攻擊。關(guān)閉操作系統(tǒng)提供的除需要以外的所有服務(wù)和應(yīng)用，防止因?yàn)檫@些服務(wù)和應(yīng)用自身的漏洞給系統(tǒng)帶來的風(fēng)險(xiǎn)。對內(nèi)部 Email、 FTP、 WWW、數(shù)據(jù)庫的訪問做嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生?！?內(nèi)部網(wǎng)絡(luò)：內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò)的訪問也要進(jìn)行嚴(yán)格的限制。防止內(nèi)部員工對外網(wǎng)資源的非法訪問。同時(shí)內(nèi)部員工對 DMZ 區(qū)域服務(wù)器訪問也必須做限制。內(nèi)部員工對外網(wǎng) WWW 訪問采用代理方式。■ DMZ 訪問：通常情況下 DMZ 對外部和內(nèi)部都不能主動進(jìn)行訪問，除非特殊的應(yīng)用需要到內(nèi)部網(wǎng)絡(luò)采集數(shù)據(jù)，可以有限地開放部分服務(wù)。借助方正方御防火墻提供的基于狀態(tài)包過濾技術(shù)對數(shù)據(jù)的各個(gè)方向采用全面安全的技術(shù)策略，制定嚴(yán)格完善的訪問控制策略保證從 IP 到傳輸層的數(shù)據(jù)安全。通過嚴(yán)格的訪問控制表來進(jìn)行限制。IPMAC 地址捆綁 ：方正方御防火墻提供靈活而方式多種的內(nèi)部網(wǎng)絡(luò)、DMZ 區(qū)域、外部網(wǎng)絡(luò) IPMAC 地址捆綁功能，將每臺機(jī)器的 IP 地址和它自身的物理地址捆綁，有效防止內(nèi)部網(wǎng)絡(luò)、DMZ 區(qū)域、外部網(wǎng)絡(luò)的 IP 地址盜用（該功能實(shí)質(zhì)是將網(wǎng)絡(luò)協(xié)議第二層地址和第三層地址進(jìn)行捆綁，達(dá)到一定的安全級別） 。內(nèi)部系統(tǒng)應(yīng)該盡量采用固定 IP 分配方案。通過 IPMAC 地址捆綁，也可以對后期數(shù)據(jù)日志分析帶來一定的方便性。25URL 攔截：方正方御防火墻實(shí)現(xiàn)了透明的 URL 攔截功能，對通過防火墻的應(yīng)用層URL 進(jìn)行嚴(yán)格的控制和管理，按照用戶的要求進(jìn)行攔截。外部對 DMZ、內(nèi)部URL 訪問進(jìn)行控制，同時(shí)也可以限制內(nèi)部網(wǎng)絡(luò)對外部網(wǎng)絡(luò) URL 非法訪問。在該方案中我們將對內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)情況具體了解，對 URL 攔截達(dá)到頁面級別。有效保護(hù) 應(yīng)用的安全。. 內(nèi)置入侵檢測（IDS）方正數(shù)碼公司和國際網(wǎng)絡(luò)安全組織合作，能夠?qū)崟r(shí)獲得最新系統(tǒng)入侵庫代碼，動態(tài)地將這些攻擊技術(shù)的解決方案加入到方正方御防火墻中,同時(shí)在方正方御防火墻內(nèi)部采用 3I 技術(shù)，加速應(yīng)用層安全防護(hù)查詢過程。方正方御防火墻目前能夠支持 1500 種以上的入侵檢測并能夠成功阻斷這樣的攻擊行為，比如最近的紅色代碼。針對各種攻擊行為，比如 TCP 序列號攻擊、劫持、碎片攻擊、端口掃描能夠識別阻斷。而這個(gè)數(shù)據(jù)庫可以實(shí)時(shí)更新、升級。升級在方正方御防火墻界面即可完成。IDS 和訪問策略形成互動。通過防火墻嵌入的 IDS 功能能夠有效防范對內(nèi)部 Windows/NT，Unix 系統(tǒng)的攻擊行為。電子欺騙：防火墻能夠自動識別各種電子欺騙行為并進(jìn)行阻斷。同時(shí)防火墻能夠?qū)窝b IP 地址進(jìn)行識別。. 代理服務(wù)方正方御防火墻對外提供代理服務(wù)功能，內(nèi)部網(wǎng)絡(luò)對外訪問可以通過防火墻提供的代理服務(wù)功能，同時(shí)代理服務(wù)可以針對 URL,SSL,FTP 進(jìn)行應(yīng)用攔截，防止內(nèi)部人員對外網(wǎng)的非法訪問。. 日志系統(tǒng)及系統(tǒng)報(bào)警方正方御防火墻提供強(qiáng)大的日志系統(tǒng)，將通過防火墻的數(shù)據(jù)、防火墻管理數(shù)據(jù)、流量、各種攻擊行為統(tǒng)計(jì)集成到一起。同時(shí)系統(tǒng)提供針對各種統(tǒng)計(jì)結(jié)果按照用戶要求進(jìn)行報(bào)表打印。26針對通過防火墻數(shù)據(jù)，可以按照數(shù)據(jù)類型、地址進(jìn)行統(tǒng)計(jì)分析。針對各種管理數(shù)據(jù)，防火墻進(jìn)行詳細(xì)記錄，網(wǎng)管人員可以方便的查看對防火墻管理情況。如果有內(nèi)部人員對防火墻訪問，可以通過管理數(shù)據(jù)進(jìn)行查詢。流量統(tǒng)計(jì)：防火墻提供流量統(tǒng)計(jì)功能，可以按照用戶名稱、地址等多種方式進(jìn)行統(tǒng)計(jì)。系統(tǒng)報(bào)警：當(dāng)有人非法對內(nèi)部網(wǎng)絡(luò)或者外部網(wǎng)絡(luò)進(jìn)行訪問的時(shí)候，系統(tǒng)的實(shí)時(shí)報(bào)警會通過 Email 和聲音進(jìn)行報(bào)警。同時(shí)對各種非法的訪問和攻擊行為進(jìn)行記錄。通過強(qiáng)大的日志系統(tǒng)和實(shí)時(shí)報(bào)警、日志報(bào)警等多種方式保證網(wǎng)絡(luò)出現(xiàn)安全問題時(shí)可以有資料分析；同時(shí)也可以通過對日志系統(tǒng)的分析完善系統(tǒng)安全策略。. 帶寬分配，流量管理在專網(wǎng)上運(yùn)行著部分重要的業(yè)務(wù)數(shù)據(jù)，這些業(yè)務(wù)數(shù)據(jù)實(shí)時(shí)性要求高，必須保證這樣的數(shù)據(jù)具有優(yōu)先權(quán)限，防止因?yàn)閹拞栴}影響應(yīng)用。方正方御防火墻可以針對實(shí)際情況，對部分特殊應(yīng)用提供帶寬管理。給特殊應(yīng)用分配相對高的帶寬。同時(shí)方正方御防火墻提供流量管理功能，對內(nèi)部網(wǎng)絡(luò)用戶對外網(wǎng)的訪問可以提供流量限制。. 支持政府專網(wǎng)運(yùn)行著視頻會議數(shù)據(jù)（） 。方正方御防火墻能夠準(zhǔn)確識別 數(shù)據(jù)流，讓數(shù)據(jù)合法通過。按照正常的狀態(tài)檢測技術(shù)， 數(shù)據(jù)可能被阻斷。在方正方御防火墻內(nèi)部成功的進(jìn)行了 UDP、TCP 數(shù)據(jù)同步分析。系統(tǒng)能夠識別 連接，保證 數(shù)據(jù)通過。. 系統(tǒng)升級網(wǎng)絡(luò)安全技術(shù)隨著網(wǎng)絡(luò)技術(shù)發(fā)展不斷變化，而網(wǎng)絡(luò)安全策略和軟件也不能一成不變，需要不斷升級。方正方御防火墻管理界面提供方便的系統(tǒng)升級和27IDS 升級功能。保證防火墻產(chǎn)品實(shí)時(shí)和網(wǎng)絡(luò)安全領(lǐng)域技術(shù)同步，防止因?yàn)樾碌陌踩珕栴}給系統(tǒng)帶來的安全風(fēng)險(xiǎn)。其中，特別是 IDS 功能，幾乎每天都有新的安全風(fēng)險(xiǎn)和攻擊軟件出現(xiàn)。方正防火墻內(nèi)嵌 IDS 功能模塊可以動態(tài)升級，保障IDS 數(shù)據(jù)庫和最新動態(tài)同步。. 雙機(jī)備份網(wǎng)絡(luò)安全、穩(wěn)定長期運(yùn)行是最終目標(biāo)，而網(wǎng)絡(luò)硬件可能因?yàn)橐恍┨厥庠虬l(fā)生故障。方正方御防火墻提供雙機(jī)備份功能，采用兩種方式進(jìn)行備份檢測，軟件方式借用 HSRP 技術(shù)動態(tài)跟蹤各個(gè)區(qū)域運(yùn)行狀態(tài)，發(fā)現(xiàn)任何一個(gè)區(qū)域出現(xiàn)問題即刻進(jìn)行切換。硬件方式采用心跳線方式，當(dāng)系統(tǒng)檢測到故障，也將進(jìn)行切換。而系統(tǒng)的切換不影響業(yè)務(wù)。兩臺防火墻工作在互備模式中。. 防火墻方案特點(diǎn)本次防火墻主要設(shè)置在連接的節(jié)點(diǎn)上。本方案中，我們主要根據(jù)寧波政府專網(wǎng)絡(luò)實(shí)際情況，針對防火墻的特殊性，從如下幾個(gè)方面考慮保障系統(tǒng)安全性防火墻放置在內(nèi)外網(wǎng)之間用來隔離內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，對內(nèi)外網(wǎng)絡(luò)的通信進(jìn)行嚴(yán)格的管理和監(jiān)控，防火墻必須提供全面的安全策略保證內(nèi)部系統(tǒng)安全。因此方正方御防火墻提供全面的訪問控制策略、IPMAC 地址捆綁、IDS 入侵檢測、反電子欺騙等手段。這些功能能夠有效的保障內(nèi)部網(wǎng)絡(luò)安全。同時(shí)方正方御防火墻也提供帶寬管理、分配，系統(tǒng)報(bào)警等措施從側(cè)面協(xié)助。自身安全性防火墻作為網(wǎng)絡(luò)系統(tǒng)中的一個(gè)部件，其自身的安全性也是十分重要的，考慮到實(shí)際情況，方正方御防火墻提供單獨(dú)的管理接口，管理接口服務(wù)全部關(guān)閉，同時(shí)管理接口的特殊管理數(shù)據(jù)采用標(biāo)準(zhǔn)加密算法和措施。這樣在遠(yuǎn)程管理過程中數(shù)據(jù)通過專網(wǎng)進(jìn)行管理能夠有效的保證管理的安全性。同時(shí)，利用 Windows NT 中域技術(shù)，對防火墻管理時(shí)必須登錄到相應(yīng)的域才能對域內(nèi)的用戶進(jìn)行管理，保障管理域安全性。而防火墻操作系統(tǒng)采用經(jīng)過嚴(yán)格測試專有操作系統(tǒng)。28維護(hù)方便性管理的方便性直接關(guān)系到系統(tǒng)能否起到安全保護(hù)作用，方正方御防火墻提供的專有 GUI 平臺，方便制訂各種安全策略。系統(tǒng)事件管理系統(tǒng)事件和日志的統(tǒng)計(jì)直接關(guān)系到整個(gè)安全平臺的完善和后續(xù)責(zé)任追查等多個(gè)方面，方正方御防火墻為用戶提供完整、準(zhǔn)確的數(shù)據(jù)統(tǒng)計(jì)結(jié)果，供查詢、打印等。我們建議使用防御防火墻的網(wǎng)橋模式，3 個(gè)端口構(gòu)成一個(gè)以太網(wǎng)交換機(jī)，防火墻本身沒有 IP 地址，在 IP 層透明。可以將任意三個(gè)物理網(wǎng)絡(luò)連接起來構(gòu)成一個(gè)互通的物理網(wǎng)絡(luò)。當(dāng)防火墻工作在交換模式時(shí)，內(nèi)網(wǎng)、DMZ 區(qū)和路由器的內(nèi)部端口構(gòu)成一個(gè)統(tǒng)一的交換式物理子網(wǎng)，內(nèi)網(wǎng)和 DMZ 區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置。如下圖所示：29寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)核心節(jié)點(diǎn)管理除了需要提供信息服務(wù)外，還需要對各區(qū)及委、辦、局的網(wǎng)絡(luò)設(shè)備進(jìn)行集中管理，因此網(wǎng)絡(luò)的安全性和可靠性尤其的重要。內(nèi)部區(qū)放置控制服務(wù)器、數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、認(rèn)證服務(wù)器、系統(tǒng)管理服務(wù)器等設(shè)備，公開信息區(qū)放置對外的信息發(fā)布系統(tǒng)，包括 WEB 服務(wù)器、Mail 服務(wù)器等設(shè)備等。出于穩(wěn)定性的考慮，防火墻使用雙機(jī)熱備的方式，以保證網(wǎng)絡(luò)的不間斷性。寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)核心節(jié)點(diǎn)市政府辦公廳網(wǎng)絡(luò)圖如下：、辦、局的安全網(wǎng)絡(luò)各區(qū)及委、辦、局的網(wǎng)絡(luò)結(jié)構(gòu)節(jié)點(diǎn)也同樣劃分為內(nèi)部操作（控制）區(qū)、公開信息區(qū)兩個(gè)網(wǎng)段。對于這些網(wǎng)絡(luò)我們建議使用如下方案：30. 集中管理和分級管理由于寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計(jì)管理，日志查詢等操作。而用戶的權(quán)限機(jī)制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備和 VPN 設(shè)備。在寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)網(wǎng)絡(luò)管理中心需要對各委、辦、局的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。分析寧波市政府系統(tǒng)計(jì)算機(jī)專網(wǎng)的特