【正文】 攻擊者； 6. 記錄和分析源路徑和其他信息包，并對攻擊做出反應(yīng)和進行限制； 7. 操作者能夠方便正確的配置邊界保護機制，如采取友好 圖形用戶界面； 8. 監(jiān)控并且有產(chǎn)生告警的能力。 防火墻安全解決方案 安全域劃分的原則 榆林市政府應(yīng)急中心 系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)安全域的設(shè)計主要遵循以下設(shè)計原則： （ 1） 明確網(wǎng)絡(luò)資源 事實上我們不能確定誰會來攻擊系統(tǒng)，所以在制訂安全策略 和框架 之初應(yīng)當充分了解 部門的內(nèi)部構(gòu)架，了解要保護什么，需要什么樣的訪問，以及如何協(xié)調(diào)所有的網(wǎng)絡(luò)資源和訪問。 （ 2） 確定網(wǎng)絡(luò)訪問點 網(wǎng)絡(luò)管理員應(yīng)當了解潛在的入侵者會從哪里進入系統(tǒng)。通常是通過網(wǎng)絡(luò)連接、撥號訪問以及配置不當?shù)闹鳈C入侵系統(tǒng)。 （ 3） 限制用戶訪問的范圍 應(yīng)當在網(wǎng)絡(luò)中構(gòu)筑多道 屏障，使得非法闖入系統(tǒng)者不能自動進入整個系統(tǒng)，尤其要注意網(wǎng)絡(luò)中關(guān)鍵敏感地區(qū)的防范。 （ 4） 明確安全設(shè)想 每個安全系統(tǒng)都有一定的假設(shè)。一定要認真檢查和確認安全假設(shè)，否則隱藏的問題就會成為系統(tǒng)潛在的安全漏洞。 （ 5） 充分考慮人的因素 在構(gòu)建安全體系時，人的因素是非常重要的。即便制定了非常完善的安全制度，如果操作員不認真執(zhí)行，也無疑會為不法入侵者大開方便之門。 （ 6） 實現(xiàn)深層次的安全 對系統(tǒng)的任何改動都可能會影響安全，因此系統(tǒng)管理員、程序員和用戶需要充分考慮變動將會造成的附帶影響。構(gòu)建安全體系的目標之一是使系統(tǒng)具 有良好的可伸縮性，而且不易影響系統(tǒng)的安全性。 防火墻部署方案 根據(jù)前文描述， 榆林市政府應(yīng)急中心 系統(tǒng)網(wǎng)絡(luò)可以劃分為局域網(wǎng)外網(wǎng)邊界和數(shù)據(jù)中心網(wǎng)絡(luò)邊界，外聯(lián)網(wǎng)絡(luò)邊界和內(nèi)網(wǎng)邊界，以下主要討論局域網(wǎng)外網(wǎng)邊界的安全問題。按照 章節(jié)的安全對策分析，需要分別在局域網(wǎng)外網(wǎng)邊界部署高性能防火墻，通過防火墻的訪問控制策略嚴格限制 Inter 對內(nèi)部網(wǎng)絡(luò)系統(tǒng)的訪問。如下圖所示： 防火墻部署示意圖 通過對以上部署示意圖的分析，在本方案中充分考慮了設(shè)備的高可用性，因此在 局域網(wǎng)外網(wǎng)與 榆林市電子政務(wù)內(nèi) 網(wǎng)之間部署了一臺防火墻?？紤]到 榆林市政府應(yīng)急中心 系統(tǒng)外網(wǎng)的應(yīng)用Si電子政務(wù)內(nèi)網(wǎng) 千兆 IDSN2200 千兆 UTMusg2020C 千兆 UTMusg2020C 核心交換機 服務(wù)器區(qū)交換機 坐席交換機 1 坐席交換機 N 較多，為了確保每個應(yīng)用系統(tǒng)獨立運行的安全，我們采用防火墻將該區(qū)域進行了邏輯劃分，共分為 3 個邏輯區(qū)域，分別為：辦公內(nèi)網(wǎng)區(qū)、服務(wù)器區(qū)、數(shù)據(jù)中心區(qū)，各個區(qū)域之間的訪問必須符合防火墻的控制策略，因此也就確保了每個應(yīng)用系統(tǒng)的相對獨立性，從而避免了網(wǎng)絡(luò)風(fēng)險的擴大化。 防火墻基本安全策略： ? 防火墻以路由方式接入； ? 防火墻通過 NAT 地址轉(zhuǎn)換隱藏 榆林市政府應(yīng)急中心 系統(tǒng) 網(wǎng)絡(luò)拓撲結(jié)構(gòu)； ? Inter 網(wǎng)絡(luò)用戶只允許訪問 榆林市政府應(yīng)急中心 系 統(tǒng) 網(wǎng)絡(luò)的網(wǎng)上查詢服務(wù)器的受理端口； ? 只允許查詢受理服務(wù)器訪問數(shù)據(jù)中心區(qū)的數(shù)據(jù)服務(wù)器的特定端口； ? 公共服務(wù)區(qū)的計算機只允許訪問 Inter。 基于以上分析，我們推薦選用在啟明星辰 天清漢馬 USG2020C 千兆一體化安全網(wǎng)關(guān)產(chǎn)品，來實現(xiàn)對 榆林市政府應(yīng)急中心局域網(wǎng)外網(wǎng)邊界提供安全防護。 入侵檢測子系統(tǒng)規(guī)劃 設(shè)計目標 入侵檢測系統(tǒng)是控制黑客最有效的手段之一，包括監(jiān)測和預(yù)警兩大功能，它也是對防火墻功能的合理補充，是防范網(wǎng)絡(luò)攻擊的又一道防線。入侵檢測系統(tǒng)幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展了系統(tǒng)管理員的安全管理能力 (包括安全審計、監(jiān)視、進攻識別和響應(yīng) )，提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。 入侵檢測系統(tǒng)應(yīng)能實時監(jiān)測外部黑客入侵、內(nèi)部用戶越權(quán)訪問和誤用，并能對攻擊作出反應(yīng)，以及提供補救措施。其主要功能如下： ? 實時網(wǎng)絡(luò)數(shù)據(jù)流跟蹤，分析網(wǎng)絡(luò)通信會話軌跡； ? 網(wǎng)絡(luò)攻擊模式識別； ? 網(wǎng)絡(luò)安全違規(guī)活動捕獲； ? 網(wǎng)絡(luò)安全事件的自動響應(yīng)； ? 提供智能化網(wǎng)絡(luò)安全審計方案； ? 支持用戶自定義網(wǎng)絡(luò)安全策略和網(wǎng)絡(luò)安全事件； ? 具有生成分析報告的能力； ? 自動或人工方式更新知識庫； ? 能相互監(jiān)視和控制程序的運行，確保系統(tǒng)的健壯 性； 配置入侵檢測系統(tǒng)，主要完成以下工作： 能提供安全審計、監(jiān)視、攻擊識別和反攻擊等多項功能，對內(nèi)部攻擊、外部攻擊和誤操作進行實時監(jiān)控 。 通過入侵檢測探測器和安全服務(wù)中心對網(wǎng)絡(luò)內(nèi)流動的數(shù)據(jù)包進行獲取和分析處理，發(fā)現(xiàn)網(wǎng)絡(luò)攻擊行為或者符合用戶自定義策略的操作，及時報警。 與防火墻互動響應(yīng)，阻斷攻擊行為，實時地實現(xiàn)入侵防御 配置方案 根據(jù)網(wǎng)絡(luò)系統(tǒng)和應(yīng)用系統(tǒng)的要求 ,我們建議核心交換機上配置入侵檢測引擎。入侵檢測安全服務(wù)中心安裝在內(nèi)部網(wǎng)管理區(qū)的一臺主機上，對入侵檢測探測器進行控制和管理。 Si電子政務(wù)內(nèi)網(wǎng) 千兆 IDSN2200 千兆 UTMusg2020C 千兆 UTMusg2020C 核心交換機 服務(wù)器區(qū)交換機 坐席交換機 1 坐席交換機 N 技術(shù)要求 具有對網(wǎng)絡(luò)設(shè)備監(jiān)控的功能； 能夠采用模式匹配、協(xié)議分析、異常探測、安全規(guī)則匹配等多種方法進行檢測，誤報率與漏報率低； 支持自身文件的完整性檢查和系統(tǒng)備份，提供對控制臺系統(tǒng)的自身安全的保護； 支持基于數(shù)據(jù)包 /字節(jié)的流量統(tǒng)計，提供詳細的細節(jié)查詢； 支持對基于網(wǎng)絡(luò)對象的定時數(shù)據(jù)檢測，簡化報警信息； 支持快速的系統(tǒng) /入侵日志檢索； 支持實時網(wǎng)絡(luò)數(shù)據(jù)流跟蹤，網(wǎng)絡(luò)攻擊模式識別； 支持網(wǎng)絡(luò)安全事件的自動響應(yīng)。即能夠自動響應(yīng)網(wǎng)絡(luò)安全事件，包 括控制臺報警；記錄網(wǎng)絡(luò)安全事件的詳細信息，并提示系統(tǒng)安全管理員采取一定的安全措施；實時阻斷連接； 支持多對多的控制臺與探測器連接方式； 支持手動在線、離線升級、自定義自動升級等升級方式； 1檢測速率不小于 1000M； 1能夠與防火墻形成聯(lián)動； 選型建議 根據(jù)專網(wǎng)安全需求及設(shè)計方案，我們推薦使用基于網(wǎng)絡(luò)的入侵檢測及響應(yīng)系統(tǒng)（ NIDS）。 IDS 采用分布式入侵檢測系統(tǒng)構(gòu)架，綜合使用模式匹配、異常分析、狀態(tài)協(xié)議分析、行為分析、內(nèi)容恢復(fù)、網(wǎng)絡(luò)審計等入侵分析技術(shù)，全面監(jiān)視網(wǎng)絡(luò)的通信狀態(tài)，實時捕獲 入侵、誤用、濫用等違反網(wǎng)絡(luò)安全策略的行為，并針對可疑的入侵行為，依據(jù)策略做出主動反應(yīng)、及時的告警及事件日志記錄，最大限度保障網(wǎng)絡(luò)系統(tǒng)安全。 IDS 入侵檢測系統(tǒng)的核心技術(shù) 1 入侵檢測引擎 入侵檢測 引擎綜合使用了特征匹配、 協(xié)議重組、 協(xié)議分析和異常行為檢測等方法 ： ? 自適應(yīng)多協(xié)議融合分析技術(shù)（ AMPFAT， Adaptive Mutiple Protocol Fusion Analysis Technique） ：綜合采用智能協(xié)議棧判別、會話重組、依據(jù)協(xié)議的 IP 數(shù)據(jù)包數(shù)據(jù)萃取、依據(jù)協(xié)議的模式匹配、緩存“零拷貝”等 高性 能網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù) ，提高檢測效率；采用 安全策略預(yù)檢分流及事件縮略再分析技術(shù)更進一步提高檢測性能。 ? 安全策略預(yù)檢與事件縮略再分析 ? 細粒度分析算法 ADI 算法（ BasedAction Deep Inspection）： 智能化的基于行為的深度檢測算法，對于異常網(wǎng)絡(luò)行為進行預(yù)檢分流，有效提高檢測效率； CDI 算法（ Basedcontent Deep Inspection） ：綜合采用智能 IP 碎片重組、智能 TCP 流會話重組技術(shù)，進行內(nèi)容深度檢測， 有效地改善了許多 IDS 普遍存在的高誤報，高漏報問題。 事件分析示意圖 2 智能管理模式 探測器和控制臺間 PeerToPeer 方式的分散性結(jié)構(gòu)，可以使一個探測器連接多個控制臺，或者一個控制臺連接多個探測器。探測器可以有 1 個主控制臺（ Primary Manager）和 1個以上的副控制臺（ Secondary Manager）。 主控制臺和副控制臺可以記錄探測器的所有事件，且主控制臺可以設(shè)置探測器 的配置。 ? 遠程 控制臺 執(zhí)行除設(shè)置之外的所有 探測器 管理功能 。 ? 多 個控制臺 和多 個探測器的 連接 。 ? 發(fā)生 與 控制臺 的連 接斷開 時 ， 探測器 也可持續(xù)工作，記錄事件日志 。 重新連接時 探測器 向 主控制臺 發(fā)送斷開期間保存的所有日志數(shù)據(jù) 。 ? 多個 探測器 連接一個 控制臺。 ? 利用 SSL 加密算法的 控制臺 和 探測器 間的通訊加密化 。 ? 管理員可以根據(jù)需要定制安全事件及網(wǎng)絡(luò)流量的顯示界面，這樣更便于管理員了解網(wǎng)絡(luò)的安全狀況。 3 運行性能 ? IDS 采用內(nèi)存零拷貝、零系統(tǒng)調(diào)用以及獨創(chuàng)的 AMPFAT 等高性能網(wǎng)絡(luò)數(shù)據(jù)包處理技術(shù)，有效降低了網(wǎng)絡(luò)數(shù)據(jù)包的處理開銷，即使在高流量的網(wǎng)絡(luò)環(huán)境下也可以保持出色的運行性能。 產(chǎn)品 主要 特點 細粒度檢測技術(shù) ? 在檢測過程中綜合運用多種檢測 手段，在檢測的各個部分使用合適的檢測方式，脫離了單純的匹配或解碼的檢測模式。有效降低了漏報誤報率，提供了高可用性的告警信息。 ? 檢測技術(shù)解決了目前常用的模式匹配和協(xié)議解碼技術(shù)帶來的入侵檢測產(chǎn)品可用性不高的問題。 入侵檢測功能 ? 檢測 1500 多種攻擊手段。支持事件統(tǒng)計分析，協(xié)議異常檢測，有效防止各種攻擊欺騙。 ? 優(yōu)異的檢測性能，通過使用高速數(shù)據(jù)包處理技術(shù)，提高了大流量下的檢測能力，可以適應(yīng)百兆和千兆的網(wǎng)絡(luò)環(huán)境。百兆環(huán)境下背景流量為百兆滿負荷時，檢測率達到 100％。 ? 檢測規(guī)則庫和國家反計算機入侵和防病毒研究中心合作建 設(shè) ， 保證了檢測規(guī)則庫的權(quán)威性和時效性。 部署配置 ? 支持 IDS/IPS 雙 工作 模式。 ? 支持 PUMA 協(xié)議，具有高擴展性。 增值功能 ? 網(wǎng)絡(luò)行為監(jiān)控、流量監(jiān)視、違規(guī)網(wǎng)絡(luò)連接檢測等功能，掌控自己的網(wǎng)絡(luò)。 ? 強大的響應(yīng)功能，提供防火墻聯(lián)動，郵件報警等多種響應(yīng)方式。 體系結(jié)構(gòu)設(shè)計 ? 完善的日志審計功能，記錄用戶操作的一舉一動。 ? 探測器地址隱藏設(shè)計。 ? 經(jīng)過安全裁減的嵌入式操作系統(tǒng)， DOM 存儲機制 ， 保證硬件設(shè)備的安全。 ? 基于 SSL 加密和身份認證的通訊機制，保證傳輸安全。 配置功能 ? 安全規(guī)則定制 ： 可根據(jù)需要定義自己的安全規(guī)則。對系 統(tǒng)自身的安全規(guī)則，可以根據(jù)需要修改告警級別，響應(yīng)方式等內(nèi)容。系統(tǒng)還提供高級配置界面，為專家級用戶提供強大的支持。 ? 多種響應(yīng)方式 ： 對告警信息提供了防火墻聯(lián)動 、 發(fā)送電子郵件 、 聲音報警 、 Windows 消息報警 、 TCP阻斷等多種響應(yīng)方式。方便用戶，達到主動式防御目的。 ? 日志審計和報表 ： 日志審計功能。可根據(jù)需要從任意角度定制審計查詢條件；內(nèi)置日報，月報等預(yù)設(shè)報表，可根據(jù)需要從任意角度定制報表。 附加功能 ? 網(wǎng)絡(luò)流量統(tǒng)計 ： 提供對探測器監(jiān)視網(wǎng)絡(luò)環(huán)境的流量圖形化統(tǒng)計功能，可以分不同的探測器查看 TCP 連接數(shù)目，網(wǎng)絡(luò)字節(jié)流 量統(tǒng)計，網(wǎng)絡(luò)報文流量統(tǒng)計，網(wǎng)絡(luò)報警事件統(tǒng)計等多種統(tǒng)計信息。 ? 日志維護 ： 提供數(shù)據(jù)庫管理功能，可以對日志信息備份，刪除，恢復(fù)，合并。提供備份文件信息記錄和顯示功能，防止備份文件的丟失。 ? 遠程升級 ： 支持在線和手動兩種升級方式。在控制臺端可以對探測器遠程升級。支持升級分發(fā)，可同時對多個探測器升級，省去管理員繁瑣的操作。 靈活部署功能 ? 開放式接口 ： 支持 PUMA 協(xié)議?？梢院推渌С?PUMA 協(xié)議的安全產(chǎn)品輕松組成安全解決方案。 ? 分級部署 ： 對大型的分布式網(wǎng)絡(luò)環(huán)境提供分級部署功能，完成總部對下屬分支機構(gòu)的集中管理和升 級文件分發(fā)等功能。 ? 多配置模式 ： 支持 IDS/IPS 雙模式檢測。 支持主動（ Active）和被動（ Passive）連接模式，在跨網(wǎng)段和跨防火墻的復(fù)雜網(wǎng)絡(luò)中靈活部署。 基于以上分析，我們推薦選用在啟明星辰 天闐 NS2200 千兆入侵檢測產(chǎn)品，來實現(xiàn)對 榆林市政府應(yīng)急中心局域網(wǎng)核心部分提供安全防護。 安全隔離子系統(tǒng)規(guī)劃 在信息化的建設(shè)過程中，為了保證政府網(wǎng)絡(luò)與信息的安全， 2020 年 1 月，國家保密局頒布了《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》，其中規(guī)定“涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互 聯(lián)網(wǎng)或其它公共信息網(wǎng)絡(luò)相聯(lián)接，必須實行物理隔離?！币虼?，最近各政府部門紛紛將其內(nèi)部局域網(wǎng)與互聯(lián)網(wǎng)進行物理隔離。 然而，對于 榆林市政府應(yīng)急中心 系統(tǒng)而言，很多對外業(yè)務(wù)服務(wù)必須通過互聯(lián)網(wǎng)來完成。一般的，初始數(shù)據(jù)的采集和處理結(jié)果的反饋必須通過互聯(lián)網(wǎng)來實現(xiàn)，這就產(chǎn)生了一個需求，如何在內(nèi)外網(wǎng)物理隔離的條件下，將外網(wǎng)工作數(shù)據(jù)安全轉(zhuǎn)移到數(shù)據(jù)中心區(qū)。另外，許多來自外網(wǎng)，與業(yè)務(wù)相關(guān)的資料和文檔也需要傳入數(shù)據(jù)中心小機，以便數(shù)據(jù)保存。因此，數(shù)據(jù)中心和其它網(wǎng)絡(luò)區(qū)域之間的信息交流成為 榆林市政府應(yīng)急中心 系統(tǒng)需要迫切解決的問題。 最初的解 決方案很簡單，通過人為的干預(yù)來實現(xiàn)。定期將需要轉(zhuǎn)移的數(shù)據(jù)拷貝到軟盤等存儲介質(zhì)上，然后再將其復(fù)制到目標網(wǎng)絡(luò)中。要求高的用戶還會在數(shù)據(jù)轉(zhuǎn)移到目標網(wǎng)絡(luò)前將其進行殺毒處理。這種解決方案在數(shù)據(jù)量不大，交換不頻繁的情況下，的確簡單可行。然而，隨著電子政務(wù)的開