【正文】 同的權(quán)限。針對這個部分的安全控制可以采取特殊的安全策略，同時利用相關(guān)的軟件對系統(tǒng)進(jìn)行配置、監(jiān)控。 針對 Unix 系統(tǒng)存在的諸多風(fēng)險，應(yīng)該采取相應(yīng)的安全措施。通過偵聽網(wǎng)絡(luò)通訊流，入侵者找到受信任主機(jī)的一個 IP 地址，然后發(fā)送消息時指示該消息來自受信任主機(jī)。這有可能造成某個未經(jīng)授權(quán)的個人非法進(jìn)入您的網(wǎng)絡(luò)或看到機(jī)密數(shù)據(jù)。 ■竊聽和重放攻擊 (Snooping and Replay Attacks): 竊聽攻擊涉及某個對網(wǎng)絡(luò)上 的兩臺機(jī)器之間的通訊流進(jìn)行偵聽的入侵者。 ■緩沖區(qū)溢出攻擊 (Buffer Overrun Exploits): 其中包括利用軟件的弱點(diǎn)將任意數(shù)據(jù)添加進(jìn)某個程序中，從而在它以根的身份運(yùn)行時，有可能賦予剝削者對您的系統(tǒng)的根訪問權(quán)。例如，攻擊可能使用大而無用的流量充斥網(wǎng)絡(luò)，導(dǎo)致無法向顧客提供服務(wù)。 將網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相連接，會使您的網(wǎng)絡(luò)遭受潛在的服務(wù)中斷、未經(jīng)授權(quán)的入侵以及相當(dāng)大的破壞。 ? 審計：它要求對使用身份標(biāo)識和認(rèn)證的機(jī)制，文件的創(chuàng)建，修改，系統(tǒng)管理的所有操作以及其他有關(guān)安全事件進(jìn)行記錄，以便系統(tǒng)管理員進(jìn)行安全跟蹤。 ? 對象可用：當(dāng)對象不需要時應(yīng)該立即清除 。 . Unix 系統(tǒng)的安全分析 UNIX 系統(tǒng)安全具有如下特征 ： ? 操作系統(tǒng)可靠性：它用于保證系統(tǒng)的完整性，系統(tǒng)處于保護(hù)模式下，通過硬件和軟件保證系統(tǒng)操作可靠性。不法份子利用已有的或者更加先進(jìn)的技術(shù)手段通常對數(shù)據(jù)庫進(jìn)行偽造數(shù)據(jù)庫中的數(shù)據(jù)、損壞數(shù)據(jù)庫、竊取數(shù)據(jù)庫中的數(shù)據(jù)。 . 數(shù)據(jù)庫系統(tǒng)安全分析 數(shù)據(jù)庫系統(tǒng)是存儲重要信息的場所并擔(dān)負(fù)著管理這些數(shù)據(jù)信息的任務(wù)。 ■ TCP/IP風(fēng)險：系統(tǒng)采用 TCP/IP協(xié)議進(jìn)行通信，而因為 TCP/IP協(xié)議中存在固有的漏洞，比如：針對 TCP序號的攻擊， TCP會話劫持， TCP SYN攻擊等。 ■ 路由器實現(xiàn)的某些動態(tài)路由協(xié)議存在一定的安全漏 洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡(luò)的路由設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或為攻擊做準(zhǔn)備的目的。 ■ 路由器口令的弱點(diǎn)是沒有計數(shù)器功能，所以每個人都可以不限次數(shù)的嘗試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。 下面列舉了一些路由器所存在的主要安全風(fēng)險： ■ 路由器缺省情況下只使用簡單的口令驗證用戶身份，并且遠(yuǎn)程 TELNET 登錄時以明文傳輸口令。 . 網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險 整個系統(tǒng)中網(wǎng)絡(luò)設(shè)備主要采用路由器設(shè)備，有必要分析這些設(shè)備的風(fēng)險 。 FTP 一些 FTP 服務(wù)器的缺陷會使服務(wù)器很容易被錯誤的配置，從而導(dǎo)致安全問題，如被匿名用戶上載的木馬程序，下載系統(tǒng)中的重要信息（如口令文件）并導(dǎo)致最終的入侵。 WWW 利用 HTTP 服務(wù)器的一些漏洞 ，特別是在大量使用服務(wù)器腳本的系統(tǒng)上，利用這些可執(zhí)行的腳本程序，未經(jīng)授權(quán)的操作者可以很容易地獲得系統(tǒng)的控制權(quán)。如利用公共的郵件服務(wù)器進(jìn)行的郵件欺騙或郵件炸彈的中轉(zhuǎn)站或引擎；利用 sendmail 的漏洞直接入侵到郵件服務(wù)器的主機(jī)等。特別是基于 URL 的應(yīng)用依賴于 DNS 系統(tǒng)， DNS 的安全性也是網(wǎng)絡(luò)安全關(guān)注的焦點(diǎn)。對 DNS 的攻擊通常是對其他遠(yuǎn)程主機(jī)進(jìn)行攻擊做準(zhǔn)備，如篡改域名解析記錄以欺騙被攻擊的系統(tǒng)，或通過獲取 DNS 的區(qū)域文件而得到進(jìn)一 步入侵的重要信息。 DNS 服務(wù) DNS 是網(wǎng)絡(luò)正常運(yùn)作的基本元素，它們是由運(yùn)行專門的或操作系統(tǒng)提供的服務(wù)的 Unix 或 NT 主機(jī)構(gòu)成。不能防止未經(jīng)驗證的操作人員利用應(yīng)用系統(tǒng)的脆弱性來攻擊應(yīng)用系統(tǒng)，使得系統(tǒng)數(shù)據(jù)丟失、數(shù)據(jù)更改、獲得非法數(shù)據(jù)等。這些部門與核心節(jié)點(diǎn)之間將借助寧波廣電的 SDH 環(huán)網(wǎng)。這四個匯集點(diǎn)分別是廣電網(wǎng)絡(luò)傳輸中心匯集點(diǎn)、華僑城匯集點(diǎn)、廣電局匯集點(diǎn)、電視中心匯集點(diǎn)。 . 光纖網(wǎng)絡(luò)平臺 光纖網(wǎng)絡(luò)平臺的提供商為寧波市廣電網(wǎng)絡(luò)傳輸 中心。整個廣域網(wǎng) 網(wǎng)絡(luò)系統(tǒng)是一個典型的星形拓樸型結(jié)構(gòu)，主要負(fù)責(zé)傳輸國家、省、市、縣政府間的文字、圖像和視頻信息。 . 網(wǎng)絡(luò)整體結(jié)構(gòu) 寧波市政府系統(tǒng)計算機(jī)專網(wǎng) 需要涉及若干政府部門，各地方的網(wǎng)絡(luò)通過專用網(wǎng)連接起來。 其中每一個局域網(wǎng)節(jié)點(diǎn)劃分為內(nèi)部操作（控制）區(qū)、信息共享區(qū)兩個網(wǎng)段，網(wǎng)段之間設(shè)置安全隔離區(qū)。所以，我們的方案必須是一個完整的網(wǎng)絡(luò)安全解決方案，對網(wǎng)絡(luò)安全的每一個環(huán)節(jié)，都要有仔細(xì)的考慮。 在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個安全漏洞都會給黑客以可乘之機(jī)。 黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機(jī)資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對軍用和政府網(wǎng)絡(luò)的攻擊，還會對國家安全造成嚴(yán)重威脅。 拒絕服務(wù)：使用大量無意義的服務(wù)請求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、 CPU 處理能力和 IO 能力，造成系統(tǒng)癱瘓，無法 對外提供服務(wù)。 數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進(jìn)行非法的復(fù)制，例如，非法拷貝網(wǎng)站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息，盜取網(wǎng)站用戶的個人信息等。 目前，黑客的主要攻擊方式有： 欺騙：通過偽造 IP 地址或者盜用用戶帳號等方法來獲得對系統(tǒng) 的非授權(quán)使 用，例如盜用撥號帳號。要攻擊大多數(shù)的網(wǎng)絡(luò)組成，黑客就要使用程序來遠(yuǎn)程攻擊在外部主機(jī)上運(yùn)行的易受攻擊服務(wù)程序，這樣的例子包括易受攻擊的 Sendmail,IMAP,POP3 和諸如 statd,mountd, pfsd 等 RPC 服務(wù)。 有效利用網(wǎng)絡(luò)組成的弱點(diǎn) ，當(dāng)黑客確認(rèn)了一些被信任的外部主機(jī)，并且同時確認(rèn)了一些在外部主機(jī)上的弱點(diǎn)，他們就要嘗試攻克主機(jī)了。啟動掃描程序的主機(jī)系統(tǒng)管理員通常都不知道一個掃描器已經(jīng)在他的主機(jī)上運(yùn)行，因為 ’ps’和 ’stat’都被特洛伊化來隱藏掃描程序。黑客通常通過檢查運(yùn)行 nfsd 或 mountd 的那些主機(jī)輸出的 NFS 開始入侵，有時候一些重要目錄（例如 /etc， /home）能被一個信 任主機(jī) mount。黑客在這個階段使用一些簡單的命令來獲得外部和內(nèi)部主機(jī)的名稱：例如，使用 nslookup 來執(zhí)行 “ ls domain or work”， finger 外部主機(jī)上的用戶等。黑客通常在查找其他弱點(diǎn)之前首先試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息。 在典型的網(wǎng)絡(luò)攻擊中，黑客一般會采取如下的步驟： 自我隱藏 ，黑客使用通過 rsh 或 tel 在以前攻克的主機(jī)上跳轉(zhuǎn)、通過錯誤 配置的 proxy 主機(jī)跳轉(zhuǎn)等各種技術(shù)來隱藏他們的 IP 地址，更高級一點(diǎn)的黑客，精通利用電話交換侵入主機(jī)。 . 典型的黑客攻擊 黑客們進(jìn)行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工內(nèi)部破壞，還有的是出于好奇或者滿足自己的虛榮心。 客觀地說，沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù) Financial Times 曾做過的統(tǒng)計，平均每 20 秒鐘就有一個網(wǎng)絡(luò)遭到入侵。 國內(nèi)網(wǎng)站也未能幸免于難，新浪、當(dāng)當(dāng)書店、 EC123 等知名網(wǎng)站也先后受到黑客攻擊。黑客使用了 DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無用信息阻塞網(wǎng)站的服務(wù)器，使其不能提供正常服務(wù)。尤其對于政府和軍隊而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴(yán)重的威脅。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Inter 和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展， Inter 越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。 在為各安全產(chǎn)品選型時，我們立足國內(nèi)，同時保證所選產(chǎn)品的先進(jìn)性及可靠性，并要求通過國家各主要安全測評認(rèn)證。為此德國軍方前些時候甚至規(guī)定在所有牽涉到機(jī)密的計算機(jī)里，不得使用美國的操作系統(tǒng)。經(jīng)濟(jì)服務(wù)中心：批文、辦事程序等數(shù)據(jù) 以上諸項信息內(nèi)容除已說明以外，其余都為文 字、數(shù)字等形式。 政策法規(guī)：地方政策法規(guī)和 國家、浙江省的 政策法規(guī) 重大事件 處理：綜合治理、災(zāi)害、汛情、交通等方面的文字、圖像及 視頻信息 。工作動態(tài)：國家、省、市政府及政府有關(guān)部門的重要政策信息，政府內(nèi)部改革思路新經(jīng)驗等。通知通告：包括會議、學(xué)習(xí)、上報材料等通知，系統(tǒng)內(nèi)的通報等?；拘畔ⅲ喊ㄊ星?、縣情，各級領(lǐng)導(dǎo)情況，機(jī)構(gòu)設(shè)置、直屬機(jī)構(gòu)設(shè)置、編制、職能職責(zé)、聯(lián)系電話、郵箱地址等。宏觀信息：包 括國際、國內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟(jì)數(shù)據(jù)，每日信息，重要會議，重大事件。網(wǎng)上辦公：公文及業(yè)務(wù)工作網(wǎng)上辦理流轉(zhuǎn)。 、通知通告、要聞信息等文字資料為主。第三，為了切實做好政府各項 綜合管理工作，市政府要領(lǐng)導(dǎo)、安排、督促和協(xié)調(diào)政府各職能部門工作，因此與各部門 業(yè)務(wù)聯(lián)系十分密切，信息交換量很大。一方面，國務(wù)院、 省政府需要寧波市政府上報大量信息，如地方 經(jīng)濟(jì)運(yùn)行狀況、經(jīng)濟(jì)規(guī)劃、社會治安情況等；另一方面，寧 波市政府也需要及時了解國家有關(guān)政策、法規(guī) 的最新情況。 政府專網(wǎng)采用 CISCO 的 WORKS2020 FOR NT 作為網(wǎng)管軟件。 寧波市處理重大事件指揮中心（以下簡稱指揮中心）是一個獨(dú)立的網(wǎng)段，以多模光纖接入核心點(diǎn)的接入交換機(jī)，中間需以防火墻隔離。 另外，省政府專網(wǎng)的光纖接入到 IBM2216 路由器，再經(jīng)過防火墻（上海華堂），以百兆方式接入核心節(jié)點(diǎn)的接入交換機(jī)。核心節(jié)點(diǎn)與 SDH環(huán)通過物理光纖連接，把市內(nèi)和市外兩部分連通，組成完整的政府專網(wǎng)網(wǎng)絡(luò)平臺。政府專網(wǎng)以市政府辦公廳為核心節(jié)點(diǎn)，在市區(qū)內(nèi)采用 4個匯集點(diǎn)，各節(jié)點(diǎn)用物理光纖就近接入?yún)R集點(diǎn)。政府專網(wǎng)建成后，將極大地促進(jìn)政府業(yè)務(wù)規(guī)范化、辦公自動化、管理智能化、決策科學(xué)化、提高政府機(jī)關(guān)辦事工作效率，實現(xiàn)政府各部門以及上下級政府部門之間信息和資源的共享。整個建設(shè)周期分為二期，第一期 41 個節(jié)點(diǎn)于 2020 年 2 月底前完成，第二期約 81個節(jié)點(diǎn)于 2020年完成。專網(wǎng)內(nèi)部進(jìn)行邏輯分割，采用防火墻隔離、審計檢測等措施， 建立有效的網(wǎng)絡(luò)安全防范體系，以滿 足國家黨政機(jī)關(guān)網(wǎng)絡(luò)可傳送普密級信息的通信安全保密要求。 ： ； :； 群： 寧波市政府 計算機(jī)專網(wǎng)安全產(chǎn)品解決方案 （網(wǎng)絡(luò)防火墻） 方正數(shù)碼有限公司 2020 年 2 月 1. 背景介紹 ................................................................................................................... 5 . 項目總述 ............................................................................................................ 5 . 網(wǎng)絡(luò)環(huán)境總述 ..................................................................................................... 5 . 業(yè)務(wù)現(xiàn)狀 ........................................................................................................ 6 . 網(wǎng)絡(luò)信息安全概況 .............................................................................................. 7 . 網(wǎng)絡(luò)安全現(xiàn)狀 .............................................................................................. 8 . 典型的黑客攻擊 .......................................................................................... 8 . 網(wǎng)絡(luò)與信息安全平臺的任 務(wù) ....................................................................... 10 2. 安全架構(gòu)分析與設(shè)計 ............................................................................................... 11 . 網(wǎng)絡(luò)整體結(jié)構(gòu) ................................................................................................... 11 . 寧波在全國政府專網(wǎng)中的位置 ................................................................... 12 . 光纖網(wǎng)絡(luò)平臺 ............................................................................................ 12 . 寧波政府專網(wǎng)安全風(fēng)險分析 .............................................................................. 14 . 主要應(yīng)用服務(wù)的安全風(fēng)險 ......................................................