【正文】 T E R N E T保 護 主 機F i r e w a l l 防火墻部署示意圖 針對 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng) 的具體情況，我們得到 對 防火墻的需求包括以下幾個方面： ? 訪問控制 防火墻必須能夠?qū)崿F(xiàn)網(wǎng)絡(luò)邊界的隔離，具有基于狀態(tài)檢測的包過濾功能，能夠?qū)崿F(xiàn)針對源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、帶寬等的訪問控制，能夠?qū)崿F(xiàn)郵件內(nèi)容過濾，支持網(wǎng)絡(luò)地址轉(zhuǎn)換等功能。另外 ,防火墻系統(tǒng)也能夠?qū)φ５木W(wǎng)絡(luò)使用情況做出統(tǒng)計。 ? 日志記錄與審計 當防火墻系統(tǒng)被配置為工作在不同安全域之間的關(guān)鍵節(jié)點時，防火墻系統(tǒng)就能夠?qū)Σ煌踩蛑g的訪問請求做出日志記錄。 ? 控制協(xié)議和服務(wù) 針對網(wǎng)絡(luò)協(xié)議設(shè)計的先天缺陷，防火墻采取控制協(xié)議和服務(wù)的方法，使得只有授權(quán)的協(xié)議和服務(wù)才可以通過防火墻，從而大大降低了因某種服務(wù)、協(xié)議的漏洞而引起災(zāi)難性安全事故的可能性。 防火墻可實現(xiàn)以下的基本功能。防火墻通常位于不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一連接處，根據(jù)組織的業(yè)務(wù)特點、行業(yè)背景、管理制度所制定的安全策略，運用包過濾、代理網(wǎng)關(guān)、 NAT 轉(zhuǎn)換、IP+MAC 地址綁定等技術(shù)，實現(xiàn)對出入網(wǎng)絡(luò)的信息流進行全面的控制（允許通過、拒絕通過、過程監(jiān)測），控制類別包括 IP 地址、 TCP/UDP 端口、協(xié)議、服務(wù)、連接狀態(tài)等網(wǎng)絡(luò)信息的各個方面。 網(wǎng)絡(luò)邊界防護邏輯示意圖 根據(jù) 榆林市政府應(yīng)急中心 的具體情況，并結(jié)合用戶的需求，在本技術(shù)方案中，我們將在互聯(lián)網(wǎng)和 榆林市政府應(yīng)急中心 網(wǎng)絡(luò)之間采取邏輯隔離技術(shù)，即使用防火墻和入侵檢測系統(tǒng)；而在榆林市政府應(yīng)急中心辦公 內(nèi)網(wǎng)和 涉密內(nèi)網(wǎng) 之間采用物理隔離技術(shù)，即采用安全隔離網(wǎng)閘來實現(xiàn)榆林市政府應(yīng)急中心 網(wǎng)絡(luò)和 榆林市政府應(yīng)急中心 數(shù) 據(jù)中心之間的安全數(shù)據(jù)交換。 邊界防護的需求 邊界防護的設(shè)計是將組織的網(wǎng)絡(luò)，根據(jù)其信息性質(zhì)、使用主體、安全目標和策略的不同來劃分為不同的安全域（從縱向上我們將 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 劃分內(nèi)網(wǎng)和電子政務(wù)專網(wǎng)兩個層面，從橫向上又分為涉密內(nèi)網(wǎng)、服務(wù)器群和辦公內(nèi)網(wǎng)三個組成部分，從而形成多個安全域），不同的安全域之間形成了網(wǎng)絡(luò)邊 界， 通過邊界保護，嚴格規(guī)范 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng)內(nèi)部 的 訪問 ，防范不同網(wǎng)絡(luò)區(qū)域之間的非法訪問和攻擊， 從而 確保 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 各個區(qū)域的有序訪問。 辦公自動化系統(tǒng)平臺風險分析 ? 硬件 /軟件故障造成系統(tǒng)癱瘓 ? 計算機病毒的入侵 ? 特洛伊木馬的惡意程序造成失密 ? 郵件系統(tǒng)故障 ? 辦公終端非法連接互聯(lián)網(wǎng) 榆林市政府應(yīng)急中心網(wǎng)站系統(tǒng)平臺風險分析 ? 拒絕服務(wù)攻擊 ? 端口掃描 ? 篡改網(wǎng)站主頁 ? 非授權(quán)用戶訪問 ? 冒充合法用戶的訪問 ? Web 服務(wù)器主機的詳細信息被泄漏 ? Web 服務(wù)器私人信息和保密信息被竊 ? 利用 Bug 對 Web 站點進行破壞 ? 互聯(lián)網(wǎng)上傳輸信息被非法截獲，納稅人信息和申報數(shù)據(jù)被非法篡改 安全風 險分析匯總 安全風險類別 安全風險描述 安全需求 網(wǎng)絡(luò)架構(gòu) 網(wǎng)絡(luò)訪問的合理性 來自外接專網(wǎng)的 越權(quán)訪問 訪問控制 來自外接專網(wǎng)的 惡意攻擊 入侵檢測 來自外接專網(wǎng)的 病毒入侵 病毒防護 來自政務(wù)網(wǎng)系統(tǒng)同級、上級和下級節(jié)點的 越權(quán)訪問 訪問控制 來自政務(wù)網(wǎng)系統(tǒng)同級、上級和下級節(jié)點的 惡意攻擊 入侵檢測 來自政務(wù)網(wǎng)系統(tǒng)同級、上級和下級節(jié)點的 病毒入侵 病毒防護 TCP/IP 的弱點 利用 TCP/IP 弱點進行 拒絕服務(wù)攻擊 邊界隔離 利用 TCP/IP 弱點進行 IP 欺騙攻擊 邊界隔離 蠕蟲病毒攻擊 系統(tǒng)加固 網(wǎng)絡(luò)設(shè)備的風險 路由器弱口令的風險 漏洞掃描 口令明文傳遞的風險 加密傳輸 假路由、路由欺騙攻擊 漏洞掃描 敏感信息在廣域網(wǎng) 中傳輸?shù)陌踩[患 文件查詢系統(tǒng)在傳輸過程中被竊取、篡改、刪除 通訊信道加密 網(wǎng)絡(luò)及系統(tǒng)漏 洞的安全隱患 黑客利用已知的漏洞對網(wǎng)絡(luò)或系統(tǒng)進行惡意攻擊 漏洞掃描 應(yīng)用系統(tǒng) 關(guān)鍵業(yè)務(wù)主機出現(xiàn)故障和系統(tǒng)漏洞的安全隱患 不能實時監(jiān)控關(guān)鍵業(yè)務(wù)主機硬件系統(tǒng)的運行情況 集中安全管理 （主機性能監(jiān)控） 不能實時報告關(guān)鍵業(yè)務(wù)主機系統(tǒng)故障 集中安全管 理 （主機穩(wěn)定性監(jiān)控） 操作系統(tǒng)的安全級別低，缺乏對使用關(guān)鍵業(yè)務(wù)主機操作系統(tǒng)用戶權(quán)限的嚴格控制、文件系統(tǒng)的保護等 訪問控制 （主機安全防護） 數(shù)據(jù)庫系統(tǒng)的安全隱患 不能實時監(jiān)控數(shù)據(jù)庫系統(tǒng)的運行情況包括：數(shù)據(jù)庫文件存儲空間、系統(tǒng)資源的使用率、配置情況、數(shù)據(jù)庫當前的各種死鎖資源情況、數(shù)據(jù)庫進程的狀態(tài)、進程所占內(nèi)存空間等。 ? 繞過 DBMS 直接對數(shù)據(jù)進行讀寫。 ? 信息的非正常的擴散 —— 泄密。 ? 隱通道。 ? 特洛伊木馬。 ? 病毒。 ? 蓄意的侵犯或敵意的攻擊。 ? 人為的失誤。 ? 硬件或軟件的故障 /錯誤導(dǎo)致的數(shù)據(jù)丟失。自然的或意外的事故。數(shù)據(jù)完整性和合法存取會受到很多方面的安全威脅，包括對數(shù)據(jù)庫中信息的竊取、篡改和破壞，計算機病毒、特洛伊木馬等對數(shù)據(jù)庫系統(tǒng)的滲透、攻擊，系統(tǒng)后門以及本身的安全缺陷等。 WINDOWS 9X 系統(tǒng)通常存在的安全漏洞包括以下方面： ? WINDOWS 9X 系統(tǒng)經(jīng)常出現(xiàn)的拒絕服務(wù)攻擊漏洞 ? IE 瀏覽器出現(xiàn)的各種安全漏洞 ? WINDOWS 資源共享導(dǎo)致的安全漏洞 ? 電子郵件攜帶的病毒和木馬程序 ? IRC、 ICQ、 OICQ 等網(wǎng)絡(luò)聯(lián)絡(luò)工具帶來的安全漏洞 ? WINDOWS 9X 系統(tǒng)中存在的其它安全漏洞 數(shù)據(jù)庫系統(tǒng)平臺風險分析 數(shù)據(jù)庫系統(tǒng)一 般可以理解成兩部分：一部分是數(shù)據(jù)庫，按一定的方式存取數(shù)據(jù)；另一部分是數(shù)據(jù)庫管理系統(tǒng)（ DBMS），為用戶及應(yīng)用程序提供數(shù)據(jù)訪問，并具有對數(shù)據(jù)庫進行管理、維護等多種功能。一方面，辦公人員習慣使用 WINDOWS 9X 系統(tǒng)進行日常的電子通信、文件編輯、資源共享 、文件打印、登錄其它主機、瀏覽網(wǎng)頁等；另一方面， WINDOWS 9X 系統(tǒng)的安全問題容易受到忽視而導(dǎo)致安全管理方面的松懈。缺省安裝的 WINDOWS NT/2020/XP 操作系統(tǒng)的安全問題非常嚴重，它們通常會出現(xiàn)下述安全漏洞： ? 沒有安裝最新的 Service Pack. ? 沒有關(guān)閉不必要的系統(tǒng)服務(wù) ? 最新的 SERVICE PACK 沒有解決的安全漏洞 ? 缺省安裝的服務(wù)程序帶來的各種安全漏洞 ? 系統(tǒng)注冊表屬性安全漏洞 ? 文件系統(tǒng)屬性安全漏洞 ? 缺省帳號安全漏洞 ? 文件共享方面的安全漏洞 ? 其它方面的各種安全漏洞 Windows 9x 的安全漏洞 當前 WINDOWS 9X 操作系統(tǒng)是辦公網(wǎng)絡(luò)、網(wǎng)絡(luò)管理和監(jiān)視等的重要組成部分。缺省安裝的 UNIX 操作系統(tǒng)（以 HP UNIX 為例）會存在以下安全漏洞： ? FINGER（泄露系統(tǒng)信息） ? 各類 RPC（存在大量的遠程緩沖區(qū)溢出、泄露系統(tǒng)信息） ? SENDMAIL（許多安全漏洞、垃圾郵件轉(zhuǎn)發(fā)等） ? NAMED（遠程緩沖區(qū)溢出、拒絕服務(wù)攻擊等） ? SNMP（泄露系統(tǒng)信息） ? 操作系統(tǒng)內(nèi)核中的網(wǎng)絡(luò)參數(shù)存在許多安全隱患（ IP 轉(zhuǎn)發(fā)、堆棧參數(shù)等） ? 存在各種緩沖區(qū)溢出漏洞 ? 存在其它方面的安全漏洞 微軟操作系統(tǒng)安全漏洞 Windows NT/2020/XP 的安全漏洞 Windows NT/2020/XP 操作系統(tǒng)由于其簡單明了的圖形化操作界面，以及逐漸提高的系統(tǒng)穩(wěn)定性等因素，正逐步成為主要的網(wǎng)絡(luò)操作系統(tǒng)，并且在 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 中占有重要地位。安全漏洞就是某種形式的脆弱性。 操作系統(tǒng)平臺風險分析 操作系統(tǒng)平臺的安全風險主要來自為針對操作系統(tǒng)漏洞的攻擊。硬件平臺的安全風險主要表現(xiàn)在： ? 火災(zāi) ? 水災(zāi) ? 鼠害 ? 地震、雷電等意外的天災(zāi) ? 偷竊，是指非法用戶盜竊財政機構(gòu)硬件資產(chǎn)和數(shù)據(jù)資產(chǎn)的可能性 ，它包括內(nèi)部人員的偷竊和外部人員的偷竊。具體而言，軟件是安裝在服務(wù)器、工作站等硬件之上的，所以軟件資產(chǎn)的安全威脅和脆弱性也就必然要包括這些硬件所受的技術(shù)故障、人員錯誤以及物理和環(huán)境的威脅和脆弱性。因此，對應(yīng)用系統(tǒng)安全風險的分析也就 是對各種系統(tǒng)平臺的安全風險分析。 應(yīng)用系統(tǒng)風險分析 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 應(yīng)用系統(tǒng)包括：辦公自動化系統(tǒng)、檔案文件管理與內(nèi)容管理系統(tǒng)等。對于一些業(yè)務(wù)系統(tǒng)，特別是數(shù)據(jù)庫系統(tǒng)，這種重放攻擊會造成數(shù)據(jù)失真以及數(shù)據(jù)錯誤； ? 偽裝成合法用戶：利用偽造 用戶標識，通過電子郵件、實時報文或請求文件傳輸?shù)靡赃M入通信信道，實現(xiàn)惡意目的。由于使用地方政務(wù)網(wǎng)這樣的第三方不可信任網(wǎng)絡(luò)，攻擊者能夠通過線路偵聽等方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄露；或通過開放 環(huán)境中的路由或交換設(shè)備，非法截取通信信息； ? 篡改、刪減傳輸信息：攻擊者在得到報文內(nèi)容后，即可對報文內(nèi)容進行修改，造成收信者的錯誤理解。 這就要求系統(tǒng)能夠?qū)W(wǎng)絡(luò)中發(fā)生的各種訪問，乃至網(wǎng)絡(luò)中傳遞的數(shù)據(jù)包進行很好的監(jiān)控，特別是針對 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 專網(wǎng)，由于其既存在對內(nèi)提供服務(wù)的設(shè)備，也存在對外提 供服務(wù)的設(shè)備，這些服務(wù)器在安裝的過程中有可能沒有關(guān)閉掉一些毫無用處的服務(wù)，或者即使關(guān)閉了這些服務(wù)，也因為操作系統(tǒng)自身存在的漏洞而給攻擊者可乘之機，特別是對互聯(lián)網(wǎng)提供服務(wù)的設(shè)備，很容易成為 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 專網(wǎng)的“安全短板”，被來自 互聯(lián)網(wǎng)的攻擊者利用，從而發(fā)起對內(nèi)網(wǎng)的攻擊。 網(wǎng)絡(luò)訪問的合理性 網(wǎng)絡(luò)的訪問策略是不是合理，訪問是不是有序，訪問的目標資源是否受控等問題，都會直接影響到 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 系統(tǒng) 的穩(wěn)定與安全。這意味著要能對完整性的破壞進行識別和響應(yīng)； ? 維護服務(wù)和信息的可用性。一般來講，網(wǎng)絡(luò)服務(wù)器所面臨的安全問題包括： ? 維護存儲在服務(wù)器上信息的機密性。 ? 發(fā)布假路由，路由欺騙，導(dǎo)致整個網(wǎng)絡(luò)的路由混亂。 ? 針對路由器的拒絕服務(wù)攻擊或分布式 拒絕服務(wù)攻擊。 ? 每個管理員都可能使用相同的口令，因此，雖然訪問日志可以詳細記錄管理員對路由器進行登錄、修改操作，但無法區(qū)分是哪位管理員進行的操作。一旦口令泄密路由器將失去所有的保護能力。 對于 榆林市政府應(yīng)急中心網(wǎng)絡(luò) ，由于 TCP/IP 協(xié)議的弱點，有可能造成以下的破壞。使 被信任主機喪失工作能力 。然后，偽裝成被信任的主機，同時建立起與目標主機基于地址驗證的應(yīng)用連接。其次，信任模式已被發(fā)現(xiàn)，并找到了一個被目標主機信任的主機。 典型利用 TCP/IP 協(xié)議的弱點，發(fā)起攻擊行為的就是“拒絕服務(wù)攻擊”，比如“ SYN FLOOD” 攻擊，它就是利用了 TCP 協(xié)議中，建立可靠連接所必須經(jīng)過的三次握手行為，攻擊者只向攻擊目標發(fā)送帶“ SYN”表示的數(shù)據(jù)包，導(dǎo)致攻擊目標一味地等待發(fā)起連 接請求的源地址再次發(fā)送確認信息，而導(dǎo)致系統(tǒng)處于長期等待狀態(tài)，直至系統(tǒng)的資源耗盡，而無法正常處理其他合法的連接請求。具有非常好的擴展性，適合于構(gòu)造大型的計算機網(wǎng)絡(luò)。 應(yīng)用系統(tǒng)平臺 硬件平臺 操作系統(tǒng)平臺 數(shù)據(jù)庫系統(tǒng)平臺 中間件系統(tǒng)平臺 辦公自動化系統(tǒng)平臺 網(wǎng)站系統(tǒng)平臺 系統(tǒng)風險分析 網(wǎng)絡(luò)架構(gòu)風險分析 從網(wǎng)絡(luò)架構(gòu)的角度，我們認為存在的安全隱患主要來自于以 下幾個方面，包括 榆林市政府應(yīng)急中心網(wǎng)絡(luò) 的基礎(chǔ) TCP/IP 自身的弱點，網(wǎng)絡(luò)設(shè)備存在的安全隱患、網(wǎng)絡(luò)服務(wù)器存在的安全風險、網(wǎng)絡(luò)訪問的合理性和數(shù)據(jù)傳輸?shù)陌踩浴? 此外，應(yīng)用邏輯層的另一個主要作用是與數(shù)據(jù)層交換數(shù)據(jù)。 應(yīng)用系統(tǒng)主要有以下幾類用戶：市應(yīng)急平 臺、市內(nèi)各部門、分中心、各局辦，都是通過電子政務(wù)內(nèi)網(wǎng)或互聯(lián)網(wǎng)直接連接和市應(yīng)急平臺應(yīng)用系統(tǒng)進行通訊。 在榆林市政府應(yīng)急中心網(wǎng)絡(luò)中建立整體防病毒體系，對從網(wǎng)絡(luò)入口到網(wǎng)絡(luò)內(nèi)的服務(wù)器和所有計算機設(shè)備采取全面病毒防護，并且根據(jù)需要在網(wǎng)絡(luò)中心設(shè)置病毒防護管理中心，可以使反病毒工作按照不同部門或地域的實際情況，分組設(shè)置反病毒管理工作。 安全監(jiān)控一般采用防火墻和入侵檢測系統(tǒng)配合的方式，防火墻是處于網(wǎng)絡(luò)邊界的設(shè)備，自身可能被攻破，需要在內(nèi)部進行監(jiān)控，采用入侵檢測設(shè)備識別網(wǎng)絡(luò)行為的可信任性，判斷是否是內(nèi)部系統(tǒng)網(wǎng)絡(luò)或數(shù)據(jù)資源的可疑行為，并對這些行為做出處理響應(yīng)；入侵檢測是對防御技術(shù)的重要補充，入侵檢測設(shè)備的能效既針對外部網(wǎng)絡(luò)，也針對內(nèi)部網(wǎng)絡(luò)。 安全防御是通過防火墻來進行安全訪問控制，防火墻是在內(nèi)部可信任設(shè)施和外部非信任網(wǎng)絡(luò)之間的屏障，防火墻 的設(shè)計的原則是：只信任內(nèi)部網(wǎng)絡(luò)，對一切來自外部 /去往外部的流量進行監(jiān)控。此外，僅僅依靠安全技術(shù)和安全的管理是無法徹底解決安全問題的，解決安全問題是個循序的過程，還需要對緊急事件進行及時的處理響應(yīng)并完善更新策略規(guī)則，增強整個系統(tǒng)安全性 。這需要依靠技術(shù)方面的安全保護和管理方面的安全管理進行全面防護。 所以網(wǎng)絡(luò)的安全解決方案應(yīng)該主要從三個層次解決：網(wǎng)絡(luò)層、應(yīng)用層和管理層。在物理層次的安全主要依靠物理線路的可靠保障、維護等措施防護，對于不同安 全級別網(wǎng)絡(luò)區(qū)域，可以采用網(wǎng)閘設(shè)備實現(xiàn)信息擺渡，同樣網(wǎng)閘設(shè)備也