【正文】 .............................69 安保系統(tǒng) ......................................................................................................70 7. 產(chǎn)品清單 ..........................................................................................................................70 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 1 1. 項目背景 項目背景 近年來，隨 著全省 “金財工程 ”建設(shè)的不斷推進，各級財政部門結(jié)合財政改革的需要分別建立了有關(guān)業(yè)務(wù)專網(wǎng)系統(tǒng)。按照功能設(shè)計和目前運行的情況看，財政業(yè)務(wù)專網(wǎng)覆蓋各級政府財政管理部門、財政資金使用部門以及人民銀行、商業(yè)銀行，全面支持部門預(yù)算管理、國庫集中支付、非稅收入管理和辦公自動化等應(yīng)用，已成為財政和財務(wù)管理的重要組成部分。 2020 年按照全省 “金財工程 ”建設(shè)規(guī)劃，在各級財政部門的 共同努力下，全省財政廣域網(wǎng)建設(shè)工作已基本完成，實現(xiàn)了省、市、縣三級財政部門的大聯(lián)網(wǎng)。為確保全省各項財政業(yè)務(wù)的順利運行和財政資金的安全，全面推進 “非稅收入刷卡繳款 ”和 “公務(wù)卡結(jié)算 ”等財政改革工作 。 系統(tǒng)建設(shè)范圍 本項目信息化安全 建設(shè)范圍包括以下系統(tǒng)： ?? 網(wǎng)絡(luò) 出口安全建設(shè) ?? 服務(wù)器應(yīng)用系統(tǒng) 高可用 建設(shè) ?? 數(shù)據(jù)保護措施建設(shè) ?? 機房 改造 建設(shè) 網(wǎng)絡(luò)安全防范體系設(shè)計準(zhǔn)則 1．網(wǎng)絡(luò)信息安全的木桶原則 網(wǎng)絡(luò)信息安全的木桶原則是指對信息均衡、全面的進行保護。網(wǎng)絡(luò)信息系統(tǒng)是一個復(fù)雜的計算機系統(tǒng)，它本身在物理上、操作上和管理上的種種漏洞構(gòu)成了系統(tǒng)的安全脆弱性，尤其是多用戶網(wǎng)絡(luò)系統(tǒng)自身的復(fù)雜性、資源共享性使單純的技術(shù)保護防不勝防。因此，充分、全面、完整地對系統(tǒng)的安全漏洞和安全威脅進行分析，評估和檢測（包括模擬攻擊）是設(shè)計信息安全系統(tǒng)的必要前提條件。 2．網(wǎng)絡(luò)信息安全的整體性原則 要求在網(wǎng)絡(luò)發(fā)生被攻擊、破壞事件的情況下，必須盡可能地快速恢復(fù)網(wǎng)絡(luò)信息中心的服務(wù)，減少損失。安全防護機制是根據(jù)具體系統(tǒng)存在的各種安全威脅采取的相應(yīng)的防護措施，避免非法攻擊的湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 2 進行。安全恢復(fù)機制是在安全防護機制失效的情況下，進行應(yīng)急處理和盡 量、及時地恢復(fù)信息，減少供給的破壞程度。安全體系設(shè)計要正確處理需求、風(fēng)險與代價的關(guān)系，做到安全性與可用性相容，做到組織上可執(zhí)行。 4．標(biāo)準(zhǔn)化與一致性原則 系統(tǒng)是一個龐大的系統(tǒng)工程，其安全體系的設(shè)計必須遵循一系列的標(biāo)準(zhǔn)，這樣才能確 保各個分系統(tǒng)的一致性，使整個系統(tǒng)安全地互聯(lián)互通、信息共享。因此，必須將各種安全技術(shù)與運行管理機制、人員思想教育與技術(shù)培訓(xùn)、安全規(guī)章制度建設(shè)相結(jié)合。隨著今后隨著網(wǎng)絡(luò)規(guī) 模的擴大及應(yīng)用的增加，網(wǎng)絡(luò)應(yīng)用和復(fù)雜程度的變化，網(wǎng)絡(luò)脆弱性也會不斷增加，調(diào)整或增強安全防護力度，保證整個網(wǎng)絡(luò)最根本的安全需求。良好的信息安全系統(tǒng)必然是分為不同等級的，包括對信息保密程度分級，對用戶操作權(quán)限分級，對網(wǎng)絡(luò)安全程度分級（安全子網(wǎng)和安全區(qū)域），對系統(tǒng)實現(xiàn)結(jié)構(gòu)的分級（應(yīng)用層、網(wǎng)絡(luò)層、鏈路層等），從而針對不同級別的安全對象，提供全面、可選的安全算法和安全體制，以滿足網(wǎng)絡(luò)中不同層次的各種實際需求。 9．易操作性原則 首先，安全措施需要人為去完成，如果措施過于復(fù)雜，對人的要求過高，本身就降低了安全性。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 3 2. 風(fēng)險分析 網(wǎng)絡(luò)基礎(chǔ)架構(gòu)風(fēng)險分析 外部網(wǎng)絡(luò)的安全威脅 政府網(wǎng)絡(luò)與外網(wǎng)有互連。網(wǎng)絡(luò)系統(tǒng)中辦公系統(tǒng)及員工主機上都有涉密信息。 引起業(yè)務(wù)網(wǎng)絡(luò)和其他網(wǎng)絡(luò)的同時感染。 如果系統(tǒng)內(nèi)部局域網(wǎng)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡(luò)容易遭到來自外網(wǎng)一些不懷好意的入侵者的攻擊。容易造成數(shù)據(jù)丟失。 內(nèi)部局域網(wǎng)的安全威脅 據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約 70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。因此需要對內(nèi)部網(wǎng)絡(luò)進行安全管理。遇到突發(fā)故障時，可能導(dǎo)致網(wǎng)絡(luò)癱瘓。 管理風(fēng)險 內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。 管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。即除了從技術(shù)下功夫外，還得依靠安全管理來實現(xiàn)。而氣象，圖像數(shù)據(jù)巨大，經(jīng)常都導(dǎo)致工作緩慢。耽誤正常工作進度。必須要對網(wǎng)絡(luò)進行優(yōu)化。網(wǎng)絡(luò)安全不單是單點的安全，而是整個企業(yè)信息網(wǎng)的安全，需要從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進行立體的防護。網(wǎng)絡(luò)安全系統(tǒng)必 須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。根據(jù)國內(nèi)企業(yè)網(wǎng)絡(luò)系統(tǒng)的湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 4 網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用情況，從網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全等方面進行全面地分析。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性，因此安裝通常都是以缺省選項進行設(shè)置。 目前的操作系統(tǒng)無論是 Windows 還是 UNIX 操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，其開發(fā)廠商必然有其 BackDoor。這些后門和安全漏洞都將存在重大安全隱患。如果進行安全配置，填補安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進入內(nèi)部網(wǎng)是不容易的，這需要相當(dāng)高的技術(shù)水平及相 當(dāng)長時間。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險?？赡艽嬖谥鴨T工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被其他人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略。數(shù)據(jù)庫服務(wù)器的安全風(fēng)險包括：非授權(quán)用戶的訪問、通過口令猜測獲得系統(tǒng)管理員權(quán)限、數(shù)據(jù)庫服務(wù)器本身存在漏洞容易受到攻擊等。 病毒侵害的安全風(fēng)險：網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。因此，病毒的危害的不可以輕視的。 數(shù)據(jù)信息的安全風(fēng)險：數(shù)據(jù)安全對企業(yè)來說尤其重要，數(shù)據(jù)在公網(wǎng)線路上傳輸，很難保證在傳輸過程中不被非法竊取、篡改。 管理的安全分析 管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解。把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名 及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險。 管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。即除了從技術(shù)下功夫外，還得依靠安全管理來實現(xiàn)。 防火墻實現(xiàn)功能 來自外部網(wǎng)絡(luò)的攻擊方式在當(dāng)今主流的防護措施是在出口處部署一臺 高性能防火墻。 防火墻實現(xiàn)功能 完善的防火墻特性 支持基于源 IP、目的 IP、源端口、目的端口、時間、服務(wù)、用戶、文件、網(wǎng)址、關(guān)鍵字、郵件地址、腳本、 MAC 地址等方式進行訪問控制 支持流量管理、連接數(shù)控制、 IP+MAC 綁定、用戶認(rèn)證等 安全豐富的 VPN 使組網(wǎng)變得簡單 多 VPN 支持： GRE、 IPSec、 L2TP、 SSL VPN 豐富的應(yīng)用： 專用 VPN 客戶端、 USBKEY、動態(tài)口令卡、圖形認(rèn)證碼 靈活的部署： HubSpoken、 FullMesh、 DVPN、網(wǎng)關(guān)－網(wǎng)關(guān)的 SSL VPN 完善的 P2P、 IM、流媒體、網(wǎng)絡(luò)游戲和股票軟件控制能力 P2P 控制： 對 Emule、 BitTorrent、 Maze、 Kazaa 等進行阻斷、限速 IM 控制： 基于黑白名單的 IM 登錄控制、文件傳輸阻止、查毒；支持主流 IM 軟件如 、MSN、雅虎通、 Gtalk、 Skype 流媒體控制： 對流媒體應(yīng)用進行阻斷或限速，支持 Kamun ppfilm 、 PPLive、 PPStream、 直播、 TVAnts、沸點網(wǎng)絡(luò)電視、貓撲播霸等 網(wǎng)絡(luò)游戲控制： 對常見網(wǎng)絡(luò)游戲如魔獸世界、征途、 游戲大廳、聯(lián)眾游戲大廳等的阻斷 股票軟件控 制： 對常用股票軟件如同花順、大參考、大智慧等的阻斷 強大的日志報表功能 記錄內(nèi)容豐富： 可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、 Web 訪問日志、Mail 發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進行記錄 日志快速查詢： 可對 IP 地址、端口、時間、危急程度、日志內(nèi)容關(guān)鍵字等進行查詢 報表貼近需求： 根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè) LOGO，湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 6 并可形成多種格式的報表文件。 安全防毒網(wǎng)關(guān) 風(fēng)險分析中基于應(yīng)用層的風(fēng)險主要來自網(wǎng)絡(luò)的各種攻擊，其通過病毒攻擊是最常用也是最有效的手段之一，本次設(shè)計部署一臺多功能 UTM 設(shè)備，其中開啟防病毒功能。其二，根據(jù)財政局主要流量分析，業(yè)務(wù)種類多，但是數(shù)據(jù)量并不大，重點關(guān)注于信息安全這一塊，在不影響數(shù)據(jù)正常傳輸性能的同時，能夠?qū)崿F(xiàn)多安全功能的設(shè)備無疑是最佳的選擇。 簡單高效的內(nèi)網(wǎng)安全 統(tǒng)一的安全防護體系：安全邊界延伸至終端，實現(xiàn)基于“網(wǎng)關(guān)”的網(wǎng)絡(luò)防火墻和基于“終端”的主機防火墻雙重融合。 可靠的網(wǎng)絡(luò)準(zhǔn)入控制（ NAC）：實現(xiàn)基于主機進程、防病毒軟件病毒庫版本、操作系統(tǒng)補丁等多個安全環(huán)節(jié)相結(jié)合的準(zhǔn)入控制。 智能的內(nèi)網(wǎng)攻擊防護：網(wǎng)關(guān)與終端相配合提供高效的 ARP 攻擊防范、 DOS 攻擊防范和病毒防范。 多種手段全面清除垃圾郵件 自學(xué)習(xí)的貝葉斯算法智能區(qū)分垃圾郵件 防郵件炸彈，提供單一郵件服務(wù)器發(fā)起的郵件連接數(shù)限制 發(fā)送者認(rèn)證、接收者認(rèn)證及關(guān)鍵字檢查 黑名單、白名單、可追查性檢查 病毒掃描、附件類型和附件大小過濾、關(guān)鍵字過濾等 安全豐富的 VPN 使組 網(wǎng)變得簡單 多 VPN 支持： GRE、 IPSec、 L2TP、 SSL VPN 豐富的應(yīng)用： 專用的 VPN 客戶端、 USBKEY、動態(tài)口令卡、圖形認(rèn)證碼 靈活的部署： HubSpoken、 FullMesh、 DVPN、網(wǎng)關(guān)－網(wǎng)關(guān)的 SSL VPN 完善的 P2P、 IM、流媒體、網(wǎng)絡(luò)游戲和股票軟件控制能力 P2P 控制 ：對 Emule、 BitTorrent、 Maze、 Kazaa 等進行阻斷、限速 IM 控制 ：基于黑白名單的 IM 登錄控制、文件傳輸阻止、查毒；支持主流 IM 軟件如 、MSN、雅虎通、 Gtalk、 Skype 流媒體控制： 對 流媒體應(yīng)用進行阻斷或限速，支持 Kamun ppfilm 、 PPLive、 PPStream、 直播、 TVAnts、沸點網(wǎng)絡(luò)電視、貓撲播霸等 網(wǎng)絡(luò)游戲控制： 對常見網(wǎng)絡(luò)游戲如魔獸世界、征途、 游戲大廳、聯(lián)眾游戲大廳等的阻斷 股票軟件控制： 對常用股票軟件如同花順、大參考、大智慧等的阻斷 強大的日志報表功能 記錄內(nèi)容豐富： 可對防火墻日志、攻擊日志、病毒日志、帶寬使用日志、 Web 訪問日志、Mail 發(fā)送日志、關(guān)鍵資產(chǎn)訪問日志、用戶登錄日志等進行記錄 日志快速查詢： 可對 IP 地址、端口、時間、危急程度、日志內(nèi)容關(guān)鍵字等進 行查詢 報表貼近需求： 根據(jù)用戶具體需求，定制報表內(nèi)容、定制報名名稱、定制企業(yè) LOGO，并可形成多種格式的報表文件。 核心交換機 現(xiàn)有網(wǎng)絡(luò)交換環(huán)境為單網(wǎng)絡(luò)核心。同時湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 8 根據(jù)前期信息調(diào)查，該核心交換機使用年限較長，設(shè)備屬于陳舊產(chǎn)品。 為了解決這一困境，我們設(shè)計在核 心處添加一臺新核心交換機，可替換原有核心設(shè)備，也可和原有核心交換機組成雙核心。 圖 1 星安縣財政局拓?fù)浣Y(jié)構(gòu) 出口產(chǎn)品 綜述 防火墻 天清漢馬 USG 防火墻 采用 了業(yè)界最先進的基于 MIPS64 的多核硬件 架構(gòu)和 一體化的軟件設(shè)計 ，集 防火墻、 VPN、上網(wǎng)行為管理、抗拒絕服務(wù)攻擊（ AntiDoS） 、 內(nèi)容過濾、 NetFlow等多種安全技術(shù)于一身， 高性能、綠色低炭，同時 全面支持 各種路由協(xié)議、 QoS、高可用性（ HA） 、日志審計等功能 ， 為 網(wǎng)絡(luò)邊界提供了全面實時的安全 防護， 幫助用戶抵御日益復(fù)雜的安全威脅 。 采用天清漢馬 USG 防火墻，可以從整體上解決了接入安全的問題。 湖南工業(yè)職業(yè)技術(shù)學(xué)院 網(wǎng) 絡(luò)技術(shù)專業(yè)教學(xué)資源庫 9 天清漢馬 USG 防火墻產(chǎn)品線豐富，可以為政府、教育、金融、企業(yè)、能源、運營商等用戶提供所需要的全系列的安全防護產(chǎn)品。 UTM 綜合網(wǎng)關(guān) 中國 UTM 市場的領(lǐng)導(dǎo)者，啟明星辰不斷通過技術(shù)革新帶給用戶更高價值的 UTM 產(chǎn)品。除