【正文】 ........................................................................................... 40 一體化的軟硬件設(shè)計(jì) ............................................................................................................... 40 多接口結(jié)構(gòu)體系 ........................................................................................................................ 41 基于狀態(tài)的包過(guò)濾 .................................................................................................................... 41 多級(jí)過(guò)濾 ..................................................................................................................................... 41 高級(jí)路由管理 ............................................................................................................................. 42 強(qiáng)大的 NAT 能力 ...................................................................................................................... 42 SSN 服務(wù)區(qū) .............................................................................................................................. 42 基于規(guī)則的帶寬管理 ............................................................................................................... 43 內(nèi)置入侵檢測(cè) ............................................................................................................................. 43 內(nèi)置 VPN .................................................................................................................................. 43 5 三權(quán)分立機(jī)制 .......................................................................................................................... 43 曙光 GodEyeNIDS 網(wǎng)絡(luò)型入侵檢測(cè)系統(tǒng) ........................................................... 44 全面的特征檢測(cè)、協(xié)議分析和內(nèi)容分析 ................................................................................. 44 完善的管理功能 .............................................................................................................................. 45 具備豐富的安全控制與管理手段 ............................................................................................... 45 安全的數(shù)據(jù)傳輸及存儲(chǔ) ................................................................................................................. 45 曙光 GodEyeNIDS 技術(shù)規(guī)格 ............................................................................. 45 曙光 GodEyeNIDS 具體指標(biāo) ............................................................................. 47 6 第 1 章 . 電子政務(wù)網(wǎng)絡(luò)安全概況 本章 首 先對(duì)曙光信息產(chǎn)業(yè)（北京）有限公司做一個(gè)簡(jiǎn)要介紹，然后對(duì) 電子政務(wù)網(wǎng)絡(luò)的整體網(wǎng)絡(luò)安全概況進(jìn)行一個(gè) 詳述 的 分析 。它以中科院計(jì)算所、國(guó)家智能計(jì)算機(jī)研究開(kāi)發(fā)中心和國(guó)家高性能計(jì)算機(jī)工程中心為技術(shù)依托，擁有強(qiáng)大的技術(shù)實(shí)力。 曙光公司適應(yīng)飛速發(fā)展的市場(chǎng)需求，不斷創(chuàng)新 ， 經(jīng)過(guò)十年的不懈努力，曙光公司已經(jīng)成為“國(guó)產(chǎn)服務(wù)器第一品牌”。 2020 年：推出主機(jī)型 HIDS，并獲得公安部第一個(gè)增強(qiáng)性認(rèn)證。 2020 年 ： 推出網(wǎng)絡(luò)型 NIDS，在全國(guó)各行各業(yè)獲得較多應(yīng)用。 2020 年 9 月 ： 曙光獲得國(guó)家發(fā)改委安全技術(shù)研發(fā)基金， 國(guó)內(nèi)只有兩家。網(wǎng)絡(luò)系統(tǒng)的模型是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，通常采用五層模型，即物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。即一個(gè)完整的信息服務(wù)安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)與主機(jī)的各個(gè)層次，并且與安全管理相結(jié)合。 7 圖 示 ：全方位立體安全解決方案 曙光系列安全產(chǎn)品認(rèn)證齊全 公安部認(rèn)證 保密局認(rèn)證 國(guó)家信息安全認(rèn)證 立體網(wǎng)絡(luò)安全 Inter 互聯(lián)網(wǎng) 信息技術(shù)的發(fā)展，使得計(jì)算機(jī)的應(yīng)用范圍已經(jīng)遍及世界各個(gè)角落。 對(duì)公司不滿的員工、黑客、行業(yè)間諜、瘋狂的電腦技術(shù)愛(ài)好者能通過(guò)各種方式 截獲網(wǎng)絡(luò)傳輸數(shù)據(jù)、入侵?jǐn)?shù)據(jù)庫(kù)， 對(duì)信息安曙光防火墻、網(wǎng)絡(luò)型 NIDS 保障網(wǎng)絡(luò)安全 曙光主機(jī)型 HIDS 保障主機(jī)系統(tǒng)安全 曙光機(jī)群 DCMM 監(jiān) 控系統(tǒng) 可實(shí)現(xiàn)全域資源 的集中管理、 統(tǒng)一配置 8 全造成嚴(yán)重的威脅。 安全需求，催生防護(hù)新向 對(duì)于企業(yè)來(lái)講，運(yùn)算、存放核心數(shù)據(jù)的 高性能計(jì)算 機(jī)或者服務(wù)器的信息安全就更為關(guān)鍵。因此在公司網(wǎng)絡(luò)建設(shè)，尤其是計(jì)高性能計(jì)算機(jī)群中特別需要考慮安全問(wèn)題。一方面內(nèi)部安全是安全的主要問(wèn)題， 據(jù)統(tǒng)計(jì)， 內(nèi)部攻擊和內(nèi)部人員的誤用造 成 70%的安全問(wèn)題；另一方面，對(duì)外需要加強(qiáng)訪問(wèn)控制、非法入侵、安全過(guò)濾等邊界安全。 ” 四重措施，讓安全面面俱到 知己知彼，百戰(zhàn)不殆，只有對(duì)高性能計(jì)算機(jī)運(yùn)行、通訊程序非常了解，才能讓安全防范措施做到“滴水不漏”。網(wǎng)絡(luò)系統(tǒng)的模型是一個(gè)分層次的拓?fù)浣Y(jié)構(gòu)，通常采用五層模型，即物理層、數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。 因此高性能計(jì)算（ HPC）的安全防護(hù)也需采用分層次的拓?fù)浞雷o(hù)措施 ，即一個(gè)完整的高性能計(jì)算（ HPC）安全解決方案應(yīng)該覆蓋網(wǎng)絡(luò)與主機(jī)的各個(gè)層次，并且與 安全管理相結(jié)合。 將 曙光 立體安全解決方案 部署于局域網(wǎng)與互聯(lián)網(wǎng)、或局域網(wǎng)中某個(gè)特定區(qū)域， 就能 為局域網(wǎng)或局域網(wǎng)中的特定區(qū)域提供 多方面的立體 安全保護(hù)。它可以實(shí)現(xiàn)用戶信息的 訪問(wèn)控制和安全防范 、 實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)不同安全區(qū)域的隔離 ， 達(dá)到可控訪問(wèn)的目的。如曙光 天羅防火墻可以 通過(guò) 訪問(wèn)控制 、 安全過(guò)濾 、 抗攻擊 、 流量帶寬管理 、 防止非法入侵 等功能提高安全等級(jí)。 另外使用防火墻還可以有效地降低 安全管理的工作強(qiáng)度，提高計(jì)算機(jī)群系統(tǒng)安全的可管理性。 第一級(jí)防護(hù)：網(wǎng)絡(luò)安全 處在互聯(lián)網(wǎng)中的計(jì)算機(jī)首先要面對(duì)的就是網(wǎng)絡(luò)安全。因此對(duì)于安全要求較高的局域網(wǎng)、或者局域網(wǎng)中部署有關(guān)鍵應(yīng)用的，應(yīng)該在使用防火墻保護(hù)的基礎(chǔ)上，采用入侵檢測(cè)系統(tǒng)（ NIDS）提高相關(guān)區(qū)域的安全防護(hù)水平。 網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)通過(guò)與防火墻聯(lián)動(dòng)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包的過(guò)濾和訪問(wèn)控制，將訪問(wèn)限制在網(wǎng)絡(luò)被允許的主機(jī)（ IP 地址）和應(yīng)用服務(wù)（端口），從而極大地 縮小所需管理的安全范 ，實(shí)現(xiàn)針對(duì)網(wǎng)絡(luò)入侵的安全防護(hù)。 這些行為是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)無(wú)法解決的， 這時(shí)就需要完善的主機(jī)防護(hù)系統(tǒng)。因此主機(jī)入侵檢測(cè)系統(tǒng)可以很好地彌補(bǔ)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的盲區(qū)，二者形成互補(bǔ) ， 對(duì)繞過(guò)防火墻的攻擊行為進(jìn)行細(xì)粒度的檢測(cè)和防御，實(shí)現(xiàn)從網(wǎng)絡(luò)到主機(jī)的全面防護(hù) 。 而 利用防火墻的虛擬專用網(wǎng)絡(luò) （ VPN－ Virtual Private Network）功能 實(shí)現(xiàn) 互聯(lián)網(wǎng)用戶和局域網(wǎng)用戶 、 HPC 用戶接口之間 的安全通訊成為一種極為必要的手段。它能通過(guò)加密、認(rèn)證、數(shù)字簽名等保證數(shù)據(jù)的安全性、完整性。 綜合管理：機(jī)群安全管理 作為立體安全，一個(gè)高效便捷的管理系統(tǒng)十分重要。防火墻、 IDS、 VPN 與機(jī)群 安全 管理緊密結(jié)合，為機(jī)群服務(wù)器提供更高的安全、更強(qiáng)的管理，從而實(shí)現(xiàn)了曙光公司所倡導(dǎo)的 “ 立體安全 ” 理念。伴隨網(wǎng)絡(luò)的普及，安全日益成為影響網(wǎng)絡(luò)效能的重要問(wèn)題，而 Inter 所具有的開(kāi)放性、國(guó)際性和自由性在增加應(yīng)用自由度的同時(shí)，對(duì)安全提出了更高的要求。 網(wǎng)絡(luò) 規(guī)劃 （一） 各級(jí) 網(wǎng)絡(luò) 利用現(xiàn)有線路及網(wǎng)絡(luò)進(jìn)行完善擴(kuò)充，建成互聯(lián)互通、標(biāo)準(zhǔn)統(tǒng)一、結(jié)構(gòu)簡(jiǎn)單、功能完善、安全可靠、高速實(shí)用、先進(jìn)穩(wěn)定的 級(jí)別分明卻又 統(tǒng)一 的 網(wǎng)絡(luò)。為 省及各市 部門(mén)、單位的關(guān)鍵應(yīng)用及關(guān)鍵設(shè)施提供機(jī)房、安全管理與維護(hù)。都將對(duì)政府機(jī)構(gòu)信息安全構(gòu)成威脅。 所謂電子政務(wù)就是政府機(jī)構(gòu)運(yùn)用現(xiàn)代計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)，將其管理和服 務(wù)的職能轉(zhuǎn)移到網(wǎng)絡(luò)上完成，同時(shí)實(shí)現(xiàn)政府組織結(jié)構(gòu)和工作流程的重組優(yōu)化，超越時(shí)間、空間和部門(mén)分隔的制約，向全社會(huì)提供高效、優(yōu)質(zhì)、規(guī)范、透明和全方位的管理與服務(wù)。電子政務(wù)的出現(xiàn)有利于政府轉(zhuǎn)變職能，提高運(yùn)作效率。非法進(jìn)入的攻擊者可能竊聽(tīng)網(wǎng)絡(luò)上的信息、竊取用戶的口令、數(shù)據(jù)庫(kù)的信息 ； 還可以篡改數(shù)據(jù)庫(kù)內(nèi)容、偽造用戶身份、否認(rèn)自己的簽名；更有甚者，攻擊者可以刪除數(shù)據(jù)庫(kù)內(nèi)容、摧毀網(wǎng)絡(luò)節(jié)點(diǎn)等等。 14 第 2 章 . 電子政務(wù) 網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分析 電子政務(wù)的網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用如今隨著網(wǎng)絡(luò)發(fā)展及普及，政府行業(yè)單位也從原 來(lái)單機(jī)到局域網(wǎng)并擴(kuò)展到廣域網(wǎng)，把分布在全國(guó)各地的系統(tǒng) 內(nèi)單位通過(guò)網(wǎng)絡(luò)互連起來(lái)，從整體上提高了辦事效率。本行業(yè)系統(tǒng)各局域網(wǎng)經(jīng)廣域線路互聯(lián)構(gòu)成一個(gè)全國(guó)性的 政府機(jī)關(guān) 網(wǎng)(Intra)。對(duì)于各級(jí)用戶而言，根據(jù)用戶應(yīng)用需要，通過(guò)廣域網(wǎng)絡(luò)，各級(jí)用戶之間可以利用電子郵件互相進(jìn)行信息交流。如發(fā)布一些政策、規(guī)劃 ； 如網(wǎng)上報(bào)稅等。而這些數(shù)據(jù)大多都可能涉及到秘密信息。 比如 通過(guò)網(wǎng)絡(luò)使用單位系統(tǒng)內(nèi)部的 IP 電話。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)和 主機(jī)，引起大范圍的癱瘓和損失；另外加上缺乏安全控 制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益加重 。下面從物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全進(jìn)行分類描述： 物理安全風(fēng)險(xiǎn)分析 網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。 地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅； 設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏； 報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。因此，對(duì)于政府這樣帶有重要信息傳輸?shù)木W(wǎng)絡(luò)，數(shù)據(jù)在鏈路上傳輸必須加密。 遠(yuǎn)程辦公安全接入 目前， 政府網(wǎng)絡(luò)應(yīng)用 環(huán)境紛亂復(fù)雜，既有內(nèi)部的應(yīng)用如：內(nèi)部 OA 系統(tǒng)、文件共享、 Email等應(yīng)用服務(wù)，又有眾多面向 下屬單位 、合作伙伴 等對(duì)外的應(yīng)用。 政府機(jī)關(guān) 只需要租用本地的數(shù)據(jù)專線，連接上本地的公眾信息網(wǎng)，那么各地的機(jī)構(gòu)就可以互相傳遞信息。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的，是通過(guò)私有的隧道技術(shù)在公共數(shù)據(jù)網(wǎng)絡(luò)上仿真一條點(diǎn)到點(diǎn)的專線技術(shù)。所謂專用網(wǎng)絡(luò)，是指用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。 單獨(dú)的 VPN 網(wǎng)關(guān)的主要功能是 IPSec 數(shù)據(jù)包的加密 /解密處理和身份認(rèn)證，但它沒(méi)有很強(qiáng)的訪問(wèn)控制功能，例如狀態(tài)包過(guò)濾、網(wǎng)絡(luò)內(nèi)容過(guò)濾、防 DDoS 攻擊等。因此，在防火墻安全網(wǎng)關(guān)上集成 VPN 是當(dāng)前安全產(chǎn)品的發(fā)展趨