【正文】 以避免SMURF攻擊。(2)過濾進(jìn)網(wǎng)和出網(wǎng)的流量xx省電子政務(wù)網(wǎng)絡(luò)可以在各接入分支節(jié)點的交換機(jī)或路由器上實施進(jìn)網(wǎng)流量過濾措施，目的是阻止任何偽造IP地址的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，從而從源頭阻止諸如DDOS這樣的分布式網(wǎng)絡(luò)攻擊的發(fā)生或削弱其攻擊效果。(4)采用網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS當(dāng)系統(tǒng)收到來自奇怪或未知地址的可疑流量時，網(wǎng)絡(luò)入侵檢測系統(tǒng)IDS（Intrusion Detection Systems）能夠給系統(tǒng)管理人員發(fā)出報警信號，提醒他們及時采取應(yīng)對措施，如切斷連接或反向跟蹤等。為保證全網(wǎng)絡(luò)路由表的安全性，防止路由更新及路由表的非法更改，確保整個網(wǎng)絡(luò)系統(tǒng)路由的可靠和穩(wěn)定，我們建議采取以下措施： 路由協(xié)議的驗證機(jī)制我們推薦的xx省電子政務(wù)網(wǎng)絡(luò)工程中的路由設(shè)備全部采用支持路由更新認(rèn)證的動態(tài)路由協(xié)議（例如OSPF協(xié)議，ISIS，BGP4協(xié)議）。如果兩臺路由器的認(rèn)證關(guān)鍵字不匹配，相應(yīng)的兩臺路由器之間就不能建立交換路由更新信息所必須的“緊鄰關(guān)系”（Adjacent Membership），因而即使在物理上連通，也不能交換路由。 禁止源路由方式Internet上有一種不依靠路由器的路由表仍能實現(xiàn)在源和目的間進(jìn)行正確的包傳輸?shù)穆酚煞绞?，這就是所謂“源路由方式”。源路由是被設(shè)計來進(jìn)行測試和調(diào)試的，一般的路由器默認(rèn)狀態(tài)下都予以支持，但在我們政務(wù)網(wǎng)中它只會帶來安全漏洞，因此我們必須注意在實施中將路由設(shè)備的源路由特性關(guān)閉掉，這一特性在Cisco路由器中是可以被支持的。網(wǎng)絡(luò)設(shè)備的配置將保持歷史記錄有利于網(wǎng)絡(luò)的恢復(fù)和安全；Cisco公司的網(wǎng)絡(luò)管理程序是網(wǎng)絡(luò)設(shè)備管理界面，實際的功能是由網(wǎng)絡(luò)設(shè)備本身來完成的，因此當(dāng)網(wǎng)管系統(tǒng)出現(xiàn)故障時，網(wǎng)絡(luò)設(shè)備能自動及人工恢復(fù)正常工作，不影響網(wǎng)絡(luò)的正常運行。 網(wǎng)絡(luò)服務(wù)的安全性xx省電子政務(wù)網(wǎng)絡(luò)的目標(biāo)是：建成省電子政務(wù)網(wǎng)絡(luò)內(nèi)、外網(wǎng)平臺，支持?jǐn)?shù)據(jù)、語音和視頻業(yè)務(wù)，傳輸性能滿足業(yè)務(wù)需求，具備密碼管理、信任體系、網(wǎng)絡(luò)管理、容災(zāi)備份、信息管理和信息交換等各項功能，實現(xiàn)跨部門、跨地區(qū)的業(yè)務(wù)互聯(lián)，因此必須確保為用戶提供的服務(wù)是安全可靠的。具體對防火墻的部署要求如下：要求至少5個10/100/1000MBaseT電口，至少5個SFP插槽；整機(jī)吞吐率(bps)≥ ；最大并發(fā)連接數(shù)≥200萬 ；每秒新建連接數(shù)≥；IPSec VPN隧道數(shù)≥5000條。要求支持基于源/目的IP地址、MAC地址、域名、端口或協(xié)議、服務(wù)、網(wǎng)口、時間、用戶的訪問控制 和安全策略的帶寬控制；支持基于策略的網(wǎng)間隔離功能，同一時間內(nèi)網(wǎng)主機(jī)只能訪問DMZ和外網(wǎng)，保護(hù)內(nèi)網(wǎng)防止被入侵；實現(xiàn)基于策略的HTTP、FTP、TELNET、POPSOCKS、DNS等透明代理和深度過濾；支持應(yīng)用層訪問控制，包括P2P軟件、IM軟件、炒股軟件、網(wǎng)游軟件等；支持同一主機(jī)源會話、目的會話的分別管理和限制，支持設(shè)定網(wǎng)段內(nèi)共享的或者任一地址的并發(fā)連接限制。支持透明、路由、混合三種工作模式；支持DHCP Client、DHCP Relay、DHCP Server；支持PPPoE接入，并具備自動斷線重連技術(shù)；支持多路ADSL撥號6條，充分利用網(wǎng)絡(luò)資源，整合帶寬；支持靜態(tài)路由，動態(tài)路由（OSPF/VRIP/RIPng等），VLAN間路由，單臂路由，組播路由等；支持200個以上的路由表、30000個以上的路由策略選擇；支持多出口路由負(fù)載均衡； VLAN封裝協(xié)議，支持兩種封裝的互換，支持Vlan Trunk；（ GK）、SIP、FTP、MMS、RTSP、UPnP、XDMCP、TNS等多種動態(tài)協(xié)議?？蓪⒁慌_物理設(shè)備，劃分多個虛擬防火墻系統(tǒng)，支持同一個網(wǎng)口用于多個虛擬防火墻； 要求支持虛擬系統(tǒng)技術(shù)，每個虛擬系統(tǒng)vFW具備獨立的管理權(quán)限、安全策略、等功能，互不干擾；可擁有獨立的系統(tǒng)資源、管理員、安全策略、用戶認(rèn)證數(shù)據(jù)庫等。支持IPv6地址、地址組配置；支持IPv6/IPv4翻譯策略技術(shù)，包括支持靜態(tài)NATPT、動態(tài)NATPT、NAPTPT技術(shù)。支持IPv4和IPv6雙棧協(xié)議下的上網(wǎng)行為管理。支持基于USB Key的證書認(rèn)證方式。 支持SNMP管理，與大多數(shù)通用的網(wǎng)絡(luò)管理平臺兼容。訪問列表的建立是為了保護(hù)政務(wù)網(wǎng)絡(luò)的安全，因此，建立安全合理的訪問列表，首先需要對政務(wù)網(wǎng)絡(luò)的應(yīng)用進(jìn)行深入細(xì)致的了解，有哪些應(yīng)用、使用哪些端口，訪問哪些地址等等，使得訪問列表的建立，不會影響到電子政務(wù)網(wǎng)絡(luò)的運轉(zhuǎn)。 入侵檢測技術(shù)入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整性、識別攻擊行為、對異常行為進(jìn)行統(tǒng)計、自動地收集和系統(tǒng)相關(guān)的補丁、進(jìn)行審計跟蹤識別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。 xxxx黑客入侵檢測與預(yù)警系統(tǒng)是一種動態(tài)的入侵檢測與響應(yīng)系統(tǒng)。xxxx系統(tǒng)可以與防火墻緊密結(jié)合，彌補了防火墻的訪問控制不嚴(yán)密的問題。 在本設(shè)計方案中建議部署，其關(guān)鍵特性與效果：通過實時監(jiān)視和檢測功能，能夠積極主動地對非授權(quán)行為做出響應(yīng)，阻止網(wǎng)絡(luò)訪問、中斷惡意的通訊連接以及系統(tǒng)內(nèi)部越權(quán)操作；能夠彌補其它安全機(jī)制（如防火墻、加密和認(rèn)證）的不足。加進(jìn)網(wǎng)絡(luò)之后，最終用戶看不見，安全措施得以增強，網(wǎng)絡(luò)性能和功能絲毫不受影響；可以把主機(jī)入侵檢測和網(wǎng)絡(luò)入侵檢測進(jìn)行同臺管理，并實現(xiàn)和其他安全產(chǎn)品的互動和綜合分析。 其產(chǎn)品部署結(jié)構(gòu)圖可參看“ 網(wǎng)絡(luò)服務(wù)安全設(shè)計示意圖”。漏洞檢測的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，提供了積極的預(yù)防性安全，因此成為安全方案的一個重要組成部分。另外，互聯(lián)網(wǎng)掃描執(zhí)行預(yù)定的或事件驅(qū)動的網(wǎng)絡(luò)探測，包括對網(wǎng)絡(luò)通信服務(wù)、操作系統(tǒng)、路由器、電子郵件、Web服務(wù)器、防火墻和應(yīng)用程序的檢測，從而去識別能被入侵者利用來進(jìn)入網(wǎng)絡(luò)的漏洞。系統(tǒng)掃描通過對企業(yè)內(nèi)部操作系統(tǒng)安全弱點的完全的分析，幫助組織管理安全風(fēng)險。系統(tǒng)安全掃描還可以修復(fù)有問題的系統(tǒng)，自動產(chǎn)生文件所有權(quán)和文件權(quán)限的修復(fù)腳本。由于本項目標(biāo)書界定，本項目設(shè)備采購中并不涉及漏洞掃描系統(tǒng)，但我們認(rèn)為漏洞掃描/安全評估系統(tǒng)是xx省電子政務(wù)安全建設(shè)中必不可少的環(huán)節(jié)，通過漏洞掃描系統(tǒng)，可以檢查和監(jiān)控浙江電信IP網(wǎng)中網(wǎng)絡(luò)設(shè)備、主機(jī)和應(yīng)用系統(tǒng)的安全狀態(tài)，一旦發(fā)現(xiàn)安全漏洞，可以及時修補，以避免造成安全隱患。 物理環(huán)境因素在前面我們偏重于使用一定的設(shè)備、一定的軟件和相應(yīng)的技術(shù)達(dá)到系統(tǒng)安全性，除此以外信息系統(tǒng)所存在的物理環(huán)境也非常重要，不安全的環(huán)境所導(dǎo)致的違規(guī)行為可以輕易的繞過由技術(shù)所設(shè)定的重重障礙，比如機(jī)房應(yīng)按安全規(guī)定進(jìn)行區(qū)域設(shè)置，否則可能發(fā)生管理員輸入密碼的鍵盤操作被不法人員輕易窺測，無需繁冗的破解算法就可被得到口令字；設(shè)備機(jī)柜必須上鎖，否則會被輕易改變端口跳線，使VLAN設(shè)置等技術(shù)失去意義；更有甚者直接接入到網(wǎng)絡(luò)設(shè)備上進(jìn)行網(wǎng)絡(luò)探測或接入Console口便可以輕易破解密碼。 安全的管理因素網(wǎng)絡(luò)安全可以采用多種技術(shù)來增強和執(zhí)行。安全威脅主要利用以下途徑：（1）系統(tǒng)實現(xiàn)存在的漏洞；（2）系統(tǒng)安全體系的缺陷；（3）用人員的安全意識薄弱；（4）管理制度的薄弱；良好的平臺管理有助于增強系統(tǒng)的安全性：（1）及時發(fā)現(xiàn)系統(tǒng)安全的漏洞；（2）審查系統(tǒng)安全體系；（3）加強對使用人員的安全知識教育；（4）建立完善的系統(tǒng)管理制度。下面簡單介紹一下制訂安全制度時所應(yīng)遵循的安全管理原則和安全管理的具體實現(xiàn)。（1）多人負(fù)責(zé)原則每項與安全有關(guān)的活動都必須有兩人或多人在場。（2）任期有限原則一般地講，任何人最好不要長期擔(dān)任與安全有關(guān)的職務(wù)，以免誤認(rèn)為這個職務(wù)是專有的或永久性的。安全管理的實現(xiàn)xx省信息中心的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是：(1)確定該系統(tǒng)的安全等級；(2)根據(jù)確定的安全等級，確定安全管理的范圍；(3)制訂相應(yīng)的機(jī)房出入管理制度，對安全等級要求較高的系統(tǒng)，要實行分區(qū)控制，限制工作人員出入與己無關(guān)的區(qū)域；(4)制訂嚴(yán)格的操作規(guī)程，操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍；(5)制訂完備的系統(tǒng)維護(hù)制度，維護(hù)時，要首先經(jīng)主管部門批準(zhǔn)，并有安全管理人員在場，故障原因、維護(hù)內(nèi)容和維護(hù)前后的情況要詳細(xì)記錄；(6)定期安全檢查：維系系統(tǒng)的安全不只是在建設(shè)時期的事情，而是長期維護(hù)的過程，需要定期根據(jù)安全制度、輔助一些技術(shù)手段進(jìn)行檢查，及時發(fā)現(xiàn)漏洞彌補漏洞，防患于未然；(7)制訂應(yīng)急措施，要制訂在緊急情況下，系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施，使損失減至最??；(8)建立人員雇用和解聘制度，對工作調(diào)動和離職人員要及時調(diào)整相應(yīng)的授權(quán)。一方面，各級領(lǐng)導(dǎo)一定要高度重視并積極支持有關(guān)系統(tǒng)安全方面的各項措施?？傊贫ㄏ到y(tǒng)安全策略、安裝網(wǎng)絡(luò)安全系統(tǒng)只是網(wǎng)絡(luò)系統(tǒng)安全性實施的第一步，只有當(dāng)各級組織機(jī)構(gòu)均嚴(yán)格執(zhí)行網(wǎng)絡(luò)安全的各項規(guī)定，認(rèn)真維護(hù)各自負(fù)責(zé)的分系統(tǒng)的網(wǎng)絡(luò)安全性，才能保證整個系統(tǒng)網(wǎng)絡(luò)的整體安全性。網(wǎng)絡(luò)設(shè)備機(jī)房則是整個網(wǎng)絡(luò)系統(tǒng)環(huán)境中的最重要組成部分之一，機(jī)房環(huán)境的好壞將直接影響到應(yīng)用系統(tǒng)的運行。良好的環(huán)境還可以延長網(wǎng)絡(luò)設(shè)備的使用壽命。如果機(jī)房距離發(fā)電機(jī)、大功率馬達(dá)、無線電臺、雷達(dá)、高頻干擾、強電場、強磁場等設(shè)備較近，應(yīng)加裝隔離設(shè)備；否則應(yīng)使機(jī)房遠(yuǎn)離上述設(shè)備。機(jī)房地點的選定，必須以系統(tǒng)安裝及電源、空調(diào)系統(tǒng)施工等是否方便為原則，同時應(yīng)照顧到將來搬運設(shè)備時是否方便。如果機(jī)房內(nèi)使用靜電地板，則地板的強度必須能名承受系統(tǒng)設(shè)備的重量。機(jī)房的裝修應(yīng)選擇防火材料，并應(yīng)有防塵措施。網(wǎng)絡(luò)設(shè)備的位置應(yīng)在電腦設(shè)備附近，并配合進(jìn)/出信號線的長度。預(yù)留維護(hù)工作空間，以及設(shè)備有效散熱空間，機(jī)柜的前后左右至少各留75cm，建議為90cm，以方便日后的維護(hù)和散熱。 接地系統(tǒng)1. 網(wǎng)絡(luò)設(shè)備的電源應(yīng)有獨立的接地系統(tǒng)，并應(yīng)符合相應(yīng)的技術(shù)規(guī)定。3. 配電箱與最終接地端應(yīng)以單獨絕緣導(dǎo)線相連；其線徑至少需與輸入端、電源路徑相同，接地電阻應(yīng)小于5Ω。5. 在雷電頻繁地區(qū)或有架空電纜的地區(qū)，必須加裝避雷裝置。7. 在有高架地板的機(jī)房內(nèi)，應(yīng)有銅線地網(wǎng)，此地網(wǎng)應(yīng)直接接地；若使用鋁鋼架地板，則可用鋁鋼架代替接地地網(wǎng)。 電源系統(tǒng)電源規(guī)格：電壓：180～264VAC頻率：47～63Hz其它單一諧波不得高于3％設(shè)備電力總?cè)萘坑嬎悖涸O(shè)備總?cè)萘渴侵父鲉挝辉O(shè)備電力容量的總和(注意：設(shè)備的最大啟動負(fù)載電流也適用同樣方法來計算）電源穩(wěn)壓器或不間斷電源的容量計算：其系統(tǒng)應(yīng)為設(shè)備總?cè)萘?，另?0％的安全容量；如考慮今后系統(tǒng)的擴(kuò)容，其容量也應(yīng)計算在內(nèi)。請勿將機(jī)房電源與下列設(shè)備共用同一電源或同一地線，以避免受到干擾：例如大型電梯、升降機(jī)、窗型冷氣機(jī)、復(fù)印機(jī)等。配電箱的位置應(yīng)盡量靠近機(jī)房，并且便于操作。8500BTU/小時其他熱源如人員、輻射熱、燈光、通風(fēng)設(shè)備、墻等產(chǎn)生的熱量請參考下表，并進(jìn)行