計算機專網(wǎng)安全產(chǎn)品解決方案(網(wǎng)絡(luò)防火墻)
綜合能力考核表詳細內(nèi)容
計算機專網(wǎng)安全產(chǎn)品解決方案(網(wǎng)絡(luò)防火墻)
寧波市政府 計算機專網(wǎng)安全產(chǎn)品解決方案 (網(wǎng)絡(luò)防火墻) 方正數(shù)碼有限公司 2002年2月 1. 背景介紹 5 1.1. 項目總述 5 1.2. 網(wǎng)絡(luò)環(huán)境總述 5 1.3. 業(yè)務(wù)現(xiàn)狀 6 1.4. 網(wǎng)絡(luò)信息安全概況 7 1.4.1. 網(wǎng)絡(luò)安全現(xiàn)狀 8 1.4.2. 典型的黑客攻擊 8 1.4.3. 網(wǎng)絡(luò)與信息安全平臺的任務(wù) 10 2. 安全架構(gòu)分析與設(shè)計 11 2.1. 網(wǎng)絡(luò)整體結(jié)構(gòu) 11 2.1.1. 寧波在全國政府專網(wǎng)中的位置 12 2.1.2. 光纖網(wǎng)絡(luò)平臺 12 2.2. 寧波政府專網(wǎng)安全風(fēng)險分析 14 2.2.1. 主要應(yīng)用服務(wù)的安全風(fēng)險 14 2.2.2. 網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險 15 2.2.3. 數(shù)據(jù)庫系統(tǒng)安全分析 16 2.2.4. Unix系統(tǒng)的安全分析 16 2.2.5. Windows NT系統(tǒng)的安全分析 17 2.2.6. 管理系統(tǒng)的安全風(fēng)險 17 2.3. 寧波政府專網(wǎng)安全風(fēng)險解決方案設(shè)計的原則和目標 18 2.3.1. 網(wǎng)絡(luò)安全解決方案的組成 19 2.3.2. 超高安全要求下的網(wǎng)絡(luò)保護 21 2.4. 防火墻選型 22 2.5. 防火墻設(shè)置及工作模式 23 2.6. 防火墻功能設(shè)置及安全策略 23 2.6.1. 完善的訪問控制 23 2.6.2. 內(nèi)置入侵檢測(IDS) 24 2.6.3. 代理服務(wù) 24 2.6.4. 日志系統(tǒng)及系統(tǒng)報警 24 2.6.5. 帶寬分配,流量管理 25 2.6.6. H.323支持 25 2.6.7. 系統(tǒng)升級 25 2.6.8. 雙機備份 26 2.6.9. 防火墻方案特點 26 2.7. 防火墻整體布局 27 2.8. 寧波市政府系統(tǒng)計算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡(luò) 28 2.9. 各區(qū)及委、辦、局的安全網(wǎng)絡(luò) 28 2.10. 集中管理和分級管理 29 3. 產(chǎn)品選型 30 3.1. 防火墻與入侵檢測的選型 30 3.1.1. 方正數(shù)碼公司簡介 30 3.2. 方正方御防火墻(100M) 31 3.2.1. 產(chǎn)品概述 31 3.2.2. 系統(tǒng)特點 31 3.2.3. 方御防火墻(百兆)的性能 35 3.2.4. 方正方御防火墻功能說明 36 3.3. 方正方御防火墻(1000M) 47 3.3.1. 產(chǎn)品概述 47 3.3.2. 系統(tǒng)特點 48 3.3.3. 方正方御千兆防火墻功能說明 49 3.3.4. 方御防火墻(千兆)的性能 59 4. 工程實施方案 61 4.1. 合同簽訂階段的工作實施 61 4.2. 發(fā)貨階段的實施 62 4.3. 到貨后工作的實施 63 4.4. 測試及驗收 64 4.4.1. 測試及驗收描述 64 4.5. 系統(tǒng)初驗 65 4.5.1. 功能測試 65 4.5.2. 性能測試 65 4.5.3. 實施人員 65 5. 培訓(xùn)方案 66 5.1. 培訓(xùn)目標 66 5.2. 培訓(xùn)課程 66 5.3. 培訓(xùn)方式 66 5.4. 培訓(xùn)時長 66 5.5. 培訓(xùn)地點 66 5.6. 培訓(xùn)人數(shù) 67 5.7. 培訓(xùn)講師 67 5.8. 入學(xué)要求 68 6. 售后服務(wù)和技術(shù)支持 69 6.1. 售后服務(wù)內(nèi)容 69 6.2. 保修 70 6.3. 保修方式 71 6.4. 保修范圍 71 6.5. 保修期的確認 72 6.6. 全國服務(wù)網(wǎng)絡(luò) 72 6.7. 場地及環(huán)境準備 72 6.7.1. 常規(guī)要求 72 6.7.2. 機房電源、地線及同步要求 73 6.7.3. 設(shè)備場地、通信 73 6.7.4. 機房環(huán)境 73 6.8. 驗收清單 75 6.8.1. 設(shè)備開箱驗收清單 75 6.8.2. 用戶信息清單 75 6.8.3. 用戶驗收清單 76 7. 方案整體優(yōu)勢 78 8. 方正方御防火墻榮譽證書 79 背景介紹 1 項目總述 政府專網(wǎng)是寧波市政府信息化建設(shè)的基礎(chǔ)工程,是以寧波市政府東、北大院計算機局 域網(wǎng)為核心,以寬帶光纖網(wǎng)絡(luò)為通信平臺,圍繞業(yè)務(wù)管理、數(shù)據(jù)交換、語音通信、重大 事件處理、視頻會議等應(yīng)用,覆蓋寧波市各縣(市)、區(qū)政府,市政府各部門,市委辦 、人大辦、政協(xié)辦及市委各工作部門等,并與全國、全省政府專網(wǎng)聯(lián)接,共約122個節(jié)點 的城域網(wǎng)。 政府專網(wǎng)是獨立于公共網(wǎng)絡(luò)之外的政府系統(tǒng)專用網(wǎng)絡(luò),物理上與外部公共網(wǎng)絡(luò)隔離。 專網(wǎng)內(nèi)部進行邏輯分割,采用防火墻隔離、審計檢測等措施,建立有效的網(wǎng)絡(luò)安全防范 體系,以滿足國家黨政機關(guān)網(wǎng)絡(luò)可傳送普密級信息的通信安全保密要求。 政府專網(wǎng)涉及范圍廣,建設(shè)要求高,需分期分批進行建設(shè)。整個建設(shè)周期分為二期, 第一期41個節(jié)點于2002年2月底前完成,第二期約81個節(jié)點于2002年完成。目前已經(jīng)完成 網(wǎng)絡(luò)平臺、系統(tǒng)集成、系統(tǒng)商務(wù)標的招投標工作,正在抓緊進行網(wǎng)絡(luò)平臺建設(shè)及相關(guān)設(shè) 備的訂購采購工作。政府專網(wǎng)建成后,將極大地促進政府業(yè)務(wù)規(guī)范化、辦公自動化、管 理智能化、決策科學(xué)化、提高政府機關(guān)辦事工作效率,實現(xiàn)政府各部門以及上下級政府 部門之間信息和資源的共享。 2 網(wǎng)絡(luò)環(huán)境總述 市區(qū)內(nèi)采用千兆以太網(wǎng)技術(shù),市區(qū)外采用IP OVER SDH傳輸技術(shù),各節(jié)點用物理光纖接入。政府專網(wǎng)以市政府辦公廳為核心節(jié)點,在市區(qū)內(nèi) 采用4個匯集點,各節(jié)點用物理光纖就近接入?yún)R集點。在市區(qū)外利用網(wǎng)絡(luò)供應(yīng)商提供的S DH環(huán)路,各節(jié)點用物理光纖接入SDH環(huán)。核心節(jié)點與SDH環(huán)通過物理光纖連接,把市內(nèi)和 市外兩部分連通,組成完整的政府專網(wǎng)網(wǎng)絡(luò)平臺??傮w結(jié)構(gòu)請參見網(wǎng)絡(luò)總體拓撲圖。 [pic] 另外,省政府專網(wǎng)的光纖接入到IBM2216路由器,再經(jīng)過防火墻(上海華堂),以百 兆方式接入核心節(jié)點的接入交換機。 國務(wù)院專網(wǎng)的幀中繼專線接入到CISCO路由器,再經(jīng)過防火墻(中科院的安勝(ERCI ST)防火墻),以百兆方式接入核心節(jié)點的接入交換機。 寧波市處理重大事件指揮中心(以下簡稱指揮中心)是一個獨立的網(wǎng)段,以多模光纖 接入核心點的接入交換機,中間需以防火墻隔離。 市政府西大院所有單位作為一個節(jié)點,用4芯光纖接入?yún)R集點。 政府專網(wǎng)采用CISCO的WORKS2000 FOR NT作為網(wǎng)管軟件。 3 業(yè)務(wù)現(xiàn)狀 首先,寧波市政府與上級政府部門的信息數(shù)據(jù)交換量非常大。一方面,國務(wù)院、省政 府需要寧波市政府上報大量信息,如地方經(jīng)濟運行狀況、經(jīng)濟規(guī)劃、社會治安情況等; 另一方面,寧波市政府也需要及時了解國家有關(guān)政策、法規(guī)的最新情況。第二,寧波市 政府與各縣區(qū)政府數(shù)據(jù)交換量也相當大。第三,為了切實做好政府各項綜合管理工作, 市政府要領(lǐng)導(dǎo)、安排、督促和協(xié)調(diào)政府各職能部門工作,因此與各部門業(yè)務(wù)聯(lián)系十分密 切,信息交換量很大。第四,市政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁 。 1.寧波市與上級政府部門之間的信息交流以公文、通知通告、要聞信息等文字資料為 主。 2.寧波市政府系統(tǒng)(含與市委、人大、政協(xié)系統(tǒng)之間)內(nèi)部信息交流內(nèi)容,主要有: ·網(wǎng)上辦公:公文及業(yè)務(wù)工作網(wǎng)上辦理流轉(zhuǎn)。 ·宏觀信息:包括國際、國內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟數(shù)據(jù),每日信息, 重要會議,重大事件。 ·基本信息:包括市情、縣情,各級領(lǐng)導(dǎo)情況,機構(gòu)設(shè)置、直屬機構(gòu)設(shè)置、編制、職 能職責(zé)、聯(lián)系電話、郵箱地址等。 ·通知通告:包括會議、學(xué)習(xí)、上報材料等通知,系統(tǒng)內(nèi)的通報等。 ·工作動態(tài):國家、省、市政府及政府有關(guān)部門的重要政策信息,政府內(nèi)部改革思路 新經(jīng)驗等。 ·重大事件處理:綜合治理、災(zāi)害、汛情、交通等方面的文字、圖像及視頻信息。 ·政策法規(guī):地方政策法規(guī)和國家、浙江省的政策法規(guī) ·行業(yè)數(shù)據(jù):科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。 ·地理信息系統(tǒng):規(guī)劃、建筑、地形地貌等方面的數(shù)據(jù),包括大型圖片。 ·會計核算中心:財務(wù)數(shù)據(jù) ·經(jīng)濟服務(wù)中心:批文、辦事程序等數(shù)據(jù) 以上諸項信息內(nèi)容除已說明以外,其余都為文字、數(shù)字等形式。 4 網(wǎng)絡(luò)信息安全概況 目前,很多公開的新聞表明美國國家安全局(NSA)有可能在許多美國大軟件公司的 產(chǎn)品中安裝“后門”,其中包括一些應(yīng)用廣泛的操作系統(tǒng)。為此德國軍方前些時候甚至規(guī) 定在所有牽涉到機密的計算機里,不得使用美國的操作系統(tǒng)。作為信息安全的保障,我 們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品,將安全風(fēng)險降 至最低。 在為各安全產(chǎn)品選型時,我們立足國內(nèi),同時保證所選產(chǎn)品的先進性及可靠性,并要 求通過國家各主要安全測評認證。 1 網(wǎng)絡(luò)安全現(xiàn)狀 Internet正在越來越多地融入到社會的各個方面。一方面,隨著網(wǎng)絡(luò)用戶成分越來越 多樣化,出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁;另一方面,隨著Internet和以電 子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展,Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害 領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全,日益成為與政府、軍隊、企業(yè)、個人 的利益休戚相關(guān)的“大事情”。尤其對于政府和軍隊而言,如果網(wǎng)絡(luò)安全問題不能得到妥 善的解決,將會對國家安全帶來嚴重的威脅。 2000年二月,在三天的時間里,黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站-Yahoo!、Amazon、e Bay、CNN陷入癱瘓,造成了十幾億美元的損失,令美國上下如臨大敵。黑客使用了DDoS (分布式拒絕服務(wù))的攻擊手段,用大量無用信息阻塞網(wǎng)站的服務(wù)器,使其不能提供正 常服務(wù)。在隨后的不到一個月的時間里,又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭 受攻擊。 國內(nèi)網(wǎng)站也未能幸免于難,新浪、當當書店、EC123等知名網(wǎng)站也先后受到黑客攻擊 。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運營,然而僅四天,該商城突遭網(wǎng) 上黑客襲擊,界面文件全部被刪除,各種數(shù)據(jù)庫遭到不同程度的破壞,致使網(wǎng)站無法運 作。 客觀地說,沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾,依據(jù)Financial Times曾做過的統(tǒng)計,平均每20秒鐘就有一個網(wǎng)絡(luò)遭到入侵。僅在美國,每年由于網(wǎng)絡(luò)安 全問題造成的經(jīng)濟損失就超過100億美元。 2 典型的黑客攻擊 黑客們進行網(wǎng)絡(luò)攻擊的目的各種各樣,有的是出于政治目的,有的是員工內(nèi)部破壞, 還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展,也出現(xiàn)了有明確 軍事目的的軍方黑客組織。 在典型的網(wǎng)絡(luò)攻擊中,黑客一般會采取如下的步驟: 自我隱藏,黑客使用通過rsh或telnet在以前攻克的主機上跳轉(zhuǎn)、通過錯誤配置的pr oxy主機跳轉(zhuǎn)等各種技術(shù)來隱藏他們的IP地址,更高級一點的黑客,精通利用電話交換侵 入主機。 網(wǎng)絡(luò)偵探和信息收集,在利用Internet開始對目標網(wǎng)絡(luò)進行攻擊前,典型的黑客將會 對網(wǎng)絡(luò)的外部主機進行一些初步的探測。黑客通常在查找其他弱點之前首先試圖收集網(wǎng) 絡(luò)結(jié)構(gòu)本身的信息。通過查看上面查詢來的結(jié)果列表,通常很容易建立一個主機列表并 且開始了解主機之間的聯(lián)系。黑客在這個階段使用一些簡單的命令來獲得外部和內(nèi)部主 機的名稱:例如,使用nslookup來執(zhí)行 “l(fā)s ”, finger外部主機上的用戶等。 確認信任的網(wǎng)絡(luò)組成,一般而言,網(wǎng)絡(luò)中的主控主機都會受到良好的安全保護,黑客 對這些主機的入侵是通過網(wǎng)絡(luò)中的主控主機的信任成分來開始攻擊的,一個網(wǎng)絡(luò)信任成 員往往是主控主機或者被認為是安全的主機。黑客通常通過檢查運行nfsd或mountd的那 些主機輸出的NFS開始入侵,有時候一些重要目錄(例如/etc,/home)能被一個信任主 機mount。 確認網(wǎng)絡(luò)組成的弱點,如果一個黑客能建立你的外部和內(nèi)部主機列表,他就可以用掃 描程序(如ADMhack, mscan, nmap等)來掃描一些特定的遠程弱點。啟動掃描程序的主機系統(tǒng)管理員通常都不知道一 個掃描器已經(jīng)在他的主機上運行,因為’ps’和’netstat’都被特洛伊化來隱藏掃描程序。 在對外部主機掃描之后,黑客就會對主機是否易受攻擊或安全有一個正確的判斷。 有效利用網(wǎng)絡(luò)組成的弱點,當黑客確認了一些被信任的外部主機,并且同時確認了一 些在外部主機上的弱點,他們就要嘗試攻克主機了。黑客將攻擊一個被信任的外部主機 ,用它作為發(fā)動攻擊內(nèi)部網(wǎng)絡(luò)的據(jù)點。要攻擊大多數(shù)的網(wǎng)絡(luò)組成,黑客就要使用程序來 遠程攻擊在外部主機上運行的易受攻擊服務(wù)程序,這樣的例子包括易受攻擊的Sendmail ,IMAP,POP3和諸如statd,mountd, pcnfsd 等RPC服務(wù)。 獲得對有弱點的網(wǎng)絡(luò)組成的訪問權(quán),在攻克了一個服務(wù)程序后,黑客就要開始清除他 在記錄文件中所留下的痕跡,然后留下作后門的二進制文件,使其以后可以不被發(fā)覺地 訪問該主機。 目前,黑客的主要攻擊方式有: 欺騙:通過偽造IP地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權(quán)使用,例如盜 用撥號帳號。 竊聽:利用以太網(wǎng)廣播的特性,使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包,對信息進行 過濾和分析后得到有用的信息,例如使用sniffer程序竊聽用戶密碼。 數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中,對信息進行非法的復(fù)制,例如,非法拷貝網(wǎng) 站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息,盜取網(wǎng)站用戶的個人信息等。 數(shù)據(jù)篡改:在信息的共享和傳遞過程中,對信息進行非法的修改,例如,刪除系統(tǒng)內(nèi) 的重要文件,破壞網(wǎng)站數(shù)據(jù)庫等。 拒絕服務(wù):使用大量無意義的服務(wù)請求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和IO能 力,造成系統(tǒng)癱瘓,無法對外提供服務(wù)。典型的例子就是2000年年初黑客對Yahoo等大型 網(wǎng)站的攻擊。 黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)絡(luò)癱瘓等 嚴重后果,如果是對軍用和政府網(wǎng)絡(luò)的攻擊,還會對國家安全造成嚴重威脅。 3 網(wǎng)絡(luò)與信息安全平臺的任務(wù) 網(wǎng)絡(luò)...
計算機專網(wǎng)安全產(chǎn)品解決方案(網(wǎng)絡(luò)防火墻)
寧波市政府 計算機專網(wǎng)安全產(chǎn)品解決方案 (網(wǎng)絡(luò)防火墻) 方正數(shù)碼有限公司 2002年2月 1. 背景介紹 5 1.1. 項目總述 5 1.2. 網(wǎng)絡(luò)環(huán)境總述 5 1.3. 業(yè)務(wù)現(xiàn)狀 6 1.4. 網(wǎng)絡(luò)信息安全概況 7 1.4.1. 網(wǎng)絡(luò)安全現(xiàn)狀 8 1.4.2. 典型的黑客攻擊 8 1.4.3. 網(wǎng)絡(luò)與信息安全平臺的任務(wù) 10 2. 安全架構(gòu)分析與設(shè)計 11 2.1. 網(wǎng)絡(luò)整體結(jié)構(gòu) 11 2.1.1. 寧波在全國政府專網(wǎng)中的位置 12 2.1.2. 光纖網(wǎng)絡(luò)平臺 12 2.2. 寧波政府專網(wǎng)安全風(fēng)險分析 14 2.2.1. 主要應(yīng)用服務(wù)的安全風(fēng)險 14 2.2.2. 網(wǎng)絡(luò)中主要系統(tǒng)的安全風(fēng)險 15 2.2.3. 數(shù)據(jù)庫系統(tǒng)安全分析 16 2.2.4. Unix系統(tǒng)的安全分析 16 2.2.5. Windows NT系統(tǒng)的安全分析 17 2.2.6. 管理系統(tǒng)的安全風(fēng)險 17 2.3. 寧波政府專網(wǎng)安全風(fēng)險解決方案設(shè)計的原則和目標 18 2.3.1. 網(wǎng)絡(luò)安全解決方案的組成 19 2.3.2. 超高安全要求下的網(wǎng)絡(luò)保護 21 2.4. 防火墻選型 22 2.5. 防火墻設(shè)置及工作模式 23 2.6. 防火墻功能設(shè)置及安全策略 23 2.6.1. 完善的訪問控制 23 2.6.2. 內(nèi)置入侵檢測(IDS) 24 2.6.3. 代理服務(wù) 24 2.6.4. 日志系統(tǒng)及系統(tǒng)報警 24 2.6.5. 帶寬分配,流量管理 25 2.6.6. H.323支持 25 2.6.7. 系統(tǒng)升級 25 2.6.8. 雙機備份 26 2.6.9. 防火墻方案特點 26 2.7. 防火墻整體布局 27 2.8. 寧波市政府系統(tǒng)計算機專網(wǎng)核心節(jié)點市政府辦公廳網(wǎng)絡(luò) 28 2.9. 各區(qū)及委、辦、局的安全網(wǎng)絡(luò) 28 2.10. 集中管理和分級管理 29 3. 產(chǎn)品選型 30 3.1. 防火墻與入侵檢測的選型 30 3.1.1. 方正數(shù)碼公司簡介 30 3.2. 方正方御防火墻(100M) 31 3.2.1. 產(chǎn)品概述 31 3.2.2. 系統(tǒng)特點 31 3.2.3. 方御防火墻(百兆)的性能 35 3.2.4. 方正方御防火墻功能說明 36 3.3. 方正方御防火墻(1000M) 47 3.3.1. 產(chǎn)品概述 47 3.3.2. 系統(tǒng)特點 48 3.3.3. 方正方御千兆防火墻功能說明 49 3.3.4. 方御防火墻(千兆)的性能 59 4. 工程實施方案 61 4.1. 合同簽訂階段的工作實施 61 4.2. 發(fā)貨階段的實施 62 4.3. 到貨后工作的實施 63 4.4. 測試及驗收 64 4.4.1. 測試及驗收描述 64 4.5. 系統(tǒng)初驗 65 4.5.1. 功能測試 65 4.5.2. 性能測試 65 4.5.3. 實施人員 65 5. 培訓(xùn)方案 66 5.1. 培訓(xùn)目標 66 5.2. 培訓(xùn)課程 66 5.3. 培訓(xùn)方式 66 5.4. 培訓(xùn)時長 66 5.5. 培訓(xùn)地點 66 5.6. 培訓(xùn)人數(shù) 67 5.7. 培訓(xùn)講師 67 5.8. 入學(xué)要求 68 6. 售后服務(wù)和技術(shù)支持 69 6.1. 售后服務(wù)內(nèi)容 69 6.2. 保修 70 6.3. 保修方式 71 6.4. 保修范圍 71 6.5. 保修期的確認 72 6.6. 全國服務(wù)網(wǎng)絡(luò) 72 6.7. 場地及環(huán)境準備 72 6.7.1. 常規(guī)要求 72 6.7.2. 機房電源、地線及同步要求 73 6.7.3. 設(shè)備場地、通信 73 6.7.4. 機房環(huán)境 73 6.8. 驗收清單 75 6.8.1. 設(shè)備開箱驗收清單 75 6.8.2. 用戶信息清單 75 6.8.3. 用戶驗收清單 76 7. 方案整體優(yōu)勢 78 8. 方正方御防火墻榮譽證書 79 背景介紹 1 項目總述 政府專網(wǎng)是寧波市政府信息化建設(shè)的基礎(chǔ)工程,是以寧波市政府東、北大院計算機局 域網(wǎng)為核心,以寬帶光纖網(wǎng)絡(luò)為通信平臺,圍繞業(yè)務(wù)管理、數(shù)據(jù)交換、語音通信、重大 事件處理、視頻會議等應(yīng)用,覆蓋寧波市各縣(市)、區(qū)政府,市政府各部門,市委辦 、人大辦、政協(xié)辦及市委各工作部門等,并與全國、全省政府專網(wǎng)聯(lián)接,共約122個節(jié)點 的城域網(wǎng)。 政府專網(wǎng)是獨立于公共網(wǎng)絡(luò)之外的政府系統(tǒng)專用網(wǎng)絡(luò),物理上與外部公共網(wǎng)絡(luò)隔離。 專網(wǎng)內(nèi)部進行邏輯分割,采用防火墻隔離、審計檢測等措施,建立有效的網(wǎng)絡(luò)安全防范 體系,以滿足國家黨政機關(guān)網(wǎng)絡(luò)可傳送普密級信息的通信安全保密要求。 政府專網(wǎng)涉及范圍廣,建設(shè)要求高,需分期分批進行建設(shè)。整個建設(shè)周期分為二期, 第一期41個節(jié)點于2002年2月底前完成,第二期約81個節(jié)點于2002年完成。目前已經(jīng)完成 網(wǎng)絡(luò)平臺、系統(tǒng)集成、系統(tǒng)商務(wù)標的招投標工作,正在抓緊進行網(wǎng)絡(luò)平臺建設(shè)及相關(guān)設(shè) 備的訂購采購工作。政府專網(wǎng)建成后,將極大地促進政府業(yè)務(wù)規(guī)范化、辦公自動化、管 理智能化、決策科學(xué)化、提高政府機關(guān)辦事工作效率,實現(xiàn)政府各部門以及上下級政府 部門之間信息和資源的共享。 2 網(wǎng)絡(luò)環(huán)境總述 市區(qū)內(nèi)采用千兆以太網(wǎng)技術(shù),市區(qū)外采用IP OVER SDH傳輸技術(shù),各節(jié)點用物理光纖接入。政府專網(wǎng)以市政府辦公廳為核心節(jié)點,在市區(qū)內(nèi) 采用4個匯集點,各節(jié)點用物理光纖就近接入?yún)R集點。在市區(qū)外利用網(wǎng)絡(luò)供應(yīng)商提供的S DH環(huán)路,各節(jié)點用物理光纖接入SDH環(huán)。核心節(jié)點與SDH環(huán)通過物理光纖連接,把市內(nèi)和 市外兩部分連通,組成完整的政府專網(wǎng)網(wǎng)絡(luò)平臺??傮w結(jié)構(gòu)請參見網(wǎng)絡(luò)總體拓撲圖。 [pic] 另外,省政府專網(wǎng)的光纖接入到IBM2216路由器,再經(jīng)過防火墻(上海華堂),以百 兆方式接入核心節(jié)點的接入交換機。 國務(wù)院專網(wǎng)的幀中繼專線接入到CISCO路由器,再經(jīng)過防火墻(中科院的安勝(ERCI ST)防火墻),以百兆方式接入核心節(jié)點的接入交換機。 寧波市處理重大事件指揮中心(以下簡稱指揮中心)是一個獨立的網(wǎng)段,以多模光纖 接入核心點的接入交換機,中間需以防火墻隔離。 市政府西大院所有單位作為一個節(jié)點,用4芯光纖接入?yún)R集點。 政府專網(wǎng)采用CISCO的WORKS2000 FOR NT作為網(wǎng)管軟件。 3 業(yè)務(wù)現(xiàn)狀 首先,寧波市政府與上級政府部門的信息數(shù)據(jù)交換量非常大。一方面,國務(wù)院、省政 府需要寧波市政府上報大量信息,如地方經(jīng)濟運行狀況、經(jīng)濟規(guī)劃、社會治安情況等; 另一方面,寧波市政府也需要及時了解國家有關(guān)政策、法規(guī)的最新情況。第二,寧波市 政府與各縣區(qū)政府數(shù)據(jù)交換量也相當大。第三,為了切實做好政府各項綜合管理工作, 市政府要領(lǐng)導(dǎo)、安排、督促和協(xié)調(diào)政府各職能部門工作,因此與各部門業(yè)務(wù)聯(lián)系十分密 切,信息交換量很大。第四,市政府與市委、人大及政協(xié)系統(tǒng)之間信息交流也十分頻繁 。 1.寧波市與上級政府部門之間的信息交流以公文、通知通告、要聞信息等文字資料為 主。 2.寧波市政府系統(tǒng)(含與市委、人大、政協(xié)系統(tǒng)之間)內(nèi)部信息交流內(nèi)容,主要有: ·網(wǎng)上辦公:公文及業(yè)務(wù)工作網(wǎng)上辦理流轉(zhuǎn)。 ·宏觀信息:包括國際、國內(nèi)、省內(nèi)、省外、市內(nèi)、市外宏觀經(jīng)濟數(shù)據(jù),每日信息, 重要會議,重大事件。 ·基本信息:包括市情、縣情,各級領(lǐng)導(dǎo)情況,機構(gòu)設(shè)置、直屬機構(gòu)設(shè)置、編制、職 能職責(zé)、聯(lián)系電話、郵箱地址等。 ·通知通告:包括會議、學(xué)習(xí)、上報材料等通知,系統(tǒng)內(nèi)的通報等。 ·工作動態(tài):國家、省、市政府及政府有關(guān)部門的重要政策信息,政府內(nèi)部改革思路 新經(jīng)驗等。 ·重大事件處理:綜合治理、災(zāi)害、汛情、交通等方面的文字、圖像及視頻信息。 ·政策法規(guī):地方政策法規(guī)和國家、浙江省的政策法規(guī) ·行業(yè)數(shù)據(jù):科技、文化、教育、交通等方面的行業(yè)數(shù)據(jù)。 ·地理信息系統(tǒng):規(guī)劃、建筑、地形地貌等方面的數(shù)據(jù),包括大型圖片。 ·會計核算中心:財務(wù)數(shù)據(jù) ·經(jīng)濟服務(wù)中心:批文、辦事程序等數(shù)據(jù) 以上諸項信息內(nèi)容除已說明以外,其余都為文字、數(shù)字等形式。 4 網(wǎng)絡(luò)信息安全概況 目前,很多公開的新聞表明美國國家安全局(NSA)有可能在許多美國大軟件公司的 產(chǎn)品中安裝“后門”,其中包括一些應(yīng)用廣泛的操作系統(tǒng)。為此德國軍方前些時候甚至規(guī) 定在所有牽涉到機密的計算機里,不得使用美國的操作系統(tǒng)。作為信息安全的保障,我 們在安全產(chǎn)品選型時強烈建議使用國內(nèi)自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品,將安全風(fēng)險降 至最低。 在為各安全產(chǎn)品選型時,我們立足國內(nèi),同時保證所選產(chǎn)品的先進性及可靠性,并要 求通過國家各主要安全測評認證。 1 網(wǎng)絡(luò)安全現(xiàn)狀 Internet正在越來越多地融入到社會的各個方面。一方面,隨著網(wǎng)絡(luò)用戶成分越來越 多樣化,出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁;另一方面,隨著Internet和以電 子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展,Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害 領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全,日益成為與政府、軍隊、企業(yè)、個人 的利益休戚相關(guān)的“大事情”。尤其對于政府和軍隊而言,如果網(wǎng)絡(luò)安全問題不能得到妥 善的解決,將會對國家安全帶來嚴重的威脅。 2000年二月,在三天的時間里,黑客使美國數(shù)家頂級互聯(lián)網(wǎng)站-Yahoo!、Amazon、e Bay、CNN陷入癱瘓,造成了十幾億美元的損失,令美國上下如臨大敵。黑客使用了DDoS (分布式拒絕服務(wù))的攻擊手段,用大量無用信息阻塞網(wǎng)站的服務(wù)器,使其不能提供正 常服務(wù)。在隨后的不到一個月的時間里,又先后有微軟、ZDNet和E*TRADE等著名網(wǎng)站遭 受攻擊。 國內(nèi)網(wǎng)站也未能幸免于難,新浪、當當書店、EC123等知名網(wǎng)站也先后受到黑客攻擊 。國內(nèi)第一家大型網(wǎng)上連鎖商城IT163網(wǎng)站3月6日開始運營,然而僅四天,該商城突遭網(wǎng) 上黑客襲擊,界面文件全部被刪除,各種數(shù)據(jù)庫遭到不同程度的破壞,致使網(wǎng)站無法運 作。 客觀地說,沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾,依據(jù)Financial Times曾做過的統(tǒng)計,平均每20秒鐘就有一個網(wǎng)絡(luò)遭到入侵。僅在美國,每年由于網(wǎng)絡(luò)安 全問題造成的經(jīng)濟損失就超過100億美元。 2 典型的黑客攻擊 黑客們進行網(wǎng)絡(luò)攻擊的目的各種各樣,有的是出于政治目的,有的是員工內(nèi)部破壞, 還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展,也出現(xiàn)了有明確 軍事目的的軍方黑客組織。 在典型的網(wǎng)絡(luò)攻擊中,黑客一般會采取如下的步驟: 自我隱藏,黑客使用通過rsh或telnet在以前攻克的主機上跳轉(zhuǎn)、通過錯誤配置的pr oxy主機跳轉(zhuǎn)等各種技術(shù)來隱藏他們的IP地址,更高級一點的黑客,精通利用電話交換侵 入主機。 網(wǎng)絡(luò)偵探和信息收集,在利用Internet開始對目標網(wǎng)絡(luò)進行攻擊前,典型的黑客將會 對網(wǎng)絡(luò)的外部主機進行一些初步的探測。黑客通常在查找其他弱點之前首先試圖收集網(wǎng) 絡(luò)結(jié)構(gòu)本身的信息。通過查看上面查詢來的結(jié)果列表,通常很容易建立一個主機列表并 且開始了解主機之間的聯(lián)系。黑客在這個階段使用一些簡單的命令來獲得外部和內(nèi)部主 機的名稱:例如,使用nslookup來執(zhí)行 “l(fā)s ”, finger外部主機上的用戶等。 確認信任的網(wǎng)絡(luò)組成,一般而言,網(wǎng)絡(luò)中的主控主機都會受到良好的安全保護,黑客 對這些主機的入侵是通過網(wǎng)絡(luò)中的主控主機的信任成分來開始攻擊的,一個網(wǎng)絡(luò)信任成 員往往是主控主機或者被認為是安全的主機。黑客通常通過檢查運行nfsd或mountd的那 些主機輸出的NFS開始入侵,有時候一些重要目錄(例如/etc,/home)能被一個信任主 機mount。 確認網(wǎng)絡(luò)組成的弱點,如果一個黑客能建立你的外部和內(nèi)部主機列表,他就可以用掃 描程序(如ADMhack, mscan, nmap等)來掃描一些特定的遠程弱點。啟動掃描程序的主機系統(tǒng)管理員通常都不知道一 個掃描器已經(jīng)在他的主機上運行,因為’ps’和’netstat’都被特洛伊化來隱藏掃描程序。 在對外部主機掃描之后,黑客就會對主機是否易受攻擊或安全有一個正確的判斷。 有效利用網(wǎng)絡(luò)組成的弱點,當黑客確認了一些被信任的外部主機,并且同時確認了一 些在外部主機上的弱點,他們就要嘗試攻克主機了。黑客將攻擊一個被信任的外部主機 ,用它作為發(fā)動攻擊內(nèi)部網(wǎng)絡(luò)的據(jù)點。要攻擊大多數(shù)的網(wǎng)絡(luò)組成,黑客就要使用程序來 遠程攻擊在外部主機上運行的易受攻擊服務(wù)程序,這樣的例子包括易受攻擊的Sendmail ,IMAP,POP3和諸如statd,mountd, pcnfsd 等RPC服務(wù)。 獲得對有弱點的網(wǎng)絡(luò)組成的訪問權(quán),在攻克了一個服務(wù)程序后,黑客就要開始清除他 在記錄文件中所留下的痕跡,然后留下作后門的二進制文件,使其以后可以不被發(fā)覺地 訪問該主機。 目前,黑客的主要攻擊方式有: 欺騙:通過偽造IP地址或者盜用用戶帳號等方法來獲得對系統(tǒng)的非授權(quán)使用,例如盜 用撥號帳號。 竊聽:利用以太網(wǎng)廣播的特性,使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包,對信息進行 過濾和分析后得到有用的信息,例如使用sniffer程序竊聽用戶密碼。 數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中,對信息進行非法的復(fù)制,例如,非法拷貝網(wǎng) 站數(shù)據(jù)庫內(nèi)重要的商業(yè)信息,盜取網(wǎng)站用戶的個人信息等。 數(shù)據(jù)篡改:在信息的共享和傳遞過程中,對信息進行非法的修改,例如,刪除系統(tǒng)內(nèi) 的重要文件,破壞網(wǎng)站數(shù)據(jù)庫等。 拒絕服務(wù):使用大量無意義的服務(wù)請求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和IO能 力,造成系統(tǒng)癱瘓,無法對外提供服務(wù)。典型的例子就是2000年年初黑客對Yahoo等大型 網(wǎng)站的攻擊。 黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機資源被利用和網(wǎng)絡(luò)癱瘓等 嚴重后果,如果是對軍用和政府網(wǎng)絡(luò)的攻擊,還會對國家安全造成嚴重威脅。 3 網(wǎng)絡(luò)與信息安全平臺的任務(wù) 網(wǎng)絡(luò)...
計算機專網(wǎng)安全產(chǎn)品解決方案(網(wǎng)絡(luò)防火墻)
[下載聲明]
1.本站的所有資料均為資料作者提供和網(wǎng)友推薦收集整理而來,僅供學(xué)習(xí)和研究交流使用。如有侵犯到您版權(quán)的,請來電指出,本站將立即改正。電話:010-82593357。
2、訪問管理資源網(wǎng)的用戶必須明白,本站對提供下載的學(xué)習(xí)資料等不擁有任何權(quán)利,版權(quán)歸該下載資源的合法擁有者所有。
3、本站保證站內(nèi)提供的所有可下載資源都是按“原樣”提供,本站未做過任何改動;但本網(wǎng)站不保證本站提供的下載資源的準確性、安全性和完整性;同時本網(wǎng)站也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的損失或傷害。
4、未經(jīng)本網(wǎng)站的明確許可,任何人不得大量鏈接本站下載資源;不得復(fù)制或仿造本網(wǎng)站。本網(wǎng)站對其自行開發(fā)的或和他人共同開發(fā)的所有內(nèi)容、技術(shù)手段和服務(wù)擁有全部知識產(chǎn)權(quán),任何人不得侵害或破壞,也不得擅自使用。
我要上傳資料,請點我!
管理工具分類
ISO認證課程講義管理表格合同大全法規(guī)條例營銷資料方案報告說明標準管理戰(zhàn)略商業(yè)計劃書市場分析戰(zhàn)略經(jīng)營策劃方案培訓(xùn)講義企業(yè)上市采購物流電子商務(wù)質(zhì)量管理企業(yè)名錄生產(chǎn)管理金融知識電子書客戶管理企業(yè)文化報告論文項目管理財務(wù)資料固定資產(chǎn)人力資源管理制度工作分析績效考核資料面試招聘人才測評崗位管理職業(yè)規(guī)劃KPI績效指標勞資關(guān)系薪酬激勵人力資源案例人事表格考勤管理人事制度薪資表格薪資制度招聘面試表格崗位分析員工管理薪酬管理績效管理入職指引薪酬設(shè)計績效管理績效管理培訓(xùn)績效管理方案平衡計分卡績效評估績效考核表格人力資源規(guī)劃安全管理制度經(jīng)營管理制度組織機構(gòu)管理辦公總務(wù)管理財務(wù)管理制度質(zhì)量管理制度會計管理制度代理連鎖制度銷售管理制度倉庫管理制度CI管理制度廣告策劃制度工程管理制度采購管理制度生產(chǎn)管理制度進出口制度考勤管理制度人事管理制度員工福利制度咨詢診斷制度信息管理制度員工培訓(xùn)制度辦公室制度人力資源管理企業(yè)培訓(xùn)績效考核其它
精品推薦
下載排行
- 1社會保障基礎(chǔ)知識(ppt) 16695
- 2安全生產(chǎn)事故案例分析(ppt 16695
- 3行政專員崗位職責(zé) 16695
- 4品管部崗位職責(zé)與任職要求 16695
- 5員工守則 16695
- 6軟件驗收報告 16695
- 7問卷調(diào)查表(范例) 16695
- 8工資發(fā)放明細表 16695
- 9文件簽收單 16695
- 10跟我學(xué)禮儀 16695