第一篇:專項網絡安全承諾書-深圳電子政務資源中心
專項網絡安全承諾書
我單位已接入政務公共網(即市黨政機關外網),為維護政務公共網的公共安全秩序,確保政務公共網的安全運行,特承諾以下內容:
一、遵守《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡國際聯網安全保護管理辦法》等國家及省市有關法律、法規和規章制度。
二、按照政府信息系統安全檢查辦法的有關規定,建立健全單位政務公共網各項安全管理制度,落實各項安全保護技術措施。
三、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,加強單位網絡及信息系統的信息安全管理工作,設立信息安全責任人和信息審查員,做好日常安全檢查、防范工作。
四、我單位承諾按申請和審批的網絡接入范圍進行使用,不自行下接其它單位。我單位名稱、性質或辦公地點等信息發生變更時,3個工作日內主動向市電子政務資源中心通報。
五、積極配合市電子政務資源中心開展政務公共網檢測和檢查,如實提供我單位網絡的有關情況。
六、在我單位計算機信息系統發生安全事件時,將按照《深圳市人民政府突發公共事件總體應急預案》的要求,立即主動采取應急措施,保留有關原始記錄,并根據網監部門要求在規定時限內向市公安局網監分局報告,積極協助市公安局網監分局查處計算機信息網絡違法犯罪行為,同時通報市電子政務資源中心。我單位對因我方原因引起的政務公共網網絡安全問題承擔全部責任。
七、在我單位計算機信息系統發生安全事故并影響到政務公共網安全時,市電子政務資源中心可以立即單方面斷開我單位與政務公共網的連接。
八、我單位在接入政務公共網時不得以任何方式獲取與本單位無關的網絡接入情況,同時對所掌握的相關信息嚴格保密。
九、我單位承諾在接入政務公共網后3個月內按照《深圳市電子政務公共資源管理暫行辦法》的要求向市電子政務資源中心提交合格的由具有信息安全等級測評資質的機構出具的《信息安全等級測評報告》或由市信息安全測評機構出具的網絡安全專項檢測報告,如未提交,市電子政務資源中心可以暫停我單位網絡接入服務直至提交合格報告為止。因違反本承諾書產生的一切后果由我單位自行承擔。
十、本承諾書一式兩份,由市電子政務資源中心及我單位各執一份。
簽 名:
單位蓋章:
年 月 日
第二篇:互聯網信息安全承諾書-深圳電子政務資源中心[范文模版]
接入政務公共網
網絡安全責任(補充)承諾書
我單位已接入政務公共網(即市黨政機關外網),為維護政務公共網的公共安全秩序,確保政務公共網的安全運行,特承諾以下內容:
一、遵守《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡國際聯網安全保護管理辦法》等國家及省市有關法律、法規和規章制度。
二、按照政府信息系統安全檢查辦法的有關規定,建立健全單位政務公共網各項安全管理制度,落實各項安全保護技術措施。
三、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,加強單位網絡及信息系統的信息安全管理工作,設立信息安全責任人和信息審查員,做好日常安全檢查、防范工作。
四、本單位政務公共網接入為專線直連方式未經過其他設備,不擅自變更接入模式或范圍,不通過無線的方式進行終端電腦的接入,否則應先向市電子政務資源中心提出書面申請并提交《信息安全等級測評報告》或由市信息安全測評中心出具的網絡安全專項檢測報告。
五、加強本單位對終端電腦的安全防范措施,包括相關的密碼復雜度策略(密碼應設置8位以上字符,由大小寫字母、數字、特殊字符的混合體組成)、及時更新操作系統補丁、安裝防病毒軟件并及時更新、定時查殺、專人使用等。
六、本單位不下載與工作業務無關的任何程序及文件。
七、在我單位計算機信息系統發生安全事件時,將按照《深圳市人民政府突發公共事件總體應急預案》的要求,立即主動采取應急措施,保留有關原始記錄,并根據網監部門要求在規定時限內向市公安局網監分局報告,積極協助市公安局網監分局查處計算機信息網絡違法犯罪行為,同時通報市電子政務資源中心。因本單位違反本承諾書產生的一切后果由我單位自行承擔。
八、本承諾書一式兩份,由市電子政務資源中心及我單位各執一份。
簽 名:
單位蓋章:
年 月 日
第三篇:黨政機關外網接入安全承諾書-深圳電子政務資源中心[范文模版]
黨政機關外網接入安全承諾書
我單位已接入市黨政機關外網平臺(以下簡稱機關外網),為維護機關外網的公共安全秩序,確保機關外網的安全運行,特承諾以下內容:
一、遵守《中華人民共和國計算機信息系統安全保護條例》和《計算機信息網絡國際聯網安全保護管理辦法》等國家及省市有關法律、法規和規章制度。
二、按照政府信息系統安全檢查辦法的有關規定,建立健全單位外網各項安全管理制度,落實各項安全保護技術措施。
三、按照“誰主管誰負責,誰運行誰負責,誰使用誰負責”的原則,加強單位網絡及信息系統的信息安全管理工作,設立信息安全責任人和信息審查員,做好日常安全檢查、防范工作。
四、我單位承諾按審批的網絡接入范圍進行使用,不自行下接其它單位。我單位名稱、性質或辦公地點等信息發生變更時,3個工作日內主動向市電子政務資源中心通報。
五、積極配合市電子政務資源中心開展外網檢測和檢查,如實提供我單位網絡的有關情況。
六、在單位網站開通10個工作日內,自行完成在工信部網上備案系統的ICP備案,并按期履行審核手續,同時在3個工作日內將備案信息報市電子政務資源中心進行存檔。ICP備案信息發生增加、修改、刪除時,在3個工作日內主動報市電子政務資源中心進行信息更新。
七、在單位網站開通10個工作日內,自行完成在市公安局網監分局的備案手續,并接受市公安局網監分局的監督和檢查,如實提供有關安全 1 保護的信息、資料及數據文件。
八、在我單位計算機信息系統發生安全事件時,將按照《深圳市人民政府突發公共事件總體應急預案》的要求,立即主動采取應急措施,保留有關原始記錄,并根據網監部門要求在規定時限內向市公安局網監分局報告,積極協助市公安局網監分局查處計算機信息網絡違法犯罪行為,同時通報市電子政務資源中心。
九、在我單位計算機信息系統發生安全事故并影響到機關外網安全時,市電子政務資源中心可以立即單方面斷開我單位與機關外網的連接。
十、我單位在接入黨政機關外網平臺時不得以任何方式獲取與本單位無關的網絡接入情況,同時對所掌握的相關信息嚴格保密。
十一、因違反本承諾書產生的一切后果由我單位自行承擔。
十二、本承諾書一式兩份,由市電子政務資源中心及我單位各執一份。
簽 名:
單位蓋章:
年 月 日
第四篇:網站安全承諾書 - 深圳市電子政務資源中心
虛擬機資源使用安全承諾書
本單位申請使用市電子政務資源中心基于深圳市電子政務云平臺分配的虛擬機資源,特做如下承諾:
一、遵守《計算機網絡互聯安全管理辦法》、《中華人民共和國計算機信息網絡國際聯網管理暫行規定》、《中華人民共和國計算機信息系統安全保護條例》等有關互聯網的各項法律法規;
二、遵守《深圳市電子政務公共資源管理辦法》、《深圳市電子政務公共應用(平臺)的使用和管理辦法》等相關使用、安全管理辦法;
三、自行負責虛擬機上所需安裝的軟件版權/許可/使用權;負責虛擬機操作系統、應用軟件、數據庫等補丁升級或病毒防范;負責虛擬機帳戶管理、所運行的系統狀態檢查和安全管理、重要數據文件備份;不開設論壇、留言板、網游及其他與黨政機關工作不相關的業務,不將服務器作為代理服務器使用,不擅自進行影響深圳市電子政務云平臺的安全、性能測試;
四、向市電子政務資源中心報備虛擬機運行的業務系統情況說明及系統上線安全測評報告;不擅自變更業務申請范圍,不擅自更改虛擬服務器設置,包括但不限于主機名、IP地址、MAC地址、端口等網絡配置;發生安全事件及時告知市電子政務資源中心。本單位自行承擔違反上述要求引發的相應法律責任,對于發生影響深圳市電子政務云平臺安全事件的或長期占用虛擬機資源不使用的,市電子政務資源中心有權停止虛擬機使用服務。
本承諾書一式兩份,由市電子政務資源中心及本單位各執一份。
蓋章
年 月 日
第五篇:電子政務網絡安全解決方案
電子政務網絡安全解決方案
電子政務網絡安全概述
以Internet為代表的全球性信息化浪潮日益深刻,信息網絡技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如行政部門業務系統、金融業務系統、政府機關商務系統等。伴隨網絡的普及,安全日益成為影響網絡效能的重要問題,而Internet所具有的開放性、國際性和自由性在增加應用自由度的同時,對安全提出了更高的要求。如何使信息網絡系統不受黑客和工業間諜的入侵,已成為政府機構、企事業單位信息化健康發展所要考慮的重要事情之一。
網絡規劃
各級網絡
利用現有線路及網絡進行完善擴充,建成互聯互通、標準統一、結構簡單、功能完善、安全可靠、高速實用、先進穩定的級別分明卻又統一的網絡。數據中心
建設集中的數據中心,對所有的信息資源、空間、信用等數據進行集中存放、集中管理。為省及各市部門、單位的關鍵應用及關鍵設施提供機房、安全管理與維護。網絡總體結構
政府機構從事的行業性質是跟國家緊密聯系的,所涉及信息可以說都帶有機密性,所以其信息安全問題,如敏感信息的泄露、黑客的侵擾、網絡資源的非法使用以及計算機病毒等。都將對政府機構信息安全構成威脅。為保證政府網絡系統的安全,有必要對其網絡進行專門安全設計。
所謂電子政務就是政府機構運用現代計算機技術和網絡技術,將其管理和服務的職能轉移到網絡上完成,同時實現政府組織結構和工作流程的重組優化,超越時間、空間和部門分隔的制約,向全社會提供高效、優質、規范、透明和全方位的管理與服務。
實現電子政務的意義在于突破了傳統的工業時代“一站式”的政府辦公模式,建立了適應網絡時代的“一網式”和“一表式”的新模式,開辟了推動社會信息化的新途徑,創造了政府實施產業政策的新手段。電子政務的出現有利于政府轉變職能,提高運作效率。
圖示:原有電子政務網絡情況
電子政務網絡的應用系統和網絡連接方式多樣,由于網絡本身及應用系統的復雜性,無論是有意的攻擊,還是無意的誤操作,都將會給系統帶來不可估量的損失。非法進入的攻擊者可能竊聽網絡上的信息、竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容、偽造用戶身份、否認自己的簽名;更有甚者,攻擊者可以刪除數據庫內容、摧毀網絡節點等等。
因此在電子政務網絡的建設中,構建網絡安全系統以確保網絡信息的安全可靠是非常必要的。
物理安全風險分析
網絡物理安全是整個網絡系統安全的前提。物理安全的風險主要有: ◆地震、水災、火災等環境事故造成整個系統毀滅;
◆電源故障造成設備斷電以至操作系統引導失敗或數據庫信息丟失; ◆設備被盜、被毀造成數據丟失或信息泄漏; ◆電磁輻射可能造成數據信息被竊取或偷閱;
◆報警系統的設計不足可能造成原本可以防止但實際發生了的事故。鏈路傳輸風險分析
網絡安全不僅是入侵者到政府機關內部網上進行攻擊、竊取或其它破壞,他們完全有可能在傳輸線路上安裝竊聽裝置,竊取你在網上傳輸的重要數據,再通過一些技術讀出數據信息,造成泄密或者做一些篡改來破壞數據的完整性;以上種種不安全因素都對網絡構成嚴重的安全威脅。因此,對于政府這樣帶有重要信息傳輸的網絡,數據在鏈路上傳輸必須加密。并通過數字簽名及認證技術來保障數據在網上傳輸的真實性、機密性、可靠性及完整性。
遠程辦公安全接入 目前,政府網絡應用環境紛亂復雜,既有內部的應用如:內部OA系統、文件共享、Email等應用服務,又有眾多面向下屬單位、合作伙伴等對外的應用。如何地有效解決遠程用戶安全訪問網絡內部資源?
虛擬專用網技術(VPN,Virtual PrivateNetwork)是指在公共網絡中建立專用網絡,數據通過安全的“加密通道”在公共網絡中傳播。政府機關只需要租用本地的數據專線,連接上本地的公眾信息網,那么各地的機構就可以互相傳遞信息。使用VPN有節約成本、擴展性強、便于管理和實現全面控制等好處。在虛擬專用網中,任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是利用某種公眾網的資源動態組成的,是通過私有的隧道技術在公共數據網絡上仿真一條點到點的專線技術。所謂虛擬,是指用戶不再需要擁有實際的長途數據線路,而是使用Internet公眾數據網絡的長途數據線路。所謂專用網絡,是指用戶可以為自己制定一個最符合自己需求的網絡。根據國家有關規定,政府網絡可以通過現有公有平臺搭建自己的內部網絡,但必須通過認證和加密技術,保證數據傳輸的安全性。
單獨的VPN網關的主要功能是IPSec數據包的加密/解密處理和身份認證,但它沒有很強的訪問控制功能,例如狀態包過濾、網絡內容過濾、防DDoS攻擊等。在這種獨立的防火墻和VPN部署方式下,防火墻無法對VPN的數據流量進行任何訪問控制,由此帶來安全性、性能、管理上的一系列問題。因此,在防火墻安全網關上集成VPN是當前安全產品的發展趨勢,能提供一個靈活、高效、完整的安全方案。
集成VPN的防火墻安全網關的優點是,它可以保證加密的流量在解密后,同樣需要經過嚴格的訪問控制策略的檢查,保護VPN網關免受DDoS攻擊和入侵威脅;提供更好的處理性能,簡化網絡管理的任務,快速適應動態、變化的網絡環境。因此,當前VPN技術已經成為安全網關產品的組成部分。
政府機關Intranet網絡建設的VPN連接方案,利用IPsec安全協議的VPN和加密能力,實現兩個或多個政府機關之間跨越因特網的政府機關內部網絡連接,實現了安全的政府機關內部的數據通信。通過防火墻內部策略控制體系,對VPN的數據可以進行有效的控制和管理,使政府機關的內部網絡通信具有良好的擴展性和管理性。
圖示:政府機關Intranet網VPN解決方案
如上圖示,原始的數據經過加密封裝在另外一個IP通道內,通道頭部地址就是防火墻外部端口的IP地址,以實現在公網鏈路上的傳輸。利用高強度的、動態變換的密鑰來保證數據的安全,168位的3DES算法更提供了業界最高級別的安全防御體系,使政府機關的內部數據可以無憂地在公網上傳輸,以達到政府機關內部網絡安全擴展的目的。
網絡結構的安全風險分析
(一)來自與公網互聯的安全威脅
如果政府內部網絡與Internet公網有互連。基于Internet公網的開放性、國際性與自由性,內部網絡將面臨更加嚴重的安全威脅。因為,每天黑客都在試圖闖入Internet節點,假如我們的網絡不保持警惕,可能連黑客怎么闖入的都不知道,甚至會成為黑客入侵其他網絡的跳板。政府行業內部網絡中其辦公系統及各人主機上都有涉密信息。
假如內部網絡的一臺機器安全受損(被攻擊或者被病毒感染),就會同時影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到與本系統網絡有連接的外單位網絡;影響所及,還可能涉及法律、金融等安全敏感領域。對于政府行業網絡系統,國家也有規定是不能與互聯網直接或間接與相連。
內部網絡與系統外部網互聯安全威脅
如果系統內部局域網絡與系統外部網絡間沒有采取一定的安全防護措施,內部網絡容易遭到來自外部網絡不懷好意的入侵者的攻擊。如:
入侵者通過Sniffer等程序來探測掃描網絡及操作系統存在的安全漏洞,如網絡IP地址、應用操作系統的類型、開放哪些TCP端口號、系統保存用戶名和口令等安全信息的關鍵文件等,并通過相應攻擊程序對內網進行攻擊。
入侵者通過網絡監聽等先進手段獲得內部網用戶的用戶名、口令等信息,進而假冒內部合法身份進行非法登錄,竊取內部網重要信息。
惡意攻擊:入侵者通過發送大量PING包對內部網重要服務器進行攻擊,使得服務器超負荷工作以至拒絕服務甚至系統癱瘓。
(三)內部局域網的安全威脅
據調查在已有的網絡安全攻擊事件中約70%是來自內部網絡的侵犯。比如內部人員故意泄漏內部網絡的網絡結構;安全管理員有意透露其用戶名及口令;內部員工編些具有破壞力的程序在內部網上傳播或者內部人員通過各種方式盜取他人涉密信息傳播出去。種種因素都對整體的網絡安全構成很大的威脅。
系統的安全風險分析
所謂系統安全通常是指網絡操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door(后門)。而且系統本身必定存在安全漏洞。這些“后門”或安全漏洞都將存在重大安全隱患。但是從實際應用上,系統的安全程度跟對其進行安全配置及系統的應用面有很大關系,操作系統如果沒有采用相應的安全配置,則其是漏洞百出,掌握一般攻擊技術的人都可能入侵得手。
如果進行安全配置,比如,填補安全漏洞,關閉一些不常用的服務,禁止開放一些不常用而又比較敏感的端口等,那么入侵者要成功進行內部網是不容易,這需要相當高的技術水平及相當長時間。因此應正確估價自己的網絡風險并根據自己的網絡風險大小做出相應的安全解決方案。
應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。這就需要我們對不同的應用,檢測安全漏洞,采取相應的安全措施,降低應用的安全風險。
(一)資源共享
政府網絡系統內部必有自動化辦公系統。而辦公網絡應用通常是共享網絡資源,比如文件、打印機共享等。由此就可能存在著:員工有意、無意把硬盤中重要信息目錄共享,長期暴露在網絡鄰居上,可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密,因為缺少必要的訪問控制策略。
電子郵件系統
電子郵件為網系統用戶提供電子郵件應用。內部網用戶可通過拔號或其它方式進行電子郵件發送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等,由于許多用戶安全意識比較淡薄,對一些來歷不明的郵件,沒有警惕性,給入侵者提供機會,給系統帶來不安全因素。
病毒侵害
自從1983年世界上第一個計算機病毒出現以來,在20多年的時間里,計算機病毒已到了無孔不入的地步,有些甚至給我們造成了巨大的破壞。
隨著網絡的普及和網速的提高,計算機之間的遠程控制越來越方便,傳輸文件也變得非常快捷,正因為如此,病毒與黑客程序(木馬病毒)結合以后的危害更為嚴重,病毒的發作往往伴隨著用戶機密資料的丟失。病毒的傳播可能會具有一定的方向性,按照制作者的要求侵蝕固定的內容。
由于網絡的普及,使得編寫病毒的知識越來越容易獲得。同時,各種功能強大而易學的編程工具讓用戶可以輕松編寫一個具有極強殺傷力的病毒程序。用戶通過網絡甚至可以獲得專門編寫病毒的工具軟件,只需要通過簡單的操作就可以生成破壞性的病毒。
網絡是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光盤或軟盤、人為投放等傳播途徑潛入內部網。因此,病毒的危害的不可以輕視的。網絡中一旦有一臺主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網絡上的所有主機,可能造成信息泄漏、文件丟失、機器死機等不安全因素。
數據信息
數據安全對政府行業來說尤其重要,數據在廣域網線路上傳輸,很難保證在傳輸過程中不被非法竊取,篡改。現今很多先進技術,黑客或一些工業間諜會通過一些手段,設法在線路上做些手腳,獲得在網上傳輸的數據信息。也就造成的泄密。這對政府行業用戶來說,是決不允許的。
管理的安全風險分析
內部管理人員或員工把內部網絡結構、管理員用戶名及口令以及系統的一些重要信息傳播給外人帶來信息泄漏風險。
機房重地卻是任何都可以進進出出,來去自由。存有惡意的入侵者便有機會得到入侵的條件。
內部不滿的員工有的可能熟悉服務器、小程序、腳本和系統的弱點。利用網絡開些小玩笑,甚至破壞。如傳出至關重要的信息、錯誤地進入數據庫、刪除數據等等。這些都將給網絡造成極大的安全風險。
管理是網絡中安全得到保證的重要組成部分,是防止來自內部網絡入侵必須的部分。責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。即除了從技術上下功夫外,還得依靠安全管理來實現。
防火墻系統設計方案
(一)防火墻系統
1、在各網絡出口處安裝曙光天羅防火墻。防火墻在這里首先起到網絡隔離、劃分不同安全域,進行訪問控制的功能。通過防火墻的多網口結構設計,控制授權合法用戶可以訪問到授權服務,而限制非授權的訪問。曙光天羅防火墻分為百兆和千兆兩個系列,可以根據各局內部網的規模大小選擇適合自己的產品。
2、曙光天羅防火墻自帶的入侵檢測功能采用了基于模式匹配的入侵檢測系統,超越了傳統防火墻中的基于統計異常的入侵檢測功能,實現了可擴展的攻擊檢測庫,真正實現了抵御目前已知的各種攻擊方法。防火墻的入侵檢測模塊,可以自動檢測網絡數據流中潛在的入侵、攻擊和濫用方式,通知管理員調整控制規則,為整個網絡提供動態的網絡保護。
3、利用曙光天羅防火墻自帶的VPN功能,實現多級VPN系統。防火墻VPN模塊支持兩種用戶模式:遠程訪問虛擬網(撥號VPN)和政府機關內部虛擬網(網關對網關VPN)。如上圖所示,在省地市三級網絡出口處安裝曙光天羅防火墻,利用防火墻的VPN模塊,實現他們之間分層次的政府機關內部虛擬網(網關對網關VPN);而對于一些規模比較小的區線或移動用戶,通過安裝VPN客戶端,實現遠程訪問虛擬網(撥號VPN),整個構成一個安全的虛擬內部局域網,保障電子政務網絡的數據安全傳輸。
(二)防火墻的VPN功能
VPN是平衡Internet的適用性和價格優勢的最有前途的新興通信手段之一。利用共享的IP網建立VPN連接,可以使服務對象減少對昂貴租用線路和復雜遠程訪問方案的依賴性。
也是至關重要的一點,它可以使移動用戶和一些小型的分支機構的網絡開銷減少達50%或更多;
政府機關新增的分支機構或站點可以非常迅速方便地加入政府機關已建的基于VPN的INTRANET,所以VPN的可擴展性大大優于傳統構建政府機關INTRANET的技術手段,如點對點專線或長途撥號;
VPN不僅可以大幅度削減傳輸數據的開銷,同時可以削減傳輸話音的開銷;
VPN創造了多種伴隨著Web發展而出現的新的商業機會,包括:進行全球電子商務,可以在減少銷售成本的同時增加銷售量;實現外連網,可以使用戶獲得關鍵的信息,更加貼近世界;可以訪問全球任何角落的電子通勤人員和移動用戶。
在當今全球激烈競爭的環境下,最先實現VPN的政府機關將在競爭獲得優勢已經是不爭的事實,許多政府機關也開始紛紛利用經濟有效的VPN來傳送話音業務,并從中受益:
◆ 減少用于相關的調制解調器和終端服務設備的資金及費用,簡化網絡; ◆ 實現本地撥號接入的功能來取代遠距離接入,這樣能顯著降低遠距離通信的費用; ◆ 遠端驗證撥入用戶服務基于標準,基于策略功能的安全服務;
◆ 將工作重心從管理和保留運作撥號網絡的工作人員轉到公司的核心業務上來; ◆ 強大的基于 Web的VPN管理工具提供基于策略的 VPN配置和監控,可以優化網絡資源;
◆ 極大的可擴展性,簡便地對加入網絡的新用戶進行調度。用戶不需改變網絡的原來架構,只須安裝客戶端軟件并且設置此軟件的一些參數即可。同時也支持傳統的應用,可以從小的政府機關擴展到最大的政府機關;
◆ 更大的網絡靈活性,可以管理和發布不同類型的數據進入同一Internet連接。VPN代表了當今網絡發展演化的最高形式,它綜合了傳統數據網絡的性能優點(安全和QoS)和共享數據網絡結構的優點(簡單和低成本),必將成為未來傳輸完全匯聚業務的主要工具。
用戶可以通過硬件和軟件的方式來實現VPN功能,一般用戶都會使用硬件設備。在總部架設一個帶有VPN功能的防火墻,就可以讓地方聯到總部的內部局域網了。使用這種具有VPN功能的防火墻都具有較高的安全性和穩定性,因一個最大的優點是既可以抵御外部的攻擊又可以提高自身網絡的安全性。
防火墻對服務器的保護
網絡中應用的服務器,信息量大、處理能力強,往往是攻擊的主要對象。另外,服務器提供的各種服務本身有可能成為“黑客”攻擊的突破口,因此,在實施方案時要對服務器的安全進行一系列安全保護。
如果服務器沒有加任何安全防護措施而直接放在公網上提供對外服務,就會面臨著“黑客”各種方式的攻擊,安全級別很低。因此當安裝防火墻后,所有訪問服務器的請求都要經過防火墻安全規則的詳細檢測。只有訪問服務器的請求符合防火墻安全規則后,才能通過防火墻到達內部服務器。防火墻本身抵御了絕大部分對服務器的攻擊,外界只能接觸到防火墻上的特定服務,從而防止了絕大部分外界攻擊。
(四)防火墻對內網的保護
網絡內部的環境比較復雜,而且各子網的分布地域廣闊,網絡用戶、設備接入的可控性比較差,因此,內部網絡用戶的可靠性并不能得到完全的保證。特別是對于存放敏感數據的主機的攻擊往往發自內部用戶,如何對內部用戶進行訪問控制和安全防范就顯得特別重要。為了保障內部網絡運行的可靠性和安全性,我們必須要對它進行詳盡的分析,盡可能防護到網絡的每一節點。
對于一般的網絡應用,內部用戶可以直接接觸到網絡內部幾乎所有的服務,網絡服務器對于內部用戶缺乏基本的安全防范,特別是在內部網絡上,大部分的主機沒有進行基本的安全防范處理,整個系統的安全性容易受到內部用戶攻擊的威脅,安全等級不高。根據國際上流行的處理方法,我們把內部用戶跨網段的訪問分為兩大類:其一,是內部網絡用戶之間的訪問,即單機到單機訪問。這一層次上的應用主要有用戶共享文件的傳輸(NETBIOS)應用;其次,是內部網絡用戶對內部服務器的訪問,這一類應用主要發生在內部用戶的業務處理時。一般內部用戶對于網絡安全防范的意識不高,如果內部人員發起攻擊,內部網絡主機將無法避免地遭到損害,特別是針對于NETBIOS文件共享協議,已經有很多的漏洞在網上公開報道,如果網絡主機保護不完善,就可能被內部用戶利用“黑客”工具造成嚴重破壞。
由于網絡環境的復雜化和網絡應用的多樣化日益明顯,對于內部網絡除了必要的防攻擊設置外還必須防止內部用戶的欺騙行為,比如IP地址欺騙、網絡連接的欺騙等。由于物理層上的原因,內部用戶接觸網絡服務的機會、方法很多,如果沒有專門的安全防護,“黑客”就可以比較容易地實施欺騙、偽造身份及暴力攻擊(CRACK),對于內部網絡的用戶,防范攻擊的難度較大。我們主要從以下幾個方面考慮:
1)內部網絡風險分析:由于內部攻擊發生的比較頻繁,因此我們首先要分析內部網絡的安全隱患,把可能發生的不安定因素找出來進行專門的安全處理;
2)內部用戶網絡和網絡的隔離:把內部比較重要的數據服務器放在專門的區域,加上獨立的控制體系,對于內部網的訪問同樣要進行相應的安全控制;
3)內部網絡安全保護:結合物理層和鏈路層的特點,在物理層和鏈路層的接口處實施安全控制,實施IP/MAC綁定。
IDS詳述
IDS(入侵檢測系統)對于關心網絡安全防護的人們來說已不再是一個陌生的名詞,在許多行業的計算機網絡安全防御工程中除了采用防病毒、防火墻或認證加密等系統外,有近15%的安全項目會涉及到IDS系統,而且這些項目一般都對安全等級的要求非常高,對數據信息的保密性也有特別的要求。
IDS系統
要想高效使用IDS首先要對它進行合理部署。通常IDS監控保護的基本單位是一個網段,單個網段的最小組成元素是各臺主機,政府機關對各主機、各網段的安全性要求程度一般都不相同,所以確定IDS的保護對象是合理使用IDS的關鍵。
在優先保護的網段中部署IDS系統,并配置合適的檢測策略,如在防火墻之內部署IDS則可把安全策略配置得緊一些,即使用最大化的檢測策略,而在防火墻之外部署則可采用較為寬松的策略,因為經過防火墻過濾后,內部網絡的安全狀況相對比較簡單,而外部的情況則較為復雜,誤報的可能性也較大。另外,在一定的情況下有些內部信任的主機也可能會觸發IDS的檢測引擎,從而形成報警,而對于用戶來說,這些報警事件是沒有什么參考價值的,所以需要在檢測范圍中排除這些主機的IP地址;通常IDS系統中都有一個過濾器(FILTER)模塊或像KIDS那樣所具有的“非阻斷列表”的功能選項,可以允許用戶加入所有他們所信任的主機IP地址。
目前大多數的IDS系統主要采用基于包特征的檢測技術來組建,它們的基本原理是對網絡上的所有數據包進行復制并檢測,然后與內部的攻擊特征數據庫(規則庫)進行匹配比較,如果相符即產生報警或響應。這種檢測方式雖然比異常統計檢測技術要更加精確,但會給IDS帶來較大的負載,所以需要對檢測策略作進一步的調整和優化。具體做法是根據政府機關自身網絡的業務應用情況,選擇最適合的檢測策略(可根據操作系統、應用服務或部署位置等),并對所選的策略進行修改,選擇具有參考價值的檢測規則,而去除一些無關緊要的選項,如對于全部是Windows的應用環境,則完全可以把UNIX的規則去掉。有些IDS除了提供攻擊特征檢測規則的定制功能外,還提供了對端口掃描檢測規則的自定義,如在KIDS中就可定義端口掃描的監控范圍、信任主機地址排除和掃描模式等參數,這些參數的合理配置都能將IDS的檢測能力優化到最理想的狀態。
IDS監控
IDS除了能對網絡上各種非法行為產生報警外還能對一些特定的事件進行實時的響應,因為只有采取及時的響應才能有效阻止重要的資源被破壞或被盜用。目前最常用的響應方式是對網絡中的非法連接進行阻斷,如利用防火墻阻斷、列入黑名單阻斷或HTTP阻斷等。在利用IDS進行監控時,不但需要查看它的報警提示,而且需要參考它所提供的實時狀態信息。因為在網絡中發生異常行為時,網絡中的許多狀態信息一般都與正常情況下的狀態不一樣。如主機正遭到拒絕服務攻擊時(DoS或DDoS),網絡中的數據流量便可能會急速上升,這時可以從包流量或字節流量等實時的狀態圖表中發現這樣的異常情況。所以參考IDS所顯示的狀態信息也是非常重要的。實時狀態信息還包括當前的活動TCP連接、TCP/UDP/IP/ICMP等協議的包或字節流量等。IDS的最重要價值之一是它能提供事后統計分析,所有安全事件或審計事件的信息都將被記錄在數據庫中,可以從各個角度來對這些事件進行分析歸類,以總結出被保護網絡的安全狀態的現狀和趨勢,及時發現網絡或主機中存在的問題或漏洞,并可歸納出相應的解決方案。
電子政務整體網絡安全解決方案
電子政務系統中存在大量敏感數據和應用,因此必須設計一個高安全性、高可靠性及高性能的防火墻安全保護系統,確保數據和應用萬無一失。
各局的局域網計算機工作站包括終端、廣域網路由器、服務器群都直接匯接到本局的主干交換機上。由于工作站分布較廣且全部連接,可以通過電子政務網絡進行相互訪問,服務器就有可能收到攻擊。因此,必須在各局之間相互進行隔離防護。
如下圖,我們在各局路由器后安裝曙光TLFW千兆防火墻,以有三千用戶在同時上Internet網計算,千兆防火墻的并發連接超過600,000,完全可以滿足整個網絡的需求,穩定性上也滿足要求。同時,將局內網與其他區域邏輯隔離開來,在數據中心內,根據不同的服務器對安全性的不同需求,將它們分等級劃分為不同的區域,并通過詳細的包過濾規則制定,將這些服務器徹底保護起來,保證它們之間不能跨級別訪問,這樣實現分級的安全性。
通過安裝防火墻,可以實現下列的安全目標:
1)利用防火墻將內部網絡、Internet外部網絡進行有效隔離,避免與外部網絡直接通信;
2)利用防火墻建立網絡各終端和服務器的安全保護措施,保證系統安全;
3)利用防火墻對來自非內部網的服務請求進行控制,使非法訪問在到達主機前被拒絕; 4)利用防火墻使用IP與MAC地址綁定功能,加強終端用戶的訪問認證,同時在不影響用戶正常訪問的基礎上將用戶的訪問權限控制在最低限度內;
5)利用防火墻全面監視對服務器的訪問,及時發現和阻止非法操作;
6)利用防火墻及服務器上的審計記錄,形成一個完善的審計體系,建立第二條防線; 7)根據需要設置流量控制規則,實現網絡流量控制,并設置基于時間段的訪問控制。下圖是電子政務網絡安全解決方案設計拓撲圖:
圖示:電子政務網絡安全總體拓撲
根據以上的分析,在整個政府網絡安全體系中,除了負責邊界安全的防火墻設備以外,還選擇了入侵檢測系統進行共同防范,達到整個系統的高安全性。
同時因為用戶有撥號VPN的需求,而曙光的天羅防火墻自身具備了VPN的功能,可以滿足遠程連接用戶的安全要求。
具備了高安全性、高可靠性、高性能、高適用性、易管理、高度集成、靈活擴展等產品特色。易于安裝和使用,網絡性能和透明性好,擁有自行設計的全中文化WWW管理界面,通過直觀、易用的界面來管理強大、復雜的系統功能。
可根據系統管理者設定的安全規則(Security Rules)把守網絡的大門,提供強大的訪問控制、網絡地址轉換(Network Address Translation)、帶寬控制、P2P協議過濾等功能。
根據電子政務的實際需要,充分利用了曙光天羅防火墻的各功能模塊,實現了各功能模塊(防火墻模塊、入侵檢測模塊、VPN模塊等)的協同工作,再加上NIDS網絡入侵檢測系統的重點防護,構建了一個整合的動態安全門戶,以比較經濟實惠的方式,實現了對電子政務網絡的整體安全防護。
點擊咨詢 