5.3 安全拓扑图
图5.3 岳阳市各区县电子政务外网安全系统设计
系统功能说明:
1、此网络拓扑中通过部署二台万兆主机;集成二块防火墙板卡、一块入侵防御板卡;一块抗DDOS系统板卡、一块流量控制系统+上网行为审计系统、一套网页防篡改系统、一套入网规范管理系统、一套日志审计系统来对整个网络进行安全保护和上网用户及流量管理,在外部数据中心区服务器交换机也集成了入侵
第 41 页 共 55 页
防御系统。为整个网提供无病毒的网络环境。
2、防火墙主要针对WEB服务器区的服务器进行四层以下安全保护,同时也可做安全区域隔离,实现了内部数据区、WEB服务器区和互联网之间,不同的业务区的隔离和访问的控制。
3、入网规范管理系统在提供多样化的身份认证,保障接入网络人员合法性的同时,同时支持对设备的实名认证,保障了接入网络终端设备的合法性,从而加强内部网络的可控性,方便管理员对网络的统一管理。
4、互联网出口的抗DDOS设备使岳阳市各区县电子政务外网平台能有效保护其基础业务系统(包括Web、DNS、Mail、交换机、路由器或是防火墙)免受DDoS攻击的侵害,保证其业务系统运行的连续性。
5、外部数据中心出口的IPS主要融合高性能、高安全性、高可靠性和易操作性等特性,通过先进的安全架构,具备深度入侵防护、精细流量控制,以及全面用户上网行为监管等多项功能,能够为用户提供深度攻击防御和应用带宽保护的完美价值体验,IPS可针对上网用户行为、流量管理、访问控制、病毒防护,如:杜绝迅雷、BI下载、P2P点上下载、在线电影、炒股软件、网络游戏等。
6、通过使用内部数据中心防火墙过滤不安全的服务请求,提高网络安全和减少子网中主机的风险,提供对系统的访问控制;阻止攻击者获得攻击网络系统的有用信息,记录和统计网络利用数据以及非法使用数据、攻击和探测策略执行。
7、通过部署网络版防病毒系统,网络版防病毒产品与边界安全网关采用异构
的杀毒引擎和病毒库,以实现真正的双重防护。
5.4 安全系统部署
岳阳市各区县电子政务外网的网络安全设计方案,主要体现针对WEB服务器区、内部数据中心区、互联网出口区和市电子政务外网互联区这四个防护区的有效安全防御,突出在安全区域隔离、访问控制、流量控制、攻击防护、病毒过滤、上网行为管理、入侵防御方面的设计考虑。
1.
在互联网接入区与核心交换机之间部署一台高性能的防火墙产品,
第 42 页 共 55 页
在保障网络可用性同时实现内外网间的逻辑隔离。位于外部数据中心的外网服务器挂在防火墙的服务器区,可同时防范来自内外网的攻击;
2.
在内、外部数据中心服务器区与岳阳市各区县电子政务外网平台之间各部署了一台高性能防火墙系统,通过防火墙深度内容检测,能够实现基于应用的访问控制,并且能够和其他安全技术(比如认证、入侵检测、终端安全管理)的整合,形成全方面的动态安全防护体系;
3.
岳阳市各区县电子政务外网的服务器同互联网是连接的,主要提供对外服务,很容易遭受到DDOS的攻击,部署抗DDOS攻击系统就可以避免外网服务器遭受DDOS攻击,同时通过系统的日志功能还可以追查攻击源。
4.
在互联网服务区入口部署入侵防御系统,负责监听、保护互联网服务区出入的流量数据,达到主动切断非法用户攻击的目的;
5.
在全网部署一套网络版防病毒软件,保护服务器和终端免遭病毒攻击,病毒对网络系统的攻击和破坏是目前网络安全中最复杂、最普遍的问题。因此,需要在网络之中部署行之有效的网络防病毒系统,以强化网络整体防护能力;
6.
通过日志审计系统针对岳阳市各区县电子政务外网平台的各个重要环节(包括网络设备、服务器、安全设备、应用系统等)在运作过程中产生的各类日志信息进行集中记录和收集,并可根据关键字对各类日志信息进行有效查询,从而发觉深层次的安全问题,并能够根据日志信息将网络的活动状态进行重现,使系统在发生安全事件后可以进行有效追溯,形成岳阳市各区县电子政务外网平台应用安全防护的保障;
7.
通过部署端点准入控制管理系统,对岳阳市各区县电子政务外网平台接入内网的终端进行安全检查,包括补丁、防病毒软件情况、安装软件情况等。不符合安全规则的终端将被引导到修复区进行修复后进入网络。还可以对终端进行进一步的管理,包括:注册管理、
第 43 页 共 55 页
资产管理、补丁升级、网络访问策略、外设策略、桌面防火墙策略、应用程序策略、桌面属性策略、系统设置项等项目的细致化管理。
8.
通过部署流量控制设备,实现深度感知网络应用,利用带宽管理技术,实现对用户和业务的分级化识别管理,达到基于用户和用户业务流量的管理的目的, 增强对网络洞察力,全面透视应用流量,掌控网络资源(净化流量;流量负载均衡;控制上网行为;进行带宽管理,保障关键应用),同时采用集中式管理与分析工具,全面分析并预测网络资源使用状况;
9.
通过在岳阳市各区县电子政务外网平台WEB服务器上部署网页防篡改软件,可以提高相关WEB站点的安全性。当出现黑客攻击或工作人员某些操作失误,网页防篡改软件能够实时恢复网站文件,保证网站的连续正常运行;同时还能够记录篡改事件的相关资料,从而为安全部门提供调查的线索和证据。防篡改系统具备实时、低耗等性能指标,既能够保证篡改页面的立即恢复,又能保证网站的正常服务性能不受影响。
第 44 页 共 55 页
6 外网平台应用系统建设
6.1 应用模型
政府的业务活动主要围绕着政府、公务员、企(事)业及居民这4个行为主体展开,即包括政府部门与政府部门之间的互动;政府与内部公务员的互动;政府与企、事业单位,尤其是与企业的互动;以及政府与居民的互动。在信息化的社会中,这4个行为主体在数字世界的映射,构成了电子政务的应用模型。岳阳市各区县电子政务外网平台建设的主要应用可从逻辑上划分成四类,如下图所示。
岳阳市各区县电子政务外网平台应用模型
第 45 页 共 55 页