信息中心
天融信電子政務網絡安全成功案例
1、說明
本文是北京天融信網絡安全技術有限公司對某市電子政務工程信息網絡系統實施的網絡安全整體解決方案。
2、某市政府電子政務工程網絡系統現狀分析
某市電子政務工程主要有二部分構成。一部分是位于市信息中心的網絡信息交換平臺以及應用服務器<群;二是位于市政府大院辦公樓(包括主樓)內的各級政府部門局域網以及分布在全市范圍內的各委辦局、區政府局域網。該市電子政務工程就是通過位于市信息中心的網絡交換平臺將各級政府部門連接起來,其最終目的是架構一個安全的,開放的,多功能的,穩定的網絡業務應用平臺;建立一個安全的,系統的,可靠的網絡交換平臺;建立一個安全的,系統的,可靠的操作系統平臺;建立一個安全的,系統的,穩定的應用系統平臺;建立一個全面的,合理的網絡安全管理制度。
3、某市政府電子政務工程網絡安全解決方案
北京天融信公司提供并實施的網絡安全解決方案主要有二部分:
一部分是位于市信息中心的電子政務工程信息網絡交換平臺的安全建設。由四部分構成:
·主要是使用防火墻產品(北京天融信公司生產的網絡衛士防火墻系統)實現各種關鍵應用服務器與其它所有外部網絡的隔離與訪問控制,通過配置防火墻安全策略對所有服務器的請求加以過濾,只允許正常通信的數據包到達相應服務器,其它的請求服務在到達主前就遭到拒絕,當網絡出現攻擊行為或網絡受到其它一些安全威脅時,進行實時的檢測、監控、報告與預警和及時阻斷。同時,當事故發生后,應提供黑客攻擊行為的追蹤線索及破案依據,有對網絡的可控性與可審查性;
·其次,使用與網絡衛士防火墻系統聯動的專用入侵檢測系統(IDS)對服務器與重保護網段加以監控、記錄,并與防火墻一起構成一個動態的防御、報警系統;
·第三,將計算機網絡病毒防護系統架構在多種平臺的服務器群上:HPUX(分別安裝LotusDomino,用戶郵件系統,oracle)、Linux(安裝Web,TRS),SUNSolarisDNS,WindowsNT/2000Server上,構成一個病毒防護系統;
·第四,使用一套網絡安全掃描系統定期檢查整個網絡交換平臺上主要網絡設備、服務器、操作系統的安全漏洞,并建議安全措施,以達到不斷增強網絡安全性的目的。
另外一部分是市政府主樓內各單位局域網以及各委辦局局域網接入的安全建設問題。主要是通過采用防火墻技術將主樓內各單位局域網(可信網絡)同其他單位網絡(不可信網絡)隔離開來,并進行相互之間的訪問控制與安全審計。
4、本方案技術特點
1)應用了網絡衛士防火墻系統的混合工作模式。網絡衛士防火墻系統支持多種工作模式:
·透明工作模式橋接模式:可以透明接入與透明連接,不影響原有網絡設計和配置;防火墻在透明方式下則類似于網橋,使用戶不需要對保護網絡主機屬性進行重新設置,極大地方便了用戶的使用。
·由工作模式:防火墻相當于靜態路由器,提供路由功能。
·混合工作模式:防火墻在透明模式和路由模式同時工作,極大提高網絡應用的靈活性。
在下面圖示的內網1和內網2屬于同一內網(192.1.1.0/24)的防火墻解決方案中,就需要使用防火墻的混合工作模式。
圖:內網1和內網2屬于同一內網(192.1.1.0/24)的防火墻解決方案
在內網1與內網2之間的訪問行為控制使用防火墻NGFW3000的透明工作模式實現:
防火墻的透明接入其含義就是:內網1的客戶端與內網2的服務器無需做任何改變,就可實現各種信息訪問控制;現有的網絡拓撲結構也無需變動。防火墻的透明功能提供了方便性,但又不減低網絡的安全性。在內網1、內網2與外網之間的通信行為控制使用防火墻NGFW3000的路由模式實現。
2)運用了防火墻與入侵檢測系統的TOPSEC聯動技術
由于防火墻內置的入侵檢測模塊功能較為單一,因此為增加防火墻的防御能力以及主動響應能力,天融信公司與國內或國外著名入侵的生產入侵檢測系統的廠家聯合,推出了支持與入侵檢測系統聯動的防火墻系統。這樣,作為整個網絡安全體系平臺的核心,網絡衛士防火墻通過TOPSEC協議接口與外圍的入侵檢測系統密切交互,使原本孤立的各種不同安全產品和系統與網絡衛士防火墻系統的有機聯動和協同工作,構成一個完整的積極防御的安全體系平臺。通過防火墻與入侵檢測系統的聯動,實現了動態地、自適應地調整安全策略,通過配置動態規則實現了動態過濾,從而大大提高了整個系統的安全性。
如:IDS在網絡/機上檢測到入侵后通知FW,FW生成動態規則實現對入侵行為的控制和阻斷,如結束當前會話或在一定時段阻斷來自特定源的所有連接請求;最后FW將處理結果通知IDS。
文章作者:國脈電子政務網
集成系統網絡情報信息數據庫
CIO頻道人物視窗
CIO頻道方案案例庫
大數據建設方案案例庫
電子政務建設方案案例庫
互聯集成系統構建方案案例庫
商務智能建設方案案例庫
系統集成類軟件信息研發企業名錄