網(wǎng)絡安全防護系統(tǒng)設計與實現(xiàn)

黃智勇

摘 要：信息時代所引發(fā)的信息安全問題不僅涉及國家的經(jīng)濟安全、金融安全，同時也涉及國家的國防安全、政治安全和文化安全。可以說，在信息化社會里，沒有信息安全的保障，國家就沒有安全的屏障。信息安全的重要性怎么強調(diào)也不過分。此次安全系統(tǒng)建設緊扣“建設安全可用的信息網(wǎng)絡”這一設計目標，旨在采用先進的網(wǎng)絡建設技術(shù)、輔以可靠的網(wǎng)絡信息安全技術(shù)，加速本局的信息化進程，保障系統(tǒng)的運行環(huán)境和設備安全，防范對信息資源的非法訪問，抵御對涉密資料的非法竊取，保護數(shù)據(jù)資產(chǎn)的安全，提高在復雜應用環(huán)境下的系統(tǒng)綜合保障能力。

關(guān)鍵詞：網(wǎng)絡安全；安全監(jiān)管；保護屏障

近年來，國內(nèi)外敵對勢力利用互聯(lián)網(wǎng)，針對我國黨和政府部門的門戶網(wǎng)站、應用系統(tǒng)等進行頻繁攻擊和破壞，網(wǎng)站主頁內(nèi)容被篡改、網(wǎng)絡服務陷于癱瘓。為加強本部門信息系統(tǒng)安全性，有效抵御來自互聯(lián)網(wǎng)及內(nèi)部業(yè)務專網(wǎng)的攻擊，我們進行了這次網(wǎng)絡安全防護系統(tǒng)的設計與建設。

本次建設依托現(xiàn)有覆蓋我省的廣域?qū)＞W(wǎng)，保證市（州）局與182個縣（區(qū)）所、省局之間數(shù)據(jù)傳輸和內(nèi)部網(wǎng)絡的安全，并且由省局相應的網(wǎng)絡控制平臺軟件集中監(jiān)控、分散管理各市州局服務器、業(yè)務應用軟件以及廣域網(wǎng)設備。

全省政務網(wǎng)絡覆蓋省局、21個市州局、181個區(qū)縣局及1000余個基層所，實現(xiàn)了全省各級管理機構(gòu)之間的互連互通。目前，整個網(wǎng)絡分內(nèi)網(wǎng)、外網(wǎng)。內(nèi)網(wǎng)，即業(yè)務專網(wǎng)，主要承擔系統(tǒng)內(nèi)部日常辦公業(yè)務數(shù)據(jù)傳輸和省局與全省市各政府職能部門以及接入國家總局之間的信息溝通、關(guān)聯(lián)業(yè)務數(shù)據(jù)的交換。外網(wǎng)承擔社會公眾業(yè)務網(wǎng)上辦理數(shù)據(jù)傳輸以及系統(tǒng)信息發(fā)布等。

網(wǎng)絡安全防護系統(tǒng)設計與建設是一項復雜的系統(tǒng)工程，因此我們將全省政務網(wǎng)絡劃分為4個安全域，分別是：

接入域：接入域由訪問同類數(shù)據(jù)的用戶終端構(gòu)成，它的劃分應以用戶所能訪問的服務域中的數(shù)據(jù)類和用戶計算機所處的物理位置來確定，這里包括工作終端。

互聯(lián)域：主要包括其他域之間的互連設備，可以細分為網(wǎng)絡匯聚層和網(wǎng)絡核心層，其他域之間的相互訪問都需要通過互聯(lián)域。

服務域：在局域范圍內(nèi)存儲，傳輸、處理同類數(shù)據(jù)，具有相同安全等級保護的單一計算機（主機/服務器）或多個計算機組成了服務域，不同數(shù)據(jù)在計算機的上分布情況，是確定服務域的基本依據(jù)。

所有的應用系統(tǒng)的服務器都放置在這個區(qū)域，不同的系統(tǒng)以防火墻或VLAN相互隔離。

管理域：這個域表現(xiàn)為兩大中心，一是網(wǎng)絡管理中心，即通常的網(wǎng)管系統(tǒng)。一是安全管理中心，即通常的安管中心（安管平臺），安全系統(tǒng)的管理中心都放置在這個區(qū)域，這些安全系統(tǒng)包括網(wǎng)絡防病毒系統(tǒng)的管理中心，入侵檢測系統(tǒng)的管理控制臺，認證系統(tǒng)的管理服務器等負責執(zhí)行安全技術(shù)管理的區(qū)域。

在原有拓撲結(jié)構(gòu)中，我們可以發(fā)現(xiàn)其存在著較大的安全隱患。比如：市州局的服務器區(qū)域缺乏網(wǎng)絡防護、省局服務器區(qū)域缺乏入侵防護設備、省局到市州局網(wǎng)絡缺乏監(jiān)管系統(tǒng)等。

為此，我們根據(jù)省局級政務網(wǎng)絡安全防護系統(tǒng)建設的目標，在實施中采用了硬件防火墻、入侵防護設備（IDP）、網(wǎng)絡版防病毒軟件、網(wǎng)絡控制軟件及網(wǎng)絡管理軟件。

在市州局服務器區(qū)域部署一臺硬件防火墻，根據(jù)IP地址、協(xié)議、端口、時間、方向等條件對數(shù)據(jù)包進行過濾，對來自外部的大部分非法流量進行有效過濾，保障服務器的安全。

在省局服務器區(qū)域部署一臺IDP設備，提高系統(tǒng)對安全事件響應的準確性和全面性，使防護體系由靜態(tài)到動態(tài)，由平面到立體。

在省局重要業(yè)務服務器及PC終端上安裝網(wǎng)絡控制防護系統(tǒng)（即主機安全審計監(jiān)控系統(tǒng)），通過技術(shù)手段對局內(nèi)的計算機終端資源進行有效地管理控制，從而對所屬網(wǎng)絡進行有效保護，完成對網(wǎng)絡客戶端的全面監(jiān)控和管理，防止病毒對內(nèi)部網(wǎng)絡的侵襲，同時也可以方便網(wǎng)管對設備進行管理。

在省局及市州局安裝部署綜合運維管理平臺，將全省網(wǎng)絡設備的事件進行收集，并進行事件分析、狀態(tài)監(jiān)視、報表展現(xiàn)等，實現(xiàn)省局級政務網(wǎng)絡設備統(tǒng)一管理，讓省局網(wǎng)管人員能對全省網(wǎng)絡現(xiàn)狀更加了解，并能對網(wǎng)絡全局進行把控。

在省局及市州局安裝部署網(wǎng)絡防病毒軟件，在全省構(gòu)建起“三級控管”的基礎架構(gòu)，保證了全省防毒策略的一致性和防毒系統(tǒng)的有效性；一級省局總控管中心要對下屬市州局二級控管中心起到監(jiān)督和指導作用，二級控管中心對終端單位進行指導和監(jiān)督。同時二級控管中心將直接同廠商服務人員建立接口機制，縮短響應時間。省局通過控管中心統(tǒng)一下發(fā)策略，并能在控管中心生成報表，便于系統(tǒng)管理員掌握全網(wǎng)病毒爆發(fā)情況。

通過正確配置和合理部署上述軟硬件設備，達到了以安全服務為基礎，以安全集中管理為手段，實現(xiàn)內(nèi)外網(wǎng)安全事件信息匯集、統(tǒng)計，重大安全事件遠程報警達到對安全設備集中監(jiān)控、綜合分析的目的。

本次網(wǎng)絡安全防護系統(tǒng)設計涉及產(chǎn)品、過程和人的因素，因此它的安全總體解決方案，必須在考慮技術(shù)解決方案的同時充分考慮管理、法律、法規(guī)方面的制約和調(diào)控作用。單靠技術(shù)或單靠管理都不可能真正解決安全問題，必須堅持技術(shù)和管理相結(jié)合的原則。我們部署了防火墻、主動防御系統(tǒng)（IDP）及網(wǎng)絡版防病毒系統(tǒng)，保障市（州）局與182個縣（區(qū)）所、省局之間數(shù)據(jù)傳輸和內(nèi)部網(wǎng)絡的安全；部署了網(wǎng)管系統(tǒng)及桌面管理系統(tǒng)，實現(xiàn)省局對各市州局關(guān)鍵設備及業(yè)務系統(tǒng)進行集中監(jiān)控、分散管理。我們還擬定組建了完善的雙方系統(tǒng)實施小組，包括系統(tǒng)實施人員的安全質(zhì)量小組、QA質(zhì)量保證小組、技術(shù)支持小組、培訓小組，和省局的質(zhì)量監(jiān)督小組、系統(tǒng)實施配合小組、系統(tǒng)協(xié)調(diào)小組，小組成員都由專業(yè)資深人員組成。

同時，我們還制定了詳細的施工進度計劃表并明確了小組成員的職責，保障系統(tǒng)具體實施時，能有條不紊、循序漸進地推進。

通過此次方案設計與實施，加強了全省信息系統(tǒng)的應用安全、數(shù)據(jù)安全，實現(xiàn)了對全省重點服務器及違規(guī)操作行為的有效管控，為保障國家經(jīng)濟有序健康發(fā)展提供了強大的支撐。

參考文獻：

[1] 質(zhì)量標準：ISO9000認證.

[2] 張超，霍紅衛(wèi)，錢秀檳.入侵檢測系統(tǒng)概述.計算機工程與應用， 2004，03：116-119.

[3] 馬宜興.網(wǎng)絡安全與病毒防范.上海交通大學出版社.2007.

[4] Richard Deal. Cisco Certified Network Associate（Exam640-802）. 2008.