網絡安全防護系統設計與實現

黃智勇

摘 要：信息時代所引發的信息安全問題不僅涉及國家的經濟安全、金融安全，同時也涉及國家的國防安全、政治安全和文化安全。可以說，在信息化社會里，沒有信息安全的保障，國家就沒有安全的屏障。信息安全的重要性怎么強調也不過分。此次安全系統建設緊扣“建設安全可用的信息網絡”這一設計目標，旨在采用先進的網絡建設技術、輔以可靠的網絡信息安全技術，加速本局的信息化進程，保障系統的運行環境和設備安全，防范對信息資源的非法訪問，抵御對涉密資料的非法竊取，保護數據資產的安全，提高在復雜應用環境下的系統綜合保障能力。

關鍵詞：網絡安全；安全監管；保護屏障

近年來，國內外敵對勢力利用互聯網，針對我國黨和政府部門的門戶網站、應用系統等進行頻繁攻擊和破壞，網站主頁內容被篡改、網絡服務陷于癱瘓。為加強本部門信息系統安全性，有效抵御來自互聯網及內部業務專網的攻擊，我們進行了這次網絡安全防護系統的設計與建設。

本次建設依托現有覆蓋我省的廣域專網，保證市（州）局與182個縣（區）所、省局之間數據傳輸和內部網絡的安全，并且由省局相應的網絡控制平臺軟件集中監控、分散管理各市州局服務器、業務應用軟件以及廣域網設備。

全省政務網絡覆蓋省局、21個市州局、181個區縣局及1000余個基層所，實現了全省各級管理機構之間的互連互通。目前，整個網絡分內網、外網。內網，即業務專網，主要承擔系統內部日常辦公業務數據傳輸和省局與全省市各政府職能部門以及接入國家總局之間的信息溝通、關聯業務數據的交換。外網承擔社會公眾業務網上辦理數據傳輸以及系統信息發布等。

網絡安全防護系統設計與建設是一項復雜的系統工程，因此我們將全省政務網絡劃分為4個安全域，分別是：

接入域：接入域由訪問同類數據的用戶終端構成，它的劃分應以用戶所能訪問的服務域中的數據類和用戶計算機所處的物理位置來確定，這里包括工作終端。

互聯域：主要包括其他域之間的互連設備，可以細分為網絡匯聚層和網絡核心層，其他域之間的相互訪問都需要通過互聯域。

服務域：在局域范圍內存儲，傳輸、處理同類數據，具有相同安全等級保護的單一計算機（主機/服務器）或多個計算機組成了服務域，不同數據在計算機的上分布情況，是確定服務域的基本依據。

所有的應用系統的服務器都放置在這個區域，不同的系統以防火墻或VLAN相互隔離。

管理域：這個域表現為兩大中心，一是網絡管理中心，即通常的網管系統。一是安全管理中心，即通常的安管中心（安管平臺），安全系統的管理中心都放置在這個區域，這些安全系統包括網絡防病毒系統的管理中心，入侵檢測系統的管理控制臺，認證系統的管理服務器等負責執行安全技術管理的區域。

在原有拓撲結構中，我們可以發現其存在著較大的安全隱患。比如：市州局的服務器區域缺乏網絡防護、省局服務器區域缺乏入侵防護設備、省局到市州局網絡缺乏監管系統等。

為此，我們根據省局級政務網絡安全防護系統建設的目標，在實施中采用了硬件防火墻、入侵防護設備（IDP）、網絡版防病毒軟件、網絡控制軟件及網絡管理軟件。

在市州局服務器區域部署一臺硬件防火墻，根據IP地址、協議、端口、時間、方向等條件對數據包進行過濾，對來自外部的大部分非法流量進行有效過濾，保障服務器的安全。

在省局服務器區域部署一臺IDP設備，提高系統對安全事件響應的準確性和全面性，使防護體系由靜態到動態，由平面到立體。

在省局重要業務服務器及PC終端上安裝網絡控制防護系統（即主機安全審計監控系統），通過技術手段對局內的計算機終端資源進行有效地管理控制，從而對所屬網絡進行有效保護，完成對網絡客戶端的全面監控和管理，防止病毒對內部網絡的侵襲，同時也可以方便網管對設備進行管理。

在省局及市州局安裝部署綜合運維管理平臺，將全省網絡設備的事件進行收集，并進行事件分析、狀態監視、報表展現等，實現省局級政務網絡設備統一管理，讓省局網管人員能對全省網絡現狀更加了解，并能對網絡全局進行把控。

在省局及市州局安裝部署網絡防病毒軟件，在全省構建起“三級控管”的基礎架構，保證了全省防毒策略的一致性和防毒系統的有效性；一級省局總控管中心要對下屬市州局二級控管中心起到監督和指導作用，二級控管中心對終端單位進行指導和監督。同時二級控管中心將直接同廠商服務人員建立接口機制，縮短響應時間。省局通過控管中心統一下發策略，并能在控管中心生成報表，便于系統管理員掌握全網病毒爆發情況。

通過正確配置和合理部署上述軟硬件設備，達到了以安全服務為基礎，以安全集中管理為手段，實現內外網安全事件信息匯集、統計，重大安全事件遠程報警達到對安全設備集中監控、綜合分析的目的。

本次網絡安全防護系統設計涉及產品、過程和人的因素，因此它的安全總體解決方案，必須在考慮技術解決方案的同時充分考慮管理、法律、法規方面的制約和調控作用。單靠技術或單靠管理都不可能真正解決安全問題，必須堅持技術和管理相結合的原則。我們部署了防火墻、主動防御系統（IDP）及網絡版防病毒系統，保障市（州）局與182個縣（區）所、省局之間數據傳輸和內部網絡的安全；部署了網管系統及桌面管理系統，實現省局對各市州局關鍵設備及業務系統進行集中監控、分散管理。我們還擬定組建了完善的雙方系統實施小組，包括系統實施人員的安全質量小組、QA質量保證小組、技術支持小組、培訓小組，和省局的質量監督小組、系統實施配合小組、系統協調小組，小組成員都由專業資深人員組成。

同時，我們還制定了詳細的施工進度計劃表并明確了小組成員的職責，保障系統具體實施時，能有條不紊、循序漸進地推進。

通過此次方案設計與實施，加強了全省信息系統的應用安全、數據安全，實現了對全省重點服務器及違規操作行為的有效管控，為保障國家經濟有序健康發展提供了強大的支撐。

參考文獻：

[1] 質量標準：ISO9000認證.

[2] 張超，霍紅衛，錢秀檳.入侵檢測系統概述.計算機工程與應用， 2004，03：116-119.

[3] 馬宜興.網絡安全與病毒防范.上海交通大學出版社.2007.

[4] Richard Deal. Cisco Certified Network Associate（Exam640-802）. 2008.