惠州法院网络安全解决方案(编辑修改稿)

惠州法院网络安全解决方案(编辑修改稿)内容摘要：

通过前面对 惠州中级法院 局域 网 网络结构 、应用及安全威胁分析，可以看出其安全问题主要集中在对 内部网络主机、服务器 的安全保护、防黑客和病毒、重要网段的保护以及管理安全上。 因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：  内部主机的安全防护  服务器的安全保护  防止黑客从外部攻击  入侵检测与监控  信息审计与记录  病毒防护  数据安全保护  网络的安全管理 针对 惠州中级法院 内部 局域网络系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求： （重点是可用性和可控性）； 的能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置； 、维护，并便于自动化管理，而不增加或少增加附加操作； ，同时便于系统及系统功能的扩展； ，一次性投资，可以长期使用； ，及经过国家有关管理部门的认可或认证；。 惠州中级法院 信息安全综合解决方案 南山之桥微电子有限公司 11 4 网络安全 解决 方案 安全方案设计原则 在对这个 单位 局域网网络系统安全方案设计、规划时，应遵循以下原则： 综合性、整体性原则 ： 应用系统工程的观点、方法，分析网络的安全及具体措施。 安全措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等）。 一个较好的安全措施往往是多种方法适当综合的应用结果。 一个计算机网络，包括个人、设备、软件、数据等。 这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。 即计算机网络安全应遵循整体安全性原则，根据规定的安全策略制定出合理的网络安全体系结构。 需求 、风险、代价平衡的原则： 对任一网络，绝对安全难以达到，也不一定是必要的。 对一个网络进行实际额研究（包括任务、性能、结构、可靠性、可维护性等），并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的安全策略。 一致性原则：一致性原则主要是指网络安全问题应与整个网络的工作周期（或生命周期）同时存在，制定的安全体系结构必须与网络的安全需求相一致。 安全的网络系统设计（包括初步或详细设计）及实施计划、网络验证、验收、运行等，都要有安全的内容光焕发及措施，实际上，在网络建设的 开始就考虑网络安全对策，比在网络建设好后再考虑安全措施，不但容易，且花费也小得多。 易操作性原则： 安全措施需要人为去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性。 其次，措施的采用不能影响系统的正常运行。 分步实施原则： 由于网络系统及其应用扩展范围广阔，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。 一劳永逸地解决网络安全问题是不现实的。 同时由于实施信息安全措施需相当的费用支出。 因此分步实施，即可满足网络系统及信息安全的基本需求，亦可节省费用开支。 惠州中级法院 信息安全综合解决方案 南山之桥微电子有限公司 12 多重保护原则： 任何安全措施 都不是绝对安全的，都可能被攻破。 但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。 可评价性原则：如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。 安全 方案 设计 在安全方案设计中，首先要确定安全方案所涉及到的系统单元，其次要考虑该系统单元在各个层次所提供的安全服务（功能），最后还应考虑这些单元系统之间的逻辑关系，在整体安全体系框架下，划分成不同的安全子系统，分别提供相应的安全解决方案，才能提供全面的、 合理的、有机的安全服务。 根据以上的分析， 分为以下几个子系统：  网络 防火墙 系统  网络入侵检测系统  网络防病毒系统  内部网络监控 本期建设 项目 中，只考虑部署防火墙系统。 安全结构设计 根据惠州法院的网络状况和需求，我们设计 防火墙系统 网拓扑结构如下： 惠州中级法院 信息安全综合解决方案 南山之桥微电子有限公司 13 安全设计说明 惠州中级法院 内部局域网与互联网的安全隔离，防止来自互联网对内部网络的入侵破坏以及实现对内部用户的访问控制、安全管理，建议采用成熟的防火墙技术来实现。 访问控制可通过以下几个方面的措施来实现：  制定严格的 网络访问 管理制度 将 内部用户的 IP 地址和用户名相对应，如张三的主机 IP 地址为 ，可在防火墙里将 对应为张三，根据张山在单位内部拥有的访问权限，可制定张山的主机通过防火墙的策略，而且可通过防火墙的日志对张山的网络访问行为进行审计。 通过细化的访问控制策略来实现对内部网络的可管理型，同时可大大降低网络管理员的工作强度。  确保防火墙在不同安全域的唯一出口处 在该方案中，防火墙应放置于惠州中级法院内部网络、互联网以及服务器区之间，通过防火墙设备，将三个安全域进行隔离，确保不同子网间的授权访 问。 惠州中级法院 信息安全综合解决方案 南山之桥微电子有限公司 14 防火墙主要实现以下几个方面的功能：  控制外部（互联网）合法用户对内部网络资源的网络访问；  控制外部合法用户对服务器的访问；  控制内部用户对外部网络的访问；  阻止各种可能出现的 黑客 攻击 与入侵 ；  防止内部主机的 IP 欺骗；  对外隐藏内部 IP 地址和网络拓扑结构；  内容过滤；  基于时间的访问控制策略；  网络监控与日志审计； 优势分析 我们建议采用南山之桥 XWall X6F108 防火墙保障惠州法院网络安全， 具有以下特点 ： 以 ASIC 处理芯片为核心的先进硬件架构 和绝大多数基于 X86 机构的国产防火 墙不同，南山之桥防火墙采用了完全自主知识产权 ASIC 架构，其核心部分是南山之桥微电子有限公司自主研发设计的集路由、交换、安全于一身的 Xwal 核心芯片。 南山之桥 Xwall 芯片同时还获得了“信息产业部2020年度重大技术发明奖”。 南山之桥防火墙采用完全自主设计的以Xwall 芯片为核心的数据转发和处理板卡、 RSIC 处理器的管理板，专用数据分类芯片、背板构成了全新硬件架构的防火墙。 该架构将数据分类、转发、处理、管理分别交由不同的处理芯片处理，通过专门设计的数据通道相互连接，避免了传统 X86 架构容易产生的 CPU 负载过重带来的不稳定，从芯片一级保证了大流量、复杂网络环境下下的数据的线速处理和转发。 分布式并行处理的先进软件架构 南山之桥 Xwall 防火墙将防火墙的管理层运行在 RSIC 处理器上，数据的控制和数据层运行在 Xwall 芯片上，在控制层采用专门的 Hash 处理策略判断和 连接的维护，在 惠州中级法院 信息安全综合解决方案 南山之桥微电子有限公司 15 数据层采用流水线和并行处理技术。 这种分布式并行处理的设计可以保证即使采用低功耗处理器也能获得很高的性能，在大数据流量、大并发连接数的情况下防火墙建立连接一级其他需要较多资源的功能和性能不会受到影响，南山之桥 Xwall 防火墙依然可以保持线速转发。 同时分布式并行处理的软件架构避免了 X86 架构防火墙常见的由于系统资源耗尽或某个进程出现错误导致系统宕机，保证了即使部分软件模块运行不正常也不会影响产品整体的正常运行。 基于安全域的访问控制 南山之桥 Xwall 防火墙采用了全新的基于安全域、安全等级的 访问控制模式，将传统的基于接口的访问控制提升为基于不同安全等级的安全域的访问控制。 南山之桥Xwall 防火墙从体系结构上抛弃了传统防火墙的内、外、 DMZ 的概念，各个域间的默认安全级别是一样的，之间的安全差异由用户来定制，具有更大的灵活性。 南山之桥Xwall 防火墙可以根据企业的安全需求将不同网段划分成独立的安全域，通过为这些安全域配置独立的访问控制策略来限制不同安全登记的安全域之间的相互访问，也就是说，南山之桥 Xwall 防火墙提供了更加细粒度的安全控制，这样即使某个低安全等级的安全域出现了安全问题，但由于受到南 山之桥 Xwall 防火墙的控制，这些问题不会扩散和影响其它安全域。 丰富的管理方式和独特的带外管理 南山之桥 Xwall 防火墙提供安全管理员、审计管理员、系统管理员和 guest 等四种角色。 同时提供基于 SSH、 Tel 和 Console 的命令行管理方式、基于 GUI 的图形界面管理方式和基于 SNMP V2 的网管平台。 由于采用了独立的 RSIC 处理板运行防火墙的管理软件，保证了防火墙管理平面和数据平面的分离，这种在物理上的分离保证了在任何情况下防火墙管理软件都能正常运行，管理员均可通过专门的带外管理链路实现对防火 墙的管理，最大程度的提升了系统的稳定性。 而传统的 X86 架构防火墙在网络壅塞、遭受攻击和系统资源耗尽等情况都会造成管理员对防火墙的失控。 高可用性 对于大型网络，用户通常会采用冗余的网络节点来避免单点失败。 为了提高南山 惠州中级法院 信息安全综合解决方案 南山之桥微电子有限公司 16 之桥 Xwall 防火墙的适应能力和可扩展能力，通过避免单点失败来提高系统的可靠性功能是南山之桥 Xwall 防火墙一项重要的功能；南山之桥 Xwall 防火墙实现了主从式双机热备功能，配置友好方便，对防火墙失效状态判断准确全面可靠，从机接管切换快，能实现秒级切换，使用户网络防火墙节点单点失效的风险最 低 强大的日志审计 提供日志和自带的日志管理和分析工具，有利于用户进行日志分析，日志还符合SYSLOG 标准格式，以便可以通过 NetIQ WebTrends 等日志工具来进行日志分析。 集成的状态检测防火墙和 IPsec VPN 南山之桥 Xwall 防火墙采用了基于状态检测的包过滤技术，实现了快速的基于源 /目的 IP 地址、服务、用户和时间的细粒度访问控制。 通过记录新建应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在系统中记录下该连接的相关信息，生成状态表。 对该连接的后续数据包，只要符 合状态检查表，就可以快速通过。 南山之桥 Xwall 防火墙集成了基于 IPSEC 协议的 VPN 并完全兼容并符合 IPSEC标准定义，从而保证了与其它支持 IPSEC 的系统和设备的互联互通。 支持手工密钥和自动密钥两种协商方式并支持 DES、 3DES、 AES、多种加密算法和 MD SHA认证算法。 支持完美。