项目一_资源1_星安县财政局信息化安全解决方案

项目一_资源1_星安县财政局信息化安全解决方案内容摘要：

设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。 责任不清，使用相同的用户名、口令，导致权限管理混乱，信息泄密。 把内部网络结构、管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。 内部不满的员工有的可能造成极大的安全风险。 管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。 责权 不明，管理混上乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 即除了从技术下功夫外，还得依靠安全管理来实现。 网络速度高效化 网络传输速度一直是限制工作效率的重大瓶颈。 而气象，图像数据巨大，经常都导致工作缓慢。 工作效率低下。 耽误正常工作进度。 为了工作效率的提高和稳定。 必须要对网络进行优化。 网络安全是企业网络正常运行的前提。 网络安全不单是单点的安全，而是整个企业信息网的安全，需要从物理、网络、系统、应用和管理方面进行立体的防护。 要知道如何防护，首先需要了解安全风险来自于何处。 网络安全系统必 须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。 无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成业务网络的中断。 根据国内企业网络系统的湖南工业职业技术学院 网 络技术专业教学资源库 4 网络结构和应用情况，从网络安全、系统安全、应用安全及管理安全等方面进行全面地分析。 操作系统的安全风险分析 所谓系统安全通常是指操作系统的安全。 操作系统的安装以正常工作为目标，一般很少考虑其安全性，因此安装通常都是以缺省选项进行设置。 从安全角度考虑，其表现为装了很多用不着的服务模块，开放了很多不必开放的端口，其 中可能隐含了安全风险。 目前的操作系统无论是 Windows 还是 UNIX 操作系统以及其它厂商开发的应用系统，其开发厂商必然有其 BackDoor。 而且系统本身必定存在安全漏洞。 这些后门和安全漏洞都将存在重大安全隐患。 系统的安全程度跟安全配置及系统的应用有很大关系，操作系统如果没有采用相应的安全配置，则其是漏洞百出，掌握一般攻击技术的人都可能入侵得手。 如果进行安全配置，填补安全漏洞，关闭一些不常用的服务，禁止开放一些不常用而又比较敏感的端口等，那么入侵者要成功进入内部网是不容易的，这需要相当高的技术水平及相 当长时间。 应用的安全风险分析 应用系统的安全涉及很多方面。 应用系统是动态的、不断变化的。 应用的安全性也是动态的。 这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。 文件服务器的安全风险：办公网络应用通常是共享网络资源。 可能存在着员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被其他人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。 数据库服务器的安全风险：内网服务区部署着大量的服务器作为数据库服务器，在其上运行数据库 系统软件，主要提供数据存储服务。 数据库服务器的安全风险包括：非授权用户的访问、通过口令猜测获得系统管理员权限、数据库服务器本身存在漏洞容易受到攻击等。 数据库中数据由于意外（硬件问题或软件崩溃）而导致不可恢复，也是需要考虑的安全问题。 病毒侵害的安全风险：网络是病毒传播的最好、最快的途径之一。 病毒程序可以通过网上下载、电子邮件、使用盗版光盘或软盘、人为投放等传播途径潜入内部网。 因此，病毒的危害的不可以轻视的。 网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机， 可能造成信息泄漏、文件丢失、机器死机等不安全因素。 数据信息的安全风险：数据安全对企业来说尤其重要，数据在公网线路上传输，很难保证在传输过程中不被非法窃取、篡改。 现今很多先进技术，黑客或一些企业间谍会通过一些手段，设法在线路上做些手脚，获得在网上传输的数据信息，也就造成的泄密。 管理的安全分析 管理方面的安全隐患包括：内部管理人员或员工图方便省事，不设置用户口令，或者设置的口令过短和过于简单，导致很容易破解。 责任不清，使用相同的用户名、口令，导致湖南工业职业技术学院 网 络技术专业教学资源库 5 权限管理混乱，信息泄密。 把内部网络结构、管理员用户名 及口令以及系统的一些重要信息传播给外人带来信息泄漏风险。 内部不满的员工有的可能造成极大的安全风险。 管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。 责权不明，管理混上乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。 即除了从技术下功夫外，还得依靠安全管理来实现。 3. 网络 安全解决 方案 针对宁远财政局现有的安全状况，主要有 3 大块，出口安全防护功能，出口安全防毒功能，和硬件核心交换机单点故障风险。 防火墙实现功能 来自外部网络的攻击方式在当今主流的防护措施是在出口处部署一台 高性能防火墙。 通过它实现对内部网络的保护。 防火墙实现功能 完善的防火墙特性 支持基于源 IP、目的 IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、 MAC 地址等方式进行访问控制 支持流量管理、连接数控制、 IP+MAC 绑定、用户认证等 安全丰富的 VPN 使组网变得简单 多 VPN 支持： GRE、 IPSec、 L2TP、 SSL VPN 丰富的应用： 专用 VPN 客户端、 USBKEY、动态口令卡、图形认证码 灵活的部署： HubSpoken、 FullMesh、 DVPN、网关－网关的 SSL VPN 完善的 P2P、 IM、流媒体、网络游戏和股票软件控制能力 P2P 控制： 对 Emule、 BitTorrent、 Maze、 Kazaa 等进行阻断、限速 IM 控制： 基于黑白名单的 IM 登录控制、文件传输阻止、查毒；支持主流 IM 软件如 、MSN、雅虎通、 Gtalk、 Skype 流媒体控制： 对流媒体应用进行阻断或限速，支持 Kamun ppfilm 、 PPLive、 PPStream、 直播、 TVAnts、沸点网络电视、猫扑播霸等 网络游戏控制： 对常见网络游戏如魔兽世界、征途、 游戏大厅、联众游戏大厅等的阻断 股票软件控 制： 对常用股票软件如同花顺、大参考、大智慧等的阻断 强大的日志报表功能 记录内容丰富： 可对防火墙日志、攻击日志、病毒日志、带宽使用日志、 Web 访问日志、Mail 发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询： 可对 IP 地址、端口、时间、危急程度、日志内容关键字等进行查询 报表贴近需求： 根据用户具体需求，定制报表内容、定制报名名称、定制企业 LOGO，湖南工业职业技术学院 网 络技术专业教学资源库 6 并可形成多种格式的报表文件。 方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。 安全防毒网关 风险分析中基于应用层的风险主要来自网络的各种攻击，其通过病毒攻击是最常用也是最有效的手段之一，本次设计部署一台多功能 UTM 设备，其中开启防病毒功能。 主要原因有 2 个，其一，网络中攻击手段多种多样，一台 UTM 设备支持 IPS，防病毒， VPN 的多种功能，是集几乎所有防御手段于一身，当需要是不需要在从新部署，只需要添加模块就可以实现在线部署，简单方便。 其二，根据财政局主要流量分析，业务种类多，但是数据量并不大，重点关注于信息安全这一块，在不影响数据正常传输性能的同时，能够实现多安全功能的设备无疑是最佳的选择。 UTM 技术 特点说明 完善的 防火墙 特性 支持基于源 IP、目的 IP、源端口、目的端口、时间、服务、用户、文件、网址、关键字、邮件地址、脚本、 MAC 地址等多种方式进行访问控制 支持流量管理、连接数控制、 IP+MAC 绑定、用户认证等 IPS坚固的防御体系 业界最完善的攻击特征库， 包括 50 多类，超过 2020 项的入侵攻击特征 漏洞机理分析技术， 精确抵御黑客攻击、蠕虫、木马、后门 应用还原重组技术， 抑制间谍软件、灰色软件、网络钓鱼的泛滥 网络异常分析技术， 全面防止拒绝服务攻击 业界领先的网络防病毒技术 防范 文件感染病毒、宏 病毒、脚本病毒、蠕虫、木马、恶意软件、灰色软件 、 ARP 病毒 ，病毒库总计＞ 600， 000 病毒类型根据危害程度划分为：流行库、高危库、普通库 智能还原技术实现对常见压缩文件的查毒。 简单高效的内网安全 统一的安全防护体系：安全边界延伸至终端，实现基于“网关”的网络防火墙和基于“终端”的主机防火墙双重融合。 增强的上网行为管理：将上网行为的控制与流量管理细化至主机进程级，控制精度进一步提升。 可靠的网络准入控制（ NAC）：实现基于主机进程、防病毒软件病毒库版本、操作系统补丁等多个安全环节相结合的准入控制。 全面 的内网合规管理：提供终端安全加固、外设接入控制、补丁分发管理、终端远程监湖南工业职业技术学院 网 络技术专业教学资源库 7 控等多项终端合规管理。 智能的内网攻击防护：网关与终端相配合提供高效的 ARP 攻击防范、 DOS 攻击防范和病毒防范。 简单的终端部署管理，客户端统一分发，安全策略统一配置，客户端集中自动升级。 多种手段全面清除垃圾邮件 自学习的贝叶斯算法智能区分垃圾邮件 防邮件炸弹，提供单一邮件服务器发起的邮件连接数限制 发送者认证、接收者认证及关键字检查 黑名单、白名单、可追查性检查 病毒扫描、附件类型和附件大小过滤、关键字过滤等 安全丰富的 VPN 使组 网变得简单 多 VPN 支持： GRE、 IPSec、 L2TP、 SSL VPN 丰富的应用： 专用的 VPN 客户端、 USBKEY、动态口令卡、图形认证码 灵活的部署： HubSpoken、 FullMesh、 DVPN、网关－网关的 SSL VPN 完善的 P2P、 IM、流媒体、网络游戏和股票软件控制能力 P2P 控制 ：对 Emule、 BitTorrent、 Maze、 Kazaa 等进行阻断、限速 IM 控制 ：基于黑白名单的 IM 登录控制、文件传输阻止、查毒；支持主流 IM 软件如 、MSN、雅虎通、 Gtalk、 Skype 流媒体控制： 对 流媒体应用进行阻断或限速，支持 Kamun ppfilm 、 PPLive、 PPStream、 直播、 TVAnts、沸点网络电视、猫扑播霸等 网络游戏控制： 对常见网络游戏如魔兽世界、征途、 游戏大厅、联众游戏大厅等的阻断 股票软件控制： 对常用股票软件如同花顺、大参考、大智慧等的阻断 强大的日志报表功能 记录内容丰富： 可对防火墙日志、攻击日志、病毒日志、带宽使用日志、 Web 访问日志、Mail 发送日志、关键资产访问日志、用户登录日志等进行记录 日志快速查询： 可对 IP 地址、端口、时间、危急程度、日志内容关键字等进 行查询 报表贴近需求： 根据用户具体需求，定制报表内容、定制报名名称、定制企业 LOGO，并可形成多种格式的报表文件。 方便的集中管理功能 通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示。 核心交换机 现有网络交换环境为单网络核心。 这样的网络环境存在着极大的安全隐患，如果核心交换机一旦故障，将导致整个网络瘫痪，造成不可挽回的损失，形成重大信息安全事故。 同时湖南工业职业技术学院 网 络技术专业教学资源库 8 根据前期信息调查，该核心交换机使用年限较长，设备属于陈旧产品。 转发性能与当今信息化发展脱钩。 为了解决这一困境，我们设计在核 心处添加一台新核心交换机，可替换原有核心设备，也可和原有核心交换机组成双核心。 在增强网络交换性能的同时，保证了核心网络高可用状态。 图 1 星安县财政局拓扑结构 出口产品 综述 防火墙 天清汉马 USG 防火墙 采用 了业界最先进的基于 MIPS64 的多核硬件 架构和 一体化的软件设计 ，集 防火墙、 VPN、上网行为管理、抗拒绝服务攻击（ AntiDoS） 、 内容过滤、 NetFlow等多种安全技术于一身， 高性能、绿色低炭，同时 全面支持 各种路由协议、 QoS、高可用性（ HA） 、日志审计等功能 ， 为 网络边界提供了全面实时的安全 防护， 帮助用户抵御日益复杂的安全威胁。 天清汉马 USG 防火墙采用了一体化的设计方案，在一个产品中协调统一地实现了接入安全需要考虑的方方面面。 采用天清汉马 USG 防火墙，可以从整体上解决了接入安全的问题。 用户可不必考虑产品部署、兼容性等困惑，也不再因为多个产品难于维护管理而苦恼，天清汉马 USG 防火墙是低成本、高效率、易管理的理想解决方案。 湖南工业职业技术学院 网 络技术专业教学资源库 9 天清汉马 USG 防火墙产品线丰富，。