国税系统网络安全解决方案 本篇是北京海信数码科技有限公司对某市地税局信息网络系统实施的网络安全整体解决方案(缩略版)。
一、用户网络现状分析 该地税局现行网络拓扑图所示如下:
现行网络存在的问题
●现行网络无法保证网络中所存储数据的保密性、完整性及可用性。不能对非法入侵者攻击系统进行实时检测报警。
●对内部网中的特定资源所有服务器没有针对性的防范。
●无法实现IP地址与MAC的绑定。
●网络中大部分数据是以明文传输,上述网络数据传输过程中由于没有采用加密技术,故一些保密数据传输存在很大的风险。
||||||二、北京海信数码对该地税局的网络安全具体设计如下:
1、将局域网和Internet通过防火墙进行隔离,杜绝外部网络非法分子对地税局内部网络主机进行攻击。
2、安装操作系统和服务器软件的最新版本和修补程序。防止非法分子利用系统的漏洞入侵。
3、安装杀毒软件,防止病毒感染内部主机及服务器。
4、在网络中安装IDS入侵检测系统 ,对可疑事件给予检测和响应 ,保障地税局的网络安全运行。
5、身份认证加强合法用户的访问认证,将用户的访问权限控制在最低限度。
在整个网络结构中我们运用一台防火墙来封堵外部非法人员对内部网络的非法访问。我们将其置于INTENET和内部网络之间,作为地税局与外部网络数据包进出的唯一路径。运行的防火墙根据本身具有的网络地址转移、双因子认证、实时检测和报警、IP与MAC地址绑定、自主设计加密、以及采用NETKEY身份认证等等的功能来控制非法人员的入侵。同时通过设置DMZ(中立区)的规则来实现地税局内部服务器与外部网络的畅通访问。
||||||海信防火墙,能针对接入互联网络的内部网络电脑交换信息内容进行控制、管理、记录、审计。根据网络安全管理策略制订有效的机制,阻止内部非法机器上网;防止敏感信息通过CHINANET网泄露;实现对色情、邪教、交友、聊天、游戏、证券等类网站访问控制;控制垃圾邮件及邮件的带毒传送;实现大数据量信息的限时传送;系统及单台计算机的信息流量统计、访问站点统计等等。根据防火墙系统支持动态、静态、双向的网络地址转换(NAT)的功能。它可以把内部网IP地址转换成因特网IP地址,使得外部网络无法知道内部主机的IP地址,从而伪装内部地址、保护内部主机,进一步增强系统的安全性。
处于中立区的WWW、Proxy服务器为外部网络和内部网络提供安全服务,所以保护的难度较大,从防火墙自身来看,中立区在制定相应安全访问策略的情况下,实现了中立区捆绑服务器的安全。如果企业客户、员工想通过Intranet连接到内部网(DMZ区),只要通过防火墙的规则设置及身份认证即可。
在网络记费方面,我们可以通过防火墙网络数据流量记录功能来实现子网记费。
为了加强地税局主机本身安全,即减少系统漏洞;可使用海信系统漏洞检测软件ISS定期对网络内部系统进行扫描分析,找出可能存在的安全隐患再加以解决。
我们选择海信数码科技有限公司的主机入侵监测产品IDS 作为网络入侵监测工具,但因为IDS对网络的流量有一定的限制,在网络安装过多的IDS时,将会对网络速度有较大的影响,所以根据网络的实际情况及安全性的要求,我们综合考虑了这两种需求,并做出了以下的布署方案。
在每台需要保护的主机(如WWW服务器)上我们都安装IDS的主机监控系统,IDS可以实时监视各种对主机的访问请求,并及时将信息反馈给IDS服务器,这样全网任何一台主机受到攻击时,系统都可以及时发现,并可将反馈信息及时传送给控制台进行处理,并能自动对入侵事件做出反应。
在需要保护的重点的网段,我们也将安装IDS 的网络监控模块,对这一网段的非正常访问进行监视。对速度的要求及其它原因的综合考虑,我们建议只在极少数十分重要的网段安装IDS 。