网络安全防护系统设计与实现

黄智勇

摘 要：信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全，同时也涉及国家的国防安全、政治安全和文化安全。可以说，在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。此次安全系统建设紧扣“建设安全可用的信息网络”这一设计目标，旨在采用先进的网络建设技术、辅以可靠的网络信息安全技术，加速本局的信息化进程，保障系统的运行环境和设备安全，防范对信息资源的非法访问，抵御对涉密资料的非法窃取，保护数据资产的安全，提高在复杂应用环境下的系统综合保障能力。

关键词：网络安全；安全监管；保护屏障

近年来，国内外敌对势力利用互联网，针对我国党和政府部门的门户网站、应用系统等进行频繁攻击和破坏，网站主页内容被篡改、网络服务陷于瘫痪。为加强本部门信息系统安全性，有效抵御来自互联网及内部业务专网的攻击，我们进行了这次网络安全防护系统的设计与建设。

本次建设依托现有覆盖我省的广域专网，保证市（州）局与182个县（区）所、省局之间数据传输和内部网络的安全，并且由省局相应的网络控制平台软件集中监控、分散管理各市州局服务器、业务应用软件以及广域网设备。

全省政务网络覆盖省局、21个市州局、181个区县局及1000余个基层所，实现了全省各级管理机构之间的互连互通。目前，整个网络分内网、外网。内网，即业务专网，主要承担系统内部日常办公业务数据传输和省局与全省市各政府职能部门以及接入国家总局之间的信息沟通、关联业务数据的交换。外网承担社会公众业务网上办理数据传输以及系统信息发布等。

网络安全防护系统设计与建设是一项复杂的系统工程，因此我们将全省政务网络划分为4个安全域，分别是：

接入域：接入域由访问同类数据的用户终端构成，它的划分应以用户所能访问的服务域中的数据类和用户计算机所处的物理位置来确定，这里包括工作终端。

互联域：主要包括其他域之间的互连设备，可以细分为网络汇聚层和网络核心层，其他域之间的相互访问都需要通过互联域。

服务域：在局域范围内存储，传输、处理同类数据，具有相同安全等级保护的单一计算机（主机/服务器）或多个计算机组成了服务域，不同数据在计算机的上分布情况，是确定服务域的基本依据。

所有的应用系统的服务器都放置在这个区域，不同的系统以防火墙或VLAN相互隔离。

管理域：这个域表现为两大中心，一是网络管理中心，即通常的网管系统。一是安全管理中心，即通常的安管中心（安管平台），安全系统的管理中心都放置在这个区域，这些安全系统包括网络防病毒系统的管理中心，入侵检测系统的管理控制台，认证系统的管理服务器等负责执行安全技术管理的区域。

在原有拓扑结构中，我们可以发现其存在着较大的安全隐患。比如：市州局的服务器区域缺乏网络防护、省局服务器区域缺乏入侵防护设备、省局到市州局网络缺乏监管系统等。

為此，我们根据省局级政务网络安全防护系统建设的目标，在实施中采用了硬件防火墙、入侵防护设备（IDP）、网络版防病毒软件、网络控制软件及网络管理软件。

在市州局服务器区域部署一台硬件防火墙，根据IP地址、协议、端口、时间、方向等条件对数据包进行过滤，对来自外部的大部分非法流量进行有效过滤，保障服务器的安全。

在省局服务器区域部署一台IDP设备，提高系统对安全事件响应的准确性和全面性，使防护体系由静态到动态，由平面到立体。

在省局重要业务服务器及PC终端上安装网络控制防护系统（即主机安全审计监控系统），通过技术手段对局内的计算机终端资源进行有效地管理控制，从而对所属网络进行有效保护，完成对网络客户端的全面监控和管理，防止病毒对内部网络的侵袭，同时也可以方便网管对设备进行管理。

在省局及市州局安装部署综合运维管理平台，将全省网络设备的事件进行收集，并进行事件分析、状态监视、报表展现等，实现省局级政务网络设备统一管理，让省局网管人员能对全省网络现状更加了解，并能对网络全局进行把控。

在省局及市州局安装部署网络防病毒软件，在全省构建起“三级控管”的基础架构，保证了全省防毒策略的一致性和防毒系统的有效性；一级省局总控管中心要对下属市州局二级控管中心起到监督和指导作用，二级控管中心对终端单位进行指导和监督。同时二级控管中心将直接同厂商服务人员建立接口机制，缩短响应时间。省局通过控管中心统一下发策略，并能在控管中心生成报表，便于系统管理员掌握全网病毒爆发情况。

通过正确配置和合理部署上述软硬件设备，达到了以安全服务为基础，以安全集中管理为手段，实现内外网安全事件信息汇集、统计，重大安全事件远程报警达到对安全设备集中监控、综合分析的目的。

本次网络安全防护系统设计涉及产品、过程和人的因素，因此它的安全总体解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题，必须坚持技术和管理相结合的原则。我们部署了防火墙、主动防御系统（IDP）及网络版防病毒系统，保障市（州）局与182个县（区）所、省局之间数据传输和内部网络的安全；部署了网管系统及桌面管理系统，实现省局对各市州局关键设备及业务系统进行集中监控、分散管理。我们还拟定组建了完善的双方系统实施小组，包括系统实施人员的安全质量小组、QA质量保证小组、技术支持小组、培训小组，和省局的质量监督小组、系统实施配合小组、系统协调小组，小组成员都由专业资深人员组成。

同时，我们还制定了详细的施工进度计划表并明确了小组成员的职责，保障系统具体实施时，能有条不紊、循序渐进地推进。

通过此次方案设计与实施，加强了全省信息系统的应用安全、数据安全，实现了对全省重点服务器及违规操作行为的有效管控，为保障国家经济有序健康发展提供了强大的支撑。

参考文献：

[1] 质量标准：ISO9000认证.

[2] 张超，霍红卫，钱秀槟.入侵检测系统概述.计算机工程与应用， 2004，03：116-119.

[3] 马宜兴.网络安全与病毒防范.上海交通大学出版社.2007.

[4] Richard Deal. Cisco Certified Network Associate（Exam640-802）. 2008.