前言

　　随着计算机信息系统在政府办公领域的广泛应用和政府上网工程的开展，在给政府办公带来极大方便的同时，也带来了安全方面的问题。政府站点代表着政府的形象，而电子办公系统承载的则主要是政府的职能和业务。而广泛应用的TCP/IP协议是在可信环境下为网络互联专门设计的，加上黑客的攻击及病毒的干扰，使得网络存在很多不安全因素，如口令猜测、地址欺骗、TCP端口盗用、业务否决、对域名系统和基础设施破坏、利用Web破坏数据库、社会工程、邮件炸弹、病毒携带等。由于系统从建立开始就缺乏安全的总体构想而导致的黑客入侵事件层出不穷。

　　所以采取必要的措施和手段，来保护网络与信息的安全是非常必要的。北大青鸟公司一直致力于网络安全产品的研发，其多项安全产品通过了公安部认证，积累了大量的政府安全网络建设经验，。北大青鸟于2000年推出了以自主安全产品为基础，覆盖企业级安全、应用级安全、系统级安全、网络级安全等四个层次的网络信息安全体系。

　　系统建设目标

　　针对网络在将来实际运行过程中可能遇到的各种安全威胁，采用防护、检测、反应（PDR2）、恢复四方面行之有效的安全措施，建立一个全方位并易于管理的安全体系，保障该网网能够安全、稳定、可靠地运行。

　　网络安全分析

　　 安全隐患：

　　 ◆传输数据被窃听或篡改

　　 ◆内部人员作案

　　 ◆网络连接被盗用

　　 ◆网络窃听

　　 ◆病毒扩散

　　 ◆攻击扩散

　　 ◆关键数据的备份和恢复

　　 攻击手段：

　　 ◆口令破解

　　 ◆连接盗用

　　 ◆服务拒绝

　　 ◆网络窃听

　　 ◆数据篡改

　　 ◆地址欺骗

　　 ◆社会工程

　　 ◆恶意扫描

　　 ◆基础设施破坏

　　 ◆数据驱动攻击 

安全体系设计

　　根据政府的安全建设需求和安全威胁分析,我们认为信息网络系统安全体系主要由"网络级安全、应用级安全、系统级安全和企业级安全"四大部分组成

　　网络层安全

　　移动拨号用户的安全

　　

　　入侵检测

　　

　　系统级安全

　　政府信息网的各种重要应用服务器均运行在UNIX或Windows NT系统平台上。对于系统级安全的实现，通过科学合理的设置来充分利用UNIX和Windows NT操作系统本身提供的安全机制，弥补操作系统的安全漏洞；利用主机监控与保护来增强实际运行安全。

　　应用级安全

　　应用级安全主要从下面三个方面加以实现：一方面利用政府信息网的应用系统自身专有的安全机制，主要是数据库自身的安全机制；另一方面则是通过采用一个通用的安全应用平台来保证对各种应用系统的信息访问合法性；第三方面是通过对关键系统的数据进行备份，保证数据的安全。

　　企业级安全

　　企业级安全建立在政府信息网范围内，确保网络系统的正常运行，包括网络设备、应用系统的正常运行、信息存储和传输的安全和可靠。

　　主要内容包括内部安全管理、安全审计、病毒防范以及防止外部侵入等。

　　安全网络拓扑图

　　

　　系统特点

　　 （1）通过冗余措施保证系统的可靠性，具体包括线路冗余、设备备份、负载均衡措施。

　　 （2）在外部网与Internet互连区采用符合安全标准的可靠的防火墙。

　　 （3）在两个方面防范。一方面建立完整的网络防毒机制。另一方面建立严格完善的防毒管理规范。

　　 （4）确保必须的网络服务的安全和可靠性，如DNS；对其它网络基本服务，限制使用范围，建立严格的使用管理规定，防止被黑客利用，绝对禁止匿名FTP服务，对需要使用又必须保证安全的场合，要经过身份认证、访问授权和审计记录机制的控制。

　　 （5）在两个层次保证应用系统的安全。一方面采用通用安全应用平台，为各种业务应用提供统一的安全机制；另一方面结合应用系统自身专有的安全机制。

　　 （6）在两个方面防护黑客攻击。一方面在Internet互联区域及与内部广域网互连区域设置防火墙。另一方面采用防黑客攻击软件，实现安全漏洞的扫描，结合系统管理及时修补安全漏洞；提供网络实时入侵检测，在一定程度上实现对内部网与外部网用户的入侵阻隔；做好攻击的跟踪审计。

　　 （7）制定严格完善的安全管理制度及规范。一方面确保技术措施正常发挥作用，另一方面对技术措施进行补充。