1、沣东新城管委会网络安全策略网络系统拓扑结构 管委会办公大楼是沣东新城行政中心,主楼一座共有 4 层,每层 10多个房间。副楼 3 座,每座 2 层,每层 5 个房间。整个办公大楼采用超五类双绞线进行智能化综合布线,共布有 500 多个信息点。网络拓扑结构采用星型结构,为单网线、单硬盘内外网物理隔离的网络系统。 网络安全设置 沣东新城管委会是政府派出机构部门,承担着整个开发区的社会事务、经济运作,所以网络系统的安全性十分重要。对此,我们采用了多种安全措施。 网络物理隔离系统。物理隔离技术自问世以来,经过实践的检验和应用,不断发展成熟,目前已历经了三个阶段,每个阶段都产生了一种具有代表性的产品和解
2、决方案。目前,这三代物理隔离产品和方案在政府部门都有应用。 第一代物理隔离:主要采用双机双网的技术,即采取配置两台电脑,分别连接内外两个网络的做法。这种方式存在着很多缺点,比如导致投资成本的增加,占用较大的办公空间等。另外,双机的使用会带来很多不便,并且网络设置复杂、维护难度也较大。 第二代物理隔离:双硬盘隔离骨技术,主要是在原有机器上增加一块硬盘和一个隔离卡来实现物理隔离。两块硬盘分别对应内外网,用户启动外网时关闭内网硬盘,启动内网时关闭外网硬盘。此种隔离方式对用户造成了成本浪费,而且频繁的加电和断电容易对硬盘造成损坏。 第三代物理隔离:单硬盘物理隔离卡技术,这是目前国内最先进的客户端物理隔
3、离产品。也是国外普遍采用的隔离技术。其实现原理是将计算机的单个硬盘从物理层上分割为公共和安全两个分区,安装两套操作系统。单硬盘隔离卡有严密的硬盘数据保护功能:有方便的使用方式,如热启动切换两个网络 i 有较强的可扩展功能,如可实现低端的双硬盘隔离卡不能实现的数据安全传输功能等。用户可以根据自己的需要在不同的网络环境(内网或外网)中自由切换。 可以看出前两代的产品和方案存在很多不可弥补的缺陷,经过多方咨询、论证,开发区网络系统最后选用了第三代物理隔离产品。物理隔离系统通过对单个硬盘上磁道的读写控制技术,在一个硬盘上分隔出两个无法互相访问的工作区间。在安全状态时,主机只能使用硬盘的安全区与内部网连
4、接,而此时外部网连接是断开的,且硬盘的公共区通道是封闭的:在公共状态时主机只能使用硬盘的公共区与外部网连接,而此时内部网连接是断开的,且硬盘的安全区是封闭的。两种状态转换时,用户运行切换程序,系统通过硬件重启信号重新启动,这样,PC 内存的所有数据被消除。PC 的两个状态分别有独立的操作系统,并独立导入,两个硬盘分区不会同时激活。出于安全的目的,两个分区不能直接交换数据,但单硬盘物理隔离卡设置了一个功能区,在两个状态下,功能区均表现为硬盘的 D 盘,各个分区可以把功能区作为一个过渡区来交换数据。根据开发区实际需要,我们创建了单向的安全通道,即数据只能从公共区向安全区转移,而不能逆向转移,从而保
5、证安全区的数据安全。 安全信息交流系统。出于开发区的实际需要,有时必须在内外网间传输数据,例如开发区门户网站有个栏目是企业报送统计数据,企业从外网发送文件,传输到内网办公系统。我们选择了安全信息交流系统,该系统的嵌入式技术,从根本解决了隔离网络间信息安全交流的问题,提供了一套高稳定性、高可靠性、迅速安全的信息传递与交流解决方案。该信息交流系统由硬件和软件两部分组成,硬件包括一台信息交流服务器,软件包括请求端、服务端和控制端三部分。其中硬件部分作为数据转移的中间态存储物质,用来存储往来于两个隔离网络问的数据和文档,其中包含一个高速电子开关,从物理上保证内外网的隔离状态,当其连入内网时,断开外网连
6、接,连入外网时,断开内网连接。 整个安全信息交流服务器工作流程如下: 位于外网应用服务器上的请求端,结合具体应用提取用户请求和数据,将其按照时间顺序排列形成请求对列,等待控制端处理。信息交流服务器连入外网,断开内网连接,控制端从请求端请求请求队列,请求端返回请求队列到控制端,控制端将请求队列存储在信息交流服务器的指定存储设备上。信息交流服务器连入内网,断开外网连接,控制端向服务端发送请求队列。位于内网应用服务器上的服务端接收请求队列,并进行处理,返回请求结果,形成响应队列,等待控制端处理。控制端向服务端请求响应队列,服务端返回响应队列到控制端,控制端将响应队列存储到信息交流服务器的指定存储设备
7、上。信息交流服务器连入外网,断开内网连接,控制端将响应队列发送到请求端。请求端接收响应队列,向用户分发响应结果。信息交流系统,内外网之间做到了既隔离又连通。 防火墙系统。为了防止有人从外部非法进入内部局域网,目前国际上的普遍做法是在广域网和局域网之间装上防火墙(Firewall) ,对不同用户设定使用权限和密码,防止非法用户的访问。防火墙是在内部网和外部网之间实施的一套安全防范系统,它使得内部网与外部网互相隔离,所有从内到外和从外到内的信息都需经过防火墙的检查,只有被安全策略允许的数据包方可通过防火墙。目前防火墙主要有三大类: 包过滤:包过滤(PacketFiltering)技术是在网络层对数
8、据包实施有选择的通过,依据系统内设置的过滤逻辑,检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。 代理服务:代理服务(Proxy Service)是建立在网络应用层,提供应用层上的协议过滤和转发功能。代理服务器在外部网络向内部网络申请服务时发挥了中问转接作用,内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直接请求。通过代理应用对内网与外网之问的服务进行转及的设备称为应用层网关,代理服务软件就装在应用层网关上。 混合型防火墙:许多防火墙混合使用了包过滤和代理服务这两种技术,称为混合型防火墙。从安全性和管理的方便性等考虑,我
9、们选用了混合型防火墙,改产品已通过公安部检测,获得了公安部的销售许可证和陕西省保密局的推荐证明。该防火墙使我们的网络系统安全性得到了一个很大的提高。 网络防杀病毒系统。随着网络的发展,计算机病毒传播的速度日益加快,破坏范围也扩展到整个互联网,严重危害了计算机网络的安全,因此我们选用了防杀病毒系统。杀毒系统由系统中心、服务器端、客户端和控制台这四个相互关联的子系统组成的。 每个子系统包括若干个不同的模块,除承担各自的任务外,还可以与另外系统通讯,共同完成对网络的病毒防护作用,我们通过防病毒软件实现了丰富的功能。 先进的杀毒技术:我们使用的杀毒软件放弃了以电脑病毒的程序特征查杀病毒的传统技术模式,采用了更为先进的“病毒行为分析判断”技术来建立新的电脑病毒实时监控系统。 前置式无毒收件箱:采用了网络协议层安全防范技术,可对传送过程中的电子邮件进行侦测,如发现邮件的附件含有病毒就会自动清除,再将处理后的无毒邮件送至用户的收件箱,丝毫不会影响邮件收发的速度。此外,该技术还可以有效抵御来自 IE 浏览时的恶意代码攻击。 分组管理:管理员可以按照局域网的分布,把客户端分成任意几组管理,提高灵活性和方便性。 内部网络安全措施。事实证明,绝大多数网络被攻破都是由于内部问题。所以要保证网络的安全性,就必须重视内部的安全管理。沣东新城制订了严格的网络安全规章制度,要求使用人员必须遵守。
