网络安全规划书.doc

南通质监局网络安全规划书

一、功能需求、网络构架
在整个业务流程中我们根据功能需求,将网络分为互联网,政务外网,政务内网三部分:互联网负责与外部网络进行数据交换,政务外网包括各质监业务系统,政务内网负责与政府各部门的公文交换;内网与外部网络间设置防火墙,内外网数据通过数据交换平台进行交互;政务内网与其他网络物理隔离,通过专线连接政府网络,实现信息交换。
二、网络安全规划
(一)计算机系统安全级别
网络安全从本质上讲就是网络上的信息安全。计算机网络是由一个一个计算机系统节点组成,每个节点都是影响整个网络安全的重要环节。
质监网络系统应保护质监数据和质监信息的安全,对存取数据的权限进行控制,确保非授权用户无法访问数据,对用户进行多级授权。
(二)与外网数据交换安全规划
质监网络系统通过防火墙与互联网进行隔离,实现访问控制:互联网用户只允许访问浏览质监门户网和访问对外公开的业务系统;对非法用户进行过滤,避免非法用户通过数据交换平台对内网访问。为了防止其它外网用户进入内部网络,采用
SSL-VPN专用通道,对访问权限进行控制,更好的保护了内部的网络和系统安全。
(三)安全产品选型
网络防火墙技术是一种用来加强网络之间访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络,访问内部网络资源,保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查,以决定网络之间的通信是否被允许,同时监视网络运行状态。
目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(***)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但它的缺陷也是明显的,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。
代理型防火墙也可被称为***,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且***必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型防火墙是新一代的产品, 不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。它能对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上有效地判断出各层中的非法侵入,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。其缺点是实现成本较高,不易管理。所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。
考虑到质监网络系统的安全性需求和成本因素,应选用综合性网络防火墙,外网采用包过滤及地址转换为主的防火墙;辅助于监测型技术,以减少成本,提高安全性需求。
为防止出现单点故障影响整个网络的连通性,采用双防火墙做虚拟化冗余的技术,既提高了防火墙的整体性能,避免出现访问瓶颈,又提高了系统的稳定性。
三、安全策略定制
(一)网络IP地址的分配