云安全产品配置与应用 产品配置与实践 1政府（政法）N省政法网安全项目.doc

N省政法网网络安全项目 N省政法网是跨地区、县的全省的政法内部业务系统。省公安厅、高级人民法院、高级人民检察院及司法厅是相互独立，同时又相互关联的行政体系。在业务管理上他们同时具有从省级机关到市，再到县自上而下垂直的业务管理模式。在各层面上，他们之间又存在不同程度的横向业务关系，所以N省政法网络系统是指由公安厅（高院、高检、司法厅）到各市下属机构的二级网络，以及由市至县的三级网络。该网络不仅可以实现由省至各市、由市至各县的纵向传输，同时在各级网络节点上可以实现公安、检察院，法院、司法部门之间的横向互联；在传输业务上可以实现数据、语音（传真）和视频传输等多业务的信息通信。在该网络上传输许多涉及到国家和政法系统的内部信息并拥有提供处理的大型数据库系统，由于网络应用的自由性、广泛性以及黑客的“流行”，使网络面临着各种安全危胁。如：非授权访问、信息泄露、数据被篡改或丢失等。一旦信息泄露或者信息混乱，将给社会稳定、国家安全带来巨大影响。 网络结构 安全部署 省政法网络安全部署：在省厅网络的边界路由器后方部署两台天融信千兆防火墙，实现省厅政法网络的访问控制和防止DOS攻击；在省厅网络的DMZ区交换机前方部署一台天融信千兆防火墙，对DMZ区服务器实行访问控制和防止DOS攻击；在省厅网络的边界路由器后方部署两台千兆病毒过滤网关，实现省厅政法网络的网关级防病毒；在省厅政法网络的核心交换机上连接天融信NGIDS-UF入侵检测系统，分析网络中的数据发现网络中发生的攻击行为；省厅政务网络中的IDS和防火墙进行联动，提高网络防护水平；省厅政法网络中使用漏洞扫描系统定期扫描网络中的安全漏洞并进行修补；在省厅政法网络的服务器和工作站上安装防病毒网络版，在终端层次提供病毒防范能力。 市政法网络安全部署：在市政法网络的边界路由器后方部署一台天融信百兆防火墙，实现市政法网络的访问控制和防止DOS攻击；在市政法网络的边界路由器后方部署一台百兆病毒过滤网关，实现市政法网络的网关级防病毒；市政法网络中使用漏洞扫描系统定期扫描网络中的安全漏洞并进行修补；在市政法网络的服务器和工作站上安装防病毒网络版，在终端层次提供病毒防范能力，并且在市政法网络的防病毒服务器接受省厅政法网络中的防病毒管理服务器的集中管理。 县政法网络安全部署：在县政法网络的服务器和工作站上安装防病毒网络版，在终端层次提供病毒防范能力。并且在县政法网络的防病毒服务器接受市政法网络中的防病毒管理服务器的集中管理。 项目点评 这是一个横向跨多个部门，纵向跨省、市、县区的“纵横交错”网络系统，其安全体系具有如下特点： 从防护、监测、审计、管理、服务五个方面入手，保证信息系统的完整性、保密性、可用性。同时，五个系统之间不能孤立的完成各自的任务，互相协调，共同完成对整个信息系统的保护。具体上讲，N省政法网安全体系是一个完整的安全回馈系统，该系统包括事前预防、事中保护、事后审计等。 不同层次的网络安全措施，互相补充，互相取长补短，从整体上防止黑客攻击与非法访问；安全产品之间充分联动，发挥最大整体安全性；统一管理与分级管理相结合, 减少漏洞。 全面的保护体系，从主机系统，客户工作站，网络设备，应用系统都有安全保护的策略。针对内网安全和拨号用户也设置的保护策略。