行政电子监察系统网络安全部署方案.docx

行政电子监察系统网络安全部署方案 目 录 一、 行政电子监察系统简介 - 3 - 二、 网络安全简要部署方案 - 4 - 2.1. 在外网服务器区前部署联想网御UTM安全网关 - 4 - 2.1.1. 外网网络安全风险与需求 - 4 - 2.1.2. 联想网御UTM安全网关部署说明 - 5 - 2.1.3. 联想网御UTM产品功能特点 - 6 - 2.2. 在内、外网之间部署联想网御安全隔离与信息交换系统 - 7 - 2.2.1. 联想网御安全隔离与信息交换系统部署说明 - 7 - 2.2.2. 联想网御安全隔离与信息交换系统产品功能特点 - 9 - 2.3. 部署效果 - 13 - 2.3.1. 2—7层的全硬件保护 - 13 - 2.3.2. 应用层的高度安全防护和过滤 - 13 - 2.3.3. 双重的病毒和蠕虫防护 - 13 - 行政电子监察系统简介 行政电子监察系统一般以“两横两纵”系统架构模式建设,见下图： 　　 　　两横两纵： 第一横是指市级监察中心横向对市级部门的审批行为进行监察； 第二横是指各区监察中心横向对区级部门审批行为进行监察； 第一纵是指市级监察中心与各区级监察中心之间建立数据集中和垂直监管关系； 第二纵是指市级部门对各区级对口部门审批行为进行垂直监管。 系统建设主要包括监察平台、审批平台、数据交换平台三个方面的建设。行政审批系统是以《行政许可法》为标准，以政府具体、典型行政审批业务为导向，以“便民服务”思想为灵魂进行设计。该系统包括中心内网的应用和中心外网的应用两大部分。 内网应用的主要包括办公自动化系统、审批系统、短消息服务、触摸屏、系统接口等几部分应用。办理业务的企业和人员可以通过中心LED、中心触摸屏了解相关资料信息。 外网应用的主要包括外网网站，办理业务的企业和人员可以通过网站门户查询办件信息和进行网上申请。 网络安全简要部署方案 网络安全部署示意图如下： 在外网服务器区前部署联想网御UTM安全网关 外网网络安全风险与需求 外网服务器区主要面临黑客攻击、数据被窃听、假冒、盗取、篡改、病毒入侵、越权访问等网络安全风险，随着红色代码、Nimda等有里程碑式的病毒出现，改写了病毒形态和病毒的历史，病毒已经不再只具有破坏力。新的病毒已经成为黑客的攻击和入侵手段，借助病毒的传播方式，黑客们可以轻易地窃取网络中的敏感数据和信息。黑客程序、木马、病毒已经有机地结合起来，使之成为黑客攻击的新工具。同时，木马、病毒等恶意程序也经常通过邮件、恶意的Web网页（或者被篡改的Web网页）、文件下载等传播途径使得病毒的危害范围和扩散速度加大。这些都给传统的安全设备带来新的挑战。 一些老式的防火墙不具备内容检测的能力，不具备检测新型的混合攻击的能力。较新的深度检测防火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测能力，无法做到内容安全过滤。IDS设备虽然可以检测网络中的攻击，但是它不能对攻击行为进行有效的防御和阻断，IDS的大量误报也使得管理员难以从大量的日志中找出有价值的信息。桌面防病毒软件防护对象是终端，往往需要使用者的对操作系统和其软件都有较高的操作水平，并且防病毒软件往往会限制用户一些正常操作，为了突破限制用户会不得不关闭防毒软件，这些都使得防病毒软件实施的效果受到了很大的影响，所以不能保障网络的安全。随着混合攻击的出现，为了减少安全隐患，用户可能还需要进一步安置网络安全设备。随之带来的问题是用户对网络安全的管理成本以及运营成本会越来越高，因为一个设备都需要管理和维护。另外，在网路中添加很多安全设备也会使得网络延迟增大、用效率降低。由于各个设备输出的报表和日志格式不同，对安全事件的分析过程也会变得更加复杂，用户也难以从容地发现和解决网络中的问题。 外网边界主要安全防护重点包括： 需要保证外网用户对门户网站或内部网络重点服务器不受来自广域网的攻击。同时要保证只有合法身份的人，才能访问到那些允许他访问的敏感信息，对所有访问信息的数据内容进行过滤和控制。 用户越权、非法访问是同业互联边界上不可忽视的安全风险。对业务数据的越权、非法访问将直接威胁到互联双方业务数据的机密性和完整性，因此，必须保证业务互联双方访问的合法性，在业务互联边界上控制对各自互联单位的越权访问，对于来自互联单位的越权访问采取强制性的控制措施。由于业务受理平台会在Internet上直接开放服务，而平台内部又包含了敏感的信息，因此一定会受到各种方式的攻击。这些攻击一旦得逞，所造成的损失可能不仅仅是服务的瘫痪，更可能造成敏感信息被读取甚至被篡改或者丢失。 网关防病毒：通过网络传播途径，木马、病毒等恶意程序的危害范围和扩散速度出现了爆炸性的增长。则需要对外部服务器区进行网关病毒过滤与拦截。 联想网御UTM安全网关部署说明 在