政府网络拓扑.pdfVIP

1.某市政府网络系统现状分析

《某市电子政务工程总体规划方案》主要建设内容为：一个专网（政务通信专网），一

个平台（电子政务基础平台），一个中心（安全监控和备份中心），七大数据库（经济信息数

据库、法人单位基础信息数据库、自然资源和空间地理信息数据库、人口基础信息库、社会

信用数据库、海洋经济信息数据库、政务动态信息数据库），十二大系统（政府办公业务资

源系统、经济管理信息系统、政务决策服务信息系统、社会信用信息系统、城市通卡信息系

统、多媒体增值服务信息系统、综合地理信息系统、海洋经济信息系统、金农信息系统、金

水信息系统、金盾信息系统、社会保障信息系统）。主要包括：

政务通信专网

电子政务基础平台

安全监控和备份中心

政府办公业务资源系统

政务决策服务信息系统

综合地理信息系统

多媒体增值服务信息系统

图1某市政府中心机房网络拓扑图

某市政府中心网络安全方案设计

2.安全系统建设目标

本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案，包括安全管理制度

策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合

作和技术支持服务。系统建设目标是在不影响当前业务的前提下，实现对网络的全面安全管

理。

1)将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非

法用户进入网络，减少网络的安全风险；

2)通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护；

3)使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状

态。最大限度地减少损失。

具体来说，本安全方案能够实现全面网络访问控制，并能够对重要控制点进行细粒度的

访问控制；其次，对于通过对网络的流量进行实时监控，对重要服务器的运行状况进行全

面监控。

3.防火墙系统设计方案

(1)防火墙对服务器的安全保护

网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器

提供的各种服务本身有可能成为“黑客”攻击的突破口，因此，在实施方案时要对服务器的安

全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着“黑

客”各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经

过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防

火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙

上的特定服务，从而防止了绝大部分外界攻击。防火墙对内部非法用户的防范

网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性

比较差，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的

主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。

为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到

网络的每一节点。对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服

务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没

有进行基本的安全防范处理，整个系统的安全性容易受到内部用户攻击的威胁，安全等级不

高。根据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部

网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输

（NETBIOS）应用；其次，是内部网络用户对内部服务器的访问，这一类应用主要发生在

内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高，如果内部人员发起攻

击，内部网络主机将无法避免地遭到损害，特别是针对于NETBIOS文件共享协议，已经有

很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用“黑客”工具

造成严重破坏。

(2)入侵检测系统

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低

了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，入侵者也可能就在防火墙

内。

网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找

网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络

监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定