河西区政府信息网络系统安全解决方案.docVIP

天津市河西区政务网建设工作从2001年开始筹备，到目前为止已经建成一个初具规模

的政务办公网络，实现了河西区政府各部门之间、与市政务之间的网络互联工作。河西区政

府信息化建设的步伐已经走在全市各区、县地方政府的前列。为了更好的发挥信息化的优势，

更好适应信息化建设的要求。这次对河西区政务网现有的网络状况进行改造，提高网络性能，

增强网络安全性。从而实现政务网更好的为政府部门服务，更好的为人民群众服务的宗旨。

河西区政务网络设计采用的是高速三层交换机组网方式，即核心层、汇聚层、接入层。

根据天津河西区政府的网络情况，网络安全重要性的不同，我们对网络按照下面原则划分几

个安全层次，由先到后安全要求依次降低。

1.网络信息系统核心层

2.网络信息系统汇聚层

3.网络信息系统接入层核心

S3500通过光纤连接五大机关及相关部门的三个办公楼：河西区政府办公楼、河西区委办公

楼、河西区人大办公楼。这三个节点的介入设备都是S3500系列路由交换机，该设备也作为整个河西区政务网的汇聚层网络设备。以上三个节点的接入层设备是S2000系列交换机，下连网络用户的终端设备。这样就把安全区域分成如下的三个：1、政务外网区域2、政务内

网区域3、涉密专网区域

下图是按政务内网、政务外网、涉密专网职能不同划分的天津市河西区政务网拓扑结

构图：

、

天津河西区政府网络信息系统可能遇到的风险有：物理安全风险、链路传输安全风险、

网络结构安全风险、内部局域网安全风险、系统安全风险、应用安全风险、管理安全风险。

从网络拓扑结构上看，目前天津市河西区政务内网的核心层设备和接入层设备都是使用

的S3500系列路由交换机。从网络设备性能和处理能力来看，显然核心层与汇聚层网络选用

同种型号的网络设备是不太理想的。当网络中的数据流量不大或者用户通讯数据流量都集中

在自己局域网段内的时候，核心路由交换机一般会正常工作，因为网络中经过它的数据流量

并不多，所以占用的资源也有限。但一旦网络中数据流量增多或者各个局域网相互访问的业

务增多时，核心路由交换机对业务数据处理能力不强的弊端就表露出来，而且很容易成为整

个政务网的瓶颈，限制了这个网络的网络性能。

河西区政务网分为三个部分：政务内网、政务外网和涉密专网。虽然这三个网络之间通

过防火墙、安全隔离和信息交换系统分离开来，实现了各个网络相对独立，安全隔离。但从

目前的网络攻击发生率来看，绝大部分的网路攻击和病毒攻击是来自内网。而政务内网的网

络设备之间只有杀毒软件防护。五大机关及相关部门的200多台网络终端设备间也没有安全

防护设备。对于一个网络设备达到10台以上网络终端设备200台以上的中型网络，如果发

生病毒泛滥、网络内部恶意攻击等状况，损失是无法估计的。因此，处于网络安全角度考虑，

政务内网没有安全防护设备是整个政务网的安全隐患，应加以重视.

“河西区政府”网络内部运行有大量的重要服务器，众所周知，每一种操作系统都包

含有漏洞（如下表所示），开发厂商也会定期发布不订包。如何对重要服务器进行漏洞扫描、

入侵检测、补丁管理成为日常安全维护的重要工作。“河西区政府”网络内部缺乏有效的设

备和系统对系统级、应用级的脆弱性进行定期分析、评估和管理。

ID名称说明举例

1Backdoor各种后门和远程控制软件，例如BO、Netbus等2BruteForce各种浏览器相关的弱点，例如自动执行移动代码等3CGI-BIN各种CGI-BIN相关的弱点，例如PHF、wwwboard等4Daemons服务器中各种监守程序产生弱点，例如amd,nntp等5DCOM微软公司DCOM控件产生的相关弱点

6DNSDNS服务相关弱点，例如BIND8.2远程溢出弱点7E-mail各种邮件服务器、客户端相关的安全弱点，例如Qpopper

的远程溢出弱点

8Firewalls各种防火墙及其代理产生的安全弱点，例如Gauntlet

FirewallCyberPatrol内容检查弱点

9FTP各种FTP服务器和客户端相关程序或配置弱点，例如

WuFTPDsiteexec弱点

10Information各种由于协议或配置不当造成信息泄露弱点，例如

Gatheringfinger或rstat的输出

11InstantMessaging当前各种即时消息传递工具相关弱点，例如OICQ、IRC、

Yahoomessager等相关弱点

12LDAPLDAP服务相关的安全弱点，

13Network网络层协议处理不当引发的安全弱点，例如LAND攻击弱

点

14NetworkSniffers各种窃听器相关的安全弱点，例如NetXRay访问控制弱

点