沣东新城管委会地址 沣东新城管委会网络安全策略



     根据国家及陕西省、西安市规定要求,沣东新城管委会网络系统采用内、外网全物理隔离的方式组建。外网主要运行开发区门户网站、邮件系统等其他外部访问应用资源,内网主要运行OA系统、电子公文传输系统等。内外网通过安全信息交流服务器进行信息交流。形成内外网协同办公的工作环境。

  一、网络系统拓扑结构:

  管委会办公大楼是沣东新城行政中心,主楼一座共有4层,每层10多个房间。副楼3座,每座2层,每层5个房间。整个办公大楼采用超五类双绞线进行智能化综合布线,共布有500多个信息点。网络拓扑结构采用星型结构,为单网线、单硬盘内外网物理隔离的网络系统。

  二、网络安全设置

  沣东新城管委会是政府派出机构部门,承担着整个开发区的社会事务、经济运作,所以网络系统的安全性十分重要。对此,我们采用了多种安全措施。

  (一)网络物理隔离系统

  物理隔离技术自问世以来,经过实践的检验和应用,不断发展成熟,目前已历经了三个阶段,每个阶段都产生了一种具有代表性的产品和解决方案。目前,这三代物理隔离产品和方案在政府部门都有应用。

  第一代物理隔离:主要采用双机双网的技术,即采取配置两台电脑,分别连接内外两个网络的做法。这种方式存在着很多缺点,比如导致投资成本的增加,占用较大的办公空间等。另外,双机的使用会带来很多不便,并且网络设置复杂、维护难度也较大。

  第二代物理隔离:双硬盘隔离骨技术,主要是在原有机器上增加一块硬盘和一个隔离卡来实现物理隔离。两块硬盘分别对应内外网,用户启动外网时关闭内网硬盘,启动内网时关闭外网硬盘。此种隔离方式对用户造成了成本浪费,而且频繁的加电和断电容易对硬盘造成损坏。

  第三代物理隔离:单硬盘物理隔离卡技术,这是目前国内最先进的客户端物理隔离产品。也是国外普遍采用的隔离

  技术。其实现原理是将计算机的单个硬盘从物理层上分割为公共和安全两个分区,安装两套操作系统。单硬盘隔离卡

  有严密的硬盘数据保护功能:有方便的使用方式,如热启动切换两个网络i有较强的可扩展功能,如可实现低端的双硬盘隔离卡不能实现的数据安全传输功能等。用户可以根据自己的需要在不同的网络环境(内网或外网)中自由切换。

  可以看出前两代的产品和方案存在很多不可弥补的缺陷,经过多方咨询、论证,开发区网络系统最后选用了第三代物理隔离产品。物理隔离系统通过对单个硬盘上磁道的读写控制技术,在一个硬盘上分隔出两个无法互相访问的工作区间。在安全状态时,主机只能使用硬盘的安全区与内部网连接,而此时外部网连接是断开的,且硬盘的公共区通道是封闭的:在公共状态时主机只能使用硬盘的公共区与外部网连接,而此时内部网连接是断开的,且硬盘的安全区是封闭的。两种状态转换时,用户运行切换程序,系统通过硬件重启信号重新启动,这样,PC内存的所有数据被消除。PC的两个状态分别有独立的操作系统,并独立导入,两个硬盘分区不会同时激活。出于安全的目的,两个分区不能直接交换数据,但单硬盘物理隔离卡设置了一个功能区,在两个状态下,功能区均表现为硬盘的D盘,各个分区可以把功能区

  作为一个过渡区来交换数据。根据开发区实际需要,我们创建了单向的安全通道,即数据只能从公共区向安全区转移,而不能逆向转移,从而保证安全区的数据安全。

  (二)安全信息交流系统

  出于开发区的实际需要,有时必须在内外网间传输数据,例如开发区门户网站有个栏目是企业报送统计数据,企

  业从外网发送文件,传输到内网办公系统。我们选择了安

  全信息交流系统,该系统的嵌入式技术,从根本解决了隔离网络间信息安全交流的问题,提供了一套高稳定性、高可靠性、迅速安全的信息传递与交流解决方案。

  该信息交流系统由硬件和软件两部分组成,硬件包括一台信息交流服务器,软件包括请求端、服务端和控制端三部分。其中硬件部分作为数据转移的中间态存储物质,用来存储往来于两个隔离网络问的数据和文档,其中包含一个高

  速电子开关,从物理上保证内外网的隔离状态,当其连入内网时,断开外网连接,连入外网时,断开内网连接。

  整个安全信息交流服务器工作流程如下:

  位于外网应用服务器上的请求端,结合具体应用提取用户请求和数据,将其按照时间顺序排列形成请求对列,等待控制端处理。信息交流服务器连入外网,断开内网连接,控制端从请求端请求请求队列,请求端返回请求队列到控制端,控制端将请求队列存储在信息交流服务器的指定存储设备上。信息交流服务器连入内网,断开外网连接,控制端向服务端发送请求队列。位于内网应用服务器上的服务端接收

  请求队列,并进行处理,返回请求结果,形成响应队列,等待控制端处理。控制端向服务端请求响应队列,服务端返回响应队列到控制端,控制端将响应队列存储到信息交流服务器的指定存储设备上。信息交流服务器连入外网,断开内网连接,控制端将响应队列发送到请求端。请求端接收响应队列,向用户分发响应结果。信息交流系统,内外网之间做到了既隔离又连通。

  (三)防火墙系统

  为了防止有人从外部非法进入内部局域网,目前国际上的普遍做法是在广域网和局域网之间装上防火墙(Firewall),对不同用户设定使用权限和密码,防止非法用户的访问。

  防火墙是在内部网和外部网之间实施的一套安全防范系统,它使得内部网与外部网互相隔离,所有从内到外和从外到内的信息都需经过防火墙的检查,只有被安全策略允许的数据包方可通过防火墙。目前防火墙主要有三大类:

  包过滤:包过滤(Packet Fi ltering)技术是在网络层对数据包实施有选择的通过,依据系统内设置的过滤逻辑,检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。

  代理服务:代理服务(Proxy Service)是建立在网络应用层,提供应用层上的协议过滤和转发功能。代理服务器在外

  部网络向内部网络申请服务时发挥了中问转接作用,内部网络只接受代理提出的服务请求,拒绝外部网络其它节点的直

  接请求。通过代理应用对内网与外网之问的服务进行转及的设备称为应用层网关,代理服务软件就装在应用层网关上。

  混合型防火墙:许多防火墙混合使用了包过滤和代理服务这两种技术,称为混合型防火墙。从安全性和管理的方便性等考虑,我们选用了混合型防火墙,改产品已通过公安部检测,获得了公安部的销售许可证和陕西省保密局的推荐证明。该防火墙使我们的网络系统安全性得到了一个很大的提高。

  包过滤:实现了对各种报文的安全过滤,包括IP option的IP报文,重定向的ICMP报文,小IP报文,IP地址欺骗

  的报文等,并能提供按照用户定义的规则进行过滤。

  应用代理:提供了完善的H T T P、FTP、TELNET、SMTP、POP3代理,能够高度有效的阻止某一地区的站点、非法用户对本地某一服务器的访问,实现真正的安全用户管理。

  地址翻译:地址翻译将内部网络的地址翻译成指定范围内的有效IP地址。从内部网络出去的任何报文在外部网络的主机看来都是来自那个指定范围内的有效IP地址。这样在外部网络中的黑客就无法弄清内部网络的拓扑结构,也无法通过流量分析等方法来分析每个网络的所发生的事件。另外地址翻译还解决IP地址不足的问题,让内部的IP地址转换为互联网合法的唯一IP地址,这样,内部网络中大量主机可以以少量的合法的IP地址访问外部网络。

  (四)网络防杀病毒系统

  随着网络的发展,计算机病毒传播的速度日益加快,破坏范围也扩展到整个互联网,严重危害了计算机网络的安全,因此我们选用了防杀病毒系统。杀毒系统由系统中心、服务器端、客户端和控制台这四个相互关联的子系统组成的。每个子系统包括若干个不同的模块,除承担各自的任务外,还可以与另外系统通讯,共同完成对网络的病毒防护作用,我们通过防病毒软件实现了丰富的功能。

  先进的杀毒技术:我们使用的杀毒软件放弃了以电脑病毒的程序特征查杀病毒的传统技术模式,采用了更为先进

  的“病毒行为分析判断”技术来建立新的电脑病毒实时监控系统。

  前置式无毒收件箱:采用了网络协议层安全防范技术,可对传送过程中的电子邮件进行侦测,如发现邮件的附件含有病毒就会自动清除,再将处理后的无毒邮件送至用户的收件箱,丝毫不会影响邮件收发的速度。此外,该技术还可以有效抵御来自IE浏览时的恶意代码攻击。

  分组管理:管理员可以按照局域网的分布,把客户端分成任意几组管理,提高灵活性和方便性。

  此外,该杀毒软件的其它功能还有闪电智能升级、高效数捌拯救、分级管理、广播、客户端系统的判断等,这可以使系统的安全性得到更大的提升。

  此外,我们还选用了审计、内容检查、身份鉴别、加密通信、访问控制、流量控制等软硬件设备。

  (五)内部网络安全措施

  事实证明,绝大多数网络被攻破都是由于内部问题。所以要保证网络的安全性,就必须重视内部的安全管理。沣东新城制订了严格的网络安全规章制度,要求使用人员必须遵守。

  我们还采用各种措施进行内部的安全管理。

  身份认证:身份认证是系统安全性的基本方面。可以判断任何试图登陆到域或访问网络资源的用户的身份,以保证登陆的安全性、可靠性。

 沣东新城管委会地址 沣东新城管委会网络安全策略
  访问控制:网络共享信息由网络管理人员进行分类,划分用户类别,根据用户身份不同,严格规定不同的访问权限。

  目志纪录:系统对用户在局域网中的活动情况进行纪录,以确保有据可查。

  审计跟踪:网管集中管理用户帐户和权限,审计所有与安全有关的事件。

  

爱华网本文地址 » http://www.413yy.cn/a/9101032201/36743.html

更多阅读

IP地址冲突怎么办? ip地址冲突了怎么办

IP地址冲突怎么办?——简介 最近公司的局域网经常出现IP地址冲突的网络错误,开机就提示!于是总结了一下解决办法供网友参考!IP地址冲突怎么办?——工具/原料IP地址不IP地址冲突怎么办?——产生的原因IP地址冲突怎么办? 1、公司为了

如何查询电脑物理网卡地址 电脑网卡物理地址

如何查询电脑物理网卡地址——简介当被生产出来,网卡就有一个自己的mac地址,是固定唯一的。因此在一些重要场合,通常采用mac地址作为识别一台电脑的标注,我们也可以在路由器中绑定指定电脑的mac地址,从而实现某些指定的电脑可以实现上网,

怎么将电脑设置成自动获取IP地址 win7如何自动获取ip

怎么将电脑设置成自动获取IP地址——简介当自己无线网络连接不上,那么就有可能是自己的电脑没有设置成自动获取IP地址,那么该怎么操作呢?下面我将根据自己的一些经验,与大家分享,如何设置自动获取IP地址!怎么将电脑设置成自动获取IP地址

如何查看mac地址 mac地址查询技巧 如何查看电脑mac地址

我们知道每块网卡都有一个特定的MAC地址,该地址是由网卡物理地址,是唯一的,因此在很多对网络安全很高的场合通常采用MAC地址作为识别一台电脑的标注,在路由器高级应用中我们可以在路由器中绑定指定电脑mac地址,从而实现某些指定的电脑可

声明:《沣东新城管委会地址 沣东新城管委会网络安全策略》为网友伱寵卟莪分享!如侵犯到您的合法权益请联系我们删除