XX省政法網(wǎng)安全方案

XXX政法綜合信息支撐網(wǎng)

安全建設(shè)方案

目錄

1項(xiàng)目概述..................................................5

1.1網(wǎng)絡(luò)規(guī)劃概述...................................................6

2風(fēng)險(xiǎn)分析..................................................7

2.1信息共享區(qū)風(fēng)險(xiǎn)分析.............................................7

2.2各單位專(zhuān)網(wǎng)風(fēng)險(xiǎn)分析............................................11

3需求匯總..................................................14

3.1信,息導(dǎo)"區(qū)安求…………G……………14

3.2各單位專(zhuān)網(wǎng)安全需求............................................15

4安全架構(gòu)..................................................16

4.1安全建設(shè)標(biāo)準(zhǔn)..................................................16

4,2安全設(shè)計(jì)原則..................................................16

4.3安全架構(gòu)設(shè)計(jì).............................................17

5xx政法網(wǎng)管理體系設(shè)計(jì)....................................19

5.1政法網(wǎng)安全組織建設(shè)............................................19

5.2準(zhǔn)和制度建20

5.3安全運(yùn)維建設(shè)..................................................22

6xx政法網(wǎng)技術(shù)體系設(shè)計(jì)....................................24

6.1物理/鏈路安全防護(hù).............................................24

6.2網(wǎng)絡(luò)安全防護(hù)..................................................25

6.3計(jì)算區(qū)域安全防護(hù)........................................26

6.4應(yīng)用安全防護(hù)..................................................29

6.5安全管理中心建設(shè)..............................................33

7涉密信息系統(tǒng)設(shè)計(jì)概述....................................36

7.1涉密信息系統(tǒng)設(shè)計(jì)標(biāo)準(zhǔn)..........................................36

7.2涉密系統(tǒng)安全保密方案的主要內(nèi)容..........................36

7.3方案設(shè)計(jì)中的幾個(gè)要點(diǎn)..........................................37

8各單位技術(shù)體系設(shè)計(jì)要求.................................39

8.1物理/鏈路安全防護(hù)要求.......................................39

8,2網(wǎng)絡(luò)安全防護(hù)要求..............................................40

8.3計(jì)算區(qū)域安全防護(hù)要求.........................................41

8.4應(yīng)用安全防護(hù)要求..............................................42

8.5安全管理中心建設(shè)建議..........................................44

1項(xiàng)目概述

政法網(wǎng)的建設(shè)是國(guó)家電子政務(wù)的重要組成部分，是現(xiàn)代司法、立法和警務(wù)執(zhí)法工作的需要。

政法網(wǎng)不僅可以為國(guó)家機(jī)關(guān)和社會(huì)提供各種政法信息服務(wù)，而且可以為是打擊犯罪活動(dòng)和保障

經(jīng)濟(jì)建設(shè)提供及時(shí)、準(zhǔn)確和全面的信息服務(wù)，是信息時(shí)代發(fā)展的要求，是一場(chǎng)新的司法、立法

和警務(wù)執(zhí)法的革命。XX省經(jīng)過(guò)多年建設(shè)，公安、法院、檢察院等政法單位都不同程度的建立了

自己的縱向業(yè)務(wù)信息網(wǎng)絡(luò)。這些信息化建設(shè)為XX省的政法工作開(kāi)展起到了相當(dāng)大的促進(jìn)作用。

而隨著現(xiàn)代政法工作的業(yè)務(wù)發(fā)展，各部門(mén)之間協(xié)同工作、信息共享的需求越來(lái)越強(qiáng)烈。因此，

建設(shè)一個(gè)統(tǒng)一平臺(tái)的政法網(wǎng)絡(luò)，已經(jīng)成為XX省政法信息化進(jìn)程的必需。

近年來(lái)，國(guó)內(nèi)已經(jīng)有多個(gè)省份建立了自己的省級(jí)政法網(wǎng)，基本的形式是建設(shè)成省級(jí)公安、

檢察、法院、司法等單位共享的“數(shù)據(jù)、語(yǔ)音、視頻”的三網(wǎng)合一的網(wǎng)絡(luò)平臺(tái)。綜合這些省份

的建設(shè)，總體上具有以下特點(diǎn)：

一、傳輸網(wǎng)絡(luò)行業(yè)隔離；由于各行業(yè)都有較嚴(yán)格的管理制度與安全規(guī)范，因此政法網(wǎng)建設(shè)

時(shí)，縱向的傳輸系統(tǒng)一般都通過(guò)劃分MPLSVPN等方式，保證相互之間的隔離。

二、數(shù)據(jù)共享區(qū)域交互：由于政法系統(tǒng)間信息共享的業(yè)務(wù)需求，一般會(huì)在省、市級(jí)單位建

立數(shù)據(jù)共享平臺(tái)，解決各單位之間的數(shù)據(jù)交換問(wèn)題。

三、系統(tǒng)管理縱強(qiáng)橫弱，由于政法網(wǎng)行業(yè)分隔的特點(diǎn)，導(dǎo)致政法網(wǎng)的網(wǎng)絡(luò)與安全管理呈現(xiàn)

出各行業(yè)垂直管理較強(qiáng)，區(qū)域平臺(tái)橫向管理較弱的特點(diǎn)。各行業(yè)的網(wǎng)絡(luò)管理、應(yīng)用管理、安全

管理主要以設(shè)備管理、直接控制為主，橫向管理主要以監(jiān)督檢測(cè)、制度管理為主。

政法網(wǎng)建設(shè)中的縱向隔離與橫向共享的特點(diǎn)，是與其它電子政務(wù)系統(tǒng)建設(shè)的明顯區(qū)別，也

是在系統(tǒng)設(shè)計(jì)與安全設(shè)計(jì)時(shí)必須要考慮的重要特點(diǎn)。而如何建立一個(gè)行之有效的安全管理體系,

解決政法網(wǎng)跨行業(yè)安全管理和監(jiān)控的矛盾，也是保證網(wǎng)絡(luò)平臺(tái)的穩(wěn)定運(yùn)行和業(yè)務(wù)的安全高效運(yùn)

轉(zhuǎn)所需要解決的重要問(wèn)題。

本方案將分析xx政法網(wǎng)所面臨的風(fēng)險(xiǎn)，并針對(duì)風(fēng)險(xiǎn)進(jìn)行安全體系設(shè)計(jì)。同時(shí)，對(duì)與XX政

法網(wǎng)相連的六大系統(tǒng)網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)分析并提出與xx政法網(wǎng)安全體系相適應(yīng)的安全建設(shè)要求。

1.1網(wǎng)絡(luò)規(guī)劃概述

XX省政法網(wǎng)已經(jīng)進(jìn)行了整體網(wǎng)絡(luò)架構(gòu)的設(shè)計(jì)。整個(gè)政法網(wǎng)將采用統(tǒng)一的骨干網(wǎng)絡(luò)，同時(shí)采

用MPLSVPN技術(shù)，將六大系統(tǒng)隔離開(kāi)來(lái)。骨干網(wǎng)絡(luò)將由省及各市政法委的路由器構(gòu)成，省級(jí)

政法單位通過(guò)各單位路由器連接到骨干網(wǎng)，各市級(jí)政法單位通過(guò)自己的路由器分別連接到所屬

市的政法委路由器上。其骨干網(wǎng)絡(luò)不撲示意圖如下；

請(qǐng)自己補(bǔ)充網(wǎng)絡(luò)拓?fù)鋱D

整個(gè)政法網(wǎng)通過(guò)MPLSVPN劃分為政法委、公安、法院、檢察院、安全、司法六大系統(tǒng)各

單位專(zhuān)網(wǎng)絡(luò)和一個(gè)信息共享信息共享區(qū)絡(luò)，其MPLSVPN網(wǎng)絡(luò)示意圖如下;

信息共享區(qū)域

「麗拓源-?麗加而無(wú)皿芬氏一;

「赭正鏟；前置業(yè)務(wù)區(qū)各單位

業(yè)務(wù)前置區(qū)

L?BJP?

《質(zhì)獺、、汩單位內(nèi)部、、/躥夜丙祠C

行級(jí)信息共享區(qū)

一業(yè)先區(qū)域，I業(yè)務(wù)X域

省政法網(wǎng)

,V

市級(jí)信息共享區(qū)運(yùn)外商化輸網(wǎng)絡(luò)

?!~~—I

恥市政法網(wǎng)

-1----------r

運(yùn)科商傳輸網(wǎng)絡(luò)

I

II

0領(lǐng)縣級(jí)單位

基層單位

信息共享區(qū)域VPNA單位VPNB單位VPNF單位:VPN

K：政法網(wǎng)MPLSVPN網(wǎng)絡(luò)

下面我們就從縱向和橫向兩個(gè)緯度對(duì)xx省政法網(wǎng)將要面臨的安全風(fēng)險(xiǎn)進(jìn)行詳細(xì)的分析。

2風(fēng)險(xiǎn)分析

XX政法網(wǎng)的整個(gè)系統(tǒng)現(xiàn)狀主要可以按照兩個(gè)層面來(lái)看：首先所有運(yùn)行于網(wǎng)絡(luò)系統(tǒng)平臺(tái)之上

的各種應(yīng)用系統(tǒng)的載體是網(wǎng)絡(luò)中各個(gè)終端和服務(wù)器群，這些終端和服務(wù)器群作為基礎(chǔ)計(jì)算設(shè)施

構(gòu)成了“計(jì)算設(shè)施”層面。同時(shí)貫穿于整個(gè)系統(tǒng)的還有一個(gè)重要的系統(tǒng)：管理系統(tǒng)，他對(duì)網(wǎng)絡(luò)

層面、計(jì)算設(shè)施層面和應(yīng)用層面都起到直接的監(jiān)控和管理作用。所以，總體來(lái)看，我們?cè)趯?duì)XX

政法網(wǎng)進(jìn)行整體安全風(fēng)險(xiǎn)及需求分圻時(shí)，基本上可以按照以下模型來(lái)進(jìn)行綜合分析：

2.1信息共享區(qū)風(fēng)險(xiǎn)分析

XX省政法網(wǎng)信息共享區(qū)是指省、市兩級(jí)政法網(wǎng)的信息共享業(yè)務(wù)VPN網(wǎng)絡(luò)，其功能是為六

大系統(tǒng)之間的數(shù)據(jù)共享和協(xié)同辦公應(yīng)用搭建一個(gè)安全高效的信息平臺(tái)。信息共享業(yè)務(wù)VPN網(wǎng)絡(luò)

示意圖如下：

1.信息共享區(qū)物理/鏈路層安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)信息系統(tǒng)的順利有效運(yùn)行必須依賴(lài)其所處的物理環(huán)境（如機(jī)房）和硬件基礎(chǔ)設(shè)施（各

種服務(wù)器、路由器、交換機(jī)、工作站等硬件設(shè)備和通信線路）的可靠運(yùn)行，任何一處的失效都

可能導(dǎo)致整個(gè)系統(tǒng)的不可用。物理/鏈路層可能存在的安全弱點(diǎn)包括：

?物理環(huán)境安全風(fēng)險(xiǎn)

如地震、水災(zāi)、火災(zāi)、雷電等環(huán)境事故造成網(wǎng)絡(luò)中斷、系統(tǒng)癱瘓、數(shù)據(jù)丟失等；機(jī)房電力

設(shè)備和其它配套設(shè)備的運(yùn)行故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失；因接

地不良、機(jī)房屏蔽性能差引起的靜電干擾或外界的電磁干擾使系統(tǒng)不能正常工作；電磁幅射可

能造成數(shù)據(jù)信息被竊取或偷閱。

?物理設(shè)備的安全風(fēng)險(xiǎn)

包括信息系統(tǒng)所依賴(lài)的網(wǎng)絡(luò)設(shè)備如交換機(jī)、路由器等，服務(wù)器如PC服務(wù)器、小型機(jī)等，

一旦發(fā)生故障，將直接影響信息系統(tǒng)和各種網(wǎng)絡(luò)應(yīng)用的正常運(yùn)轉(zhuǎn)：個(gè)人電腦如臺(tái)式機(jī)和便攜機(jī)

等被非法盜取或毀壞而造成信息泄漏或數(shù)據(jù)丟失。

?通信線路的安全風(fēng)險(xiǎn)

可能的風(fēng)險(xiǎn)有：通信中斷，由于通信線路自身故障或被惡意切斷或過(guò)高電壓等導(dǎo)致信息系

統(tǒng)的通信線路出現(xiàn)意外中斷，造成信息系統(tǒng)資源的不可用。傳輸錯(cuò)誤，信息系統(tǒng)的重要數(shù)據(jù)在

傳輸過(guò)程中可能出現(xiàn)錯(cuò)誤，導(dǎo)致信息完整性和可用性的破壞。

?鏈路層的安全風(fēng)險(xiǎn)

網(wǎng)絡(luò)不安全的因素不僅是入侵者在網(wǎng)絡(luò)上發(fā)動(dòng)攻擊、進(jìn)行信息竊取或其他破壞，還包括；

入侵者可能在傳輸線路上安裝竊聽(tīng)裝置，竊取網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)；局域網(wǎng)用戶(hù)隨意更改物理

地址或盜用他人的物理地址來(lái)進(jìn)行網(wǎng)絡(luò)活動(dòng)，將會(huì)給訪問(wèn)控制、網(wǎng)絡(luò)計(jì)費(fèi)等帶來(lái)麻煩。通信鏈

路承載能力不足或出現(xiàn)故障將導(dǎo)致丟包率升高甚至通信中斷。

這些都將對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重安全威脅。

2.信息共享區(qū)邊界安全風(fēng)險(xiǎn)

如前圖，我們可以看出目前政法網(wǎng)信息共享業(yè)務(wù)VPN網(wǎng)絡(luò)的邊界位于信息共享VPN網(wǎng)與

其他六大系統(tǒng)VPN網(wǎng)絡(luò)之間.在此邊界上的風(fēng)險(xiǎn)主要有：

?應(yīng)考慮防止不同級(jí)別和單位的用戶(hù)越權(quán)、非法訪問(wèn)，保證網(wǎng)絡(luò)安全策略的一致性；

?防范病毒和蠕蟲(chóng)從各單位VPN網(wǎng)絡(luò)傳播進(jìn)入信息共享VPN網(wǎng)絡(luò)，并防止病毒和蠕蟲(chóng)

通過(guò)本網(wǎng)絡(luò)向其他網(wǎng)絡(luò)蔓延；

?解決橫向數(shù)據(jù)交換時(shí)的安全需求與政策需求，在保證安全與不違反各系統(tǒng)制度的前提

下，提供橫向數(shù)據(jù)交換手段；

?防范可能發(fā)生的由某單位網(wǎng)絡(luò)內(nèi)發(fā)起的對(duì)信息共享VPN區(qū)域的攻擊行為。

3.信息共享區(qū)計(jì)算區(qū)域安全風(fēng)險(xiǎn)

總體來(lái)說(shuō)，計(jì)算區(qū)域內(nèi)的計(jì)算設(shè)施面臨的主要安全風(fēng)險(xiǎn)有以下幾種：

?主機(jī)的各種安全漏洞

?服務(wù)器的安全配置

?終端的強(qiáng)制管理

?操作人員的技術(shù)水平

4.信息共享區(qū)應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)

XX政法網(wǎng)信息共享VPN網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)上將要運(yùn)行著多種應(yīng)用系統(tǒng)，這些應(yīng)用系統(tǒng)所面臨

的主要安全風(fēng)險(xiǎn)主要包括以下幾個(gè)方面：

?病毒對(duì)應(yīng)用系統(tǒng)的威脅：計(jì)算機(jī)病毒可以直接破壞操作系統(tǒng)和數(shù)據(jù)文件，使得應(yīng)用系

統(tǒng)無(wú)法正常運(yùn)行。近年來(lái)，頻繁爆發(fā)的蠕蟲(chóng)病毒更是令人防不勝防，它通過(guò)大量消耗

網(wǎng)絡(luò)資源導(dǎo)致網(wǎng)絡(luò)癱瘓或者服務(wù)器宕機(jī)，從而導(dǎo)致應(yīng)用系統(tǒng)也無(wú)法正常運(yùn)行；

?應(yīng)用系統(tǒng)自身的漏洞：應(yīng)用系統(tǒng)自身由于設(shè)計(jì)或程序上的缺陷，可能存在各種漏洞，

例如WEB應(yīng)用服務(wù)的安全漏洞，可能導(dǎo)致WEB服務(wù)器容易被黑客攻擊，篡改網(wǎng)頁(yè)，

使得WEB服務(wù)器無(wú)法提供正常WEB應(yīng)用訪問(wèn)服務(wù)；

?應(yīng)用系統(tǒng)操作審計(jì)：數(shù)據(jù)庫(kù)是系統(tǒng)中最重要的信息資產(chǎn)，然后由于系統(tǒng)自身漏洞或程

序設(shè)計(jì)上的缺陷，可能存在各種被攻擊的可能，沒(méi)有審計(jì)機(jī)制，就無(wú)法及時(shí)發(fā)現(xiàn)、追

查各類(lèi)違規(guī)操作行為；

?身份與權(quán)限管理：沒(méi)有身扮認(rèn)證機(jī)制，就不能建立信任關(guān)系，也就不可追蹤各類(lèi)操作

的合規(guī)性，沒(méi)有權(quán)限管理機(jī)制，就不能保證應(yīng)用系統(tǒng)與數(shù)據(jù)的正確用法。操作人員可

能對(duì)應(yīng)用系統(tǒng)進(jìn)行不當(dāng)操作而威脅到應(yīng)用系統(tǒng)，例如越權(quán)訪問(wèn)應(yīng)用系統(tǒng)、違規(guī)占用網(wǎng)

絡(luò)資源影響應(yīng)用系統(tǒng)等°

5.信息共享區(qū)管理系統(tǒng)安全風(fēng)險(xiǎn)

xx政法網(wǎng)所面臨的一個(gè)很大問(wèn)題就是管理問(wèn)題。其中原因包括；

?網(wǎng)絡(luò)覆蓋廣泛，整個(gè)網(wǎng)絡(luò)將覆蓋全省，建立從省到科、所、隊(duì)的四級(jí)網(wǎng)絡(luò)：

?用戶(hù)眾多且分屬各個(gè)單位，人員管理無(wú)法統(tǒng)一；

?技術(shù)人員水平不一，對(duì)安全設(shè)備與安全措施的使用與管理也存在著一定的風(fēng)險(xiǎn)。

例如，由于沒(méi)有正確地配置安全設(shè)備，導(dǎo)致某一安全域內(nèi)的防護(hù)手段失效。同時(shí)，對(duì)于某

一安全域內(nèi)發(fā)生突發(fā)的安全事件，現(xiàn)有的安全管理手段很難迅速準(zhǔn)確對(duì)這種風(fēng)險(xiǎn)進(jìn)行快速響應(yīng),

也無(wú)法快速定位威脅來(lái)源在哪里，因此也無(wú)法及時(shí)調(diào)整安全策略來(lái)應(yīng)對(duì)這樣的安全事件。

6,涉密信息傳遞安全風(fēng)險(xiǎn)

xx政法網(wǎng)建設(shè)的目標(biāo)之一,是為今后在各單位之間傳遞涉密信息建立一個(gè)可靠的基礎(chǔ)平臺(tái)。

而涉密信息的存儲(chǔ)、處理和傳輸，國(guó)家保密局都有著嚴(yán)格的要求和規(guī)定。因此，涉密信息系統(tǒng)

的建設(shè)必須嚴(yán)格按照國(guó)家保密局相關(guān)流程和法規(guī)進(jìn)行設(shè)計(jì)和建設(shè)。

2.2各單位專(zhuān)網(wǎng)風(fēng)險(xiǎn)分析

xx省政法網(wǎng)各單位專(zhuān)網(wǎng)是指通過(guò)本次建設(shè)的xx政法網(wǎng)MPLSVPN網(wǎng)絡(luò)為xx政法系統(tǒng):政

法委、公安、檢察院、法院等六大單位分別構(gòu)建的虛擬專(zhuān)用網(wǎng)絡(luò)。省、市級(jí)各單位的專(zhuān)用網(wǎng)絡(luò)

分別接入所在地區(qū)的政法網(wǎng)VPN網(wǎng)絡(luò)，縣級(jí)以下的縱向連接由各單位自行負(fù)責(zé)°各單位專(zhuān)網(wǎng)

VPN網(wǎng)絡(luò)示意圖如下：

A單位內(nèi)部

-

應(yīng)用服務(wù)器數(shù)施庫(kù)一業(yè)務(wù)區(qū)域

毒。省級(jí)業(yè)務(wù)網(wǎng)

j-----a,隹T--j-內(nèi)部邊界

|「翻畫(huà)PT；!廠

市級(jí)業(yè)務(wù)網(wǎng)

卜+-內(nèi)部邊界

縣級(jí)單位

-?-----內(nèi)部邊界

基層單位

各單位

信息共享區(qū)域VPN業(yè)務(wù)前置區(qū)A單位VPN

圖：A單位各單位專(zhuān)網(wǎng)VPN網(wǎng)絡(luò)示意圖

1.各單位專(zhuān)網(wǎng)物理/鏈路層安全風(fēng)險(xiǎn)

各單位專(zhuān)網(wǎng)的物理/鏈路層安全情況和信息共享區(qū)類(lèi)似?？蓞⒁?jiàn)前面對(duì)信息共享區(qū)的物理/

鏈路安全風(fēng)險(xiǎn)分析。

2.各單位專(zhuān)網(wǎng)邊界安全風(fēng)險(xiǎn)

如上圖，我們可以看出目前政法網(wǎng)六大各單位專(zhuān)網(wǎng)的邊界有兩處：

一是外部邊界，位于各單位各單位專(zhuān)網(wǎng)與信息共享VPN網(wǎng)絡(luò)之間；

二是各單位內(nèi)部邊界，位于各單位省、市、縣各級(jí)單位的縱向連接點(diǎn)。

對(duì)于各單位專(zhuān)網(wǎng)，主要承擔(dān)著路由信息傳遞、數(shù)據(jù)傳輸?shù)热蝿?wù)，因此，高速、穩(wěn)定的邊界

防護(hù)是專(zhuān)網(wǎng)邊界的基本要求。此外，在專(zhuān)網(wǎng)邊界上應(yīng)考慮防止不同級(jí)別用戶(hù)之間的越權(quán)、非法

訪問(wèn)，保證網(wǎng)絡(luò)安全策略的一致性,因此在邊界上的風(fēng)險(xiǎn)主要有：

?應(yīng)考慮防止不同級(jí)別的用戶(hù)越權(quán)、非法訪問(wèn)，保證網(wǎng)絡(luò)安全策略的一致性；

?防范病毒和蠕蟲(chóng)從信息共享VPN網(wǎng)絡(luò)傳播進(jìn)入，并防止病毒和蠕蟲(chóng)在本單位網(wǎng)絡(luò)縱向

蔓延；

?防范可能發(fā)生的由本單位內(nèi)部發(fā)起的對(duì)上下級(jí)網(wǎng)的攻擊行為。

3,各單位專(zhuān)網(wǎng)計(jì)算區(qū)域安全風(fēng)險(xiǎn)

總體來(lái)說(shuō)，計(jì)算區(qū)域內(nèi)的計(jì)算設(shè)施面臨的主要安全風(fēng)險(xiǎn)有以下幾種：

?主機(jī)的各種安全漏洞

?服務(wù)器的安全配置

?終端的強(qiáng)制管理

?操作人員的技術(shù)水平

4.各單位專(zhuān)網(wǎng)應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn)

各單位專(zhuān)網(wǎng)的應(yīng)用系統(tǒng)安全情況和信息共享區(qū)類(lèi)似,可參見(jiàn)前面對(duì)信息共享區(qū)的應(yīng)用系統(tǒng)

安全風(fēng)險(xiǎn)分析.

5.各單位專(zhuān)網(wǎng)管理系統(tǒng)安全風(fēng)險(xiǎn)

各單位專(zhuān)網(wǎng)也面臨著很大的管理問(wèn)題。其中原因包括；

?網(wǎng)絡(luò)覆蓋廣泛，借助于xx政法網(wǎng)，各單位專(zhuān)網(wǎng)將覆蓋全省，建立從省、市到科、所、

隊(duì)的四級(jí)網(wǎng)絡(luò)；

?骨干網(wǎng)的設(shè)備由政法網(wǎng)統(tǒng)一管理，因此各單位不但要有自身的管理隊(duì)伍，還要和政法

網(wǎng)的統(tǒng)一管理機(jī)構(gòu)相互協(xié)咋，以保證專(zhuān)網(wǎng)業(yè)務(wù)的暢通，并在發(fā)現(xiàn)問(wèn)題時(shí)能夠及時(shí)查找

到原因；

?各單位內(nèi)部用戶(hù)眾多，且水平參差不齊,

?各單位的管理體系應(yīng)與政法網(wǎng)的統(tǒng)一管理體系相互協(xié)調(diào)。以保證管理的連貫性和接口

的一致。不至因?yàn)楣芾頇C(jī)制的差別導(dǎo)致安全事件無(wú)法得到高效處理。

3需求匯總

通過(guò)前一章節(jié)中橫向和縱向的風(fēng)險(xiǎn)分析，我們總結(jié)出XX政法網(wǎng)的主要安全需求如下：

3.1信息共享區(qū)安全需求

?應(yīng)考慮防止不同級(jí)別和單位的用戶(hù)越權(quán)、非法訪問(wèn)，保證網(wǎng)絡(luò)安全策略的一致性；

?防范病毒和蠕蟲(chóng)從各單位VPN網(wǎng)絡(luò)傳播進(jìn)入信息共享VPN網(wǎng)絡(luò)，并防止病毒和蠕蟲(chóng)

通過(guò)本網(wǎng)絡(luò)向其他網(wǎng)絡(luò)芟延；

?解決橫向數(shù)據(jù)交換時(shí)的安全需求與政策需求，在保證安全與不違反各系統(tǒng)制度的前提

下，提供橫向數(shù)據(jù)交換手段：

?防范可能發(fā)生的由某單位網(wǎng)絡(luò)內(nèi)發(fā)起的對(duì)信息共享VPN區(qū)域的攻擊行為；

?及時(shí)發(fā)現(xiàn)和加固主機(jī)的各種安全漏洞；

?發(fā)現(xiàn)服務(wù)器的配置錯(cuò)誤并改進(jìn)服務(wù)器的安全配置；

?對(duì)終端進(jìn)行強(qiáng)制安全管理；

?提高所有操作人員的技術(shù)水平；

?防范病毒對(duì)應(yīng)用系統(tǒng)的威脅；

?防范應(yīng)用系統(tǒng)自身的漏洞：

?對(duì)應(yīng)用系統(tǒng)操作進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)、追查各類(lèi)違規(guī)操作行為；

?統(tǒng)一身份與權(quán)限管理，防范各種越權(quán)、濫用或入侵系統(tǒng)的行為;；

?建立統(tǒng)一的安全管理平臺(tái)：

?統(tǒng)一人員管理；

?建立健全相應(yīng)的安全標(biāo)準(zhǔn)和規(guī)章制度；

?各單位間涉密信息交換應(yīng)符合國(guó)家保密局相關(guān)政策和規(guī)定的要求6在保證涉密信息的

安全前提下進(jìn)行橫向涉密信息交換。

3.2各單位專(zhuān)網(wǎng)安全需求

?應(yīng)考慮防止不同級(jí)別的用戶(hù)越權(quán)、非法訪問(wèn)，保證網(wǎng)絡(luò)安全策略的一致性；

?防范病毒和蠕蟲(chóng)從信息共享VPN網(wǎng)絡(luò)傳播進(jìn)入，并防止病毒和蠕蟲(chóng)在本單位網(wǎng)絡(luò)縱向

蔓延；

?防范可能發(fā)生的由本單位內(nèi)部發(fā)起的對(duì)上下級(jí)網(wǎng)的攻擊行為。

?及時(shí)發(fā)現(xiàn)和加固主機(jī)的各神安全漏洞：

?發(fā)現(xiàn)服務(wù)器的配置錯(cuò)誤并改進(jìn)服務(wù)器的安全配置：

?對(duì)終端進(jìn)行強(qiáng)制安全管理；

?提高所有操作人員的技術(shù)水平；

?防范病毒對(duì)應(yīng)用系統(tǒng)的威脅；

?防范應(yīng)用系統(tǒng)自身的漏洞；

?對(duì)應(yīng)用系統(tǒng)操作進(jìn)行審計(jì)，及時(shí)發(fā)現(xiàn)、追查各類(lèi)違規(guī)操作行為；

?統(tǒng)一身份與權(quán)限管理，防范各種越權(quán)、濫用或入侵系統(tǒng)的行為;；

?建立統(tǒng)一的安全管理平臺(tái)；

?統(tǒng)一人員管理；

?建立健全相應(yīng)的安全標(biāo)準(zhǔn)和規(guī)章制度。

4安全架構(gòu)

通過(guò)前面的安全分析和需求匯總，我們已經(jīng)充分了解了XX政法網(wǎng)所面臨的安全問(wèn)題。下一

步，就是針對(duì)這些風(fēng)險(xiǎn)，選擇合適的安全模型進(jìn)行安全方案的設(shè)計(jì)6這個(gè)安全模型不但應(yīng)該成

熟全面，還應(yīng)該適合XX政法網(wǎng)的現(xiàn)狀，并便于將來(lái)的實(shí)施和進(jìn)一步的擴(kuò)展。

針對(duì)XX政法網(wǎng)的行業(yè)特點(diǎn)，我們建議安全模型參考以下的建設(shè)標(biāo)準(zhǔn)和原則：

4.1安全建設(shè)標(biāo)準(zhǔn)

XX政法網(wǎng)的設(shè)計(jì)建設(shè)和維護(hù)必須符合國(guó)家法律法規(guī)和部門(mén)規(guī)章制度的要求，遵循國(guó)家政策

的相關(guān)規(guī)定，并且按照一定的標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)建設(shè)和維護(hù)。

《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南（試行）》

《電子政務(wù)標(biāo)準(zhǔn)化指南》

《金盾工程建設(shè)總體規(guī)劃》；

《全國(guó)檢察機(jī)關(guān)信息化建設(shè)規(guī)劃綱要》；

《全國(guó)人民法院計(jì)算機(jī)信息網(wǎng)絡(luò)建設(shè)規(guī)劃》

《全國(guó)司法行政系統(tǒng)信息化建殳規(guī)劃》

等……

4.2安全設(shè)計(jì)原則

XX政法網(wǎng)的安全建設(shè)應(yīng)該本著以下一些原則：

?安全體系科學(xué)完善

系統(tǒng)設(shè)計(jì)應(yīng)充分考慮到各個(gè)層面的安全風(fēng)險(xiǎn)，構(gòu)建完整的安全防護(hù)體系，充分保證系統(tǒng)的

安全性。同時(shí)，應(yīng)確保方案中使用的信息安全產(chǎn)品和技術(shù)方案在設(shè)計(jì)和實(shí)現(xiàn)的全過(guò)程中有具體

的措施來(lái)充分保證其安全性。

?安全措施協(xié)同關(guān)聯(lián)

建立協(xié)同防御體系，設(shè)計(jì)時(shí)所采用的各種安全措施，應(yīng)充分考慮相互間的關(guān)聯(lián)性，通過(guò)綜

合防護(hù)手段，保證安全措施的一致性、有效性，避免一點(diǎn)突破，全網(wǎng)失控。

?安全管理簡(jiǎn)單高效

充分考慮各級(jí)各單位安全管理的長(zhǎng)期性、復(fù)雜性以及技術(shù)力量的不均衡，通過(guò)集中高效的

安全管理措施，建立適應(yīng)各級(jí)單位的安全管理體系。

4.3安全架構(gòu)設(shè)計(jì)

通過(guò)綜合考慮，我們建議XX政法網(wǎng)按照以卜安全建設(shè)框架進(jìn)行安全體系的規(guī)劃和建設(shè)。

全

安安全

應(yīng)用系統(tǒng).統(tǒng)一身份認(rèn)‘存儲(chǔ)安全）災(zāi)難恢復(fù)

管W政策

安全/標(biāo)準(zhǔn)

,病毒防范J防篡改/制度

統(tǒng)

統(tǒng)

安

」

一.

全

管

管

理IB

志

理

平

審

制

立

計(jì)

度

」

，

安

訪問(wèn)控制J入侵檢測(cè):網(wǎng)物工）全

安全互聯(lián)與標(biāo)

準(zhǔn)

邊界防護(hù)

VPN構(gòu)建安全隔離）

圖：安全體系框架

針對(duì)XX政法網(wǎng)所面臨的從網(wǎng)絡(luò)邊界、計(jì)算區(qū)域、應(yīng)用系統(tǒng)到安全管理的風(fēng)險(xiǎn)分析，將采用

以下的安全技術(shù)和管理手段等來(lái)分別進(jìn)行風(fēng)險(xiǎn)防范。

1.首先在邊界安全層面，要通過(guò)安全隔離技術(shù)實(shí)現(xiàn)六大系統(tǒng)網(wǎng)絡(luò)和信息共享網(wǎng)絡(luò)的相互

隔離，還要通過(guò)訪問(wèn)控制和VPN等技術(shù)手段在隔離的基礎(chǔ)上實(shí)現(xiàn)安全連通。并通過(guò)入

侵檢測(cè)和網(wǎng)絡(luò)審計(jì)等手段?進(jìn)一步加強(qiáng)訪問(wèn)控制措施；

2.在計(jì)算區(qū)域安全層面，通過(guò)漏洞掃描等方式發(fā)現(xiàn)系統(tǒng)的固有漏洞，并通過(guò)補(bǔ)丁管理、

系統(tǒng)加固等方式及時(shí)消除安全隱患。同時(shí)通過(guò)對(duì)終端的強(qiáng)制管理和系統(tǒng)登錄控制等手

段，防范非法的對(duì)外連接和對(duì)系統(tǒng)的非授權(quán)訪問(wèn)。最后通過(guò)系統(tǒng)日志審計(jì)和終端審計(jì)

等方式，實(shí)現(xiàn)對(duì)安全事件的預(yù)警和事后審計(jì)；

3.對(duì)于應(yīng)用系統(tǒng)安全層面，首先要通過(guò)統(tǒng)一的身份認(rèn)證系統(tǒng)實(shí)現(xiàn)對(duì)所有業(yè)務(wù)的安全策略

和訪問(wèn)權(quán)限的統(tǒng)一。同時(shí)通過(guò)防篡改技術(shù)、存儲(chǔ)安全和災(zāi)難恢復(fù)等手段，實(shí)現(xiàn)對(duì)業(yè)務(wù)

系統(tǒng)中最關(guān)鍵的部分；“數(shù)據(jù)”進(jìn)行全方位防護(hù)。最后還要通過(guò)防病毒系統(tǒng)對(duì)病毒、蠕

蟲(chóng)和木馬等應(yīng)用系統(tǒng)常見(jiàn)威脅進(jìn)行過(guò)濾和清除。

4.安全管理是整個(gè)安全體系能否正常和高效運(yùn)轉(zhuǎn)的關(guān)鍵。通過(guò)建設(shè)統(tǒng)一的安全管理平臺(tái)

和安全審計(jì)平臺(tái)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)真實(shí)安全現(xiàn)狀的隨時(shí)掌控。同時(shí)通過(guò)建立高效的管理機(jī)

構(gòu)并對(duì)下級(jí)單位進(jìn)行適當(dāng)?shù)氖跈?quán)管理，達(dá)到日常管理的高效化。并真正實(shí)現(xiàn)及時(shí)的應(yīng)

急響應(yīng)。

5,除了以上的技術(shù)手段和管理手段，還要依托已有的安全政策進(jìn)行完善的安全標(biāo)準(zhǔn)制定

和安全制度建設(shè)。通過(guò)標(biāo)準(zhǔn)和制度建設(shè)，能夠統(tǒng)一安全管理認(rèn)識(shí)并實(shí)現(xiàn)安全策略的統(tǒng)

一。對(duì)于今后更加深入的進(jìn)行安全建設(shè)也將起到指導(dǎo)作用。

下面我們就按照上面的安全體系框架從管理和技術(shù)兩個(gè)角度，為xx政法網(wǎng)的信息共享區(qū)進(jìn)

行安全措施的規(guī)劃，并對(duì)各單位專(zhuān)網(wǎng)的安全規(guī)劃和建設(shè)提出相應(yīng)的規(guī)范和要求。

5xx政法網(wǎng)管理體系設(shè)計(jì)

前面已經(jīng)明確，安全管理是整個(gè)安全體系能否正常和高效運(yùn)轉(zhuǎn)的關(guān)鍵。對(duì)于XX政法網(wǎng)來(lái)說(shuō),

完整的管理體系更是保證整個(gè)政法網(wǎng)個(gè)系統(tǒng)之間能夠步調(diào)一致的工作，進(jìn)行對(duì)威脅的預(yù)警、及

時(shí)處理、事后審計(jì)的關(guān)鍵。

進(jìn)行一個(gè)完整的信息安全管理體系，至少包括安全組織建設(shè)、安全標(biāo)準(zhǔn)和安全制度建設(shè)和

安全運(yùn)維建設(shè)三個(gè)部分。

XX政法網(wǎng)必須建立一個(gè)以統(tǒng)一、高效的安全管理體系。XX政法各單位應(yīng)建設(shè)與政法網(wǎng)管理

體系相適應(yīng)的自身管理體系。在己有安全體系的基礎(chǔ)上，按照國(guó)家相關(guān)政策和政法網(wǎng)的要求，

完善自己已有的管理體系。

5.1政法網(wǎng)安全組織建設(shè)

要保證XX政法網(wǎng)具有一個(gè)統(tǒng)一，高效的安全管理機(jī)構(gòu)，首先將建立政法委牽頭的政法網(wǎng)信

息安全管理體系。具體組織為：

?在省政法委建立“省政法網(wǎng)信息安全領(lǐng)導(dǎo)小組'，負(fù)責(zé)全省政法網(wǎng)的信息安全領(lǐng)導(dǎo)工作。

包括：制定信息安全管理制度，監(jiān)督和指導(dǎo)各單位信息安全工作的貫徹和實(shí)施，考核

和檢查各部門(mén)的信息安全工作情況等工作。

?各市政法委設(shè)立相應(yīng)的“市政法網(wǎng)安全管理小組”，接受省安全領(lǐng)導(dǎo)小組的管理。具體

業(yè)務(wù)包括：負(fù)責(zé)本系統(tǒng)各級(jí)安全管理員的選用與監(jiān)督，監(jiān)督落實(shí)各市級(jí)單位信息安全

工作的貫徹與實(shí)施，維護(hù)本系統(tǒng)各類(lèi)安全設(shè)備的正常運(yùn)行，及時(shí)處理本系統(tǒng)各類(lèi)安全

事故，并向省安全領(lǐng)導(dǎo)小組匯報(bào)等工作。

?縣級(jí)政法委應(yīng)配置1-2名安全管理人員，安全管理員負(fù)責(zé)政法網(wǎng)信息安全方面的相關(guān)

工作。

各單位要建立能獨(dú)立承擔(dān)本單位信息安全管理的完整隊(duì)伍。并能夠與政法委的信息安全領(lǐng)

導(dǎo)小組以及各信息安全管理小組相配合，共同做好政法網(wǎng)的管理和維護(hù)工作。

?公安、法院等各大系統(tǒng)應(yīng)在各系統(tǒng)建立專(zhuān)職的省級(jí)安全管理小組，接受省政法委安全

領(lǐng)導(dǎo)小組的統(tǒng)一管理與部署，監(jiān)督落實(shí)本系統(tǒng)的安全管理工作，

?各市級(jí)單位應(yīng)建立市級(jí)安全管理小組，并配置1?2名專(zhuān)職安全管理人員，縣級(jí)應(yīng)配置

1-2名兼職安全管理人員，安全管理員負(fù)責(zé)政法網(wǎng)信息安全方面的相關(guān)工作。

5.2安全標(biāo)準(zhǔn)和制度建設(shè)

1.政法網(wǎng)安全標(biāo)準(zhǔn)和制度

安全管理制度、操作規(guī)范和流程

安全管理建設(shè)總體架構(gòu)圖

上面是XX政法網(wǎng)安全管理體系建設(shè)總體架構(gòu)圖，整個(gè)架構(gòu)有總體方針、組織體系、安全策

略、管理制度四級(jí)組成，成個(gè)架構(gòu)呈金字塔型?？傮w方針位于信息安全管理體系的第一層，是

整個(gè)組織信息安全體系的最高指導(dǎo)方針。總體方針可以體現(xiàn)為XX政法網(wǎng)對(duì)于信息安全運(yùn)維保障

體系中管理體系的總體要求和建設(shè)目標(biāo)。

安全策略體系和安全管理制度、規(guī)范及流程是安全管理體系對(duì)信息技術(shù)人員提供指導(dǎo)或要

求的標(biāo)準(zhǔn)，因此它們的建設(shè)將建立在與XX政法網(wǎng)各級(jí)信息系統(tǒng)環(huán)境密切結(jié)合的基礎(chǔ)上。

設(shè)計(jì)中招結(jié)合ISO17799的“資產(chǎn)管理"、“物理和環(huán)境安全“、”通信和操作管理“、"訪問(wèn)控制

”、“系統(tǒng)采購(gòu)、開(kāi)發(fā)與維護(hù)“、“信息安全事件管理“、“業(yè)務(wù)連續(xù)性管理“、”符合性”等要求進(jìn)行

的定義。分別對(duì)物理安全、網(wǎng)絡(luò)安全、訪問(wèn)控制環(huán)境、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、病毒

防護(hù)、安全教育、應(yīng)急恢第、帳號(hào)口令、安全審計(jì)、系統(tǒng)開(kāi)發(fā)、安全工程、風(fēng)險(xiǎn)管理等方面提

出了規(guī)范的、不同等級(jí)的安全策略要求。安全策略體系是完全從安全角度對(duì)上述安全管理機(jī)制

進(jìn)行的闡述，目的是建立用戶(hù)信息安全的“統(tǒng)一”策略管理機(jī)制，真正實(shí)現(xiàn)XX政法網(wǎng)的統(tǒng)一管理。

安全策略體系是所有安全管理制度、安全操作規(guī)范及相關(guān)流程的上層策略，從安全角度提出了

安全技術(shù)操作標(biāo)準(zhǔn)和安全管理執(zhí)行標(biāo)準(zhǔn)。安全策略的內(nèi)容一經(jīng)頒布將在一定時(shí)間內(nèi)長(zhǎng)期有效，

涉及到的所有部門(mén)或個(gè)人均須對(duì)其負(fù)責(zé)。

XX政法網(wǎng)平臺(tái)在“總體安全方針“、”信息安全組織體系“、”信息安全策略體系”的指導(dǎo)下，

結(jié)合各業(yè)務(wù)信息系統(tǒng)、各種信息技術(shù)角色的具體情況，從應(yīng)用和操作的角度對(duì)相關(guān)安全管理制

度、操作規(guī)范和流程等進(jìn)行明確的要求。安全管理制度、規(guī)范及流程是最終面對(duì)所有被管理對(duì)

象的文檔和要求，易于落實(shí)和執(zhí)行，這些安全管理制度可以以某種共同的特殊安全需求進(jìn)行制

定，如機(jī)房安全管理制度、文檔安全管理制度等，也可以按照某種角色的安全職責(zé)進(jìn)行制定，

如網(wǎng)絡(luò)管理員安全管理制度，開(kāi)發(fā)人員安全管理制度等。安全管理制度中的流程、表單記錄，

是XX電子政務(wù)網(wǎng)建立安全內(nèi)部控制體系進(jìn)行內(nèi)部審計(jì)的重要依據(jù)。

信息安全管理體系總體框架

2.各單位安全標(biāo)準(zhǔn)和制度建設(shè)

各單位應(yīng)建立與xx政法網(wǎng)相適應(yīng)的安全管理體系。在xx政法網(wǎng)的總體安全管理體系和制

度框架下，結(jié)合目前本單位已經(jīng)建立的標(biāo)準(zhǔn)和制度，進(jìn)行完善和補(bǔ)充。也要從物理安全、網(wǎng)絡(luò)

安全、訪問(wèn)控制環(huán)境、系統(tǒng)安全、應(yīng)用安全、數(shù)據(jù)安全、病毒防護(hù)、安全教育、應(yīng)急恢復(fù)、帳

號(hào)口令、安全審計(jì)、系統(tǒng)開(kāi)發(fā)、安全工程、風(fēng)險(xiǎn)管理等方面提出規(guī)范的、不同等級(jí)的安全策略

要求。安全策略的內(nèi)容一經(jīng)頒布將在一定時(shí)間內(nèi)長(zhǎng)期有效，涉及到的所有部門(mén)或個(gè)人均須對(duì)其

負(fù)責(zé)。

此項(xiàng)目工作需要在管理體系建設(shè)服務(wù)階段進(jìn)行設(shè)計(jì)，需要在長(zhǎng)期服務(wù)過(guò)程中才能逐步完善

起來(lái)，

5.3安全運(yùn)維建設(shè)

1.政法網(wǎng)安全運(yùn)維建設(shè)

運(yùn)維體系由監(jiān)控管理系統(tǒng)、運(yùn)行維護(hù)系統(tǒng)、人才培訓(xùn)系統(tǒng)三部分構(gòu)成6

監(jiān)控管理系統(tǒng)的內(nèi)容是，重點(diǎn)建設(shè)政法網(wǎng)和政法六大單位的應(yīng)用系統(tǒng)、信息資源、網(wǎng)絡(luò)系

統(tǒng)、安全系統(tǒng)、機(jī)房環(huán)境系統(tǒng)的監(jiān)控管理，確保系統(tǒng)正常運(yùn)行；

運(yùn)行維護(hù)系統(tǒng)的內(nèi)容是，建設(shè)政法網(wǎng)和政法六大單位的運(yùn)行管理和檢查監(jiān)督制度，各類(lèi)應(yīng)

用、網(wǎng)絡(luò)、安全系統(tǒng)的運(yùn)行維護(hù)、系統(tǒng)完善和提升，和應(yīng)急響應(yīng)系統(tǒng)等，

人才培訓(xùn)系統(tǒng)的建設(shè)內(nèi)容是，組織政法網(wǎng)和政法六大單位的建設(shè)和推廣應(yīng)用培訓(xùn)，組織計(jì)

算機(jī)審計(jì)初級(jí)、中級(jí)培訓(xùn)，組織應(yīng)用系統(tǒng)認(rèn)證培訓(xùn)，建設(shè)政法網(wǎng)和政法六大單位的培訓(xùn)場(chǎng)地、

設(shè)備設(shè)施：協(xié)助建設(shè)政法信息化人才培訓(xùn)體制、機(jī)制和相關(guān)組織措施，確保政法人才的信息化。

監(jiān)控管理系統(tǒng)和應(yīng)急響應(yīng)系統(tǒng)從技術(shù)上有效保障應(yīng)用系統(tǒng)、數(shù)據(jù)中心和網(wǎng)絡(luò)系統(tǒng)持續(xù)穩(wěn)定

運(yùn)行。

2.各單位安全運(yùn)維建設(shè)

各單位運(yùn)維體系由監(jiān)控管理系統(tǒng)、運(yùn)行維護(hù)系統(tǒng)、人才培訓(xùn)系統(tǒng)三部分構(gòu)成。

監(jiān)控管理系統(tǒng)的內(nèi)容是，重點(diǎn)建設(shè)各單位的應(yīng)用系統(tǒng)、信息資源、網(wǎng)絡(luò)系統(tǒng)、安全系統(tǒng)、

機(jī)房環(huán)境系統(tǒng)的監(jiān)控管理，確保系統(tǒng)正常運(yùn)行；

運(yùn)行維護(hù)系統(tǒng)的內(nèi)容是，建設(shè)各單位的運(yùn)行管理和檢簧監(jiān)督制度，各類(lèi)應(yīng)用、網(wǎng)絡(luò)、安全

系統(tǒng)的運(yùn)行維護(hù)、系統(tǒng)完善和提升，和應(yīng)急響應(yīng)系統(tǒng)等。

人才培訓(xùn)系統(tǒng)的建設(shè)內(nèi)容是，組織各單位的建設(shè)和推廣應(yīng)用培訓(xùn)，組織計(jì)算機(jī)審計(jì)初級(jí)、

中級(jí)培訓(xùn)，組織應(yīng)用系統(tǒng)認(rèn)證培訓(xùn)，建設(shè)本單位的培訓(xùn)場(chǎng)地、設(shè)備設(shè)施；協(xié)助建設(shè)政法信息化

人才培訓(xùn)體制、機(jī)制和相關(guān)組織措施，確保政法人才的信息化。

監(jiān)控管理系統(tǒng)和應(yīng)急響應(yīng)系統(tǒng)從技術(shù)上有效保障應(yīng)用系統(tǒng)、數(shù)據(jù)中心和網(wǎng)絡(luò)系統(tǒng)持續(xù)穩(wěn)定

運(yùn)行。

6xx政法網(wǎng)技術(shù)體系設(shè)計(jì)

安全防護(hù)技術(shù)體系是一個(gè)集物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、安全管理于一體

的較為完善的整體解決方案。XX政法網(wǎng)的安全防護(hù)體系分為五個(gè)系統(tǒng)10余個(gè)子系統(tǒng)。

整個(gè)安全體系的建設(shè)將以安全管理系統(tǒng)為核心，將各種異構(gòu)的安全產(chǎn)品、網(wǎng)絡(luò)設(shè)備、用戶(hù)

終端和管理員有機(jī)的連接起來(lái)，構(gòu)成一個(gè)智能的、聯(lián)動(dòng)的閉環(huán)響應(yīng)體系，

為詳細(xì)說(shuō)明各系統(tǒng)的工作原理,主要功能以及關(guān)聯(lián)關(guān)系，下面分別描述各子系統(tǒng)的方案設(shè)

計(jì)。

6.1物理/鏈路安全防護(hù)

物理與線路傳輸安全是整個(gè)系統(tǒng)安全的前提。在物理與線路傳輸安全體系設(shè)計(jì)中包括物理

環(huán)境的安全，物理線路的安全，通信鏈路的安全等。

本次工程所需各種設(shè)備均應(yīng)安裝在標(biāo)準(zhǔn)電信機(jī)房?jī)?nèi)。機(jī)房建設(shè)應(yīng)遵循GB5O173-93《電子計(jì)

算機(jī)機(jī)房設(shè)計(jì)規(guī)范》等標(biāo)準(zhǔn)建設(shè)，能夠滿足包括防雷、防水、防火、防電磁輜射等內(nèi)容的區(qū)域

保護(hù)和災(zāi)難保護(hù)。

通信信道為運(yùn)營(yíng)商提供，應(yīng)采用長(zhǎng)途環(huán)路保護(hù)、本地環(huán)路保護(hù)等手段進(jìn)行保護(hù)，同時(shí)，對(duì)

于關(guān)鍵設(shè)備，應(yīng)采取冗余保護(hù)措施，并根據(jù)具體情況，提供帶寬、端口的冗余，便于今后擴(kuò)容

升級(jí)。

政法網(wǎng)傳輸鏈路為專(zhuān)用信道，所需設(shè)備及鏈路均與公眾網(wǎng)分離，保證了與公眾網(wǎng)的隔離。

同時(shí)，應(yīng)做好備件保護(hù)、電路保護(hù)，分路保護(hù)、容錯(cuò)保護(hù)、災(zāi)難保護(hù)等措施，保護(hù)鏈路安全。

I、建設(shè)MPLSVPN專(zhuān)網(wǎng)

在xx政法網(wǎng)全網(wǎng)按照六大系統(tǒng)和信息共享系統(tǒng)，采用MPLSVPN技術(shù)進(jìn)行隔離保護(hù)。

2、建設(shè)涉密信息加密隧道

除了六大系統(tǒng)自身已經(jīng)建立的涉密信息傳輸通道以外，信息共享區(qū)也必須建立專(zhuān)用的涉密

信息加密隧道，以便于涉密信息的傳輸。其技術(shù)要求要嚴(yán)格按照國(guó)家保密局相關(guān)政策和標(biāo)準(zhǔn)制

定并建設(shè)。

3、劃分VLAN

在xx省政法網(wǎng)信息共享區(qū)的網(wǎng)絡(luò)平臺(tái)上，利用基于802.1Q協(xié)議的VLAN技術(shù)，根據(jù)信息

共享的需要，規(guī)劃VLAN,確保同一業(yè)務(wù)系統(tǒng)的主機(jī)屬于同一個(gè)VLAN,可跨交換機(jī)甚至局域

網(wǎng)進(jìn)行互訪，而不同業(yè)務(wù)系統(tǒng)VLAN之間除非明確允許，否則是不能互相訪問(wèn)的。

4、鏈路冗余

采用鏈路備份機(jī)制，對(duì)主干傳瑜鏈路提供故障切換，確保數(shù)據(jù)傳輸不中斷。

6.2網(wǎng)絡(luò)安全防護(hù)

1.訪問(wèn)控制防護(hù)設(shè)計(jì)

政法網(wǎng)的骨干網(wǎng)是整個(gè)政法網(wǎng)的核心，因此需要全面保護(hù)。應(yīng)在省骨干網(wǎng)與省級(jí)政法六大

單位網(wǎng)絡(luò)之間，以及市骨干網(wǎng)與市級(jí)政法六大單位網(wǎng)絡(luò)之間部署防火墻進(jìn)行訪問(wèn)控制。以保證

對(duì)政法網(wǎng)骨干網(wǎng)絡(luò)的安全防護(hù)。

其次，應(yīng)在政法網(wǎng)內(nèi)不同安全域之間部署防火墻系統(tǒng)，對(duì)網(wǎng)絡(luò)進(jìn)行安全訪問(wèn)控制。對(duì)于XX

政法網(wǎng)，首先需要在省、及市級(jí)信息共享區(qū)域的服務(wù)器群前部署防火墻設(shè)備。還應(yīng)視情在不同

業(yè)務(wù)間部署防火墻設(shè)備，保證共享業(yè)務(wù)間不會(huì)有越權(quán)訪問(wèn)等安全問(wèn)題。

2.安全隔離與信息交換防護(hù)設(shè)計(jì)

根據(jù)公安部、最高法、最高檢等單位的內(nèi)部政策，各系統(tǒng)行業(yè)專(zhuān)網(wǎng)不允許與其它網(wǎng)絡(luò)直接

連接，如果需要進(jìn)行數(shù)據(jù)交換，必須采用安全隔離網(wǎng)閘，以數(shù)據(jù)擺渡的方式進(jìn)行數(shù)據(jù)交換。為

解決政法網(wǎng)各大系統(tǒng)信息共享的問(wèn)題，在省委兩級(jí)政法委設(shè)立專(zhuān)門(mén)的共享平臺(tái)，通過(guò)共享平臺(tái),

以安全隔離的方式，與各系統(tǒng)專(zhuān)網(wǎng)進(jìn)行數(shù)據(jù)交換°

在政法委機(jī)房中部署共享平臺(tái)服務(wù)器群，由政法委負(fù)責(zé)維護(hù)，供各部門(mén)信息共享使用。在

公安、檢察院、法院、司法廳、安全廳5大系統(tǒng)專(zhuān)網(wǎng)邊界，設(shè)立前置服務(wù)器或前置服務(wù)器群。

前置服務(wù)器通過(guò)安全隔離網(wǎng)閘，接入到政法網(wǎng)中。各系統(tǒng)內(nèi)部專(zhuān)業(yè)系統(tǒng)口需要共享出來(lái)的數(shù)據(jù),

先傳遞到前置服務(wù)器，然后由安全隔離網(wǎng)閘擺渡到政法網(wǎng)中，并傳送到政法委的共享平臺(tái)服務(wù)

器群。各系統(tǒng)如果需要從共享平臺(tái)獲得數(shù)據(jù)，也是通過(guò)安全隔離網(wǎng)閘，從共享平臺(tái)中將數(shù)據(jù)擺

渡過(guò)來(lái)，進(jìn)行相應(yīng)處理。

采用這種方法，既能保證各行業(yè)專(zhuān)網(wǎng)的政策要求和安全規(guī)范，又能保證政法網(wǎng)及時(shí)得到相

關(guān)數(shù)據(jù)。

6.3計(jì)算區(qū)域安全防護(hù)

?網(wǎng)絡(luò)病毒防范系統(tǒng)

要求在政法網(wǎng)內(nèi)所有系統(tǒng)中所有終端安裝網(wǎng)絡(luò)防病毒系統(tǒng)。通過(guò)全面的網(wǎng)絡(luò)病毒防護(hù)，在

各級(jí)內(nèi)網(wǎng)構(gòu)建起一道最基本病毒防戲。其中政法網(wǎng)信息共享區(qū)防病毒系統(tǒng)由政法委建設(shè)并管理,

通過(guò)建立多層病毒防護(hù)體系，將病毒的威脅減小到最低：

1、網(wǎng)絡(luò)層病毒阻斷和查殺，在網(wǎng)絡(luò)邊界通過(guò)網(wǎng)關(guān)防毒系統(tǒng)進(jìn)行基于網(wǎng)絡(luò)的病毒防范和蠕蟲(chóng)

阻斷，可以在很大程度上避免蠕蟲(chóng)病毒爆發(fā)時(shí)的大流量沖擊，并將病毒和蠕蟲(chóng)消滅在傳播階段。

2、內(nèi)網(wǎng)單機(jī)全面防毒；通過(guò)在整個(gè)系統(tǒng)內(nèi)部全面部署病毒防護(hù)產(chǎn)品，查殺終端上駐留的病

毒。利用網(wǎng)絡(luò)殺毒工具強(qiáng)大的管理功能在政務(wù)網(wǎng)實(shí)現(xiàn)統(tǒng)一的防毒策略。

防病毒系統(tǒng)除必須具有高效的殺毒能例外，還必須具有的功能包括：

令殺毒策略統(tǒng)一集中配置

Q跨平臺(tái)管理

令自動(dòng)并且是強(qiáng)制升級(jí)方式

令客戶(hù)端策略強(qiáng)制鎖定

寺集中病毒報(bào)警

通過(guò)這種集中管理方式可以做到減少對(duì)客戶(hù)端人員的技術(shù)和技能要求，全網(wǎng)策略集中統(tǒng)一,

保證防殺病毒的有效性和實(shí)時(shí)性。

?主機(jī)評(píng)估與加固

政法網(wǎng)中存在大量的重要的信息資產(chǎn)，比如重要的文件服務(wù)器、重要的數(shù)據(jù)庫(kù)服務(wù)器等，

這些重要服務(wù)器所承載和存儲(chǔ)的關(guān)犍信息的完整性、保密性和可用性就變得更加重要，是政法

網(wǎng)整個(gè)信息系統(tǒng)的核心資產(chǎn)，一旦這些核心資產(chǎn)由于安全風(fēng)險(xiǎn)而被破壞、竊取，將會(huì)立即威脅

到政法網(wǎng)的各種業(yè)務(wù)，甚至引起失泄密事故，影響社會(huì)和諧。

必須建立重要主機(jī)系統(tǒng)的安全評(píng)估和加固機(jī)制，來(lái)對(duì)這些核心信息資產(chǎn)進(jìn)行重點(diǎn)防護(hù)。一

方面，在不同時(shí)期的新的安全形勢(shì)和新的業(yè)務(wù)要求下，風(fēng)險(xiǎn)評(píng)估和系統(tǒng)加固服務(wù)可以進(jìn)行主動(dòng)

的安全預(yù)警和安全防護(hù)，并對(duì)原來(lái)的安全體系和信息系統(tǒng)進(jìn)行系統(tǒng)檢查和評(píng)估，通告合理性建

議給信息管理人員，對(duì)安全體系進(jìn)行必要的調(diào)整和維護(hù)，合理配置信息系統(tǒng)；另一方面，在面

臨新的安全威脅和風(fēng)險(xiǎn)時(shí)，可以對(duì)原有安全設(shè)備的安全策略進(jìn)行評(píng)估，確認(rèn)安全策略是否符合

新的威脅和風(fēng)險(xiǎn)的抵御要求，并向信息管理人員進(jìn)行預(yù)警提示和策略修改建議。通過(guò)系統(tǒng)加固

可以及時(shí)的調(diào)整安全體系和安全策略，并對(duì)重要的服務(wù)器和主機(jī)進(jìn)行必要的系統(tǒng)維護(hù)和加固處

理，使防護(hù)系統(tǒng)持續(xù)的具備最新的抵抗安全風(fēng)險(xiǎn)的能力，使信息資產(chǎn)具備最新的免疫系統(tǒng)和基

本的自防御功能。

?內(nèi)網(wǎng)安全系統(tǒng)

內(nèi)網(wǎng)安全系統(tǒng)主要解決內(nèi)部計(jì)算環(huán)境中的安全問(wèn)題，即解決專(zhuān)網(wǎng)中主機(jī)服務(wù)器和計(jì)算機(jī)終

端這些計(jì)算設(shè)施的安全問(wèn)題。

1、在專(zhuān)網(wǎng)的各個(gè)終端部署可信終端管理系統(tǒng)，隨時(shí)監(jiān)視并控制各PC終端的操作行為和系

統(tǒng)進(jìn)程，對(duì)于違反既定的安全策略的終端操作行為進(jìn)行自動(dòng)的強(qiáng)制安全策略控制，并通知防火

墻拒絕違規(guī)終端的訪問(wèn)請(qǐng)求，杜絕違規(guī)操作。

個(gè)通過(guò)進(jìn)程管理，采用黑白名單方式，約束終端只能運(yùn)行經(jīng)過(guò)允許的應(yīng)用程序，禁

止用戶(hù)使用BT等違規(guī)軟件，防止病毒進(jìn)程在系統(tǒng)中潛伏。

6通過(guò)主機(jī)防火墻功能，對(duì)進(jìn)出主機(jī)的TCP端口進(jìn)行嚴(yán)格審計(jì)，使得外界病毒無(wú)法

傳染，主機(jī)上已經(jīng)染了病毒也無(wú)法進(jìn)行傳播。

?通過(guò)網(wǎng)絡(luò)準(zhǔn)入控制，使接入專(zhuān)網(wǎng)的計(jì)算機(jī)必須符合相應(yīng)的安全要求，通過(guò)相應(yīng)的

安全認(rèn)證，否則無(wú)法使用專(zhuān)網(wǎng)內(nèi)資源。

令與防火墻進(jìn)行聯(lián)動(dòng)，一旦發(fā)現(xiàn)終端上有不安全行為，立即通知防火墻，阻斷相應(yīng)

終端的網(wǎng)絡(luò)訪問(wèn)。

具體部署時(shí)，在每一臺(tái)內(nèi)網(wǎng)終瑞上安裝可信終端管理軟件，此軟件與操作系統(tǒng)綁定，用戶(hù)

無(wú)法卸載。所有入網(wǎng)終端，如果沒(méi)有安裝管理軟件或進(jìn)行了違規(guī)操作，都將斷掉網(wǎng)絡(luò)連接，并

通知管理服務(wù)器，記入日志。同時(shí)，為適應(yīng)安監(jiān)局專(zhuān)網(wǎng)地域廣闊、用戶(hù)分散的特點(diǎn)，在實(shí)際部

署時(shí)，每一級(jí)局域網(wǎng)部署一套可信終端管理服務(wù)器，用于本級(jí)終端的安全策略下發(fā)與審計(jì)報(bào)警。

并在國(guó)家局部署一套中心服務(wù)器，用于向各下級(jí)服務(wù)器下發(fā)總體安全策略，并收集各下級(jí)服務(wù)

器的日志，形成審計(jì)報(bào)告。

通過(guò)本系統(tǒng)的實(shí)施，一方面，可以加強(qiáng)管理員對(duì)終端系統(tǒng)的控制；另一方面，通過(guò)對(duì)終端

上病毒、蠕蟲(chóng)的多種手段的圍堵，使病毒無(wú)法在網(wǎng)絡(luò)中駐留，解決網(wǎng)絡(luò)病毒傳播問(wèn)題。

2、通過(guò)部署補(bǔ)丁管理系統(tǒng)，可以及時(shí)對(duì)終端上的軟件進(jìn)行升級(jí)，彌補(bǔ)軟件漏洞，避免被病

毒和攻擊行為利用。其功能應(yīng)包括：

補(bǔ)丁分發(fā)：補(bǔ)丁分發(fā)功能是補(bǔ)丁分發(fā)管理系統(tǒng)的核心功能。補(bǔ)丁管理服務(wù)器負(fù)責(zé)對(duì)用戶(hù)網(wǎng)

絡(luò)中的安裝了客戶(hù)端的桌面或服務(wù)齡進(jìn)行補(bǔ)丁分發(fā)與安裝。不僅包括針對(duì)于各種操作系統(tǒng)漏洞

的修補(bǔ)程序，也包括對(duì)用戶(hù)系統(tǒng)中不安全配置的修復(fù)程序，對(duì)用戶(hù)系統(tǒng)中間諜程序探測(cè)與自動(dòng)

刪除，對(duì)用戶(hù)系統(tǒng)中受阻止應(yīng)用程序的屏蔽與刪除，對(duì)用戶(hù)定制漏洞定義進(jìn)行修復(fù)的程序等。

補(bǔ)丁管理；補(bǔ)丁管理功能實(shí)現(xiàn)對(duì)補(bǔ)丁庫(kù)中的補(bǔ)丁程序進(jìn)行日常的管理與維護(hù)，包括補(bǔ)丁的

添加，補(bǔ)丁刪除，漏洞信息查詢(xún)，補(bǔ)丁信息查詢(xún)，補(bǔ)丁信息修改，自定義補(bǔ)丁等,

具體部署時(shí)，在每一臺(tái)內(nèi)網(wǎng)終瑞上安裝終端管理軟件，此軟件與操作系統(tǒng)綁定，用戶(hù)無(wú)法

隨意卸載。所有入網(wǎng)終端，如果沒(méi)有安裝管理軟件或進(jìn)行了違規(guī)操作，都將斷掉網(wǎng)絡(luò)連接，并

通知管理服務(wù)器，記入日志。同時(shí),為適應(yīng)政法網(wǎng)終端系統(tǒng)覆盅區(qū)域較廣、較分散的特點(diǎn)，在

具體部署時(shí)，省市兩級(jí)政法委機(jī)房部署補(bǔ)丁管理服務(wù)器，用于本級(jí)終端的安全策略下發(fā)與審計(jì)

報(bào)警，并收集各下級(jí)服務(wù)器的日志，形成審計(jì)報(bào)告。

3、記錄必要的漏洞信息和終端日志信息，提供給安全管理平臺(tái)，形成管理安全體系的數(shù)據(jù)

采集單位，為安全管理系統(tǒng)提供必要的分析數(shù)據(jù)。

wwvNWI

/

/.R.[m.■

g?&/二用/

?政法娶

91務(wù)4價(jià)

鼻皴政法要

為網(wǎng)安全管理平臺(tái)部署示意圖

6.4應(yīng)用安全防護(hù)

?安全認(rèn)證系統(tǒng)

政法網(wǎng)CA系統(tǒng)建設(shè)的目的是；為政法網(wǎng)將要開(kāi)展的各種信息共享業(yè)務(wù)提供統(tǒng)一的認(rèn)證體

系。

建立應(yīng)用安全體系的總體思路是：在政法網(wǎng)的橫向業(yè)務(wù)系統(tǒng)中根據(jù)系統(tǒng)的統(tǒng)一規(guī)劃，建立

CA認(rèn)證中心，作為整個(gè)政法網(wǎng)絡(luò)體系的基礎(chǔ)信任設(shè)施，以實(shí)現(xiàn)數(shù)字證書(shū)的受理、發(fā)放、更新與

廢止；同時(shí)，建立直接服務(wù)于各個(gè)應(yīng)用系統(tǒng)的統(tǒng)一認(rèn)證及授權(quán)管理系統(tǒng)，實(shí)現(xiàn)基于數(shù)字證書(shū)的

各項(xiàng)安全應(yīng)用功能，為各個(gè)應(yīng)用系統(tǒng)直接提供可信認(rèn)證、完整性保護(hù)、訪問(wèn)控制、單點(diǎn)登錄、

權(quán)限管理等基本安全服務(wù)，進(jìn)行實(shí)現(xiàn)各類(lèi)應(yīng)用系統(tǒng)的安全互聯(lián)互通、安全信息共享、安全應(yīng)用

整合，其總體邏輯結(jié)構(gòu)框架圖如下：

安全認(rèn)證系統(tǒng)邏輯結(jié)構(gòu)框架圖

建議XX政法網(wǎng)建立構(gòu)筑于統(tǒng)一的CA認(rèn)證中心。不僅負(fù)責(zé)信息共享區(qū)域的CA認(rèn)證，還將

同一為政法六大系統(tǒng)建立統(tǒng)一的身分認(rèn)證體系。整個(gè)PKI系統(tǒng)可分為三層，包括CA、RAxLRA

(LocalRA)。CA這一級(jí)由xx省CA中心統(tǒng)一建設(shè)，對(duì)于政法網(wǎng)而言，只需要根據(jù)自身情況建

立RA和LRA。結(jié)合政法系統(tǒng)的信息系統(tǒng)建設(shè)情況，在省政法網(wǎng)中心部署RA中心，各市級(jí)政法

網(wǎng)中心部署RA分中心，在省級(jí)政法各單位以及地市政法各單位部署LRA受理點(diǎn)。其關(guān)系示意圖

如下：

RA中心由注冊(cè)服務(wù)器、管理終端計(jì)算機(jī)和業(yè)務(wù)終端計(jì)算機(jī)組成。將它們部署在各單位網(wǎng)絡(luò)

中心的安全管理區(qū)，注冊(cè)服務(wù)器經(jīng)過(guò)加密機(jī)進(jìn)行數(shù)據(jù)加密后與政法網(wǎng)中心的CA系統(tǒng)進(jìn)行安全

通訊。RA作為CA認(rèn)證體系中的一部分，能夠直接從xx省中心那里繼承CA認(rèn)證的合法性。

根據(jù)CA中心制定的政策和管理規(guī)范的規(guī)定對(duì)證書(shū)申請(qǐng)者提交的身份信息進(jìn)行審查，以決定是

否為用戶(hù)發(fā)放證書(shū)，并向CA中心提交證書(shū)申請(qǐng)為用戶(hù)簽發(fā)證書(shū)，根據(jù)CA中心簽發(fā)的證書(shū)配

置證書(shū)載體，分發(fā)給證書(shū)申請(qǐng)者。

各省級(jí)政法單位以及地市政法單位LRA證書(shū)受理點(diǎn)，使用PC機(jī)作為操作終端，連接訪問(wèn)

到RA中心服務(wù)器，是為用戶(hù)提供證書(shū)申請(qǐng)服務(wù)的受理窗口。由此，負(fù)責(zé)接收用戶(hù)的證書(shū)申請(qǐng)

請(qǐng)求，對(duì)用戶(hù)提交的資料進(jìn)行初級(jí)審核，并將資料提交到相應(yīng)的注冊(cè)審核RA中心。

?入侵檢測(cè)系統(tǒng)

入侵檢測(cè)系統(tǒng)是防火墻技術(shù)的補(bǔ)充，作為網(wǎng)絡(luò)安全體系的第二道防線，對(duì)在防火墻系統(tǒng)阻

斷攻擊失敗時(shí)，可以最大限度地減少相應(yīng)的損失。IDS也可以與防火墻等安全產(chǎn)品進(jìn)行聯(lián)動(dòng)，

實(shí)現(xiàn)動(dòng)態(tài)的安全維護(hù)。此外，IDS是安全管理與風(fēng)險(xiǎn)管理中重要的數(shù)據(jù)與信息來(lái)源，可以為安

全管理平臺(tái)提供重要的網(wǎng)絡(luò)安全狀態(tài)信息。

本次部署的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)位于省市兩級(jí)6大系統(tǒng)的中心機(jī)房中，中心機(jī)房核心網(wǎng)絡(luò)區(qū)

域，并接在其核心交換機(jī)的鏡像端口上°通過(guò)實(shí)時(shí)偵聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授

權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試,°當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)

安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶(hù)自定義的安全策略（例如與防火墻

建立聯(lián)動(dòng)）等。同時(shí)，入侵檢測(cè)系統(tǒng)還可以形象地重現(xiàn)操作的過(guò)程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)

絡(luò)安全的隱患。為安全管理平臺(tái)提供必要的可供分析的數(shù)據(jù)。

入侵檢測(cè)系統(tǒng)所需具備的功能包括：

1、防范網(wǎng)絡(luò)攻擊事件；正如入侵檢測(cè)系統(tǒng)的安全策略中描述的，針對(duì)數(shù)據(jù)中心區(qū)域和網(wǎng)絡(luò)

邊界區(qū)域，入侵檢測(cè)系統(tǒng)采用細(xì)粒度檢測(cè)技術(shù)，協(xié)議分析技術(shù)，誤用檢測(cè)技術(shù)，協(xié)議異常檢測(cè),

可有效防止各種攻擊和欺騙。并且還能夠通過(guò)策略編輯器中的用戶(hù)自定義功能定制針對(duì)網(wǎng)絡(luò)中

各種TCP/IP協(xié)議的網(wǎng)絡(luò)事件監(jiān)控；

2、防范拒絕服務(wù)攻擊：入侵檢測(cè)系統(tǒng)在防火墻進(jìn)行邊界防范的基礎(chǔ)上，能夠應(yīng)付各種SNA

類(lèi)型和應(yīng)用層的強(qiáng)力攻擊行為，包括消耗目的端各種資源如網(wǎng)絡(luò)帶寬、系統(tǒng)性能等攻擊。主要防

范的攻擊類(lèi)型有TCPFlood,UDPFlood,PingAbuse等；

3、防范預(yù)探測(cè)攻擊：部署在數(shù)據(jù)中心區(qū)域和網(wǎng)絡(luò)邊界區(qū)域的入侵檢測(cè)系統(tǒng)，能夠很好的防

范各種SNA類(lèi)型和應(yīng)用層的預(yù)探測(cè)攻擊行為。主要防范的攻擊類(lèi)型有TCPSYNScan,TCPACK

Scan,PingSweep,TCPFINScan等：

4、防范內(nèi)部攻擊：對(duì)于局域網(wǎng)而言，內(nèi)部人員自身對(duì)網(wǎng)絡(luò)擁有相當(dāng)?shù)脑L問(wèn)權(quán)限，因此對(duì)比

外部攻擊者，對(duì)資產(chǎn)發(fā)起攻擊的成功概率更高。雖然在網(wǎng)絡(luò)邊界部署防火墻，防范外部攻擊者

滲透到網(wǎng)絡(luò)中，但是對(duì)內(nèi)部員工的控制規(guī)則是相對(duì)寬松的，入侵檢測(cè)系統(tǒng)通過(guò)對(duì)訪問(wèn)數(shù)據(jù)包的

細(xì)化檢測(cè)，在防火燔邊界防護(hù)的基礎(chǔ)上，更好地發(fā)覺(jué)內(nèi)部員工的攻擊行為；

5、加密通信中的數(shù)據(jù)也可能含有攻擊信息，利用入侵檢測(cè)系統(tǒng)對(duì)加空數(shù)據(jù)進(jìn)行解包、檢測(cè),

是技術(shù)發(fā)展的趨勢(shì)，也是目前解決此類(lèi)問(wèn)題的最佳方案。

?信息審計(jì)子系統(tǒng)

在主機(jī)服務(wù)器上部署主機(jī)傳感器程序（審計(jì)客戶(hù)端程序），負(fù)責(zé)實(shí)現(xiàn)審計(jì)系統(tǒng)中主機(jī)審計(jì)的

功能；在系統(tǒng)的核心交換機(jī)上部署網(wǎng)絡(luò)傳感器，通過(guò)旁路偵聽(tīng)方式實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)和數(shù)據(jù)庫(kù)審計(jì)

功能。

審計(jì)系統(tǒng)要實(shí)現(xiàn)如下功能：

?輸入輸出設(shè)備審計(jì)與監(jiān)控

e文件訪問(wèn)的審計(jì)

令打印行為的審計(jì)與監(jiān)控

?非法外聯(lián)行為的審計(jì)與監(jiān)控

。非法內(nèi)聯(lián)的審計(jì)與監(jiān)控

令I(lǐng)P地址使用的監(jiān)控

?進(jìn)程管理的審計(jì)記錄

。網(wǎng)絡(luò)連接的審計(jì)與控制

令網(wǎng)絡(luò)入侵行為的審計(jì)與檢測(cè)

o數(shù)據(jù)庫(kù)非法訪問(wèn)的審計(jì)與監(jiān)控

令應(yīng)用系統(tǒng)審計(jì)

?漏洞掃描系統(tǒng)

在政法網(wǎng)省、市級(jí)骨干網(wǎng)絡(luò)中必須部署先進(jìn)的漏洞掃描系統(tǒng)，以實(shí)現(xiàn)對(duì)骨干網(wǎng)絡(luò)的漏洞及

時(shí)發(fā)現(xiàn)和加固。

在實(shí)際的安全事件中，網(wǎng)絡(luò)攻擊一般都是利用系統(tǒng)中的漏洞來(lái)實(shí)施入侵行為的。為充分保

障這些信息系統(tǒng)安全中的脆弱點(diǎn)，通過(guò)部署漏洞掃描系統(tǒng)，在政法網(wǎng)中建立系統(tǒng)安全弱點(diǎn)評(píng)估

系統(tǒng)，定期對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行系統(tǒng)掃描、弱點(diǎn)評(píng)估，評(píng)估對(duì)象包括主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫(kù)系統(tǒng)

及應(yīng)用系統(tǒng)（如WEB）。對(duì)重要的網(wǎng)段和網(wǎng)絡(luò)中的重要資源及關(guān)犍服務(wù)器還應(yīng)該增加掃描的頻

率。要從網(wǎng)絡(luò)各個(gè)典型位置（如邊界外部、專(zhuān)網(wǎng)等）對(duì)系統(tǒng)進(jìn)行評(píng)估和掃描。

利用漏洞掃描系統(tǒng)可集中找出當(dāng)前網(wǎng)絡(luò)中的安全漏洞，包括各個(gè)系統(tǒng)、設(shè)備及服務(wù)的漏洞,

了解漏洞內(nèi)容，使管理員不需要花費(fèi)巨大的精力去逐項(xiàng)核查每個(gè)可能存在的安全隱患?？梢蕴?/p>

供全面的風(fēng)險(xiǎn)評(píng)估報(bào)告和修正報(bào)告,包括對(duì)掃描所槍測(cè)出來(lái)的安全漏洞描述，并提供相應(yīng)的修

正方法及補(bǔ)丁下載網(wǎng)址，進(jìn)而減少政法網(wǎng)系統(tǒng)漏洞，降低風(fēng)險(xiǎn)指數(shù)。

漏洞掃描系統(tǒng)可以采用固定式和移動(dòng)式相結(jié)合的方式部署，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的無(wú)縫覆蓋。

6.5安全管理中心建設(shè)

XX政法網(wǎng)系統(tǒng)工程進(jìn)行安全建設(shè)后，將出現(xiàn)有多個(gè)廠商、數(shù)量眾多的安全設(shè)備和安全系統(tǒng)。

管理員需要學(xué)習(xí)每種安全設(shè)備的使用方式，并時(shí)時(shí)巡視每臺(tái)設(shè)備的運(yùn)行情況和報(bào)警情況。管理

員管理負(fù)擔(dān)越來(lái)越重，無(wú)從掌控全局的安全狀況，很難保證整個(gè)網(wǎng)絡(luò)環(huán)境的安全性。

同時(shí)，大量安全設(shè)備和安全系統(tǒng)的運(yùn)行產(chǎn)生海量的安全事件，管理員如何有效的查找