行政审批电子监察系统网络安全部署方案
行政审批电子监察系统网络平安部署方案 - 行政电子监察系统 网络平安部署方案 联想网御科技〔北京〕 Lenovo Security Technologies Inc ************************************ 蒋 帅 15808822445 (0871)3159415 Mail:jiangshuai@leadsec. Msn:js6417807@hotmail. QQ:36170955 ************************************ 防火墙、入侵检测、UTM、防病毒、IPS、平安隔离网闸、、内网平安管理〔桌面终端、补丁、文件保密管理〕、平安审计、应用平安管理、异常流量管理 ******************************** 联想网御科技〔北京〕是在联想控股公司下成立的从事信息平安业务的子公司,是国内信息平安行业的领军企业,专业从事信息平安产品的研发、消费与销售,为用户信息系统提供等级化的整体平安解决方案及专业平安效劳CONFIDENTIAL----- 本文件载有机密信息,请您遵守保密义务,勿向第三人透露,谢谢合作 202___年三月 - 1 - 目 录 一、 行政电子监察系统简介 .................................................................................................................. - 3 - 二、 网络平安简要部署方案 .................................................................................................................. - 4 - 2.1. 在外网效劳器区前部署联想网御UTM平安网关 ................................................................... - 4 - 2.1.1. 外网网络平安风险与需求 .............................................................................................. - 4 - 2.1.2. 联想网御UTM平安网关部署说明 ............................................................................... - 5 - 2.1.3. 联想网御UTM产品功能特点 ....................................................................................... - 6 - 2.2. 在内、外网之间部署联想网御平安隔离与信息交换系统 ...................................................... - 7 - 2.2.1. 联想网御平安隔离与信息交换系统部署说明 .............................................................. - 7 - 2.2.2. 联想网御平安隔离与信息交换系统产品功能特点 ...................................................... - 9 - 2.3. 部署效果 .................................................................................................................................... - 13 - 2.3.1. 2—7层的全硬件保护 ................................................................................................... - 13 - 2.3.2. 应用层的高度平安防护和过滤 .................................................................................... - 13 - 2.3.3. 双重的病毒和蠕虫防护 ................................................................................................ - 13 - - 2 - 一、 行政电子监察系统简介 行政电子监察系统一般以“两横两纵”系统架构形式建立,见下列图: 两横两纵: 第一横是指市级监察中心横向对市级部门的审批行为进展监察; 第二横是指各区监察中心横向对区级部门审批行为进展监察; 第一纵是指市级监察中心与各区级监察中心之间建立数据集中和垂直监管关系; 第二纵是指市级部门对各区级对口部门审批行为进展垂直监管。
系统建立主要包括监察平台、审批平台、数据交换平台三个方面的建立行政审批系统是以《行政答应法》为标准,以政府详细、典型行政审批业务为导向,以“便民效劳”思想为灵魂进展设计该系统包括中心内网的应用和中心外网的应用两大局部 内网应用的主要包括办公自动化系统、审批系统、短消息效劳、触摸屏、系统接口等几局部应用办理业务的企业和人员可以通过中心LED、中心触摸屏理解相关资料信息 外网应用的主要包括外网网站,办理业务的企业和人员可以通过网站门户查询办件信息和进展网上申请 - 3 - 二、 网络平安简要部署方案 网络平安部署示意图如下: 2.1. 在外网效劳器区前部署联想网御UTM平安网关 2.1.1. 外网网络平安风险与需求 外网效劳器区主要面临黑客攻击、数据被窃听、假冒、盗取、篡改、病毒入侵、越权访问等网络平安风险,随着红色代码、Nimda等有里程碑式的病毒出现,改写了病毒形态和病毒的历史,病毒已经不再只具有破坏力新的病毒已经成为黑客的攻击和入侵手段,借助病毒的传播方式,黑客们可以轻易地窃取网络中的敏感数据和信息黑客程序、木马、病毒已经有机地结合起来,使之成为黑客攻击的新工具同时,木马、病毒等恶意程序也经常通过邮件、恶意的Web网页〔或者被篡改的Web网页〕、文件下载等传播途径使得病毒的危害范围和扩散速度加大。
这些都给传统的平安设备带来新的挑战 一些老式的防火墙不具备内容检测的才能,不具备检测新型的混合攻击的才能较新的深度检测防- 4 - 火墙往往在分片的数据包前一筹莫展,所以传统的防火墙不具备完备的内容检测才能,无法做到内容平安过滤IDS设备虽然可以检测网络中的攻击,但是它不能对攻击行为进展有效的防御和阻断,IDS的大量误报也使得管理员难以从大量的日志中找出有价值的信息桌面防病毒软件防护对象是终端,往往需要使用者的对操作系统和其软件都有较高的操作程度,并且防病毒软件往往会限制用户一些正常操作,为了打破限制用户会不得不关闭防毒软件,这些都使得防病毒软件施行的效果受到了很大的影响,所以不能保障网络的平安随着混合攻击的出现,为了减少平安隐患,用户可能还需要进一步安置网络平安设备随之带来的问题是用户对网络平安的管理本钱以及运营本钱会越来越高,因为一个设备都需要管理和维护另外,在网路中添加很多平安设备也会使得网络延迟增大、用效率降低由于各个设备输出的报表和日志格式不同,对平安事件的分析^p 过程也会变得更加复杂,用户也难以沉着地发现和解决网络中的问题 外网边界主要平安防护重点包括: 1) 需要保证外网用户对门户网站或内部网络重点效劳器不受来自广域网的攻击。
同时要保证只有合法身份的人,才能访问到那些允许他访问的敏感信息,对所有访问信息的数据内容进展过滤和控制 2) 用户越权、非法访问是同业互联边界上不可无视的平安风险对业务数据的越权、非法访问将直接威胁到互联双方业务数据的机密性和完好性,因此,必须保证业务互联双方访问的合法性,在业务互联边界上控制对各自互联单位的越权访问,对于来自互联单位的越权访问采取强迫性的控制措施由于业务受理平台会在Inter上直接开放效劳,而平台内部又包含了敏感的信息,因此一定会受到各种方式的攻击这些攻击一旦得逞,所造成的损失可能不仅仅是效劳的瘫痪,更可能造成敏感信息被读取甚至被篡改或者丧失 3) 网关防病毒:通过网络传播途径,木马、病毒等恶意程序的危害范围和扩散速度出现了爆炸性的增长那么需要对外部效劳器区进展网关病毒过滤与拦截 2.1.2. 联想网御UTM平安网关部署说明 在外网效劳器区前部署联想网御多功能平安网关〔UTM〕:一台设备即可实现防火墙、、防病毒、入侵防御、防垃圾邮件、网页过滤等多种设备的功能,增强平安防护才能,不仅降低了设备本钱,还降低了管理本钱,兼顾了投资和整体平安的平衡 通过该系统可以有效的控制内部用户、外部用户的互相访问。
抵御来自Inter上的各种DOS、DDOS等攻击行为,还可以控制内部网络与Inter之间的各种P2P软件的应用,保障用户出口带宽的合理化使用在采用UTM系统时,除了进展访问控制之外还可以实现数据加密、防病毒、内容过滤、- 5 - 第 8 页 共 8 页。
