网络安全考核文档之3:晋城市统计局网络安全规划书

【摘   要】为统计系统建立一套安全可行的网络规划设计，以保障统计业务的开展；根据统计业务的需求，进行安全规划和网络产品的选型，从IP分配、防火墙配置、NAT转换及入侵检测各方面定制安全策略，以规避恶意攻击所造成的系统风险。

【关键词】网络构架；安全规划；防火墙；安全策略

    网络的发展给社会带来了革命性的改变，各企事业单位正努力利用它来提高服务效率和质量。在享受网络带来的方便与快捷的同时，也要面对网络开放带来的数据安全的新挑战和新危险———职工的安全访问以及保护单位的机密信息不受黑客和间谍的入侵。保障数据的安全以及客户的机密，是保障系统安全运行的第一要任。

　　一、功能需求、网络构架

　　在整个统计业务流程中我们根据功能需求，将网络分为内网和外网两部分：外网负责与外部网络进行数据交换；内网包括数据库系统及各种应用软件，负责数据处理；内网与外部网络间设置防火墙。

　　二、网络安全规划

　　（一）计算机系统安全级别

　　网络安全从本质上讲就是网络上的信息安全。计算机网络是由一个一个计算机系统节点组成，每个节点是影响整个网络安全的重要环节。

统计网络系统应保护统计数据和统计信息的安全；对存取数据权限的传播进行控制；确保数据非授权用户无法访问；对用户进行多级授权。

　　（二）与外网数据交换安全规划

　　统计网络系统的外网采用一台防火墙作为外网和互联网的隔离设备，通过访问控制实现：只允许互联网用户访问专用数据交换PC平台和浏览统计信息网；对非法用户进行过滤,避免非法用户通过数据交换平台对内网访问。为了防止其它外网用户通过拨号进入内部网络，采用CISCO接入路由器的RFC安全标准，更好的保护了内部的网络。

　　（三）安全产品选型

　　网络防火墙技术是一种用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，保护内部网络操作环境的特殊网络互联设备。它对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查，以决定网络之间的通信是否被允许，同时监视网络运行状态。

　　目前的防火墙产品主要有堡垒主机、包过滤路由器、应用层网关(代理服务器)以及电路层网关、屏蔽主机防火墙、双宿主机等类型。

　　包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术。包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全。但它的缺陷也是明显的,只能根据数据包的来源、目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入。

　　代理型防火墙也可被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展。代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效。其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。

　　监测型防火墙是新一代的产品, 不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品。它能对各层的数据进行主动的、实时的监测,在对这些数据加以分析的基础上有效地判断出各层中的非法侵入,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用。其缺点是实现成本较高,不易管理。所以目前在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙。

　　考虑到统计网络系统的安全性需求和成本因素，应选用综合性网络防火墙，外网采用包过滤及地址转换为主的防火墙；辅助于监测型技术，以减少成本，提高安全性需求。

　　三、安全策略定制

　　（一）网络IP地址的分配

　　IP地址规划是TCP/IP网络规划中极其重要的组成部分。在网络系统安装调试前要调查用户需求，并以此做好IP地址规划和子网划分工作。

　　以统计网络系统为例。根据其目前的网络规模以及今后预期网络发展方向，采用NIC（国际网络信息中心）定义的Internet保留IP地址中的C类网段IP地址作为内、外网私有IP地址。

　　内网采用总行网络总中心分配的IP网段10.14.5.0，每个子网最多有254台主机。

　　10.14.5.0＝Network address 

    255．255．255．0＝Subnet Mask

　　（二）防火墙的关键配置

　　防火墙

　　对内以太网端口eth1:类型10/100M baseT；IP地址10.14.5.250 掩码255.255.255.0

　　对外以太网端口eth0:类型10/100M baseT；IP地址221.131.43.234  掩码255.255.255.248

包过滤

　　包过滤技术为防火墙提供最基本的安全保障，包过滤为所有进出网络的数据提供一个有用的阻塞点，通常在正常数据包通过时，他表现得同普通路由器一样，只有有些地址被禁入或禁出时，才表现出与普通路由器的不同。

　　包过滤技术可以允许或拒绝某些地址的数据包通过防火墙进入网络。对包过滤规则的设定依据有：数据包的源端，目的端地址；数据包的传送协议；每个包使用的端口；数据包的传输方向；数据包通过的网络接口；数据包通过的时间；用户身份是否通过认证。

　　（三）地址转换NAT

　　网络地址转换技术（Network Address Translation）的基本实现方法是进行IP地址的映射和端口转换。网络地址转换与包过滤一起使用，能起到更好的安全保障。

　　入侵监测

　　入侵监测（IDS）作为一种主动的安全防御技术，通过分析网络数据流实时发现和跟踪网络攻击和违规活动，对网络进行实时监测，提供对外部攻击、内部攻击、误操作的主动保护，是一个完整的安全体系中不可缺少的组成部分。通过对网络层、应用层的监测能够处理一些攻击及探测，如网络层的IP Fragment、ICMP Smurf攻击、端口扫描等；应用层ActiveX，JA?鄄VA，Cookies，JAVASCRIPT侵入等。

　　四、总结

　　网络安全是一个庞大而复杂的工程，安全和反安全就像矛盾的两个方面，总是不断攀升，所以网络安全也会随着新技术的产生而不断发展。是未来全世界电子化、信息化所共同面临的问题。