網(wǎng)絡(luò)安全解決方案(詳細方案)

建立云桌面

云桌面對員工使用的是主機統(tǒng)一管理。根據(jù)級別劃定操作權(quán)限，規(guī)定資料可否拷貝帶走。病毒查殺和防范，改散養(yǎng)式為集中管理，統(tǒng)一防范、統(tǒng)一殺毒、統(tǒng)一升級。集中管理主機，避免個人誤操作致電腦崩潰。

云桌面是由云臺主機和云終端組成。云臺主機的存在，使用者就不需自配備電腦主機，而是大家共用主機。云終端由軟硬兩部分組成，硬件類似固話機大小，鼠標和鍵盤鏈接上面。軟件是統(tǒng)一登陸系統(tǒng)，輸入賬號和密碼即可登陸云臺。

也是sohomo,smartoffice,homeoffice,mobileoffice智能辦公、家庭辦公，移動辦公的一部分。

組建安全網(wǎng)關(guān)辦公網(wǎng)絡(luò)

安全網(wǎng)關(guān)是利用硬設(shè)備和相應(yīng)軟件，消除和防范網(wǎng)絡(luò)病毒。對惡意網(wǎng)站的自動過濾，防止Dos攻擊和IPS入侵，對蠕蟲病毒、郵件的檢測和防范，對虛擬網(wǎng)絡(luò)的保護，強大防火墻作用。

電腦訪問互聯(lián)網(wǎng)經(jīng)過安全網(wǎng)關(guān)強制隔離。原理是利用安全網(wǎng)關(guān)接入外網(wǎng)，路由器接入到安全網(wǎng)關(guān)上面，電腦通過路由器上網(wǎng)。企業(yè)內(nèi)部計算機資源與互聯(lián)網(wǎng)的互通被安全網(wǎng)關(guān)區(qū)隔。

網(wǎng)絡(luò)安全解決方案(電子政務(wù)方面)

一、前言

隨著計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)的快速發(fā)展，基于網(wǎng)絡(luò)的應(yīng)用已無孔不入地滲透到了社會的每一個角落，信息網(wǎng)絡(luò)技術(shù)是一把雙刃劍，它在促進國民經(jīng)濟建設(shè)、豐富人民物質(zhì)文化生活的同時，也對傳統(tǒng)的國家安全體系、政府安全體系、企業(yè)安全體系提出了嚴峻的挑戰(zhàn)，使得國家的機密、政府敏感信息、企業(yè)商業(yè)機密、企業(yè)生產(chǎn)運行等面臨巨大的安全威脅。

政府各部門信息化基礎(chǔ)設(shè)施相對完善，信息化建設(shè)總體上處于較高水。由于政務(wù)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全性與穩(wěn)定性的特殊要求，建立電子政務(wù)網(wǎng)安全整體防護體系，制定恰當?shù)陌踩�策略，加強安全管理，提高電子政�?wù)網(wǎng)的安全保障能力，是當前迫在眉睫的大事。

本文以一個廳局級單位的網(wǎng)絡(luò)為例，分析其面臨的威脅，指出了部署安全防護的總體策略，探討了安全防護的技術(shù)措施。

二、網(wǎng)絡(luò)安全威脅分析

政府各部門的信息網(wǎng)絡(luò)一般分為：涉密網(wǎng)、非涉密內(nèi)網(wǎng)、外網(wǎng)，按照國家保密局要求，涉密網(wǎng)與外網(wǎng)物理斷開。大部分單位建設(shè)有非涉密內(nèi)網(wǎng)和外網(wǎng)。以某局級單位的內(nèi)網(wǎng)為例，分析其潛在安全威脅如下：

局級政務(wù)網(wǎng)上與市政務(wù)網(wǎng)相聯(lián)，下與區(qū)屬局級單位相聯(lián);在本局大樓內(nèi)，聯(lián)接各處室、網(wǎng)絡(luò)中心、業(yè)務(wù)窗口、行政服務(wù)中心等部門;對外還直接或間接地聯(lián)到Internet。由于網(wǎng)絡(luò)結(jié)構(gòu)比較復雜，連接的部門多，使用人員多，并且存在各種異構(gòu)設(shè)備、多種應(yīng)用系統(tǒng)，因此政務(wù)網(wǎng)絡(luò)上存在的潛在安全威脅非常之大。

如果從威脅來源渠道的角度來看，有來自Internet的安全威脅、來自內(nèi)部的安全威脅，有有意的人為安全威脅、有無意的人為安全威脅。

如果從安全威脅種類的角度來看，有黑客攻擊、病毒侵害、木馬、惡意代碼、拒絕服務(wù)、后門、信息外泄、信息丟失、信息篡改、資源占用等。

安全威脅種類示意圖如下：

如果依據(jù)網(wǎng)絡(luò)的理論模型進行分析，有物理安全風險、鏈路傳輸安全風險、網(wǎng)絡(luò)互聯(lián)安全風險、系統(tǒng)安全風險、應(yīng)用安全風險、以及管理安全風險。

如下圖所示：

三、總體策略

信息系統(tǒng)安全體系覆蓋通信臺、網(wǎng)絡(luò)臺、系統(tǒng)臺、應(yīng)用臺，覆蓋網(wǎng)絡(luò)的各個層面，覆蓋各項安全功能，是一個多維度全方位的安全結(jié)構(gòu)模型。安全體系的建立，應(yīng)從設(shè)施、技術(shù)到管理整個經(jīng)營運作體系進行通盤考慮，因此必須以系統(tǒng)工程的方法進行設(shè)計。

從目前安全技術(shù)的總體發(fā)展水與諸種因素情況來看，絕對安全是不可能的，需要在系統(tǒng)的可用性和性能、投資以及安全保障程度之間形成一定的衡，通過相應(yīng)安全措施的實施把風險降低到可接受的程度。

廳局級單位的網(wǎng)絡(luò)安全體系設(shè)計本著：適度集中，分散風險，突出重點，分級保護的總體策略。

根據(jù)中辦發(fā)[2003]27號文件精神，政府部門安全防護的總體策略是：

1、實行信息安全等級保護：根據(jù)系統(tǒng)中業(yè)務(wù)的重要性進行分區(qū)，所有系統(tǒng)都必須置于相應(yīng)的安全區(qū)內(nèi);對重點區(qū)域進行重點防護;采用不同強度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護，關(guān)鍵是將網(wǎng)絡(luò)中心與廣域網(wǎng)系統(tǒng)等實行有效安全隔離，隔離強度應(yīng)接或達到物理隔離;

2、建設(shè)和完善信息安全監(jiān)控體系;

3、建立信息安全應(yīng)急響應(yīng)機制;

4、加快信息安全人才培養(yǎng)，增強公務(wù)人員信息安全意識;

5、加強對信息安全保障工作的領(lǐng)導，建立健全信息安全管理責任制。

四、主要技術(shù)措施

針對不同的安全風險種類，相應(yīng)的技術(shù)措施如下表：

五、部署方案簡述

本方案針對局級政務(wù)內(nèi)網(wǎng)和外網(wǎng)進行整體安全設(shè)計。政務(wù)外網(wǎng)主要提供對社會公眾的信息發(fā)布臺，可以通過邏輯隔離設(shè)備聯(lián)入互聯(lián)網(wǎng)，政務(wù)內(nèi)網(wǎng)主要運行政務(wù)網(wǎng)內(nèi)部公文等OA系統(tǒng)，縱向與上級單位和下級單位網(wǎng)絡(luò)相連，橫向通過物理隔離設(shè)備與政務(wù)外網(wǎng)相連。

在內(nèi)部網(wǎng)絡(luò)中，大量的工作站是病毒進行攻擊的主要目標之一。由于各工作站在日常工作中進行頻繁的郵件收發(fā)、數(shù)據(jù)傳輸拷貝、應(yīng)用軟件執(zhí)行等操作，再加之內(nèi)部人員上網(wǎng)瀏覽、下載程序及利用軟盤、光盤進行文件復制等，使得病毒感染的可能性極大。當前的病毒傳染現(xiàn)狀是，一旦一臺工作站染毒，則會很快蔓延至整個網(wǎng)絡(luò)范圍，造成業(yè)務(wù)系統(tǒng)及辦公網(wǎng)絡(luò)的極大損害。因此，應(yīng)在所有的工作站上部署客戶端防病毒產(chǎn)品。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過單點控制所有客戶機上的防毒模塊，并可以自動對所有客戶端的防毒模塊進行更新。其最大特點是擁有最靈活的產(chǎn)品集中部署方式，不受Windows域管理模式的約束，除支持SMS、登錄域腳本、共享安裝以外，還支持純Web的部署方式，可以在安裝時設(shè)定的防病毒策略下，自動地進行日常所有的防毒、殺毒、更新、升級工作，極大地方便了管理員的操作，并提供最為及時有效的病毒防范機制。