XX电子政务网络工程数据系统建设项目技术方案.docx

《XX电子政务网络工程数据系统建设项目技术方案.docx》由会员分享，可在线阅读，更多相关《XX电子政务网络工程数据系统建设项目技术方案.docx（42页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、XX电子政务网络工程数据系统建设项目技术方案网络工程数据系统建设项目第一部分技术方案建议书深圳XXX科技有限公司二。二二年H-月第2章网络系统建设方案2.1 网络系统概述XXX电子政务网络分为内、外网，内、外网之间物理隔离，外网与公众互联网通过防火墙实现逻辑隔离，如下图所示。内网、外网与Internet关系示意图XXX电子政务网络内网（下简称内网）：要紧用于传送电子公文、 与不适合通过外网传输的信息，如：政务信息、财务数据、视频会议 等。连接范围为省、市、县（区）级及有关职能部门，与因需要接入 的企事业单位。XXX电子政务网络外网（下列简称外网）：是电子政务网络对外 的窗口，与互联网通过网络安

2、全系统逻辑相连，对外提供一些网上服 务，如受理申请、审批等；同时也是办公人员与外面进行信息交流的 通道。连接范围为省、市、县（区）级及有关职能部门，与因需要接 入的企事业单位。XXX电子政务网络的内网与外网、内网与Internet之间均完全物理隔离，确保内网传输数据的绝对安全。2.2 网络传输链路传输链路要求为了实现网络节点高速互连的目标，要求能够提供高带宽、高性 能，高可靠性传输链路，所选传输链路应满足下列要求： 符合项目建设原则，使用目前主流的网络线路； 覆盖范围到达本次项目的所有节点 具有方便、灵活有效的扩容能力； 具有高带宽，所提供的带宽能够满足用户的当前需求； 具有高可靠性，网络骨干

3、网具有故障情况下的自动自愈能力; 具有高质量，误码率低，可实现低时延，高吞吐量； 同时提供对数据、语音与视频综合业务的良好支持能力。2.2.1 传输链路设计XXX电子政务网络工程是要建设一个专用网络，综合比较网络 的功能、性能、安全性、保密性、可靠性、可用性、初装与运行费用、 技术要求强度等因素，因此，我们选择了租用中国电信/移动/联通的 成熟专网络链路作为要紧的传输线路。2.3 网络结构设计国家电子政务体系的网络基础架构从整体上来就说是三网合一, 即政务内网、政务外网与公众外网（Internet）在确保安全的前提下 互联互通。内网即内部的办公局域网络，用于内部各部门间的信息交换，其网络要求能

4、够提供具有传统数据网络的性能优点（安全与QoS）与 共享数据网络结构的优点。政务外网指部门之间的网络。该网络要紧用来在部门之间传递各 类文件与数据，作为跨部门，跨地区业务系统的互联与资源共享的网 络基础发挥作用。政务外网与政务内网间通过物理隔离设备分割开 来。公众外网要紧是面向公共服务的信息公布平台与连接互联网的 电子邮件服务。外网在结构上相对简单,通过防火墙与政务外网连接, 通过路由交换设备与Internet连接。根据目前XXX的行政管理体制与网络现状的情况，本项目网络 结构使用单一中心节点的星型网络结构。主干网络辐射到二级节点， 各二级节点下辖的三级分支节点根据网络链接的实际需要来设计敷

5、设，本次电子政务网络设计如下：中心节点：XXX办公厅信息中心 分支节点：XXX大院XX幢大楼XX家单位XXX市/区XXX家厅局级单位XXX市区XX家次级单位XXX市区XX家单位与公司XXX电子政务网络的内网与外网，其网络的拓朴结构要紧使用星型结构。星型结构的优点是传输性能较优；高度集中易于网络管理；容易扩展且分支节点的链路失效不可能影响其它网络节点。但要求中心节 点具有较高的可靠性与冗余度与较高的处理能力。为了有效的保证数据传输的安全性、稳固性、强壮性。省办公厅信息中心的数据主干设备使用千兆高速交换路由器。高速路由器要求 具备达到2Mpps的数据转发能力、性能优异的备板交换构架、核心 层冗余能

6、力与模块扩展能力。具体方案如下：在XXX信息中心放置XX台核心路由器，分别作为内网数据与 外网数据的总出口。XXX个二级节点分别配置一台交换路由器，将其内网与外网通 过租用链路连接到上级核心路由器。信息中心还需要配置XX台接入 交换机，用于内部局域网信息点与路由器的接入汇聚。XXX市区本级的XXX家厅局级单位设置XX台交换机，分别连 接单位的内网与外网。市区还有XX家次级部门与单位配置一台路由 器，将其内、外网通过租用链路经运营商的帧中继网上联到省信息中 心的核心路由器。各个部门与单位的内网与外网使用物理隔离，外网有Internet出 口，核心路由器通过1台防火墙,使用GE链路,连到运营商的I

7、nternet 骨干网。2.4 要紧设备选型网络设备选型我们在XXX信息中心部署X台高档次的核心路由器作为数据交汇转换的中心节点；同时配备2台千兆级网络核心交换机与XX台接 入交换机构成数据交换汇聚的政务局域网。在二级分支与其他职能部 门各选用1台性价比较高的千兆电口路由器与xx台千兆三层交换机, 来满足二级节点与中心节点的链接与向下级节点的扩展。根据项目实际需求，我们针对XXX电子政务网络数据系统网络设备的选型配置如下:2.4.1.1 核心路由器选型根据项目实际需求选择是否需要核心路由器，与核心路由器的具 体参数要求路由器工作在OSI参考模型的网络层，用于网络间的相互连接, 要求路由器同时提

8、供至少一个以太局域网端口与广域网接口，分别用 于与内、外网的连接。2.4.1.2 交换路由器选型根据项目实际需求选择是否需要交换路由器，与交换路由器的具体参数要求核心交换机选型根据项目实际需求选择是否需要核心交换机，与核心交换机的具体参数要求2.4.1.3 接入层交换机选型根据项目实际需求选择是否需要接入层交换机，与接入层交换机的具体参数要求网络管理系统设备选型根据项目实际需求选择是否需要网络管理系统，与网络管理系统的具体参数要求第3章服务器系统建设方案服务器系统概述所有的电子政务业务应用都是在所谓的“政务外网”与“政务内网”网络平台上实现的，所有的应用软件环境都务必在网络中的各类 服务器里操

9、作完成;可想而知，服务器已经成为电子信息化建设的重 中之重。政务办公服务器要紧应用于日常协同办公，运用先进的数据交 换，共享，采集，公布手段，使得各机构在同一平台上传递信息、开 展业务，促进原先分散的业务系统的整合，加速不一致部门之间、不 一致行业之间的信息交流，紧密的将神经网络中的各级部门政务内 网，企事业单位结合在一起，实现协同政务，资源共享，科学决策， 包含公文收发、会议管理、人员管理、项目管理、财务管理等完整的 电子办公功能，极大地提高省各机构的管理能力与工作效率。3.1 服务器系统设计服务器系统是整个数据中心的心脏，负责管理数据中心的基础信 息、共享信息、各专业区域信息与业务应用过程

10、中发生的有关业务数 据、与数据管理的过程中产生的比对信息、整理信息、管理信息等同 时为各个分系统提供共享信息。服务器的处理能力作用表达在每秒钟的事务处理数量上。事务处 理要紧包含卡业务受理、数据的实时汇总、入库、分发等功能。根据 日业务量能够推算出服务器每秒需要处理的事务数。服务器要紧负责业务业务逻辑的实现与数据的处理，因此它的处理量要紧表现在TPMC即事务处理与一些计算上，根据XX市数据中心应用模型,应用服务器系统设计电子政务应用服务器系统的特点是业务复杂，连接用户数多，服 务器系统的设计，要紧应考虑下列几方面的因素：服务器系统需要考虑对并发多点登入时业务受理的实时响应，考 虑业务的复杂性，

11、服务器需要实时的与多个业务分系统进行数据采 集、比对、整理与分发。需要服务器有很高的并发处理能力。在追求数据服务器单机高性能时，也需要考虑业务巨大时的系统 负载的分流，系统在规划设计时，在软件设计上进行合理处理，使得 应用能够在单机上运行，也能够有不一致的服务器上进行任务分担， 共同完成实时的业务处理。3.1.1 数据库服务器系统设计服务器需要对实时产生的数据进行及时汇总、分发。要实现汇总、 分发的实时高效，需要将实时信息放入内存，进行处理，才能提高系 统的性能，这样数据库服务器需要有较高的内存。对每天生成的数据 需要实时入库，需要有很强的I/O能力，使得数据的入库不可能成为 系统的瓶颈。3.

12、1.1.1 系统性能设计安全性设计3.1.1.2 稳固性设计存储服务器系统设计3.1.2 个人工作站设计个人工作站的设计原则国内的知名名牌良好的性能价格比优质的售后服务保障稳固、易用的环境基于以上考虑，本次项目个人工作站的推荐技术参数为：3.2 服务器设备选型服务器设备选型的要紧参考标准即服务器系统的运算能力与I/O 能力。目前较为普遍使用的一个衡量服务器系统处理能力的参数是 TPMC值，TPMC值是测试单台服务器或者集群系统在配备特定的 操作系统，用特定的数据库的情况下每分钟处理事务的能力(Transaction Per Minute) o TPMC值越高说明系统处理能力越强。服务器TPMC

13、值是通过实验手段取得的，仅能够用作参考，不 能够生搬硬套。比如服务器支持100万/天的访问量，每个事务按0.2秒的响应 时间计算，每天8小时，峰值为平均数的3倍计算，冗余30%,每 个事务触发5个Transaction,每分钟处理的事务量：=(100 万/天)*3*130%*5/0.2/(8*60)=20312Transaction/分钟因此我们建议服务器的TPMC值为：20312基于上述计算，建 议服务器使用TPC-C值在25,000左右的服务器系统。第1章项目概述11.1 项目简介错误保定义书签。1.2 建设目标31.3 建设原则41.3.1 有用性41.3.2 扩展性51.3.3 模块化

14、设计51.3.4 先进性51.3.5 稳固性51.3.6 安全性61.3.7 易用性61.3.8 经济性6第2章网络系统建设方案72.1 网络系统概述72.2 网络传输链路82.2.1 传输链路要求82.2.2 传输链路设计82.3 网络结构设计82.4 要紧设备选型112.4.1 网络设备选型11核心路由器选型122.4.1.1 交换路由器选型12核心交换机选型122.4.1.2 接入层交换机选型122.4.2 网络管理系统设备选型12第3章 服务器系统建设方案133.1 服务器系统概述133.2 服务器系统设计133.2.1 应用服务器系统设计143.2.2 数据库服务器系统设计14系统性

15、能设计153.2.2.1 安全性设计15稳固性设计153.2.3 存储服务器系统设计153.2.4 个人工作站设计153.3 服务器设备选型15第4章数据网络安全设计174.1 系统网络安全需求分析174.2 网络安全设计原则184.3 数据网络安全总体设计19第4章数据网络安全设计电子政务是信息化系统的重要构成部分。电子政务最终目标是建设办公自动化、面向决策支持、面向公众服务的综合平台。因此电子 政务系统一方面要求考虑内部网络的安全，另一方面要求考虑面向公 众服务的网络安全。电子政务行使职能的特点导致来自外部或者内部的各类攻击，包含黑客组织、犯罪集团或者信息战时期信息对抗等国家行为的攻击。攻

16、击包含基于侦听、截获、窃取、破译、业务流量分析、电磁信息提 取等技术的被动攻击与基于修改、伪造、破坏、冒充、病毒扩散等技 术的主动攻击。网络威胁包含来自内部与外部的威胁、主动攻击与被 动攻击带来的威胁。4.1 系统网络安全需求分析根据项目实际要求，结合我公司多年来从事电子政务网络建设与安全系统建设的经验，我们认为电子政务数据系统网络层面的安全性 涉及两个方面：网络系统自身安全性及网络服务的安全性。关于XXX电子政务网络平台来说，网络系统自身安全性需求要紧包含: 路由交换设备本身的安全; 路由信息的安全; 入侵检测功能 漏洞检测功能 网管安全网络服务的安全性需求包含： 用户AAA服务，提供认证，

17、授权及审计的功能 防止冒充合法用户 ACL功能网络安全设计原则为了有效的提高xx省电子政务数据网络系统安全，我们将遵循下 列设计原则：安全但不影响性能一一城域网的客户需要提供高性能的多媒体 服务，因此任何影响性能的安全措施将不能被同意；全方位实现安全性一一安全性设计务必从全方位、多层次加以考 虑，来确实保证安全；主动式安全与被动式安全相结合一一主动式安全要紧是主动对 系统中的安全漏洞进行检测，以便及时的消除安全隐患；被动式安全 则要紧是从被动的实施安全策略，如防火墙措施、ACL措施等等。 只有主动与被动安全措施的完美结合，方能切实有效地实现安全性；切合实际实施安全性一一务必紧密切合要进行安全防

18、护的实际 对象来实施安全性，以免过于庞大冗杂的安全措施导致性能下降。因 此要真正做到有的放矢、行之有效；易于实施、管理与保护一一整套安全工程设计务必具有良好的可实施性与可管理性，同时还要具有尚佳的易保护性;具有较好的可伸缩性一一安全工程设计，务必具有良好的可伸缩性。整个安全系统务必留有接口，以习惯将来工程规模拓展的需要；节约系统投资一一在保障安全性的前提下务必充分考虑投资，将 用户的利益始终放在第一位。通过认真规划安全性设计，认真选择安 全性产品（包含利用已有设备），达到节约系统投资的目的。4.2 数据网络安全总体设计网络系统安全性设计从保证xx省电子政务网络系统本身安全性的的角度出发，我们

19、能够使用下列几种手段：在整个网络中，利用OSPF路由更新认证确保全网路由表的安 全，通过计策略路由的设置操纵路由的过滤；利用ACL, AAA认证，令牌卡技术，操作权限分级等手段确保 网络设备不可能出现非授权访问.；在网络设备上，进行防止DOS与其它资源掠夺式攻击的设置；在运行中心配置漏洞扫描器，统一收集各个网络设备的安全漏 洞，进行分析与汇总；网络服务安全性设计为保证xx省电子政务网络平台能给接入单位、企业与个人提供安全的服务，我们建议使用下列几种手段：在外网Internet出口连接的地方配置国家保密局推荐的高性能千兆防火墙，提供1000M的接口，给多个用户提供安全服务，如投资同意的话，可使用

20、防火墙双机，实现平滑的热备份；利用高性能路由交换机或者者路由器，实现端口线速ACL；在需要对外提供服务的重要的网段，配置入侵检测传感器，给单 个或者多个用户提供入侵检测服务。4.2.1 数据灾备系统设计设计原则为XX市电子政务外网数据中心提供灾备方案时，要紧考虑下列 三方面因素：灾难承受程度：要明确用户计算机系统需要承受的灾难 类型、系统故障、通信故障、长时间断电甚至火灾、地震等各类意 外情况所采取的保护方案不尽相同；业务影响程度：让用户务必明确 当计算机系统发生意外无法工作时，导致业务停顿所造成的缺失程 度，也就是定义用户关于IT环境发生故障的最大容忍时间。这是我 们设计灾难恢复方案的重要技

21、术指标；数据保护程度：是否要求数据 库能够恢复所有提交的交易同时要求实时同步数据也就是数据的连 续性与一致性，决定了灾难恢复方案规模与复杂程度的重要根据。提 供的灾难恢复方案能够满足XX市电子政务外网数据中心关于计算机 系统、数据的严格保护要求，保证即使发生断电，火灾等严重灾难时, 政务外网业务的有关关键数据不可能丢失与缺损，确保业务数据在主 中心与备份中心同步更新，保证数据最大的完整性。3.2.9.1 灾备技术比较通常说来，灾难恢复方案建议用户建立两个数据中心,XX主数据中心与南宁备份数据中心。正常情况下，应用运行在 主数据中心的计算机系统上，数据也存放在主中心的存储系统中。当 主数据中心由

22、于断电，火灾甚至地震等灾难无法工作时，则立即采取 一系列有关措施，将网络、电话线路切换至备份中心，同时利用备份 中心计算机系统重新启动应用系统。而这里最关键的问题就是切换过 程时间最短，同时尽可能保持主数据中心与备份中心数据的连续性与 完整性。而由于社保数据的重要性，如何解决主、备中心数据库数据 备份，恢复则是灾难恢复方案的重点。传统的磁带备份方式通常采取定点备份，而当系统崩溃时。距最 近一次备份时间之间的数据将全部丢失，无法恢复。而且磁带备份与 恢复时间比较长，由于速度慢，缺乏实时性，无法满足用户大数据量 数据恢及数据库连续性、实时性的要求。现在流行的灾难恢复方案要紧是使用硬盘备份的方式。它

23、的要紧 原理是在备份中心建立一套硬盘存储系统，通过通信线路，实时地将 主中心更新数据拷贝至备份中心存储系统中，保证主、备中心数据的 实时一致性。当主中心无法工作时，备份中心能够立即接管业务，同 时确保数据的最大完整性。其要紧实施方法有下列三种：利用数据库厂家的软件产品完成远程备份：现有的一些数据库厂 家比如Oracle数据库能够提供STANDBY数据库功能，通过通信网 络将实际数据库日志文件传至备份中心存储系统，备份中心的 STANDBY数据库按照主数据库结构从日志文件中重新恢复数据库。这种方法投资成本小，数据恢复相对磁带较快，缺点就是占用主机资 源，日志文件建立过程中发生灾难时，整个日志文件

24、数据将丢失；利用主机进行远程数据镜像：主中心存储设备与备份中心存储设 备进行镜像，主机同时将数据分别写到本地与远程磁盘上。主机上 安装灾备软件，如AIX上的HAGEO、SUN上的VERITASCVERITAS Volume Replicator）等。这种方法优点就是能够保证数据的实时一 致性，但是存储镜像通过主机完成，这将极大地影响主机性能，当由 于通信故障，一个镜像操作无法完成时，主机将无法进行下一个写操 作；基于智能存储系统的远程数据复制：磁盘阵列将磁盘镜象功能的 处理负荷从主机转移到智能磁盘操纵器一智能存储系统上。如旧M 的PPRC、EMC的SRDF等，基于智能存储的数据复制由智能存储

25、系统自身功能实现数据的远程复制与同步，即智能存储系统本身来完 成数据的复制功能，同主机无关，不占用主机的CPU,连接能够使 用裸光纤、ATM、E1/E2、T1/T3、TCP/IP等。由于这种方式下数据 复制软件运行在存贮系统内，因此较容易实现主中心与容灾备份中心 的操作系统、数据库、系统库与目录的实时拷贝保护能力，且通常不 可能影响主中心主机系统的性能。而且上层能够是不一致主机平台。 假如在系统恢复场所具备了实时数据，那么就可能做到在灾难发生的 同时及时开始应用处理过程的恢复。三种实施方法的比较:第一种方案的最大缺点就是灾难发生时，系统数据备份可能不完 全，丢失数据量较大，而且对系统正常工作时

26、的系统性能影响较大。第二种案由于远程备份要占用主机的CPUI/O等资源，同时根据 备份方式的不一致，可能对主机的性能有一定的影响，但它能够保证 数据备份的完整性。第三种方案能够完全确保数据的一致性，同时对主机系统的性能 影响较小，对主机平台的要求也低，但缺点是系统投资较大。3.2.9.2 灾备解决方案数据中心系统的要紧数据存储包含两大部分：应用系统数据与统 计分析系统数据。两个业务特性的不一致决定了我们需要考虑实施不 一致的数据备份策略。下表是我们针对其备份系统需要考虑的业务特 性所进行的比较。根据上表，我们明白，业务生产系统的数据备份工作以严密、最 大限度保护数据、快速恢复为宗旨。而统计分析

27、系统的数据备份工作 以高效、简便，对数据起比较好保护作用为宗旨。数据中心系统数据 量很大，统的LAN-Base与Server-Base的备份方式难以满足XX市 电子政务外网数据中心的需求，我们建议使用基于IP SAN架构的企 业备份解决方案。4.4网络设备安全实现整个xx省电子政务数据网络系统是由许多路由交换设备构成的，网络设备的安全是是许多安全措施能够顺利实施的基础。假如网络设备的配置能够被随意看到，其所配置的路由识别ID、密码等都失去意义；VLAN的配置如能被随意改动，则VLAN将形同虚设。保 护网络设备应注意两个方面：设备的配置需要保护，防止非授权访问;设备的资源务必有效保护，防止像DO

28、S这样的资源掠夺式攻击。4.4.1 网络设备分级登录验证防范对网络设备的非法访问，需要保护关键的配置信息（如密码、 ID等），管理员务必通过严格身份鉴别与授权。在本次xx省电子政 务网络工程数据系统建设项目中，我们推荐的Cisco所有设备本身都 有相应的安全措施。针关于单一管理员权限无限大的问题，我们能够根据具体管理员 的职能分工进行权限分配。在Cisco的路由交换设备上，能够将管 理员的权限划分为15级权限档次，针对每个权限能够定制相应的命 令集，为实现各类管理目的而设立的不一致职能管理员之间可互不侵 扰的完成各自工作。比如，普通操作员只能监视设备运行，不可进行其他操作；高级 的管理员可做故

29、障诊断，不可修改设备配置文件；系统管理员可具有 所有功能权限等。同样，关于SNMP服务也能够通过设置不一致级别的 Community,让不一致级别的网管系统获得不一致的操作权限。 限制登录会话数Cisco网络设备务必通过严格的认证程序才能够进行登录，这种认证既包含对远程登录，也包含本地的Console登录。Cisco网络设备能够设定对本身的登录会话数，这种限制包含两个层次：(1)并发远程登录会话总数的限制；(2)一个用户同时登录数的限制；建议对每个管理员都分配一个User-IDO有两种方法登记User-ID0 一种是在路由器上配置username/password。另一种方法 是用AAA来保护

30、路由器，由一中心AAA(TACACS+/Radius)服务器 保护Username/Password。第二种方法更具扩展性与安全性。另外 使用Token服务器提供一次性口令的更换，与AAA服务器相结合便 可向网络管理员提供对设备的一次性口令登录。我们推荐在网络中心配置Cisco Secure ACS服务器，为管理员 登录到Cisco设备提供统一的身份认证中心。Cisco Secure ACS服 务器支持RADIUS, TACACS+等标准的认证协议，提供网络设备的 用户AAA服务。Cisco Secure ACS具有良好的管理界面，管理员 能够通过浏览器进行用户管理与配置。管理员登录网络设备的

31、过程如 下：(1)用户执行远程登录命令(比如：Telnet),网络设备推断当前 的并发连接数是否已经达到上限。假如数量没有超，网络设备提示输 入用户姓名、口令。(2)用户输入口令后，网络设备向AAA服务器查询该用户是否 有权登录AAA服务器检索用户数据库，假如该用户同意登录则向网 络设备返回PERMIT信息与该用户在该网络设备上可执行的命令同 时将用户登录的时间、IP作全面记录；若不能在用户数据库中检索 到该用户的信息则返回DENY信息，并能够根据设置向网管工作站 发送SNMP的警告消息、。(3)当网络设备得到AAA的应答后，能够根据应答的内容作出 相应的操作，假如应答为DENY则关闭掉当前的

32、SESSION进程； 假如为PERMIT则根据AAA服务器返回的用户权限为该用户开启 SESSION进程，并将用户所执行的操作向AAA服务器进行报告。由于本次项目中并没有该设备与软件的采购，假如原先xx省网 络没有部署，同时考虑到投资，我们可先在路由器上配置 username/password, 手工进行登录操纵。防资源掠夺式攻击攻击特点与原理对设备的另一种安全威胁是资源掠夺式攻击，是指通过持续调用 设备的一些检测用途的应用与端口号或者利用设备对特殊包处理的 漏洞占用CPU资源或者导致内存溢出，影响设备的正常功能，严重 的甚至导致网络设备死机，常见的DOS, DDOS与ping攻击都属于 此种

33、情况。在拒绝服务(DoS)攻击中，恶意用户向网络设备发送多个请求, 使其满负载，同时所有请求的返回地址都是伪造的。当网络设备企图 将结果返回给用户时，它将无法找到这些用户。在这种情况下，网络 设备只好等待，有的时候甚至会等待1分钟才能关闭此次连接。当网1.1.1 网络系统安全性设计191.1.2 网络服务安全性设计191.1.3 数据灾备系统设计204.4 网络设备安全实现234.4.1 网络设备分级登录验证244.4.2 限制登录会话数24设备并发登录数限制错误味定义书签。4.4.2.1 设备登录地点限制错误味定义书签。4.4.2.2 单用户并发登录数限制错误保定义书签。4.4.3 口令保护

34、错误味定义书签。4.4.4 防资源掠夺式攻击26攻击特点与原理264.4.4.1 解决办法284.5 路由信息安全294.5.1 路由协议的验证机制304.5.2 禁止源路由方式304.6 网管系统安全实现304.7 网络服务的安全性314.7.1 防火墙部署设计314.7.2 入侵检测防御系统选型334.7.3 防病毒系统选型334.7.4 访问操纵ACL334.7.5 入侵检测技术344.7.6 漏洞扫描技术364.8 系统安全的非技术因素374.8.1 物理环境因素374.8.2 安全的管理因素38安全管理原则38第5章机房环境要求415.1 数据网络机房环境415.1.1 场地选择41

35、5.1.2 环境要求425.1.3 接地系统425.1.4 电源系统435.1.5 空调系统445.2 注意事项45 络设备关闭连接之后，攻击者又发送新的一批虚假请求，以上过程又 重复发生，直到网络设备因过载而拒绝提供服务。分布式拒绝服务(DDOS)把DoS又向前进展了一步。DoS攻 击需要攻击者手工操作，而DDOS则将这种攻击行为自动化。与其 他分布式概念类似，分布式拒绝服务能够方便地协调从多台计算机上 启动的进程。在这种情况下，就会有一股拒绝服务洪流冲击网络，并 使其因过载而崩溃。黑客(client)在不一致的主机(handler)上安装大量的DoS服务程 序，它们等待来自中央客户端(cl

36、ient)的命令，中央客户端随后通知全 体受控服务程序(agent),并指示它们对一个特定目标发送尽可能多 的网络访问请求。该工具将攻击一个目标的任务分配给所有可能的 DoS服务程序，这就是它被叫做分布式DoS的原因。实际的攻击并不仅仅是简单地发送海量信息，而是使用DDOS 的变种工具，这些工具能够利用网络协议的缺陷使攻击力更强大或者 者使追踪攻击者变得更困难。首先，现在的DDOS工具基本上都能 够伪装源地址。它们发送原始的IP包(raw IP packet),由于Internet 协议本身的缺陷，IP包中包含的源地址是能够伪装的，这也是追踪 DDOS攻击者很困难的要紧原因。其次，DDOS也能

37、够利用协议的 缺陷，比如，它能够通过SYN打开半开的TCP连接，这是一个很老 且早已为人所熟知的协议缺陷。为了使攻击力更强，DDOS通常会利 用任何一种通过发送单独的数据包就能探测到的协议缺陷，并利用这 些缺陷进行攻击。解决办法针对资源掠夺性攻击，在网络设备上能够进行多层次的防范：(1)在Cisco IOS中使用命令可一次性关闭所有带有安全隐患的 端口检测与进程调用。A.在路由器全局模式下键入no service tcp-small-serversno service udp-small-servers能够避免 UDP/TCP 诊断端口 DoS(Denial of Service)攻击B.在路

38、由器全局模式下键入no service finger能够避免被外人窥测出用户login信息。C.在骨干路由器全局模式下键入no ip redirectsno ip directed-broadcastno ip proxy-arp能够避免SMURF攻击。D.在骨干路由器全局模式下键入no service padno ip bootp serverno cdp runno cdp enable能够避免损耗CPU攻击。过滤进网与出网的流量XX省电子政务网络能够在各接入分支节点的交换机或者路由器上实施进网流量过滤措施，目的是阻止任何伪造IP地址的数据包进 入网络，从而从源头阻止诸如DDOS这样的分布

39、式网络攻击的发生 或者削弱其攻击效果。(3)可疑数据流带宽操纵在各接入分支节点交换机、路由器与核心路由器上，使用队列技 术或者者CAR的方法对ping及SYN数据流进行带宽操纵，以预防 DDOS的攻击。(4)使用网络入侵检测系统IDS当系统收到来自惊奇或者未知地址的可疑流量时，网络入侵检测 系统IDS (Intrusion Detection Systems)能够给系统管理人员发出 报警信号，提醒他们及时采取应对措施，如切断连接或者反向跟踪等。 4.5路由信息安全关于xx省电子政务网络这样大规模的网络，假如某台主机或者 者路由器未按照IP地址规划，错误配置IP网段，那么该错误配置就 有可能通过

40、动态路由扩散到全网，引起整个网络的路由混乱。为保证 全网络路由表的安全性，防止路由更新及路由表的非法更换，确保整 个网络系统路由的可靠与稳固，我们建议采取下列措施：1.1.1 路由协议的验证机制我们推荐的xx省电子政务网络工程中的路由设备全部使用支持 路由更新认证的动态路由协议(比如OSPF协议，IS-IS, BGP4协 议)。在我们的方案中所推荐的路由协议IS-IS支持路由认证。假如两 台路由器的认证关键字不匹配，相应的两台路由器之间就不能建立交 换路由更新信息所务必的“紧邻关系”(Adjacent Membership), 因而即使在物理上连通，也不能交换路由。从而保证未配置相同口令 的路

41、由器无法将非法路由注入整个网络。1.1.2 禁止源路由方式Internet上有一种不依靠路由器的路由表仍能实现在源与目的间 进行正确的包传输的路由方式，这就是所谓“源路由方式”。在源路 由环境中，即使我们有效的保护了私网路由信息不扩散、不被写入非 法路由信息，黑客仍能利用源路由传输方式完成攻击。源路由是被设 计来进行测试与调试的，通常的路由器默认状态下都予以支持，但在 我们政务网中它只会带来安全漏洞，因此我们务必注意在实施中将路 由设备的源路由特性关闭掉，这一特性在Cisco路由器中是能够被支 持的。可在路由器配置的全局模式中插入如下命令：no ip source-route网管系统安全实现我

42、们推荐的网管系统CiscoWorks2000符合C2安全标准，不一致用户对不一致的设备与网络管理软件的不一致模块拥有不一致的 权利，同时CW2000将用户的工作进行全程监督并形成历史文档记 录备查。网络设备的配置将保持历史记录有利于网络的恢复与安全； Cisco公司的网络管理程序是网络设备管理界面，实际的功能是由网 络设备本身来完成的，因此当网管系统出现故障时，网络设备能自动 及人工恢复正常工作，不影响网络的正常运行。另外，通过在网络设备上设置SNMP的ACL,能够限定只有特定IP地址的网管工作站才能对网络设备进行SNMP的操作。4.6 网络服务的安全性xx省电子政务网络的目标是：建成省电子政

43、务网络内、外网平 台，支持数据、语音与视频业务，传输性能满足业务需求，具备密码 管理、信任体系、网络管理、容灾备份、信息管理与信息交换等各项 功能，实现跨部门、跨地区的业务互联，因此务必确保为用户提供的 服务是安全可靠的。4.6.1 防火墙部署设计我们选择为XXX政务外网核心路由器通过防火墙逻辑隔离后联 入Internet,实现政务外网与Internet的安全隔离的。具体对防火墙 的部署要求如下：支持对网页关键字与Java、JavaScript ActiveX进行过滤； 支持对邮件地址、主题、正文、附件名、附件内容等进行关键字匹配 过滤；支持基于反中转的垃圾邮件识别与过滤。支持透明、路由、混

44、合三种工作模式；支持 DHCP Client、DHCP Relay、DHCP Server； 支持PPPoE接入,并具备自动断线重连技术;支持多路ADSL拨号6 条，充分利用网络资源，整合带宽；支持静态路由，动态路由 (0SPF/V3、RIP/RIPng等)，VLAN间路由，单臂路由，组播路由 等；支持200个以上的路由表、30000个以上的路由策略选择；支 持多出口路由负载均衡；支持802.1Q与ISLVLAN封装协议，支持 两种封装的互换，支持Vian Trunk；在各类工作模式下均支持H.323(H.323GK) , SIP、FTP、MMS RTSP、UPnP、XDMCP、TNS 等多种

45、动态协议。基于IP地址、服务、网口、时间等定义带宽分配 策略；支持最小保证带宽与最大限制带宽；根据用户角色进行带宽策 略配置。可将一台物理设备，划分多个虚拟防火墙系统，支持同一个 网口用于多个虚拟防火墙；要求支持虚拟系统技术，每个虚拟系统 vFW具备独立的管理权限、安全策略、等功能，互不干扰；可拥有 独立的系统资源、管理员、安全策略、用户认证数据库等。支持 3G(CDMA2000)协议，支持用户通过3G提供上行网络接入；支持 802.11B,802.11G协议，支持设备作为WiFi热点(即AP),为客 户机提供无线安全接入服务。支持IPv6地址、地址组配置；支持IPv6/IPv4翻译策略技术，

46、 包含支持静态NAT-PT、动态NAT-PT、NAPT-PT技术。支持漏洞 扫描功能支持后门、服务探测、文件共享、系统补丁、IE漏洞等主 动式扫描。支持IPv4与IPv6双栈协议下的上网行为管理。支持标准 IPSec协议，要求能够与Cisco、Juniper等知名厂商的VPN设备互 联互通；要求支持SSLVPN,动态分配虚拟IP,且虚拟IP与口令用 户或者证书用户进行绑定；IPSec VPN客户端可与所有支持标准IPSec协议的VPN网关互联互通。支持基于USB Key的证书认证方式。能够实现对 blaster, nachi, nimda, codered, sasser, slapper,

47、sqlexp, zotob等主流蠕虫病毒的识别、过滤与拦截；可识别与防御 syn flood Ping flood udp flood teardrop sweep land-base、 ping of death、smurf、winnuke圣诞树、碎片等多种攻击。支持 SNMP管理，与大多数通用的网络管理平台兼容。（该参数描述为中高端防火墙设备，具体项目可根据实际需要来 选配合适的型号）入侵检测防御系统选型根据项目实际需求选择是否需要入侵防御系统，与入侵防御系统 的具体参数要求防病毒系统选型根据项目实际需求选择是否需要防病毒系统，与防病毒系统的具 体参数要求访问操纵ACL通过在分支节点的三层

48、交换机或者路由器上设置IP访问操纵， 能够防止个人节点对电子政务网络中重要系统的非法访问。访问列表 的建立是为了保护政务网络的安全，因此，建立安全合理的访问列表, 首先需要对政务网络的应用进行深入细致的熟悉，有什么应用、使用 什么端口，访问什么地址等等，使得访问列表的建立，不可能影响到电子政务网络的运转。我们推荐的三层交换机与路由器支持线速ACL功能，能够支持：基本的存取列表：基于源IP地址进行检查；扩展的存取列表：基于源IP地址，源端口号，目的IP地址，目 的端口号及ICMP包的各类类型进行检查。4.6.2 入侵检测技术入侵检测具有监视分析用户与系统的行为、审计系统配置与漏 洞、评估敏感系统与数据的完整性、识别攻击行为、对特殊行为进行 统计、自动地收集与系统有关的补丁、进行审计跟踪识别违