法院网络安全规划建设设计方案

****************************************法院网络安全
规划方案
*****************发展有限公司
2011年11月
目录
1方案综述 (4)
2网络出口安全 (5)
2.1法院网络出口安全设计 (5)
2.1.1网络出口定义 (5)
2.1.2网络出口安全定义 (5)
2.1.3出口主干安全设计 (6)
2.1.4DMZ区域安全 (11)
3内网与外网安全隔离 (15)
3.1.1防火墙的部署 (15)
3.1.2安全隔离及数据交换系统 (16)
4安全管理区 (17)
5互联网用户区 (17)
5.1网络管理系统 (18)
5.2可信运维系统 (19)
6高可用集群软件 (20)
1 方案综述
法院网络安全整体规划图如下： 接入交换机
攻击
WEB SSL VPN 双机
网页防篡改系统网页防篡改系统上网行为管理
（交换机
OA 系统
数字庭审IDS IDS 可信运维
系统
数据库互联网用户区
将*****法院分为四个区域：网络出口区域、内部专网区域、安全管理区域、互联网用户区，其中网络出口区包含DMZ 区。

另外采用高可用集群软件保障服务器及盘阵的稳定运行。

各个区域网络安全设计在下面章节详细介绍。

2 网络出口安全
2.1 法院网络出口安全设计
2.1.1 网络出口定义
如上图所示：网络出口是指企事业单位网络与外部网络（如互联网、教育网、银行专网）连接的网络边界区域，其范围一般是指从企事业单位网络核心交换到连接外部网络边界的部分，一个单位可能存在一个或多个网络出口。

网络出口是一个单位网络连接外界网络的纽带，是对外提供服务的窗口，面对的环境非常复杂，变化多端，此网络区域面临的安全风险最大，需要重点保护。

2.1.2 网络出口安全定义
网络出口安全是指通过一些安全措施和管理措施的实施，制止企事业单位内部人员的反动、虚假言论等非法上网行为，确保员工的上网行为符合国家、上级主管单位
及本单位要求；防范来自外部网络的各种攻击行为，确保对外业务的正常运行，维护企事业单位的形象。

2.1.3 出口主干安全设计
网页防篡改系统网页防篡改系统
接入交换机
上网行为管理
SSL VPN双机
在出口主干部署负载均衡、抗DDos攻击、入侵防御系统、防火墙、上网行为管理、VPN网关设备，以上设备均采用双机部署模式，其中上网行为管理具有审计功能。

下面介绍主要设备的功能特点。

2.1.
3.1 负载均衡
简介：
负载均衡是建立在现有网络结构之上，它提供了一种廉价有效透明的方法扩展网络设备和服务器的带宽、增加吞吐量、加强网络数据处理能力、提高网络的灵活性和可用性。

功能：
⏹全面的负载均衡
包括动态速率、最少连接和观察模式的动态平衡，这些方法用于以整体方式跟踪服务器的动态性能。

这保证了始终选择最佳的资源，以提高性能。

可支持所有基于TCP/IP协议的服务器负载均衡。

可支持最小连接数、轮询、比例、最快响应、哈希、预测、观察、动态比例等负载均衡算法。

⏹应用状态监控
用于检查设备、应用和内容的可用性，包括适合多种应用的专用监视器(包括多种应用服务器、SQL、SIP、LDAP、XML/SOAP、RTSP、SASP、SMB等)，以及用于检查内容和模拟应用调用的定制监视器。

⏹高可用性和交易保障
无论出现何种系统、服务器或应用故障，都能保证它是一个高可用的解决方案。

BIG-IP LTM可以主动检测和响应任何服务器或应用错误。

⏹支持NAT地址转换
提供NAT地址转换功能，能够实现动态或静态地址转换。

支持访问控制列表
能够实现防火墙的基本功能，建立访问控制列表，拒接IP网段或端口号吗。

⏹支持路由
该功能为多数设备中基本功能，但只支持静态路由，如果使用较为高级的OSPF 路由协议，需要购买单独的模块来支持。

2.1.
3.2 抗Ddos攻击
DDoS攻击一般通过Internet上那些“僵尸”系统完成，由于大量个人电脑联入Internet，且防护措施非常少，所以极易被黑客利用，通过植入某些代码，这些机器就成为DDoS攻击者的武器。

当黑客发动大规模的DDoS时，只需要同时向这些将僵尸机发送某些命令，就可以由这些“僵尸”机器完成攻击。

随着Botnet的发展，DDoS造成的攻击流量的规模可以非常惊人，会给应用系统或是网络本身带来非常大的负载消耗。

针对目前流行的DDoS攻击，包括未知的攻击形式，绿盟科技提供了自主研发的抗拒绝服务产品——NSFOCUS Anti-DDoS System，简称NSFOCUS ADS。

通
过及时发现背景流量中各种类型的攻击流量，NSFOCUS ADS可以迅速对攻击流量进行过滤或旁路，保证正常流量的通过。

产品可以在多种网络环境下轻松部署，不仅能够避免单点故障的发生，同时也能保证网络的整体性能和可靠性。

2.1.
3.3 入侵防御系统
近年来，企业所面临的安全问题越来越复杂，安全威胁正在飞速增长，尤其混合威胁的风险，如黑客攻击、蠕虫病毒、木马后门、间谍软件、僵尸网络、垃圾邮件、网络资源滥用（P2P下载、IM即时通讯、网游、视频）等，极大地困扰着用户，给企业的信息网络造成严重的破坏。

能否及时发现并成功阻止网络黑客的入侵、保证计算机和网络系统的安全和正常运行便成为企业所面临的一个重要问题。

针对日趋复杂的应用安全威胁和混合型网络攻击，绿盟科技提供了完善的安全防护方案。

绿盟网络入侵防护系统（以下简称“NSFOCUS NIPS”）是绿盟科技拥有完全自主知识产权的新一代安全产品，作为一种在线部署的产品，其设计目标旨在准确监测网络异常流量，自动应对各类攻击流量，第一时间将安全威胁阻隔在企业网络外部。

这类产品弥补了防火墙、入侵检测等产品的不足，提供动态的、深度的、主动的安全防御，为企业提供了一个全新的入侵防护解决方案。

2.1.
3.4 下一代应用防火墙
*****NGAF系列产品是一款以应用安全需求出发而设计的下一代应用防火墙。

弥补了传统防火墙基于端口/IP无法防护应用层安全威胁的缺陷；改善了UTM类设
备简单功能堆砌，性能瓶颈的弱点。

通过单次解析引擎真正做到将防火墙、VPN、入侵防御、服务器防护、病毒防护、内容过滤、流量控制等多种安全技术有机的融合到一起，提供多功能、高性能的电信级安全设备。

与传统安全设备相比它可以针对丰富的应用提供更完整的可视化内容安全防护。

NGAF继承了传统防火墙的优秀品质，能够适应各种复杂的网络环境，同时通过单次解析引擎、应用可视化引擎、灰度威胁关联分析引擎三大创新引擎技术，提供强大的网络安全防护、可视化的应用管控、全面的应用安全防护，形成2-7层一体化安全防护解决方案。

2.1.
3.5 VPN网关
现在，随着移动存储技术及商务模式的发展，选择远程办公的人越来越多。

随着中国经济的腾飞，企事业单位对员工移动办公、远程接入总部内网办公的需求越来越强，特别是WLAN技术、无线技术的发展更加剧了这种趋势。

如何实现网络中的数据隔离、服务器隔离，构建安全的业务子网，供组织日常办公，这已成为IT管理者面临的重大挑战。

*****VPN网关给远程移动办公所达到的效果
1、通过SSL VPN，远程办公和移动用户可以随时访问内部办公平台，获取、提交信息非常便捷；
2、*****SSL VPN提供目前最丰富的认证，包括USB Key、短信口令、软键盘、动态令牌、CA、硬件特征码等，最大程度上确保接入用户身份的合法性；
3、*****SSL VPN能够对内网的访问权限进行细致地设定，对不同的用户分配
不同的权限规则，避免内部出现安全隐患；
4、*****SSL VPN操作简易，支持多种部署模式，不会对现有网络造成任何影响，各种服务及应用均可正常使用，与中国人民银行的各种IT办公系统结合良好。

2.1.
3.6 上网行为管理系统
*****上网行为管理产品作为中国上网行为管理领域的第一品牌，可助您实现对互联网访问行为的全面管理。

*****上网行为管理产品凭借强大的功能和简便的操作，可在网页过滤、行为控制、流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面为您提供最有效的解决方案。

2.1.4 DMZ区域安全
网页防篡改系统网页防篡改系统
DMZ区域部署WEB防火墙、负载均衡、IDS。

下面介绍主要设备的功能特点。

2.1.4.1 Web防火墙
简介：
Web防火墙（WAF）是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。

功能：
⏹异常检测协议
Web应用防火墙会对HTTP的请求进行异常检测，拒绝不符合HTTP标准的请求。

并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。

甚至，一些Web应用防火墙还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

⏹增强的输入验证
增强输入验证，可以有效防止网页篡改、信息泄露、木马植入等恶意网络入侵行为。

从而减小Web服务器被攻击的可能性。

⏹及时补丁
修补Web安全漏洞，是Web应用开发者最头痛的问题，没人会知道下一秒有什么样的漏洞出现，会为Web应用带来什么样的危害。

现在WAF可以为我们做这项工作了——只要有全面的漏洞信息WAF能在不到一个小时的时间内屏蔽掉这个漏
洞。

当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁本身就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。

⏹基于规则的保护和基于异常的保护
基于规则的保护可以提供各种Web应用的安全规则，WAF生产商会维护这个规则库，并时时为其更新。

用户可以按照这些规则对应用进行全方面检测。

还有的产品可以基于合法应用数据建立模型，并以此为依据判断应用数据的异常。

但这需要对用户企业的应用具有十分透彻的了解才可能做到，可现实中这是十分困难的一件事情。

⏹状态管理
WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。

通过检测用户的整个操作行为我们可以更容易识别攻击。

状态管理模式还能检测出异常事件（比如登陆失败），并且在达到极限值时进行处理。

这对暴力攻击的识别和响应是十分有利的。

⏹其他防护技术
WAF还有一些安全增强的功能，可以用来解决WEB程序员过分信任输入数据带来的问题。

比如：隐藏表单域保护、抗入侵规避技术、响应监视和信息泄露保护。

2.1.4.2 入侵检测系统
简介：
入侵检测系统（IDS）就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

功能：
⏹攻击检测和防护
例如802.1Q支持、状态识别、协议解码、特征匹配、异常检测、DoS攻击、蠕虫/病毒/木马、BackDoor、缓冲区溢出、DoS/DDoS攻击等。

⏹事件响应
应支持SNMP Trap、Linktrust简单互动协议（SLP）、控制台实时显示、记录至数据库、Mail邮件响应、SSH命令联动、Syslog日志、用户定制等。

⏹系统管理
IDS在管理上应支持串口管理、集中管理平台、安全运行中心（SOC）、在线/本地升级、与第三方管理系统集成。

⏹故障探测
对于故障探测需支持通信链路故障、设备故障、应用服务故障、监控链路故障。

⏹抗逃避保护
如IP 分段重组、TCP 流重组、Unicode 解析、应用层协议状态追踪。

安全性
通讯加密、签名升级包/本地数据加密。

3 内网与外网安全隔离
数据库
OA系统数字庭审
依据上图所示，在内外网中间部署防火墙，防火墙后面串接网闸设备，而入侵检测系统（IDS）进行旁路部署，通过以上部署实现立体和多方位的安全防范，保证内部网络业务安全及数据安全。

3.1.1 防火墙的部署
在内网业务网络出口部署防火墙，可以抵挡外来的攻击，将外网核心交换机连接到防火墙的外网接口上，通过相应的策略来保护和控制内部网络不受外来的攻击。

3.1.2 安全隔离及数据交换系统
依据*****法院网络隔离及数据交换高安全性要求，建议采用安全隔离与信息交
换子系统（以下简称网闸）实现法院内外和外网之间的安全隔离及数据交换。

如下图所示：
网闸采用千兆网闸，实现法院内外网的安全隔离，切断内外网的TCP/IP 会话穿透，
有效地防止基于网络的各种攻击如后门木马攻击，安全隔离确保了物理链路层的安全和上层应用的安全，真正实现了网络的隔离，同时，通过网闸的数据库同步模块、web 访问模块、邮件模块、文件同步模块、tcp 代理模块、udp 代理模块等实现内外网之间特定的数据交换。

4 安全管理区
可信运维
该区域作为整个网络系统的管理区域，其重要性不言而喻，该区域内部署可信运维系统、IDS、审计数据服务器、网络管理系统等。

5 互联网用户区
法院互联网用户区终端数量比较多，管理难度很大，有效管理该区的终端从而有效保障网络安全也显得尤为重要。

近两年的安全防御调查也表明，政府、企业以及金
融证券等单位中超过80%的管理和安全问题来自终端，计算机终端广泛涉及每个用户，由于其分散、不被重视、安全手段缺乏的特点，已使得终端安全成为信息安全体系的薄弱环节。

因此，网络安全呈现出了新的发展趋势，对于各政府企业网络来说，安全战场已经逐步由核心与主干的防护，转向网络内部的每一个终端。

通过部署桌面安全管理系统来解决互联网用户区的安全隐患和管理难题。

桌面安全管理系统主要着眼于网络中台式机、服务器、便携机、网络设备及终端用户的综合安全防护。

PC Master 提供网络监视模块、网络管理、网络报警、软硬件资产管理、补丁管理和软件分发、远程桌面管理等功能模块，通过对每一个网络设备的监视和控制、网络用户行为的监视和记录，将网络的安全隐患可视化，能最大限度地防止敏感信息的泄漏、破坏和违规外传，并完整记录涉及敏感信息的操作日志以便事后审计和追究泄密责任，同时也能对个人桌面系统的软硬件资源实施安全管理，并对个人桌面系统的工作状况进行监控和审计，从而有效的控制和防范信息安全事故。

最终实现内部网络始终处于安全、可靠、保密的环境下运行，帮助用户各类业务统一优化、规范管理，保障各类业务正常安全运行。

5.1 网络管理系统
*****网络管理系统（*****）是针对解决各行业中、小型企事业单位，目前在IT 管理过程中所面临的3个挑战以及所需要克服的1个矛盾（即内、外部客户满意度、成本控制与系统安全之间的挑战；IT系统日益增长的复杂性与运维人数、专业知识结构之间的矛盾）的第五代专家智能型综合网管系统。

*****涵盖了网络设备、服务器、安全设备、存储设备、通讯设备、传输设备、数据库应用及中间件应用等管理，它结
合了大型定制型网管及第三代网管的简单易用这两方面的特点，并以非编程扩展的方法，满足了用户单位不断增加IT资源管理的要求。

同时系统能兼容整合第三代网管和其它工具，专注于用户各种设备、应用及服务等资源的健康度、可用率和服务水平的管理，保证IT部门用户的满意度，并通过智能化专家系统解决了用户单位日益复杂的IT资源与运维人员数量不足、专业知识结构之间的矛盾，将各种复杂的网络管理工作简易化、便捷化与自动化，有效帮助网络管理人员轻松驾驭网络，提高网络管理效率。

5.2 可信运维系统
随着国家信息化建设的不断深入开展，IT系统在各领域发挥的重要性越来越高。

政府、医疗、运营商、金融、大型工业企业都高度依赖IT系统进行生产和服务。

然而，随着IT系统规模的扩大，以及IT系统资产价值的增加，系统面临的安全威胁也随之增加。

这些威胁中除了来自外部的黑客攻击以外，更多的是由于内部运维管理水平的不足而产生的，如：内部运维人员的恶意破坏操作、误操作，第三方维护人员的越权访问、数据窃取等等。

这些由于内部(第三方支持人员)而产生的安全事件，对单位或者企业造成更大的负面影响，其所能造成的损失往往是不可估量。

此外，随着IT管理水平的提升，管理制度的健全，无论是政府还是企业单位、上市公司，对于国家或行业的法律法规的要求都越来越高，法规遵从的重点之一就是如何处理来自内部的运维管理风险日益，规避内部IT操作风险。

因此，如何针对内部运维人员的运维行为进行审计，如何提高系统运维管理水平，满足相关法规标准要求，已经成为所有信息部门急需解决的问题。

上海金电网安可信运维管理系统就是新一代运维安全审计产品，它能够对运维人员的访问过程进行细粒度的授权、全过程的操作记录及控制、全方位的操作审计、并支持事后操作过程回放功能，实现运维过程的“事前预防、事中控制、事后审计”，在简化运维操作的同时，全面解决各种复杂环境下的运维安全问题，提升企业IT运维管理水平。

6 高可用集群软件
随着中国经济整体坚挺的增长，软件市场也持续着高速增长。

特别是四川大地震等自然灾害的影响对提高系统的高可用性、保证企业业务连续性的需求逐年递增。

以前，具有高信赖性的高可用容错集群系统多用于UNIX系统下。

现在,随着Windows/Linux系统的需求增长，出现对UNIX系统需求减少的趋势。

能够适应于Windows/Linux市场需求的，是SIOS Technology Corp （SteelEye）的高可用容错集群系统软件「LifeKeeper」。

SIOS公司与美国、日本的HP集团有着紧密的合作关系、便于建立良好的合作关系。

「LifeKeeper 」的易于配置、坚牢的的高可用容错集群的结构与HP系列服务器和存储设备特有的出色的能耗低、电源效率高、高扩展性的组合，可以提供具有系统冗余和环保性能的解决方案。

促进具有高性能·高可靠性HP服务器和存储设备在高可用容错集群软件市场的普及，有效地扩大HP服务器和存储设备的市场占有率。

精品welcome。