|
|
政府机构所涉及的信息都带有一定的保密性,所以其信息安全问题,如敏感信息的泄露、黑客的侵扰、网络资源的非法使用以及计算机病毒等,都将对政府的信息安全构成威胁。政府网络涉及到的问题如下:
政府机关内部网络的办公信息的机密性。
政府机关内部网络资源的权限访问控制。
政府机关内部网络被外部非法入侵。
黑客利用病毒或漏洞对政府机关内部网络进行攻击。
信息的滥用和传播。
政府对外网站被篡改、破坏。严重影响政府形象。
广东科达根据政府机构的具体特点,建立一个完整的安全防护体系,从而提高整个网络的安全,保证应用系统的安全性。在政府方案中,主要在下面几个方面设置:
入侵检测系统NIDS
病毒检查和防护
VPN加密
主页防篡改监控系统
防火墙功能设置及安全策略
下面是政府方案中防火墙一些主要的功能和策略的设置:
配置访问控制:
外部网络:如因特网,将外部对内部、DMZ内服务访问明确限制,防止非法对内部重要系统的访问。利用DMZ的隔离效果,尽量将对外服务的部分服务器放置在DMZ区域,通过NAT模式,保护内部网络免受攻击。关闭操作系统提供的除需要以外的所有服务和应用,防止因为这些服务和应用自身的漏洞给系统带来的风险。对内部E-mail、 FTP、 WWW、数据库的访问做严格的规划和限制,防止恶意攻击行为发生。
内部网络:如政府内部涉密网,内部网络对外部网络(如因特网)的访问也要进行严格的限制。防止内部员工对外网资源的非法访问。对内部员工对外访问采用NAT方式访问。同时内部员工对DMZ区域服务器访问也必须做限制。内部员工对外网WWW访问采用代理服务方式。
DMZ网络:如政府内部办公网,通常情况下DMZ对外部和内部都不能主动进行访问,除非特殊的应用需要到内部网络采集数据,可以有限地开放部分服务。
入侵系统检测(NIDS):
科先达S&T8341能够实时获得最新系统入侵病毒库和攻击库,动态地将这些攻击技术的解决方案加入到科先达S&T8341中,科先达S&T8341安全网关目前能够支持1500种以上的入侵检测并能够成功阻断这样的攻击行为,比如最近的红色代码。针对各种攻击行为,比如TCP序列号攻击、劫持、碎片攻击、端口扫描能够识别阻断。而这个数据库可以实时更新、升级。升级在科先达S&T8341的管理界面即可完成。
拒绝服务攻击:科先达8341安全网关NIDS功能可以抵御下列常见的绝服务攻击:
1. 数据包洪水,包括Smurf 洪水, TCP SYN 洪水,UDP 洪水和ICMP洪水。
2. 畸形数据包,包括Ping of Death,Chargen,Tear drop,land和WinNuke。
电子欺骗:防火墙能够自动识别各种电子欺骗行为并进行阻断。同时防火墙能够对伪装IP地址进行识别。
病毒检查和防护:
科先达S&T8341安全网关解决方案在传统防火墙和虚拟专用网技术中增加了防病毒和蠕虫的功能。为以下类型目标文件在web流量 (HTTP协议) 和电子邮件流量(SMTP、POP3和IMAP协议)中进行病毒和蠕虫检查过滤.在科先达8341网络中,以IPSEC VPN通过的数据包的在网络中是允许通过的。
VPN设置:
保护政府网络系统和下属机构系统的机密数据在传输过程中的安全。
其他相关设置:
还有其他的NAT/路由模式实行地址转、IP/MAC地址捆绑、URL屏蔽、日志和报告、流量管理、双机热备份等相关的设置都可以按照科先达安全网关用户手册进行选择配置。
系统升级:
网络安全技术随着网络技术发展不断变化,而网络安全策略和软件也不能一成不变,需要不断升级。科先达S&T8341安全网关管理界面提供方便的系统升级和NIDS升级功能。科先达S&T8341除了可以手工升级还可以配置自动升级病毒库和攻击库。保证政府防火墙产品实时和网络安全领域技术同步,防止因为新的安全问题给系统带来的安全风险。
政府方案的网络结构图:
 |
科先达S&T8341安全网关可以灵活地满足不同的安全需要,为用户提供了一个多层次和全方位的安全保障系统,广东科达凭借优秀的安全产品和完善的服务体系能够有效保证系统运行的稳定性、灵活性和持久性,为政府的网络信息安全保驾护航。
添加到百度搜藏
