网络安全设计方案(4)

然而，县卫生局网络内部各办公网络、业务网络的运行秩序的维护，网络操作行为的监督，各种违规、违法行为的取证和责任认定，以及对操作系统漏洞引发的安全事件的监视和控制等问题，则是必须予以解决的问题。因此有必要在各种内部办公网络、业务网内部部署集中管理、分布式控制的监控与审计系统。这种系统通过在局域网（子网）内的管理中心安装管理器，在各台主机（pc机）中安装的代理软件形成一个监控与审计（虚拟网络）系统，通过对代理软件的策略配置，使得每台工作主机（pc机）按照办公或业务操作规范进行操作，并对可能经过主机外围接口（usb口、串/并口、软硬盘接口等）引入的非法入侵（包括病毒、木马等），或非法外连和外泄的行为予以阻断和记录；同时管理器通过网络还能及时收集各主机上的安全状态信息并下达控制命令，形成“事前预警、事中控制和事后审计”的监控链。

监控与审计系统应具有下列功能：

管理器自动识别局域网内所有被监控对象之间的网络拓扑关系，并采用图形化显示，包括被监控主机的状态（如在线、离线）等；

支持对包含有多个子网的局域网进行全面监控；

系统对被监控对象的usb移动存储设备、光驱、软驱等外设的使用以及利用这些设备进行文件操作等非授权行为进行实时监视、控制和审计；

系统对被监控对象的串/并口等接口的活动状态进行实时监视、控制和审计；

系统对进出被监控对象的网络通信(www,ftp,pop,smtp)数据包进行实时拦截、分析、处理和审计，对telnet通信数据包进行拦截；

系统可根据策略规定，禁止被监控对象进行拨号(普通modem拨号、adsl拨号、社区宽带拨号)连接，同时提供审计；

系统对被监控对象运行的所有进程进行实时监视和审计；

系统支持群组管理，管理员可以根据被监控对象的属性特征，将其划分成不同的安全组，对每个组制定不同的安全策略，所有组的成员都根据该策略执行监控功能；

支持多角色管理，系统将管理员和审计员的角色分离，各司其职；

强审计能力，系统具有管理员操作审计、被监控对象发送的事件审计等功能；

系统自身有极强的安全性，能抗欺骗、篡改、伪造、嗅探、重放等攻击。


方案二：网络安全设计方案

某市政府中心网络安全方案设计

1.1安全系统建设目标

本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案，包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下，实现对网络的全面安全管理。

1) 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险；

2) 通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护；

3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。

具体来说，本安全方案能够实现全面网络访问控制，并能够对重要控制点进行细粒度的访问控制；

其次，对于通过对网络的流量进行实时监控，对重要服务器的运行状况进行全面监控。

1.1.1 防火墙系统设计方案

1.1.1.1 防火墙对服务器的安全保护

网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为"黑客"攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。