一、前言

水利行业是国家的基础行业，关系到国计民生。近年来，某水利厅积极响应上级水利信息化的号召，利用现有的优势的同时，大力的推进水利资源的信息化进程，紧紧抓住实现水利资源工作主流程信息化这个核心，从根本上改变传统的水利资源工作模式。落实两个基础，即通过数据库建设，积极应对数字化信息不足这一当前水利资源信息化建设的瓶颈问题，为水利资源现代化管理及信息全社会共享提供数字化基础；二是通过信息网络建设，把各级各类水利资源信息系统连接起来，形成一个有机联系的数据传输网络基础。面向三个领域。面向政务管理、调查评价、社会服务三大领域。通过政务管理信息系统的建设，推动政务公开，实现水利资源管理现代化；通过高新技术的应用和计算机专业辅助软件的开发，加速形成以数据流为主线的水利资源调查评价工作体系；建立信息服务网站，形成水利资源信息的社会化服务体系。向社会提供方便快捷、形式多样、内容丰富的信息服务。
但是，也应该看到，信息化在给水利部门带来便利的同时，也给水利部门带来了新的安全问题，并且，这个问题现在显得越来越紧迫。网络安全的建设和计算机管理制度的完善已经跟不上水利厅高速扩展的信息化进程，并且随着各种软件安全漏洞的不断增加，黑客技术不断提高，更加迫切要求水利服务系统具有更高的安全防范体系。
二、网络安全现状及需求分析
2.1网络现状
2.1.1双网并行、物理隔离的整体格局
与其它政府单位一样，水利厅的网络总体构局遵循“双网并行、物理隔离”的网络结构。一套内部的办公、业务网络，与政府内部网络相联。另一套网络与互联网接口。按政府的安全保密要求，两套网络需物理隔开。下面的安全解决方案主要针对内部、业务网，对于另一套与Internet接口的网络的解决方案与此方案类似。
2.1.2网络结构
目前水利系统的网络总体是一个从国家水利部、省水利厅到各地市级水利部门的三级网络结构。同时，还要考虑移动办公的流动节点。各级网络通过政府内部网互联。
某水利厅的内网有三百多台主机，出口带宽为100M。
2.1.3网络应用
1、办公系统
办公系统为内部员工使用，主要实现内部信息资源共享、交换，上级指令下达，各种报表提交等功能。存在很多涉密信息，安全性相当重要。
2、业务系统
业务系统是实现水利部门间的业务数据交换，是水利系统运作的核心。
3、与外单位互联
随着政府政务的公开，省水利厅也需要向其它政府部门如省政府、统计局、信息中心等单位提供各种水利数据，并对其它单位的查询作出响应，向社会公开宣传水利政策，这些都要求省水利厅与外单位互联。
2.1.4现有的安全措施
由于没有配置专业安全产品，目前省水利厅网络的安全措施主要有：
1、操作系统和应用软件自身的身份认证功能，实现访问限制。
2、通过划分VLAN的方式隔离网络，减少信息泄露。
3、单机手动杀毒。
4、定期使用磁带或磁盘进行数据备份。
可见，以上这些措施已难以满足现代网络安全需求。
2.2省水利厅网络安全需求
通过以上对水利厅网络安全现状的分析，我们提出了建设水利厅网络的安全需求：
1、 采用相关的访问控制产品及控制技术，防范来自不安全网络或不信任域的非法访问和非授权访问。
2、 采用安全检测技术，实时检查进出网络的数据流，动态防范各种来自内、外网络的恶意攻击。
3、 采用防病毒产品及技术，实时监测进入网络或主机的数据，防范病毒对网络或主机的侵害。
4、 采用网络备份与恢复系统，实现数据库的安全存储及灾难恢复。
5、 采用加密设备，应用加密、认证技术防范信息在网络传输过程中被非法窃取而造成的信息泄露，并通过认证技术保证数据的完整性、真实性、可靠性。
6、 采用网络隔离传输设备，在保证物理隔离基础上，实现两网间的高效、实时数据传送、审核。
7、 采用网络安全评估系统，定期或不定期对网络系统或操作系统进行安全扫描，评估网络系统及操作系统的安全等级，并分析提出补救措施。
8、 制定完善安全管理制度，并通过培训等手段来增强员工的安全防范技术及防范意识。
9、 根据信息的重要性和保密性要求，划分不同的安全区域，实施多层认证，达到多重保护。
10、 选择技术雄厚、服务及时周到的网络安全专业公司，做好网络安全检测、评估、漏洞修补、救援等服务工作，保证网络的长期安全。

三、某省水利厅网络安全的解决方案
3.2.1网络安全拓扑结构图
网络安全系统是整体的、动态的。网络安全系统符合MPDRR模型（M-management，P-product，D-detection，R1-responce，R2-recovery），因此，要真正实现一个系统的安全，就需要建立一个从保护、检测、响应到恢复的一套全方位的安全保障体系。
我们提供的网络安全方案正是基于MPDRR模型构建的，符合网络安全系统整体性和动态性的特点。它集防火墙、入侵检测、病毒检测、于一体，将多种网络安全技术和优秀网络安全产品在技术上有机集成，实现安全产品之间的互通与联动，是一个统一的、可扩展的安全体系平台。它具体包括了防火墙和VPN的解决方案、入侵检测方案、防病毒方案和数据备份方案。具体见网络拓扑结构图：

3.2.2安全区域的划分
根据数据的敏感程度和需要实施保护的强度，将网络划分为以下五大区域：
1、外部区域
在防火墙的外面，实现与政府内部公网的互联，此区间为不可信任区域，不可信任的服务都放入此区域，如提供远程访问的拨号服务器可放入此区域。
2、内部区域
连接防火墙内网口，受防火墙保护，内部办公网、业务网一般位于此区域。
3、访问服务器区域
位于防火墙的DMZ区，主要放置提供外部服务的服务器群，如WWW、FTP、Email、DNS等，同时也放置提供与外单位、同行业进行数据交换的业务服务器。
4、资源服务器区域
比第三区域更加重要，放置数据库服务器等原始信息服务器，储存大量的原始资源数据，主要提供第三区域的对外服务器调用，但比第三区域增加一层安全关卡，数据备份服务器和病毒服务器也建议放在此区域。
5、内网敏感信息区域
由于内网用户部门较多，为了防止内部攻击，对于财务数据子网等储存有敏感数据的网络建议用防火墙隔开，以防万一遭到内部其它部门用户的破坏，窃取。
3.2.3安全产品的部署
防火墙、入侵检测、防毒网络和数据备份四套系统科学布局，有机结合，达到互补、互动。
3.2.3.1、防火墙的部署
防火墙作为网络安全的核心部件，放置在网络的出口，通过区域的合理划分和设置有效的安全策略，实现以下的功能：
将内外网隔开，避免信息外泄。
通过控制对关键服务器的授权访问控制，拦截非法访问
对外网的服务请求加以过滤，只允许正常通讯的数据包到达相应主机，对于各攻击包和探测包一律加以拦截。
对内部用户访问外网而引入的安全风险加以防范，加强内部用户的出网管理和审计
控制和监测用户源服务器的访问，对于非授权访问和可疑存取及时报警。
3.2.3.2、入侵检测系统的部署
为了防范来自水利系统内部网络和外部网络击，作为防火墙的补充，建议系统内部网各重要网段配备入侵检测引擎，如在访问服务区、资源服务区和防火墙的内网端口和外网口，通过对网络行为的监视，来识别网络的入侵的行为。
在水利网络系统中安装天阗入侵检测系统，可以实现以下功能：
实时监视网络上正在进行通信的数据流，分析网络通讯会话轨迹，反映出内、外网的联接状态。
通过内置已知网络攻击模式数据库，能够根据网络数据流和网络通讯的情况，查询网络事件，进行相应的响应。
能根据所发生的网络安全事件，启用配置好的报警方式，比如Email、声音报警等；
提供网络数据流量统计功能，能够记录网络通信的所有数据包，对统计结果提供数表与图形两种显示结果，为事后分析提供依据。
默认预设了很多的网络安全事件，保障客户基本的安全需要；
提供全面的内容恢复，支持多种常用协议。
支持分布式结构，安装于大型网络的各个物理子网中，一台控制中心可管理多个引擎，达到分布安装，全网监控，集中管理。
支持用户自定义检测规则，并可导入新的攻击模式库。
3.2.3.3、信息传输加密产品的部署
为了保证省水利厅和各地市级间的数据传送不被监听、篡改，在防火墙上配备VPN模块，利用VPN强大的加密技术以及安全认证机制，保护信息在网络上传输的机密性、真实性、完整性及可靠性。
可以使用天海威公司的FlowGateVPN加密产品。
FlowGateVPN的特点：
高加密强度的安全隧道，认证通信双方的身份，实现基于应用的访问控制。
有详细的日志和审计记录，对所处理的每一次通信或服务都可以进行详细的记录。
提供穿越防火墙的VPN应用模式，可以直连的方式把通过认证的数据直接传送到主机的应用程序。
支持移动VPN客户端，配套VPN单机软件，可实现远程安全办公。
可以与第三方认证产品集成，提供更强的身份认证和访问控制功能。
3.2.3.4、防病毒产品的部署
病毒是系统中最常见、威胁最大的安全来源，建立一个全方位的病毒防范系统是我国水利网络系统安全体系建设的重要任务。
目前主要采用病毒防范系统解决病毒查找、清杀问题。
根据水利系统网络结构和计算机分布情况，病毒防范系统的安装实施要求为：能够配置成分布式运行和集中管理，由防病毒代理和防病毒服务器端组成。
防病毒客户端安装在系统的内网主机和各服务器中。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀，设定病毒防范策略。能够从多层次进行病毒防范，第一层工作站、第二层服务器都能有相应的防毒软件提供完整的、全面的防病毒保护。
Norton 网络杀毒系统是国内权威的杀毒软件，广泛应用在政府网络。
服务器防病毒系统：选用服务器防病毒系统，实时检测并清除各种病毒、自动更新及传送病毒码文件、提供详细病毒事件报告；还提供集中式安装及管理。为内部服务器的病毒防护提供强有力的保障。
工作站防病毒系统：通过C/S结构模式，服务端防病毒系统将自动检测各工作站上防病毒软件安装情况，服务端将自动分发并远程安装各工作站病毒防护系统。保证工作站免受病毒侵害的同时，也大大减轻安全管理员的工作强度。
邮件服务器防病毒系统：通过检测进出邮件服务器的邮件及其所带附件，查看是否带有病毒程序，专门保护邮件服务器系统的安全。
3.2.3.5、数据备份系统的部署
备份和灾难恢复是对水利网络系统工作中可能出现的各种灾难情况（如计算机病毒、系统故障、自然灾害、人为破坏等）进行的保证系统及数据连续性和可靠性的一种防范措施。
备份服务器和资源数据库在逻辑上处于同一区域，在客观条件允许的情况下，物理放置位置尽可能远离资源服务器，建议采用CA公司的备份产品。可实现对数据库、邮件服务器和其它应用数据的实时网络备份。在受到损坏时可实现灾难恢复。