政府网络安全-站

论文导读：
1004-1079（2008）10-0196-01
网络极大地提高了政府办事的效率，但同时也带来网络安全的风险。政府网络设计中必须制定网络安全策略，保证内部网络的完整性和安全性。为了保证网络的安全，可以采取以下安全措施。

1.防火墙部署

在政府网站与Inter之间采用状态检测包过滤技术，实现快速的基于源/目的IP地址、服务、用户和时间的细粒度访问控制。通过记录新建应用连接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在系统中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态检查表，就可以快速通过。这种方式的好处在于：由于不需要对每个数据包进行规则检查，而是通过专门设计的算法实现同一连接的后续数据包（通常是大量的数据包）直接进入状态检查，从而较大提升系统性能。

2.网络安全预警系统的部署

入侵检测能力是衡量一个防御体系是否完整有效的重要因素，根据政府网络的特点，我们采用瑞星网络安瑞星网络版杀毒软件的部署，为了实现在整个局域网内病毒的防护，我们在可能感染和传播病毒的地方采取相应的防病毒手段，实现远程安装、智能升级、远程报警、集中管理、分布查杀病毒等多种安全防护功能。

3.防毒墙的部署

在Internet与政府网内网之间部署瑞星防毒墙或其他防毒设施。其中WWW、E-mail、FTP、DNS服务器连接在防火墙的DMZ区，与内、外网间进行隔离，内网口连接校园网内网交换机，外网口通过路由器与Internet连接。这样，通过Internet进来的外网用户只能访问到对外公开的一些服务（如WWW、E-mail、FTP、DNS等），既保护内网资源不被非法访问或破坏，也阻止了内部用户对外部不良资源的使用，并能够对发生的安全事件进行跟踪和审计。

4.病毒的防范

设立防毒网关，防火墙无法防止病毒的传播，因而需要安装基于Internet网关的防毒软件，具体可以安装到服务器上，以防止Internet病毒及Ja程序对系统的破坏。

5.访问控制

利用身份认证技术对于拨号进入政府网的用户进行严格控制，在拨号线路上加装保密机，使无保密机的用户无法拨通；通过用户名和口令的认真检查用户身份；利用回拨技术再次确认和限制非法用户的入侵。
这是政府网络安全的一个方案。另外，可以采取另一个方案。那就是构筑整体的网络安全架构。

1.ARP攻击防范和伪DHCP防范以及其他

（1）政府网的ARP防范方案
政府网的分布层交换机为三层交换机，支持硬件ACL功能。这样就可以将中毒机器单独隔离。在二层半（或者三层）交换机端口上手工添加IP+MAC绑定，交换机端口芯片则会根据所绑定的信息对所有报文进行检查，不匹配的报文将被丢弃。而且当ARP报文内部内容部分（sender address项）不符合绑定内容或者伪造有假网关信息，则该ARP报文也会被丢弃，该过程由硬件完成，对交换性能无影响。中毒机器被单独隔离，所有PC的IP摘自：7彩论文网毕业论文结论范文www.7ctime.com
地址被绑定，不会再有IP冲突的问题。
（2）针对伪DHCP欺骗
我们将用户端口设置为非信任端口，非信任端口下是不允许接DHCP服务器的，所以即使有伪DHCP服务器挂在内网，也不会欺骗到其他的用户。
（3）针对用户私改IP地址
内网用户都是通过自动获取地址的方式上网，但是如果有用户手动篡改自己的IP修改为其他用户通过自动获取得来的IP，这样就会导致正常用户发现内网地址有重复，可能会导致此用户不能上网。针对这种情况，我们在汇聚层交换机开启DHCP snooping分发地址保护功能，一旦用户获取到了一个地址，那么交换机就会对这个分发出去的IP和用户的MAC进行保护，自动绑定到对应端口，其他用户即使手动篡改为此IP，修改者也发现无法上网，而正常获取到地址的用户还是正常上网。

2.FLOOD攻击防范、环路检测防范

针对FLOOD攻击，我们可以在端口下设置IP计时器——IP计时器和ARP计时器的处理机制比较相似，如果一台设备在一段时间内发送目的IP不同的数据包过多，交换机同样会封锁此设备一段时间。
二层以上的交换机支持生成数协议，这就意味着如果一根网线在交换机上自环，交换机为了保护整个网络不会产生环路，会主动关闭掉一个端口来清除环路。