第一章网络安全测试策略措施对于网络安全应包括两层含义，一是网络安全，二是访问控制的安全。

在此我们给出全网网络安全建议。

6.1网络安全策略6.1.1 网络安全概述网络为人们提供了极大的便利。

但由于构成Internet的TCP/IP协议本身缺乏安全性，网络安全成为必须面对的一个实际问题。

网络上存在着各种类型的攻击方式，包括：窃听报文——攻击者使用报文获取设备，从传输的数据流中获取数据并进行分析，以获取用户名/口令或者是敏感的数据信息。

通过Internet的数据传输，存在时间上的延迟，更存在地理位置上的跨越，要避免数据不受窃听，基本是不可能的。

IP地址欺骗——攻击者通过改变自己的IP地址来伪装成内部网用户或可信任的外部网络用户，发送特定的报文以扰乱正常的网络数据传输，或者是伪造一些可接受的路由报文（如发送ICMP的特定报文）来更改路由信息，以窃取信息。

源路由攻击——报文发送方通过在IP报文的Option域中指定该报文的路由，使报文有可能被发往一些受保护的网络。

端口扫描—通过探测防火墙在侦听的端口，来发现系统的漏洞；或者事先知道路由器软件的某个版本存在漏洞，通过查询特定端口，判断是否存在该漏洞。

然后利用这些漏洞对路由器进行攻击，使得路由器整个DOWN掉或无法正常运行。

拒绝服务攻击——攻击者的目的是阻止合法用户对资源的访问。

比如通过发送大量报文使得网络带宽资源被消耗。

Mellisa宏病毒所达到的效果就是拒绝服务攻击。

最近拒绝服务攻击又有了新的发展，出现了分布式拒绝服务攻击，Distributed Denial Of Service，简称DDOS。

许多大型网站都曾被黑客用DDOS 方式攻击而造成很大的损失。

应用层攻击——有多种形式，包括探测应用软件的漏洞、“特洛依木马”等。

另外，网络本身的可靠性与线路安全也是值得关注的问题。

6.1.2 网络安全的需求分析承载网络提出需要有一个可靠的、安全的、开放的、可扩缩的、全方位的安全了网络系统。

具体建设时考虑以下几个方面：安全体系：必须从系统工程的高度来设计安全系统，在网络各层次都应该有相应的安全措施，同时还要注意到内部安全管理在安全系统中的重要作用。

可靠性：安全系统自身必须能够确保正常运行，不能因为安全系统出现故障导致整个网络出现瘫痪。

安全性：安全系统既要保证网络和应用的安全，又要保证自身的安全。

开放性：必须保证安全系统的开放性以保证不同厂家的不同产品能够集成到安全系统中来，并保证安全系统以及各种应用的安全可靠运行。

可扩缩性：安全系统必须是可扩缩的，以适应网络规模的变化。

6.1.3 网络安全措施组网结构上，整个骨干网的骨干路由器与骨干路由器之间，以及骨干节点交换机与各核心路由器之间通过双归属星形连接，使得任意一条连接出现故障时，可以通过另外一条连接提供服务，而不会导致服务暂停。

充分保证了网络的可靠性。

整个网络运行动态路由协议，通过动态路由实现网络层次的自动备份。

设备配置上，骨干层设备采用双主控、双电源、双交换网实现冗余备份，故障时能够自动倒换，并支持热插拔和更换。

倒换时不影响转发。

同时支持VRRP （Virtual Router Redundancy Protocol，虚拟路由器冗余协议），以实现双机热备份。

互联网出口部署防火墙、IDS系统，对出入数据报文进行2至7层检测，实时防御黑客入侵，屏蔽攻击和蠕虫等病毒异常情况；并定期整理归档系统的日志。

同时设备通过完善的QoS功能能够严格的控制网络流量，提高网络效率，通过VLAN划分来防止网络窃听。

在无法划分VLAN的情况下，应对需保密的数据进行加密。

设备管理按照分级分权进行，不同级别的用户可以访问和管理不同的网络资源。

对关键的主机系统和子网，能够进行网络资源检查，并及时发现问题。

使用安全扫描软件，对关键的主机系统和网络定期进行扫描，可以检查出网络弱点和策略配置上的问题。

根据扫描软件发现的问题，及时更新操作系统补丁，查杀病毒，更新安全策略。

定期强制更新用户口令，并制定用户口令规则，禁止使用不符合规则的口令。

定期检查文件系统的访问权限是否合理，检查用户帐号的使用是否正常。

6.1.4 网络安全的支持网络设备具备安全保护功能，提供多种网络安全机制，为内部网络及外部数据提供了有力的安全保护。

需采用硬件高速状态防火墙，不仅支持丰富协议的状态检测及地址转换功能，而且具备强大的攻击防范能力，提供静态和动态黑名单过滤、基于ISPKeeper 专利技术的流控等特性，可提供丰富的统计分析功能和分级分类的详细日志。

还需要可支持QOS特性、VPN等特性，提供完善的组网应用解决方案。

提供标准和扩展的ACL包过滤。

支持状态检测、应用代理功能，华为ASPF(Application Specific Packet Filter)技术可实现对每一个连接状态信息的维护监测并动态地过滤数据包，防止地址欺骗、身份伪造等恶意攻击行为；支持对SMTP、HTTP、FTP、RTSP、H.323、SIP以及通用的TCP、UDP应用进行状态监控。

防范多种DoS攻击：SYN Flood、ICMP Flood、UDP Flood、Land攻击、Smurf 攻击、Fraggle攻击、WinNuke攻击、ICMP重定向或不可达报文、TCP报文标志位不合法、Ping of Death攻击、Tear Drop攻击、IP Spoofing 攻击等。

可防范扫描窥探，包括：地址扫描、端口扫描、IP源站选路选项、IP路由记录选项、tracert窥探网络等。

支持黑名单过滤恶意主机、过滤假冒的IP地址。

支持应用层过滤，提供Java Blocking和ActiveX Blocking保护，提供端口隐藏机制、端口到应用的映射。

可按照RADIUS协议规范实现AAA，构建分布式客户/服务器安全访问应用控制。

支持L2TP、GRE协议，支持IPSec，提供DES、3DES、MD5的加密算法，遵照ISAKMP协议框架和IKE协议实现密钥交换功能。

可构建远程访问、网络到网络等多种VPN组网。

安全设备需要支持ISPKeeper功能，通过对系统数据流量和连接状况进行监视，在发现异常情况时采取适当的处理措施，可以有效、灵活地防止ISP、IDC 网络遭受流量攻击。

此外，完善的QOS特性可实现对于用户约定流量、攻击流量等特征流的带宽管制服务。

6.2访问控制安全策略根据网络中不同用户对不同资源的访问需求，需要制定相应的安全策略，以下通过对几个场景的访问需求和安全需求进行分析，给出了对应的安全实施方案。

6.2.1 单位内部工作人员的安全方案在兵团级城域网、师级城域网或团级城域网内部的一个单位内部成员将需要对相关的资源进行访问，同时也将提出相应的安全需求。

单位内部工作人员安全要求：1）能访问本系统内部的服务器2）能访问公共系统的服务器3）能访问单位内部公文、业务处理系统的服务器4）不允许被其他单位用户访问单位内部工作人员安全实施方案：单位内部工作人员属于单位的内部网网络为实现上述功能，需要将本系统内部的服务器，公共系统服务器，电子公文交换系统，业务处理系统的路由注入本单位内部网络中。

6.2.2 各个单位内部服务器的安全方案系统内部服务器安全要求：1）允许和本系统内部其他同一系统单位的服务器通信2）允许本单位和本系统内其他单位的授权用户访问3）不允许其他用户访问系统内部服务器安全实施方案：由于各个单位内部的服务器都是由各个单位内部管理，所以在接入电子政务网后，需要各个单位加强服务器的安全管理。

如果可以，最好是把服务器统一托管到信息中心进行管理。

6.2.3 公共服务器网段的安全方案公共服务器网段安全要求：1）允许其他网段访问本网络中的服务器2）允许本网段访问其他网段公共服务器网段安全实施方案：公共服务器本身是开放的，因此将公共服务器的路由与其他所有允许访问用户的路由互相进行分发，所以必须允许公共服务器网段可以访问其他网段，因为这样可能导致个别部门的用户如果攻击公共服务器并获得对该服务器的控制权后，可以从该服务器出发访问到其他所有网络，潜在的安全风险比较大。

6.2.4 移动办公人员安全方案移动办公人员安全要求：1）需要对其接入身份进行验证2）透过公网传输数据需要防止泄密3）不允许其它用户的机器非法连接到其物理交换端口特殊需求人员安全实施方案：鉴于政务网各部门的特殊安全性要求，在移动办公接入的安全性上，采用L2TP＋IPSEC，双管齐下的方式，充分利用L2TP协议本身的身份认证功能，完成对接入用户身份的确认，另外传输数据采用IPSEC加密之后，可以有效防止内网数据在外网传输时有泄密风险。

6.2.5 统一办公网络安全方案统一办公网络安全要求：有多个机关单位在同一个地方办公（如政府大楼），每个机关单位都有一个或多个员工在一起办公，需要访问其每个单位系统内部的服务器。

统一办公网络实施方案：在中区一楼大厅中办公的每个不同单位的员工分配不同的IP子网/VLAN，并分别加入其单位内部网络，由于单位内部网络是允许访问系统内部的服务器的，因此可以实现安全要求。

6.2.6 同一单位，分布在不同地方的应用安全方案同一单位，分布在不同地方的应用安全要求：同一单位，办公地点不在同一个地理位置，需要互相访问。

同一单位，分布在不同地方的应用安全实施方案：将不同办公地方的IP子网/VLAN都划入单位内部网络，可实现安全需求。