【51CTO.com 綜合消息】網(wǎng)絡(luò)現(xiàn)狀及需求分析

某省地方稅務(wù)局于1994年8月掛牌成立，是負(fù)責(zé)全省地方稅收征收管理服務(wù)工作的行政執(zhí)法單位，目前負(fù)責(zé)管理營(yíng)業(yè)稅、企業(yè)所得稅、個(gè)人所得稅、資源稅等10個(gè)地方稅種和文化事業(yè)建設(shè)費(fèi)、教育附加費(fèi)的征收工作，還承擔(dān)著全省社保費(fèi)的征繳任務(wù)。

該稅務(wù)局依照金稅三期要求，已完成全省骨干廣域網(wǎng)（包括省、地市州、區(qū)縣、稅務(wù)所4級(jí)網(wǎng)絡(luò)）的建設(shè)，并于2007年11月實(shí)現(xiàn)了全省數(shù)據(jù)大集中，使地稅系統(tǒng)信息化建設(shè)向數(shù)字化邁進(jìn)。但信息化發(fā)展的同時(shí)也帶來(lái)了不少安全問(wèn)題：

1.總局在全國(guó)統(tǒng)一部署了防病毒軟件并對(duì)各省檢測(cè)到的病毒數(shù)進(jìn)行統(tǒng)計(jì)和排名，某省每次排名都比較高；

2.門(mén)戶網(wǎng)站和網(wǎng)上報(bào)稅系統(tǒng)沒(méi)有進(jìn)行應(yīng)用層防護(hù)，時(shí)常遭受SQL注入、XSS跨站腳本等面向應(yīng)用層的攻擊。

3.上網(wǎng)速度慢，內(nèi)網(wǎng)P2P、IM等軟件濫用現(xiàn)象嚴(yán)重；

設(shè)備部署

為了加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)，保障業(yè)務(wù)系統(tǒng)的穩(wěn)定運(yùn)行，在省局的互聯(lián)網(wǎng)出口和連接總局出口處各部署一臺(tái)聯(lián)想網(wǎng)御入侵防護(hù)系統(tǒng)Power V-4500IPS，對(duì)上聯(lián)總局和進(jìn)出互聯(lián)網(wǎng)的數(shù)據(jù)進(jìn)行防護(hù)。 

IPS設(shè)備部署效果圖

實(shí)施效果

1.阻止病毒傳播

部署在上聯(lián)總局出口處的IPS成功阻止了網(wǎng)絡(luò)病毒、蠕蟲(chóng)病毒的傳播，使得某省地稅系統(tǒng)在總局的病毒檢測(cè)統(tǒng)計(jì)中首次降到了最后一名，有效阻止了蠕蟲(chóng)病毒向全國(guó)范圍的傳播。

2.阻止DoS/DDoS攻擊

聯(lián)想網(wǎng)御IPS提供獨(dú)特的DoS/DDoS檢測(cè)及預(yù)防機(jī)制，可以辨別合法數(shù)據(jù)包以及DoS/DDoS攻擊數(shù)據(jù)包。同時(shí)，可設(shè)定單位時(shí)間內(nèi)訪問(wèn)特定服務(wù)的次數(shù)，以阻斷未知類(lèi)型的DoS/DDoS攻擊，并且對(duì)針對(duì)應(yīng)用服務(wù)器的CC攻擊實(shí)現(xiàn)了有效的阻止。因此，當(dāng)用戶在遭受DoS/DDoS攻擊之時(shí)，聯(lián)想網(wǎng)御IPS仍然能夠保證合法用戶順利享用網(wǎng)絡(luò)服務(wù)。

3.對(duì)Web網(wǎng)站進(jìn)行安全防護(hù)

互聯(lián)網(wǎng)出口部署聯(lián)想網(wǎng)御IPS之后，檢測(cè)到多次針對(duì)Web服務(wù)器的SQL注入和XSS跨站腳本攻擊，并成功阻止。

SQL注入和XSS跨站腳本攻擊的危害非常大，普遍存在且隱蔽性強(qiáng)，同時(shí)，網(wǎng)站代碼會(huì)不斷更新，即使清除了現(xiàn)有漏洞，此類(lèi)問(wèn)題仍會(huì)反復(fù)出現(xiàn)。部署了聯(lián)想網(wǎng)御IPS后，可在網(wǎng)關(guān)處攔截攻擊，不用逐臺(tái)服務(wù)器，逐個(gè)程序去查找漏洞；也無(wú)需再擔(dān)心程序更新造成漏洞反復(fù)出現(xiàn)。目前，聯(lián)想網(wǎng)御IPS的規(guī)則庫(kù)中支持對(duì)7種以上SQL注入攻擊的防護(hù)，并在不斷進(jìn)行更新，可有效防護(hù)Web服務(wù)器免受此類(lèi)攻擊。

4.對(duì)P2P、IM有效管理

針對(duì)內(nèi)網(wǎng)P2P、IM等軟件濫用嚴(yán)重的情況，在互聯(lián)網(wǎng)出口部署的IPS上設(shè)置嚴(yán)格的管控策略：

由于每個(gè)月的月底到下月初是集中報(bào)稅的時(shí)間，對(duì)網(wǎng)絡(luò)帶寬的需求較大，因此在這段時(shí)間內(nèi)設(shè)置為完全禁止使用P2P進(jìn)行下載；而在其他時(shí)段則對(duì)P2P應(yīng)用進(jìn)行限流，以保障正常業(yè)務(wù)流量。IPS部署后，集中報(bào)稅時(shí)間段的服務(wù)器響應(yīng)時(shí)間有了很大的提升。

對(duì)IM軟件的使用采取分項(xiàng)管控、分段應(yīng)用、分時(shí)執(zhí)行的策略。只允許某些部門(mén)在休息時(shí)間進(jìn)行文字信息交流，而禁止其他所有部門(mén)在任何時(shí)間進(jìn)行文件傳輸或音頻、視頻聊天。IM軟件的詳細(xì)管控不僅提高了工作效率，也杜絕了通過(guò)IM軟件泄露機(jī)密文件或傳播病毒的可能性。

應(yīng)用和數(shù)據(jù)安全保障是下階段安全建設(shè)的重點(diǎn)方向，為此聯(lián)想網(wǎng)御2008年提出了以之為核心的“信息安全2.0”的理念和解決方案，SSL VPN、IPS和安全隔離網(wǎng)閘是保障應(yīng)用和數(shù)據(jù)安全的主要產(chǎn)品，其中IPS重點(diǎn)保證關(guān)鍵服務(wù)器的安全運(yùn)行，保證內(nèi)網(wǎng)用戶的上網(wǎng)安全有序，特別適合重要行業(yè)用戶互聯(lián)網(wǎng)接入安全防護(hù)。