概述

保險基金是一種社會后備基金。社會后備基金的主要形式如下：集中形式的后備基金、自保形式的后備基金和保險形式的后備基金。而保險形式的后備基金即保險基金是保險機構通過簽訂合同向被保險人收取保險費而形成的一種后備基金，用于因保險事故造成的損失的補償。網站作為保險基金形象形象門戶，為社會各界用戶提供信息類咨詢訪問一體服務。

風險分析

1.1   網絡邊界安全

保險基金網站為新建業務，在邊界實際上都可以劃分出一個相對獨立的安全域（即網絡或子網），不同安全域之間的用戶的越權、非法訪問成為最主要的安全風險，這些越權、非法訪問將直接危害到各安全域自身的安全。另外，蠕蟲病毒的威脅也非常嚴峻，一旦某一個子網爆發蠕蟲病毒，會立即從一個子網節點迅速蔓延到其他子網區域，很快會導致蠕蟲在整個二級網內傳播和破壞，造成網絡性能嚴重下降甚至網絡崩潰。最后，還需要考慮邊界網絡設備本身的安全風險（例如遠程管理、弱口令等）。

1.2   數據傳輸安全

針對業務系統的應用現狀及面臨的問題。需要對WEB網站系統進行改造并加強信息安全的建設。通過信息安全建設，保證業務系統的安全應用；通過信息安全建設，強化對業務系統的管理能力，用安全技術來輔助安全管理。對機動車產品合格證打印系統的建設，主要需求如下：

     通過信息安全建設，消除和減小現有的安全風險，將安全風險減小到可接受的程度，并且保持這種程度。強化業務流程，通過對業務流程的強化，減少人工管理成本。

1.3   WEB應用安全

隨著B/S模式應用開發的發展，企業資源逐漸向數據中心轉移并集中，Web平臺承載了越來越多的核心業務，Web的開放性給工作方式帶來了高效、方便的同時也使業務重要信息完全暴露在危險中，如頻繁發生的SQL注入、XSS跨網腳本攻擊。

1.4   計算機區域安全

保險基金部署PC服務器以及大量的終端設備，這些計算設施尤其是服務器群作為應用系統的主要載體，其安全性至關重要。同時，服務器群非常容易成為黑客和蠕蟲病毒攻擊的主要目標，這也就意味著服務器群的安全風險等級較高；而終端設備往往部署較為分散，難于統一管理，操作人員的計算機水平也參差不齊，因此終端設備的安全管理成為網絡管理人員最為棘手的安全問題。

2        方案設計原則

在保險基金項目的方案設計中，我們遵循了以下的原則：

•           整體安全和全網統一的原則

•           標準化、一致性原則

•           需求、風險、成本折衷原則

•           實用、高效、可擴展原則

總體部署：

【整體網站安全防護安全方案】

部署一臺UTM統一安全威脅網關、一臺IDS入侵檢測系統、一臺ＷＥＢ防護網關。

3        解決方案

3.1   UTM解決方案

越來越多的調查顯示，目前的信息網絡系統面臨來自內部和外部的多重安全威脅。這些威脅包括病毒、機密泄漏、黑客攻擊、濫用網絡、垃圾郵件等。盡管防火墻、IDS等傳統安全產品在不斷的發展和自我完善，但是道高一尺魔高一丈，黑客們不僅專門針對安全設備開發各種工具來偽裝攻擊、逃避檢測，在攻擊和入侵的形式上也與應用相結合越來越緊密。這些都使傳統的安全設備在保護網絡安全上越來越難。目前更多的出現了以下的安全問題：

•           混合式攻擊

隨著黑客攻擊技術的不斷變化，原本可以防御的安全威脅如：蠕蟲病毒、木馬間諜等逐漸混合在一起，經過黑客的特殊設計和精心安排，可以分別繞過現有的安全設備，從而實現單點突破。

•            難以安全管理

隨著網絡應用的普及，不少企業和機關單位都對網絡安全非常重視，在網絡上先后布置了防火墻、VPN、IDS、防病毒系統等等。隨著混合攻擊的出現，為了減少安全隱患，用戶可能還需要進一步安置網絡安全設備。由于每一個設備都需要管理和維護，不同的設備有著不同的配置界面、不同的參數。隨之帶來的問題是用戶對網絡安全的管理成本以及運營成本會越來越高昂。

•            灰色軟件和垃圾郵件橫行

隨著電子郵件的普及，垃圾郵件問題也是網絡安全中最棘手的問題之一。垃圾郵件會帶來大量的垃圾信息，每個用戶都需要花去相當的時間處理垃圾郵件。同時，垃圾郵件也會作為各種病毒、木馬以及灰色軟件的載體，增大用戶網絡安全的隱患�；疑�軟件（Grayware）則是最近常出現在IT行業的新詞匯。它們通常會透過免費軟件/共享軟件、自動下載功能、或 cookie 潛入系統，而且往往都沒有解除安裝的選項。它們的影響輕則產生干擾 ，例如：跳出廣告或重新導向造成 Internet 活動中斷、光標與滾動條不受控制，以及令人陌生的工具條等；重則造成破壞 ，例如：跟蹤計算機使用、侵犯隱私、竊取信息、開啟危害系統安全的漏洞、更改 Internet Explorer 首頁、搜尋引擎與安全設定等。

對于這種問題，是否有較好的安全解決方案呢？特別是面對眾多的網絡設備—VPN網關、防火墻、防病毒網關、入侵檢測設備、內網安全監控、訪問控制產品、垃圾郵件過濾產品等，又當如何選擇？

解決這種問題的關鍵就是用一種設備替代所有的分布式方案，以便達到內外雙修的效果。為此，IDC在2004年提出將企業防火墻、入侵檢測和防御以及防病毒結合于一體的設備，命名為統一威脅管理UTM，防止快速增長的混合型攻擊。

網御星云Power V UTM防火墻—作為信息安全的新一代門戶，也由此應運而生。網御星云Power V UTM防火墻是一種多功能網關，在防火墻和VPN的基礎上集成了防病毒、入侵防御系統、防垃圾郵件、網頁過濾等功能。

3.1.1      方案設計

保險基金用戶網絡面臨著黑客、蠕蟲病毒、網絡入侵、不良內容、垃圾郵件等多種安全威脅，每種威脅需要使用專門的安全產品，從網絡隔離、病毒防護、入侵檢測、內容過濾等各方面進行全方位的保護。如果在保險基金用戶網絡出口分別部署防火墻、防病毒網關、入侵檢測系統、內容過濾、VPN等一系列安全產品，采購產品成本及將來的維護成本過高。我們推薦使用網御星云的新一代硬件綜合安全網關設備網御星云Power V UTM 網關，在保險基金用戶網絡網關處形成綜合安全防護體系，提供最高的性價比。

需要指出的是，傳統防火墻基于狀態檢測的包過濾技術，只能在網絡層針對IP地址、端口等進行簡單的過濾，這并非保險基金網絡安全建設的終極目標，不能滿足當前網絡安全的要求，黑客一旦偽裝成合法IP進行攻擊，防火墻將不會阻擋。且當前傳播速度最快、危害最嚴重的并非網絡層的攻擊，而是應用層的病毒、入侵、垃圾郵件、不良內容等，以及各種復雜的混合型攻擊。而傳統的網絡層防火墻對這些應用層的攻擊行為沒有防范能力，對于網絡的保護作用是極為有限的。保險基金用戶網絡真正需要的是網絡層和應用層全面的安全防御體系。網御星云Power V UTM 網關是一個集防火墻、防病毒、入侵檢測/阻斷、VPN（虛擬專用網）和內容過濾、反垃圾郵件等多項功能于一身的綜合安全網關，利用專用ASIC內容處理器進行加速和自主研發的高效強化安全的實時嵌入式操作系統，突破了芯片設計、網絡通信、安全防御及內容分析等諸多難點，超越了傳統防火墻僅能在網絡層進行粗粒度的包過濾的安全層次，能夠從網絡層到應用層為保險基金用戶網絡提供全方位的安全保護。

產品部署網絡拓撲圖如下：

產品部署說明：

保險基金用戶IDC托管機房

保險基金用戶出口流量一般，對設備的功能及性能要求不是很百兆設備可以完全滿足，必須在能夠滿足當前流量的前提下保障保險基金用戶的信息安全，同時對設備的可靠性提出了更高的要求。

根據對保險基金用戶的數據流量及功能需求的分析，我們建議在保險基金用戶網絡出口處部署1臺網御星云Power V UTM 網關，單機串聯路由方式部署。

各功能模塊配置說明：

通過在網御星云Power V UTM 上配置防火墻、病毒防護、入侵檢測/保護、內容過濾、反垃圾郵件，VPN等安全設置，便可對進出保險基金用戶網絡的流量進行黑客攻擊、病毒、入侵、不良內容和垃圾郵件等的全方位過濾。保險基金用戶可以根據實際情況酌情開啟這些功能模塊。

•           防火墻

首先需要配置防火墻功能。對重要節點和網段進行邊界保護，可以對所有流經防火墻的數據包按照嚴格的安全規則進行過濾，將所有不安全的或不符合安全規則的數據包屏蔽，防范各類攻擊行為，杜絕越權訪問，防止非法攻擊；可以對網絡流量進行精確的控制，可以對用戶進行多種認證等。如：嚴格限制保險基金用戶內網與Internet之間的互訪。對于Internet對內網的訪問，我們僅僅開放必須對外提供服務的IP和端口，其他的訪問一律禁止。同樣也可以很靈活的控制保險基金用戶內網用戶對Internet的訪問權限，可以通過IP地址、協議、端口等參數進行控制，使得在內網中的部分用戶可以訪問外網，而其他用戶不能通過防火墻訪問Internet。

•            防病毒

病毒是當前網絡安全的頭號威脅，而據ICSA（國際計算機安全協會）的統計表明，超過90%的病毒是通過Internet傳播的，因此Internet網關防病毒應該是保險基金用戶安全建設的重中之重。傳統的防火墻產品只能在網絡層進行IP包過濾，無法過濾病毒；而如今市場上的防病毒網關多為軟件產品（或者預裝在工控機上，本質仍然是軟件），防病毒性能較低，無法滿足保險基金用戶網絡的高性能要求。而網御星云Power V UTM 是基于ASIC芯片技術的硬件病毒網關。利用ASIC硬件技術進行數據包內容病毒掃描，在性能上有了質的飛躍，可以提供近乎實時的病毒過濾性能。我們只需要針對保險基金用戶網絡的安全需求，對網御星云Power V UTM 的防病毒功能進行相應設置，便能夠對進出保險基金用戶網絡的數據流進行實時病毒過濾，將病毒阻擋在Internet入口處。網御星云Power V UTM 的網關病毒過濾特性還可以有效地防止病毒進入內網之后利用計算機系統漏洞肆意傳播，大量消耗系統資源和網絡帶寬所造成的DoS/ DDoS（拒絕服務/分布式拒絕服務）攻擊。如下圖所示：

•    入侵檢測/防護

網御星云Power V UTM 內置基于ASIC的入侵檢測/防護功能。網絡入侵檢測/防護系統(IDS/IPS)是一種實時網絡入侵檢測傳感器，它能對外界各種可疑的網絡活動進行識別及采取行動。為通知系統管理員有攻擊行為發生，IDS將此攻擊及一切可疑流量記錄到攻擊日志中，并根據設置發送報警郵件。網御星云Power V UTM 可以檢測并阻斷多種類型攻擊，例如DoS/ DDoS（拒絕服務/分布式拒絕服務）攻擊（包括TCP SYN flood, UDP flood 和 ICMP flood，Ping of Death，Tear drop等）。通過配置保險基金用戶網絡中網御星云Power V UTM 的IDS/IPS模塊，可以防止各類網絡攻擊和入侵行為的發生。直接對網絡入侵行為進行阻斷，不給黑客以任何可乘之機。網御星云Power V UTM 可以進行手動、自動的更新攻擊特征庫，擴充攻擊特征數量，防范最新攻擊。

•    內容過濾

來自于Internet的不良內容（如非法、反動、色情網站和有害腳本等）也是對保險基金用戶內網的重大威脅。網御星云Power V UTM 可以掃描進出網絡的所有基于HTTP內容協議傳輸的URL、URL模式以及網頁內容。如果掃描過程中檢測到與URL屏蔽列表中所列出的URL相匹配的條目，或是網頁的內容中包含有文字或詞條出現在所要屏蔽的內容列表中，那么網御星云Power V UTM 將屏蔽該網頁。

網御星云Power V UTM 還具有很強的有害腳本的過濾功能，能保護保險基金用戶網絡不受垃圾郵件、帶毒郵件和有害腳本（如Java、ActiveX等）的侵襲。

•    反垃圾郵件

面對日益猖獗的垃圾郵件的困擾，網御星云Power V UTM 能利用IP地址、郵件地址、實時黑名單/匿名中繼代理列表（RBL/ORDBL）、MIME頭、關鍵字等多項反垃圾郵件技術在網絡層和內容層為保險基金過濾大量的垃圾郵件，以凈化帶寬，減輕郵件服務器負擔，提高保險基金的工作效率，并防止病毒和不良信息通過垃圾郵件進入保險基金內網。

•     VPN

 金鉆芯UTM 的VPN模塊包含了PPTP，L2TP，SSL_VPN和IPSec三種VPN協議，提供了非常方便靈活的選擇。

開啟保險基金的金鉆芯 UTM 的VPN功能，通過IKE建立IPSec通道，使用高強度的3DES/AES加密算法及SHA-1/MD5認證算法進行對遠程訪問數據的加密和認證，防止Internet上的數據竊取和篡改，IKE動態隨機生成加密密鑰可以有效防止黑客的竊取行為。

對于移動用戶，可以采用多種方法�？梢允褂�Windows98/2000/XP/2003 等系統自帶的PPTP/L2TP撥號軟件， 也可以使用IPSec客戶端軟件建立企業VPN的連接。需要注意的是，IPSec 客戶端軟件可以得到更好的安全性保證，可以采用動態的密鑰保證數據的安全。建議采用設備本身自帶的SSL_VPN功能，對遠程管理員發布靜態頁面提供遠程數據加密和身份認證功能。