【51CTO.com 綜合消息】網(wǎng)絡(luò)現(xiàn)狀及需求分析

某省地方稅務(wù)局于1994年8月掛牌成立，是負責全省地方稅收征收管理服務(wù)工作的行政執(zhí)法單位，目前負責管理營業(yè)稅、企業(yè)所得稅、個人所得稅、資源稅等10個地方稅種和文化事業(yè)建設(shè)費、教育附加費的征收工作，還承擔著全省社保費的征繳任務(wù)。

該稅務(wù)局依照金稅三期要求，已完成全省骨干廣域網(wǎng)（包括省、地市州、區(qū)縣、稅務(wù)所4級網(wǎng)絡(luò)）的建設(shè)，并于2007年11月實現(xiàn)了全省數(shù)據(jù)大集中，使地稅系統(tǒng)信息化建設(shè)向數(shù)字化邁進。但信息化發(fā)展的同時也帶來了不少安全問題：

1.總局在全國統(tǒng)一部署了防病毒軟件并對各省檢測到的病毒數(shù)進行統(tǒng)計和排名，某省每次排名都比較高；

2.門戶網(wǎng)站和網(wǎng)上報稅系統(tǒng)沒有進行應(yīng)用層防護，時常遭受SQL注入、XSS跨站腳本等面向應(yīng)用層的攻擊。

3.上網(wǎng)速度慢，內(nèi)網(wǎng)P2P、IM等軟件濫用現(xiàn)象嚴重；

設(shè)備部署

為了加強網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)，保障業(yè)務(wù)系統(tǒng)的穩(wěn)定運行，在省局的互聯(lián)網(wǎng)出口和連接總局出口處各部署一臺聯(lián)想網(wǎng)御入侵防護系統(tǒng)Power V-4500IPS，對上聯(lián)總局和進出互聯(lián)網(wǎng)的數(shù)據(jù)進行防護。 

IPS設(shè)備部署效果圖

實施效果

1.阻止病毒傳播

部署在上聯(lián)總局出口處的IPS成功阻止了網(wǎng)絡(luò)病毒、蠕蟲病毒的傳播，使得某省地稅系統(tǒng)在總局的病毒檢測統(tǒng)計中首次降到了最后一名，有效阻止了蠕蟲病毒向全國范圍的傳播。

2.阻止DoS/DDoS攻擊

聯(lián)想網(wǎng)御IPS提供獨特的DoS/DDoS檢測及預(yù)防機制，可以辨別合法數(shù)據(jù)包以及DoS/DDoS攻擊數(shù)據(jù)包。同時，可設(shè)定單位時間內(nèi)訪問特定服務(wù)的次數(shù)，以阻斷未知類型的DoS/DDoS攻擊，并且對針對應(yīng)用服務(wù)器的CC攻擊實現(xiàn)了有效的阻止。因此，當用戶在遭受DoS/DDoS攻擊之時，聯(lián)想網(wǎng)御IPS仍然能夠保證合法用戶順利享用網(wǎng)絡(luò)服務(wù)。

3.對Web網(wǎng)站進行安全防護

互聯(lián)網(wǎng)出口部署聯(lián)想網(wǎng)御IPS之后，檢測到多次針對Web服務(wù)器的SQL注入和XSS跨站腳本攻擊，并成功阻止。

SQL注入和XSS跨站腳本攻擊的危害非常大，普遍存在且隱蔽性強，同時，網(wǎng)站代碼會不斷更新，即使清除了現(xiàn)有漏洞，此類問題仍會反復(fù)出現(xiàn)。部署了聯(lián)想網(wǎng)御IPS后，可在網(wǎng)關(guān)處攔截攻擊，不用逐臺服務(wù)器，逐個程序去查找漏洞；也無需再擔心程序更新造成漏洞反復(fù)出現(xiàn)。目前，聯(lián)想網(wǎng)御IPS的規(guī)則庫中支持對7種以上SQL注入攻擊的防護，并在不斷進行更新，可有效防護Web服務(wù)器免受此類攻擊。

4.對P2P、IM有效管理

針對內(nèi)網(wǎng)P2P、IM等軟件濫用嚴重的情況，在互聯(lián)網(wǎng)出口部署的IPS上設(shè)置嚴格的管控策略：

由于每個月的月底到下月初是集中報稅的時間，對網(wǎng)絡(luò)帶寬的需求較大，因此在這段時間內(nèi)設(shè)置為完全禁止使用P2P進行下載；而在其他時段則對P2P應(yīng)用進行限流，以保障正常業(yè)務(wù)流量。IPS部署后，集中報稅時間段的服務(wù)器響應(yīng)時間有了很大的提升。

對IM軟件的使用采取分項管控、分段應(yīng)用、分時執(zhí)行的策略。只允許某些部門在休息時間進行文字信息交流，而禁止其他所有部門在任何時間進行文件傳輸或音頻、視頻聊天。IM軟件的詳細管控不僅提高了工作效率，也杜絕了通過IM軟件泄露機密文件或傳播病毒的可能性。

應(yīng)用和數(shù)據(jù)安全保障是下階段安全建設(shè)的重點方向，為此聯(lián)想網(wǎng)御2008年提出了以之為核心的“信息安全2.0”的理念和解決方案，SSL VPN、IPS和安全隔離網(wǎng)閘是保障應(yīng)用和數(shù)據(jù)安全的主要產(chǎn)品，其中IPS重點保證關(guān)鍵服務(wù)器的安全運行，保證內(nèi)網(wǎng)用戶的上網(wǎng)安全有序，特別適合重要行業(yè)用戶互聯(lián)網(wǎng)接入安全防護。