【51CTO.com 綜合消息】網絡現狀及需求分析

某省地方稅務局于1994年8月掛牌成立，是負責全省地方稅收征收管理服務工作的行政執法單位，目前負責管理營業稅、企業所得稅、個人所得稅、資源稅等10個地方稅種和文化事業建設費、教育附加費的征收工作，還承擔著全省社保費的征繳任務。

該稅務局依照金稅三期要求，已完成全省骨干廣域網（包括省、地市州、區縣、稅務所4級網絡）的建設，并于2007年11月實現了全省數據大集中，使地稅系統信息化建設向數字化邁進。但信息化發展的同時也帶來了不少安全問題：

1.總局在全國統一部署了防病毒軟件并對各省檢測到的病毒數進行統計和排名，某省每次排名都比較高；

2.門戶網站和網上報稅系統沒有進行應用層防護，時常遭受SQL注入、XSS跨站腳本等面向應用層的攻擊。

3.上網速度慢，內網P2P、IM等軟件濫用現象嚴重；

設備部署

為了加強網絡信息系統的安全建設，保障業務系統的穩定運行，在省局的互聯網出口和連接總局出口處各部署一臺聯想網御入侵防護系統Power V-4500IPS，對上聯總局和進出互聯網的數據進行防護。 

IPS設備部署效果圖

實施效果

1.阻止病毒傳播

部署在上聯總局出口處的IPS成功阻止了網絡病毒、蠕蟲病毒的傳播，使得某省地稅系統在總局的病毒檢測統計中首次降到了最后一名，有效阻止了蠕蟲病毒向全國范圍的傳播。

2.阻止DoS/DDoS攻擊

聯想網御IPS提供獨特的DoS/DDoS檢測及預防機制，可以辨別合法數據包以及DoS/DDoS攻擊數據包。同時，可設定單位時間內訪問特定服務的次數，以阻斷未知類型的DoS/DDoS攻擊，并且對針對應用服務器的CC攻擊實現了有效的阻止。因此，當用戶在遭受DoS/DDoS攻擊之時，聯想網御IPS仍然能夠保證合法用戶順利享用網絡服務。

3.對Web網站進行安全防護

互聯網出口部署聯想網御IPS之后，檢測到多次針對Web服務器的SQL注入和XSS跨站腳本攻擊，并成功阻止。

SQL注入和XSS跨站腳本攻擊的危害非常大，普遍存在且隱蔽性強，同時，網站代碼會不斷更新，即使清除了現有漏洞，此類問題仍會反復出現。部署了聯想網御IPS后，可在網關處攔截攻擊，不用逐臺服務器，逐個程序去查找漏洞；也無需再擔心程序更新造成漏洞反復出現。目前，聯想網御IPS的規則庫中支持對7種以上SQL注入攻擊的防護，并在不斷進行更新，可有效防護Web服務器免受此類攻擊。

4.對P2P、IM有效管理

針對內網P2P、IM等軟件濫用嚴重的情況，在互聯網出口部署的IPS上設置嚴格的管控策略：

由于每個月的月底到下月初是集中報稅的時間，對網絡帶寬的需求較大，因此在這段時間內設置為完全禁止使用P2P進行下載；而在其他時段則對P2P應用進行限流，以保障正常業務流量。IPS部署后，集中報稅時間段的服務器響應時間有了很大的提升。

對IM軟件的使用采取分項管控、分段應用、分時執行的策略。只允許某些部門在休息時間進行文字信息交流，而禁止其他所有部門在任何時間進行文件傳輸或音頻、視頻聊天。IM軟件的詳細管控不僅提高了工作效率，也杜絕了通過IM軟件泄露機密文件或傳播病毒的可能性。

應用和數據安全保障是下階段安全建設的重點方向，為此聯想網御2008年提出了以之為核心的“信息安全2.0”的理念和解決方案，SSL VPN、IPS和安全隔離網閘是保障應用和數據安全的主要產品，其中IPS重點保證關鍵服務器的安全運行，保證內網用戶的上網安全有序，特別適合重要行業用戶互聯網接入安全防護。