【正文】 要因素有：（1） 黑客的攻擊、入侵168。 內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的連接為直接連接，外部用戶不但可以訪問對外服務的服務器，同時也容易地訪問內(nèi)部的網(wǎng)絡服務器，這樣，由于內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。168。 入侵服務器后，在服務器中增加黃色、反動站點168。 把服務器當作攻擊其它網(wǎng)絡（政府、金融）的跳板，攻擊其它服務器168。 把服務器當作檢測掃描其它網(wǎng)絡及數(shù)據(jù)處理的工具，造成大量網(wǎng)絡流量（2） 病毒的侵害168。 通過網(wǎng)絡傳送的病毒和Internet的電子郵件夾帶的病毒。 來自Internet 的Web瀏覽可能存在的惡意Java/ActiveX控件。168。 病毒、木馬發(fā)送大量數(shù)據(jù)包，造成系統(tǒng)資源的消耗，以至系統(tǒng)停止服務168。 造成數(shù)據(jù)丟失，機器、網(wǎng)絡系統(tǒng)癱瘓168。 必須斷開網(wǎng)絡逐一進行殺毒，增加網(wǎng)絡工作量，影響正常工作（3） 內(nèi)部的無限制訪問168。 內(nèi)部用戶的惡意攻擊、誤操作168。 訪問不健康的站點，獲取有害信息168。 工作學習時間無限制上網(wǎng)，游戲、聊天等（4） 系統(tǒng)存在的漏洞缺乏一套完整的安全策略、政策，缺乏有效的手段監(jiān)視、評估網(wǎng)絡系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡安全漏洞，如UNIX服務器，NT服務器及Windows桌面PC。 可能帶來的嚴重后果168。 系統(tǒng)癱瘓或服務器停止工作造成重大損失168。 由于病毒的侵害，造成文件丟失/損壞、硬件設備損壞造成重大損失168。 由于病毒原因，造成系統(tǒng)修復、病毒清理等巨大的工作量168。 無限增加流量，造成重大經(jīng)濟損失168。 因服務器危害其它網(wǎng)絡，而涉及相關(guān)責任168。 數(shù)據(jù)泄密、數(shù)據(jù)丟失 當前網(wǎng)絡問題分析168。 雖然網(wǎng)絡中部署了單機防病毒系統(tǒng)，但仍有很多客戶機、移動筆記本由于沒有安裝防病毒系統(tǒng)，這些機器感染病毒后，對網(wǎng)絡中發(fā)出大量病毒攻擊包，造成網(wǎng)絡速度下降，甚至網(wǎng)絡癱瘓；168。 網(wǎng)絡中大多數(shù)客戶機都是WIN2000\WINXP系統(tǒng)，由于WIN2000\WINXP系統(tǒng)存在大量的系統(tǒng)漏洞，沒有能及時升級系統(tǒng)補丁，使得病毒、黑客有了可乘之機；168。 作為網(wǎng)絡管理人員，無法及時的了解網(wǎng)絡的運行情況，服務器、交換機等網(wǎng)絡設備的工作情況，終端系統(tǒng)的操作應用情況等？ 網(wǎng)絡目前需求分析通過我們對***酒店結(jié)構(gòu)、應用及安全威脅分析，可以看出其安全問題主要集中在對計算機病毒的防護、內(nèi)網(wǎng)安全的管理上。因此，我們必須采取相應的安全措施杜絕安全隱患，其中應該做到：168。 加強病毒的防護，建立全面的防毒體系，防止病毒的攻擊168。 實現(xiàn)計算機網(wǎng)絡系統(tǒng)的網(wǎng)絡安全管理針對***酒店系統(tǒng)的實際情況，在系統(tǒng)考慮如何解決上述安全問題的設計時應滿足如下要求：168。 大幅度地提高系統(tǒng)的安全性（重點是可用性和可控性）；168。 保持網(wǎng)絡原有的性能特點，即對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡設置；168。 易于操作、維護，并便于自動化管理，而不增加或少增加附加操作；168。 盡量不影響原網(wǎng)絡拓撲結(jié)構(gòu)，同時便于系統(tǒng)及系統(tǒng)功能的擴展；168。 安全保密系統(tǒng)具有較好的性能價格比，一次性投資，可以長期使用；二、 安全系統(tǒng)整體設計方案（一） 系統(tǒng)設計原則本方案的設計遵循并體現(xiàn)了如下設計原則：168。 先進性：所采用的設備和技術(shù)應屬世界、國內(nèi)主流產(chǎn)品，在相關(guān)計算機、通信網(wǎng)絡及數(shù)字視頻技術(shù)方面處于國際或國內(nèi)領(lǐng)先或領(lǐng)導地位。168。 一體系化設計原則本方案從物理層安全、系統(tǒng)層安全、網(wǎng)絡層安全、應用層安全、安全管理等層面充分分析信息網(wǎng)絡的層次關(guān)系，提出科學的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。168。 可控性原則本次方案采取的技術(shù)手段達到安全可控的目的，技術(shù)解決方案涉及的工程實施應具有可控性；168。 系統(tǒng)性、均衡性、綜合性設計原則從全系統(tǒng)出發(fā)，綜合考慮各種安全風險，采取相應的安全措施，并根據(jù)風險的大小，采取不同強度的安全措施，提供具有最優(yōu)的性能價格比的安全解決方案。168。 可靠性、穩(wěn)定性原則設備及技術(shù)均已進入成熟期，應有類似的實際應用，系統(tǒng)運行穩(wěn)定，在國內(nèi)應用領(lǐng)域中占主導地位。采用安全系統(tǒng)之后，不會對南京中央商場的現(xiàn)有網(wǎng)絡和應用系統(tǒng)有大的影響。在保證網(wǎng)絡和應用系統(tǒng)正常運轉(zhuǎn)的前提下，提供最優(yōu)安全保障。168。 標準性原則方案的設計、實施以及產(chǎn)品的選擇以相關(guān)國際安全管理、安全控制、安全規(guī)程為參考依據(jù)。168。 投資保護原則本次方案的設計和已經(jīng)存在的設備具有兼容性，可以對已有設備進行有效的利用，保護已有投資（二） 安全應對策略及建議在明確這些威脅與風險以后下一步需要做的就是在此基礎上制定相應的安全策略，以求實現(xiàn)有效的平衡，即一方面需要保持可靠的信息安全，另一方面則要建立和易操作的有效安全系統(tǒng)。一個系統(tǒng)的安全強度實際等于它最薄弱環(huán)節(jié)的安全強度。即當一個網(wǎng)絡系統(tǒng)存在一點薄弱環(huán)節(jié)時，其就有可能危及到整個網(wǎng)絡系統(tǒng)的整體安全。電子業(yè)務安全關(guān)鍵基礎之一就是構(gòu)成企業(yè)總體信息安全方案的綜合策略。我公司根據(jù)貴單位網(wǎng)絡現(xiàn)狀分析，及工作業(yè)務的需求分析，從保護投資的角度考慮，提出了保證網(wǎng)絡系統(tǒng)的高性能正常運行的建設建議： 建立多層次、全方面的防病毒系統(tǒng)168。 首先，根據(jù)病毒寄存的環(huán)境，在所有服務器和客戶機上安裝網(wǎng)絡版防毒系統(tǒng)，通過趨勢科技的Serverprotect加強服務器系統(tǒng)中的病毒防護，通過趨勢科技的Officescan加強對網(wǎng)絡中所有客戶機的病毒防護。168。 其次，在內(nèi)部交換層，通過硬件的網(wǎng)絡防毒墻NVW對網(wǎng)絡中的數(shù)據(jù)包進行檢測，有效的進行網(wǎng)絡層病毒、蠕蟲、惡意攻擊行為的防護，及時的清除和隔離網(wǎng)絡層的病毒包，保護內(nèi)部網(wǎng)絡的穩(wěn)定與暢通,防止ARP病毒的侵害。168。 另外，根據(jù)病毒傳播的途徑，可以在網(wǎng)關(guān)處安裝趨勢防毒網(wǎng)關(guān)IWSA、IMSA，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時進行有效的病毒防護。168。 最后，通過趨勢統(tǒng)一集中控制管理平臺TMCM實現(xiàn)對所有系統(tǒng)的集中病毒防護、策略的實施和管理 加強網(wǎng)絡管理信息系統(tǒng)的安全只靠安全設備是不能解決問題的，三分技術(shù)七分管理，必須加強對信息系統(tǒng)設備的管理以及用戶應用的管理?？梢酝ㄟ^網(wǎng)絡管理軟件配合完成，使信息系統(tǒng)管理人員對信息系統(tǒng)的運行狀況一目了然。酒店客戶的移動接入支持和安全的管理。需要酒店網(wǎng)絡移動服務的大多是商務人士，他們需要酒店提供移動的支持、更主要的是安全性。 酒店是一個流動性很強的場所，所以這對網(wǎng)絡的安全和管理是有很高的要求。例如：防止客戶對一些非法網(wǎng)站的訪問而帶給網(wǎng)絡中其它用戶的傷害，還有客戶用BT等軟件會對其他網(wǎng)絡用戶的網(wǎng)速有非常大的影響，同時一網(wǎng)雙用，內(nèi)部辦公網(wǎng)絡和客戶使用網(wǎng)絡并用一個網(wǎng)絡，而又互相隔離。通過深信服AC設備實現(xiàn)：（一）控制功能：細致的訪問控制功能，有效管理用戶上網(wǎng)（二）監(jiān)控功能：完善的內(nèi)容過慮和訪問審計功能，防止機密信息泄漏（三）報表功能：強大的數(shù)據(jù)報表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計（四）帶寬及流量管理功能：強大的QOS功能及流量分析（五）負載均衡和高可用性（六）豐富的外網(wǎng)安全功能：包括防火墻、VPN、IPS、網(wǎng)關(guān)殺毒及防垃圾郵件等 第五章 防病毒產(chǎn)品設計方案南京聯(lián)成科技為***酒店構(gòu)建的整體防病毒安全體系的建立簡述如下：區(qū)分內(nèi)外網(wǎng)，加強內(nèi)部網(wǎng)絡的安全防護：找到網(wǎng)絡的對外接口（互聯(lián)網(wǎng)接口、上級門、下級單位、同級部門、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡），在對外網(wǎng)絡的接口處安裝防火墻系統(tǒng)，通過防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡的安全。通過防火墻實現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為；通過防火墻驗證訪問內(nèi)部的用戶身份、訪問權(quán)限等；通過入侵防護檢測訪問者的訪問行為；因為數(shù)據(jù)在網(wǎng)絡上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進行加密，可以通過防火墻的VPN模塊或?qū)Ｓ玫腣PN設備建立VPN通道。 防病毒產(chǎn)品的全面性，領(lǐng)先性：采用全方位，多層次防毒的方式，部署多層次病毒防線，具體來說就是在網(wǎng)關(guān)利用趨勢科技的IMSS以及SPS, 實現(xiàn)在進行病毒過濾的同時，也防范垃圾郵件對企業(yè)網(wǎng)絡資源的消耗與破壞。對整個***酒店網(wǎng)絡中的客戶端采用趨勢科技防毒墻網(wǎng)絡版Officescan，對整個***酒店網(wǎng)絡中的服務器部署趨勢科技防病毒墻服務器版Serverprotect。對于整個***酒店整體的防病毒系統(tǒng)的中央控管則可以通過趨勢科技中央控管軟件TMCM來整體中央控管。 廠商和代理商全面的服務：趨勢科技授權(quán)服務商和趨勢科技，***酒店相關(guān)人員組成專門的防病毒以及安全小組，負責對***酒店的防病毒體系部署，防病毒安全規(guī)范的制定。趨勢科技授權(quán)服務商相關(guān)人員將對***酒店的防病毒體系定期進行巡檢，在***酒店的病毒爆發(fā)造成業(yè)務影響的緊急時刻，趨勢科技授權(quán)服務商工程師將至***酒店現(xiàn)場服務。趨勢科技防病毒體系顯著優(yōu)勢：1. 廠商優(yōu)勢：趨勢科技是目前業(yè)界唯一僅專注于防病毒和防病毒安全體系建立的廠商，相對其他的防病毒廠商，趨勢科技的產(chǎn)品更具有技術(shù)的領(lǐng)先性。其設在菲律賓的，業(yè)界唯一獲得ISO9002認證的TrendLab病毒實驗室提供7*24小時、全年無休的專人專業(yè)服務，包括從最早的防毒內(nèi)容及范圍的規(guī)劃、企業(yè)防毒網(wǎng)的建立、人員的教育訓練、病毒爆發(fā)時保證兩小時提供解藥的最高等級支持等。2. 高擴展性：由于專注于防病毒安全產(chǎn)品和解決方案，趨勢科技有能力為***酒店提供全方位，多層次，具可擴展性的防病毒安全體系。除了提供用于客戶機防病毒的officescan產(chǎn)品，用于服務器的ServerProtect產(chǎn)品，用于網(wǎng)關(guān)防病毒的IMSS產(chǎn)品和網(wǎng)關(guān)垃圾郵件防范的SPS，還可以在將來***酒店需要時提供專注于LotusNotes/Exchange的病毒防范軟件 Scanmail,專注于Web防病毒的IWSS軟件和提供所有在線用戶的在線殺毒工具――DCS等。全方位的產(chǎn)品和解決方案支持使得趨勢科技的防病毒安全體系的提供是具備高擴展性的。3. 防范和查殺病毒的自動化：針對像***酒店比較大型的網(wǎng)絡，單純的依靠***酒店的各級網(wǎng)絡管理人員進行分散的人為管理不可能將防病毒工作做到完美無缺。趨勢科技提供高度自動化的管理和病毒防范，查殺技術(shù)。l 掃描在線用戶是否已經(jīng)安裝趨勢客戶端軟件，并且可以有選擇性的強制用戶進行安裝；l 掃描在線用戶是否安裝了微軟操作系統(tǒng)的補丁，并且可以有選擇性的強制用戶進行安裝；l 中央控管軟件定期自動進行全網(wǎng)絡的病毒查殺，自動的更新病毒碼和掃描引擎，自動的生成全網(wǎng)絡的病毒日志，分析報表，并且通過日志查找網(wǎng)絡中的病毒源頭等。所有這一切都是通過位于中心的中央控管軟件自動進行。4. 業(yè)界獨一無二的病毒預防范：針對目前病毒出現(xiàn)――影響用戶――病毒庫和防病毒代碼的出現(xiàn)這一時間段的病毒最可能蔓延和爆發(fā)的“真空期”，趨勢科技提供業(yè)界獨一無二的“企業(yè)保護戰(zhàn)略技術(shù)”EPS，其中央控管軟件能夠在防病毒代碼出現(xiàn)之前，就自動的關(guān)閉客戶端可能引起病毒蔓延的端口，并自動的隔離已經(jīng)感染病毒的PC，文件夾等。第一時間的做到了病毒的預防范。本方案詳盡描述了采用趨勢科技公司的全線產(chǎn)品為***酒店構(gòu)建的整體防病毒系統(tǒng)，該方案貫徹了如下整體防毒的基本思想：1. 防毒一定要實現(xiàn)全方位、多層次防毒。在***酒店的方案中，我們部署了多層次病毒防線，分別是網(wǎng)關(guān)防毒、應用服務器防毒和客戶端防毒，保證斬斷病毒可以傳播、寄生的每一個節(jié)點，實現(xiàn)病毒的全面防范；2. 網(wǎng)關(guān)防毒和防垃圾郵件是整體防毒的首要防線。在***酒店的方案中，我們將網(wǎng)關(guān)防毒和防垃圾郵件作為最重要的一道防線來部署，全面消除外來病毒的威脅，使得病毒，垃圾郵件不能再從外網(wǎng)傳播進來，對內(nèi)部網(wǎng)絡資源和系統(tǒng)資源造成消耗。同時，全面防范垃圾郵件的侵擾以及內(nèi)部機密數(shù)據(jù)的外泄，在整個防毒系統(tǒng)中起到事半功倍的效果。3. 網(wǎng)絡層病毒直接清除：利用趨勢科技網(wǎng)絡病毒墻確保了病毒在網(wǎng)絡設備之間傳播的過程中就能夠直接被清除，以避免對整個網(wǎng)絡造成沖擊。4. 沒有集中管理的防毒系統(tǒng)是無效的防毒系統(tǒng)。在***酒店的方案中，趨勢科技構(gòu)建了跨子網(wǎng)，跨分支機構(gòu)的集中管理系統(tǒng)，保證了整個防毒產(chǎn)品可以從管理系統(tǒng)中及時得到更新，同時又使得管理人員可以在任何時間、任何地點通過瀏覽器對整個防毒系統(tǒng)進行管理，使整個系統(tǒng)中任何一個節(jié)點都可以被管理人員隨時管理，保證整個防毒系統(tǒng)有效、及時地攔截病毒。5. 服務是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒系統(tǒng)建立起來之后，能不能對病毒進行有效的防范，與病毒廠商能否提供及時、全面的服務有著極為重要的關(guān)系。這一方