【正文】 要因素有：（1） 黑客的攻擊、入侵168。 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接，外部用戶不但可以訪問對外服務(wù)的服務(wù)器，同時(shí)也容易地訪問內(nèi)部的網(wǎng)絡(luò)服務(wù)器，這樣，由于內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。168。 入侵服務(wù)器后，在服務(wù)器中增加黃色、反動(dòng)站點(diǎn)168。 把服務(wù)器當(dāng)作攻擊其它網(wǎng)絡(luò)（政府、金融）的跳板，攻擊其它服務(wù)器168。 把服務(wù)器當(dāng)作檢測掃描其它網(wǎng)絡(luò)及數(shù)據(jù)處理的工具，造成大量網(wǎng)絡(luò)流量（2） 病毒的侵害168。 通過網(wǎng)絡(luò)傳送的病毒和Internet的電子郵件夾帶的病毒。 來自Internet 的Web瀏覽可能存在的惡意Java/ActiveX控件。168。 病毒、木馬發(fā)送大量數(shù)據(jù)包，造成系統(tǒng)資源的消耗，以至系統(tǒng)停止服務(wù)168。 造成數(shù)據(jù)丟失，機(jī)器、網(wǎng)絡(luò)系統(tǒng)癱瘓168。 必須斷開網(wǎng)絡(luò)逐一進(jìn)行殺毒，增加網(wǎng)絡(luò)工作量，影響正常工作（3） 內(nèi)部的無限制訪問168。 內(nèi)部用戶的惡意攻擊、誤操作168。 訪問不健康的站點(diǎn)，獲取有害信息168。 工作學(xué)習(xí)時(shí)間無限制上網(wǎng)，游戲、聊天等（4） 系統(tǒng)存在的漏洞缺乏一套完整的安全策略、政策，缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。 可能帶來的嚴(yán)重后果168。 系統(tǒng)癱瘓或服務(wù)器停止工作造成重大損失168。 由于病毒的侵害，造成文件丟失/損壞、硬件設(shè)備損壞造成重大損失168。 由于病毒原因，造成系統(tǒng)修復(fù)、病毒清理等巨大的工作量168。 無限增加流量，造成重大經(jīng)濟(jì)損失168。 因服務(wù)器危害其它網(wǎng)絡(luò)，而涉及相關(guān)責(zé)任168。 數(shù)據(jù)泄密、數(shù)據(jù)丟失 當(dāng)前網(wǎng)絡(luò)問題分析168。 雖然網(wǎng)絡(luò)中部署了單機(jī)防病毒系統(tǒng)，但仍有很多客戶機(jī)、移動(dòng)筆記本由于沒有安裝防病毒系統(tǒng)，這些機(jī)器感染病毒后，對網(wǎng)絡(luò)中發(fā)出大量病毒攻擊包，造成網(wǎng)絡(luò)速度下降，甚至網(wǎng)絡(luò)癱瘓；168。 網(wǎng)絡(luò)中大多數(shù)客戶機(jī)都是WIN2000\WINXP系統(tǒng)，由于WIN2000\WINXP系統(tǒng)存在大量的系統(tǒng)漏洞，沒有能及時(shí)升級系統(tǒng)補(bǔ)丁，使得病毒、黑客有了可乘之機(jī)；168。 作為網(wǎng)絡(luò)管理人員，無法及時(shí)的了解網(wǎng)絡(luò)的運(yùn)行情況，服務(wù)器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的工作情況，終端系統(tǒng)的操作應(yīng)用情況等？ 網(wǎng)絡(luò)目前需求分析通過我們對***酒店結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對計(jì)算機(jī)病毒的防護(hù)、內(nèi)網(wǎng)安全的管理上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：168。 加強(qiáng)病毒的防護(hù)，建立全面的防毒體系，防止病毒的攻擊168。 實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全管理針對***酒店系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計(jì)時(shí)應(yīng)滿足如下要求：168。 大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；168。 保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；168。 易于操作、維護(hù)，并便于自動(dòng)化管理，而不增加或少增加附加操作；168。 盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；168。 安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長期使用；二、 安全系統(tǒng)整體設(shè)計(jì)方案（一） 系統(tǒng)設(shè)計(jì)原則本方案的設(shè)計(jì)遵循并體現(xiàn)了如下設(shè)計(jì)原則：168。 先進(jìn)性：所采用的設(shè)備和技術(shù)應(yīng)屬世界、國內(nèi)主流產(chǎn)品，在相關(guān)計(jì)算機(jī)、通信網(wǎng)絡(luò)及數(shù)字視頻技術(shù)方面處于國際或國內(nèi)領(lǐng)先或領(lǐng)導(dǎo)地位。168。 一體系化設(shè)計(jì)原則本方案從物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、安全管理等層面充分分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題。168。 可控性原則本次方案采取的技術(shù)手段達(dá)到安全可控的目的，技術(shù)解決方案涉及的工程實(shí)施應(yīng)具有可控性；168。 系統(tǒng)性、均衡性、綜合性設(shè)計(jì)原則從全系統(tǒng)出發(fā)，綜合考慮各種安全風(fēng)險(xiǎn)，采取相應(yīng)的安全措施，并根據(jù)風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案。168。 可靠性、穩(wěn)定性原則設(shè)備及技術(shù)均已進(jìn)入成熟期，應(yīng)有類似的實(shí)際應(yīng)用，系統(tǒng)運(yùn)行穩(wěn)定，在國內(nèi)應(yīng)用領(lǐng)域中占主導(dǎo)地位。采用安全系統(tǒng)之后，不會(huì)對南京中央商場的現(xiàn)有網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有大的影響。在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，提供最優(yōu)安全保障。168。 標(biāo)準(zhǔn)性原則方案的設(shè)計(jì)、實(shí)施以及產(chǎn)品的選擇以相關(guān)國際安全管理、安全控制、安全規(guī)程為參考依據(jù)。168。 投資保護(hù)原則本次方案的設(shè)計(jì)和已經(jīng)存在的設(shè)備具有兼容性，可以對已有設(shè)備進(jìn)行有效的利用，保護(hù)已有投資（二） 安全應(yīng)對策略及建議在明確這些威脅與風(fēng)險(xiǎn)以后下一步需要做的就是在此基礎(chǔ)上制定相應(yīng)的安全策略，以求實(shí)現(xiàn)有效的平衡，即一方面需要保持可靠的信息安全，另一方面則要建立和易操作的有效安全系統(tǒng)。一個(gè)系統(tǒng)的安全強(qiáng)度實(shí)際等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。即當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)存在一點(diǎn)薄弱環(huán)節(jié)時(shí)，其就有可能危及到整個(gè)網(wǎng)絡(luò)系統(tǒng)的整體安全。電子業(yè)務(wù)安全關(guān)鍵基礎(chǔ)之一就是構(gòu)成企業(yè)總體信息安全方案的綜合策略。我公司根據(jù)貴單位網(wǎng)絡(luò)現(xiàn)狀分析，及工作業(yè)務(wù)的需求分析，從保護(hù)投資的角度考慮，提出了保證網(wǎng)絡(luò)系統(tǒng)的高性能正常運(yùn)行的建設(shè)建議： 建立多層次、全方面的防病毒系統(tǒng)168。 首先，根據(jù)病毒寄存的環(huán)境，在所有服務(wù)器和客戶機(jī)上安裝網(wǎng)絡(luò)版防毒系統(tǒng)，通過趨勢科技的Serverprotect加強(qiáng)服務(wù)器系統(tǒng)中的病毒防護(hù)，通過趨勢科技的Officescan加強(qiáng)對網(wǎng)絡(luò)中所有客戶機(jī)的病毒防護(hù)。168。 其次，在內(nèi)部交換層，通過硬件的網(wǎng)絡(luò)防毒墻NVW對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測，有效的進(jìn)行網(wǎng)絡(luò)層病毒、蠕蟲、惡意攻擊行為的防護(hù)，及時(shí)的清除和隔離網(wǎng)絡(luò)層的病毒包，保護(hù)內(nèi)部網(wǎng)絡(luò)的穩(wěn)定與暢通,防止ARP病毒的侵害。168。 另外，根據(jù)病毒傳播的途徑，可以在網(wǎng)關(guān)處安裝趨勢防毒網(wǎng)關(guān)IWSA、IMSA，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時(shí)進(jìn)行有效的病毒防護(hù)。168。 最后，通過趨勢統(tǒng)一集中控制管理平臺(tái)TMCM實(shí)現(xiàn)對所有系統(tǒng)的集中病毒防護(hù)、策略的實(shí)施和管理 加強(qiáng)網(wǎng)絡(luò)管理信息系統(tǒng)的安全只靠安全設(shè)備是不能解決問題的，三分技術(shù)七分管理，必須加強(qiáng)對信息系統(tǒng)設(shè)備的管理以及用戶應(yīng)用的管理?？梢酝ㄟ^網(wǎng)絡(luò)管理軟件配合完成，使信息系統(tǒng)管理人員對信息系統(tǒng)的運(yùn)行狀況一目了然。酒店客戶的移動(dòng)接入支持和安全的管理。需要酒店網(wǎng)絡(luò)移動(dòng)服務(wù)的大多是商務(wù)人士，他們需要酒店提供移動(dòng)的支持、更主要的是安全性。 酒店是一個(gè)流動(dòng)性很強(qiáng)的場所，所以這對網(wǎng)絡(luò)的安全和管理是有很高的要求。例如：防止客戶對一些非法網(wǎng)站的訪問而帶給網(wǎng)絡(luò)中其它用戶的傷害，還有客戶用BT等軟件會(huì)對其他網(wǎng)絡(luò)用戶的網(wǎng)速有非常大的影響，同時(shí)一網(wǎng)雙用，內(nèi)部辦公網(wǎng)絡(luò)和客戶使用網(wǎng)絡(luò)并用一個(gè)網(wǎng)絡(luò)，而又互相隔離。通過深信服AC設(shè)備實(shí)現(xiàn)：（一）控制功能：細(xì)致的訪問控制功能，有效管理用戶上網(wǎng)（二）監(jiān)控功能：完善的內(nèi)容過慮和訪問審計(jì)功能，防止機(jī)密信息泄漏（三）報(bào)表功能：強(qiáng)大的數(shù)據(jù)報(bào)表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì)（四）帶寬及流量管理功能：強(qiáng)大的QOS功能及流量分析（五）負(fù)載均衡和高可用性（六）豐富的外網(wǎng)安全功能：包括防火墻、VPN、IPS、網(wǎng)關(guān)殺毒及防垃圾郵件等 第五章 防病毒產(chǎn)品設(shè)計(jì)方案南京聯(lián)成科技為***酒店構(gòu)建的整體防病毒安全體系的建立簡述如下：區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對外接口（互聯(lián)網(wǎng)接口、上級門、下級單位、同級部門、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡(luò)），在對外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻實(shí)現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為；通過防火墻驗(yàn)證訪問內(nèi)部的用戶身份、訪問權(quán)限等；通過入侵防護(hù)檢測訪問者的訪問行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進(jìn)行加密，可以通過防火墻的VPN模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。 防病毒產(chǎn)品的全面性，領(lǐng)先性：采用全方位，多層次防毒的方式，部署多層次病毒防線，具體來說就是在網(wǎng)關(guān)利用趨勢科技的IMSS以及SPS, 實(shí)現(xiàn)在進(jìn)行病毒過濾的同時(shí)，也防范垃圾郵件對企業(yè)網(wǎng)絡(luò)資源的消耗與破壞。對整個(gè)***酒店網(wǎng)絡(luò)中的客戶端采用趨勢科技防毒墻網(wǎng)絡(luò)版Officescan，對整個(gè)***酒店網(wǎng)絡(luò)中的服務(wù)器部署趨勢科技防病毒墻服務(wù)器版Serverprotect。對于整個(gè)***酒店整體的防病毒系統(tǒng)的中央控管則可以通過趨勢科技中央控管軟件TMCM來整體中央控管。 廠商和代理商全面的服務(wù)：趨勢科技授權(quán)服務(wù)商和趨勢科技，***酒店相關(guān)人員組成專門的防病毒以及安全小組，負(fù)責(zé)對***酒店的防病毒體系部署，防病毒安全規(guī)范的制定。趨勢科技授權(quán)服務(wù)商相關(guān)人員將對***酒店的防病毒體系定期進(jìn)行巡檢，在***酒店的病毒爆發(fā)造成業(yè)務(wù)影響的緊急時(shí)刻，趨勢科技授權(quán)服務(wù)商工程師將至***酒店現(xiàn)場服務(wù)。趨勢科技防病毒體系顯著優(yōu)勢：1. 廠商優(yōu)勢：趨勢科技是目前業(yè)界唯一僅專注于防病毒和防病毒安全體系建立的廠商，相對其他的防病毒廠商，趨勢科技的產(chǎn)品更具有技術(shù)的領(lǐng)先性。其設(shè)在菲律賓的，業(yè)界唯一獲得ISO9002認(rèn)證的TrendLab病毒實(shí)驗(yàn)室提供7*24小時(shí)、全年無休的專人專業(yè)服務(wù)，包括從最早的防毒內(nèi)容及范圍的規(guī)劃、企業(yè)防毒網(wǎng)的建立、人員的教育訓(xùn)練、病毒爆發(fā)時(shí)保證兩小時(shí)提供解藥的最高等級支持等。2. 高擴(kuò)展性：由于專注于防病毒安全產(chǎn)品和解決方案，趨勢科技有能力為***酒店提供全方位，多層次，具可擴(kuò)展性的防病毒安全體系。除了提供用于客戶機(jī)防病毒的officescan產(chǎn)品，用于服務(wù)器的ServerProtect產(chǎn)品，用于網(wǎng)關(guān)防病毒的IMSS產(chǎn)品和網(wǎng)關(guān)垃圾郵件防范的SPS，還可以在將來***酒店需要時(shí)提供專注于LotusNotes/Exchange的病毒防范軟件 Scanmail,專注于Web防病毒的IWSS軟件和提供所有在線用戶的在線殺毒工具――DCS等。全方位的產(chǎn)品和解決方案支持使得趨勢科技的防病毒安全體系的提供是具備高擴(kuò)展性的。3. 防范和查殺病毒的自動(dòng)化：針對像***酒店比較大型的網(wǎng)絡(luò)，單純的依靠***酒店的各級網(wǎng)絡(luò)管理人員進(jìn)行分散的人為管理不可能將防病毒工作做到完美無缺。趨勢科技提供高度自動(dòng)化的管理和病毒防范，查殺技術(shù)。l 掃描在線用戶是否已經(jīng)安裝趨勢客戶端軟件，并且可以有選擇性的強(qiáng)制用戶進(jìn)行安裝；l 掃描在線用戶是否安裝了微軟操作系統(tǒng)的補(bǔ)丁，并且可以有選擇性的強(qiáng)制用戶進(jìn)行安裝；l 中央控管軟件定期自動(dòng)進(jìn)行全網(wǎng)絡(luò)的病毒查殺，自動(dòng)的更新病毒碼和掃描引擎，自動(dòng)的生成全網(wǎng)絡(luò)的病毒日志，分析報(bào)表，并且通過日志查找網(wǎng)絡(luò)中的病毒源頭等。所有這一切都是通過位于中心的中央控管軟件自動(dòng)進(jìn)行。4. 業(yè)界獨(dú)一無二的病毒預(yù)防范：針對目前病毒出現(xiàn)――影響用戶――病毒庫和防病毒代碼的出現(xiàn)這一時(shí)間段的病毒最可能蔓延和爆發(fā)的“真空期”，趨勢科技提供業(yè)界獨(dú)一無二的“企業(yè)保護(hù)戰(zhàn)略技術(shù)”EPS，其中央控管軟件能夠在防病毒代碼出現(xiàn)之前，就自動(dòng)的關(guān)閉客戶端可能引起病毒蔓延的端口，并自動(dòng)的隔離已經(jīng)感染病毒的PC，文件夾等。第一時(shí)間的做到了病毒的預(yù)防范。本方案詳盡描述了采用趨勢科技公司的全線產(chǎn)品為***酒店構(gòu)建的整體防病毒系統(tǒng)，該方案貫徹了如下整體防毒的基本思想：1. 防毒一定要實(shí)現(xiàn)全方位、多層次防毒。在***酒店的方案中，我們部署了多層次病毒防線，分別是網(wǎng)關(guān)防毒、應(yīng)用服務(wù)器防毒和客戶端防毒，保證斬?cái)嗖《究梢詡鞑?、寄生的每一個(gè)節(jié)點(diǎn)，實(shí)現(xiàn)病毒的全面防范；2. 網(wǎng)關(guān)防毒和防垃圾郵件是整體防毒的首要防線。在***酒店的方案中，我們將網(wǎng)關(guān)防毒和防垃圾郵件作為最重要的一道防線來部署，全面消除外來病毒的威脅，使得病毒，垃圾郵件不能再從外網(wǎng)傳播進(jìn)來，對內(nèi)部網(wǎng)絡(luò)資源和系統(tǒng)資源造成消耗。同時(shí)，全面防范垃圾郵件的侵?jǐn)_以及內(nèi)部機(jī)密數(shù)據(jù)的外泄，在整個(gè)防毒系統(tǒng)中起到事半功倍的效果。3. 網(wǎng)絡(luò)層病毒直接清除：利用趨勢科技網(wǎng)絡(luò)病毒墻確保了病毒在網(wǎng)絡(luò)設(shè)備之間傳播的過程中就能夠直接被清除，以避免對整個(gè)網(wǎng)絡(luò)造成沖擊。4. 沒有集中管理的防毒系統(tǒng)是無效的防毒系統(tǒng)。在***酒店的方案中，趨勢科技構(gòu)建了跨子網(wǎng)，跨分支機(jī)構(gòu)的集中管理系統(tǒng)，保證了整個(gè)防毒產(chǎn)品可以從管理系統(tǒng)中及時(shí)得到更新，同時(shí)又使得管理人員可以在任何時(shí)間、任何地點(diǎn)通過瀏覽器對整個(gè)防毒系統(tǒng)進(jìn)行管理，使整個(gè)系統(tǒng)中任何一個(gè)節(jié)點(diǎn)都可以被管理人員隨時(shí)管理，保證整個(gè)防毒系統(tǒng)有效、及時(shí)地?cái)r截病毒。5. 服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒系統(tǒng)建立起來之后，能不能對病毒進(jìn)行有效的防范，與病毒廠商能否提供及時(shí)、全面的服務(wù)有著極為重要的關(guān)系。這一方