【正文】 ），對涉密文件進行單獨處理，并嚴格按照國家保密局的相關技術和管理要求進行管理，在本方案中不再對其進行設計。從組網方式上，XXX公司采取防火墻作為核心交換設備，并且在各個子網的邊界也采用防火墻技術實現(xiàn)隔離，其具體的組網方式可見下圖表示： XXX公司網絡拓撲結構示意圖，XXX公司的網絡結構分為總部和分支兩個部分，其中分支機構的網絡非常簡單，通過二層交換機連接終端，然后通過邊界防火墻接入到互聯(lián)網；同時分支機構邊界上部署的防火墻包含了IPSec VPN模塊，與總部互聯(lián)網邊界部署的防火墻內置的VPN模塊形成關到關的加密隧道，保障了分支機構可以安全地訪問總部信息網絡；總部信息網絡的核心為一臺XXX獵豹防火墻，利用防火墻的接口將總部劃分為多個隔離的安全區(qū)域，包括辦公終端區(qū)域（包括分布在公司三樓、四樓和五樓的辦公終端設備）、研發(fā)終端區(qū)域（分布在公司五樓研發(fā)部門的辦公終端）、生產車間終端區(qū)域（生產車間內使用的專用于訪問EBS的終端設備）、業(yè)務服務器區(qū)域（部署在公司五樓機房的服務器，運行著公司的EBS、財務等重要業(yè)務系統(tǒng)）、研發(fā)服務器區(qū)域（部署在五樓研發(fā)機房內的服務器，運行著研發(fā)的CVS、BUGzilla系統(tǒng)），測試機房公網區(qū)域（部署在五樓研發(fā)的測試專用機房,主要是對公司的安全產品進行功能性測試的區(qū)域），外部服務器區(qū)域（部署在五樓機房內，運行著公司的郵件服務器、主頁發(fā)布服務器、DNS服務器、產品升級服務器等面向互聯(lián)網開發(fā)提供訪問的區(qū)域）、網絡運維區(qū)域（部署在公司四樓展示廳，運行著公司的終端安全管理平臺以及安全信息管理平臺的服務器，防火墻管理服務器以及公司內部使用的網絡管理服務器和病毒升級服務器）。其中各個區(qū)域之間的訪問關系分別為：辦公終端區(qū)域：該區(qū)域包含公司總部的所有辦公終端，涉及部門有總裁辦、董事會、行政部、技術服務中心、人力資源中心、信息管理部、戰(zhàn)略方案中心、銷售中心、商務部、銷售管理部、財務部、行政部、市場部等，該區(qū)域的終端均可通過部署在三樓、四樓以及五樓的防火墻以及核心防火墻訪問到互聯(lián)網；其中銷售管理部、商務部、銷售中心、財務部、行政部的辦公終端可訪問業(yè)務服務器區(qū)域內的EBS系統(tǒng)；所有的辦公終端均可以訪問業(yè)務服務器區(qū)域內的內部論壇；所有的辦公終端均可訪問外部服務器區(qū)域，可以訪問郵件系統(tǒng)，公司主頁以及DNS服務器；技術服務中心的終端可以訪問研發(fā)服務器區(qū)域的BUGzilla外部服務器；研發(fā)辦公終端區(qū)域：該區(qū)域包含公司研發(fā)中心的所有終端，該區(qū)域可以訪問外部服務器區(qū)域的公司主頁服務器、郵件服務器以及DNS服務器；可以訪問研發(fā)服務器的CVS服務器和BUGzilla服務器；在研發(fā)辦公終端邊界部署了防火墻設備，通過訪問控制規(guī)則限制辦公終端不得訪問互聯(lián)網；業(yè)務服務器區(qū)域：該區(qū)域包含運行著公司的EBS系統(tǒng)以及內部論壇的所有服務器，該區(qū)域只接收外部的訪問，目前EBS系統(tǒng)已開放采購、訂單、制造、財務和CRM模塊，并根據(jù)各個部門的職能劃分，系統(tǒng)內進行模塊的訪問控制，比如允許行政部訪問EBS的采購模塊；商務部和銷售中心以及各地的分支結構可以訪問訂單模塊；各地分支機構的商務人員以及財務部可以訪問其財務模塊；銷售中心以及各地分支機構的銷售人員可以訪問其CRM模塊等；業(yè)務服務器區(qū)域直接連接到核心防火墻的端口上，通過核心交換機的訪問控制規(guī)則限制該區(qū)域對外的任何訪問；研發(fā)服務器區(qū)域：該區(qū)域包含運行著研發(fā)CVS以及BUGzilla的所有服務器，主要提供給研發(fā)人員使用，此外，技術服務中心的辦公終端可以訪問其BUGzilla的外部服務器；該區(qū)域與研發(fā)終端區(qū)域以及測試機房區(qū)域共享一臺防火墻，通過防火墻的訪問控制規(guī)則限制該區(qū)域不得對外進行任何訪問；生產車間終端區(qū)域：該區(qū)域包含了生產車間的所有的終端，與三樓的辦公終端共享一臺服務器，防火墻通過嚴格的訪問控制規(guī)則限制該區(qū)域只能訪問業(yè)務服務器區(qū)域的EBS系統(tǒng)，并通過EBS系統(tǒng)的應用訪問控制，限制生產車間終端只能訪問其中的制造模塊；并且該區(qū)域不得訪問其他任何外部區(qū)域；外部服務器區(qū)域：對互聯(lián)網開放，提供四類服務器，包括主頁發(fā)布服務、郵件服務、DNS服務，以及提供給XXX的安全產品用戶進行升級的服務，該區(qū)域直接連接到核心防火墻上，其中主頁發(fā)布服務和郵件、DNS也可提供給辦公終端人員進行訪問；分支機構區(qū)域：各分支機構的邊界均部署了防火墻，可以訪問互聯(lián)網，并且可通過互聯(lián)網訪問公司的外部服務器區(qū)域以及業(yè)務服務器區(qū)域，并且為確保遠程訪問傳輸?shù)陌踩?，在邊界的防火墻上，以及公司互?lián)網出口的防火墻上都配置了IPSEC VPN模塊，可實現(xiàn)安全傳輸；另外對于一些規(guī)模小的分支機構，則通過SSL VPN的方式來訪問公司業(yè)務服務器區(qū)域和外部服務器區(qū)域；移動辦公用戶：類似于分支機構區(qū)域，移動辦公人員通過SSL VPN的方式可安全地訪問公司業(yè)務服務器區(qū)域和外部服務器區(qū)域。涉密檔案室：在物理上單獨部署，與其他任何區(qū)域沒有連接，實行嚴格物理隔離的小型局域網，網絡內存放并處理公司涉及國家秘密的文件，包括涉密項目的過程文件、方案，以及國家下發(fā)的涉密系統(tǒng)建設的相關政策要求和規(guī)范等。 信息資產描述 網絡設備情況XXX信息網絡的特點是采用防火墻來進行連接，因此其用到的網絡設備很少，網絡設備主要是二層交換機，二層交換機的型號有CISCO、DELINK以及華為的設備，作為接入層網絡設備連接到各個終端以及服務器上；此外，在總部的網通寬帶出口處部署了一臺華為AR46型號的路由器，作為互聯(lián)網接入路由器使用，，沒有啟用日志功能，該設備目前采用Telnet的方式進行登錄，為方便維護允許遠程登錄，認證方式為帳號加口令的方式，在管理員登錄進行訪問時，如果連續(xù)三次輸入錯誤則自動退出；防止惡意的嘗試登錄等行為；在業(yè)務服務器區(qū)域和外部服務器區(qū)域分別部署了CISCO 3550交換機（沒有啟用三層功能），并且直接連接到服務器，設備沒有啟用日志功能，采用CONSOLE的方式進行管理員登錄，認證方式為帳號加口令的方式，在管理登錄進行訪問時，如果連續(xù)三次輸入錯誤則自動退出；防止惡意的嘗試登錄等行為。 VLAN 劃分XXX信息網絡內沒有引入三層交換機，在網段劃分上則通過防火墻端口自然隔離為不同的VLAN，各個不同的VLAN提供給不同的部門使用，并且按照部門的職能劃分，防火墻執(zhí)行不同的訪問控制策略，具體VLAN劃分的方式如下：VLAN IP地址VLAN內用戶網關防火墻VLAN 1業(yè)務服務器區(qū)域核心防火墻ETH1口VLAN 2行政部四樓防火墻ETH1口VLAN 3總裁辦公室四樓防火墻ETH1口VLAN 4銷售管理和售前四樓防火墻ETH1口VLAN 5銷售體系四樓防火墻ETH1口VLAN 6財務部四樓防火墻ETH1口VLAN 7客服部三樓防火墻ETH1口VLAN 8信息管理部四樓防火墻ETH1口VLAN 9人力資源部四樓防火墻ETH1口VLAN 10生產車間三樓防火墻ETH1口VLAN 11市場部四樓防火墻ETH1口VLAN 12四層會議室四樓防火墻ETH1口VLAN 16安全集成、服務三樓防火墻ETH1口VLAN 17商務部三樓防火墻ETH1口VLAN 18 采購部三樓防火墻ETH1口VLAN 19生產部三樓防火墻ETH1口VLAN 20三層會議室三樓防火墻ETH1口VLAN 25戰(zhàn)略方案中心及五樓培訓教室四樓防火墻ETH2口VLAN 26戰(zhàn)略方案中心及五樓培訓教室四樓防火墻ETH2口VLAN 81研發(fā)總工辦五樓防火墻ETH2口VLAN 83研發(fā)管理部五樓防火墻ETH6口VLAN 87研發(fā)軟件平臺開發(fā)部五樓防火墻ETH5口VLAN 89研發(fā)軟件平臺開發(fā)部五樓防火墻ETH5口VLAN 91研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 92研發(fā)軟件平臺開發(fā)部五樓防火墻ETH5口VLAN 94研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 95研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 96研發(fā)測試部五樓防火墻ETH1口VLAN 97應用軟件研發(fā)部五樓防火墻ETH3口VLAN 98研發(fā)測試部五樓防火墻ETH1口VLAN 99研發(fā)服務器五樓防火墻ETH7口VLAN 100研發(fā)服務器五樓防火墻ETH7口VLAN 105研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口 服務器設備情況XXX公司的服務器，按照其承載的應用系統(tǒng)可劃分為六種類型，分別如下： 業(yè)務應用服務器業(yè)務應用系統(tǒng)包括用友U8系統(tǒng)，金蝶K3及CRM系統(tǒng)，ORACLE的EBS電子商務套件，服務器均部署在業(yè)務服務器區(qū)域，該類服務器包括：用友U8應用服務器用友U8財務系統(tǒng)的應用和數(shù)據(jù)庫都安裝在一臺服務器上，設備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務器的管理認證方式為用戶名/口令方式，沒有做到分權管理；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志；遠程管理時采用SSL VPN＋遠程桌面的方式進行；金蝶K3應用服務器系統(tǒng)與數(shù)據(jù)庫服務器均安裝在同一臺設備上，設備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務器的管理認證方式為用戶名/口令方式，沒有做到分權管理；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志；遠程管理時采用SSL VPN＋遠程桌面的方式進行；金蝶CRM應用服務器應用服務器與數(shù)據(jù)庫分開安裝，設備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務器的管理認證方式為用戶名/口令方式，沒有做到分權管理；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志。遠程管理時采用SSL VPN＋遠程桌面的方式進行；ORACLE EBS應用服務器應用服務器與數(shù)據(jù)庫分開安裝，設備型號為IBM 9133 Model 55A，操作系統(tǒng)為IBM AIX ，服務器的管理認證方式為用戶名/口令方式，沒有做到分權管理；利用AIX自帶的加密機制進行口令保護，防止口令被竊取；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志和故障日志。遠程管理時采用SSL VPN＋Telnet的方式進行。 內部辦公服務器包括內部主頁服務器，考勤服務器和進行辦公軟件下載的文件服務器，服務器均部署在業(yè)務服務器區(qū)域，該類服務器包括：內部主頁服務器主要提供實現(xiàn)內部主頁的發(fā)布和內部論壇的使用，設備型號為IBM Xseries 346，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務器的管理認證方式為用戶名/口令方式，沒有做到分權管理；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志。遠程管理時采用SSL VPN＋遠程桌面的方式進行；內部考勤服務器實現(xiàn)辦公考勤的應用，設備型號為聯(lián)想PC服務器，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫為Sql Server，服務器的管理認證方式為用戶名/口令方式，沒有做到分權管理；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志。遠程管理時采用SSL VPN＋遠程桌面的方式進行；文件服務器主要提供給內部辦公人員進行軟件和工具的下載，設備型號為組裝的PC服務器，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務器的管理認證方式為用戶名/口令方式，沒有做到分權管理；利用WINDOWS自帶的口令加密方式進行保護；在管理上服務器采取高強度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點是用戶登錄日志。遠程管理時采用SSL VPN＋遠程桌面的方式進行。 外部服務器包括對外的WEB發(fā)布、郵件應用和一些對外的升級服務器，服務器均部署在外部服務器區(qū)域，該類服務器包括：WEB服務器實現(xiàn)公司主頁對外發(fā)布的服務器，共安裝了兩臺服務器，設備型號為IBM @Server Xseries 335，，管理員認證手段為用戶名/口令方式，沒有做到分權管理，口令保護采取操作系統(tǒng)自帶的加密措施來保障；操作系統(tǒng)口令有強度要求，定期地進行維護；對于過期賬戶定期地進行檢查和刪除，遠程管理采用SSH的方式進行；服務器沒有開啟日志審計功能；郵件服務器實現(xiàn)公司郵件的發(fā)送和傳輸，郵件采取了Mirapoint的郵件解決方案，在硬件上也采取了Micrapoint專用郵件服務器Mirapoint M500，共