【正文】 *** 酒店網(wǎng)絡安全建議書目錄第一部分 簡述 ……………………………………………………………………………….2第一章 概述……………………………………………………………………………….2第二部分 技術(shù)方案……………………………………………………………………………..3第一章 信息安全風險分析……………………………………………………………….3第二章安全需求與目標…………………………………………………………………..4第三章 全面的信息絡安全體系設計…………………………………………………….4第四章 ***酒店安全網(wǎng)絡設計…………………………………………………………….7第五章 防病毒產(chǎn)品設計方案…………………………………………………………….12. 網(wǎng)絡防病毒產(chǎn)品推薦 14 第六章 內(nèi)網(wǎng)管理產(chǎn)品設計方案2. 整體方案建議 16 . 整體防病毒體系建議 16 . 防病毒體系設計思路 16 . 產(chǎn)品部署建議 16 . 服務器防護 16 . 客戶機防護 18 . 網(wǎng)絡層防病毒 20 部署實施方案 22 （一）控制功能：細致的訪問控制功能，有效管理用戶上網(wǎng) 26 （二）監(jiān)控功能：完善的內(nèi)容過慮和訪問審計功能，防止機密信息泄漏 27 （三）報表功能：強大的數(shù)據(jù)報表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計 27 （四）帶寬及流量管理功能：強大的QOS功能及流量分析 28 （五）負載均衡和高可用性 28 （六）豐富的外網(wǎng)安全功能：包括防火墻、VPN、IPS、網(wǎng)關(guān)殺毒及防垃圾郵件等 28 （一）深度的內(nèi)容檢測技術(shù)及在線網(wǎng)關(guān)監(jiān)控技術(shù)——及時封堵P2P、IM軟件 29 （二）流量控制管理 29 （三）郵件的延遲審計（專利技術(shù)） 30 （四）獨有的網(wǎng)絡訪問準入規(guī)則（專利技術(shù)） 30 （五）WEB認證技術(shù) 30 （六）高度集成，部署靈活 31 第七章 整體網(wǎng)絡應用拓撲圖…………………………………………………………….32第八章 ***酒店安全服務……………………………………………………………… 33第九章 產(chǎn)品報價………………………………………………………………………..36第一部分 簡述 第一章 概述在當今的信息時代，互聯(lián)網(wǎng)已經(jīng)成為很多人生活中不可分割的一部分。人們越來越習慣于利用互聯(lián)網(wǎng)進行相互溝通和商務活動。人們希望在任何地方、任何時候都可以通過網(wǎng)絡方便、快速地獲得所需要的信息，對于那些經(jīng)常出門在外的人，如果在暫住的酒店中能夠隨時訪問互聯(lián)網(wǎng)，對他們無疑將有著巨大的吸引力。為此，在酒店這個人員流動性非常大的公共場所為客人提供上網(wǎng)服務已成為現(xiàn)代酒店發(fā)展的必然趨勢，這也是酒店提高自身服務水平的重要標志。通常酒店的網(wǎng)絡有兩部分：辦公網(wǎng)絡和客房網(wǎng)絡，為節(jié)約成本往往兩個網(wǎng)絡通過一條Internet出口連接互聯(lián)網(wǎng)，酒店網(wǎng)絡管理員希望充分保障辦公網(wǎng)絡的安全，不受外部網(wǎng)絡攻擊及客房網(wǎng)絡可能出現(xiàn)的病毒影響；客房用戶上網(wǎng)隨意性較大，需要帶寬管理措施來限制占用帶寬過高的用戶，并保障辦公網(wǎng)絡的網(wǎng)速正常?！　【频暧脩袅鲃有院艽螅S身攜帶的移動電腦中經(jīng)常帶有病毒，一旦爆發(fā)將影響整個網(wǎng)絡的正常，例如常見的ARP地址欺騙病毒，當中毒電腦冒充網(wǎng)關(guān)地址時，整個網(wǎng)絡的客戶端都將受此影響而無法訪問互聯(lián)網(wǎng)，因此急需有效的防內(nèi)部攻擊措施來保障網(wǎng)絡正常。針對***酒店計算機網(wǎng)絡系統(tǒng)網(wǎng)絡現(xiàn)狀，我們從物理安全、鏈路安全、網(wǎng)絡安全、系統(tǒng)安全、應用安全及管理安全方面對***酒店計算機網(wǎng)絡系統(tǒng)絡系統(tǒng)進行風險分析?；谝陨系男枨蠓治觯覀儗⒅攸c考慮：保護網(wǎng)絡系統(tǒng)的可用性，保護網(wǎng)絡系統(tǒng)服務的連續(xù)性，防范網(wǎng)絡資源的非法訪問及非授權(quán)訪問，防范入侵者的惡意攻擊與破壞，保護信息通過網(wǎng)上傳輸過程中的機密性、完整性，防范計算機病毒的侵害，實現(xiàn)系統(tǒng)快速恢復，實現(xiàn)網(wǎng)絡的安全管理，建立相應的遠程安全管理通道和管理平臺，建立一套完整可行的網(wǎng)絡安全與網(wǎng)絡管理策略。我們相信本建議書中的設計能較好地滿足貴單位網(wǎng)絡系統(tǒng)的需求，并希望與貴公司有關(guān)領導及具體負責人進一步進行深入的討論。我們有決心積極參加貴單位此次網(wǎng)絡安全建設項目，有信心圓滿完成貴單位的網(wǎng)絡安全建設工程。第二部分 技術(shù)方案第一章 信息安全風險分析隨著Internet網(wǎng)絡急劇擴大和上網(wǎng)用戶迅速增加，風險變得更加嚴重和復雜。原來由單個計算機安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機制和對Internet安全政策的認識不足，這些風險正日益嚴重。下面列出部分這類新風險因素：信息安全可以從以下幾個方面來理解：1）網(wǎng)絡物理是否安全；2）網(wǎng)絡結(jié)構(gòu)是否安全；3）系統(tǒng)是否安全；4）應用是否安全；5）管理是否安全。1. 網(wǎng)絡物理安全：地震、火災、雷電等2. 網(wǎng)絡安全：線路故障，路由、交換機設備損壞等3. 系統(tǒng)安全：應用服務器、操作系統(tǒng)、數(shù)據(jù)庫故障等4. 應用安全：黑客攻擊、非法入侵、病毒、惡意程序、應用軟件故障、數(shù)據(jù)丟失泄密、帳號密碼丟失、軟件漏洞等5. 管理安全：內(nèi)部攻擊、誤操作、設備的破壞、惡意行為等第二章 安全需求與安全目標 針對信息系統(tǒng)所面臨的安全分析，通過可能造系統(tǒng)安全的五個部分，如何進行有效的防范，需從五方面進行：1. 針對管理級安全：須建立一套完整可行的信息安全管理制度，通過有效的系統(tǒng)管理工具，實現(xiàn)系統(tǒng)的安全運行管理與維護；2. 針對應用級安全：須加強網(wǎng)絡防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、數(shù)據(jù)加密、身份認證等，通過一系列信息安全軟硬件設備建設安全防護體系；3. 針對系統(tǒng)級安全：須加強對服務器、操作系統(tǒng)、數(shù)據(jù)庫的運行監(jiān)測，加強系統(tǒng)補丁的管理，通過雙機（或兩套系統(tǒng)）的形式保證核心系統(tǒng)運行，當發(fā)生故障時，能及時的提供備用系統(tǒng)和恢復；4. 針對網(wǎng)絡級安全：須保證網(wǎng)絡設備、網(wǎng)絡線路的運行穩(wěn)定，對核心層的網(wǎng)絡設備和線路提供雙路的冗余；5. 針對物理級安全：須保證數(shù)據(jù)的安全和系統(tǒng)的及時恢復，加強數(shù)據(jù)的遠程異地備份和系統(tǒng)的異地容災。第三章 全面的信息絡安全體系設計要建立一套全面的信息安全系統(tǒng)，就要從自身的應用狀況分析，分析可能存在安全漏洞，從重要性、緊迫性出發(fā)，逐一提供建設參考。首先：區(qū)分內(nèi)外網(wǎng)，加強內(nèi)部網(wǎng)絡的安全防護：找到網(wǎng)絡的對外接口（互聯(lián)網(wǎng)接口、上級門、下級單位、同級部門、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡），在對外網(wǎng)絡的接口處安裝防火墻系統(tǒng)，通過防火墻實現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡的安全。通過防火墻實現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為；通過防火墻驗證訪問內(nèi)部的用戶身份、訪問權(quán)限等；通過入侵防護檢測訪問者的訪問行為；因為數(shù)據(jù)在網(wǎng)絡上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進行加密，可以通過防火墻的VPN模塊或?qū)Ｓ玫腣PN設備建立VPN通道。目前，大部分防火墻的功能差異并不太大，性能成為選擇防火墻的主要指標，市場上的防火墻根據(jù)架構(gòu)的不同，可分為三大類：ASIC芯片、NP架構(gòu)、傳統(tǒng)的X86架構(gòu)，ASIC芯片級的防火墻把大部分處理通過芯片來完成，不再占用CPU資源，具有更好的處理性能。第二：建立多層次、全方面的防病毒系統(tǒng) 根據(jù)病毒寄存的環(huán)境，在所有服務器和客戶機上安裝網(wǎng)絡版防毒系統(tǒng) 根據(jù)病毒傳播的途徑，在網(wǎng)關(guān)處安裝網(wǎng)關(guān)防毒網(wǎng)關(guān)，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時進行有效的病毒防護 在內(nèi)部交換層，通過硬件的網(wǎng)絡防毒墻對網(wǎng)絡中的數(shù)據(jù)包進行檢測，有效的進行網(wǎng)絡層病毒、蠕蟲、惡意攻擊行為的防護，保護內(nèi)部網(wǎng)絡的穩(wěn)定與暢通。單機的問題并不能對網(wǎng)絡造成嚴重的問題，網(wǎng)絡中斷或癱瘓造成的損失是巨大的第三：加強核心網(wǎng)絡、核心應用的安全防護核心網(wǎng)絡、服務器群是一個網(wǎng)絡的中心部分，應更加注重安全的防范，為了防止來自外部和內(nèi)部的攻擊，應在核心服務器群前安裝防火墻及入侵防護系統(tǒng)。重點加強核心系統(tǒng)的安全防護；對操作系統(tǒng)及應用系統(tǒng)的漏洞及時的安裝補丁為防止核心系統(tǒng)的運行出現(xiàn)固障，應對核心系統(tǒng)所在的網(wǎng)絡線路進行冗余設計，并對交換機、路由器設備進行雙路冗余。同時，把安裝重要應用系統(tǒng)的服務器進行雙機熱備所有數(shù)據(jù)通過磁盤陣列或磁帶機進行存儲、備份對于網(wǎng)站系統(tǒng),可以通過主頁防篡改系統(tǒng)、防DOS攻擊系統(tǒng)加強對網(wǎng)站的防護第四：加強數(shù)據(jù)備份數(shù)據(jù)資源是一個單位的最為重要資源,。現(xiàn)在一般常用的數(shù)據(jù)保存方式都是通過磁盤陣列來完成，但是，磁盤陣列的穩(wěn)定性是不能保證的。一般情況，可以通過磁帶機對磁盤陣列的數(shù)據(jù)進行再次備份也可以通過另一臺磁盤陣列進行數(shù)據(jù)的相互備份通過專用的備份軟件實現(xiàn)對數(shù)據(jù)庫、文件資源、應用系統(tǒng)及整個的應用服務系統(tǒng)進行備份，并提供相應用恢復方案為防止地震、火災、雷電等自然災害，須將重要數(shù)據(jù)在異地進行備份，如果系統(tǒng)的運行不能中斷，就需要在異地進行系統(tǒng)的容災第五：加強應用系統(tǒng)的安全防護對于擁有獨立郵件系統(tǒng)的網(wǎng)絡需要加強垃圾郵件的過濾對于應用系統(tǒng)必須加強用戶身份認證，通過身份認證控制用戶的使用權(quán)限。身份認證可以通過應用系統(tǒng)中的用戶管理系統(tǒng)實現(xiàn)，也可以通過專業(yè)的身份認證系統(tǒng)，考慮到終端用戶對帳號、密碼的管理能力較差，建議可采用第三方生物識別設備實現(xiàn)終端用戶的帳號、密碼的管理。第六：加強網(wǎng)絡管理信息系統(tǒng)的安全只靠以上的安全設備是不能解決問題的，三分技術(shù)七分管理，必須加強對信息系統(tǒng)設備的管理以及用戶應用的管理?？梢酝ㄟ^網(wǎng)絡管理軟件配合完成，使信息系統(tǒng)管理人員對信息系統(tǒng)的運行狀況一目了然。網(wǎng)絡管理系統(tǒng)應該具備和實現(xiàn) 獲取全網(wǎng)拓撲結(jié)構(gòu)圖，在網(wǎng)絡線路、基礎聯(lián)接層面了解網(wǎng)絡系統(tǒng)的運行狀況 監(jiān)控路由器、交換機、防火墻等網(wǎng)絡設備的運行情況，監(jiān)測控制網(wǎng)絡流量，及時提供報警，并能方便的對網(wǎng)絡設備進行系統(tǒng)配置和管理， 監(jiān)控服務器、主機、磁盤陣列的運行狀況、網(wǎng)絡流量、資源占用等，及時提供報警，并能方便的對主機設備進行配置和管理 監(jiān)控應用系統(tǒng)的運行狀況，對用戶進行訪問控制、記錄訪問及操作日志 管理網(wǎng)絡中的所有終端設資源，方便進行遠程的管理和操作控制 監(jiān)測及控制終端用戶對電腦軟硬件資源的使用、應用程序的使用、上網(wǎng)行為等操作行為 實現(xiàn)系統(tǒng)補丁管理、補丁分發(fā)，對操作系統(tǒng)、應用系統(tǒng)進行及時的補丁更新 限制不安全的設備的接入以上為網(wǎng)絡管理系統(tǒng)所須具備的功能，缺一不可，建議在選擇產(chǎn)品時，作為重要的參考依據(jù)。第七：漏洞掃描、安全評估僅管如上所述，我們己經(jīng)采取了眾多的安全措施，但是，我們的信息系統(tǒng)是一個不斷建設完善的系統(tǒng)，在系統(tǒng)的不斷建設過程，仍然會出現(xiàn)一些新的安全漏洞，安全系統(tǒng)的是否部署到位，我們的信息系統(tǒng)是否仍然存在安全隱患，作為信息系統(tǒng)的管理人員仍然需要進行定期的安全檢查。漏洞掃描系統(tǒng)就是檢查信息系統(tǒng)是否存在安全隱患的最佳工具，我們可以通過專用的漏洞掃描系統(tǒng)對網(wǎng)絡設備、服務器、應用系統(tǒng)、網(wǎng)絡終端進行全面的檢測，通過模擬黑客的進攻方法，對被檢系統(tǒng)進行攻擊性的安全漏洞和隱患掃描，提交風險評估報告，并提供相應的整改措施。找出網(wǎng)絡中存在的漏洞，防患于未然。第八：安全管理及培訓 制定并實施信息安全制度 加強網(wǎng)絡安全意識的教育和培養(yǎng) 加強網(wǎng)絡安全知識的培訓 定期進行終端安全產(chǎn)品的應用操作指導第四章 ***酒店安全網(wǎng)絡設計一、 ***酒店需求分析自2003年新實行的星級酒店國家標準將提供寬帶上網(wǎng)服務列入了賓館酒店評星的考核內(nèi)容之一，短時間內(nèi)星級賓館酒店客房寬帶上網(wǎng)服務將基本普及，不同檔次的賓館酒店的流動人口可以在網(wǎng)絡上進行各種各樣的網(wǎng)絡活動，因此一系列的網(wǎng)絡安全問題隨即出現(xiàn)：賓館酒店缺乏單位網(wǎng)絡信息備案；缺乏對房客互聯(lián)網(wǎng)的訪問管理；缺乏對出現(xiàn)問題的信息源定位，導致線索跟蹤的中斷；缺乏對各類站點的分類管理；缺乏對上網(wǎng)信息的收集、統(tǒng)計與分析，導致這部分的公共網(wǎng)絡信息管理處于真空狀態(tài)。 根據(jù)國家規(guī)定，提供上網(wǎng)服務場所必須將上網(wǎng)日志保存，并以一定的技術(shù)手段進行管理；目前許多賓館酒店都未有這種技術(shù)手段，在網(wǎng)絡管理上存在著漏洞，達不到國家的要求。主要網(wǎng)絡安全威脅由于網(wǎng)絡體系越來越復雜，應用系統(tǒng)越來越多，網(wǎng)絡規(guī)模不斷擴大，再加上與Internet的連接，網(wǎng)絡用戶也已經(jīng)不單單是內(nèi)部用戶。由于內(nèi)部網(wǎng)絡直接與外部網(wǎng)絡相連，對整個網(wǎng)絡安全形成了巨大的威脅，因此整個網(wǎng)絡承受著來自外部、內(nèi)部、黑客、病毒等各方面威脅。具體分析，對網(wǎng)絡安全構(gòu)成威脅的主