【正文】 無法解決的。● 責權分明采用分層、分級管理的模式：一方面，XX 企業(yè)信息系統(tǒng)可以分為三層：信息網(wǎng)絡、計算機系統(tǒng)和應用系統(tǒng)；另一方面，網(wǎng)絡和應用系統(tǒng)都有中心、下屬等的分級結構。必須從一個完整的安全體系結構出發(fā)，綜合考慮信息網(wǎng)絡的各種實體和各個環(huán)節(jié)，綜合使用各層次的各種安全手段，為信息網(wǎng)絡和業(yè)務系統(tǒng)提供全方位安全服務。實施是在網(wǎng)絡現(xiàn)有應用基礎上的改造，對網(wǎng)絡整體的安全加固，所以在上新的系統(tǒng)時不能影響原有系統(tǒng)應用的整體性能。安全問題已經(jīng)成為影響 XX 企業(yè)業(yè)務平臺的穩(wěn)定性和業(yè)務的正常提供的一個問題，所以提升我們 XX 企業(yè)自身的安全性也已經(jīng)成為 XX 企業(yè)增強企業(yè)競爭力的重要方面之一。XX 企業(yè)集團是國家重點支持的 520 家工業(yè)企業(yè)大型支柱產(chǎn)業(yè)集團之一。建立整體網(wǎng)絡安全體系；建設整體的防病毒體系，保證網(wǎng)絡病毒不會由公司主干網(wǎng)傳入專網(wǎng)，保證遠程 VPN 網(wǎng)絡或用戶的病毒不會傳入公司主干網(wǎng)；對于 INTERNET 上新病毒的反應、處理速度，比如當時“震蕩波”病毒，要在“黃金響應”時間內通知如何防范和相應補丁，在沒有擴散到大范圍及時發(fā)現(xiàn)病毒；如果內網(wǎng)存在病毒，能夠對其定位，知道在哪個機器上，是哪種病毒，能夠清除并有相應的日志；保證系統(tǒng)服務器、生產(chǎn)專網(wǎng)、電話站專網(wǎng)的高可用性、抗攻擊性；能夠查詢誰在什么時間、什么地點、用什么方式訪問了什么網(wǎng)絡資源，上了什么網(wǎng)站，要有分用戶、分時間段、分服務類別的詳細清單及統(tǒng)計報表；強制性管理終端用戶設備，并按照統(tǒng)一規(guī)劃的不同策略管理不同的終端用戶設備或終端用戶設備組；能夠及時覺知誰在攻擊或在探測網(wǎng)絡，并及時阻斷攻擊以及非法探測并有詳細的日志，在發(fā)生外部入侵進來時，必須及時報警并發(fā)郵件到管理人員郵箱，4 / 34并提供相應的策略；對公司內網(wǎng)的安全能夠做到：誰在用非法手段掃描、攻擊服務器或別人的機器，誰私自改 IP 地址，新的機器接入內網(wǎng)或非法上外網(wǎng)，不能隨便安裝、卸載軟件等等。● 有效管理沒有有效的安全管理（如防火墻監(jiān)控、審計日志的分析等等） ，各種安全機制的有效性很難保證。各級網(wǎng)絡管理中心負責網(wǎng)絡的安全可靠運行，為應用信息系統(tǒng)提供安全可靠的網(wǎng)絡服務，各級信息中心負責計算機系統(tǒng)和應用系統(tǒng)的安全管理。安全方案的設計必須以科學的安全體系結構模型為依據(jù)，才能保障整個安全體系的完備性、合理性。該模型在整體上表現(xiàn)為一個三線立體框架結構。安全管理涉及到所有協(xié)議層次、所有單元的安全服務和安全機制的管理。各種安全服務之間的邏輯關系在不同的協(xié)議層次，實體都有主體和客體（或資源）之分：在網(wǎng)絡層，對主體和資源的識別以主機或協(xié)議端口為粒度，認證服務主要指主機地址的認證，網(wǎng)絡層的訪問控制主要指防火墻等過濾機制；在應用系統(tǒng)中，主體的識別以用戶為粒度，客體是業(yè)務信息資源，認證是指用戶身份認證和應用服務的認證，訪問控制的粒度可以具體到某種操作，如對數(shù)據(jù)項的追加、修改和刪除。該模型與 OSI 體系結構一致?！?網(wǎng)絡通信安全，一則保障網(wǎng)絡自身的安全可靠運行，保證網(wǎng)絡的可用性；二則為業(yè)務數(shù)據(jù)提供完整性、保密性的安全服務。安全管理的內容可以分成安全技術管理和安兮管理制度兩部分。實際上，安全漏洞廣泛存在于網(wǎng)絡數(shù)據(jù)鏈路、網(wǎng)絡設備、主機操作系統(tǒng)和應用系統(tǒng)中。網(wǎng)絡設備基本采用 CISCO 系列產(chǎn)品，主干網(wǎng)絡交換機近 100 臺。如：? 入侵者通過 Sniffer 等嗅探程序來探測掃描網(wǎng)絡及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡 IP 地址、應用操作系統(tǒng)的類型、開放哪些 TCP 端口號、系統(tǒng)保存用戶名和口令等安全信息的關鍵文件等，并通過相應攻擊程序對內網(wǎng)進行攻擊。? 在分支機構與總部的 VPN 網(wǎng)關建立隧道以后，如果分支機構的計算機遭到病毒或黑客的入侵，同樣將會對 XX 企業(yè)的內網(wǎng)造成安全威脅。同時，由于內部人員比較熟悉系統(tǒng)的情況，其攻擊行為更容易取得成功。這些專網(wǎng)之間都需要進行訪問控制。此時，該人員就可以非常方便地通過一些非法的工具和手段來隨意攻擊網(wǎng)絡上的數(shù)據(jù)庫服務器和其他客戶端主機、盜取網(wǎng)絡上的一些關鍵數(shù)據(jù)以及獲取當前比較詳細的 XX 企業(yè)集團整體網(wǎng)絡情況為以后更致命的攻擊做好準備，然而網(wǎng)絡管理員并沒有一個有效的方法來實時了解網(wǎng)絡中各節(jié)點的情況，控制這些網(wǎng)絡節(jié)點的變化，因此給整個 XX 企業(yè)集團的網(wǎng)絡系統(tǒng)造成極大的威脅。如某臺非法主機在經(jīng)過相關的配置后就可以與網(wǎng)絡中的數(shù)據(jù)庫服務器和其他客戶端主機進行 TCP/IP 通信。若此時有一臺開發(fā)客戶端主機中了木馬程序，在正常訪問服務器的過程中就可能通過這一非法應用程序將訪問服務器的賬號、口令以及訪問方式都泄露給黑客，黑客就能通過獲取的信息堂而皇之地登錄到該應用服務器上，并能在該服務器上也啟動一些非法的應用服務，幫助黑客完全地控制服務器。這些后門或安全漏洞都將存在重大安全隱患。? 內部 – 局域網(wǎng)中的工作站及文件服務器都會受到病毒的感染，病毒的攻擊方式多種多樣，有通過局域網(wǎng)傳播、傳統(tǒng)介質(光盤、軟盤、USB硬盤等)傳播等等，一旦受到感染，便會迅速傳播，會給日常的工作和生產(chǎn)帶來極大的威脅。 安全服務體系不健全的威脅一個網(wǎng)絡的安全，不是僅靠一種安全產(chǎn)品就能保障的，是需要多種安全產(chǎn)品共同維護的。 XX 企業(yè)安全需求 防病毒體系需求? 自動安裝客戶端軟件；? 自動更新、分發(fā)客戶端軟件及病毒庫；? 網(wǎng)絡中布置了多少臺機器，還有多少臺未安裝防病毒軟件；? 客戶端軟件、病毒庫版本是否為最新，病毒防護或發(fā)作信息；? 客戶端軟件不允許隨意卸載；? 網(wǎng)絡中那些病毒在傳播； 強制性網(wǎng)管軟件需求? 網(wǎng)絡上有哪些交換機，有哪些計算機；? 網(wǎng)絡拓撲結構，交換機如何互聯(lián)，每臺交換機接了那些終端；15 / 34? 網(wǎng)絡性能管理、流量管理、故障管理、日志管理；? 資產(chǎn)信息收集與管理；? 管理制度制訂、落實；? 客戶端軟件不允許隨意卸載；? 遠程管理與控制；? 軟件分發(fā)；? 操作系統(tǒng)補丁分發(fā)、安裝；? 管理中心；? 網(wǎng)絡設備的軟件升級（IOS 升級至最高版本） ； 防火墻需求? 支持雙機熱備份功能，切換時間不超過 3 秒；? 因特網(wǎng)出口（現(xiàn)狀：100M） ，支持 VPN 功能，能夠與 VPN 網(wǎng)關協(xié)調一致工作，移動用戶能夠利用操作系統(tǒng)自帶的 VPN 連接、通過 cisco 公司ACS 3000 驗證用戶進入公司內網(wǎng)；? 北京分公司（現(xiàn)狀：Adsl） ，利用 VPN 網(wǎng)關與公司因特網(wǎng)出口防火墻建立 VPN 連接進入公司內網(wǎng)；? 北京庫房(現(xiàn)狀：華為路由器，128K DDN) ，利用 VPN 網(wǎng)關與公司因特網(wǎng)出口防火墻建立 VPN 連接進入公司內網(wǎng)；? 兩臺 ERP 小型機（每臺小型機配置：雙千兆短波多模光纖網(wǎng)卡，防火墻采用橋接模式）? 棒材生產(chǎn)子網(wǎng)、煉鋼生產(chǎn)子網(wǎng)（百兆）? 煉鋼大高爐生產(chǎn)子網(wǎng)（千兆長波單模光纖）? 礦業(yè)公司(2 條 2M 數(shù)字電路，連入電話站交換機)、二化(1 條 2M 數(shù)字電路，連入電話站交換機)? 電話站專網(wǎng) 過濾網(wǎng)關需求因特網(wǎng)（現(xiàn)狀：100M）入口，必須至少支持 4 種 Inter 協(xié)議：SMTP、POPHTTP、FTP，并具有日志以及日志分析功能； 入侵檢測需求內網(wǎng)關鍵區(qū)域及因特網(wǎng)（現(xiàn)狀：100M）出口，具有安全審計功能；16 / 34 漏洞掃描需求定期掛接到網(wǎng)絡中，對當前網(wǎng)絡上的重點服務器（如 WEB 服務器、郵件服務器、DNS 服務器、主域服務器等）以及主機進行一次掃描，得到當前系統(tǒng)中存在的各種安全漏洞，并有針對性地提出補救措施報告； 安裝需求所有安全產(chǎn)品布置在項目附帶的機柜內，并且在機柜內配置 2 臺 32 口自動多電腦切換器，配置相應的鍵盤、光電鼠標、顯示器及線纜；安全設備要有管理口，便于管理，降低安全產(chǎn)品本身的安全威脅，要有分權管理，管理與審計權限分開；要保證系統(tǒng)服務器、生產(chǎn)專網(wǎng)的高可用性、抗攻擊性；制定詳細的實施計劃，明確雙方責任，專業(yè)技術工程師、制度管理師按照實施計劃布置實施符合 XX 企業(yè)管理需求的安全策略、制定符合 XX 企業(yè)管理需求的制度體系；各個系統(tǒng)協(xié)調一致工作，不能出現(xiàn)軟件或硬件沖突；17 / 34第四章 信息網(wǎng)絡的安全方案設計 安全管理環(huán)節(jié)分析：? 主要是指 XX 企業(yè)集團要設備管理、人員管理、策略管理等；? 目前 XX 企業(yè)集團尚無一套完善的網(wǎng)絡安全管理體系，我們要建立通過一定的國際標準來建立建設管理體系。 安全防護環(huán)節(jié)分析:? 該環(huán)節(jié)的包括訪問控制、保密性、完整性、可用性、不可否認性。需求建議:安全保護圍很廣涉及的技術也較多，對于 XX 企業(yè)集團信息網(wǎng)目前最需要的防護手段是對全網(wǎng)的防護，使用防火墻、防病毒技術和入侵檢測，在此基礎上建議加強對 XX 企業(yè)集團數(shù)據(jù)中心信息網(wǎng)的防護體系建設。 病毒防護環(huán)節(jié)分析：? 主要針對全網(wǎng) 1000 多臺主機和 30 多臺服務器進行病毒防護。 安全服務環(huán)節(jié)分析：? 一個優(yōu)秀的網(wǎng)絡安全系統(tǒng)的建立不僅僅依靠網(wǎng)絡安全設備和相關安全手段，如何去建設網(wǎng)絡安全系統(tǒng)？如何去使用網(wǎng)絡安全系統(tǒng)？以及出現(xiàn)安全問題如何去應對？是一般網(wǎng)使用者非常關心的問題。有關建立防火墻子系統(tǒng)的目標、功能、位置、在下文中進行詳細說明。我們建議在 XX 企業(yè)集團內網(wǎng)和 Inter 接入設備之間配置一臺天融信網(wǎng)絡衛(wèi)士千兆防火墻 NGFW4000UFVPN(E)，作為訪問控制設備。若嚴格地采取物理隔離措施，固然可以做到系統(tǒng)的訪問控制絕對安全，但是對于通過間接的物理訪問而造成的病毒危害則很難防范（病毒庫很難及時升級） ，而且對整個信息系統(tǒng)的自動化和工作效率不能有效地保證。我們建議在 SUN 服務器和核心交換之間加入天融信的千兆防火墻 NGFW4000UF，同時設定規(guī)則，只允許特定的 ERP 應用到達 SUN服務器。Solaris 服務器也是通過兩塊網(wǎng)卡連接兩臺核心交換機，物理上，一塊網(wǎng)卡是 up，另一塊22 / 34處于 down 狀態(tài)。對于天融信的防火墻由于支持 Spanning Tree 的算法，上圖就可以變成下圖的連接方法： 區(qū)別表現(xiàn)在支持 Spanning Tree 的算法的防火墻可以把四個端口配置成一個廣播域，此時防火墻到交換機之間的切換通過生成樹協(xié)議來實現(xiàn)，服務器到23 / 34防火墻之間的切換通過 Solaris 服務器雙網(wǎng)卡自身的機制來切換。 XX 企業(yè)防火墻的作用? 防火墻對內網(wǎng)用戶一經(jīng)授權便能夠采用任何現(xiàn)有的或新出現(xiàn)的網(wǎng)絡技術訪問 Inter