【正文】 全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。單靠技術(shù)或單靠管理都不可能真正解決安全問題的，必須堅持技術(shù)和管理相結(jié)合的原則。3）管理可控性原則系統(tǒng)的所有安全設(shè)備（管理、維護和配置）都應(yīng)自主可控；系統(tǒng)安全設(shè)備的采購必須有嚴(yán)格的手續(xù)；安全設(shè)備必須有相應(yīng)機構(gòu)的認(rèn)證或許可標(biāo)記；安全設(shè)備供應(yīng)商應(yīng)具備相應(yīng)資質(zhì)并可信。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。如本來對某些通信和操作需要限制，為了方便，設(shè)置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡(luò)漏洞。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡(luò)對沒有采取安全措施的服務(wù)器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。 搭線（網(wǎng)絡(luò)）竊聽這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡(luò)協(xié)議分析工具，在INTERNET網(wǎng)絡(luò)安全的薄弱處進入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息（尤其是敏感信息）的內(nèi)容。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息。 其它網(wǎng)絡(luò)的攻擊XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡(luò)攻擊，如試圖進入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對操作管理人員的培訓(xùn)顯得尤為重要。注：部分描述地方需要進行調(diào)整，請根據(jù)用戶實際情況敘述。安全系統(tǒng)實施方案的設(shè)計和施工單位應(yīng)具備相應(yīng)資質(zhì)并可信。 6）測評認(rèn)證原則XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)作為重要的政務(wù)系統(tǒng)，其系統(tǒng)的安全方案和工程設(shè)計必須通過國家有關(guān)部門的評審，采用的安全產(chǎn)品和保密設(shè)備需經(jīng)過國家主管理部門的認(rèn)可。根據(jù)XXX企業(yè)各級內(nèi)部網(wǎng)絡(luò)機構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點，本方案主要從以下幾個方面進行安全設(shè)計：l 網(wǎng)絡(luò)系統(tǒng)安全；l 應(yīng)用系統(tǒng)安全；l 物理安全；l 安全管理； 安全設(shè)計總體考慮根據(jù)XXX企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行考慮：l 網(wǎng)絡(luò)傳輸保護主要是數(shù)據(jù)加密保護l 主要網(wǎng)絡(luò)安全隔離通用措施是采用防火墻l 網(wǎng)絡(luò)病毒防護采用網(wǎng)絡(luò)防病毒系統(tǒng)l 廣域網(wǎng)接入部分的入侵檢測采用入侵檢測系統(tǒng)l 系統(tǒng)漏洞分析采用漏洞分析設(shè)備l 定期安全審計主要包括兩部分：內(nèi)容審計和網(wǎng)絡(luò)通信審計l 重要數(shù)據(jù)的備份l 重要信息點的防電磁泄露l 網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展l 網(wǎng)絡(luò)防雷 網(wǎng)絡(luò)安全 作為XXX企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。由于現(xiàn)在越來越多的政府、金融機構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來構(gòu)建內(nèi)聯(lián)網(wǎng)?？蛇_到以下幾個目的：l 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護；由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸l 網(wǎng)絡(luò)隔離保護；與INTERNET進行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問l 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性；l 降低成本（設(shè)備成本和維護成本）；其中，在各級中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：圖42 中心網(wǎng)絡(luò)VPN設(shè)置圖由一臺VPN管理機對CA、中心VPN設(shè)備、分支機構(gòu)VPN設(shè)備進行統(tǒng)一網(wǎng)絡(luò)管理。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構(gòu)的維護成本和對專業(yè)技術(shù)人員的要求，這對有著龐大下屬、分支機構(gòu)的單位來講將是一筆不小的費用。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對主要安全設(shè)備進行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。 入侵檢測網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)安全是個整體的，必須配相應(yīng)的安全產(chǎn)品。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡(luò)引擎）。入侵檢測系統(tǒng)的設(shè)置如下圖： 從上圖可知，入侵檢測儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。本方案中，采用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進行探測、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用服務(wù)平臺中采用國內(nèi)自主開發(fā)的安全操作系統(tǒng)，針對通用OS的安全問題，對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護等方面進行安全改造和性能增強。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW服務(wù)、EMAIL服務(wù)、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全以及提供服務(wù)的安全。本方案中在選擇殺毒軟件時應(yīng)當(dāng)注意幾個方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對付國產(chǎn)和國外病毒能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動升級等優(yōu)點。在XXX網(wǎng)絡(luò)中所有可能的病毒攻擊點或通道中設(shè)置對應(yīng)的防病毒軟件，通過這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網(wǎng)絡(luò)免遭所有病毒的入侵和危害。l 所選用產(chǎn)品易于安裝、操作簡便、便于管理和維護，具有友好的用戶界面。l 提供良好的售后服務(wù)及技術(shù)支持。由于內(nèi)部存在幾十個網(wǎng)絡(luò)客戶端，如采用普通殺毒軟件會造成升級麻煩、使用不便等問題。通過這種方法，可以達到層層設(shè)防的作用，最終實現(xiàn)病毒防護。如同時采用硬盤、光盤備份的方式。同時對特別重要的備份數(shù)據(jù)，還應(yīng)當(dāng)采取異地備份保管的方式，來確保數(shù)據(jù)安全。對不同等級、類型的信息只允許相應(yīng)級別的人進行審閱；對網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應(yīng)的安全措施。因此，本方案建議采用網(wǎng)絡(luò)隔離卡的方式來解決網(wǎng)絡(luò)切換的問題。 應(yīng)用 根據(jù)XXX企業(yè)網(wǎng)絡(luò)的實際情況，需要在二、三、四樓共20個信息點上安裝隔離卡。 網(wǎng)絡(luò)防雷由于XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理范圍主要是在一棟大樓內(nèi)，而大樓本身已采取相應(yīng)的防雷措施，因此，本方案中主要針對網(wǎng)絡(luò)系統(tǒng)防雷進行設(shè)計，不包括電源防雷（這一般屬于大樓防雷的部分）。在各設(shè)備前端分別要加裝串聯(lián)型電源避雷器（多級集成型），以最大限度地抑制雷電感應(yīng)的能量。l 骨干網(wǎng)絡(luò)防雷；l 終端防雷；以上兩級避雷可使用信號避雷器來實現(xiàn)。對中心機房和關(guān)鍵信息點采取多種安全防范措施，確保非授權(quán)人員無法進入。XXX企業(yè)及下屬各級機構(gòu)在行政管理上采取逐級縱向管理的方式，因此在網(wǎng)絡(luò)管理上也采用這種方式。安全組織建立原則XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全組織體系，是網(wǎng)絡(luò)系統(tǒng)安全的組織保障系統(tǒng)，由機構(gòu)、崗位和人事三個部分構(gòu)成一個體系。執(zhí)行層是在管理層協(xié)調(diào)下具體負(fù)責(zé)某一個或某幾個特定安