【正文】 全、數(shù)據(jù)安全、網(wǎng)絡安全、系統(tǒng)安全、安全管理等，而一個安全系統(tǒng)的安全等級，又是按照木桶原理來實現(xiàn)的。單靠技術(shù)或單靠管理都不可能真正解決安全問題的，必須堅持技術(shù)和管理相結(jié)合的原則。3）管理可控性原則系統(tǒng)的所有安全設備（管理、維護和配置）都應自主可控；系統(tǒng)安全設備的采購必須有嚴格的手續(xù)；安全設備必須有相應機構(gòu)的認證或許可標記；安全設備供應商應具備相應資質(zhì)并可信。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網(wǎng)絡系統(tǒng)采取相應的防雷措施。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態(tài)等等，從而出現(xiàn)網(wǎng)絡漏洞。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網(wǎng)絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。如系統(tǒng)內(nèi)部攻擊者偽裝成系統(tǒng)內(nèi)部的其他正確用戶。 搭線（網(wǎng)絡）竊聽這種威脅是網(wǎng)絡最容易發(fā)生的。攻擊者可以采用如Sniffer等網(wǎng)絡協(xié)議分析工具，在INTERNET網(wǎng)絡安全的薄弱處進入INTERNET，并非常容易地在信息傳輸過程中獲取所有信息（尤其是敏感信息）的內(nèi)容。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網(wǎng)絡內(nèi)的重要信息。 其它網(wǎng)絡的攻擊XXX企業(yè)網(wǎng)絡系統(tǒng)是接入到INTERNET上的，這樣就有可能會遭到INTERNET上黑客、惡意用戶等的網(wǎng)絡攻擊，如試圖進入網(wǎng)絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等。由于網(wǎng)絡安全產(chǎn)品的技術(shù)含量大，因此，對操作管理人員的培訓顯得尤為重要。注：部分描述地方需要進行調(diào)整，請根據(jù)用戶實際情況敘述。安全系統(tǒng)實施方案的設計和施工單位應具備相應資質(zhì)并可信。 6）測評認證原則XXX企業(yè)網(wǎng)絡系統(tǒng)作為重要的政務系統(tǒng)，其系統(tǒng)的安全方案和工程設計必須通過國家有關部門的評審，采用的安全產(chǎn)品和保密設備需經(jīng)過國家主管理部門的認可。根據(jù)XXX企業(yè)各級內(nèi)部網(wǎng)絡機構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級網(wǎng)絡管理、應用業(yè)務系統(tǒng)的特點，本方案主要從以下幾個方面進行安全設計：l 網(wǎng)絡系統(tǒng)安全；l 應用系統(tǒng)安全；l 物理安全；l 安全管理； 安全設計總體考慮根據(jù)XXX企業(yè)網(wǎng)絡現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行考慮：l 網(wǎng)絡傳輸保護主要是數(shù)據(jù)加密保護l 主要網(wǎng)絡安全隔離通用措施是采用防火墻l 網(wǎng)絡病毒防護采用網(wǎng)絡防病毒系統(tǒng)l 廣域網(wǎng)接入部分的入侵檢測采用入侵檢測系統(tǒng)l 系統(tǒng)漏洞分析采用漏洞分析設備l 定期安全審計主要包括兩部分：內(nèi)容審計和網(wǎng)絡通信審計l 重要數(shù)據(jù)的備份l 重要信息點的防電磁泄露l 網(wǎng)絡安全結(jié)構(gòu)的可伸縮性包括安全設備的可伸縮性，即能根據(jù)用戶的需要隨時進行規(guī)模、功能擴展l 網(wǎng)絡防雷 網(wǎng)絡安全 作為XXX企業(yè)應用業(yè)務系統(tǒng)的承載平臺，網(wǎng)絡系統(tǒng)的安全顯得尤為重要。由于現(xiàn)在越來越多的政府、金融機構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡傳輸安全部分推薦采用VPN設備來構(gòu)建內(nèi)聯(lián)網(wǎng)?？蛇_到以下幾個目的：l 網(wǎng)絡傳輸數(shù)據(jù)保護；由安裝在網(wǎng)絡上的VPN設備實現(xiàn)各內(nèi)部網(wǎng)絡之間的數(shù)據(jù)傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸l 網(wǎng)絡隔離保護；與INTERNET進行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問l 集中統(tǒng)一管理，提高網(wǎng)絡安全性；l 降低成本（設備成本和維護成本）；其中，在各級中心網(wǎng)絡的VPN設備設置如下圖：圖42 中心網(wǎng)絡VPN設置圖由一臺VPN管理機對CA、中心VPN設備、分支機構(gòu)VPN設備進行統(tǒng)一網(wǎng)絡管理。由于安全設備屬于特殊的網(wǎng)絡設備，其維護、管理需要相應的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機構(gòu)的維護成本和對專業(yè)技術(shù)人員的要求，這對有著龐大下屬、分支機構(gòu)的單位來講將是一筆不小的費用。所以，在安全設備的選擇上應當選擇可以進行網(wǎng)絡化集中管理的設備，這樣，由少量的專業(yè)人員對主要安全設備進行管理、配置，提高整體網(wǎng)絡的安全性和穩(wěn)定性。 入侵檢測網(wǎng)絡安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡安全是個整體的，必須配相應的安全產(chǎn)品。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡引擎）。入侵檢測系統(tǒng)的設置如下圖： 從上圖可知，入侵檢測儀在網(wǎng)絡接如上與VPN設備并接使用。本方案中，采用漏洞掃描設備對網(wǎng)絡系統(tǒng)進行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡漏洞、應用程序漏洞、操作系統(tǒng)漏洞等進行探測、掃描，發(fā)現(xiàn)相應的漏洞并告警，自動提出解決措施，或參考意見，提醒網(wǎng)絡安全管理員作好相應調(diào)整。XXX企業(yè)網(wǎng)絡系統(tǒng)在主要的應用服務平臺中采用國內(nèi)自主開發(fā)的安全操作系統(tǒng)，針對通用OS的安全問題，對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網(wǎng)絡傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護等方面進行安全改造和性能增強。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW服務、EMAIL服務、FTP和TELNET應用中服務器系統(tǒng)自身的安全以及提供服務的安全。本方案中在選擇殺毒軟件時應當注意幾個方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對付國產(chǎn)和國外病毒能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡化自動升級等優(yōu)點。在XXX網(wǎng)絡中所有可能的病毒攻擊點或通道中設置對應的防病毒軟件，通過這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網(wǎng)絡免遭所有病毒的入侵和危害。l 所選用產(chǎn)品易于安裝、操作簡便、便于管理和維護，具有友好的用戶界面。l 提供良好的售后服務及技術(shù)支持。由于內(nèi)部存在幾十個網(wǎng)絡客戶端，如采用普通殺毒軟件會造成升級麻煩、使用不便等問題。通過這種方法，可以達到層層設防的作用，最終實現(xiàn)病毒防護。如同時采用硬盤、光盤備份的方式。同時對特別重要的備份數(shù)據(jù)，還應當采取異地備份保管的方式，來確保數(shù)據(jù)安全。對不同等級、類型的信息只允許相應級別的人進行審閱；對網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應的安全措施。因此，本方案建議采用網(wǎng)絡隔離卡的方式來解決網(wǎng)絡切換的問題。 應用 根據(jù)XXX企業(yè)網(wǎng)絡的實際情況，需要在二、三、四樓共20個信息點上安裝隔離卡。 網(wǎng)絡防雷由于XXX企業(yè)網(wǎng)絡系統(tǒng)的物理范圍主要是在一棟大樓內(nèi)，而大樓本身已采取相應的防雷措施，因此，本方案中主要針對網(wǎng)絡系統(tǒng)防雷進行設計，不包括電源防雷（這一般屬于大樓防雷的部分）。在各設備前端分別要加裝串聯(lián)型電源避雷器（多級集成型），以最大限度地抑制雷電感應的能量。l 骨干網(wǎng)絡防雷；l 終端防雷；以上兩級避雷可使用信號避雷器來實現(xiàn)。對中心機房和關鍵信息點采取多種安全防范措施，確保非授權(quán)人員無法進入。XXX企業(yè)及下屬各級機構(gòu)在行政管理上采取逐級縱向管理的方式，因此在網(wǎng)絡管理上也采用這種方式。安全組織建立原則XXX企業(yè)網(wǎng)絡系統(tǒng)的安全組織體系，是網(wǎng)絡系統(tǒng)安全的組織保障系統(tǒng)，由機構(gòu)、崗位和人事三個部分構(gòu)成一個體系。執(zhí)行層是在管理層協(xié)調(diào)下具體負責某一個或某幾個特定安