【正文】 該具備和實(shí)現(xiàn) 獲取全網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，在網(wǎng)絡(luò)線路、基礎(chǔ)聯(lián)接層面了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況 監(jiān)控路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，監(jiān)測(cè)控制網(wǎng)絡(luò)流量，及時(shí)提供報(bào)警，并能方便的對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行系統(tǒng)配置和管理， 監(jiān)控服務(wù)器、主機(jī)、磁盤(pán)陣列的運(yùn)行狀況、網(wǎng)絡(luò)流量、資源占用等，及時(shí)提供報(bào)警，并能方便的對(duì)主機(jī)設(shè)備進(jìn)行配置和管理 監(jiān)控應(yīng)用系統(tǒng)的運(yùn)行狀況，對(duì)用戶進(jìn)行訪問(wèn)控制、記錄訪問(wèn)及操作日志 管理網(wǎng)絡(luò)中的所有終端設(shè)資源，方便進(jìn)行遠(yuǎn)程的管理和操作控制 監(jiān)測(cè)及控制終端用戶對(duì)電腦軟硬件資源的使用、應(yīng)用程序的使用、上網(wǎng)行為等操作行為 實(shí)現(xiàn)系統(tǒng)補(bǔ)丁管理、補(bǔ)丁分發(fā)，對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行及時(shí)的補(bǔ)丁更新 限制不安全的設(shè)備的接入以上為網(wǎng)絡(luò)管理系統(tǒng)所須具備的功能，缺一不可，建議在選擇產(chǎn)品時(shí)，作為重要的參考依據(jù)。一般情況，可以通過(guò)磁帶機(jī)對(duì)磁盤(pán)陣列的數(shù)據(jù)進(jìn)行再次備份也可以通過(guò)另一臺(tái)磁盤(pán)陣列進(jìn)行數(shù)據(jù)的相互備份通過(guò)專用的備份軟件實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)、文件資源、應(yīng)用系統(tǒng)及整個(gè)的應(yīng)用服務(wù)系統(tǒng)進(jìn)行備份，并提供相應(yīng)用恢復(fù)方案為防止地震、火災(zāi)、雷電等自然災(zāi)害，須將重要數(shù)據(jù)在異地進(jìn)行備份，如果系統(tǒng)的運(yùn)行不能中斷，就需要在異地進(jìn)行系統(tǒng)的容災(zāi)第五：加強(qiáng)應(yīng)用系統(tǒng)的安全防護(hù)對(duì)于擁有獨(dú)立郵件系統(tǒng)的網(wǎng)絡(luò)需要加強(qiáng)垃圾郵件的過(guò)濾對(duì)于應(yīng)用系統(tǒng)必須加強(qiáng)用戶身份認(rèn)證，通過(guò)身份認(rèn)證控制用戶的使用權(quán)限。單機(jī)的問(wèn)題并不能對(duì)網(wǎng)絡(luò)造成嚴(yán)重的問(wèn)題，網(wǎng)絡(luò)中斷或癱瘓?jiān)斐傻膿p失是巨大的第三：加強(qiáng)核心網(wǎng)絡(luò)、核心應(yīng)用的安全防護(hù)核心網(wǎng)絡(luò)、服務(wù)器群是一個(gè)網(wǎng)絡(luò)的中心部分，應(yīng)更加注重安全的防范，為了防止來(lái)自外部和內(nèi)部的攻擊，應(yīng)在核心服務(wù)器群前安裝防火墻及入侵防護(hù)系統(tǒng)。首先：區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對(duì)外接口（互聯(lián)網(wǎng)接口、上級(jí)門(mén)、下級(jí)單位、同級(jí)部門(mén)、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡(luò)），在對(duì)外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過(guò)防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì)Internet安全政策的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重?；谝陨系男枨蠓治?，我們將重點(diǎn)考慮：保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性，保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性，防范網(wǎng)絡(luò)資源的非法訪問(wèn)及非授權(quán)訪問(wèn)，防范入侵者的惡意攻擊與破壞，保護(hù)信息通過(guò)網(wǎng)上傳輸過(guò)程中的機(jī)密性、完整性，防范計(jì)算機(jī)病毒的侵害，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)，實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理，建立相應(yīng)的遠(yuǎn)程安全管理通道和管理平臺(tái)，建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。為此，在酒店這個(gè)人員流動(dòng)性非常大的公共場(chǎng)所為客人提供上網(wǎng)服務(wù)已成為現(xiàn)代酒店發(fā)展的必然趨勢(shì)，這也是酒店提高自身服務(wù)水平的重要標(biāo)志。*** 酒店網(wǎng)絡(luò)安全建議書(shū)目錄第一部分 簡(jiǎn)述 ……………………………………………………………………………….2第一章 概述……………………………………………………………………………….2第二部分 技術(shù)方案……………………………………………………………………………..3第一章 信息安全風(fēng)險(xiǎn)分析……………………………………………………………….3第二章安全需求與目標(biāo)…………………………………………………………………..4第三章 全面的信息絡(luò)安全體系設(shè)計(jì)…………………………………………………….4第四章 ***酒店安全網(wǎng)絡(luò)設(shè)計(jì)…………………………………………………………….7第五章 防病毒產(chǎn)品設(shè)計(jì)方案…………………………………………………………….12. 網(wǎng)絡(luò)防病毒產(chǎn)品推薦 14 第六章 內(nèi)網(wǎng)管理產(chǎn)品設(shè)計(jì)方案2. 整體方案建議 16 . 整體防病毒體系建議 16 . 防病毒體系設(shè)計(jì)思路 16 . 產(chǎn)品部署建議 16 . 服務(wù)器防護(hù) 16 . 客戶機(jī)防護(hù) 18 . 網(wǎng)絡(luò)層防病毒 20 部署實(shí)施方案 22 （一）控制功能：細(xì)致的訪問(wèn)控制功能，有效管理用戶上網(wǎng) 26 （二）監(jiān)控功能：完善的內(nèi)容過(guò)慮和訪問(wèn)審計(jì)功能，防止機(jī)密信息泄漏 27 （三）報(bào)表功能：強(qiáng)大的數(shù)據(jù)報(bào)表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì) 27 （四）帶寬及流量管理功能：強(qiáng)大的QOS功能及流量分析 28 （五）負(fù)載均衡和高可用性 28 （六）豐富的外網(wǎng)安全功能：包括防火墻、VPN、IPS、網(wǎng)關(guān)殺毒及防垃圾郵件等 28 （一）深度的內(nèi)容檢測(cè)技術(shù)及在線網(wǎng)關(guān)監(jiān)控技術(shù)——及時(shí)封堵P2P、IM軟件 29 （二）流量控制管理 29 （三）郵件的延遲審計(jì)（專利技術(shù)） 30 （四）獨(dú)有的網(wǎng)絡(luò)訪問(wèn)準(zhǔn)入規(guī)則（專利技術(shù)） 30 （五）WEB認(rèn)證技術(shù) 30 （六）高度集成，部署靈活 31 第七章 整體網(wǎng)絡(luò)應(yīng)用拓?fù)鋱D…………………………………………………………….32第八章 ***酒店安全服務(wù)……………………………………………………………… 33第九章 產(chǎn)品報(bào)價(jià)………………………………………………………………………..36第一部分 簡(jiǎn)述 第一章 概述在當(dāng)今的信息時(shí)代，互聯(lián)網(wǎng)已經(jīng)成為很多人生活中不可分割的一部分。通常酒店的網(wǎng)絡(luò)有兩部分：辦公網(wǎng)絡(luò)和客房網(wǎng)絡(luò)，為節(jié)約成本往往兩個(gè)網(wǎng)絡(luò)通過(guò)一條Internet出口連接互聯(lián)網(wǎng)，酒店網(wǎng)絡(luò)管理員希望充分保障辦公網(wǎng)絡(luò)的安全，不受外部網(wǎng)絡(luò)攻擊及客房網(wǎng)絡(luò)可能出現(xiàn)的病毒影響；客房用戶上網(wǎng)隨意性較大，需要帶寬管理措施來(lái)限制占用帶寬過(guò)高的用戶，并保障辦公網(wǎng)絡(luò)的網(wǎng)速正常。我們相信本建議書(shū)中的設(shè)計(jì)能較好地滿足貴單位網(wǎng)絡(luò)系統(tǒng)的需求，并希望與貴公司有關(guān)領(lǐng)導(dǎo)及具體負(fù)責(zé)人進(jìn)一步進(jìn)行深入的討論。下面列出部分這類(lèi)新風(fēng)險(xiǎn)因素：信息安全可以從以下幾個(gè)方面來(lái)理解：1）網(wǎng)絡(luò)物理是否安全；2）網(wǎng)絡(luò)結(jié)構(gòu)是否安全；3）系統(tǒng)是否安全；4）應(yīng)用是否安全；5）管理是否安全。通過(guò)防火墻實(shí)現(xiàn)訪問(wèn)控制，控制內(nèi)部用戶的上網(wǎng)行為；通過(guò)防火墻驗(yàn)證訪問(wèn)內(nèi)部的用戶身份、訪問(wèn)權(quán)限等；通過(guò)入侵防護(hù)檢測(cè)訪問(wèn)者的訪問(wèn)行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?duì)數(shù)據(jù)進(jìn)行加密，可以通過(guò)防火墻的VPN模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。重點(diǎn)加強(qiáng)核心系統(tǒng)的安全防護(hù)；對(duì)操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞及時(shí)的安裝補(bǔ)丁為防止核心系統(tǒng)的運(yùn)行出現(xiàn)固障，應(yīng)對(duì)核心系統(tǒng)所在的網(wǎng)絡(luò)線路進(jìn)行冗余設(shè)計(jì)，并對(duì)交換機(jī)、路由器設(shè)備進(jìn)行雙路冗余。身份認(rèn)證可以通過(guò)應(yīng)用系統(tǒng)中的用戶管理系統(tǒng)實(shí)現(xiàn)，也可以通過(guò)專業(yè)的身份認(rèn)證系統(tǒng)，考慮到終端用戶對(duì)帳號(hào)、密碼的管理能力較差，建議可采用第三方生物識(shí)別設(shè)備實(shí)現(xiàn)終端用戶的帳號(hào)、密碼的管理。第七：漏洞掃描、安全評(píng)估僅管如上所述，我們己經(jīng)采取了眾多的安全措施，但是，我們的信息系統(tǒng)是一個(gè)不斷建設(shè)完善的系統(tǒng)，在系統(tǒng)的不斷建設(shè)過(guò)程，仍然會(huì)出現(xiàn)一些新的安全漏洞，安全系統(tǒng)的是否部署到位，我們的信息系統(tǒng)是否仍然存在安全隱患，作為信息系統(tǒng)的管理人員仍然需要進(jìn)行定期的安全檢查。 根據(jù)國(guó)家規(guī)定，提供上網(wǎng)服務(wù)場(chǎng)所必須將上網(wǎng)日志保存，并以一定的技術(shù)手段進(jìn)行管理；目前許多賓館酒店都未有這種技術(shù)手段，在網(wǎng)絡(luò)管理上存在著漏洞，達(dá)不到國(guó)家的要求。 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接，外部用戶不但可以訪問(wèn)對(duì)外服務(wù)的服務(wù)器，同時(shí)也容易地訪問(wèn)內(nèi)部的網(wǎng)絡(luò)服務(wù)器，這樣，由于內(nèi)部和外部沒(méi)有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。 把服務(wù)器當(dāng)作檢測(cè)掃描其它網(wǎng)絡(luò)及數(shù)據(jù)處理的工具，造成大量網(wǎng)絡(luò)流量（2） 病毒的侵害168。 病毒、木馬發(fā)送大量數(shù)據(jù)包，造成系統(tǒng)資源的消耗，以至系統(tǒng)停止服務(wù)168。 訪問(wèn)不健康的站點(diǎn)，獲取有害信息168。 系統(tǒng)癱瘓或服務(wù)器停止工作造成重大損失168。 因服務(wù)器危害其它網(wǎng)絡(luò)，而涉及相關(guān)責(zé)任168。 作為網(wǎng)絡(luò)管理人員，無(wú)法及時(shí)的了解網(wǎng)絡(luò)的運(yùn)行情況，服務(wù)器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的工作情況，終端系統(tǒng)的操作應(yīng)用情況等？ 網(wǎng)絡(luò)目前需求分析通過(guò)我們對(duì)***酒店結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問(wèn)題主要集中在對(duì)計(jì)算機(jī)病毒的防護(hù)、內(nèi)網(wǎng)安全的管理上。 大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；168。 安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；二、 安全系統(tǒng)整體設(shè)計(jì)方案（一） 系統(tǒng)設(shè)計(jì)原則本方案的設(shè)計(jì)遵循并體現(xiàn)了如下設(shè)計(jì)原則：168。168。 可靠性、穩(wěn)定性原則設(shè)備及技術(shù)均已進(jìn)入成熟期，應(yīng)有類(lèi)似的實(shí)際應(yīng)用，系統(tǒng)運(yùn)行穩(wěn)定，在國(guó)內(nèi)應(yīng)用領(lǐng)域中占主導(dǎo)地位。 標(biāo)準(zhǔn)性原則方案的設(shè)計(jì)、實(shí)施以及產(chǎn)品的選擇以相關(guān)國(guó)際安全管理、安全控制、安全規(guī)程為參考依據(jù)。即當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)存在一點(diǎn)薄弱環(huán)節(jié)時(shí)，其就有可能危及到整個(gè)網(wǎng)絡(luò)系統(tǒng)的整體安全。168。168。需要酒店網(wǎng)絡(luò)移動(dòng)服務(wù)的大多是商務(wù)人士，他們需要酒店提供移動(dòng)的支持、更主要的是安全性。通過(guò)防火墻實(shí)現(xiàn)訪問(wèn)控制，控制內(nèi)部用戶的上網(wǎng)行為；通過(guò)防火墻驗(yàn)證訪問(wèn)內(nèi)部的用戶身份、訪問(wèn)權(quán)限等；通過(guò)入侵防護(hù)檢測(cè)訪問(wèn)者的訪問(wèn)行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?duì)數(shù)據(jù)進(jìn)行加密，可以通過(guò)防火墻的VPN模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。 廠商和代理商全面的服務(wù)：趨勢(shì)科技授權(quán)服務(wù)商和趨勢(shì)科技，***酒店相關(guān)人員組成專門(mén)的防病毒以及安全小組，負(fù)責(zé)對(duì)***酒店的防病毒體系部署，防病毒安全規(guī)范的制定。2. 高擴(kuò)展性：由于專注于防病毒安全產(chǎn)品和解決方案，趨勢(shì)科技有能力為***酒店提供全方位，多層次，具可擴(kuò)展性的防病毒安全體系。趨勢(shì)科技提供高度自動(dòng)化的管理和病毒防范，查殺技術(shù)。第一時(shí)間的做到了病毒的預(yù)防范。同時(shí)，全面防范垃圾郵件的侵?jǐn)_以及內(nèi)部機(jī)密數(shù)據(jù)的外泄，在整個(gè)防毒系統(tǒng)中起到事半功倍的效果。5. 服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。***酒店整體防毒系統(tǒng)所達(dá)到的效果***酒店希望部署趨勢(shì)科技防病毒整體解決方案后，能夠達(dá)到以下效果：l 對(duì)***酒店通過(guò)防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全l 對(duì)***酒店網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)器進(jìn)行全面防護(hù)，斬?cái)嗖《驹诜?wù)器內(nèi)的寄生及傳播；l 對(duì)所有的客戶機(jī)進(jìn)行全面防護(hù)，徹底消除病毒對(duì)客戶機(jī)的破壞，保證所有員工都有一個(gè)干凈、安全的平臺(tái)；l 建立及時(shí)、快速的病毒響應(yīng)機(jī)制，能夠迅速抑制病毒在企業(yè)網(wǎng)中傳播。網(wǎng)絡(luò)層防病毒NVWE針對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理的設(shè)備。同時(shí)還要求按分支機(jī)構(gòu)進(jìn)行權(quán)限分派管理，不同分支機(jī)構(gòu)的管理人員在中央控管體系中只能夠管理到本分支機(jī)構(gòu)范圍內(nèi)的防病毒軟件，包括防病毒策略設(shè)定、病毒碼及掃描引擎升級(jí)等。策略：l 防毒軟件可通過(guò)單一的主控臺(tái)來(lái)管理。 l 自動(dòng)下載和分發(fā)病毒碼、掃毒引擎和程序文件。NS是安裝在每臺(tái)文件服務(wù)器上的防毒模塊，IS是所有NS的集中管理模塊，可安裝在某一臺(tái)服務(wù)器上；MC是給管理員使用的管理界面模塊，可安裝在任何一臺(tái)機(jī)器上。在管理中心上實(shí)現(xiàn)每一個(gè)管理單位內(nèi)所有服務(wù)器的防病毒策略部署和病毒代碼、引擎的升級(jí)，然后在每一臺(tái)NT或2000服務(wù)器上安裝ServerProtect的普通服務(wù)器（SP Normal Server）。. 客戶機(jī)防護(hù)趨勢(shì)科技防毒墻網(wǎng)絡(luò)版 – OfficeScan Corporate Edition趨勢(shì)科技的OfficeScan Corporate Edition將管理與部署的功能集中到服務(wù)器端。通過(guò)使用NT域的Login Script方式、或是使用Web頁(yè)面方式、安裝程序打包方式、SMS方式、文件共享方式（最多提供9種安裝方式），可以迅速、方便地將OSCE客戶端軟件部署到每個(gè)客戶機(jī)上。Officescan就能夠被整合在TMCM的管理體系中，并且能夠通過(guò)TMCM得到“病毒爆發(fā)抑制策略”。可協(xié)助公司企業(yè)防止ARP病毒攻擊，在爆發(fā)病毒疫情時(shí)隔絕高危險(xiǎn)的網(wǎng)絡(luò)脆弱環(huán)節(jié)，在網(wǎng)絡(luò)層部署由趨勢(shì)科技提供的安全防御策略，并能在缺乏防毒保護(hù)的設(shè)備等潛在感染源連接網(wǎng)絡(luò)時(shí)，予以隔離和清除。NVW提供以下主要功能： 防止ARP欺騙l 主動(dòng)免疫，識(shí)別攻擊者發(fā)送的ARP欺騙包，并阻止發(fā)送l 被動(dòng)防護(hù)，保護(hù)終端免受ARP欺騙包影響 網(wǎng)絡(luò)流量偵測(cè)與網(wǎng)絡(luò)病毒過(guò)濾l 在網(wǎng)絡(luò)層清除帶毒數(shù)據(jù)包l 分析網(wǎng)絡(luò)數(shù)據(jù)流量，定位可疑計(jì)算機(jī)l 使用智能型規(guī)則，提供關(guān)于網(wǎng)絡(luò)病毒疫情的早期預(yù)警信息 隔離薄弱環(huán)節(jié)l 偵測(cè)帶有安全漏洞的計(jì)算機(jī)，預(yù)防病毒利用網(wǎng)絡(luò)上的薄弱環(huán)節(jié)入侵l 爆發(fā)病毒疫情時(shí)，阻止未安裝相關(guān)補(bǔ)丁程序的計(jì)算機(jī)訪問(wèn)網(wǎng)絡(luò)資源 強(qiáng)制實(shí)施安全策略l 隔離特定IP地址段l 隔離實(shí)施通訊軟件（MSN，Yahoo ICQ）l 隔離特