【正文】 網絡安全管理培訓工作的具體事宜待方案選定后，根據 XXX 企業(yè)網絡系統(tǒng)的具體情況進行制定。 性能分析 川大能士將定期或應客戶的要求，對客戶網絡信 息系統(tǒng)檢測，分析各種影響系統(tǒng)安全的因素，提出預防性的意見和應采取的措施，并就網絡安全出現(xiàn)的各種情況，找出原因并提出合理的解決方法。技術人員將回答客戶提出的各種技術問題，并在客戶允許的情況下，進行面對面的技術交流服務。 保障機制 ● 產品符合國家技術及管理要求，具有相應資質 。 入侵檢測儀 網絡入侵行為檢測，并對攻擊行為作出阻隔、記錄、報警。 (4)安全設備的使用必須簡便、實用。 ● 安全設備遇故障工作失效，系統(tǒng)應自動轉為缺省禁止狀態(tài)。 (10) 確保網絡系統(tǒng)的長期安全。 (3) 確保 XXX 企業(yè)中心網絡系統(tǒng)與平級機構等網絡系統(tǒng)的網絡連接安全。 在 XXX 企業(yè)主管部門直接領導下，自上而下地構建層次清楚、職責明確的安全組織體系。 安全組織結構 XXX 企業(yè)網絡系統(tǒng)的安全管理機構設置為三個層次：決策層、管理層和執(zhí)行層。中心機房處理秘密級、機密級信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。 根據 XXX 企業(yè)網絡結構、物理結構、電源結構分析，防雷系統(tǒng)可采取兩級防雷措施。因而對重要信息點的數(shù)據傳輸介質應采取相應的安全措施，如使用屏蔽雙絞線等 終端設備尤其是 CRT 顯示器均有程度不同的電磁輻射問題，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止， 因此除要求在訂購設備上盡量選取低輻射產品外，還應根據保護對象分別采取主動式的干擾設備 (如干擾機來破壞對信息的偵竊 )，或采用加裝帶屏蔽門窗的屏蔽室。因此，本方案建議采用網絡隔離卡的方式來解決網絡切換的問題。 由于 XXX 企業(yè)是一個非常龐大的網絡系統(tǒng)，因而對整個網絡 (或重要網絡部分 )運行進行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據進行分析、比較，找出發(fā)生的網絡安全問題的原因，并可作為以后的法律證據或者為以后的網絡安全調整提供依據。而整個數(shù)據的安全保護就顯得特別重要，對數(shù)據進行定期備份是必不可少的安全措施。由于是安裝在網絡接入處，因此，對主要網絡協(xié)議進行殺毒處理 (SMTP、 FTP、 HTTP)。強調在 XXX 網絡防毒系統(tǒng)內，實施統(tǒng)一的防病毒策略、集中的防毒管理和維護，最大限度地減輕使用人員和維護人員的工作量。 系統(tǒng)設計原則 為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求： ● 采用世界最先進的防毒產品與 XXX 網絡網絡系統(tǒng)的實際需要相結合，確保 XXX 網絡系統(tǒng)具有最佳的病毒防護能力的情況下綜合成本最少。 應用平臺安全 XXX 企業(yè)網絡系統(tǒng)的應用平臺安全，一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，以及使用網 絡資源的權限管理和訪問控制，對安全相關操作進行的審計等。 漏洞掃描 作為一個完善的通用安全系統(tǒng)，應當包含完善的安全措施，定期的安全評估及安全分析同樣相當重要。入侵檢測系統(tǒng)是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監(jiān)控、記錄，并按制定的策略實行響應 (阻斷、報警、發(fā)送 Email)。 ● 網絡日志審計 。通常，對網絡的訪問控制最成熟的是采用防火墻技術來實現(xiàn)的，本方案中選擇帶防火墻功能的 VPN 設備來實現(xiàn)網絡安全隔離，可滿足以下幾個方面的要求： ● 控制外部合法用戶對內部網絡的網絡訪問 。 下級單位的 VPN 設備放置如下圖所示： 圖 43 下級單位 VPN 設置圖 從圖 44 可知，下屬機構的 VPN 設備放置于內部網絡與路由器之間，其配置、管理由上級機構通過網絡實現(xiàn)，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。即在每一級的中心網絡安裝一臺VPN 設備和一臺 VPN 認證服務器 (VPNCA)，在所屬的直屬單位的網絡接入處安裝一臺 VPN 設備，由上級的 VPN 認證服務器通過網絡對下一級的 VPN 設備進行集中統(tǒng)一的網絡化管理。 安全設計總體考慮 根據 XXX 企業(yè)網絡現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進行考慮： ● 網絡傳輸保護 主要是數(shù)據加密保護 ● 主要網絡安全隔離 通用措施是采用防火墻 ● 網絡病毒防護 采用網絡防病毒系統(tǒng) ● 廣域網接入部分的入侵檢測 采用入侵檢測系統(tǒng) ● 系統(tǒng)漏洞分析 采用漏洞分析設備 ● 定期安全審計 主要包括兩部分：內容審計和網絡通信審計 ● 重要數(shù)據的備份 ● 重要信息點的防電磁泄露 ● 網絡安全 結構的可伸縮性 包括安全設備的可伸縮性，即能根據用戶的需要隨時進行規(guī)模、功能擴展 ● 網絡防雷 網絡安全 作為 XXX 企業(yè)應用業(yè)務系統(tǒng)的承載平臺，網絡系統(tǒng)的安全顯得尤為重要。 6)測評認證原則 XXX 企業(yè)網絡系統(tǒng)作為重要的政務系統(tǒng)，其系統(tǒng)的安全方案和工程設計必須通過國家有關部門的評審，采用的安全產品和保密設備需經過國家主管理部門的認可。 3)管理可控性原則 系統(tǒng)的所有安全設備 (管理、維護和配置 )都應自主可控 。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態(tài)等等，從而出現(xiàn)網絡漏洞。如系統(tǒng)內部攻擊者偽裝成系統(tǒng)內部的其他正確用戶。攻擊者可以采用如 Sniffer 等網絡協(xié)議分析工具，在 INTERNET 網絡安全的薄弱處進入 INTERNET，并非常容易地在信息傳輸過程中獲取所有信息 (尤其是敏感信息 )的內容。 其它網絡的攻擊 XXX 企業(yè)網絡系統(tǒng)是接入到 INTERNET 上的，這樣就有可能會遭到 INTERNET 上黑客、惡意用戶等的網絡攻擊，如試圖進入網絡系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據、設置惡意代碼、使系統(tǒng)服務嚴重降低或癱瘓等。 注：部分描述地方需要進行調整，請根據用戶實際情況敘述。 4)適度安全性原則 系統(tǒng)安全方案應充分考慮保護對象的價值與保護成本之間的平衡性，在允許的風險范圍內盡量減少安全服務的規(guī)模和復雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無法執(zhí)行。 ● 應用系統(tǒng)安全 。 由于現(xiàn)在越來越多的政府、金融機構、企業(yè)等用戶采用 VPN 技術來構建它們的跨越公共網絡的內聯(lián)網系統(tǒng)，因此在本解決方案中對網絡傳輸安全部分推薦采用 VPN 設備來構建內聯(lián)網。 其中，在各級中心網絡的 VPN 設備設置如下圖： 圖 42 中心網絡 VPN 設置圖 由一臺 VPN 管理機對 CA、中心 VPN設備、分支機構 VPN 設備進行統(tǒng)一網絡管理。同時，每個維護人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網絡中斷。 ● 防止內部主機的 IP 欺騙 。 ● 網絡運行的穩(wěn)定性更高 由于是采 用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設備而言，其穩(wěn)定性更高，故障率更低。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據包，因此，入侵檢測系統(tǒng)的應用不會對網絡系統(tǒng)性能造成多大影響。由于目前主要的操作系統(tǒng)平臺是建立在國外產品的基礎上，因而存在很大的安全隱患。具體而言，就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網絡沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。 ● 所選用產品具備對多種壓縮格式文件的病毒檢測。 ● 客戶端防毒 。 對郵件系統(tǒng)，可采取安裝專用郵件殺毒產品，通過在郵件服務器上安裝郵件殺毒程序，實現(xiàn)對內部郵件的殺毒 ，保證郵件在收、發(fā)時都是經過檢查的，確保郵件無毒。 ● 備份數(shù)據的保管