【正文】 ，根據(jù)決策機(jī)構(gòu)的決定全面規(guī)劃并協(xié)調(diào)各方面力量實(shí)施信息系統(tǒng)的安全方案，制定、修改安全策略，處理安全事故，設(shè)置安全相關(guān)的崗位。管理體系管理是XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的靈魂。（5） 確保XXX企業(yè)中心網(wǎng)絡(luò)、各級(jí)機(jī)構(gòu)網(wǎng)絡(luò)的系統(tǒng)受到病毒的破壞。5 安全設(shè)備要求 安全設(shè)備選型原則對(duì)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)備選型時(shí)，必須在滿足國家對(duì)信息安全產(chǎn)品的政策性要求前提下，綜合考察設(shè)備的功能和性能，必須符合XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全需求。l 安全設(shè)備所采用的技術(shù)，不單純追求先進(jìn)、完善，而必須保證實(shí)用和成熟性，相關(guān)技術(shù)標(biāo)準(zhǔn)應(yīng)采用、引用和接近國家標(biāo)準(zhǔn)。根據(jù)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的建設(shè)和應(yīng)用系統(tǒng)的發(fā)展需要，能夠隨時(shí)對(duì)安全產(chǎn)品的功能、規(guī)模進(jìn)行擴(kuò)充，而且不能影響XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)。網(wǎng)絡(luò)隔離卡用于在兩套網(wǎng)絡(luò)見進(jìn)行切換。技術(shù)人員將回答客戶提出的各種技術(shù)問題，并在客戶允許的情況下，進(jìn)行面對(duì)面的技術(shù)交流服務(wù)。在保修期內(nèi)，如因川大能士的信息安全產(chǎn)品使網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障，除非出現(xiàn)人力不可抗拒的情況，川大能士保證在48小時(shí)內(nèi)到現(xiàn)場檢修或用相同產(chǎn)品更換故障設(shè)備。川大能士信息安全有限公司將在安裝現(xiàn)場對(duì)管理中心的管理人員進(jìn)行操作培訓(xùn)，采用授課與現(xiàn)場操作結(jié)合的形式。對(duì)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)備管理人員進(jìn)行網(wǎng)絡(luò)安全管理培訓(xùn)，使其了解網(wǎng)絡(luò)安全的基本管理和技術(shù)知識(shí)。成都服務(wù)響應(yīng)中心：四川川大能士信息安全有限公司技術(shù)支持部 成都科華北路99號(hào)郵政編碼：610065 聯(lián)系電話：（028）5225532 5228756 傳真：（028）5228480 備件倉庫川大能士分別在成都和北京設(shè)有備件倉庫，擁有充足的產(chǎn)品的備件，為客戶提供及時(shí)的維修服務(wù)。6 技術(shù)支持與服務(wù)成熟而完善的技術(shù)支持與服務(wù)體系對(duì)于網(wǎng)絡(luò)信息安全系統(tǒng)的順利實(shí)施和正常運(yùn)行是必不可少的。 設(shè)備列表針對(duì)XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)需要，本方案中主要的安全產(chǎn)品見下表：產(chǎn)品名稱主要作用SVPN系統(tǒng)傳輸加密保護(hù)、網(wǎng)絡(luò)隔離。（2） 安全設(shè)備所采用的技術(shù)，不單純追求先進(jìn)、完善，而必須保證實(shí)用和成熟性，相關(guān)技術(shù)標(biāo)準(zhǔn)應(yīng)采用、引用和接近國家標(biāo)準(zhǔn)。l 安全設(shè)備應(yīng)提供避免或禁止內(nèi)外網(wǎng)絡(luò)用戶進(jìn)入系統(tǒng)的手段，即使對(duì)安全管理員而言，也應(yīng)遵循對(duì)系統(tǒng)操作的最小授權(quán)原則。（8） 確保建立一套完善的網(wǎng)絡(luò)安全管理制度，做到專人管理、維護(hù)。（2） 確保XXX企業(yè)中心網(wǎng)絡(luò)系統(tǒng)與下屬各級(jí)機(jī)構(gòu)網(wǎng)絡(luò)之間的信息在交換過程中保持完整、真實(shí)、可用和不被非法泄露的特性。人事機(jī)構(gòu)是根據(jù)管理機(jī)構(gòu)設(shè)定的崗位，對(duì)崗位上在職和待職的工作人員進(jìn)行素質(zhì)教育、業(yè)績考核和管理，以及對(duì)離職工作人員進(jìn)行監(jiān)管的機(jī)構(gòu)。這個(gè)組織體系在國家有關(guān)安全部門（如機(jī)要局、保密局、公安廳、安全廳、信息安全協(xié)調(diào)機(jī)構(gòu)等）的指導(dǎo)下，遵循國家相關(guān)法律法規(guī)，制定相應(yīng)的安全管理制度和內(nèi)部的法規(guī)政策，并對(duì)內(nèi)部人員進(jìn)行安全教育和管理，指導(dǎo)、監(jiān)督、考核安全制度的執(zhí)行。（2） 設(shè)備安全：主要包括設(shè)備的防盜、防毀壞及電源保護(hù)等。按照有關(guān)標(biāo)準(zhǔn)要求，必須在0區(qū)、1區(qū)、2區(qū)分別加裝避雷器（0區(qū)、1區(qū)、2區(qū)是按照雷電出現(xiàn)的強(qiáng)度劃分的）。這樣，可通過控制器進(jìn)行切換（簡單的開關(guān)，類似電源開關(guān)），使計(jì)算機(jī)分別接到兩個(gè)網(wǎng)絡(luò)上。 認(rèn)證、鑒別、數(shù)字簽名、抗抵賴 由于XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)龐大，上面存在很多分級(jí)的重要信息；同時(shí)，由于現(xiàn)在國家正在大力推進(jìn)電子政務(wù)的發(fā)展，網(wǎng)上辦公已經(jīng)越來越多的被應(yīng)用到各級(jí)政府部門當(dāng)中，因此，需要對(duì)網(wǎng)上用戶的身份、操作權(quán)限等進(jìn)行控制和授權(quán)。在采取數(shù)據(jù)備份時(shí)應(yīng)該注意以下幾點(diǎn)：l 存儲(chǔ)介質(zhì)安全在選擇存儲(chǔ)介質(zhì)上應(yīng)選擇保存時(shí)間長，對(duì)環(huán)境要求低的存儲(chǔ)產(chǎn)品，并采取多種存儲(chǔ)介質(zhì)備份。在服務(wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品，對(duì)服務(wù)器進(jìn)行病毒保護(hù)。l 所選用產(chǎn)品具備對(duì)多種壓縮格式文件的病毒檢測。具體而言，就是針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對(duì)應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：l 管理、維護(hù)簡單、方便；l 安全性高（可有效降低在安全設(shè)備使用上的配置漏洞）；l 硬件成本和維護(hù)成本低；l 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。下級(jí)單位的VPN設(shè)備放置如下圖所示：圖43 下級(jí)單位VPN設(shè)置圖從圖44可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。而INTERNET本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。單靠技術(shù)或單靠管理都不可能真正解決安全問題的，必須堅(jiān)持技術(shù)和管理相結(jié)合的原則。因此，為避免遭受感應(yīng)雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對(duì)整個(gè)網(wǎng)絡(luò)系統(tǒng)采取相應(yīng)的防雷措施。由于XXX企業(yè)網(wǎng)內(nèi)有許多重要信息，因此那些不懷好意的用戶和非法用戶就會(huì)通過網(wǎng)絡(luò)對(duì)沒有采取安全措施的服務(wù)器上的重要文件進(jìn)行修改或傳達(dá)一些虛假信息，從而影響工作的正常進(jìn)行。 搭線（網(wǎng)絡(luò)）竊聽這種威脅是網(wǎng)絡(luò)最容易發(fā)生的。攻擊者可能通過冒充合法系統(tǒng)用戶，誘騙其他用戶或系統(tǒng)管理員，從而獲得用戶名/口令等敏感信息，進(jìn)一步竊取用戶網(wǎng)絡(luò)內(nèi)的重要信息。由于網(wǎng)絡(luò)安全產(chǎn)品的技術(shù)含量大，因此，對(duì)操作管理人員的培訓(xùn)顯得尤為重要。安全系統(tǒng)實(shí)施方案的設(shè)計(jì)和施工單位應(yīng)具備相應(yīng)資質(zhì)并可信。根據(jù)XXX企業(yè)各級(jí)內(nèi)部網(wǎng)絡(luò)機(jī)構(gòu)、廣域網(wǎng)結(jié)構(gòu)、和三級(jí)網(wǎng)絡(luò)管理、應(yīng)用業(yè)務(wù)系統(tǒng)的特點(diǎn)，本方案主要從以下幾個(gè)方面進(jìn)行安全設(shè)計(jì)：l 網(wǎng)絡(luò)系統(tǒng)安全；l 應(yīng)用系統(tǒng)安全；l 物理安全；l 安全管理； 安全設(shè)計(jì)總體考慮根據(jù)XXX企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個(gè)方面進(jìn)行考慮：l 網(wǎng)絡(luò)傳輸保護(hù)主要是數(shù)據(jù)加密保護(hù)l 主要網(wǎng)絡(luò)安全隔離通用措施是采用防火墻l 網(wǎng)絡(luò)病毒防護(hù)采用網(wǎng)絡(luò)防病毒系統(tǒng)l 廣域網(wǎng)接入部分的入侵檢測采用入侵檢測系統(tǒng)l 系統(tǒng)漏洞分析采用漏洞分析設(shè)備l 定期安全審計(jì)主要包括兩部分：內(nèi)容審計(jì)和網(wǎng)絡(luò)通信審計(jì)l 重要數(shù)據(jù)的備份l 重要信息點(diǎn)的防電磁泄露l 網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時(shí)進(jìn)行規(guī)模、功能擴(kuò)展l 網(wǎng)絡(luò)防雷 網(wǎng)絡(luò)安全 作為XXX企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要?？蛇_(dá)到以下幾個(gè)目的：l 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù)；由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸l 網(wǎng)絡(luò)隔離保護(hù)；與INTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互