【正文】 略應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問，訪問控制策略應(yīng)包括以下內(nèi)容:l 每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求。如果系統(tǒng)被入侵，用戶根據(jù)這個(gè)聲明所述，就可以知道系統(tǒng)在多長(zhǎng)時(shí)間內(nèi)可以恢復(fù)。l 隱私政策:制定監(jiān)控電子郵件、記錄鍵盤敲擊及訪問用戶文件的可接受的隱私程度。從全局管理角度來看，我們制訂了全局的安全管理策略。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。Web是電子業(yè)務(wù)的發(fā)布板，與其他服務(wù)器連接在一起，對(duì)Web服務(wù)器的攻擊容易波及其他的網(wǎng)絡(luò)服務(wù)器和設(shè)備。第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 應(yīng)用的安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)的安全涉及很多方面。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性。目前計(jì)算機(jī)在網(wǎng)絡(luò)中的身份是以IP地址作為自己的標(biāo)識(shí)的。如果工作人員發(fā)送、接收和查看攻擊性材料，可能會(huì)形成敵意的工作環(huán)境，從而增大內(nèi)耗。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外部網(wǎng)絡(luò)的一些不懷好意的入侵者的攻擊。以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。 安全需求分析第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。**在組織架構(gòu)等工作陸續(xù)完成后，將逐步加強(qiáng)對(duì)業(yè)務(wù)的管理。**集團(tuán)、設(shè)計(jì)院、郵科公司、工程公司都擁有自己的公司網(wǎng)站，但是功能簡(jiǎn)單，且連最簡(jiǎn)單的互相鏈接都沒有。對(duì)未來的系統(tǒng)無法提出有深度的需求，因此本次人力資源管理系統(tǒng)應(yīng)該具備最核心的功能，兼顧性價(jià)比，系統(tǒng)一邊建設(shè)一邊培訓(xùn)，通過成熟系統(tǒng)向現(xiàn)有的人力資源管理人員灌輸先進(jìn)的人力資源管理理念，固化并統(tǒng)一全省的人力資源管理制度。異地備份機(jī)房選用郵科公司智能網(wǎng)機(jī)房。 **集團(tuán)企業(yè)信息化系統(tǒng)需求分析 網(wǎng)絡(luò)需求分析結(jié)合**集團(tuán)的1T現(xiàn)狀及本省的06一09年IT總體規(guī)劃需求，擬在**集團(tuán)有限公司集團(tuán)總部建設(shè)一中心點(diǎn)，作為中心機(jī)房，通過中心點(diǎn)與全市5個(gè)上市子公司之間組建辦公網(wǎng)。該系統(tǒng)技術(shù)架構(gòu)比較先進(jìn)，功能基本滿足該公司的業(yè)務(wù)需求，由于為自己開發(fā)的系統(tǒng)，維護(hù)支撐、軟件功能升級(jí)都比較便利。目前所有子公司都使用北京久其公司的久其報(bào)表軟件單機(jī)版，報(bào)表模板由**統(tǒng)一下發(fā)，各子公司財(cái)務(wù)部負(fù)責(zé)收集數(shù)據(jù)，匯總后上報(bào)給**。除郵科通信公司的郵箱系統(tǒng)是架設(shè)在自有服務(wù)器上外，其他公司的郵箱系統(tǒng)都是主機(jī)托管或租用電信的郵箱服務(wù)。本解決方案就是要提供網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)監(jiān)測(cè)、流量控制、帶寬保證、防入侵檢測(cè)。安全防御系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個(gè)層面上的諸多風(fēng)險(xiǎn)類。圖l一l管理流程圖 安全體系網(wǎng)絡(luò)安全是一個(gè)綜合的系統(tǒng)工程，需要考慮涉及到的所有軟硬件產(chǎn)品環(huán)節(jié)。企業(yè)信息化建設(shè)中有一句老話:“三分技術(shù)，七分管理，十二分?jǐn)?shù)據(jù)”，信息系統(tǒng)的實(shí)施是建立在完善的基礎(chǔ)數(shù)據(jù)之上的，而信息系統(tǒng)的成功運(yùn)行則是基于對(duì)基礎(chǔ)數(shù)據(jù)的科學(xué)管理。如果我們把分析信息系統(tǒng)集成問題的著眼點(diǎn)放在基礎(chǔ)數(shù)據(jù)信息流上，通過基礎(chǔ)數(shù)據(jù)信息流將企業(yè)各部門的主要功能“穿起來”，而不是根據(jù)現(xiàn)有部門的功能來考慮信息系統(tǒng)的集成問題，就可以建立起既具有穩(wěn)定性，又具有靈活性的全企業(yè)集成化的信息系統(tǒng)模型，有效地防止信息孤島的產(chǎn)生。企業(yè)信息化就是利用技術(shù)的手段將先進(jìn)的企業(yè)管理思想融入企業(yè)的經(jīng)營(yíng)管理中，在這個(gè)過程中將最終實(shí)現(xiàn)對(duì)財(cái)務(wù)、物流、業(yè)務(wù)流程、成本核算、客戶關(guān)系管理及供應(yīng)鏈管理等各個(gè)環(huán)節(jié)的科學(xué)管理。安全需求和風(fēng)險(xiǎn)評(píng)估是制定安全策略的依據(jù)。目前**集團(tuán)各子公司各自組網(wǎng)，使用各自的以辦公系統(tǒng)。除郵科公司網(wǎng)站系統(tǒng)部署在自有服務(wù)器上外，其他公司的網(wǎng)站系統(tǒng)都是租用電信的服務(wù)器或硬盤空間。 財(cái)務(wù)管理系統(tǒng)、報(bào)表系統(tǒng)所有子公司都統(tǒng)一使用金蝶K/3系統(tǒng)作為財(cái)務(wù)基礎(chǔ)核算系統(tǒng)，該系統(tǒng)為C/S架構(gòu)的網(wǎng)絡(luò)版，該架構(gòu)無法滿足《指導(dǎo)意見》提出的2級(jí)架構(gòu)要求。 經(jīng)營(yíng)分析系統(tǒng)目前包括**在內(nèi)，都沒有專門的IT系統(tǒng)用來支撐經(jīng)營(yíng)分析。u 網(wǎng)絡(luò)上運(yùn)行的諸多服務(wù)器和網(wǎng)絡(luò)設(shè)備都有設(shè)置有多個(gè)用戶帳號(hào)和口令，但缺乏統(tǒng)一的口令管理機(jī)制，認(rèn)證方式不可靠。考慮到現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備以及技術(shù)方案比較成熟，安全強(qiáng)度足夠高，并且應(yīng)用上需要支持遠(yuǎn)程辦公，本次建設(shè)將不采用物理隔離方式。 系統(tǒng)需求分析: 財(cái)務(wù)系統(tǒng)**集團(tuán)與各子公司財(cái)務(wù)業(yè)務(wù)統(tǒng)一，軟件統(tǒng)一，這是本次的財(cái)務(wù)系統(tǒng)的集中部署的最有利條件。為了降低系統(tǒng)的推進(jìn)難度，第一期只在**部署統(tǒng)一的0A系統(tǒng)，在系統(tǒng)中為各專業(yè)公司單獨(dú)配置流程，達(dá)到覆蓋子公司的目標(biāo)。業(yè)務(wù)管理和業(yè)務(wù)運(yùn)營(yíng)支撐上，實(shí)業(yè)和主業(yè)之間存在顯著差異:主業(yè)的業(yè)務(wù)同質(zhì)性相當(dāng)高，而實(shí)業(yè)則是一個(gè)復(fù)雜的、多業(yè)務(wù)類型的集團(tuán)企業(yè)。因此，我們本次企業(yè)信息化建設(shè)能集中的系統(tǒng)就集中，不能集中的才考慮由專業(yè)公司自行建設(shè)，但是由**進(jìn)行指導(dǎo)選型。l 報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。**集團(tuán)網(wǎng)絡(luò)中的服務(wù)器及各人主機(jī)上都有涉密信息。2) 內(nèi)部局域網(wǎng)的安全威脅據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。l 網(wǎng)絡(luò)設(shè)備的安全隱患，網(wǎng)絡(luò)設(shè)備中包含路由器、交換機(jī)、防火墻等，它們的設(shè)置比較復(fù)雜，第二章**集團(tuán)企業(yè)信息化現(xiàn)狀可能由于疏忽或不正確理解而使這些系統(tǒng)可用而安全性不佳。l 缺乏對(duì)網(wǎng)絡(luò)入侵行為的探測(cè)、報(bào)警、取證機(jī)制，是網(wǎng)絡(luò)在安全方面的一個(gè)隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共、打印機(jī)共享等。n 病毒侵害的安全風(fēng)險(xiǎn)網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。存有惡意的入侵者便有機(jī)會(huì)得到入侵的條件。 性能需求由于安全控制的原理和特點(diǎn)，加上了安全的防護(hù)手段之后，多多少少會(huì)對(duì)網(wǎng)絡(luò)和系統(tǒng)帶來性能的影響。安全管理策略的實(shí)施需要工作人員和領(lǐng)導(dǎo)的支持。l 認(rèn)證政策:通過有效的口令政策，在計(jì)算機(jī)之間建立信任關(guān)系。該政策還應(yīng)包括企業(yè)發(fā)生安全事故后應(yīng)對(duì)外界詢問的指南，及指明企業(yè)信息的保密程度，即哪些信息不應(yīng)向外界披露。l 一般作業(yè)類的標(biāo)準(zhǔn)用戶訪問配置。當(dāng)局域與遠(yuǎn)程網(wǎng)絡(luò)連接時(shí)，通常在局域網(wǎng)與遠(yuǎn)程網(wǎng)絡(luò)之間的接口處配置安全保密產(chǎn)品。我們通過在**集團(tuán)網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié)放置入侵檢測(cè)產(chǎn)品，它監(jiān)視計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)的運(yùn)行，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報(bào)警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。我們都知道，網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)大多為W工NDOWS系統(tǒng)，比較容易感染病毒。我們考慮的備份主要包括數(shù)據(jù)備份、服務(wù)器備份、線路備份等幾個(gè)方面。l 高度的可靠性，網(wǎng)絡(luò)在連接失敗時(shí)能有遷回路由，并有效地消除單點(diǎn)失效的隱患。在內(nèi)網(wǎng)防火墻之外采用兩臺(tái) cisco3750三層交換機(jī)做路由控制，接入本大樓內(nèi)分公司網(wǎng)絡(luò)及實(shí)業(yè)本部網(wǎng)絡(luò)，由其控制訪問服務(wù)器、分公司VPN及外網(wǎng)路由。 中國(guó)實(shí)業(yè)集團(tuán)與**集團(tuán)公司的連接采用CNZ將**集團(tuán)與集團(tuán)互連。有4個(gè)千兆GE接口，和1個(gè)100M以太接口。非計(jì)劃停機(jī)將會(huì)對(duì)業(yè)務(wù)運(yùn)行、對(duì)外服務(wù)形象等造成巨大的影響，對(duì)處于激烈競(jìng)爭(zhēng)環(huán)境下的運(yùn)營(yíng)企業(yè)造成沉重的打擊。l **集團(tuán)、各實(shí)業(yè)分公司網(wǎng)絡(luò)用戶訪問企業(yè)信息化應(yīng)用系統(tǒng)時(shí)，都提供了統(tǒng)一 、授權(quán)、行為審計(jì)。 財(cái)務(wù)狀況監(jiān)控，財(cái)務(wù)狀況分析。統(tǒng)計(jì)查詢報(bào)表，人力資源分析。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案 安全建設(shè) 網(wǎng)絡(luò)邊界安全防護(hù)網(wǎng)絡(luò)層的安全性首先由路由器做初步保障。與地市分公司的 InternetVPN采用 CiscoASA552O防火墻，同時(shí)提供撥號(hào)VPN接入，外網(wǎng)訪問通過 AmarantenF60O防火墻控制后接入公網(wǎng)網(wǎng)絡(luò)，同時(shí)提供備用撥號(hào)VPN接入。l 不良關(guān)鍵字:所有包含**集團(tuán)網(wǎng)絡(luò)用戶自定義不良關(guān)鍵字(如“法輪功”)的網(wǎng)頁將被屏蔽l 網(wǎng)頁分類:靦 arantenF600將上億萬個(gè)網(wǎng)頁分成了幾十個(gè)類別(如政治、經(jīng)濟(jì)、色情、暴力等)，**集團(tuán)網(wǎng)絡(luò)用戶只需要在FortiGate上設(shè)置阻斷某一類站點(diǎn)(如色情、暴力類網(wǎng)站)便可批量屏蔽不良網(wǎng)站。l 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)替。實(shí)時(shí)地顯示、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量并記入日志。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案對(duì)于千兆網(wǎng)絡(luò)的完善支持。提供針對(duì)不同的攻擊行為的詳細(xì)信息和對(duì)策?？刂铺囟ǖ姆?wù)器、客戶端和服務(wù)(協(xié)議)，如果需要可以定義規(guī)則阻斷非法連接。各種圖形和報(bào)表報(bào)告。根據(jù)每臺(tái)服務(wù)器情況和每個(gè)服務(wù)(端口)情況設(shè)置攔截端口。系統(tǒng)掃描比較一個(gè)組織規(guī)定的安全策略和實(shí)際的主機(jī)配置來發(fā)現(xiàn)潛在的安全風(fēng)險(xiǎn)，包括缺少安全補(bǔ)丁、詞典中中可猜中的口令，不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登陸權(quán)限、不安全的服務(wù)配置和代表攻擊的可以行為等等。 防病毒系統(tǒng)通過對(duì)病毒在網(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的各種方式和途徑進(jìn)行分析，結(jié)合當(dāng)代企業(yè)網(wǎng)絡(luò)的特點(diǎn)，在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級(jí)防范，集中管理， 以防為主、防治結(jié)合”的動(dòng)態(tài)防毒策略。網(wǎng)絡(luò)殺毒服務(wù)器:實(shí)時(shí)的、基于Web的、可集中控管的桌面反病毒解決方案。 終端監(jiān)控與管理內(nèi)網(wǎng)計(jì)算機(jī)如果非法接入互聯(lián)網(wǎng)，就會(huì)使得我們采取的內(nèi)、外網(wǎng)物理隔離、防火墻等多種確保內(nèi)聯(lián)網(wǎng)安全的措施徹底失去功效，相當(dāng)于把整個(gè)內(nèi)部網(wǎng)絡(luò)完全暴露在惡意攻擊者面前，所可能遭受的信息失密、毀損等后果將無法估量?？蛻舳瞬捎煤笈_(tái)運(yùn)行方式，不容易被用戶察覺。所以本方案從設(shè)計(jì)到實(shí)施才一年多的時(shí)間，主要建設(shè)方向在大局:中心機(jī)房建設(shè)、各子公司VPN接入、各子系統(tǒng)建設(shè)。如桌面安全防護(hù)方面:通過技術(shù)手段解決ARP欺騙問題、U盤病毒傳播、終端電腦隨意接入問題、以及傳統(tǒng)的防病毒軟件無法解決的問題?？蛻舳诉M(jìn)程采用雙進(jìn)程相互守護(hù)的方式保障進(jìn)行正常運(yùn)行。監(jiān)控各類非法外聯(lián)，包括枷dem、ADSL、GPRs、紅外、多網(wǎng)卡(包括無線網(wǎng)卡)，基本涵蓋目前主流的外聯(lián)手段。在病毒爆發(fā)情況下，管理員可將所有的客戶端的病毒碼更新至最新狀態(tài)并進(jìn)行掃描，進(jìn)行整個(gè)企業(yè)的病毒掃描。單機(jī)病毒防火墻:適用于未聯(lián)網(wǎng)的單個(gè)windows桌面機(jī)，支持win9winNTWorkstation、 Win2000/XPProfessional等個(gè)人操作系統(tǒng)。數(shù)據(jù)庫掃描器是針對(duì)數(shù)據(jù)庫管理系統(tǒng)的風(fēng)險(xiǎn)評(píng)估檢測(cè)工具，可以利用它建立數(shù)據(jù)庫的安全規(guī)則，通過運(yùn)用審核程序來提供有關(guān)安全風(fēng)險(xiǎn)和位置的簡(jiǎn)明報(bào)告。入侵檢測(cè)與防御解決方案利用在線式IPS和旁路式IDS實(shí)現(xiàn)。根據(jù)不同時(shí)間段(月、天、小時(shí))產(chǎn)生統(tǒng)計(jì)報(bào)表。報(bào)告功能，實(shí)時(shí)或定期的網(wǎng)絡(luò)使用情況的詳細(xì)信息報(bào)告。控制信息。簡(jiǎn)便的安裝和方便的操作(集成了S/W和H/W)。本地或遠(yuǎn)程的服務(wù)器服務(wù)的用戶信息。l 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。l AmarantenF600防火墻擁有強(qiáng)大的日志功能，可以對(duì)網(wǎng)絡(luò)訪問、入侵、病毒、內(nèi)容過濾等信息進(jìn)行詳細(xì)的記錄。通過制定相應(yīng)的安全策略，防火墻允許合法訪問，拒絕無關(guān)的服務(wù)和非法入侵。分隔網(wǎng)段的特性往往要求路由器處于網(wǎng)絡(luò)的邊界上。 門戶、OA系統(tǒng)功能域.部署模式 本次以系統(tǒng)的實(shí)施將采用**集中部署