【正文】 采取加密或隧道的方式進(jìn)行傳輸l 網(wǎng)絡(luò)隔離保護(hù)；與INTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問l 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性；l 降低成本（設(shè)備成本和維護(hù)成本）；其中，在各級中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：圖42 中心網(wǎng)絡(luò)VPN設(shè)置圖由一臺VPN管理機對CA、中心VPN設(shè)備、分支機構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡(luò)引擎）。本方案中，采用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW服務(wù)、EMAIL服務(wù)、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全以及提供服務(wù)的安全。在XXX網(wǎng)絡(luò)中所有可能的病毒攻擊點或通道中設(shè)置對應(yīng)的防病毒軟件，通過這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網(wǎng)絡(luò)免遭所有病毒的入侵和危害。l 提供良好的售后服務(wù)及技術(shù)支持。通過這種方法，可以達(dá)到層層設(shè)防的作用，最終實現(xiàn)病毒防護(hù)。同時對特別重要的備份數(shù)據(jù)，還應(yīng)當(dāng)采取異地備份保管的方式，來確保數(shù)據(jù)安全。因此，本方案建議采用網(wǎng)絡(luò)隔離卡的方式來解決網(wǎng)絡(luò)切換的問題。 網(wǎng)絡(luò)防雷由于XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理范圍主要是在一棟大樓內(nèi)，而大樓本身已采取相應(yīng)的防雷措施，因此，本方案中主要針對網(wǎng)絡(luò)系統(tǒng)防雷進(jìn)行設(shè)計，不包括電源防雷（這一般屬于大樓防雷的部分）。l 骨干網(wǎng)絡(luò)防雷；l 終端防雷；以上兩級避雷可使用信號避雷器來實現(xiàn)。XXX企業(yè)及下屬各級機構(gòu)在行政管理上采取逐級縱向管理的方式，因此在網(wǎng)絡(luò)管理上也采用這種方式。執(zhí)行層是在管理層協(xié)調(diào)下具體負(fù)責(zé)某一個或某幾個特定安全事務(wù)的一個邏輯群體，這個群體分布在信息系統(tǒng)的各個操作層或崗位上。網(wǎng)絡(luò)信息系統(tǒng)安全的管理體系由法律管理、制度管理和培訓(xùn)管理三部分組成。（6） 確保XXX企業(yè)各級網(wǎng)絡(luò)重要信息的數(shù)據(jù)安全。 安全性要求政策性原則信息安全設(shè)備（硬件/軟件）均應(yīng)經(jīng)過信息安全產(chǎn)品的主管部門的測評認(rèn)證、鑒定和許可。l 安全設(shè)備的接入不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，安全設(shè)備的運行不明顯影響原網(wǎng)絡(luò)系統(tǒng)的運行效率，更不能導(dǎo)致產(chǎn)生通信瓶頸。 安全設(shè)備的升級 在安全方案中涉及的安全產(chǎn)品，必須是能夠升級的安全產(chǎn)品。保證物理安全。咨詢服務(wù)中心： 川大能士信息安全技術(shù)有限公司技術(shù)支持部 成都科華北路99號 郵政編碼： 610065 聯(lián)系電話： （028）5225532 5226354 傳真： （028）5228480 故障響應(yīng)川大能士的客戶響應(yīng)中心724小時向客戶提供信息與技術(shù)方面的協(xié)助。 保修期后的技術(shù)支持服務(wù)保修期后，川大能士將與客戶簽訂《安全產(chǎn)品及安全系統(tǒng)維護(hù)合同》，川大能士承諾對客戶提供優(yōu)惠價格的設(shè)備維修與零部件更換服務(wù)，并將繼續(xù)為客戶網(wǎng)絡(luò)信息免費提供其它技術(shù)支持服務(wù)?，F(xiàn)場操作培訓(xùn)工作的其它事宜容方案選定后，根據(jù)XXX企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的具體實施情況進(jìn)行制定。培訓(xùn)工作由川大能士信息安全有限公司會同XXX企業(yè)的相關(guān)技術(shù)負(fù)責(zé)人聯(lián)合制定計劃，由川大能士組織高級技術(shù)人員編寫教材并實施。此外，對某些無法進(jìn)行遠(yuǎn)程診斷的問題，川大能士將在短時間內(nèi)派人到現(xiàn)場進(jìn)行服務(wù)。 對沒有列出的安全產(chǎn)品，根據(jù)用戶實際情況進(jìn)行調(diào)整。如VPN系統(tǒng)的軟件升級、殺毒軟件的定期升級病毒特征代碼庫、入侵檢測系統(tǒng)升級攻擊行為特征庫等。 可用性要求（1） 安全設(shè)備的技術(shù)性能和功能，必須滿足行業(yè)系統(tǒng)管理體制的要求，即能基于網(wǎng)絡(luò)實現(xiàn)安全管理，具有接受網(wǎng)絡(luò)信息安全管理機構(gòu)管理的能力。l 安全設(shè)備的軟件平臺應(yīng)為專用定制的基于最小內(nèi)核的操作系統(tǒng)，不應(yīng)采用一般商業(yè)Dos, Windows或Unix操作系統(tǒng)。（7） 確保網(wǎng)絡(luò)系統(tǒng)不受雷擊。安全管理制度的分類原則XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全管理組織制定的安全管理制度主要包括：（1） 人事安全管理制度（2） 操作安全管理制度（3） 場地與設(shè)施安全管理制度（4） 設(shè)備安全管理制度（5） 軟件平臺安全管理制度（6） 計算機網(wǎng)絡(luò)安全管理制度（7） 應(yīng)用軟件安全管理制度（8） 技術(shù)文檔安全管理制度（9） 數(shù)據(jù)安全管理制度（10） 密碼安全管理制度（11） 應(yīng)急管理制度 安全特性XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全性建設(shè)措施應(yīng)能滿足當(dāng)前XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的主要需求及以后系統(tǒng)建設(shè)的發(fā)展需要，使網(wǎng)絡(luò)系統(tǒng)不易受到內(nèi)部和外部的攻擊，從而達(dá)到網(wǎng)絡(luò)能夠正常運行，滿足主要業(yè)務(wù)對安全的需要：（1） 確保XXX企業(yè)中心網(wǎng)絡(luò)系統(tǒng)與下屬各級機構(gòu)等網(wǎng)絡(luò)系統(tǒng)互連的安全，并必須能防范來自外部的各種形式的攻擊。因此崗位并不是一個機構(gòu)，它由管理機構(gòu)設(shè)定，由人事機構(gòu)管理。XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全組織體系是安全管理體系的組織保障。 重要信息點的物理保護(hù)XXX企業(yè)各級網(wǎng)絡(luò)內(nèi)部存在重要的信息點，如內(nèi)部核心應(yīng)用系統(tǒng)，環(huán)境等都需要保護(hù)，它主要包括三個方面：（1） 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)（參見國家標(biāo)準(zhǔn)GB50173－93《電子計算機機房設(shè)計規(guī)范》、國標(biāo)GB2887－89《計算站場地技術(shù)條件》、GB9361－88《計算站場地安全要求》）。如果大樓信息系統(tǒng)的設(shè)備配置中有計算機中心機房、程控交換機房及機要設(shè)備機房，那么在總電源處要加裝電源避雷器。同時，在隔離卡上接兩個硬盤，使一個計算機變?yōu)閮蓚€計算機使用，兩個硬盤上分別運行獨立的操作系統(tǒng)。由于XXX企業(yè)是一個非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對整個網(wǎng)絡(luò)（或重要網(wǎng)絡(luò)部分）運行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。而整個數(shù)據(jù)的安全保護(hù)就顯得特別重要，對數(shù)據(jù)進(jìn)行定期備份是必不可少的安全措施。由于是安裝在網(wǎng)絡(luò)接入處，因此，對主要網(wǎng)絡(luò)協(xié)議進(jìn)行殺毒處理（SMTP、FTP、HTTP）。l 應(yīng)用全球最為先進(jìn)的“實時監(jiān)控”技術(shù)，充分體現(xiàn)趨勢科技“以防為主”的反病毒思想。 病毒防護(hù)因為病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略。 應(yīng)用系統(tǒng)安全 系統(tǒng)平臺安全XXX企業(yè)各級網(wǎng)絡(luò)系統(tǒng)平臺安全主要是指操作系統(tǒng)的安全。探測器（網(wǎng)絡(luò)引擎）用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指令執(zhí)行相應(yīng)行為。通常，對網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來實現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個方面的要求：l 控制外部合法用戶對內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問；l 控制外部合法用戶對服務(wù)器的訪問；l 禁止外部非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問；l 控制內(nèi)部用戶對外部網(wǎng)絡(luò)的網(wǎng)絡(luò)；l 阻止外部用戶對內(nèi)部的網(wǎng)絡(luò)攻擊；l 防