【正文】 網(wǎng)絡(luò)安全培訓(xùn)網(wǎng)絡(luò)信息安全的培訓(xùn)工作是網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行至關(guān)重要的一環(huán)。信號(hào)避雷器用于網(wǎng)絡(luò)防雷。l 安全設(shè)備的機(jī)械、電氣及電磁輻射性能必須符合國家標(biāo)準(zhǔn)，且能滿足全天候運(yùn)行的可靠性要求。包括防電磁泄露、數(shù)據(jù)備份、防火、防盜等。崗位是XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全管理部門根據(jù)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位，崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個(gè)序列，一個(gè)人可以負(fù)責(zé)一個(gè)或幾個(gè)安全崗位，但一個(gè)人不得同時(shí)兼任安全崗位所對(duì)應(yīng)的系統(tǒng)管理或具體業(yè)務(wù)崗位。根據(jù)網(wǎng)絡(luò)連接線路的類型和帶寬選擇相應(yīng)的避雷器。 隔離卡工作方式 隔離卡上有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)接內(nèi)網(wǎng)，一個(gè)接外網(wǎng)；另外還有一個(gè)控制口，通過控制口連接一個(gè)控制器（只有火柴盒大小），放置于電腦旁邊。 數(shù)據(jù)備份作為國家機(jī)關(guān)，XXX企業(yè)內(nèi)部存在大量的數(shù)據(jù)，而這里面又有許多重要的、機(jī)密的信息。l 充分考慮XXX網(wǎng)絡(luò)的系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對(duì)現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響。 其它對(duì)復(fù)雜或有特殊要求的網(wǎng)絡(luò)環(huán)境，在采取安全措施上應(yīng)當(dāng)特殊考慮，增加新的安全措施。 訪問控制由于XXX企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。由于許多重要的信息都通過網(wǎng)絡(luò)進(jìn)行交換， 網(wǎng)絡(luò)傳輸由于XXX企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等；另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。這樣，使安全設(shè)備能夠盡量發(fā)揮其作用，避免使用上的漏洞。XXX企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案XXX企業(yè)網(wǎng)絡(luò)安全綜合設(shè)計(jì)方案四川川大能士信息安全有限公司2002年3月目 錄1 XXX企業(yè)網(wǎng)絡(luò)分析 42 網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析 5 5 搭線（網(wǎng)絡(luò)）竊聽 5 假冒 5 完整性破壞 5 其它網(wǎng)絡(luò)的攻擊 5 管理及操作人員缺乏安全知識(shí) 6 雷擊 63 安全系統(tǒng)建設(shè)原則 74 網(wǎng)絡(luò)安全總體設(shè)計(jì) 9 安全設(shè)計(jì)總體考慮 9 網(wǎng)絡(luò)安全 10 網(wǎng)絡(luò)傳輸 10 訪問控制 12 入侵檢測 13 漏洞掃描 14 其它 14 應(yīng)用系統(tǒng)安全 14 系統(tǒng)平臺(tái)安全 14 應(yīng)用平臺(tái)安全 14 病毒防護(hù) 15 數(shù)據(jù)備份 17 安全審計(jì) 17 認(rèn)證、鑒別、數(shù)字簽名、抗抵賴 18 物理安全 18 兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換 18 防電磁輻射 18 網(wǎng)絡(luò)防雷 19 重要信息點(diǎn)的物理保護(hù) 19 安全管理 20 安全特性 215 安全設(shè)備要求 23 安全設(shè)備選型原則 23 安全性要求 23 可用性要求 23 可靠性要求 24 安全設(shè)備的可擴(kuò)展性 24 安全設(shè)備的升級(jí) 246 技術(shù)支持與服務(wù) 25 保障機(jī)制 25 咨詢服務(wù) 25 故障響應(yīng) 25 備件倉庫 26 系統(tǒng)升級(jí) 26 性能分析 26 保修服務(wù) 26 保修期后的技術(shù)支持服務(wù) 26 網(wǎng)絡(luò)安全培訓(xùn) 26 26 現(xiàn)場操作培訓(xùn) 271 XXX企業(yè)網(wǎng)絡(luò)分析此處請(qǐng)根據(jù)用戶實(shí)際情況做簡要分析2 網(wǎng)絡(luò)威脅、風(fēng)險(xiǎn)分析針對(duì)XXX企業(yè)現(xiàn)階段網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)和業(yè)務(wù)流程，結(jié)合XXX企業(yè)今后進(jìn)行的網(wǎng)絡(luò)化應(yīng)用范圍的拓展考慮，XXX企業(yè)網(wǎng)主要的安全威脅和安全漏洞包括以下幾方面：由于XXX企業(yè)網(wǎng)絡(luò)上同時(shí)接入了其它部門的網(wǎng)絡(luò)系統(tǒng)，因此容易出現(xiàn)其它部門不懷好意的人員（或外部非法人員利用其它部門的計(jì)算機(jī)）通過網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，并進(jìn)一步竊取和破壞其中的重要信息（如領(lǐng)導(dǎo)的網(wǎng)絡(luò)帳號(hào)和口令、重要文件等），因此這種風(fēng)險(xiǎn)是必須采取措施進(jìn)行防范的。 雷擊 由于網(wǎng)絡(luò)系統(tǒng)中涉及很多的網(wǎng)絡(luò)設(shè)備、終端、線路等，而這些都是通過通信電纜進(jìn)行傳輸，因此極易受到雷擊，造成連鎖反應(yīng)，使整個(gè)網(wǎng)絡(luò)癱瘓，設(shè)備損壞，造成嚴(yán)重后果。通過公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。通常，對(duì)網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：l 控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問；l 控制外部合法用戶對(duì)服務(wù)器的訪問；l 禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問；l 控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò)；l 阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊；l 防止內(nèi)部主機(jī)的IP欺騙；l 對(duì)外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；l 網(wǎng)絡(luò)監(jiān)控；l 網(wǎng)絡(luò)日志審計(jì)；詳細(xì)配置拓?fù)鋱D見圖4圖4圖43。 應(yīng)用系統(tǒng)安全 系統(tǒng)平臺(tái)安全XXX企業(yè)各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全主要是指操作系統(tǒng)的安全。l 應(yīng)用全球最為先進(jìn)的“實(shí)時(shí)監(jiān)控”技術(shù)，充分體現(xiàn)趨勢科技“以防為主”的反病毒思想。而整個(gè)數(shù)據(jù)的安全保護(hù)就顯得特別重要，對(duì)數(shù)據(jù)進(jìn)行定期備份是必不可少的安全措施。同時(shí)，在隔離卡上接兩個(gè)硬盤，使一個(gè)計(jì)算機(jī)變?yōu)閮蓚€(gè)計(jì)算機(jī)使用，兩個(gè)硬盤上分別運(yùn)行獨(dú)立的操作系統(tǒng)。 重要信息點(diǎn)的物理保護(hù)XXX企業(yè)各級(jí)網(wǎng)絡(luò)內(nèi)部存在重要的信息點(diǎn)，如內(nèi)部核心應(yīng)用系統(tǒng)，環(huán)境等都需要保護(hù)，它主要包括三個(gè)方面：（1） 環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)（參見國家標(biāo)準(zhǔn)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國標(biāo)GB2887－89《計(jì)算站場地技術(shù)條件》、GB9361－88《計(jì)算站場地安全要求》）。因此崗位并不是一個(gè)機(jī)構(gòu)，它由管理機(jī)構(gòu)設(shè)定，由人事機(jī)構(gòu)管理。（7） 確保網(wǎng)絡(luò)系統(tǒng)不受雷擊。 可用性要求（1） 安全設(shè)備的技術(shù)性能和功能，必須滿足行業(yè)系統(tǒng)管理體制的要求，即能基于網(wǎng)絡(luò)實(shí)現(xiàn)安全管理，具有接受網(wǎng)絡(luò)信息安全管理機(jī)構(gòu)管理的能力。 對(duì)沒有列出的安全產(chǎn)品，根據(jù)用戶實(shí)際情況進(jìn)行調(diào)整。培訓(xùn)工作由川大能士信息安全有限公司會(huì)同XXX企業(yè)的相關(guān)技術(shù)負(fù)責(zé)人聯(lián)合制定計(jì)劃，由川大能士組織高級(jí)技術(shù)人員編寫教材并實(shí)施。 保修期后的技術(shù)支持服務(wù)保修期后，川大能士將與客戶簽訂《安全產(chǎn)品及安全系統(tǒng)維護(hù)合同》，川大能士承諾對(duì)客戶提供優(yōu)惠價(jià)格的設(shè)備維修與零部件更換服務(wù)，并將繼續(xù)為客戶網(wǎng)絡(luò)信息免費(fèi)提供其它技術(shù)支持服務(wù)。保證物理安全。l 安全設(shè)備的接入不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，安全設(shè)備的運(yùn)行不明顯影響原網(wǎng)絡(luò)系統(tǒng)的運(yùn)行效率，更不能導(dǎo)致產(chǎn)生通信瓶頸。（6） 確保XXX企業(yè)各級(jí)網(wǎng)絡(luò)重要信息的數(shù)據(jù)安全。執(zhí)行層是在管理層協(xié)調(diào)下具體負(fù)責(zé)某一個(gè)或某幾個(gè)特定安全事務(wù)的一個(gè)邏輯群體，這個(gè)群體分布在信息系統(tǒng)的各個(gè)操作層或崗位上。l 骨干網(wǎng)絡(luò)防雷；l 終端防雷；以上兩級(jí)避雷可使用信號(hào)避雷器來實(shí)現(xiàn)。因此，本方案建議采用網(wǎng)絡(luò)隔離卡的方式來解決網(wǎng)絡(luò)切換的問題。通過這種方法，可以達(dá)到層層設(shè)防的作用，最終實(shí)現(xiàn)病毒防護(hù)。在XXX網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)或通道中設(shè)置對(duì)