【正文】 外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過(guò)防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全。第八：安全管理及培訓(xùn) 制定并實(shí)施信息安全制度 加強(qiáng)網(wǎng)絡(luò)安全意識(shí)的教育和培養(yǎng) 加強(qiáng)網(wǎng)絡(luò)安全知識(shí)的培訓(xùn) 定期進(jìn)行終端安全產(chǎn)品的應(yīng)用操作指導(dǎo)第四章 ***酒店安全網(wǎng)絡(luò)設(shè)計(jì)一、 ***酒店需求分析自2003年新實(shí)行的星級(jí)酒店國(guó)家標(biāo)準(zhǔn)將提供寬帶上網(wǎng)服務(wù)列入了賓館酒店評(píng)星的考核內(nèi)容之一，短時(shí)間內(nèi)星級(jí)賓館酒店客房寬帶上網(wǎng)服務(wù)將基本普及，不同檔次的賓館酒店的流動(dòng)人口可以在網(wǎng)絡(luò)上進(jìn)行各種各樣的網(wǎng)絡(luò)活動(dòng)，因此一系列的網(wǎng)絡(luò)安全問(wèn)題隨即出現(xiàn)：賓館酒店缺乏單位網(wǎng)絡(luò)信息備案；缺乏對(duì)房客互聯(lián)網(wǎng)的訪問(wèn)管理；缺乏對(duì)出現(xiàn)問(wèn)題的信息源定位，導(dǎo)致線索跟蹤的中斷；缺乏對(duì)各類(lèi)站點(diǎn)的分類(lèi)管理；缺乏對(duì)上網(wǎng)信息的收集、統(tǒng)計(jì)與分析，導(dǎo)致這部分的公共網(wǎng)絡(luò)信息管理處于真空狀態(tài)。 內(nèi)部用戶的惡意攻擊、誤操作168。 實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全管理針對(duì)***酒店系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問(wèn)題的設(shè)計(jì)時(shí)應(yīng)滿足如下要求：168。168。酒店客戶的移動(dòng)接入支持和安全的管理。3. 防范和查殺病毒的自動(dòng)化：針對(duì)像***酒店比較大型的網(wǎng)絡(luò)，單純的依靠***酒店的各級(jí)網(wǎng)絡(luò)管理人員進(jìn)行分散的人為管理不可能將防病毒工作做到完美無(wú)缺。趨勢(shì)科技作為網(wǎng)絡(luò)防毒及互聯(lián)網(wǎng)安全與服務(wù)的領(lǐng)導(dǎo)廠商，可以全面滿足***酒店多層次的服務(wù)要求。l 通過(guò)Task Manager，管理人員可以輕松地完成各種病毒維護(hù)工作，例如設(shè)定掃毒模式、更新病毒碼和程序、編輯病毒報(bào)告，以及設(shè)定實(shí)時(shí)掃描的參數(shù)等l 反復(fù)掃描經(jīng)過(guò)多層壓縮的檔案，支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP、Microsoft Compress，以及UUENCODE和MIME等郵件附件格式。它的統(tǒng)一管理、升級(jí)和高效的實(shí)時(shí)防護(hù)，能有效的保證服務(wù)應(yīng)用者的應(yīng)用安全。特別是ARP病毒攻擊問(wèn)題。添加產(chǎn)品介紹…………第六章 內(nèi)網(wǎng)管理產(chǎn)品設(shè)計(jì)方案南京聯(lián)成科技為***酒店構(gòu)建的整體內(nèi)網(wǎng)管理體系的建立簡(jiǎn)述如下：1．1 背景介紹***酒店建有完備的內(nèi)網(wǎng)信息系統(tǒng)。 無(wú)法保證客戶端的安全性由于員工的機(jī)器沒(méi)有限制，所以無(wú)法保證在上網(wǎng)時(shí)的安全性，導(dǎo)致很容易從訪問(wèn)網(wǎng)站中感染病毒，木馬，等不安全因素，從而影響整個(gè)內(nèi)網(wǎng)用戶的應(yīng)用。另外還能按用戶、用戶組、協(xié)議和時(shí)間對(duì)Internet流量進(jìn)行統(tǒng)計(jì)分析，以優(yōu)化員工對(duì)Internet的資源使用情況。（2）QOS控制：QOS（網(wǎng)絡(luò)服務(wù)質(zhì)量）技術(shù)包括專用帶寬、抖動(dòng)控制和延遲、丟包率的改進(jìn)以及對(duì)指定高優(yōu)先級(jí)網(wǎng)絡(luò)服務(wù)的流量保證。這樣從根本上提高了企業(yè)用戶計(jì)算機(jī)的安全性，減少了企業(yè)用戶遭受蠕蟲(chóng)、病毒、木馬以及間諜軟件的風(fēng)險(xiǎn)。二、 設(shè)備安裝及調(diào)試服務(wù)我公司將按合約向用戶提供相關(guān)產(chǎn)品的用戶現(xiàn)場(chǎng)安裝與調(diào)試服務(wù)。電話、Email或傳真解答用戶提問(wèn)；或借助電話網(wǎng)和調(diào)制解調(diào)器，在用戶許可的情況下登錄到合同用戶的系統(tǒng)中，遠(yuǎn)程診斷并排除操作系統(tǒng)及外圍軟件的問(wèn)題。二線支持：在遇到疑難故障，一線支持在現(xiàn)場(chǎng)未能修復(fù)時(shí)，可與廠商辦事處的工程師聯(lián)系。在承諾的免費(fèi)系統(tǒng)保障期過(guò)后，我們將有償?shù)臑橛脩籼峁?*24小時(shí)的熱線支持（非工作時(shí)間用戶可聯(lián)系到我技術(shù)支持部工程師）?？蛻魪馁?gòu)買(mǎi)我公司所提供的產(chǎn)品或服務(wù)之日起就可以開(kāi)始獲得我們?nèi)娴募夹g(shù)支持服務(wù)。所謂安全策略，是指特定的安全標(biāo)準(zhǔn)。SINFOR AC的在線攔截監(jiān)控技術(shù)能保證攔截到所有敏感數(shù)據(jù)，外出數(shù)據(jù)無(wú)一紕漏。SINFOR AC網(wǎng)關(guān)強(qiáng)大的日志系統(tǒng)和豐富的報(bào)表功能，可詳細(xì)分析出企業(yè)的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。但是其實(shí)企業(yè)的信息資產(chǎn)更多的不是被黑客竊取，而是通過(guò)內(nèi)部泄漏的。如果不是本機(jī)的，ARP包就被阻止并彈出警報(bào)信息給用戶根據(jù)ARP數(shù)據(jù)包的特征，NVW可以完全擺脫傳統(tǒng)的單純的依靠病毒碼進(jìn)行病毒查殺的方式，可以直接將ARP病毒的欺騙數(shù)據(jù)包丟棄并彈出警報(bào)信息給用戶，來(lái)解決ARP病毒在***酒店網(wǎng)絡(luò)中攻擊和散播。同時(shí)，Network VirusWall支持趨勢(shì)科技的「企業(yè)安全防護(hù)策略」（Enterprise Protection Strategy）。從而保護(hù)網(wǎng)絡(luò)中的服務(wù)器群，在最新的病毒碼沒(méi)做出來(lái)之前不被新病毒攻擊。ServerProtect是通過(guò)直覺(jué)的、可攜式的主控臺(tái)來(lái)操作，它提供病毒疫情管理、集中式病毒掃描、病毒碼更新、事件報(bào)告和防毒配置等功能。在***酒店的方案中，趨勢(shì)科技構(gòu)建了跨子網(wǎng)，跨分支機(jī)構(gòu)的集中管理系統(tǒng)，保證了整個(gè)防毒產(chǎn)品可以從管理系統(tǒng)中及時(shí)得到更新，同時(shí)又使得管理人員可以在任何時(shí)間、任何地點(diǎn)通過(guò)瀏覽器對(duì)整個(gè)防毒系統(tǒng)進(jìn)行管理，使整個(gè)系統(tǒng)中任何一個(gè)節(jié)點(diǎn)都可以被管理人員隨時(shí)管理，保證整個(gè)防毒系統(tǒng)有效、及時(shí)地?cái)r截病毒。其設(shè)在菲律賓的，業(yè)界唯一獲得ISO9002認(rèn)證的TrendLab病毒實(shí)驗(yàn)室提供7*24小時(shí)、全年無(wú)休的專人專業(yè)服務(wù)，包括從最早的防毒內(nèi)容及范圍的規(guī)劃、企業(yè)防毒網(wǎng)的建立、人員的教育訓(xùn)練、病毒爆發(fā)時(shí)保證兩小時(shí)提供解藥的最高等級(jí)支持等。 另外，根據(jù)病毒傳播的途徑，可以在網(wǎng)關(guān)處安裝趨勢(shì)防毒網(wǎng)關(guān)IWSA、IMSA，在瀏覽網(wǎng)頁(yè)、下載資料、收發(fā)郵件時(shí)進(jìn)行有效的病毒防護(hù)。168。 網(wǎng)絡(luò)中大多數(shù)客戶機(jī)都是WIN2000\WINXP系統(tǒng)，由于WIN2000\WINXP系統(tǒng)存在大量的系統(tǒng)漏洞，沒(méi)有能及時(shí)升級(jí)系統(tǒng)補(bǔ)丁，使得病毒、黑客有了可乘之機(jī)；168。168。網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具備和實(shí)現(xiàn) 獲取全網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，在網(wǎng)絡(luò)線路、基礎(chǔ)聯(lián)接層面了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況 監(jiān)控路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，監(jiān)測(cè)控制網(wǎng)絡(luò)流量，及時(shí)提供報(bào)警，并能方便的對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行系統(tǒng)配置和管理， 監(jiān)控服務(wù)器、主機(jī)、磁盤(pán)陣列的運(yùn)行狀況、網(wǎng)絡(luò)流量、資源占用等，及時(shí)提供報(bào)警，并能方便的對(duì)主機(jī)設(shè)備進(jìn)行配置和管理 監(jiān)控應(yīng)用系統(tǒng)的運(yùn)行狀況，對(duì)用戶進(jìn)行訪問(wèn)控制、記錄訪問(wèn)及操作日志 管理網(wǎng)絡(luò)中的所有終端設(shè)資源，方便進(jìn)行遠(yuǎn)程的管理和操作控制 監(jiān)測(cè)及控制終端用戶對(duì)電腦軟硬件資源的使用、應(yīng)用程序的使用、上網(wǎng)行為等操作行為 實(shí)現(xiàn)系統(tǒng)補(bǔ)丁管理、補(bǔ)丁分發(fā)，對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行及時(shí)的補(bǔ)丁更新 限制不安全的設(shè)備的接入以上為網(wǎng)絡(luò)管理系統(tǒng)所須具備的功能，缺一不可，建議在選擇產(chǎn)品時(shí)，作為重要的參考依據(jù)。原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對(duì)Internet安全政策的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重。通常酒店的網(wǎng)絡(luò)有兩部分：辦公網(wǎng)絡(luò)和客房網(wǎng)絡(luò)，為節(jié)約成本往往兩個(gè)網(wǎng)絡(luò)通過(guò)一條Internet出口連接互聯(lián)網(wǎng)，酒店網(wǎng)絡(luò)管理員希望充分保障辦公網(wǎng)絡(luò)的安全，不受外部網(wǎng)絡(luò)攻擊及客房網(wǎng)絡(luò)可能出現(xiàn)的病毒影響；客房用戶上網(wǎng)隨意性較大，需要帶寬管理措施來(lái)限制占用帶寬過(guò)高的用戶，并保障辦公網(wǎng)絡(luò)的網(wǎng)速正常。重點(diǎn)加強(qiáng)核心系統(tǒng)的安全防護(hù)；對(duì)操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞及時(shí)的安裝補(bǔ)丁為防止核心系統(tǒng)的運(yùn)行出現(xiàn)固障，應(yīng)對(duì)核心系統(tǒng)所在的網(wǎng)絡(luò)線路進(jìn)行冗余設(shè)計(jì)，并對(duì)交換機(jī)、路由器設(shè)備進(jìn)行雙路冗余。 內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接，外部用戶不但可以訪問(wèn)對(duì)外服務(wù)的服務(wù)器，同時(shí)也容易地訪問(wèn)內(nèi)部的網(wǎng)絡(luò)服務(wù)器，這樣，由于內(nèi)部和外部沒(méi)有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。 系統(tǒng)癱瘓或服務(wù)器停止工作造成重大損失168。 安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長(zhǎng)期使用；二、 安全系統(tǒng)整體設(shè)計(jì)方案（一） 系統(tǒng)設(shè)計(jì)原則本方案的設(shè)計(jì)遵循并體現(xiàn)了如下設(shè)計(jì)原則：168。即當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)存在一點(diǎn)薄弱環(huán)節(jié)時(shí)，其就有可能危及到整個(gè)網(wǎng)絡(luò)系統(tǒng)的整體安全。通過(guò)防火墻實(shí)現(xiàn)訪問(wèn)控制，控制內(nèi)部用戶的上網(wǎng)行為；通過(guò)防火墻驗(yàn)證訪問(wèn)內(nèi)部的用戶身份、訪問(wèn)權(quán)限等；通過(guò)入侵防護(hù)檢測(cè)訪問(wèn)者的訪問(wèn)行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?duì)數(shù)據(jù)進(jìn)行加密，可以通過(guò)防火墻的VPN模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。第一時(shí)間的做到了病毒的預(yù)防范。網(wǎng)絡(luò)層防病毒NVWE針對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理的設(shè)備。NS是安裝在每臺(tái)文件服務(wù)器上的防毒模塊，IS是所有NS的集中管理模塊，可安裝在某一臺(tái)服務(wù)器上；MC是給管理員使用的管理界面模塊，可安裝在任何一臺(tái)機(jī)器上。Officescan就能夠被整合在TMCM的管理體系中，并且能夠通過(guò)TMCM得到“病毒爆發(fā)抑制策略”。NVW能偵測(cè)高危險(xiǎn)的網(wǎng)絡(luò)薄弱環(huán)節(jié)，并加以隔離，它可以掃描全網(wǎng)內(nèi)的系統(tǒng)漏洞，阻止漏洞機(jī)器上網(wǎng)，并立即針對(duì)可疑機(jī)器進(jìn)行殺毒和系統(tǒng)恢復(fù)NVW可以自動(dòng)實(shí)時(shí)監(jiān)測(cè)和掃描***酒店網(wǎng)絡(luò)中所有的計(jì)算機(jī)的防病毒狀態(tài)，并且能夠按照管理員預(yù)先設(shè)定的處理措施，將那些沒(méi)有安裝防病毒軟件的計(jì)算機(jī)以及病毒碼過(guò)期的計(jì)算機(jī)，自動(dòng)暫時(shí)隔離，同時(shí)，NVW會(huì)自動(dòng)將有防病毒漏洞的計(jì)算機(jī)自動(dòng)重定向到通過(guò)網(wǎng)頁(yè)安裝防病毒軟件客戶端的界面，從而強(qiáng)制計(jì)算機(jī)安裝防病毒軟件的客戶端，而那些病毒碼過(guò)期的計(jì)算機(jī)在被隔離的時(shí)間段內(nèi)會(huì)自動(dòng)從防病毒軟件主控端升級(jí)到病毒碼。1．3 客戶具體需求分析***酒店網(wǎng)絡(luò)訪問(wèn)控制詳細(xì)需求分析……隨著業(yè)務(wù)的發(fā)展，信息化建設(shè)步伐的加快，某某酒店的網(wǎng)絡(luò)安全問(wèn)題也日益嚴(yán)峻，雖然在網(wǎng)絡(luò)出口處已部署了專門(mén)的防火墻設(shè)備，但無(wú)孔不入的病毒（尤其是木馬病毒）、垃圾郵件仍然大肆泛濫，嚴(yán)重影響了企業(yè)應(yīng)用系統(tǒng)的運(yùn)行和公司業(yè)務(wù)的正常運(yùn)作；另外，在針對(duì)內(nèi)網(wǎng)的安全方面（尤其是PC客戶端準(zhǔn)入安全檢查），由于缺少專門(mén)的客戶端安全檢查設(shè)備，無(wú)法有效的保護(hù)整個(gè)局域網(wǎng)的安全性。如通過(guò)WEB發(fā)郵件、通過(guò)BBS發(fā)表言論文件類(lèi)型過(guò)濾對(duì)HTTP/ FTP上傳下載的文件做文件類(lèi)型過(guò)濾郵件過(guò)濾可對(duì)發(fā)送的郵件做關(guān)鍵字、郵箱地址的過(guò)濾。同時(shí)SINFOR AC安全網(wǎng)關(guān)還提供了高效的IPS（入侵防御系統(tǒng)）功能，能有效識(shí)別和抵御3000多種攻擊，更大范圍的保護(hù)了企業(yè)連接到Internet的安全。企業(yè)內(nèi)部大量的信息都通過(guò)電子郵件方式發(fā)送到外部，因而電子郵件也成為泄漏企業(yè)重要信息的重要途徑之一。（六）高度集成，部署靈活SINFOR AC安全網(wǎng)關(guān)很重要的一個(gè)特點(diǎn)就是除了作為專用的互聯(lián)網(wǎng)訪問(wèn)控制設(shè)備外，它還是一個(gè)整合式的UTM設(shè)備，將訪問(wèn)控制/監(jiān)控、網(wǎng)關(guān)殺毒、防垃圾郵件、防火墻、VPN和IPS等多種功能都集成在一個(gè)網(wǎng)關(guān)。三、 維護(hù)/保修服務(wù)我公司的維護(hù)/保修服務(wù)覆蓋所有合同產(chǎn)品。我公司技術(shù)人員將對(duì)客戶所反映的問(wèn)題，通過(guò)遠(yuǎn)程電話指導(dǎo)等方式解決問(wèn)題。 機(jī)房巡視、設(shè)備檢查和軟件升級(jí)打補(bǔ)丁服務(wù)我公司將安排專門(mén)技術(shù)人員與客戶人員一起定期到各節(jié)點(diǎn)機(jī)房查看軟硬件設(shè)備運(yùn)行情況，檢測(cè)軟硬件設(shè)備功能是否正常，排除可能存在的故障隱患。在此期間，我的熱線響應(yīng)中心將為您提供電話咨詢服務(wù)，為用戶提供免費(fèi)現(xiàn)場(chǎng)服務(wù)，排除硬件故障，恢復(fù)硬件系統(tǒng)的正常運(yùn)行。另外，用戶在使用AC作為互聯(lián)網(wǎng)訪問(wèn)控制設(shè)備的同時(shí)，也可以選擇使用AC設(shè)備的其他某個(gè)或某幾個(gè)功能模塊，比如將AC作為殺毒網(wǎng)關(guān)或防火墻等的網(wǎng)絡(luò)設(shè)備使用，可與原有網(wǎng)絡(luò)安全產(chǎn)品融合，部署靈活的同時(shí)也保護(hù)了投資。對(duì)于內(nèi)網(wǎng)用戶向外發(fā)送郵件，AC安全網(wǎng)關(guān)會(huì)對(duì)其進(jìn)行延遲緩存，只有等待管理員審計(jì)后才能發(fā)出，確保了企業(yè)信息資產(chǎn)不外泄，保證了企業(yè)內(nèi)網(wǎng)信息的安全，且郵件延遲審計(jì)對(duì)發(fā)件人完全透明。SINFOR AC安全網(wǎng)關(guān)的深度內(nèi)容檢測(cè)技術(shù)，可以檢測(cè)出數(shù)據(jù)包的報(bào)文中相對(duì)應(yīng)的特征碼，并根據(jù)預(yù)置策略進(jìn)行及時(shí)封堵。（二）監(jiān)控功能：完善的內(nèi)容過(guò)慮和訪問(wèn)審計(jì)功能，防止機(jī)密信息泄漏談到安全問(wèn)題時(shí)，大多數(shù)人都只關(guān)注外網(wǎng)安全，但其實(shí)企業(yè)的信息資產(chǎn)更多的不是被黑客竊取，而是通過(guò)內(nèi)部泄漏的。通過(guò)對(duì)酒店網(wǎng)絡(luò)目前普遍存在的問(wèn)題，我們看到***酒店在內(nèi)網(wǎng)行為方面在以下幾個(gè)方面需要解決:無(wú)法做到細(xì)致的訪問(wèn)控制首先酒店企業(yè)有著豐富的網(wǎng)絡(luò)資源如：OA系統(tǒng)、ERP系統(tǒng)、WEB服務(wù)器、郵件服務(wù)器等。同時(shí)為了避免重要計(jì)算機(jī)被隔離，管理員可以在NVW中設(shè)定例外IP地址，確保重要計(jì)算機(jī)的可用性。從而，保護(hù)用戶網(wǎng)絡(luò)中的所有客戶機(jī)和服務(wù)器不受到病毒攻擊。 在***酒店總部及下屬各分支機(jī)構(gòu)分公司中，建議各增設(shè)一臺(tái)病毒防護(hù)專用服務(wù)器（系統(tǒng)配置需求請(qǐng)見(jiàn)產(chǎn)品布署列表）安裝ServerProtect信息服務(wù)器及管理控制臺(tái)（SP Information Server amp。網(wǎng)絡(luò)防護(hù)防火墻Asic 內(nèi)容處理器行為特征掃描VPN加密處理 (DES，3DES，MD5，SHA1) 狀態(tài)檢測(cè)防火墻會(huì)話處理流量管理每個(gè)芯片200400 Mbps 的吞吐量EsOS專用的, 高度安全的,基于需求定制的