【文章內容簡介】 、文件系統(tǒng)、網絡傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護等方面進行安全改造和性能增強。一般用戶運行在PC機上的NT平臺，在選擇性地用好NT安全機制的同時，應加強監(jiān)控管理。 應用平臺安全XXX企業(yè)網絡系統(tǒng)的應用平臺安全，一方面涉及用戶進入系統(tǒng)的身份鑒別與控制，以及使用網絡資源的權限管理和訪問控制，對安全相關操作進行的審計等。其中的用戶應同時包括各級管理員用戶和各類業(yè)務用戶。另一方面涉及各種數(shù)據庫系統(tǒng)、WWW服務、EMAIL服務、FTP和TELNET應用中服務器系統(tǒng)自身的安全以及提供服務的安全。在選擇這些應用系統(tǒng)時，應當盡量選擇國內軟件開發(fā)商進行開發(fā)，系統(tǒng)類型也應當盡量采用國內自主開發(fā)的應用系統(tǒng)。 病毒防護因為病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣，相應地企業(yè)在構建網絡防病毒系統(tǒng)時，應利用全方位的企業(yè)防毒產品，實施“層層設防、集中控制、以防為主、防殺結合”的策略。具體而言，就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網絡沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。本方案中在選擇殺毒軟件時應當注意幾個方面的要求：具有卓越的病毒防治技術、程序內核安全可靠、對付國產和國外病毒能力超群、全中文產品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產品集成度高、高可靠性、可調配系統(tǒng)資源占用率、便捷的網絡化自動升級等優(yōu)點。病毒對信息系統(tǒng)的正常工作運行產生很大影響，據統(tǒng)計，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。 系統(tǒng)設計原則為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求：l 采用世界最先進的防毒產品與XXX網絡網絡系統(tǒng)的實際需要相結合，確保XXX網絡系統(tǒng)具有最佳的病毒防護能力的情況下綜合成本最少。l 貫徹川大能士“層層設防，集中控管，以防為主、防治結合”的企業(yè)防毒策略。在XXX網絡中所有可能的病毒攻擊點或通道中設置對應的防病毒軟件，通過這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網絡免遭所有病毒的入侵和危害。l 充分考慮XXX網絡的系統(tǒng)數(shù)據、文件的安全可靠性，所選產品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對現(xiàn)有系統(tǒng)運行產生不良影響。l 應用全球最為先進的“實時監(jiān)控”技術，充分體現(xiàn)趨勢科技“以防為主”的反病毒思想。l 所選用產品具備對多種壓縮格式文件的病毒檢測。l 所選用產品易于安裝、操作簡便、便于管理和維護，具有友好的用戶界面。l 應用經由ICSA（國際電腦安全協(xié)會）技術認證的掃描引擎，保證對包括各種千面人病毒、變種病毒和黑客程序等具有最佳的病毒偵測率，除對已知病毒具備全面的偵防能力，對未知病毒亦有良好的偵測能力。強調在XXX網絡防毒系統(tǒng)內，實施統(tǒng)一的防病毒策略、集中的防毒管理和維護，最大限度地減輕使用人員和維護人員的工作量。l 完全自動化的日常維護，便于進行病毒碼及掃描引擎的更新。l 提供良好的售后服務及技術支持。l 具有良好的可擴充性，充分保護用戶的現(xiàn)有投資，適應 XXX網絡系統(tǒng)的今后發(fā)展需要 產品應用根據XXX企業(yè)網絡系統(tǒng)的結構和應用特點，病毒防御可采取多種措施：l 網關防毒；l 服務器防毒；l 客戶端防毒；l 郵件防毒；應用拓撲如下圖：圖44病毒應用拓撲圖在網絡骨干接入處，安裝防毒墻（即安裝有網關殺毒軟件的獨立網關設備），由防毒墻實現(xiàn)網絡接入處的病毒防護。由于是安裝在網絡接入處，因此，對主要網絡協(xié)議進行殺毒處理（SMTP、FTP、HTTP）。在服務器上安裝單獨的服務器殺毒產品，對服務器進行病毒保護。由于內部存在幾十個網絡客戶端，如采用普通殺毒軟件會造成升級麻煩、使用不便等問題。可在服務器上安裝客戶端防病毒產品（客戶端殺毒軟件的工作模式是服務器端、客戶端的方式）的服務器端，由客戶端通過網絡與服務器端連接后進行網絡化安裝。對產品升級，可通過在服務器端進行設置，自動通過INETRNET進行升級，再由客戶端到服務器端進行升級，大大簡化升級過程，并且整個升級是自動完成，不需要人工操作。對郵件系統(tǒng)，可采取安裝專用郵件殺毒產品，通過在郵件服務器上安裝郵件殺毒程序，實現(xiàn)對內部郵件的殺毒，保證郵件在收、發(fā)時都是經過檢查的，確保郵件無毒。通過這種方法，可以達到層層設防的作用，最終實現(xiàn)病毒防護。 數(shù)據備份作為國家機關，XXX企業(yè)內部存在大量的數(shù)據，而這里面又有許多重要的、機密的信息。而整個數(shù)據的安全保護就顯得特別重要，對數(shù)據進行定期備份是必不可少的安全措施。在采取數(shù)據備份時應該注意以下幾點：l 存儲介質安全在選擇存儲介質上應選擇保存時間長，對環(huán)境要求低的存儲產品，并采取多種存儲介質備份。如同時采用硬盤、光盤備份的方式。l 數(shù)據安全即數(shù)據在備份前是真實數(shù)據，沒有經過篡改或含有病毒。l 備份過程安全確保數(shù)據在備份時是沒有受到外界任何干擾，包括因異常斷電而使數(shù)據備份中斷的或其它情況。l 備份數(shù)據的保管對存有備份數(shù)據的存儲介質，應保存在安全的地方，防火、防盜及各種災害，并注意保存環(huán)境（溫度、濕度等）的正常。同時對特別重要的備份數(shù)據，還應當采取異地備份保管的方式，來確保數(shù)據安全。對重要備份數(shù)據的異地、多處備份（避免類似美國911事件為各公司產生的影響） 安全審計作為一個良好的安全系統(tǒng)，安全審計必不可少。由于XXX企業(yè)是一個非常龐大的網絡系統(tǒng)，因而對整個網絡（或重要網絡部分）運行進行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據進行分析、比較，找出發(fā)生的網絡安全問題的原因，并可作為以后的法律證據或者為以后的網絡安全調整提供依據。 認證、鑒別、數(shù)字簽名、抗抵賴 由于XXX企業(yè)網絡系統(tǒng)龐大，上面存在很多分級的重要信息；同時，由于現(xiàn)在國家正在大力推進電子政務的發(fā)展，網上辦公已經越來越多的被應用到各級政府部門當中，因此，需要對網上用戶的身份、操作權限等進行控制和授權。對不同等級、類型的信息只允許相應級別的人進行審閱；對網上公文的處理采取數(shù)字簽名、抗抵賴等相應的安全措施。 物理安全XXX企業(yè)網絡系統(tǒng)的物理安全要求是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災和雷擊等環(huán)境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 兩套網絡的相互轉換由于XXX企業(yè)內部網絡系統(tǒng)具有兩套網絡，這兩套網絡系統(tǒng)是完全物理隔離的，而企業(yè)內部有部分用戶需要兩個網絡都要接入，這就涉及到兩個網絡之間的相互切換問題。而現(xiàn)在的實際使用是采用手工拔插網線的方式進行切換，這使得使用中非常不方便。因此，本方案建議采用網絡隔離卡的方式來解決網絡切換的問題。 隔離卡工作方式 隔離卡上有兩個網絡接口，一個接內網，一個接外網；另外還有一個控制口，通過控制口連接一個控制器（只有火柴盒大?。?，放置于電腦旁邊。同時，在隔離卡上接兩個硬盤，使一個計算機變?yōu)閮蓚€計算機使用，兩個硬盤上分別運行獨立的操作系統(tǒng)。這樣，可通過控制器進行切換（簡單的開關，類似電源開關），使計算機分別接到兩個網絡上。 應用 根據XXX企業(yè)網絡的實際情況，需要在二、三、四樓共20個信息點上安裝隔離卡。其中二樓6個，三樓12個，四樓2個。 防電