【文章內(nèi)容簡介】 考慮，我省信息安全建設(shè)采用分階段實施的方式，按照各種安全技術(shù)和安全管理在安全建設(shè)體系中的優(yōu)先地位進(jìn)行安全建設(shè)。 安全建設(shè)第一階完成后，網(wǎng)絡(luò)狀態(tài)可以達(dá)到相對安全的狀態(tài)。請結(jié)合 深圳市**公司 信息安全建設(shè)，考慮第二階段的安全建設(shè)將如何進(jìn)行。以及待 深圳市 **公司 的全網(wǎng)安全基本達(dá)到了系統(tǒng)化的程度，各種安全產(chǎn)品充分發(fā)揮作用，安全管理也逐步到位和正規(guī)化 ， 即可考慮 第三階段 和第四階段 將如何開展。 自治區(qū)煙草安全規(guī)劃方案 建議書 7 4 第一階段 迫切階段 加強區(qū)公司與地州公司的邊界訪問控制 目前， 深圳市 **公司已經(jīng)全疆范圍內(nèi)部署了防火墻與 VPN 系統(tǒng)，但是由于時間已經(jīng)很長，設(shè)備在性能與功能上都不能適應(yīng)現(xiàn)在的網(wǎng)絡(luò)與業(yè)務(wù)的發(fā)展。在本次項目中，我們建議更換防火墻系統(tǒng)，加強網(wǎng)絡(luò)邊界防御工作。從節(jié)省資金的角度出發(fā)，在本次的防火墻選型中，直接選用帶有 VPN 功能的防火墻系統(tǒng)，便于操作與管理。 解決區(qū)公司的網(wǎng)頁安全問題 當(dāng)前 國際、國內(nèi)的政治形勢和經(jīng)濟形勢比較特殊，又正值 7. 5 事件發(fā)生后期，網(wǎng)站 安全問題越來越復(fù)雜， Web 服務(wù)器以其強大的計算能力、處理性能及所蘊含的高價值逐漸成為主要攻擊的目標(biāo)。針對網(wǎng)站，各類 安全威脅正在飛速增長 。 2020 年， CNCERT/CC 監(jiān)測到中國大陸被篡改網(wǎng)站總數(shù)累積達(dá) 61228 個，比 2020 年增加了 倍 。 Google 最新數(shù)據(jù)表明，過去 10 個月中， Google 通過對互聯(lián)網(wǎng)上幾十億 URL 進(jìn)行抓取分析，發(fā)現(xiàn)有 300 多萬個惡意 URL。 其中，中國的惡意站點占到了總數(shù)的 67%。 傳統(tǒng)的邊界安全設(shè)備，如防火墻，作為整體安全策略中不可缺少的重要模塊，局限于自身的產(chǎn)品定位 和防護深度 ， 不能有效 地 提供針對 Web 應(yīng)用 攻擊完善的防御能力。 因此， 深圳市 **公司 網(wǎng)站有必要采用專業(yè)的安全防護系統(tǒng)，有效防護各類攻擊、降低網(wǎng)站安全風(fēng)險。 提升入侵防御能力 防火墻作為 深圳市 **公司 安全保障體系的第一道防線，已經(jīng)得到了非常 好 的應(yīng)用 效果 ，但是各式各樣的攻擊行為還是被不斷的發(fā)現(xiàn)和報道，這就意味著有一類攻擊行為是防火墻所不能防御的，比如說應(yīng)用層的攻擊行為。 自治區(qū)煙草安全規(guī)劃方案 建議書 8 深圳市 **公司 想要實現(xiàn)完全的入侵防御，首先需要對各種攻擊能準(zhǔn)確發(fā)現(xiàn)，其次是需要實時的阻斷防御與響應(yīng)。防火墻等訪問控制設(shè)備沒有能做到完全的協(xié)議分析，僅能實現(xiàn)較為低層的入侵防御，對應(yīng)用層 攻擊等行為無法進(jìn)行判斷，而入侵檢測等旁路設(shè)備由于部署方式的局限，在發(fā)現(xiàn)攻擊后無法及時切斷可疑連接，都達(dá)不到完全防御的要求。 深圳市 **公司 想要實現(xiàn)完全的入侵防御，就需要 在網(wǎng)絡(luò)上 將完全協(xié)議分析和在線防御相融合，這就是入侵防御系統(tǒng)（ IPS）： online 式在線部署，深層分析網(wǎng)絡(luò)實時數(shù)據(jù)，精確判斷隱含其中的攻擊行為，實施及時的阻斷。 加強對區(qū)公司、地州終端的桌面管理能力 區(qū)公司采用本類產(chǎn)品目的在于， 能夠?qū)蛻舳诉M(jìn)行狀態(tài)安全控管，主要涉及客戶端聯(lián)網(wǎng)監(jiān)控、客戶端狀態(tài)管理、設(shè)備注冊、客戶端桌面安全審計、客戶端補丁分發(fā)管 理、客戶端應(yīng)用資源控制以及遠(yuǎn)程協(xié)助管理等能。系統(tǒng)實時監(jiān)控和報警網(wǎng)絡(luò)中存在的客戶端違規(guī)、病毒事件等行為，提供在線客戶端安全狀態(tài)信息；依據(jù)系統(tǒng)報警信息和客戶端上報的安全信息，管理人員在控制臺遠(yuǎn)程對異常網(wǎng)絡(luò)或者違規(guī)客戶端機器采取處理措施（如斷網(wǎng)、告警、遠(yuǎn)程協(xié)助等）。對補丁進(jìn)行自動分發(fā)部署和管理控制。 ? 客戶端進(jìn)程黑白名單控制，防止非法進(jìn)程啟動。全網(wǎng)客戶端進(jìn)程統(tǒng)一匯總監(jiān)視。 ? 客戶端軟件黑白名單管理，客戶端軟件統(tǒng)一匯總監(jiān)視。 ? 客戶端軟件自動分發(fā)和管理。 ? 客戶端統(tǒng)一的端口策略控制。 ? 如何有效進(jìn)行網(wǎng)絡(luò)資源管理和設(shè)備資產(chǎn)管理 。 ? 網(wǎng)絡(luò)節(jié)點控制。 ? 弱口令監(jiān)控。 ? Usb 移動存儲設(shè)備的行為審計和控制。 ? 防止防范用戶繞過防火墻等邊界防護設(shè)施，直接聯(lián)入外網(wǎng)帶來的嚴(yán)重安全隱患行為（對于物理隔離的網(wǎng)絡(luò)，切實保障其有效的隔離度，保證專網(wǎng)專 自治區(qū)煙草安全規(guī)劃方案 建議書 9 用）。 ? 進(jìn)行外來筆記本電腦以及其它移動設(shè)備（如 u 盤、移動硬盤等）的隨意接入控制。 ? 準(zhǔn)確有效的定位網(wǎng)絡(luò)中病毒的引入點，快速、安全的切斷安全事件發(fā)生點和相關(guān)網(wǎng)絡(luò)。 ? 安全、方便的將非安全計算機阻斷出網(wǎng)。 ? 監(jiān)控內(nèi)網(wǎng)的敏感信息。 ? 按照既定策略統(tǒng)一配置客戶端端口策略、注冊表策略等客戶端安全策略。 ? 有效監(jiān)控客戶端的運維信息， 以便網(wǎng)管了解網(wǎng)絡(luò)中的客戶端是否已超負(fù)荷運轉(zhuǎn)，是否需要升級。 ? 策略按照（區(qū)域、操作系統(tǒng)、時間等）進(jìn)行控制和多級級聯(lián)。 ? 軟件使用簡單，所有的策略均在策略中心統(tǒng)一配置，用戶上手簡便。 解決 VPN 系統(tǒng)的更新并且有效過渡的問題 在本次項目中，我們在采購防火墻時，就帶有 VPN 模塊，其中支持 IPSEC、SSL 兩種模式，可以根據(jù)應(yīng)用自由選擇，比現(xiàn)有的 VPN 系統(tǒng)速度更快，配置更方便，使用更便 捷。使現(xiàn)有的 VPN 系統(tǒng)很平滑地向新技術(shù)過渡。 提升區(qū)公司及地州公司對網(wǎng)絡(luò)可管理的能力 隨著信息化發(fā)展的加速和深入， 深圳市 **公司的 IT 系 統(tǒng)和網(wǎng)絡(luò)越來越復(fù)雜，各級 分公司 對網(wǎng)絡(luò)正常運轉(zhuǎn)的依賴性逐漸增大， IT 和網(wǎng)絡(luò)應(yīng)用逐漸融入到單位的日常工作中。網(wǎng)絡(luò)基礎(chǔ)設(shè)施和各種應(yīng)用系統(tǒng)在不斷增加，一旦 IT 系統(tǒng)和網(wǎng)絡(luò)運行出現(xiàn)問題，將會對所有的依賴于信息化平臺的正常工作產(chǎn)生影響。 因此，高效的系統(tǒng)與管理已經(jīng)成為 **公司 信息化建設(shè)是否成功的重要條件。 網(wǎng)絡(luò)管理系統(tǒng) 可廣泛應(yīng)用于對局域網(wǎng)、廣域網(wǎng)、城域網(wǎng)和關(guān)鍵 IT 業(yè)務(wù)系統(tǒng)中的路由器、交換機、防火墻、負(fù)載均衡設(shè)備、服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫、中間件、網(wǎng)站、域名、 URL、 OA、 CRM、 ERP、 SCM、 HIS 等各種 IT 網(wǎng)絡(luò)組件和業(yè) 務(wù)系統(tǒng)進(jìn)行 7X24 的持續(xù)監(jiān)控、不間斷的數(shù)據(jù)采集和分析，對錯誤和故障數(shù)據(jù)進(jìn)行 自治區(qū)煙草安全規(guī)劃方案 建議書 10 顏色、聲音、短信息、郵件等多種方式的報警，提供多種圖形和報表幫助用戶進(jìn)行故障分析和性能診斷，保證 IT 業(yè)務(wù)系統(tǒng)和網(wǎng)絡(luò)持續(xù)、穩(wěn)定運行，提高 IT 系統(tǒng)的效率，降低由于 IT 業(yè)務(wù)系統(tǒng)故障而導(dǎo)致的損失。 加強對上網(wǎng)行為審計的能力 隨著 Inter 接入的普及和 網(wǎng)絡(luò) 帶寬的增加， 使 用戶上網(wǎng)條件得到改善， 同時 也給 **公司 網(wǎng)絡(luò) 帶來 了 更高的危險性、復(fù)雜性。 終端 用戶隨意使用網(wǎng)絡(luò) 資源 將導(dǎo)致三個問題： (1)工作效率低下、 (2)網(wǎng)絡(luò)性能惡化、 (3)網(wǎng)絡(luò)泄密和違法 行為 增多 。 **公司 網(wǎng)絡(luò) 作為一個開放的網(wǎng)絡(luò)系統(tǒng)，運行狀況愈來愈復(fù)雜。 網(wǎng)管中心 如何及時了解網(wǎng)絡(luò)運行基本狀況，并對網(wǎng)絡(luò)整體狀況作出基本的分析，發(fā)現(xiàn)可能存在的問題（如病毒、木馬造成的網(wǎng)絡(luò)異常），并進(jìn)行快速的故障定位，這 些 都是對**公司 信息安全管理的挑戰(zhàn)，這些問題包括： 管理員如何對網(wǎng)絡(luò)效能行為進(jìn)行統(tǒng)計、分析和評估 ， 管理員如何監(jiān)控、控制一些非工作上網(wǎng)行為和非正常上網(wǎng)行為 ， 管理員如何杜絕用戶通過電子郵件、MSN 等途徑泄漏內(nèi)部機密資料 ，以及 管理員如何在發(fā)生問題時有 查證的 依據(jù) 。 因此，如何有效地解決這些問題，以便提高用戶 的工作效率，降低安全風(fēng)險，減少損失，對 網(wǎng)絡(luò) 進(jìn)行統(tǒng)一管理 ， 調(diào)整網(wǎng)絡(luò)資源的合理利用 ， 已經(jīng)成為 **公司信息中心 迫在眉睫的緊要任務(wù)。 因此 內(nèi)網(wǎng)安全管理也隨之提升到一個新的高度，在防御從外到內(nèi)諸如病毒、黑客入侵、垃圾郵件的同時，從內(nèi)到外諸如審計、監(jiān)控、訪問控制、訪問跟蹤、流量限制等問題也日益凸現(xiàn)。 自治區(qū)煙草安全規(guī)劃方案 建議書 11 5 第二 階段 信息安全建設(shè) 方案 在 這三年信息安全建設(shè)過程中 ，我們實現(xiàn)安全信息安全體系框架的規(guī)劃設(shè)計與實現(xiàn)，并重點圍繞 深圳市 **公司 當(dāng)前網(wǎng)絡(luò)中存在的問題進(jìn)行解決，而且該安全體系框架的規(guī)劃設(shè)計，要能夠適應(yīng) 深圳市 **公司 在自身發(fā)展中可 能出現(xiàn)的業(yè)務(wù)調(diào)整和變化。 建設(shè)原則 在設(shè)計技術(shù)方案時要遵從以下 原則： 1. 實用性原則 深圳市 **公司 的 安全體系建設(shè) 將始終遵循“面向應(yīng)用，注重實效”的指導(dǎo)思想。緊密結(jié)合 深圳市 **公司 現(xiàn)有網(wǎng)絡(luò)和應(yīng)用情況，充分保證原有系統(tǒng)和結(jié)構(gòu)的可用性。 2. 協(xié)商原則 對于一個應(yīng)用系統(tǒng)而言，他的安全性有時候與合理性存在著矛盾，從使用者的角度講是合理的，站在安全的角度來分析則是不安全的，存在著風(fēng)險，這時候就需要協(xié)調(diào)和論證在二者之間做出平衡。 3. 完整性原則 深圳市 **公司 網(wǎng)絡(luò)安全建設(shè)必需保證整個防御體系的完整性。在 安全體系建設(shè) 中，我們采取多種 安全防御的技術(shù)和措施來保障 深圳市 **公司 的網(wǎng)絡(luò)系統(tǒng)安全運行。 4. 整體均衡 原則 要 對信息