【文章內(nèi)容簡(jiǎn)介】 使用兩臺(tái)，其操作系統(tǒng)也是專用的MOS操作系統(tǒng)，該系統(tǒng)的口令采取內(nèi)部加密措施，可以很好的保障管理員帳號(hào)的安全性；系統(tǒng)對(duì)管理員登錄的認(rèn)證方式為用戶名/口令方式，其口令強(qiáng)度有一定的要求，定期地進(jìn)行維護(hù)；對(duì)于過(guò)期賬戶定期地進(jìn)行檢查和刪除，遠(yuǎn)程管理采用TELNET的方式進(jìn)行；服務(wù)器沒有開啟日志審計(jì)功能。 研發(fā)服務(wù)器承載研發(fā)部門專用的CVS系統(tǒng)和BUGzilla系統(tǒng)的服務(wù)器，服務(wù)器均部署在研發(fā)專用機(jī)房?jī)?nèi)，該類服務(wù)器包括：CVS應(yīng)用服務(wù)器該系統(tǒng)實(shí)現(xiàn)了對(duì)研發(fā)源代碼的管理，系統(tǒng)部署在研發(fā)服務(wù)器區(qū)域內(nèi)的7臺(tái)服務(wù)器上，服務(wù)器型號(hào)分別為IBM @Server Xseries 335及IBM @Server Xseries 305，操作系統(tǒng)為Rad Hat Linux ；系統(tǒng)對(duì)管理員的認(rèn)證方式為用戶名/口令方式，其口令強(qiáng)度有嚴(yán)格的要求，口令必須包含字母和數(shù)組以及特殊字符，防止被隨意破解；另外管理員定期檢查服務(wù)器的管理員帳號(hào)，對(duì)過(guò)期賬戶進(jìn)行刪除；服務(wù)器可通過(guò)本地局域網(wǎng)進(jìn)行管理，但不允許通過(guò)互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程訪問(wèn)，管理方式采用SSH的方式，保障加密傳輸；另外沒有開啟日志服務(wù)器功能；服務(wù)器IP地址分別為：、；服務(wù)器沒有啟用IP地址訪問(wèn)控制，只通過(guò)用戶名和口令來(lái)認(rèn)證管理員身份；BUGzilla服務(wù)器該系統(tǒng)包含兩個(gè)部分，一部分是提供給技術(shù)服務(wù)中心來(lái)提交產(chǎn)品的BUG問(wèn)題；另一部分是測(cè)試人員提交測(cè)試過(guò)程中發(fā)現(xiàn)的BUG，系統(tǒng)部署在研發(fā)服務(wù)器區(qū)域內(nèi)的2臺(tái)服務(wù)器上，系統(tǒng)采用B/S結(jié)構(gòu)，服務(wù)器型號(hào)為IBM @Server Xseries 305，系統(tǒng)對(duì)管理員的認(rèn)證方式為用戶名/口令方式，其口令強(qiáng)度有嚴(yán)格的要求，口令必須包含字母和數(shù)組以及特殊字符，防止被隨意破解；另外管理員定期檢查服務(wù)器的管理員帳號(hào)，對(duì)過(guò)期賬戶進(jìn)行刪除；服務(wù)器可通過(guò)本地局域網(wǎng)進(jìn)行管理，管理方式采用SSH的方式，保障加密傳輸；另外沒有開啟日志服務(wù)器功能。；服務(wù)器IP地址分別為：內(nèi)部研發(fā)使用的服務(wù)器IP地址為：；外部提供給技術(shù)服務(wù)中心等部門使用的服務(wù)器IP地址為：；服務(wù)器沒有啟用IP地址訪問(wèn)控制，只通過(guò)用戶名和口令來(lái)認(rèn)證管理員身份； 運(yùn)維服務(wù)器目前已啟用的運(yùn)維服務(wù)器包括了三臺(tái)已安裝了XXX終端安全管理平臺(tái)和安全信息管理平臺(tái)的服務(wù)器，其中兩臺(tái)為應(yīng)用服務(wù)器，分別安裝了終端安全管理軟件（TopDesk）和安全信息管理軟件（TopAnalyzer），另外一臺(tái)為數(shù)據(jù)庫(kù)，數(shù)據(jù)庫(kù)版本為Orale 9i。服務(wù)器的型號(hào)為IBM @Server Xseries 365，操作系統(tǒng)均為Windows 2003 Server，操作系統(tǒng)對(duì)管理員的登錄認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動(dòng)更新，對(duì)于過(guò)期賬戶通過(guò)人工方式進(jìn)行定期檢查，并及時(shí)刪除過(guò)期帳號(hào)，開啟了日志審計(jì)功能，審計(jì)重點(diǎn)是用戶登錄日志。遠(yuǎn)程管理時(shí)采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行. 數(shù)據(jù)庫(kù)服務(wù)器數(shù)據(jù)庫(kù)主要用于支撐業(yè)務(wù)應(yīng)用服務(wù)器，包括用友U8系統(tǒng)的數(shù)據(jù)庫(kù)、金蝶CRM的數(shù)據(jù)庫(kù)、金蝶K3系統(tǒng)的數(shù)據(jù)庫(kù)以及ORACLE EBS系統(tǒng)的數(shù)據(jù)庫(kù)，其中用友U8系統(tǒng)以及金蝶K3系統(tǒng)的數(shù)據(jù)庫(kù)與應(yīng)用系統(tǒng)均安裝在同一臺(tái)服務(wù)器上，其他的則單獨(dú)安裝，該類服務(wù)器包括：用友U8后臺(tái)數(shù)據(jù)庫(kù)用友U8財(cái)務(wù)系統(tǒng)的應(yīng)用和數(shù)據(jù)庫(kù)都安裝在一臺(tái)服務(wù)器上，設(shè)備型號(hào)為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫(kù)版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫(kù)口令與操作系統(tǒng)的口令分離，分別使用不同的帳號(hào)與口令；數(shù)據(jù)庫(kù)口令沒有嚴(yán)格的強(qiáng)度要求，數(shù)據(jù)庫(kù)口令不定期進(jìn)行更換，以保障口令的安全性；并且數(shù)據(jù)庫(kù)管理員經(jīng)常查看數(shù)據(jù)庫(kù)帳號(hào)，對(duì)過(guò)期賬戶進(jìn)行及時(shí)刪除；數(shù)據(jù)庫(kù)配置了日志審計(jì)功能，審計(jì)內(nèi)容僅包含登錄信息審計(jì)，對(duì)操作沒有審計(jì)措施；金蝶K3后臺(tái)數(shù)據(jù)庫(kù)系統(tǒng)與數(shù)據(jù)庫(kù)服務(wù)器均安裝在同一臺(tái)設(shè)備上，設(shè)備型號(hào)為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫(kù)版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫(kù)口令與操作系統(tǒng)的口令分離，分別使用不同的帳號(hào)與口令；數(shù)據(jù)庫(kù)口令沒有嚴(yán)格的強(qiáng)度要求，數(shù)據(jù)庫(kù)口令不定期進(jìn)行更換，以保障口令的安全性；并且數(shù)據(jù)庫(kù)管理員經(jīng)常查看數(shù)據(jù)庫(kù)帳號(hào)，對(duì)過(guò)期賬戶進(jìn)行及時(shí)刪除；數(shù)據(jù)庫(kù)配置了日志審計(jì)功能，審計(jì)內(nèi)容僅包含登錄信息審計(jì)，對(duì)操作沒有審計(jì)措施；金蝶CRM后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)與應(yīng)用服務(wù)器分離，安裝數(shù)據(jù)庫(kù)的設(shè)備型號(hào)為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫(kù)版本為SQL SERVER 2000 SP3，數(shù)據(jù)庫(kù)口令與操作系統(tǒng)的口令分離，分別使用不同的帳號(hào)與口令；數(shù)據(jù)庫(kù)口令沒有嚴(yán)格的強(qiáng)度要求，數(shù)據(jù)庫(kù)口令不定期進(jìn)行更換，以保障口令的安全性；并且數(shù)據(jù)庫(kù)管理員經(jīng)常查看數(shù)據(jù)庫(kù)帳號(hào)，對(duì)過(guò)期賬戶進(jìn)行及時(shí)刪除；數(shù)據(jù)庫(kù)配置了日志審計(jì)功能，審計(jì)內(nèi)容僅包含登錄信息審計(jì)，對(duì)操作沒有審計(jì)措施；；ORACLE EBS后臺(tái)數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)與應(yīng)用服務(wù)器分離，安裝數(shù)據(jù)庫(kù)的設(shè)備型號(hào)為IBM 9133 Model 55A，操作系統(tǒng)為AIX ，數(shù)據(jù)庫(kù)版本為Oracle 9i，服務(wù)器管理員認(rèn)證方式為用戶名/口令認(rèn)證，操作系統(tǒng)口令有明確的強(qiáng)度要求，并且系統(tǒng)管理員經(jīng)常定期更換操作系統(tǒng)口令；操作系統(tǒng)口令與數(shù)據(jù)庫(kù)口令分離，數(shù)據(jù)庫(kù)口令也有嚴(yán)格的強(qiáng)度要求，并且定期進(jìn)行更換；系統(tǒng)管理員還不定期地檢查數(shù)據(jù)庫(kù)過(guò)期賬戶，并及時(shí)刪除過(guò)期賬戶；服務(wù)器可以通過(guò)互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程管理，管理方式為SSL VPN遠(yuǎn)程管理 + TELNET；數(shù)據(jù)庫(kù)配置了日志審計(jì)功能，審計(jì)內(nèi)容僅包含登錄信息審計(jì)，對(duì)操作沒有審計(jì)措施；。安全管理及終端安全管理數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)與應(yīng)用服務(wù)器分離，安裝數(shù)據(jù)庫(kù)的設(shè)備型號(hào)為IBM @Server Xseries 365，操作系統(tǒng)為Windows 2003 Server，數(shù)據(jù)庫(kù)版本為Oracle 9i，服務(wù)器管理員認(rèn)證方式為用戶名/口令認(rèn)證，操作系統(tǒng)口令有明確的強(qiáng)度要求，并且系統(tǒng)管理員經(jīng)常定期更換操作系統(tǒng)口令；操作系統(tǒng)口令與數(shù)據(jù)庫(kù)口令分離，數(shù)據(jù)庫(kù)口令也有嚴(yán)格的強(qiáng)度要求，并且定期進(jìn)行更換；系統(tǒng)管理員還不定期地檢查數(shù)據(jù)庫(kù)過(guò)期賬戶，并及時(shí)刪除過(guò)期賬戶；服務(wù)器可以通過(guò)互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程管理，管理方式為SSL VPN遠(yuǎn)程管理 + TELNET；數(shù)據(jù)庫(kù)配置了日志審計(jì)功能，審計(jì)內(nèi)容僅包含登錄信息審計(jì)，對(duì)操作沒有審計(jì)措施；。 安全設(shè)備情況目前在XXX信息網(wǎng)絡(luò)中廣泛使用的安全設(shè)備有三大類，一是面向網(wǎng)絡(luò)安全類的防火墻、VPN類安全設(shè)備；二是面向終端的終端安全管理系統(tǒng)以及防病毒軟件類，三是面向全網(wǎng)進(jìn)行安全運(yùn)維的安全管理平臺(tái)，各安全設(shè)備的配置情況為： 防火墻系統(tǒng)防火墻是XXX信息網(wǎng)絡(luò)中使用最為廣泛的安全設(shè)備，防火墻系統(tǒng)分別被用在分支機(jī)構(gòu)局域網(wǎng)邊界、總部的辦公終端邊界、業(yè)務(wù)服務(wù)器邊界、研發(fā)終端邊界、研發(fā)服務(wù)器邊界以及外部服務(wù)器邊界，防火墻的引入將XXX信息網(wǎng)絡(luò)隔離為多個(gè)安全區(qū)域，實(shí)際上起到了轉(zhuǎn)發(fā)層和核心交換層的作用，取代了轉(zhuǎn)發(fā)層常用的路由器和核心交換層常用的三層交換機(jī)；并且在安全區(qū)域之間執(zhí)行嚴(yán)格的訪問(wèn)控制策略，有效保護(hù)了重要的信息系統(tǒng)資源。分支機(jī)構(gòu)防火墻在各個(gè)分支機(jī)構(gòu)局域網(wǎng)的互聯(lián)網(wǎng)出口處部署XXX防火墻，對(duì)分支機(jī)構(gòu)的局域網(wǎng)進(jìn)行有效防護(hù)，其訪問(wèn)控制規(guī)則為：n 允許分支機(jī)構(gòu)人員通過(guò)防火墻訪問(wèn)互聯(lián)網(wǎng)，進(jìn)行主頁(yè)訪問(wèn)、MSN、等操作，不允許分支機(jī)構(gòu)人員通過(guò)P2P軟件訪問(wèn)互聯(lián)網(wǎng)，不允許分支機(jī)構(gòu)人員在上班時(shí)間玩網(wǎng)絡(luò)游戲；n 允許分支機(jī)構(gòu)人員通過(guò)防火墻訪問(wèn)公司的外部服務(wù)器群，包括訪問(wèn)公司主頁(yè)，訪問(wèn)公司郵件系統(tǒng)；n 允許分支機(jī)構(gòu)的商務(wù)人員通過(guò)防火墻訪問(wèn)總部的EBS、K3系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（通過(guò)應(yīng)用系統(tǒng)的用戶認(rèn)證來(lái)鑒別訪問(wèn)者是許可的商務(wù)人員）；n 允許分支機(jī)構(gòu)的銷售人員通過(guò)防火墻訪問(wèn)總部的CRM系統(tǒng)，提交項(xiàng)目及客戶相關(guān)信息（通過(guò)應(yīng)用系統(tǒng)的用戶認(rèn)證來(lái)鑒別訪問(wèn)者是許可的銷售人員）；n 其他任何類型的訪問(wèn)均被禁止；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略統(tǒng)一由總部進(jìn)行維護(hù)，以保證防火墻的統(tǒng)一性；防火墻尚未有統(tǒng)一的日志管理措施?？偛亢诵姆阑饓Σ渴鹪赬XX總部局域網(wǎng)的核心，相當(dāng)于作為核心交換機(jī)使用，采用XXX獵豹系列防火墻，使用設(shè)備的五個(gè)端口分別連接到辦公終端區(qū)域、研發(fā)終端（服務(wù)器）區(qū)域、業(yè)務(wù)服務(wù)器區(qū)域、網(wǎng)絡(luò)運(yùn)維區(qū)域以及網(wǎng)通互聯(lián)網(wǎng)出口；其訪問(wèn)控制規(guī)則包括：n 允許辦公終端通過(guò)該防火墻訪問(wèn)互聯(lián)網(wǎng)，許可的訪問(wèn)行為包括主頁(yè)訪問(wèn)、MSN、郵件、等，上班時(shí)間不允許進(jìn)行網(wǎng)游；不允許進(jìn)行P2P下載；n 不允許研發(fā)終端訪問(wèn)互聯(lián)網(wǎng)；n 允許辦公終端通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 允許指定的辦公終端訪問(wèn)EBS、K3系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（防火墻對(duì)訪問(wèn)來(lái)源不做任何限制，通過(guò)應(yīng)用系統(tǒng)的用戶認(rèn)證來(lái)鑒別訪問(wèn)者是許可的商務(wù)、銷售和財(cái)務(wù)等人員）；n 允許指定的辦公終端訪問(wèn)CRM系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（防火墻通過(guò)應(yīng)用系統(tǒng)的用戶認(rèn)證來(lái)鑒別訪問(wèn)者是許可的銷售等人員）；n 允許指定的辦公終端訪問(wèn)財(cái)務(wù)系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（通過(guò)應(yīng)用系統(tǒng)的用戶認(rèn)證來(lái)鑒別訪問(wèn)者是許可的銷售等人員）；n 允許運(yùn)行維護(hù)中心的管理平臺(tái)及管理終端訪問(wèn)其他任何區(qū)域；n 只允許辦公終端以及研發(fā)終端的AGENT訪問(wèn)運(yùn)行維護(hù)中心的管理服務(wù)器；n 不允許研發(fā)終端訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域；n 研發(fā)終端只能訪問(wèn)外部服務(wù)器區(qū)域。防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計(jì)功能，公司也沒有配置全網(wǎng)的日志審計(jì)系統(tǒng)。網(wǎng)通出口防火墻部署在XXX總部局域網(wǎng)的網(wǎng)通鏈路出口，使用XXX百兆防火墻，使用設(shè)備的三個(gè)端口分別連接互聯(lián)網(wǎng)、總部核心防火墻以及外部服務(wù)器區(qū)域，重點(diǎn)是實(shí)現(xiàn)對(duì)外部服務(wù)器的保護(hù)，同時(shí)配合核心防火墻，執(zhí)行更細(xì)的訪問(wèn)控制規(guī)則，包括：n 允許辦公終端通過(guò)該防火墻訪問(wèn)互聯(lián)網(wǎng)，許可的訪問(wèn)行為包括主頁(yè)訪問(wèn)、MSN、郵件、等，上班時(shí)間不允許進(jìn)行網(wǎng)游；不允許進(jìn)行P2P下載；n 不允許研發(fā)終端訪問(wèn)互聯(lián)網(wǎng)；n 允許辦公終端、研發(fā)終端通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用網(wǎng)通鏈路的分支機(jī)構(gòu)）通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用網(wǎng)通鏈路的分支機(jī)構(gòu)）通過(guò)該防火墻訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域；n 允許互聯(lián)網(wǎng)用戶通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 不允許互聯(lián)網(wǎng)用戶通過(guò)該防火墻訪問(wèn)總部局域網(wǎng)的任何資源。出口防火墻還執(zhí)行了反向地址轉(zhuǎn)換策略，將外部服務(wù)器的地址轉(zhuǎn)換為網(wǎng)通的互聯(lián)網(wǎng)地址，以便使互聯(lián)網(wǎng)的網(wǎng)通用戶可以訪問(wèn)；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計(jì)功能，公司也沒有配置全網(wǎng)的日志審計(jì)系統(tǒng)。電信出口防火墻在作用和部署上類似與網(wǎng)通出口防火墻，主要是部署在XXX信息網(wǎng)絡(luò)的電信出口處，使用XXX百兆防火墻，使用設(shè)備的兩個(gè)端口分別連接互聯(lián)網(wǎng)、總部核心防火墻，針對(duì)南方使用電信鏈路的分支機(jī)構(gòu)，可通過(guò)該防火墻訪問(wèn)總部信息網(wǎng)絡(luò)，其執(zhí)行的訪問(wèn)規(guī)則包括：n 允許分支機(jī)構(gòu)（北方同樣使用電信鏈路的分支機(jī)構(gòu)）通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用電信鏈路的分支機(jī)構(gòu)）通過(guò)該防火墻訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域；n 允許使用電信寬帶訪問(wèn)互聯(lián)網(wǎng)用戶通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域。n 其他的任何訪問(wèn)均被禁止。該防火墻還針對(duì)外部服務(wù)器區(qū)域，執(zhí)行反向地址轉(zhuǎn)換策略，將公司主頁(yè)服務(wù)器、郵件服務(wù)器以及升級(jí)服務(wù)器的地址轉(zhuǎn)換為電信的互聯(lián)網(wǎng)地址，以提供給電信用戶以及使用電信寬帶的分支機(jī)構(gòu)來(lái)訪問(wèn)外部服務(wù)器區(qū)域；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計(jì)功能，公司也沒有配置全網(wǎng)的日志審計(jì)系統(tǒng)。三樓防火墻在三樓機(jī)房?jī)?nèi)部署的防火墻，在核心防火墻的基礎(chǔ)上，針對(duì)三樓技術(shù)服務(wù)器中心、生產(chǎn)部執(zhí)行更細(xì)的訪問(wèn)控制規(guī)則，包括：n 允許三樓的辦公終端訪問(wèn)互聯(lián)網(wǎng)；n 不允許生產(chǎn)車間的終端訪問(wèn)互聯(lián)網(wǎng)；n 不允許生產(chǎn)車間的終端訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域；n 只允許生產(chǎn)車間的終端訪問(wèn)EBS以及K3系統(tǒng)；n 允許三樓的辦公終端訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域的辦公自動(dòng)化系統(tǒng)；n 允許三樓的辦公終端訪問(wèn)訪問(wèn)外部服務(wù)器區(qū)域；n 允許商務(wù)部訪問(wèn)KCRM以及EBS系統(tǒng)；n 允許技術(shù)服務(wù)中心訪問(wèn)研發(fā)的BUGzilla外部服務(wù)器；n 允許運(yùn)維中心的終端安全管理平臺(tái)訪問(wèn)三樓的辦公終端區(qū)域；n 不允許其他任何訪問(wèn)；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計(jì)功能，公司也沒有配置全網(wǎng)的日志審計(jì)系統(tǒng)。四樓防火墻在四樓機(jī)房?jī)?nèi)部署的防火墻，在核心防火墻的基礎(chǔ)上，針對(duì)四樓的總裁辦公室、董事會(huì)、行政部、人力資源部、財(cái)務(wù)部、銷售中心、銷售管理部、市場(chǎng)部、戰(zhàn)略方案中心等辦公終端，執(zhí)行更細(xì)的訪問(wèn)控制規(guī)則，包括：n 允許四樓的辦公終端訪問(wèn)互聯(lián)網(wǎng)；n 允許四樓的辦公終端訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域的辦公自動(dòng)化系統(tǒng)；n 允許四樓的辦公終端訪問(wèn)訪問(wèn)外部服務(wù)器區(qū)域；n 允許總裁辦、銷售管理部、銷售中心、人力資源部訪問(wèn)KCRM以及EBS系統(tǒng)；n 允許財(cái)務(wù)部訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域的財(cái)務(wù)系統(tǒng)；n 允許運(yùn)維中心的終端安全管理平臺(tái)訪問(wèn)四樓的辦公終端區(qū)域；n 不允許其他任何訪問(wèn)；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計(jì)功能，公司也沒有配置全網(wǎng)的日志審計(jì)系統(tǒng)。五樓防火墻在五樓機(jī)房?jī)?nèi)部署的防火墻，重點(diǎn)是針對(duì)研發(fā)部門執(zhí)行更加細(xì)化的訪問(wèn)控制規(guī)則，包括：n 不允許研發(fā)終端以及研發(fā)服務(wù)器訪問(wèn)互聯(lián)網(wǎng)；