【正文】 表統(tǒng)計功能強大，操作方便、靈活，用戶使用瀏覽器便可進行本地或遠程的報表操作，而無需安裝任何其他軟件。報表的輸出也采用Web輸出，用戶可很方便的對報表進行異地保存和打印。系統(tǒng)提供全面的報表統(tǒng)計功能。報表分綜合類與產品類，綜合類是對所有安全事件、性能事件進行分類統(tǒng)計，產品類是針對每種產品進行統(tǒng)計。每種安全產品安全事件報表又可按各種因素產生不同報表，如按源地址、目的地址、名稱、趨勢等。每種報表可按時間段一天、一周、一個月、一年、自定義等產生，報表類型分為圖表統(tǒng)計、列表記錄等方式。圖表統(tǒng)計分為線型圖、柱狀圖、餅圖等。報表系統(tǒng)采用三層模型，前后臺的實現(xiàn)完全分開，前臺界面的優(yōu)化修改不會影響到后臺報表服務器的實現(xiàn)，同時報表后臺服務器采用COM組件方式，可以進行靈活方便的移值，而且便于對報表功能的擴充和升級，而不會影響到前臺界面的實現(xiàn)。 其它功能l 網絡結點自動搜索：系統(tǒng)可自動搜索網絡上的所有主機、交換機、路由器、防火墻等設備。搜索的結果包括設備類型、設備資源、設備地址等內容。對于網絡設備，設備資源包括各個端口狀態(tài)、數(shù)據輸入輸出量等；對于主機等，設備資源包括CPU利用率、內存利用率、磁盤使用情況等。l 用戶管理：用戶管理包括增加用戶、修改用戶、刪除用戶等功能。詳細定義系統(tǒng)用戶的各種權限，不同級別的用戶只能進行相應權限的操作。l 報警通知管理：當發(fā)生安全事件報警時，系統(tǒng)將啟動報警通知功能。系統(tǒng)可定義多種報警方式，包括：電子郵件報警、手機短信息報警、其它命令報警等。報警通知管理還可定義不同的安全事件、不同的安全事件級別采用不同的報警通知。l 趨勢統(tǒng)計圖表：對于每個被管理的網絡設備，系統(tǒng)都提供一些恰當?shù)拿枋鰠?shù)，如對于網絡設備的各個端口，其描述參數(shù)為端口狀態(tài)、輸入流量、輸出流量、傳輸差錯率等；而對于主機內存的描述參數(shù)則為內存利用量、內存利用率等。每種描述參數(shù)，系統(tǒng)都提供其對應的趨勢統(tǒng)計圖表，管理員可查看一天之內或一周之內或一個月之內甚至一年之內的數(shù)據趨勢分析曲線。通過在貴州電信各級網絡系統(tǒng)中部署統(tǒng)一的安全綜合管理平臺，實現(xiàn)對貴州電信全網中的網絡設備（路由器、交換機）、主機服務器（Windows/Unix服務器）、應用服務以及安全系統(tǒng)進行統(tǒng)一集中監(jiān)管，同時實現(xiàn)安全事件以及安全故障的管理。具體部署如下：l 在省公司部署安全管理總中心，作為貴州電信全省的安全管理門戶，實現(xiàn)對全省各級網絡的統(tǒng)一、集中的安全監(jiān)管；l 在各分公司部署安全管理分中心實現(xiàn)對各分公司的安全監(jiān)管，并將重要的數(shù)據、安全事件等上報到總中心；l 在各縣（市）公司（營銷部）部署安全管理分中心實現(xiàn)對各縣（市）公司（營銷部）的安全監(jiān)管，并將重要的數(shù)據、安全事件等上報到分中心；貴州電信安全綜合管理平臺的部署如圖6所示。圖貴州電信全省安全綜合管理平臺的部署示意圖 通信平臺安全體系 物理安全措施物理安全是保密系統(tǒng)安全基礎的一部分，物理安全是指對計算機網絡設備、設施及相關的數(shù)據存儲介質提供的安全保護，使其免受各類自然災害（地震、水災、火災等）以及人為操作失誤或錯誤及計算機犯罪行為導致的破壞。物理安全防范是貴州電信整體安全架構的基礎，對保障貴州電信網絡與信息系統(tǒng)正常運行具有重要的作用。貴州電信網絡與信息安全系統(tǒng)的物理安全部分主要包括以下三個方面：環(huán)境安全為確保貴州電信的網絡和應用系統(tǒng)的物理安全、建立科學合理的物理安全防范體系，首先應對物理安全保護對象的安全風險等級進行評估，并采取相應的安全防護措施。關鍵設備工作環(huán)境的安全防護可參照GB5017393《電子計算機機房設計規(guī)范》、GB288789《計算站場地技術條件》和GB936188《計算站場地安全要求》等標準實施。對于關鍵設備運行的工作機房（包括內部網機房和外部網機房），均應通過對機房門禁系統(tǒng)控制、視頻監(jiān)視器、入侵探測報警、人體生物特征識別、IC卡等物理保護技術的綜合應用建立起機房一級的物理保護架構。配套的管理措施包括對關鍵設備機房制定嚴格的場地與設備安全管理規(guī)章制度，落實專人負責對機房和關鍵物理設備的安全管理，以及物理安全的應急反應策略與計劃，提高關鍵設備在緊急狀況下的生存與恢復能力。設備安全對貴州電信信息網絡系統(tǒng)中的關鍵設備采取防盜、防火、防電磁輻射泄露、防止線路截聽、抗電磁干擾及電源保護等方面的安全保護措施，并對關鍵物理設備制定實體設備訪問控制規(guī)則，控制對設備的非授權訪問。同時對一般性的設備（特別是一般的用戶微機設備），在可能的情況下也應采取必要的物理設備級的控制手段（包括系統(tǒng)自舉控制、外圍設備控制、IC卡認證等技術），防止未經授權的用戶對個人微機上資料的非法訪問或破壞。存儲介質安全對貴州電信網絡與信息系統(tǒng)中使用的各類磁盤、光盤和磁帶等關鍵的存儲介質實施嚴格的安全管理，按照其內容的重要程度實施分級的安全管理和控制，并對關鍵存儲介質的存儲和維護過程進行管理，確保介質中存儲信息在保存和使用過程中的安全性。在貴州電信安全系統(tǒng)中，物理安全的措施以下主要內容，其中大部分的措施都已經實施完成：l 機房環(huán)境：貴州電信安全系統(tǒng)相關子系統(tǒng)的布線系統(tǒng)應符合系統(tǒng)的安全保密要求，同時應配備防火、防水、防震、防雷電等各種物理安全保障措施，保證機房的物理環(huán)境安全。在省公司核心機房建立監(jiān)控系統(tǒng)，通過攝像頭，對機房的日常情況進行監(jiān)控。l 網絡設備保護：主交換機，路由器等網絡設備都將放置在中心機房，各樓層的配線架、交換機等設備均有相應的物理保護措施，避免外部人員偷改線路或者網絡設備配置。l 機房管理：機房將安裝門禁系統(tǒng)，并有配套的管理措施嚴格控制對機房物理環(huán)境的訪問。l 防電磁輻射：盡量采用低輻射顯示器，以減少信息泄漏。 鏈路傳輸加密系統(tǒng)設計通信平臺的安全之一就是要考慮信息傳輸加密的問題，這個問題是在鏈路安全上考慮的。鏈路層的安全措施主要是滿足用戶對信息機密性、完整性等方面的要求，并且主要是針對廣域網的。由于廣域網具有大的地理跨度，無法實行嚴格的行政性信息安全保護措施，同時公共網絡也缺少（實際上對普通用戶也不必）技術上的安全保護措施(如：抗偵竊技術)，因而在廣域網的安全問題上鏈路層是重點。鏈路層安全主要是通過各類鏈路加密機予以保證的。信息傳輸安全的主要手段是通過網絡加密和鏈路加密來實現(xiàn)。煙草企業(yè)的核心業(yè)務數(shù)據在廣域網信息傳輸需要采用加密設備。根據貴州電信的網絡現(xiàn)狀，各分公司到省煙草公司、縣市公司到分公司、外部用戶通過Internet遠程訪問內部網等之間都通過的廣域網信道進行通信，系統(tǒng)信息被竊取的威脅是存在的，所以，在有條件的情況下要采用加密機在廣域網的相關線路上進行加密，但是，這類信息竊取的代價很高，而且整個煙草全網屬于一個專網，可以通過對通訊線路的嚴格管理來限制杜絕，所以目前的建設中可以暫不考慮廣域網線路加密。在貴州電信安全系統(tǒng)中，鏈路層次方面可以考慮采取以下安全措施：l 已經考慮采取了符合保密規(guī)定的布線系統(tǒng)，使得線路上的輻射和干擾可能性降到很低，并采用了一定的物理保護措施，使得外部人員或者內部無關人員在大樓內部進行搭線的機會很小。l 全部采用交換機設備，交換機不會將數(shù)據包進行全面廣播，這使得連接到內部網絡上的內部人員無法監(jiān)聽其他機器的通信信息。l 所有的樓層交換機，機房中主交換機，服務器都有較為完整的物理保護措施，使得內部無關人員不能輕易接近這些主要設備，無法進行配置改變進而進行竊聽。l 使用PSTN的用戶，特別是移動辦公用戶，推薦使用加密認證等多功能合一的移動設備進行鏈路的加密。l 通過省公司現(xiàn)有的VPN網關，建立VPN通道，實現(xiàn)通過Internet數(shù)據傳輸鏈路的備份通道，同時提供給遠程移動用戶（如出差員工）撥入省公司內部網的安全加密措施。 網絡平臺安全體系 網絡安全優(yōu)化網絡安全平臺體系建立首先就是對貴州電信現(xiàn)有的網絡結構進行優(yōu)化，對網絡中不合理的地方進行改造，充分利用原有的資源通過各種方法提高全網安全性能、主要包括安全域的劃分、網絡結構調整和網絡設備安全配置。安全域的劃分對于一個嚴密和安全的系統(tǒng)，系統(tǒng)管理要有明確的任務和責任。為了規(guī)范安全管理，必須指定網絡安全的范圍。這個基本單元就稱為“安全域”。安全管理必須明確所管理和控制的范圍，也即是信息安全系統(tǒng)所控制的網絡服務器的范圍，這就是安全域的概念。沒有安全域的安全管理是不現(xiàn)實的。一個計算機網絡信息系統(tǒng)可能需要一個獨立的安全域，也可能需要幾個安全域。配置合適的安全域需要考慮以下幾個因素：單位的大小，目的、需要和特殊的需求，安全性，網絡拓撲結構，以及管理模式和開銷。在此，將根據吉林省計算機網絡與信息系統(tǒng)省域網以及各局域網的網絡結構、具體的應用以及安全等級的需求，進行安全域的劃分：l 省域網作為一個獨立的安全域，包括以省總公司局域網為中心網，通過各條SDH專線、DDN、衛(wèi)星鏈路等通信鏈路將各分公司以及縣（市）公司連接起來的貴州電信廣域網系統(tǒng)；l 各級分公司以及縣市公司局域網則分別作為一個獨立的安全子域，從屬于省域網安全域，具體包括：n 省總公司局域網的安全域；n 煙草分公司（10家）局域網的安全域；n 縣（市）公司（40家）局域網的安全域；各公司的局域網內部根據不同的職能部分再進行VLAN劃分，并進行一定的訪問控制加強；其中，各安全域內部按照領導、管理員以及普通用戶等安全級別建設分層的安全體系，并建立財務、人事、業(yè)務以及Internet接入等安全子系統(tǒng)；網絡設備安全配置在貴州電信信息網絡系統(tǒng)中，應加強在現(xiàn)有的各種網絡設備如路由器、交換機等上進行相應的安全配置，能夠提高全網在網絡層的安全防御能力。具體描述如下：（1）基于訪問列表的安全防范策略，主要包括：l 內部各獨立域之間訪問限制；l 防止外部IP地址欺騙如非法內部IP、回環(huán)IP、廣播IP等；l 防止外部非法探測；l 阻止對關鍵端口的非法訪問；l 對內網重要服務器進行訪問限制；（2）其他安全配置：l 防止外部ICMP重定向欺騙；l 防止外部源路由欺騙；l 防止內部IP地址盜用；l 關閉網絡設備自身不需要的端口l 在路由器上配置靜態(tài)ARP，以防止非法服務器接入內部網；l 增加路由器的包過濾功能，實現(xiàn)部分防火墻的功能。（3）針對縣（市）公司，應在其出口路由器上配置嚴格的訪問控制列表，實現(xiàn)與省域網之間的邏輯隔離和控制。網絡設備及鏈路的備份對系統(tǒng)中關鍵的網絡設備和鏈路建立相應的安全機制，如建立備份通道，以便在主通道發(fā)生故障的情況，及時采用備份通道，最大程度的保障網絡的可用性。目前在貴州電信中，主交換機是兩臺Catalyst 6506，實現(xiàn)互為備份；在網絡鏈路方面通過衛(wèi)星鏈路作為地面SDH主通信鏈路的備份通道，最大程度地保障貴州電信網絡系統(tǒng)的可用性。 防火墻子系統(tǒng)設計 防火墻技術防火墻是部署在不同網絡安全域之間的一系列部件的組合。它是信息的唯一出入口，能根據企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網絡和信息安全的基礎設施。防火墻實現(xiàn)網與網之間的訪問隔離，以保護整個網絡抵御來自其它網絡的入侵者。 防火墻技術可根據防范的方式和側重點的不同而分為很多種類型，按實現(xiàn)的技術手段總的來說可以分為以下幾種類型：l 包過濾防火墻：數(shù)據包過濾（Packet Filtering）防火墻是在網絡層對數(shù)據包進行分析、過濾，過濾的依據是系統(tǒng)內設置的過濾規(guī)則，稱為訪問控制表（Access Control Table）。通過檢查數(shù)據流中每一個數(shù)據包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據包通過。其特點是：速度快、費用低，并且對用戶透明，但是對網絡的保護很有限，因為它只檢查地址和端口，對網絡更高協(xié)議層的信息無理解能力。l 應用級防火墻：應用級防火墻主要工作在應用層。應用級防火墻往往又稱為應用級網關，它此時也起到一個網關的作用。應用級防火墻檢查進出的數(shù)據包，通過自身（網關）復制傳遞數(shù)據，防止在受信主機與非受信主機間直接建立聯(lián)系。其特點是：訪問控制能力強，但對每種應用協(xié)議都需提供相應的代理程序，同時網絡性能比較低。l 混合型防火墻：即具有包過濾防火墻以及應用級防火墻的特點，同時增加了一些其它功能，如具有狀態(tài)檢測技術、應用代理、NAT、VPN等功能。無論何種類型防火墻，從總體上看，都應具有以下基本功能：過濾進、出網絡的數(shù)據；管理進、出網絡的訪問行為；封堵某些禁止的業(yè)務；網絡地址轉換；記錄通過防火墻的信息內容和活動；對網絡攻擊的檢測和告警。 防火墻子系統(tǒng)的部署防火墻作為一種被動的、靜態(tài)的安全防護技術是安全系統(tǒng)建設的一個基礎設施，在貴州電信信息網絡安全系統(tǒng)中，防火墻是保證各安全域之間進行通信的基本安全機制：提供網絡訪問控制、應用代理、檢測并防止部分攻擊行為、網絡地址轉換等功能。通過防火墻產品的部署，再配合其它安全產品和技術，如安全綜合管理平臺、入侵檢測與安全審計、漏洞掃描、病毒防范等，形成一個主動與被動互補的、動靜結合的、多層次的、完善的安全防護體系，保證貴州電信信息網絡系統(tǒng)的安全。在貴州電信行業(yè)計算機網絡與信息安全系統(tǒng)中使用的防火墻應具有以上這些基本功能，并且，需要有靈活方便的設置界面。此外防火墻應該具有開放式接口（如OPSEC接口），可進行二次開發(fā)，實現(xiàn)和入侵檢測系統(tǒng)進行聯(lián)動的能力。目前貴州電信只在總公司與Internet出口處部署一臺防火墻，而防火墻作為網絡層最基礎的安全設施之一，因此我們建議貴州電信全網各子域都進行防火墻部署，這樣才完全將省廣域網進行網絡隔離，提高整體的安全性。根據對貴州電信行業(yè)計算機網絡與信息系統(tǒng)的現(xiàn)狀以及安全域的劃分，防火墻的部署如下：l 省公司局域網的安全域：在省公司局域網與下級分公司網絡連接的邊界處部署防火墻（千兆），實現(xiàn)安全域之間的邏輯隔離；l 分公司（10家）局域網的安全域：在分公司與省公司網絡連接的邊界處部署防火墻，實現(xiàn)安全域之間的邏輯隔離；l 縣（市）公司（營銷部）（40家）局域網的安全域：通過在網絡邊界處的路由器上配置訪問控制列表，實現(xiàn)基本的安全隔離。在實際的實施過程中，可以考慮按地域、信息很重要等級以及安全域