【正文】 表統(tǒng)計(jì)功能強(qiáng)大，操作方便、靈活，用戶使用瀏覽器便可進(jìn)行本地或遠(yuǎn)程的報(bào)表操作，而無需安裝任何其他軟件。報(bào)表的輸出也采用Web輸出，用戶可很方便的對報(bào)表進(jìn)行異地保存和打印。系統(tǒng)提供全面的報(bào)表統(tǒng)計(jì)功能。報(bào)表分綜合類與產(chǎn)品類，綜合類是對所有安全事件、性能事件進(jìn)行分類統(tǒng)計(jì)，產(chǎn)品類是針對每種產(chǎn)品進(jìn)行統(tǒng)計(jì)。每種安全產(chǎn)品安全事件報(bào)表又可按各種因素產(chǎn)生不同報(bào)表，如按源地址、目的地址、名稱、趨勢等。每種報(bào)表可按時(shí)間段一天、一周、一個(gè)月、一年、自定義等產(chǎn)生，報(bào)表類型分為圖表統(tǒng)計(jì)、列表記錄等方式。圖表統(tǒng)計(jì)分為線型圖、柱狀圖、餅圖等。報(bào)表系統(tǒng)采用三層模型，前后臺(tái)的實(shí)現(xiàn)完全分開，前臺(tái)界面的優(yōu)化修改不會(huì)影響到后臺(tái)報(bào)表服務(wù)器的實(shí)現(xiàn)，同時(shí)報(bào)表后臺(tái)服務(wù)器采用COM組件方式，可以進(jìn)行靈活方便的移值，而且便于對報(bào)表功能的擴(kuò)充和升級(jí)，而不會(huì)影響到前臺(tái)界面的實(shí)現(xiàn)。 其它功能l 網(wǎng)絡(luò)結(jié)點(diǎn)自動(dòng)搜索：系統(tǒng)可自動(dòng)搜索網(wǎng)絡(luò)上的所有主機(jī)、交換機(jī)、路由器、防火墻等設(shè)備。搜索的結(jié)果包括設(shè)備類型、設(shè)備資源、設(shè)備地址等內(nèi)容。對于網(wǎng)絡(luò)設(shè)備，設(shè)備資源包括各個(gè)端口狀態(tài)、數(shù)據(jù)輸入輸出量等；對于主機(jī)等，設(shè)備資源包括CPU利用率、內(nèi)存利用率、磁盤使用情況等。l 用戶管理：用戶管理包括增加用戶、修改用戶、刪除用戶等功能。詳細(xì)定義系統(tǒng)用戶的各種權(quán)限，不同級(jí)別的用戶只能進(jìn)行相應(yīng)權(quán)限的操作。l 報(bào)警通知管理：當(dāng)發(fā)生安全事件報(bào)警時(shí)，系統(tǒng)將啟動(dòng)報(bào)警通知功能。系統(tǒng)可定義多種報(bào)警方式，包括：電子郵件報(bào)警、手機(jī)短信息報(bào)警、其它命令報(bào)警等。報(bào)警通知管理還可定義不同的安全事件、不同的安全事件級(jí)別采用不同的報(bào)警通知。l 趨勢統(tǒng)計(jì)圖表：對于每個(gè)被管理的網(wǎng)絡(luò)設(shè)備，系統(tǒng)都提供一些恰當(dāng)?shù)拿枋鰠?shù)，如對于網(wǎng)絡(luò)設(shè)備的各個(gè)端口，其描述參數(shù)為端口狀態(tài)、輸入流量、輸出流量、傳輸差錯(cuò)率等；而對于主機(jī)內(nèi)存的描述參數(shù)則為內(nèi)存利用量、內(nèi)存利用率等。每種描述參數(shù)，系統(tǒng)都提供其對應(yīng)的趨勢統(tǒng)計(jì)圖表，管理員可查看一天之內(nèi)或一周之內(nèi)或一個(gè)月之內(nèi)甚至一年之內(nèi)的數(shù)據(jù)趨勢分析曲線。通過在貴州電信各級(jí)網(wǎng)絡(luò)系統(tǒng)中部署統(tǒng)一的安全綜合管理平臺(tái)，實(shí)現(xiàn)對貴州電信全網(wǎng)中的網(wǎng)絡(luò)設(shè)備（路由器、交換機(jī)）、主機(jī)服務(wù)器（Windows/Unix服務(wù)器）、應(yīng)用服務(wù)以及安全系統(tǒng)進(jìn)行統(tǒng)一集中監(jiān)管，同時(shí)實(shí)現(xiàn)安全事件以及安全故障的管理。具體部署如下：l 在省公司部署安全管理總中心，作為貴州電信全省的安全管理門戶，實(shí)現(xiàn)對全省各級(jí)網(wǎng)絡(luò)的統(tǒng)一、集中的安全監(jiān)管；l 在各分公司部署安全管理分中心實(shí)現(xiàn)對各分公司的安全監(jiān)管，并將重要的數(shù)據(jù)、安全事件等上報(bào)到總中心；l 在各縣（市）公司（營銷部）部署安全管理分中心實(shí)現(xiàn)對各縣（市）公司（營銷部）的安全監(jiān)管，并將重要的數(shù)據(jù)、安全事件等上報(bào)到分中心；貴州電信安全綜合管理平臺(tái)的部署如圖6所示。圖貴州電信全省安全綜合管理平臺(tái)的部署示意圖 通信平臺(tái)安全體系 物理安全措施物理安全是保密系統(tǒng)安全基礎(chǔ)的一部分，物理安全是指對計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施及相關(guān)的數(shù)據(jù)存儲(chǔ)介質(zhì)提供的安全保護(hù)，使其免受各類自然災(zāi)害（地震、水災(zāi)、火災(zāi)等）以及人為操作失誤或錯(cuò)誤及計(jì)算機(jī)犯罪行為導(dǎo)致的破壞。物理安全防范是貴州電信整體安全架構(gòu)的基礎(chǔ)，對保障貴州電信網(wǎng)絡(luò)與信息系統(tǒng)正常運(yùn)行具有重要的作用。貴州電信網(wǎng)絡(luò)與信息安全系統(tǒng)的物理安全部分主要包括以下三個(gè)方面：環(huán)境安全為確保貴州電信的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)的物理安全、建立科學(xué)合理的物理安全防范體系，首先應(yīng)對物理安全保護(hù)對象的安全風(fēng)險(xiǎn)等級(jí)進(jìn)行評估，并采取相應(yīng)的安全防護(hù)措施。關(guān)鍵設(shè)備工作環(huán)境的安全防護(hù)可參照GB5017393《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、GB288789《計(jì)算站場地技術(shù)條件》和GB936188《計(jì)算站場地安全要求》等標(biāo)準(zhǔn)實(shí)施。對于關(guān)鍵設(shè)備運(yùn)行的工作機(jī)房（包括內(nèi)部網(wǎng)機(jī)房和外部網(wǎng)機(jī)房），均應(yīng)通過對機(jī)房門禁系統(tǒng)控制、視頻監(jiān)視器、入侵探測報(bào)警、人體生物特征識(shí)別、IC卡等物理保護(hù)技術(shù)的綜合應(yīng)用建立起機(jī)房一級(jí)的物理保護(hù)架構(gòu)。配套的管理措施包括對關(guān)鍵設(shè)備機(jī)房制定嚴(yán)格的場地與設(shè)備安全管理規(guī)章制度，落實(shí)專人負(fù)責(zé)對機(jī)房和關(guān)鍵物理設(shè)備的安全管理，以及物理安全的應(yīng)急反應(yīng)策略與計(jì)劃，提高關(guān)鍵設(shè)備在緊急狀況下的生存與恢復(fù)能力。設(shè)備安全對貴州電信信息網(wǎng)絡(luò)系統(tǒng)中的關(guān)鍵設(shè)備采取防盜、防火、防電磁輻射泄露、防止線路截聽、抗電磁干擾及電源保護(hù)等方面的安全保護(hù)措施，并對關(guān)鍵物理設(shè)備制定實(shí)體設(shè)備訪問控制規(guī)則，控制對設(shè)備的非授權(quán)訪問。同時(shí)對一般性的設(shè)備（特別是一般的用戶微機(jī)設(shè)備），在可能的情況下也應(yīng)采取必要的物理設(shè)備級(jí)的控制手段（包括系統(tǒng)自舉控制、外圍設(shè)備控制、IC卡認(rèn)證等技術(shù)），防止未經(jīng)授權(quán)的用戶對個(gè)人微機(jī)上資料的非法訪問或破壞。存儲(chǔ)介質(zhì)安全對貴州電信網(wǎng)絡(luò)與信息系統(tǒng)中使用的各類磁盤、光盤和磁帶等關(guān)鍵的存儲(chǔ)介質(zhì)實(shí)施嚴(yán)格的安全管理，按照其內(nèi)容的重要程度實(shí)施分級(jí)的安全管理和控制，并對關(guān)鍵存儲(chǔ)介質(zhì)的存儲(chǔ)和維護(hù)過程進(jìn)行管理，確保介質(zhì)中存儲(chǔ)信息在保存和使用過程中的安全性。在貴州電信安全系統(tǒng)中，物理安全的措施以下主要內(nèi)容，其中大部分的措施都已經(jīng)實(shí)施完成：l 機(jī)房環(huán)境：貴州電信安全系統(tǒng)相關(guān)子系統(tǒng)的布線系統(tǒng)應(yīng)符合系統(tǒng)的安全保密要求，同時(shí)應(yīng)配備防火、防水、防震、防雷電等各種物理安全保障措施，保證機(jī)房的物理環(huán)境安全。在省公司核心機(jī)房建立監(jiān)控系統(tǒng)，通過攝像頭，對機(jī)房的日常情況進(jìn)行監(jiān)控。l 網(wǎng)絡(luò)設(shè)備保護(hù)：主交換機(jī)，路由器等網(wǎng)絡(luò)設(shè)備都將放置在中心機(jī)房，各樓層的配線架、交換機(jī)等設(shè)備均有相應(yīng)的物理保護(hù)措施，避免外部人員偷改線路或者網(wǎng)絡(luò)設(shè)備配置。l 機(jī)房管理：機(jī)房將安裝門禁系統(tǒng)，并有配套的管理措施嚴(yán)格控制對機(jī)房物理環(huán)境的訪問。l 防電磁輻射：盡量采用低輻射顯示器，以減少信息泄漏。 鏈路傳輸加密系統(tǒng)設(shè)計(jì)通信平臺(tái)的安全之一就是要考慮信息傳輸加密的問題，這個(gè)問題是在鏈路安全上考慮的。鏈路層的安全措施主要是滿足用戶對信息機(jī)密性、完整性等方面的要求，并且主要是針對廣域網(wǎng)的。由于廣域網(wǎng)具有大的地理跨度，無法實(shí)行嚴(yán)格的行政性信息安全保護(hù)措施，同時(shí)公共網(wǎng)絡(luò)也缺少（實(shí)際上對普通用戶也不必）技術(shù)上的安全保護(hù)措施(如：抗偵竊技術(shù))，因而在廣域網(wǎng)的安全問題上鏈路層是重點(diǎn)。鏈路層安全主要是通過各類鏈路加密機(jī)予以保證的。信息傳輸安全的主要手段是通過網(wǎng)絡(luò)加密和鏈路加密來實(shí)現(xiàn)。煙草企業(yè)的核心業(yè)務(wù)數(shù)據(jù)在廣域網(wǎng)信息傳輸需要采用加密設(shè)備。根據(jù)貴州電信的網(wǎng)絡(luò)現(xiàn)狀，各分公司到省煙草公司、縣市公司到分公司、外部用戶通過Internet遠(yuǎn)程訪問內(nèi)部網(wǎng)等之間都通過的廣域網(wǎng)信道進(jìn)行通信，系統(tǒng)信息被竊取的威脅是存在的，所以，在有條件的情況下要采用加密機(jī)在廣域網(wǎng)的相關(guān)線路上進(jìn)行加密，但是，這類信息竊取的代價(jià)很高，而且整個(gè)煙草全網(wǎng)屬于一個(gè)專網(wǎng)，可以通過對通訊線路的嚴(yán)格管理來限制杜絕，所以目前的建設(shè)中可以暫不考慮廣域網(wǎng)線路加密。在貴州電信安全系統(tǒng)中，鏈路層次方面可以考慮采取以下安全措施：l 已經(jīng)考慮采取了符合保密規(guī)定的布線系統(tǒng)，使得線路上的輻射和干擾可能性降到很低，并采用了一定的物理保護(hù)措施，使得外部人員或者內(nèi)部無關(guān)人員在大樓內(nèi)部進(jìn)行搭線的機(jī)會(huì)很小。l 全部采用交換機(jī)設(shè)備，交換機(jī)不會(huì)將數(shù)據(jù)包進(jìn)行全面廣播，這使得連接到內(nèi)部網(wǎng)絡(luò)上的內(nèi)部人員無法監(jiān)聽其他機(jī)器的通信信息。l 所有的樓層交換機(jī)，機(jī)房中主交換機(jī)，服務(wù)器都有較為完整的物理保護(hù)措施，使得內(nèi)部無關(guān)人員不能輕易接近這些主要設(shè)備，無法進(jìn)行配置改變進(jìn)而進(jìn)行竊聽。l 使用PSTN的用戶，特別是移動(dòng)辦公用戶，推薦使用加密認(rèn)證等多功能合一的移動(dòng)設(shè)備進(jìn)行鏈路的加密。l 通過省公司現(xiàn)有的VPN網(wǎng)關(guān)，建立VPN通道，實(shí)現(xiàn)通過Internet數(shù)據(jù)傳輸鏈路的備份通道，同時(shí)提供給遠(yuǎn)程移動(dòng)用戶（如出差員工）撥入省公司內(nèi)部網(wǎng)的安全加密措施。 網(wǎng)絡(luò)平臺(tái)安全體系 網(wǎng)絡(luò)安全優(yōu)化網(wǎng)絡(luò)安全平臺(tái)體系建立首先就是對貴州電信現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行優(yōu)化，對網(wǎng)絡(luò)中不合理的地方進(jìn)行改造，充分利用原有的資源通過各種方法提高全網(wǎng)安全性能、主要包括安全域的劃分、網(wǎng)絡(luò)結(jié)構(gòu)調(diào)整和網(wǎng)絡(luò)設(shè)備安全配置。安全域的劃分對于一個(gè)嚴(yán)密和安全的系統(tǒng)，系統(tǒng)管理要有明確的任務(wù)和責(zé)任。為了規(guī)范安全管理，必須指定網(wǎng)絡(luò)安全的范圍。這個(gè)基本單元就稱為“安全域”。安全管理必須明確所管理和控制的范圍，也即是信息安全系統(tǒng)所控制的網(wǎng)絡(luò)服務(wù)器的范圍，這就是安全域的概念。沒有安全域的安全管理是不現(xiàn)實(shí)的。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)信息系統(tǒng)可能需要一個(gè)獨(dú)立的安全域，也可能需要幾個(gè)安全域。配置合適的安全域需要考慮以下幾個(gè)因素：單位的大小，目的、需要和特殊的需求，安全性，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以及管理模式和開銷。在此，將根據(jù)吉林省計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)省域網(wǎng)以及各局域網(wǎng)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級(jí)的需求，進(jìn)行安全域的劃分：l 省域網(wǎng)作為一個(gè)獨(dú)立的安全域，包括以省總公司局域網(wǎng)為中心網(wǎng)，通過各條SDH專線、DDN、衛(wèi)星鏈路等通信鏈路將各分公司以及縣（市）公司連接起來的貴州電信廣域網(wǎng)系統(tǒng)；l 各級(jí)分公司以及縣市公司局域網(wǎng)則分別作為一個(gè)獨(dú)立的安全子域，從屬于省域網(wǎng)安全域，具體包括：n 省總公司局域網(wǎng)的安全域；n 煙草分公司（10家）局域網(wǎng)的安全域；n 縣（市）公司（40家）局域網(wǎng)的安全域；各公司的局域網(wǎng)內(nèi)部根據(jù)不同的職能部分再進(jìn)行VLAN劃分，并進(jìn)行一定的訪問控制加強(qiáng)；其中，各安全域內(nèi)部按照領(lǐng)導(dǎo)、管理員以及普通用戶等安全級(jí)別建設(shè)分層的安全體系，并建立財(cái)務(wù)、人事、業(yè)務(wù)以及Internet接入等安全子系統(tǒng)；網(wǎng)絡(luò)設(shè)備安全配置在貴州電信信息網(wǎng)絡(luò)系統(tǒng)中，應(yīng)加強(qiáng)在現(xiàn)有的各種網(wǎng)絡(luò)設(shè)備如路由器、交換機(jī)等上進(jìn)行相應(yīng)的安全配置，能夠提高全網(wǎng)在網(wǎng)絡(luò)層的安全防御能力。具體描述如下：（1）基于訪問列表的安全防范策略，主要包括：l 內(nèi)部各獨(dú)立域之間訪問限制；l 防止外部IP地址欺騙如非法內(nèi)部IP、回環(huán)IP、廣播IP等；l 防止外部非法探測；l 阻止對關(guān)鍵端口的非法訪問；l 對內(nèi)網(wǎng)重要服務(wù)器進(jìn)行訪問限制；（2）其他安全配置：l 防止外部ICMP重定向欺騙；l 防止外部源路由欺騙；l 防止內(nèi)部IP地址盜用；l 關(guān)閉網(wǎng)絡(luò)設(shè)備自身不需要的端口l 在路由器上配置靜態(tài)ARP，以防止非法服務(wù)器接入內(nèi)部網(wǎng)；l 增加路由器的包過濾功能，實(shí)現(xiàn)部分防火墻的功能。（3）針對縣（市）公司，應(yīng)在其出口路由器上配置嚴(yán)格的訪問控制列表，實(shí)現(xiàn)與省域網(wǎng)之間的邏輯隔離和控制。網(wǎng)絡(luò)設(shè)備及鏈路的備份對系統(tǒng)中關(guān)鍵的網(wǎng)絡(luò)設(shè)備和鏈路建立相應(yīng)的安全機(jī)制，如建立備份通道，以便在主通道發(fā)生故障的情況，及時(shí)采用備份通道，最大程度的保障網(wǎng)絡(luò)的可用性。目前在貴州電信中，主交換機(jī)是兩臺(tái)Catalyst 6506，實(shí)現(xiàn)互為備份；在網(wǎng)絡(luò)鏈路方面通過衛(wèi)星鏈路作為地面SDH主通信鏈路的備份通道，最大程度地保障貴州電信網(wǎng)絡(luò)系統(tǒng)的可用性。 防火墻子系統(tǒng)設(shè)計(jì) 防火墻技術(shù)防火墻是部署在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù)，實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實(shí)現(xiàn)網(wǎng)與網(wǎng)之間的訪問隔離，以保護(hù)整個(gè)網(wǎng)絡(luò)抵御來自其它網(wǎng)絡(luò)的入侵者。 防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點(diǎn)的不同而分為很多種類型，按實(shí)現(xiàn)的技術(shù)手段總的來說可以分為以下幾種類型：l 包過濾防火墻：數(shù)據(jù)包過濾（Packet Filtering）防火墻是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、過濾，過濾的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則，稱為訪問控制表（Access Control Table）。通過檢查數(shù)據(jù)流中每一個(gè)數(shù)據(jù)包的源地址、目的地址、所用端口號(hào)、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。其特點(diǎn)是：速度快、費(fèi)用低，并且對用戶透明，但是對網(wǎng)絡(luò)的保護(hù)很有限，因?yàn)樗粰z查地址和端口，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。l 應(yīng)用級(jí)防火墻：應(yīng)用級(jí)防火墻主要工作在應(yīng)用層。應(yīng)用級(jí)防火墻往往又稱為應(yīng)用級(jí)網(wǎng)關(guān)，它此時(shí)也起到一個(gè)網(wǎng)關(guān)的作用。應(yīng)用級(jí)防火墻檢查進(jìn)出的數(shù)據(jù)包，通過自身（網(wǎng)關(guān)）復(fù)制傳遞數(shù)據(jù)，防止在受信主機(jī)與非受信主機(jī)間直接建立聯(lián)系。其特點(diǎn)是：訪問控制能力強(qiáng)，但對每種應(yīng)用協(xié)議都需提供相應(yīng)的代理程序，同時(shí)網(wǎng)絡(luò)性能比較低。l 混合型防火墻：即具有包過濾防火墻以及應(yīng)用級(jí)防火墻的特點(diǎn)，同時(shí)增加了一些其它功能，如具有狀態(tài)檢測技術(shù)、應(yīng)用代理、NAT、VPN等功能。無論何種類型防火墻，從總體上看，都應(yīng)具有以下基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；網(wǎng)絡(luò)地址轉(zhuǎn)換；記錄通過防火墻的信息內(nèi)容和活動(dòng)；對網(wǎng)絡(luò)攻擊的檢測和告警。 防火墻子系統(tǒng)的部署防火墻作為一種被動(dòng)的、靜態(tài)的安全防護(hù)技術(shù)是安全系統(tǒng)建設(shè)的一個(gè)基礎(chǔ)設(shè)施，在貴州電信信息網(wǎng)絡(luò)安全系統(tǒng)中，防火墻是保證各安全域之間進(jìn)行通信的基本安全機(jī)制：提供網(wǎng)絡(luò)訪問控制、應(yīng)用代理、檢測并防止部分攻擊行為、網(wǎng)絡(luò)地址轉(zhuǎn)換等功能。通過防火墻產(chǎn)品的部署，再配合其它安全產(chǎn)品和技術(shù)，如安全綜合管理平臺(tái)、入侵檢測與安全審計(jì)、漏洞掃描、病毒防范等，形成一個(gè)主動(dòng)與被動(dòng)互補(bǔ)的、動(dòng)靜結(jié)合的、多層次的、完善的安全防護(hù)體系，保證貴州電信信息網(wǎng)絡(luò)系統(tǒng)的安全。在貴州電信行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)與信息安全系統(tǒng)中使用的防火墻應(yīng)具有以上這些基本功能，并且，需要有靈活方便的設(shè)置界面。此外防火墻應(yīng)該具有開放式接口（如OPSEC接口），可進(jìn)行二次開發(fā)，實(shí)現(xiàn)和入侵檢測系統(tǒng)進(jìn)行聯(lián)動(dòng)的能力。目前貴州電信只在總公司與Internet出口處部署一臺(tái)防火墻，而防火墻作為網(wǎng)絡(luò)層最基礎(chǔ)的安全設(shè)施之一，因此我們建議貴州電信全網(wǎng)各子域都進(jìn)行防火墻部署，這樣才完全將省廣域網(wǎng)進(jìn)行網(wǎng)絡(luò)隔離，提高整體的安全性。根據(jù)對貴州電信行業(yè)計(jì)算機(jī)網(wǎng)絡(luò)與信息系統(tǒng)的現(xiàn)狀以及安全域的劃分，防火墻的部署如下：l 省公司局域網(wǎng)的安全域：在省公司局域網(wǎng)與下級(jí)分公司網(wǎng)絡(luò)連接的邊界處部署防火墻（千兆），實(shí)現(xiàn)安全域之間的邏輯隔離；l 分公司（10家）局域網(wǎng)的安全域：在分公司與省公司網(wǎng)絡(luò)連接的邊界處部署防火墻，實(shí)現(xiàn)安全域之間的邏輯隔離；l 縣（市）公司（營銷部）（40家）局域網(wǎng)的安全域：通過在網(wǎng)絡(luò)邊界處的路由器上配置訪問控制列表，實(shí)現(xiàn)基本的安全隔離。在實(shí)際的實(shí)施過程中，可以考慮按地域、信息很重要等級(jí)以及安全域