【正文】 4. 易維護(hù)性**集團(tuán)公司信息平臺(tái)建設(shè)完成后，有多個(gè)應(yīng)用系統(tǒng)在平臺(tái)上運(yùn)行，并有多種廣域網(wǎng)的接入方式，中心機(jī)房的網(wǎng)絡(luò)和設(shè)備數(shù)量多，本方案提供統(tǒng)一的網(wǎng)絡(luò)管理系統(tǒng)CIScoworkSVMS對(duì)路由器或VPN接入設(shè)備和其它網(wǎng)絡(luò)安全設(shè)第三章**集團(tuán)企業(yè)信息化及安全整體解決方案?jìng)涞茸鞅O(jiān)控和管理，提供信息平臺(tái)的綜合管理的功能。l 選用國(guó)際知名品牌的設(shè)備和系統(tǒng)，技術(shù)和服務(wù)有保證。l 網(wǎng)絡(luò)和設(shè)備品牌盡量統(tǒng)一，易于維護(hù)和管理。l 采用功能強(qiáng)大的網(wǎng)絡(luò)管理系統(tǒng)，增強(qiáng)對(duì)設(shè)備和應(yīng)用的系統(tǒng)。 系統(tǒng)建設(shè) 財(cái)務(wù)系統(tǒng) **集團(tuán)跟各專(zhuān)業(yè)子公司統(tǒng)一采用用友ERPNC 5. 0軟件，在功能域上實(shí)現(xiàn)如下功能:功能域 財(cái)務(wù)基礎(chǔ)核算(總帳、應(yīng)收應(yīng)付、合并報(bào)表等)。 資產(chǎn)管理。 現(xiàn)金流管理。 財(cái)務(wù)狀況監(jiān)控，財(cái)務(wù)狀況分析。 預(yù)算管理(編制、執(zhí)行、結(jié)果)。 資金管理，大額支出管理關(guān)聯(lián)交易系統(tǒng).部署模式集中部署，各子公司遠(yuǎn)程登錄本系統(tǒng)使用。 人力資源管理系統(tǒng)功能域全省員工基本信息管理。人事管理、崗位及工作信息管理。薪酬、考核管理。合同管理。組織管理。統(tǒng)計(jì)查詢(xún)報(bào)表，人力資源分析。招聘管理.部署模式集中部署，各子公司遠(yuǎn)程登錄本系統(tǒng)使用。 門(mén)戶(hù)、OA系統(tǒng)功能域.部署模式 本次以系統(tǒng)的實(shí)施將采用**集中部署的模式進(jìn)行，通過(guò)配置各子公司的以流程來(lái)實(shí)現(xiàn)子公司的以系統(tǒng)覆蓋 門(mén)戶(hù)系統(tǒng)建設(shè) 企業(yè)門(mén)戶(hù)功能域包括企業(yè)信息展現(xiàn)(內(nèi)部門(mén)戶(hù))和企業(yè)網(wǎng)站(外部門(mén)戶(hù))兩個(gè)功能模塊。辦公及輔助管理功能域主要包括文件公務(wù)流轉(zhuǎn)、企業(yè)郵箱、知識(shí)管理、資產(chǎn)管理四個(gè)功能模塊。功能域5. 對(duì)外網(wǎng)站 企業(yè)上市信息披露 企業(yè)形象宣傳 企業(yè)產(chǎn)品宣傳 人力招聘信息 遠(yuǎn)程辦公支持6. 對(duì)內(nèi)門(mén)戶(hù):單點(diǎn)登陸整合以系統(tǒng)整合郵箱系統(tǒng)整合久其報(bào)表系統(tǒng)實(shí)現(xiàn)初步的知識(shí)管理資產(chǎn)管理 業(yè)務(wù)管理和運(yùn)營(yíng)支撐系統(tǒng)采用其報(bào)表系統(tǒng)作為業(yè)務(wù)統(tǒng)一管理和分析系統(tǒng)。.功能域 .部署模式集中部署，各子公司遠(yuǎn)程登錄本系統(tǒng)使用。 企業(yè)信息化管理根據(jù)實(shí)業(yè)集團(tuán)公司信息化建設(shè)的總體設(shè)計(jì)，需要對(duì)公司全網(wǎng)路由器、VPN設(shè)備進(jìn)行及時(shí)有效的配置，監(jiān)控和管理，我們采用思科公司提供的 CiscoworksVMS網(wǎng)絡(luò)管理系統(tǒng)。 CIScoworksVMS可以通過(guò)集成用于配置、監(jiān)控和診斷企業(yè)虛擬專(zhuān)用網(wǎng)(VPN)的Web工具，防火墻，以及基于網(wǎng)絡(luò)、主機(jī)的入侵檢測(cè)系統(tǒng)(IPS)，保護(hù)企業(yè)的生產(chǎn)率和降低運(yùn)營(yíng)成本。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案 安全建設(shè) 網(wǎng)絡(luò)邊界安全防護(hù)網(wǎng)絡(luò)層的安全性首先由路由器做初步保障。路由器一般用于分隔網(wǎng)段。分隔網(wǎng)段的特性往往要求路由器處于網(wǎng)絡(luò)的邊界上。通過(guò)配置路由器訪(fǎng)問(wèn)控制列表(AcL)，可以將其用作一個(gè)“預(yù)過(guò)濾器”，篩分不要的信息流，路由器的ACL只能作為防火墻系統(tǒng)的一個(gè)重要補(bǔ)充，對(duì)于復(fù)雜的安全控制，只能通過(guò)防火墻系統(tǒng)來(lái)實(shí)現(xiàn)。**集團(tuán)信息網(wǎng)服務(wù)器，首先通過(guò)二層交換機(jī)接入到主備用ASA5550防火墻，由防火墻控制所有用戶(hù)的訪(fǎng)問(wèn)權(quán)限，關(guān)閉非使用端口，開(kāi)啟服務(wù)器所承載以、財(cái)務(wù)、人力應(yīng)用服務(wù)需要使用的端口。在此道防火墻建立DMZ區(qū)，連接省電信公司收發(fā)公文的轉(zhuǎn)接器，建立一高于DMZ區(qū)低于內(nèi)網(wǎng)的管理區(qū)，用于管理機(jī)的接入。在內(nèi)網(wǎng)防火墻之外采用兩臺(tái)。 1sco3750三層交換機(jī)做路由控制，接入本大樓內(nèi)分公司網(wǎng)絡(luò)及實(shí)業(yè)本部網(wǎng)絡(luò)，由其控制訪(fǎng)問(wèn)服務(wù)器、分公司VPN及外網(wǎng)路由。與地市分公司的 InternetVPN采用 CiscoASA552O防火墻，同時(shí)提供撥號(hào)VPN接入，外網(wǎng)訪(fǎng)問(wèn)通過(guò) AmarantenF60O防火墻控制后接入公網(wǎng)網(wǎng)絡(luò)，同時(shí)提供備用撥號(hào)VPN接入。外網(wǎng)WEB服務(wù)器接在枷 arantenF600防火墻眼Z區(qū)，對(duì)外開(kāi)啟 tep80服務(wù)。通過(guò)制定相應(yīng)的安全策略，防火墻允許合法訪(fǎng)問(wèn)，拒絕無(wú)關(guān)的服務(wù)和非法入侵。防火墻的安全策略可以基于系統(tǒng)、網(wǎng)絡(luò)、域、服務(wù)、時(shí)間、用戶(hù)、認(rèn)證、數(shù)據(jù)內(nèi)容、地址翻譯、地址欺騙、同步攻擊和拒絕服務(wù)攻擊等等。連接至防火墻的不同網(wǎng)段之間的互訪(fǎng)均需將到對(duì)方或經(jīng)過(guò)對(duì)方到其它地方的路由指向防火墻的相應(yīng)接口，防火墻制定合理的策略保證合法和必要的訪(fǎng)問(wèn)，拒絕非法入侵。我們通過(guò)配置 AmarantenF600防火墻實(shí)現(xiàn)以下功能:1. 可以通過(guò)IP地址、協(xié)議、端口等參數(shù)進(jìn)行控制，使得在內(nèi)網(wǎng)中的部分用戶(hù)可以訪(fǎng)問(wèn)外網(wǎng)，而其他用戶(hù)不能通過(guò)防火墻訪(fǎng)問(wèn)Internet。2. 對(duì)網(wǎng)絡(luò)流量進(jìn)行精確的控制，對(duì)一個(gè)或一組IP地址、端口、應(yīng)用協(xié)議第三章**集團(tuán)企業(yè)信息化及安全整體解決方案既可以通過(guò)設(shè)置保留帶寬保證應(yīng)用的最小帶寬，又可以設(shè)置最大帶寬防止對(duì)網(wǎng)絡(luò)資源的過(guò)度占用，還可以通過(guò)設(shè)置網(wǎng)絡(luò)應(yīng)用的優(yōu)先級(jí)將網(wǎng)絡(luò)帶寬在不同應(yīng)用之間進(jìn)行合理分配，使網(wǎng)絡(luò)效率達(dá)到最優(yōu)化。3. 通過(guò)三種方式過(guò)濾不良內(nèi)容，包括:l URL地址:只需要將不良網(wǎng)站的URL地址添加到過(guò)濾列表中，便可進(jìn)行阻擋。l 不良關(guān)鍵字:所有包含**集團(tuán)網(wǎng)絡(luò)用戶(hù)自定義不良關(guān)鍵字(如“法輪功”)的網(wǎng)頁(yè)將被屏蔽l 網(wǎng)頁(yè)分類(lèi):靦 arantenF600將上億萬(wàn)個(gè)網(wǎng)頁(yè)分成了幾十個(gè)類(lèi)別(如政治、經(jīng)濟(jì)、色情、暴力等)，**集團(tuán)網(wǎng)絡(luò)用戶(hù)只需要在FortiGate上設(shè)置阻斷某一類(lèi)站點(diǎn)(如色情、暴力類(lèi)網(wǎng)站)便可批量屏蔽不良網(wǎng)站。l 通過(guò)利用IP地址、郵件地址、實(shí)時(shí)黑名單/匿名中繼代理列表(RBL/ORDBL)、MIME頭、關(guān)鍵字等多項(xiàng)反垃圾郵件技術(shù)在網(wǎng)絡(luò)層和內(nèi)容層為**集團(tuán)網(wǎng)絡(luò)過(guò)濾大量的垃圾郵件，以?xún)艋瘞?，減輕郵件服務(wù)器負(fù)擔(dān)，提高**集團(tuán)網(wǎng)絡(luò)的工作效率，并防止病毒和不良信息通過(guò)垃圾郵件進(jìn)入陜西電信DcN網(wǎng)絡(luò)內(nèi)網(wǎng)。l AmarantenF600防火墻擁有強(qiáng)大的日志功能，可以對(duì)網(wǎng)絡(luò)訪(fǎng)問(wèn)、入侵、病毒、內(nèi)容過(guò)濾等信息進(jìn)行詳細(xì)的記錄。 入侵檢測(cè)與防御入侵檢測(cè)幫助系統(tǒng)對(duì)付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識(shí)別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，對(duì)內(nèi)部攻擊、外部攻擊及時(shí)做出響應(yīng)，包括阻塞網(wǎng)絡(luò)連接、記錄事件和報(bào)警等，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，第三章**集團(tuán)企業(yè)信息化及安全整體解決方案被認(rèn)為是防火墻之后的第二道安全閘門(mén)。這些通過(guò)以下工作來(lái)實(shí)現(xiàn):l 監(jiān)視、分析用戶(hù)及系統(tǒng)活動(dòng)。l 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。l 識(shí)別反映已知進(jìn)攻的活動(dòng)模式并向相關(guān)人士報(bào)替。l 異常行為模式的統(tǒng)計(jì)分析。l 評(píng)估重要系統(tǒng)和數(shù)據(jù)文件的完整性。l 操作系統(tǒng)的審計(jì)跟蹤管理，并識(shí)別用戶(hù)違反安全策略的行為。對(duì)一個(gè)成功的入侵檢測(cè)系統(tǒng)來(lái)講，它不但可使系統(tǒng)管理員時(shí)刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡(jiǎn)單，從而使非專(zhuān)業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。從而達(dá)到對(duì)網(wǎng)絡(luò)實(shí)現(xiàn)立體縱深、多層次保護(hù)的目的。實(shí)時(shí)監(jiān)控或最近的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控。實(shí)時(shí)地顯示、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量并記入日志。每小時(shí)網(wǎng)絡(luò)數(shù)據(jù)流量記入日志，顯示并提供詳細(xì)的信息。本地或遠(yuǎn)程的服務(wù)器服務(wù)的用戶(hù)信息。網(wǎng)絡(luò)負(fù)載容量和系統(tǒng)狀態(tài)的實(shí)時(shí)顯示。實(shí)時(shí)檢測(cè)、攔截并跟蹤黑客入侵行為檢測(cè)、攔截并通過(guò)各種方式(手機(jī)短信息、e朋i1，etc)發(fā)布警告信息給系統(tǒng)管理員。支持各種規(guī)則配置保證檢測(cè)和阻止黑客入侵。支持追蹤黑客，定位黑客的攻擊位置。信息管理，檢測(cè)并阻止訪(fǎng)問(wèn)非授權(quán)的web站點(diǎn)(色情、娛樂(lè)等等)通過(guò)關(guān)鍵字的搜尋對(duì)e一mail和web一mail信息流出進(jìn)行攔截和記入日志。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案對(duì)于千兆網(wǎng)絡(luò)的完善支持。并聯(lián)式被動(dòng)抓包技術(shù)(掃描和抓包)不影響網(wǎng)絡(luò)流量。簡(jiǎn)便的安裝和方便的操作(集成了S/W和H/W)。獨(dú)立安裝的系統(tǒng)保證更好地防御安全入侵。遠(yuǎn)程監(jiān)控和集中控制。支持和(IAP)控制中心的通訊交流。檢測(cè)/保護(hù)/警告根據(jù)入侵檢測(cè)規(guī)則阻斷非法網(wǎng)絡(luò)流量，發(fā)布警告和報(bào)告(通過(guò)報(bào)警、e一mail、移動(dòng)電話(huà))給網(wǎng)絡(luò)管理人員。提供黑客的不同信息(目的、黑客行為、攻擊嘗試的數(shù)量、解決辦法、黑客攻擊的起止時(shí)間等等)。提供針對(duì)不同的攻擊行為的詳細(xì)信息和對(duì)策。提供詳盡的黑客文件來(lái)定位黑客位置。控制信息。對(duì)進(jìn)出的郵件進(jìn)行有效的信息管理(發(fā)送者和接受者)。檢測(cè)e一11(信息體和附件)并可以通過(guò)關(guān)鍵字的匹配進(jìn)行阻斷(保證保密或機(jī)密信息不泄漏)。記錄Telnet，F(xiàn)tP和遠(yuǎn)程登錄的詳細(xì)信息。管理訪(fǎng)問(wèn)未授權(quán)的網(wǎng)頁(yè)(包括色情、娛樂(lè)和股票信息等)的信息?？刂坪凸芾碛脖P(pán)共享功能(對(duì)于PC機(jī))?？刂铺囟ǖ姆?wù)器、客戶(hù)端和服務(wù)(協(xié)議)，如果需要可以定義規(guī)則阻斷非法連接。提供根據(jù)字符串匹配檢索日志記錄。報(bào)告功能，實(shí)時(shí)或定期的網(wǎng)絡(luò)使用情況的詳細(xì)信息報(bào)告。黑客攻擊信息/檢測(cè)信息/保護(hù)信息/阻止信息報(bào)告。第三章**集團(tuán)企業(yè)信息化及安全整體解決方案數(shù)據(jù)交換詳細(xì)信息報(bào)告，包括e一mail(正文/附件)、Web一mail、Telnet、Ftp和遠(yuǎn)程登錄等等。提供阻斷硬盤(pán)共享、本地/遠(yuǎn)程用