【正文】 另外在上網(wǎng)行為審計(jì)、非法外聯(lián)控制等方面也存在較大的需求。內(nèi)網(wǎng)資產(chǎn)管理方面:能夠全面了解內(nèi)網(wǎng)硬件以及軟件資產(chǎn)的信息，比如安裝什么類型軟件、電腦配置等，并且可以及時(shí)了解內(nèi)網(wǎng)資產(chǎn)變化情況。 本方案不足之處由于**集團(tuán)牽頭、督促各上市省份要在規(guī)定時(shí)間內(nèi)完成每個(gè)企業(yè)信息網(wǎng)絡(luò)建設(shè)?？蛻舳藢Π惭b文件進(jìn)行保護(hù)，使其不被非法刪除、修改。客戶端的運(yùn)行平臺包括Windows9 WindowsMe、 WindowsXP、 Windows2000、Windo， 52003等。實(shí)時(shí)發(fā)現(xiàn)非法接入的主機(jī)(可以穿透個(gè)人防火墻)，并能有效阻斷非法接入主機(jī)對局域網(wǎng)絡(luò)的訪問，有效維護(hù)局域網(wǎng)的完整性和安全性。 AmarantenF60O的網(wǎng)關(guān)病毒過濾特性還可以有效地防止病毒進(jìn)入內(nèi)網(wǎng)之后利用計(jì)算機(jī)系統(tǒng)漏洞肆意傳播，大量消耗系統(tǒng)資源和網(wǎng)絡(luò)帶寬所造成的DoS/DDoS(拒絕服務(wù)/分布式拒絕服務(wù))攻擊。防毒中央控管系統(tǒng):使用中央控管系統(tǒng)后，網(wǎng)管人員可以使用瀏覽器為應(yīng)用界面，在企業(yè)網(wǎng)內(nèi)部的任意工作站或通過Internet實(shí)現(xiàn)對跨地區(qū)、跨平臺的企業(yè)防毒系統(tǒng)實(shí)施統(tǒng)一管理和監(jiān)控。郵件服務(wù)器產(chǎn)品覆蓋 MierosoftExehange、 LotusNotesforNT、AIX、Solaris、HPUX、 IBM5390和05400等。服務(wù)器病毒防火墻:文件服務(wù)器是企業(yè)網(wǎng)中最常見的服務(wù)器。計(jì)劃配置一臺便攜式筆記本電腦安裝漏洞掃描軟件，從不同的網(wǎng)絡(luò)位置掃描**集團(tuán)中心機(jī)房所有的應(yīng)用服務(wù)器、交換機(jī)路由器、防火墻等聯(lián)網(wǎng)設(shè)備，該筆記本電腦還可以同時(shí)安裝系統(tǒng)掃描器的Console以及數(shù)據(jù)庫掃描器。利用數(shù)據(jù)庫掃描器定期地通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫，去檢查數(shù)據(jù)庫特有的安全漏洞，全面評估所有的安全漏洞和認(rèn)證、授權(quán)、完整性方面的問題。系統(tǒng)掃描器通過對企業(yè)內(nèi)部操作系統(tǒng)安全弱點(diǎn)的全面分析幫助組織管理安全風(fēng)險(xiǎn)。 安全漏洞掃描和評估安全漏洞掃描產(chǎn)品能夠最全面的評估企業(yè)范圍內(nèi)的所有網(wǎng)絡(luò)服務(wù)、防火墻、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等系統(tǒng)的安全狀況，找出存在的安全漏洞，按照高中底三種風(fēng)險(xiǎn)級別羅列出來，同時(shí)針對每個(gè)漏洞給出修補(bǔ)的辦法。攔截規(guī)則設(shè)置。設(shè)置統(tǒng)一管理權(quán)限。各種不同的打印和輸出格式。黑客攻擊信息/檢測信息/保護(hù)信息/阻止信息報(bào)告?？刂坪凸芾碛脖P共享功能(對于PC機(jī))。對進(jìn)出的郵件進(jìn)行有效的信息管理(發(fā)送者和接受者)。提供黑客的不同信息(目的、黑客行為、攻擊嘗試的數(shù)量、解決辦法、黑客攻擊的起止時(shí)間等等)。獨(dú)立安裝的系統(tǒng)保證更好地防御安全入侵。信息管理，檢測并阻止訪問非授權(quán)的web站點(diǎn)(色情、娛樂等等)通過關(guān)鍵字的搜尋對e一mail和web一mail信息流出進(jìn)行攔截和記入日志。網(wǎng)絡(luò)負(fù)載容量和系統(tǒng)狀態(tài)的實(shí)時(shí)顯示。實(shí)時(shí)監(jiān)控或最近的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控。l 操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為。l 系統(tǒng)構(gòu)造和弱點(diǎn)的審計(jì)。 入侵檢測與防御入侵檢測幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力(包括安全審計(jì)、監(jiān)視、攻擊識別和響應(yīng))，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。3. 通過三種方式過濾不良內(nèi)容，包括:l URL地址:只需要將不良網(wǎng)站的URL地址添加到過濾列表中，便可進(jìn)行阻擋。防火墻的安全策略可以基于系統(tǒng)、網(wǎng)絡(luò)、域、服務(wù)、時(shí)間、用戶、認(rèn)證、數(shù)據(jù)內(nèi)容、地址翻譯、地址欺騙、同步攻擊和拒絕服務(wù)攻擊等等。 1sco3750三層交換機(jī)做路由控制，接入本大樓內(nèi)分公司網(wǎng)絡(luò)及實(shí)業(yè)本部網(wǎng)絡(luò)，由其控制訪問服務(wù)器、分公司VPN及外網(wǎng)路由。通過配置路由器訪問控制列表(AcL)，可以將其用作一個(gè)“預(yù)過濾器”，篩分不要的信息流，路由器的ACL只能作為防火墻系統(tǒng)的一個(gè)重要補(bǔ)充，對于復(fù)雜的安全控制，只能通過防火墻系統(tǒng)來實(shí)現(xiàn)。 CIScoworksVMS可以通過集成用于配置、監(jiān)控和診斷企業(yè)虛擬專用網(wǎng)(VPN)的Web工具，防火墻，以及基于網(wǎng)絡(luò)、主機(jī)的入侵檢測系統(tǒng)(IPS)，保護(hù)企業(yè)的生產(chǎn)率和降低運(yùn)營成本。辦公及輔助管理功能域主要包括文件公務(wù)流轉(zhuǎn)、企業(yè)郵箱、知識管理、資產(chǎn)管理四個(gè)功能模塊。組織管理。 人力資源管理系統(tǒng)功能域全省員工基本信息管理。 現(xiàn)金流管理。l 網(wǎng)絡(luò)和設(shè)備品牌盡量統(tǒng)一，易于維護(hù)和管理。l 遠(yuǎn)程移動(dòng)辦公用戶的接入安全性:使用**集團(tuán)中心機(jī)房配置的自適應(yīng)安全設(shè)備內(nèi)置的LZtpoverIpsecVPN功能，為移動(dòng)用戶提供安全的VPN遠(yuǎn)程接入，有效保障數(shù)據(jù)和應(yīng)用在鏈路層的安全性。從而能確保中心機(jī)房能與各地公司建立穩(wěn)定的VPN連接及保證中心機(jī)房的網(wǎng)絡(luò)安全。網(wǎng)絡(luò)平臺、關(guān)鍵業(yè)務(wù)的服務(wù)器和存儲設(shè)備必須具備7X24小時(shí)的連續(xù)運(yùn)轉(zhuǎn)能力。完全可以保證**集團(tuán)公司的廣域網(wǎng)安全接入的較長時(shí)間內(nèi)的需求。 網(wǎng)絡(luò)建設(shè)方案總結(jié)1. 兼容性和擴(kuò)展性該系統(tǒng)具備良好的兼容性和擴(kuò)展性，具體表現(xiàn)在以下各方面:l 中心機(jī)房采用自適應(yīng)安全設(shè)備作廣域網(wǎng)的核心安全設(shè)備，能夠提供良好的安全性和VPN服務(wù)。 各實(shí)業(yè)分公司網(wǎng)絡(luò)與**集團(tuán)公司連接1. **集團(tuán)與各實(shí)業(yè)分公司辦公用戶的連接各實(shí)業(yè)分公司需要與**集團(tuán)中心機(jī)房建立高速穩(wěn)定的連接，因此采用一臺 CISCO28n路由器加上RJ45擴(kuò)展卡，實(shí)現(xiàn)1條CNZ電路連接需求，另外一條接口作備份 InternetVPN，滿足鏈路備份使用。另一方面， AsA5520自適應(yīng)安全設(shè)備還可作為防火墻功能使用，有效阻止來自Internet及各實(shí)業(yè)分公司的非法訪問行為。 網(wǎng)絡(luò)建設(shè) 中心機(jī)房及其配套設(shè)施建設(shè)因?yàn)樾枰捎脙煞N接入方式，因此我們在**集團(tuán)中心機(jī)房采用以下設(shè)備l 核心路由器。在此道防火墻建立D棍區(qū)，連接省電信公司收發(fā)公文的轉(zhuǎn)接器，建立一高于DMZ區(qū)低于內(nèi)網(wǎng)的管理區(qū)，用于管理機(jī)的接入。各分公司通過劃分VPN來實(shí)現(xiàn)與總公司連接。使數(shù)據(jù)具有極高的可靠性。災(zāi)難恢復(fù)的步驟應(yīng)包括測試救援程序的有效性(是否對可疑的通訊及事故作出反應(yīng))、在事故發(fā)生后，企業(yè)如何分析事故的發(fā)生過程、程序如何迅速恢復(fù)、如何減少企業(yè)的損失等。如果日常工作對涉密系統(tǒng)的依賴性特別強(qiáng)，則建立遠(yuǎn)程的應(yīng)急處理和災(zāi)難恢復(fù)中心。 安全審計(jì)策略安全審計(jì)有助于對入侵進(jìn)行評估，是提高安全性的重要工具。 計(jì)算機(jī)病毒防治策略由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可估量的威脅性和破壞力。 漏洞掃描與風(fēng)險(xiǎn)評估策略從信息安全的角度看，漏洞掃描是網(wǎng)絡(luò)安全防御中的一項(xiàng)重要技術(shù)，其原理是采用模擬攻擊的形式對目標(biāo)可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查。入侵檢測作為一種積極主動(dòng)的安全防護(hù)技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)，它可在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。同時(shí)，安全監(jiān)控是檢測系統(tǒng)及網(wǎng)絡(luò)是否有可疑或不正常的通訊的有效辦法。通常將**集團(tuán)網(wǎng)絡(luò)重要服務(wù)器所在的子網(wǎng)和重要的工作子網(wǎng)分別劃分為單獨(dú)的安全域。不安全地連接到網(wǎng)絡(luò)服務(wù)會影響整個(gè)機(jī)構(gòu)的安全，所以，只能讓用戶直接訪問己明確授權(quán)使用的服務(wù)。l 關(guān)于保護(hù)訪問數(shù)據(jù)或服務(wù)的相關(guān)法律或任何合同規(guī)定。訪問控制策略應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問，訪問控制策略應(yīng)包括以下內(nèi)容:l 每個(gè)業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求。輕松的氣氛或采用匿名報(bào)告的方式可以鼓勵(lì)員工報(bào)告違規(guī)行為。如果系統(tǒng)被入侵，用戶根據(jù)這個(gè)聲明所述，就可以知道系統(tǒng)在多長時(shí)間內(nèi)可以恢復(fù)。該政策應(yīng)包括審計(jì)功能，以及處理安全事件的程序指南(即檢測到可疑事件發(fā)生后，應(yīng)找誰負(fù)責(zé)等問題的處理步驟)。l 隱私政策:制定監(jiān)控電子郵件、記錄鍵盤敲擊及訪問用戶文件的可接受的隱私程度。**集團(tuán)網(wǎng)絡(luò)的安全管理策略是保證網(wǎng)絡(luò)安全的核心。從全局管理角度來看，我們制訂了全局的安全管理策略。即除了從技術(shù)上下功夫外，還得依靠安全管理來實(shí)現(xiàn)。如傳出至關(guān)重要的信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。4. 機(jī)房重地卻是任何人都可以進(jìn)進(jìn)出出，來去自由。網(wǎng)絡(luò)中一旦有一臺主機(jī)受病毒感染，則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散，傳播到網(wǎng)絡(luò)上的所有主機(jī)，可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。n 電子郵件系統(tǒng)的安全風(fēng)險(xiǎn)內(nèi)部網(wǎng)用戶可通過拔號或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會，給系統(tǒng)帶來不安全因至素。Web是電子業(yè)務(wù)的發(fā)布板，與其他服務(wù)器連接在一起，對Web服務(wù)器的攻擊容易波及其他的網(wǎng)絡(luò)服務(wù)器和設(shè)備。n 資源共享的安全風(fēng)險(xiǎn)**集團(tuán)網(wǎng)絡(luò)內(nèi)部有自動(dòng)化辦化系統(tǒng)。第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 應(yīng)用的安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)的安全涉及很多方面。這些安全漏洞都將存在重大安全隱患。操作系統(tǒng)的安裝以正常工作為目標(biāo)，一般很少考慮其安全性。當(dāng)從一個(gè)安全區(qū)域(子網(wǎng))訪問另一個(gè)安全保護(hù)要求不同的區(qū)域(子網(wǎng))時(shí)，存在對不應(yīng)訪問的數(shù)據(jù)、交易與系統(tǒng)服務(wù)操作的危險(xiǎn)。目前計(jì)算機(jī)在網(wǎng)絡(luò)中的身份是以IP地址作為自己的標(biāo)識的。內(nèi)部人員在上班時(shí)間玩游戲，看視頻等。如果工作人員發(fā)送、接收和查看攻擊性材料，可能會形成敵意的工作環(huán)境，從而增大內(nèi)耗。l 發(fā)送大量包含惡意代碼或病毒程序的郵件。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外部網(wǎng)絡(luò)的一些不懷好意的入侵者的攻擊。其次，各系統(tǒng)的互聯(lián)互通會使得跨系統(tǒng)的攻擊和病毒傳播成為可能，帶來極大的安全隱患。以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全威脅。l 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱。 安全需求分析第二章**集團(tuán)企業(yè)信息化現(xiàn)狀 物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。各專業(yè)公司根據(jù)各自需求自行建設(shè)IT系統(tǒng)，導(dǎo)致重復(fù)投資問題，如很多專業(yè)公司自行建設(shè)或準(zhǔn)備建設(shè)的人力資源管理系統(tǒng)。**在組織架構(gòu)等工作陸續(xù)完成后，將逐步加強(qiáng)對業(yè)務(wù)的管理。我**各專業(yè)公司層面則第二章**集團(tuán)企業(yè)信息化現(xiàn)狀己經(jīng)建立了部分業(yè)務(wù)運(yùn)營支撐系統(tǒng)。**集團(tuán)、設(shè)計(jì)院、郵科公司、工程公司都擁有自己的公司網(wǎng)站，但是功能簡單，且連最簡單的互相鏈接都沒有。由于大部分專業(yè)公司還沒有建設(shè)以系統(tǒng)，因此考慮本次所有子公司的以系統(tǒng)在選型上和**一致。對未來的系統(tǒng)無法提出有深度的需求，因此本次人力資源管理系統(tǒng)應(yīng)該具備最核心的功能，兼顧性價(jià)比，系統(tǒng)一邊建設(shè)一邊培訓(xùn)，通過成熟系統(tǒng)向現(xiàn)有的人力資源管理人員灌輸先進(jìn)的人力資源管理理念，固化并統(tǒng)一全省的人力資源管理制度。設(shè)備的選型將考慮未來5年的性能需求增長，將以當(dāng)前需求的200%的性能參數(shù)配置主機(jī)設(shè)備，此外主機(jī)設(shè)備留有等量的擴(kuò)展空間。異地備份機(jī)房選用郵科公司智能網(wǎng)機(jī)房。內(nèi)外網(wǎng)隔離方案是安全的一個(gè)重要基礎(chǔ)，現(xiàn)在采用物理隔離方案的安全性最高，但是會給應(yīng)用系統(tǒng)的部署和使用帶來不便。 **集團(tuán)企業(yè)信息化系統(tǒng)需求分析 網(wǎng)絡(luò)需求分析結(jié)合**集團(tuán)的1T現(xiàn)狀及本省的06一09年IT總體規(guī)劃需求，擬在**集團(tuán)有限公司集團(tuán)總部建設(shè)一中心點(diǎn)，作為中心機(jī)房，通過中心點(diǎn)與全市5個(gè)上市子公司之間組建辦公網(wǎng)。u 在接入Internet方面，部分子公司保留有Internet出口，部分終端可其它方式訪問Internet，存在網(wǎng)絡(luò)安全隱患。該系統(tǒng)技術(shù)架構(gòu)比較先進(jìn)，功能基本滿足該公司的業(yè)務(wù)需求，由于為自己開發(fā)的系統(tǒng)，維護(hù)支撐、軟件功能升級都比較便利。目前沒有購買久其公司的維護(hù)支撐服務(wù)。目