【正文】 川大能士信息安全有限公司將在安裝現(xiàn)場對管理中心的管理人員進(jìn)行操作培訓(xùn)，采用授課與現(xiàn)場操作結(jié)合的形式。對XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)備管理人員進(jìn)行網(wǎng)絡(luò)安全管理培訓(xùn)，使其了解網(wǎng)絡(luò)安全的基本管理和技術(shù)知識。在保修期內(nèi)，如因川大能士的信息安全產(chǎn)品使網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障，除非出現(xiàn)人力不可抗拒的情況，川大能士保證在48小時內(nèi)到現(xiàn)場檢修或用相同產(chǎn)品更換故障設(shè)備。成都服務(wù)響應(yīng)中心：四川川大能士信息安全有限公司技術(shù)支持部 成都科華北路99號郵政編碼：610065 聯(lián)系電話：（028）5225532 5228756 傳真：（028）5228480 備件倉庫川大能士分別在成都和北京設(shè)有備件倉庫，擁有充足的產(chǎn)品的備件，為客戶提供及時的維修服務(wù)。技術(shù)人員將回答客戶提出的各種技術(shù)問題，并在客戶允許的情況下，進(jìn)行面對面的技術(shù)交流服務(wù)。6 技術(shù)支持與服務(wù)成熟而完善的技術(shù)支持與服務(wù)體系對于網(wǎng)絡(luò)信息安全系統(tǒng)的順利實施和正常運(yùn)行是必不可少的。網(wǎng)絡(luò)隔離卡用于在兩套網(wǎng)絡(luò)見進(jìn)行切換。 設(shè)備列表針對XXX企業(yè)網(wǎng)絡(luò)安全建設(shè)需要，本方案中主要的安全產(chǎn)品見下表：產(chǎn)品名稱主要作用SVPN系統(tǒng)傳輸加密保護(hù)、網(wǎng)絡(luò)隔離。根據(jù)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全建設(shè)的建設(shè)和應(yīng)用系統(tǒng)的發(fā)展需要，能夠隨時對安全產(chǎn)品的功能、規(guī)模進(jìn)行擴(kuò)充，而且不能影響XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)。（2） 安全設(shè)備所采用的技術(shù)，不單純追求先進(jìn)、完善，而必須保證實用和成熟性，相關(guān)技術(shù)標(biāo)準(zhǔn)應(yīng)采用、引用和接近國家標(biāo)準(zhǔn)。l 安全設(shè)備所采用的技術(shù)，不單純追求先進(jìn)、完善，而必須保證實用和成熟性，相關(guān)技術(shù)標(biāo)準(zhǔn)應(yīng)采用、引用和接近國家標(biāo)準(zhǔn)。l 安全設(shè)備應(yīng)提供避免或禁止內(nèi)外網(wǎng)絡(luò)用戶進(jìn)入系統(tǒng)的手段，即使對安全管理員而言，也應(yīng)遵循對系統(tǒng)操作的最小授權(quán)原則。5 安全設(shè)備要求 安全設(shè)備選型原則對XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)備選型時，必須在滿足國家對信息安全產(chǎn)品的政策性要求前提下，綜合考察設(shè)備的功能和性能，必須符合XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全需求。（8） 確保建立一套完善的網(wǎng)絡(luò)安全管理制度，做到專人管理、維護(hù)。（5） 確保XXX企業(yè)中心網(wǎng)絡(luò)、各級機(jī)構(gòu)網(wǎng)絡(luò)的系統(tǒng)受到病毒的破壞。（2） 確保XXX企業(yè)中心網(wǎng)絡(luò)系統(tǒng)與下屬各級機(jī)構(gòu)網(wǎng)絡(luò)之間的信息在交換過程中保持完整、真實、可用和不被非法泄露的特性。管理體系管理是XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的靈魂。人事機(jī)構(gòu)是根據(jù)管理機(jī)構(gòu)設(shè)定的崗位，對崗位上在職和待職的工作人員進(jìn)行素質(zhì)教育、業(yè)績考核和管理，以及對離職工作人員進(jìn)行監(jiān)管的機(jī)構(gòu)。管理層是決策層的日常管理機(jī)關(guān)，根據(jù)決策機(jī)構(gòu)的決定全面規(guī)劃并協(xié)調(diào)各方面力量實施信息系統(tǒng)的安全方案，制定、修改安全策略，處理安全事故，設(shè)置安全相關(guān)的崗位。這個組織體系在國家有關(guān)安全部門（如機(jī)要局、保密局、公安廳、安全廳、信息安全協(xié)調(diào)機(jī)構(gòu)等）的指導(dǎo)下，遵循國家相關(guān)法律法規(guī)，制定相應(yīng)的安全管理制度和內(nèi)部的法規(guī)政策，并對內(nèi)部人員進(jìn)行安全教育和管理，指導(dǎo)、監(jiān)督、考核安全制度的執(zhí)行。 安全管理任何網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)，不僅僅是采用安全產(chǎn)品，而是結(jié)合相應(yīng)的安全管理來進(jìn)行的。（2） 設(shè)備安全：主要包括設(shè)備的防盜、防毀壞及電源保護(hù)等。根據(jù)XXX企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、物理結(jié)構(gòu)、電源結(jié)構(gòu)分析，防雷系統(tǒng)可采取兩級防雷措施。按照有關(guān)標(biāo)準(zhǔn)要求，必須在0區(qū)、1區(qū)、2區(qū)分別加裝避雷器（0區(qū)、1區(qū)、2區(qū)是按照雷電出現(xiàn)的強(qiáng)度劃分的）。因而對重要信息點的數(shù)據(jù)傳輸介質(zhì)應(yīng)采取相應(yīng)的安全措施，如使用屏蔽雙絞線等終端設(shè)備尤其是CRT顯示器均有程度不同的電磁輻射問題，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，因此除要求在訂購設(shè)備上盡量選取低輻射產(chǎn)品外，還應(yīng)根據(jù)保護(hù)對象分別采取主動式的干擾設(shè)備（如干擾機(jī)來破壞對信息的偵竊），或采用加裝帶屏蔽門窗的屏蔽室。這樣，可通過控制器進(jìn)行切換（簡單的開關(guān)，類似電源開關(guān)），使計算機(jī)分別接到兩個網(wǎng)絡(luò)上。而現(xiàn)在的實際使用是采用手工拔插網(wǎng)線的方式進(jìn)行切換，這使得使用中非常不方便。 認(rèn)證、鑒別、數(shù)字簽名、抗抵賴 由于XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)龐大，上面存在很多分級的重要信息；同時，由于現(xiàn)在國家正在大力推進(jìn)電子政務(wù)的發(fā)展，網(wǎng)上辦公已經(jīng)越來越多的被應(yīng)用到各級政府部門當(dāng)中，因此，需要對網(wǎng)上用戶的身份、操作權(quán)限等進(jìn)行控制和授權(quán)。l 備份數(shù)據(jù)的保管對存有備份數(shù)據(jù)的存儲介質(zhì)，應(yīng)保存在安全的地方，防火、防盜及各種災(zāi)害，并注意保存環(huán)境（溫度、濕度等）的正常。在采取數(shù)據(jù)備份時應(yīng)該注意以下幾點：l 存儲介質(zhì)安全在選擇存儲介質(zhì)上應(yīng)選擇保存時間長，對環(huán)境要求低的存儲產(chǎn)品，并采取多種存儲介質(zhì)備份。對郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品，通過在郵件服務(wù)器上安裝郵件殺毒程序，實現(xiàn)對內(nèi)部郵件的殺毒，保證郵件在收、發(fā)時都是經(jīng)過檢查的，確保郵件無毒。在服務(wù)器上安裝單獨的服務(wù)器殺毒產(chǎn)品，對服務(wù)器進(jìn)行病毒保護(hù)。l 完全自動化的日常維護(hù)，便于進(jìn)行病毒碼及掃描引擎的更新。l 所選用產(chǎn)品具備對多種壓縮格式文件的病毒檢測。l 貫徹川大能士“層層設(shè)防，集中控管，以防為主、防治結(jié)合”的企業(yè)防毒策略。具體而言，就是針對網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。其中的用戶應(yīng)同時包括各級管理員用戶和各類業(yè)務(wù)用戶。由于目前主要的操作系統(tǒng)平臺是建立在國外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長期保持很高的安全性，而是隨著時間的推移和技術(shù)的發(fā)展而不斷下降的，同時，在使用過程中會出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設(shè)的補(bǔ)充，采取相應(yīng)的措施也是必然。由于探測器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應(yīng)用不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：l 管理、維護(hù)簡單、方便；l 安全性高（可有效降低在安全設(shè)備使用上的配置漏洞）；l 硬件成本和維護(hù)成本低；l 網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個設(shè)備而言，其穩(wěn)定性更高，故障率更低。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象；同時，每個維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯誤使網(wǎng)絡(luò)中斷。下級單位的VPN設(shè)備放置如下圖所示：圖43 下級單位VPN設(shè)置圖從圖44可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級機(jī)構(gòu)通過網(wǎng)絡(luò)實現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。即在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺VPN認(rèn)證服務(wù)器（VPNCA），在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備，由上級的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。而INTERNET本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。4 網(wǎng)絡(luò)安全總體設(shè)計一個網(wǎng)絡(luò)系統(tǒng)的安全建設(shè)通常包括許多方面，包括物理安