【正文】 　　川大能士信息安全有限公司將在安裝現(xiàn)場(chǎng)對(duì)管理中心的管理人員進(jìn)行操作培訓(xùn)，采用授課與現(xiàn)場(chǎng)操作結(jié)合的形式。　　　　對(duì)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全設(shè)備管理人員進(jìn)行網(wǎng)絡(luò)安全管理培訓(xùn)，使其了解網(wǎng)絡(luò)安全的基本管理和技術(shù)知識(shí)。在保修期內(nèi)，如因川大能士的信息安全產(chǎn)品使網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障，除非出現(xiàn)人力不可抗拒的情況，川大能士保證在48小時(shí)內(nèi)到現(xiàn)場(chǎng)檢修或用相同產(chǎn)品更換故障設(shè)備。　　成都服務(wù)響應(yīng)中心：四川川大能士信息安全有限公司技術(shù)支持部　　成都科華北路99號(hào)　　郵政編碼：610065　　聯(lián)系電話：(028)5225532 5228756　　傳真：(028)5228480　　 備件倉(cāng)庫(kù)　　川大能士分別在成都和北京設(shè)有備件倉(cāng)庫(kù)，擁有充足的產(chǎn)品的備件，為客戶提供及時(shí)的維修服務(wù)。技術(shù)人員將回答客戶提出的各種技術(shù)問(wèn)題，并在客戶允許的情況下，進(jìn)行面對(duì)面的技術(shù)交流服務(wù)?！　 客戶響應(yīng)中心及用戶跟蹤服務(wù)制度?！　?保障機(jī)制　　l 產(chǎn)品符合國(guó)家技術(shù)及管理要求，具有相應(yīng)資質(zhì)。信號(hào)避雷器用于網(wǎng)絡(luò)防雷。入侵檢測(cè)儀網(wǎng)絡(luò)入侵行為檢測(cè)，并對(duì)攻擊行為作出阻隔、記錄、報(bào)警。由于網(wǎng)絡(luò)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用越來(lái)越廣泛，網(wǎng)絡(luò)安全的新的軟件、硬件、協(xié)議等漏洞不斷涌現(xiàn)，因此，對(duì)安全產(chǎn)品進(jìn)行升級(jí)是必不可少的。　　(4)安全設(shè)備的使用必須簡(jiǎn)便、實(shí)用?！　 安全設(shè)備的機(jī)械、電氣及電磁輻射性能必須符合國(guó)家標(biāo)準(zhǔn)，且能滿足全天候運(yùn)行的可靠性要求。　　l 安全設(shè)備遇故障工作失效，系統(tǒng)應(yīng)自動(dòng)轉(zhuǎn)為缺省禁止?fàn)顟B(tài)?！　〖夹g(shù)性原則　　(1) 安全設(shè)備必須具有自我系統(tǒng)保護(hù)能力?！　?10) 確保網(wǎng)絡(luò)系統(tǒng)的長(zhǎng)期安全。包括防電磁泄露、數(shù)據(jù)備份、防火、防盜等?！　?3) 確保XXX企業(yè)中心網(wǎng)絡(luò)系統(tǒng)與平級(jí)機(jī)構(gòu)等網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)連接安全?！　XX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全管理組織根據(jù)國(guó)家、各省有關(guān)的法律、法規(guī)和政策，在安全領(lǐng)導(dǎo)組織的領(lǐng)導(dǎo)下制定具體的安全管理制度，并進(jìn)行培訓(xùn)。　　在XXX企業(yè)主管部門直接領(lǐng)導(dǎo)下，自上而下地構(gòu)建層次清楚、職責(zé)明確的安全組織體系?！　徫皇荴XX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全管理部門根據(jù)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位，崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個(gè)序列，一個(gè)人可以負(fù)責(zé)一個(gè)或幾個(gè)安全崗位，但一個(gè)人不得同時(shí)兼任安全崗位所對(duì)應(yīng)的系統(tǒng)管理或具體業(yè)務(wù)崗位?！　“踩M織結(jié)構(gòu)　　XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全管理機(jī)構(gòu)設(shè)置為三個(gè)層次：決策層、管理層和執(zhí)行層。　　組織機(jī)構(gòu)體系指是XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事三個(gè)模塊構(gòu)成一個(gè)體系。中心機(jī)房處理秘密級(jí)、機(jī)密級(jí)信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。根據(jù)網(wǎng)絡(luò)連接線路的類型和帶寬選擇相應(yīng)的避雷器?！　「鶕?jù)XXX企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、物理結(jié)構(gòu)、電源結(jié)構(gòu)分析，防雷系統(tǒng)可采取兩級(jí)防雷措施。按照有關(guān)標(biāo)準(zhǔn)要求，必須在0區(qū)、1區(qū)、2區(qū)分別加裝避雷器(0區(qū)、1區(qū)、2區(qū)是按照雷電出現(xiàn)的強(qiáng)度劃分的)。因而對(duì)重要信息點(diǎn)的數(shù)據(jù)傳輸介質(zhì)應(yīng)采取相應(yīng)的安全措施，如使用屏蔽雙絞線等　　終端設(shè)備尤其是CRT顯示器均有程度不同的電磁輻射問(wèn)題，但又因終端分散使用不宜集中采用屏蔽室的辦法來(lái)防止，因此除要求在訂購(gòu)設(shè)備上盡量選取低輻射產(chǎn)品外，還應(yīng)根據(jù)保護(hù)對(duì)象分別采取主動(dòng)式的干擾設(shè)備(如干擾機(jī)來(lái)破壞對(duì)信息的偵竊)，或采用加裝帶屏蔽門窗的屏蔽室。這樣，可通過(guò)控制器進(jìn)行切換(簡(jiǎn)單的開關(guān)，類似電源開關(guān))，使計(jì)算機(jī)分別接到兩個(gè)網(wǎng)絡(luò)上。因此，本方案建議采用網(wǎng)絡(luò)隔離卡的方式來(lái)解決網(wǎng)絡(luò)切換的問(wèn)題。對(duì)網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應(yīng)的安全措施?！　∮捎赬XX企業(yè)是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對(duì)整個(gè)網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)運(yùn)行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過(guò)對(duì)記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問(wèn)題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)?！　 備份過(guò)程安全　　確保數(shù)據(jù)在備份時(shí)是沒(méi)有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況。而整個(gè)數(shù)據(jù)的安全保護(hù)就顯得特別重要，對(duì)數(shù)據(jù)進(jìn)行定期備份是必不可少的安全措施。對(duì)產(chǎn)品升級(jí)，可通過(guò)在服務(wù)器端進(jìn)行設(shè)置，自動(dòng)通過(guò)INETRNET進(jìn)行升級(jí)，再由客戶端到服務(wù)器端進(jìn)行升級(jí)，大大簡(jiǎn)化升級(jí)過(guò)程，并且整個(gè)升級(jí)是自動(dòng)完成，不需要人工操作。由于是安裝在網(wǎng)絡(luò)接入處，因此，對(duì)主要網(wǎng)絡(luò)協(xié)議進(jìn)行殺毒處理(SMTP、FTP、HTTP)?！　 服務(wù)器防毒。強(qiáng)調(diào)在XXX網(wǎng)絡(luò)防毒系統(tǒng)內(nèi)，實(shí)施統(tǒng)一的防病毒策略、集中的防毒管理和維護(hù)，最大限度地減輕使用人員和維護(hù)人員的工作量?！　 應(yīng)用全球最為先進(jìn)的“實(shí)時(shí)監(jiān)控”技術(shù)，充分體現(xiàn)趨勢(shì)科技“以防為主”的反病毒思想?！　?系統(tǒng)設(shè)計(jì)原則　　為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求：　　l 采用世界最先進(jìn)的防毒產(chǎn)品與XXX網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)的實(shí)際需要相結(jié)合，確保XXX網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒防護(hù)能力的情況下綜合成本最少?！　?病毒防護(hù)　　因?yàn)椴《驹诰W(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多種多樣，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略。　　 應(yīng)用平臺(tái)安全　　XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺(tái)安全，一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問(wèn)控制，對(duì)安全相關(guān)操作進(jìn)行的審計(jì)等?！　?應(yīng)用系統(tǒng)安全　　 系統(tǒng)平臺(tái)安全　　XXX企業(yè)各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全主要是指操作系統(tǒng)的安全?！?漏洞掃描　　作為一個(gè)完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的安全措施，定期的安全評(píng)估及安全分析同樣相當(dāng)重要。探測(cè)器(網(wǎng)絡(luò)引擎)用作監(jiān)聽(tīng)進(jìn)出網(wǎng)絡(luò)的訪問(wèn)行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見(jiàn)的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送Email)?！　 硬件成本和維護(hù)成本低?！　 網(wǎng)絡(luò)日志審計(jì)?！　 阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊。通常，對(duì)網(wǎng)絡(luò)的訪問(wèn)控制最成熟的是采用防火墻技術(shù)來(lái)實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：　　l 控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn)。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象?！　∠录?jí)單位的VPN設(shè)備放置如下圖所示：　　圖43 下級(jí)單位VPN設(shè)置圖　　從圖44可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過(guò)網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可?！　 降低成本(設(shè)備成本和維護(hù)成本)。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器(VPNCA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證服務(wù)器通過(guò)網(wǎng)絡(luò)對(duì)下一級(jí)的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理。而INTERNET本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受到來(lái)自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽(tīng)而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。　　 安全設(shè)計(jì)總體考慮　　根據(jù)XXX企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢(shì)，主要安全措施從以下幾個(gè)方面進(jìn)行考慮：　　l 網(wǎng)絡(luò)傳輸保護(hù)　　主要是數(shù)據(jù)加密保護(hù)　　l 主要網(wǎng)絡(luò)安全隔離　　通用措施是采用防火墻　　l 網(wǎng)絡(luò)病毒防護(hù)　　采用網(wǎng)絡(luò)防病毒系統(tǒng)　　l 廣域網(wǎng)接入部分的入侵檢測(cè)　　采用入侵檢測(cè)系統(tǒng)　　l 系統(tǒng)