【正文】 可以適應(yīng)于局域網(wǎng)、拔號上網(wǎng)、ISDN、寬帶等不同的網(wǎng)絡(luò)環(huán)境。兩種切換方式硬切（按鈕切換）和軟切（軟件切換）。并通過繼電器來控制內(nèi)網(wǎng)和外網(wǎng)間的硬盤轉(zhuǎn)換和網(wǎng)絡(luò)的連接，保證其工作狀態(tài)的穩(wěn)定性及可靠性能。從而最大限度地保證了安全（內(nèi)網(wǎng)）與非安全（外網(wǎng)）環(huán)境的物理隔離。l 采用“自適應(yīng)深度協(xié)議分析”技術(shù)，全面解析網(wǎng)絡(luò)傳輸信息；l 基于“計算滴”理念，充分利用系統(tǒng)資源，加速審計分析能力；l 基于“逐步細(xì)化、深入追蹤”理念，可以方便的追蹤特定網(wǎng)絡(luò)行為；l 以TOS（Topsec Operating System）為系統(tǒng)平臺，可以與防火墻等其他網(wǎng)絡(luò)設(shè)備聯(lián)動。產(chǎn)品特點對用戶的網(wǎng)絡(luò)行為監(jiān)控、網(wǎng)絡(luò)傳輸內(nèi)容審計 （如員工是否在工作時間上網(wǎng)沖浪、聊天，是否訪問不健康網(wǎng)站，是否通過網(wǎng)絡(luò)泄漏了公司的機(jī)密信息，是否通過網(wǎng)絡(luò)傳播了反動言論等）。TAW集內(nèi)容審計與行為監(jiān)控為一體，以旁路的方式部署在網(wǎng)絡(luò)中，具有及時的網(wǎng)絡(luò)數(shù)據(jù)采集能力、智能的信息處理能力、強(qiáng)大的審計分析功能。通過天融信網(wǎng)絡(luò)衛(wèi)士安全管理系統(tǒng)（TSM）基于狀態(tài)機(jī)的實時關(guān)聯(lián)檢測技術(shù)，對IDS的報警事件和其他事件進(jìn)行關(guān)聯(lián)分析，有效地提高了IDS檢測的準(zhǔn)確率。通過解碼基于SSL加密的訪問數(shù)據(jù)，分析、檢測SSL加密訪問中的攻擊行為，從而可以保護(hù)內(nèi)部提供SSL 加密訪問的重要服務(wù)器的安全性。產(chǎn)品特點通過特有的雙網(wǎng)卡分流重組技術(shù)，可以利用雙網(wǎng)卡分別處理上行和下行網(wǎng)絡(luò)流量，相當(dāng)于把網(wǎng)卡能力提升一倍，保證了網(wǎng)絡(luò)衛(wèi)士IDS高效的檢測性能。注：產(chǎn)品具體配置和性能參數(shù)詳見第三篇 入侵檢測IDS網(wǎng)絡(luò)衛(wèi)士（NetGuard）入侵檢測系統(tǒng)是北京天融信公司獲得多項國際、國內(nèi)安全認(rèn)證與獎項的新一代入侵檢測與防護(hù)系統(tǒng)。網(wǎng)絡(luò)衛(wèi)士系列防火墻的多級過濾形成了立體的、全面的訪問控制機(jī)制，實現(xiàn)了全方位的安全控制。l 多級過濾的立體訪問控制采用了多級過濾措施，以基于OS 內(nèi)核的核檢測技術(shù)為核心，提供從鏈路層到應(yīng)用層的全面安全控制。當(dāng)核心網(wǎng)絡(luò)中的某條鏈路產(chǎn)生故障時，網(wǎng)絡(luò)衛(wèi)士系列防火墻能夠動態(tài)的切換鏈路，實現(xiàn)數(shù)據(jù)的不間斷傳輸。l 適應(yīng)復(fù)雜的核心網(wǎng)絡(luò)核心網(wǎng)絡(luò)的安全性、穩(wěn)定性是當(dāng)今網(wǎng)絡(luò)的焦點，如何保證核心網(wǎng)絡(luò)的安全，保證數(shù)據(jù)的24小時傳輸成為網(wǎng)絡(luò)安全的最受關(guān)注的問題。用戶不需要更改網(wǎng)絡(luò)結(jié)構(gòu)和客戶端計算機(jī)的參數(shù)設(shè)置，只需要在網(wǎng)關(guān)防火墻處插入TOPSEC AV，即可對通過的數(shù)據(jù)進(jìn)行在線過濾。為企業(yè)提供簡便有效的病毒過濾功能，防止電腦病毒以及惡性程序的入侵。通過簡單的license控制，NGFW4000UF可以集成防火墻、VPN、SSLVPN、帶寬管理、反病毒、反垃圾郵件等眾多功能，是高性能的綜合性的網(wǎng)關(guān)產(chǎn)品。NGFW4000UF 系列是網(wǎng)絡(luò)衛(wèi)士系列防火墻的高端產(chǎn)品，是集成防火墻、VPN、SSLVPN、帶寬管理、反病毒、反垃圾郵件等多功能的綜合性網(wǎng)關(guān)產(chǎn)品，具有高性能、高可靠性、高安全性的特點，普遍適用于銀行、電信、教育等大型網(wǎng)絡(luò)系統(tǒng)，特別適用于網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜、應(yīng)用豐富、高帶寬、大流量的大中型企業(yè)骨干級網(wǎng)絡(luò)環(huán)境。網(wǎng)絡(luò)衛(wèi)士防火墻采用先進(jìn)的核檢測技術(shù)，突破了芯片設(shè)計、網(wǎng)絡(luò)通信、安全防御及內(nèi)容分析等諸多難點，實時進(jìn)行網(wǎng)絡(luò)行為、內(nèi)容和狀態(tài)分析，在網(wǎng)絡(luò)邊界布署應(yīng)用防護(hù)措施，確保企業(yè)網(wǎng)絡(luò)安全，而不會影響網(wǎng)絡(luò)性能。利用遠(yuǎn)程IP網(wǎng)實現(xiàn)異地容災(zāi)備份, 還能利用第三方備份軟件完成磁帶庫的備份。在市城管局?jǐn)?shù)據(jù)中心建設(shè)中我們將在SAN網(wǎng)絡(luò)中的光纖交換機(jī)上預(yù)留接口，可以通過專用光纖與檔案局災(zāi)備中心的連接，實現(xiàn)異地的數(shù)據(jù)備份，將數(shù)據(jù)復(fù)制和快照的結(jié)果保存到負(fù)責(zé)容災(zāi)備份的陣列或磁帶庫之中，使數(shù)據(jù)的更安全、更可靠。如圖： 遠(yuǎn)程災(zāi)備系統(tǒng)設(shè)計（參考）雖然我們在城管局機(jī)房中建立了完善的備份系統(tǒng)用來提高數(shù)據(jù)的安全性，但一些非人為所能抗拒的事物（如自然災(zāi)害、火災(zāi)等）存在，所以必須要考慮遠(yuǎn)程災(zāi)備系統(tǒng)。同時我們將利用市城管局原有的服務(wù)器在本地建立CA 前置平臺（注冊中心（ RA ）和PKI 平臺管理CA前置機(jī)）通過政府內(nèi)網(wǎng)專線和科信局CA中心接連，保證數(shù)據(jù)能時時同步。 CA系統(tǒng)設(shè)計（參考）由于需要考慮到系統(tǒng)的安全問題，所以在項目建設(shè)中需要考慮與市科信局CA中心互連，提供城市管理信息系統(tǒng)、OA系統(tǒng)、郵件系統(tǒng)等各類用戶的數(shù)字身份認(rèn)證手段,確保其訪問系統(tǒng)的合法性。此報告不僅可作為風(fēng)險評估的官方資料保存，也為以后的安全風(fēng)險評估提供參考和比較。將通過代價/利益分析來決定采用何種控制。在提出信息系統(tǒng)應(yīng)采取的保障措施時，將考慮下列因素：l 保障措施的有效性；l 保障措施的合法性；l 組織的安全策略；l 對系統(tǒng)運(yùn)行的影響；l 安全性和可信性。因為風(fēng)險評估的最終目的是為了提高信息系統(tǒng)的安全防范能力和降低信息系統(tǒng)的安全風(fēng)險。低如果信息系統(tǒng)的安全被評估為低風(fēng)險，信息系統(tǒng)負(fù)責(zé)人應(yīng)確定是采取行動進(jìn)行修補(bǔ)還是接受次風(fēng)險。風(fēng)險等級范圍及相應(yīng)對策風(fēng)險等級范圍描述及相應(yīng)對策高如果信息系統(tǒng)的安全被評估為高風(fēng)險，必須盡快地采取正確的行動方案。例如可將上表中的數(shù)值劃分為幾個范圍：l 高風(fēng)險：（100－50）；l 中風(fēng)險：（50－10）；l 低風(fēng)險：（10－0）。根據(jù)計算得出的風(fēng)險等級數(shù)值，表示了風(fēng)險的危害程度。下表示意的是一個33的矩陣，根據(jù)組織的復(fù)雜程度，還可采用44或55的矩陣。下表顯示了一個標(biāo)準(zhǔn)的風(fēng)險等級矩陣結(jié)構(gòu)。而威脅發(fā)生的可能性則與威脅源的能力和動機(jī)、信息系統(tǒng)的脆弱性和系統(tǒng)已實施的控制措施有關(guān)。低此類危害可對組織的資產(chǎn)和資源造成些許損失；對組織的業(yè)務(wù)、形象和利益產(chǎn)生一些影響。對于其它的一些危害，例如形象的損害、可信性損害、企業(yè)利益的損害等，由于無法按照數(shù)目字來進(jìn)行危害程度的劃分，則可將其按照高中低的級別進(jìn)行劃分，如下表所示：危害級別定義危害級別危害定義高此類危害可對組織的資產(chǎn)和資源造成巨大的損失；對組織的業(yè)務(wù)、形象和利益造成巨大的影響；可能造成人員的傷亡。復(fù)雜的系統(tǒng)危害可通過損失數(shù)目、修復(fù)系統(tǒng)的財務(wù)費(fèi)用以及修復(fù)系統(tǒng)所必須付出的時間和努力來計算。因此，完整性損失降低了信息系統(tǒng)的可信性；l 可用性損失：可用性是指授權(quán)實體按要求能夠使用信息資源（系統(tǒng)和數(shù)據(jù)）。從而對信息系統(tǒng)造成危害。如果系統(tǒng)和數(shù)據(jù)遭到非授權(quán)的修改，系統(tǒng)和數(shù)據(jù)的完整性就受到了損害。因此，在進(jìn)行危害分析時，需要與城管局進(jìn)行廣泛的交流以獲得良好的效果。則需要根據(jù)系統(tǒng)和數(shù)據(jù)所需的保護(hù)等級加以確定。資產(chǎn)評估報告則對系統(tǒng)和數(shù)據(jù)的重要性和敏感性進(jìn)行識別和定級。通過閱讀信息系統(tǒng)的文檔，例如系統(tǒng)危害報告和資產(chǎn)評估報告等，可以獲得上述文檔。本步驟的目的是確定某個威脅源/脆弱性產(chǎn)生的特定安全事件對信息系統(tǒng)造成危害的等級。下表列出了可參照的可能性等級。八、可能性評估信息系統(tǒng)安全危害發(fā)生的可能性與威脅源的動機(jī)和能力、系統(tǒng)脆弱性的性質(zhì)以及信息系統(tǒng)實施控制的有效性有關(guān)。安全需求清單可對信息系統(tǒng)的安全符合性和非符合性進(jìn)行驗證。預(yù)防性控制對違反信息系統(tǒng)安全策略的行為予以禁止，屬于此類的控制包括訪問控制、加密、身份認(rèn)證、防火墻等；檢測性控制對違反信息系統(tǒng)安全策略的行為給予報警，屬于此類的控制包括審計、入侵檢測和數(shù)據(jù)校驗等。本步驟的目的是對信息系統(tǒng)實施的或計劃實施的控制進(jìn)行核查以了解信息系統(tǒng)安全控制的強(qiáng)度和完備情況。 根據(jù)安全掃描報告、增強(qiáng)系統(tǒng)安全的建議方案和上述制定的安全解決方案對系統(tǒng)進(jìn)行安全修補(bǔ)，其中包括：l 安裝系統(tǒng)補(bǔ)丁；l 停止不需要的服務(wù)；l 替換有問題的軟件為同樣功能、但更安全的軟件；l 修改有安全問題的軟件配置；l 修補(bǔ)結(jié)束，得出安全修補(bǔ)實施報告，提交給用戶并確認(rèn)；l 依照日常安全評估制度，定期的對系統(tǒng)進(jìn)行上述的安全評估?；A(chǔ)架構(gòu)脆弱性評估內(nèi)容如下： 從管理層次出發(fā)，制定切實可行的日常安全評估制度，其中包括：l 建立客戶方與我方日常安全評估的例行制度；l 明確定義日常安全評估(服務(wù)實施的日程安排與計劃)；l 明確定義我方日常安全評估服務(wù)中涉及到的報告形式及內(nèi)容；l 明確定義日常安全評估服務(wù)所要達(dá)到的目標(biāo)； 從技術(shù)層次出發(fā)，建立標(biāo)準(zhǔn)的安全評估流程明確定義安全評估所涉及的過程及技術(shù)要求，其中包括：l 建立詳細(xì)完備的(用戶確認(rèn)制度)和簽字驗收制度；l 明確定義安全評估中(掃描代價分析)的方法與原則；l 明確定義安全評估中(掃描工具選擇)的原則；l 明確定義安全評估中(制定掃描方案)的原則；l 明確定義安全評估中(安全掃描的實施)原則；l 明確定義安全評估中實際掃描的實施技術(shù)要求；l 明確定義安全評估中制定(安全增強(qiáng)建議)方案的原則；l 明確定義安全評估中(安全修補(bǔ)方案)制定的原則；l 明確定義安全評估中涉及到的安全修補(bǔ)的實施原則；l 明確定義安全評估中涉及到的安全修補(bǔ)的實施技術(shù)要求； 從用戶需求、網(wǎng)絡(luò)現(xiàn)狀及以往安全評估結(jié)果出發(fā)，確定安全評估服務(wù)范圍，其中包括：l 確定需要進(jìn)行審計的網(wǎng)段并對該網(wǎng)段系統(tǒng)運(yùn)行情況分析得出審計準(zhǔn)備概要報告；l 在需要審計的網(wǎng)段內(nèi)，確定需要進(jìn)行安全評估的網(wǎng)絡(luò)設(shè)備，并列出這些網(wǎng)絡(luò)設(shè)備中需要審計的服務(wù)清單；l 對確定需要審計的網(wǎng)絡(luò)設(shè)備進(jìn)行掃描風(fēng)險性評估；l 在需要審計的網(wǎng)段內(nèi)，確定需要進(jìn)行安全評估的主機(jī)系統(tǒng)，并列出這些主機(jī)系統(tǒng)中需要審計的服務(wù)清單；l 對確定需要審計的主機(jī)系統(tǒng)進(jìn)行掃描風(fēng)險性評估；l 在需要審計的網(wǎng)段內(nèi)，確定需要進(jìn)行安全評估的應(yīng)用系統(tǒng)，并列出這些應(yīng)用系統(tǒng)中需要審計的服務(wù)清單；l 對確定需要審計的應(yīng)用系統(tǒng)進(jìn)行掃描風(fēng)險性評估；l 確定最終的安全掃描方案，包括需要檢查的項目，掃描的時間安排、從整體上進(jìn)行的掃描風(fēng)險評估及風(fēng)險對策；l 向用戶提交掃描方案，按照安全評估制度獲得用戶確認(rèn)； 根據(jù)掃描風(fēng)險評估報告，選用安全掃描工具進(jìn)行實際掃描l 分析比較各種安全掃描工具，得到各種安全掃描產(chǎn)品的優(yōu)缺點比較表；l 根據(jù)最終的安全掃描方案，以及掃描風(fēng)險評估，選定一個或多個合適的掃描工具；l 根據(jù)掃描方案中的檢查項目，利用選定的掃描工具，按照掃描的具體時間安排，進(jìn)行實際掃描的工作；l 對于實際掃描過程中出現(xiàn)的突發(fā)事件，采用掃描方案中的風(fēng)險對策或臨時制定的解決措施，及時、正確的給予解決，盡力確保不影響整個系統(tǒng)正常的運(yùn)營維護(hù)；l 根據(jù)掃描工具得出的掃描結(jié)果，從網(wǎng)絡(luò)系統(tǒng)、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)以及數(shù)據(jù)系統(tǒng)得出綜合的掃描結(jié)果報告。我方擁有一流的安全專家，在安全項目實施過程中，通過對網(wǎng)絡(luò)進(jìn)行安全評估，得出整個網(wǎng)絡(luò)安全狀態(tài)的評估報告，找出網(wǎng)絡(luò)的安全漏洞和隱患，并據(jù)此進(jìn)行安全項目的集成，以保障大型和復(fù)雜網(wǎng)絡(luò)環(huán)境的網(wǎng)絡(luò)安全。通過專業(yè)的脆弱性評估服務(wù)，使用一定的安全工具，自動或者手動檢測網(wǎng)絡(luò)和系統(tǒng)的實際安全狀況，對客戶的網(wǎng)絡(luò)安全情況進(jìn)行綜合評估。脆弱性評估服務(wù)是專業(yè)安全服務(wù)的重要組成部分。以此為依據(jù)給出市城管局的安全指數(shù)，明確市城管局網(wǎng)絡(luò)所面臨的外部威脅。系統(tǒng)安全需求符合性核查項目安全類別核查項目組織管理安全安全責(zé)任劃分信息系統(tǒng)可持續(xù)性支持事故響應(yīng)能力安