【正文】 定級(jí)對(duì)象承載“相對(duì)獨(dú)立”的業(yè)務(wù)應(yīng)用是指其業(yè)務(wù)應(yīng)用的主要業(yè)務(wù)流程獨(dú)立，同時(shí)與其他業(yè)務(wù)應(yīng)用有少量的數(shù)據(jù)交換，定級(jí)對(duì)象可能會(huì)與其他業(yè)務(wù)應(yīng)用共享一些設(shè)備，尤其是網(wǎng)絡(luò)傳輸設(shè)備。應(yīng)避免將某個(gè)單一的系統(tǒng)組件，如服務(wù)器、終端、網(wǎng)絡(luò)設(shè)備等作為定級(jí)對(duì)象。如果一個(gè)單位的某個(gè)下級(jí)單位負(fù)責(zé)信息系統(tǒng)安全建設(shè)、運(yùn)行維護(hù)等過(guò)程的全部安全責(zé)任，則這個(gè)下級(jí)單位可以成為信息系統(tǒng)的安全責(zé)任單位；如果一個(gè)單位中的不同下級(jí)單位分別承擔(dān)信息系統(tǒng)不同方面的安全責(zé)任，則該信息系統(tǒng)的安全責(zé)任單位應(yīng)是這些下級(jí)單位共同所屬的單位。而不是根據(jù)國(guó)家標(biāo)準(zhǔn)，嚴(yán)格地評(píng)估信息系統(tǒng)受到破壞后的影響范圍和影響程度而確定。3 安全需求分析 系統(tǒng)定級(jí)建議信息系統(tǒng)定級(jí)是進(jìn)行等級(jí)保護(hù)設(shè)計(jì)的首要環(huán)節(jié)，根據(jù)國(guó)家信息安全等級(jí)保護(hù)實(shí)施指南，信息系統(tǒng)定級(jí)階段的目標(biāo)是信息系統(tǒng)運(yùn)營(yíng)、使用單位按照國(guó)家有關(guān)管理規(guī)范和GB/T AAAAAAAA，確定信息系統(tǒng)的安全保護(hù)等級(jí)，信息系統(tǒng)運(yùn)營(yíng)、使用單位有主管部門的，應(yīng)當(dāng)經(jīng)主管部門審核批準(zhǔn)。 內(nèi)部辦公系統(tǒng)內(nèi)部辦公系統(tǒng)主要是提供給員工進(jìn)行軟件和工具下載使用，沒(méi)有使用限制，只要是接入到公司內(nèi)網(wǎng)的終端均可上網(wǎng)下載，另外還有內(nèi)部考勤系統(tǒng)，經(jīng)過(guò)調(diào)查具體情況包括：文件服務(wù)采取標(biāo)準(zhǔn)的FTP服務(wù)器，提供給內(nèi)部辦公人員進(jìn)行軟件和工具的下載，設(shè)備型號(hào)為組裝的PC服務(wù)器，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，系統(tǒng)管理人員定期更新各類工具，系統(tǒng)沒(méi)有身份鑒別要求，只要是接入到辦公內(nèi)網(wǎng)的用戶均可使用FTP。 外部服務(wù)系統(tǒng)XXX公司提供對(duì)外服務(wù)的系統(tǒng)包括公司主頁(yè)系統(tǒng)、郵件系統(tǒng)和產(chǎn)品升級(jí)服務(wù)器，各系統(tǒng)的具體情況說(shuō)明如下：公司主頁(yè)系統(tǒng)系統(tǒng)主要實(shí)現(xiàn)了對(duì)外的信息發(fā)布、公司宣傳、XXX在線客服、公司技術(shù)論壇等欄目，通過(guò)Apache進(jìn)行主頁(yè)發(fā)布，并利用主頁(yè)系統(tǒng)開發(fā)了“及時(shí)雨”在線客服系統(tǒng)（相當(dāng)于及時(shí)通訊軟件），互聯(lián)網(wǎng)的訪客可通過(guò)該平臺(tái)進(jìn)行業(yè)務(wù)咨詢、技術(shù)咨詢和售后服務(wù)咨詢等；經(jīng)過(guò)調(diào)查，該系統(tǒng)的具體情況為：n 應(yīng)用系統(tǒng)為主頁(yè)發(fā)布，后臺(tái)無(wú)支持?jǐn)?shù)據(jù)庫(kù)；發(fā)布的信息大多以靜態(tài)文本的方式發(fā)送；n 主頁(yè)系統(tǒng)對(duì)互聯(lián)網(wǎng)用戶最大并發(fā)會(huì)話數(shù)有限制；n 主頁(yè)發(fā)布、“及時(shí)語(yǔ)”等應(yīng)用對(duì)互聯(lián)網(wǎng)完全開放，因此不需要進(jìn)行認(rèn)證即可進(jìn)行訪問(wèn)；技術(shù)論壇部分需要進(jìn)行認(rèn)證，認(rèn)證方式采用用戶名＋口令，互聯(lián)網(wǎng)訪問(wèn)用戶需要注冊(cè)信息（但是如果不注冊(cè)也可以訪問(wèn)論壇，但無(wú)法發(fā)表話題和回復(fù)話題）；n 主頁(yè)系統(tǒng)中的技術(shù)論壇，需要進(jìn)行認(rèn)證；并且用戶帳號(hào)是以明文的方式存放的；n 主頁(yè)技術(shù)論壇對(duì)用戶帳號(hào)沒(méi)有長(zhǎng)度和強(qiáng)度的建議；n 技術(shù)論壇沒(méi)有鎖定帳號(hào)的措施，系統(tǒng)連續(xù)多次錯(cuò)誤輸入，系統(tǒng)不會(huì)進(jìn)行任何處理；n 技術(shù)論壇也沒(méi)有超時(shí)退出措施，當(dāng)用戶認(rèn)證通過(guò)后長(zhǎng)時(shí)間沒(méi)有任何操作，論壇不會(huì)自動(dòng)退出；n 技術(shù)論壇的賬戶管理沒(méi)有設(shè)置組，對(duì)賬戶的管理只是針對(duì)到單個(gè)用戶；n 技術(shù)論壇管理員具有很高的權(quán)限，除了不能查看訪問(wèn)應(yīng)用系統(tǒng)用戶的口令以外，具有使用系統(tǒng)的所有權(quán)限；n 主頁(yè)服務(wù)器目前還沒(méi)有啟動(dòng)安全審計(jì)功能。該系統(tǒng)采用B/S結(jié)構(gòu)設(shè)計(jì)，設(shè)計(jì)語(yǔ)言為Perl，后臺(tái)數(shù)據(jù)庫(kù)為MySql，系統(tǒng)運(yùn)行在Linux服務(wù)器上，對(duì)外采用Apache進(jìn)行主頁(yè)發(fā)布。BUGzilla應(yīng)用系統(tǒng)該系統(tǒng)實(shí)現(xiàn)對(duì)產(chǎn)品BUG的管理，系統(tǒng)包含兩個(gè)部分，一是對(duì)研發(fā)體系外部開放，可進(jìn)行提交的外部BUG收集系統(tǒng)；另外是研發(fā)體系內(nèi)部使用的BUG跟蹤系統(tǒng)。根據(jù)調(diào)查該系統(tǒng)的基本情況為：n CVS為典型的文件管理類系統(tǒng)，后臺(tái)無(wú)數(shù)據(jù)庫(kù)支持；n 當(dāng)文件在局域網(wǎng)上傳輸，WinCVS客戶端軟件內(nèi)置了SSH，數(shù)據(jù)將以加密的方式從CVS服務(wù)器下載或上傳，保障了文件的傳輸安全性和完整性；n 系統(tǒng)內(nèi)根據(jù)目錄，將不同的代碼文件進(jìn)行歸類存放，不同級(jí)別的用戶有不同的權(quán)限，去訪問(wèn)不同的文件資源；n 處理的文件是XXX公司產(chǎn)品的核心代碼，是公司非常重要的數(shù)據(jù)；n 應(yīng)用系統(tǒng)對(duì)最大并發(fā)會(huì)話沒(méi)有限制；n 應(yīng)用系統(tǒng)對(duì)單個(gè)賬戶的多重登錄會(huì)話沒(méi)有判斷和限制；n 應(yīng)用系統(tǒng)的用戶帳號(hào)是采用加密的方式進(jìn)行存放的，除管理員以外的任何人都無(wú)法看到用戶帳號(hào)信息，并且管理員無(wú)法查看用戶的口令（但管理員可以重置用戶口令）；n 系統(tǒng)對(duì)密碼的長(zhǎng)度沒(méi)有任何約束，軟件中對(duì)密碼也沒(méi)有限制，但是管理員建議用戶采取復(fù)雜密碼，以防止密碼被竊??；n 系統(tǒng)對(duì)錯(cuò)誤的登錄沒(méi)有采取措施，當(dāng)多次登錄失敗時(shí)系統(tǒng)不會(huì)鎖定帳號(hào)；n 應(yīng)用系統(tǒng)也沒(méi)有超時(shí)退出措施，當(dāng)用戶認(rèn)證通過(guò)后長(zhǎng)時(shí)間沒(méi)有任何操作，系統(tǒng)不會(huì)自動(dòng)退出；n 系統(tǒng)對(duì)賬戶的管理采用分組的方式進(jìn)行，首先系統(tǒng)需要將各個(gè)代碼文件，按照代碼文件對(duì)應(yīng)的不同產(chǎn)品進(jìn)行分類，然后創(chuàng)建不同的目錄，將不同產(chǎn)品的代碼防止在不同目錄下；然后系統(tǒng)將目錄和組建立訪問(wèn)關(guān)系，建立成功后，對(duì)于不同目錄下的文件，只有對(duì)應(yīng)組下的用戶方可訪問(wèn)；n 此外，目錄下對(duì)組內(nèi)用戶的操作權(quán)限也有控制，共包含兩大類，一是讀取的權(quán)限；二是修改的權(quán)限；用戶根據(jù)分配到的權(quán)限可對(duì)代碼文件執(zhí)行不同的操作；n 如果應(yīng)用系統(tǒng)的訪問(wèn)用戶忘記密碼，可向管理員進(jìn)行申請(qǐng)，管理員對(duì)密碼進(jìn)行初始化后，再次由用戶登錄系統(tǒng)，對(duì)密碼進(jìn)行修改后可正常訪問(wèn)系統(tǒng)；n 管理員不能查看用戶設(shè)定的口令，除此之外可以執(zhí)行任何操作，沒(méi)有具體的限制；n 應(yīng)用系統(tǒng)支持比較好的審計(jì)功能，對(duì)文件的任何修改都將產(chǎn)生記錄，詳細(xì)記錄了文件修改的日期、時(shí)間、人員、修改內(nèi)容、修改結(jié)果等信息；但是審計(jì)記錄尚未有采取集中的方式；n 應(yīng)用系統(tǒng)的審計(jì)記錄主要是體現(xiàn)在版本控制上，僅提供查詢，不支持報(bào)表統(tǒng)計(jì)。XXX公司從2004起開始啟用此系統(tǒng)，研發(fā)人員在修改代碼時(shí)，首先將代碼從CVS服務(wù)器上獲取下到個(gè)人計(jì)算機(jī)，然后在個(gè)人計(jì)算機(jī)上進(jìn)行修改；修改完畢后再通過(guò)CVS上傳代碼，CVS會(huì)自動(dòng)記錄代碼文件的修改過(guò)程，進(jìn)行版本控制，如果需要不同版本的代碼文件時(shí)，可以從CVS服務(wù)器上找到。 研發(fā)應(yīng)用系統(tǒng)主要提供給研發(fā)體系進(jìn)行源代碼管理、BUG管理。安全專員同時(shí)負(fù)責(zé)公司業(yè)務(wù)持續(xù)性計(jì)劃的維護(hù)和更新。XXXEBS系統(tǒng)為B/S結(jié)構(gòu)，后臺(tái)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器采用兩臺(tái)IBM 55A小型機(jī)和一臺(tái)IBM DS4300磁盤陣列構(gòu)成雙機(jī)互備，用于生產(chǎn)系統(tǒng)；系統(tǒng)后臺(tái)采用ORACLE 9i，相對(duì)于金蝶和用友的管理軟件，該系統(tǒng)提供了更多的安全防護(hù)和控制技術(shù)。ORACLE EBS電子商務(wù)套件這是公司2007年7月上線的系統(tǒng)，已實(shí)施包括采購(gòu)、訂單、制造、財(cái)務(wù)（總帳、應(yīng)收、應(yīng)付、資產(chǎn)）和CRM（合同、工程實(shí)施、服務(wù)）模塊。 目前采用系統(tǒng)自身提供的口令身份認(rèn)證和業(yè)務(wù)權(quán)限管理功能。金蝶CRM系統(tǒng)這是公司2005年1月上線的系統(tǒng)，包括商機(jī)、合同等模塊，同樣由于XXX公司于2007年進(jìn)行信息化改造，將所有的相關(guān)業(yè)務(wù)全部移植到新的EBS系統(tǒng)中，因此該系統(tǒng)基本停用，但由于需要提供歷史數(shù)據(jù)查詢，因此也在繼續(xù)運(yùn)行。 目前采用系統(tǒng)自身提供的口令身份認(rèn)證和業(yè)務(wù)權(quán)限管理功能。金蝶K3系統(tǒng)這是公司2005年1月上線的系統(tǒng)，包括財(cái)務(wù)、生產(chǎn)制造、庫(kù)存、采購(gòu)、銷售等模塊，同樣由于XXX公司于2007年進(jìn)行信息化改造，將所有的相關(guān)業(yè)務(wù)全部移植到新的EBS系統(tǒng)中，因此該系統(tǒng)基本停用，則仍在部分使用采購(gòu)、庫(kù)存、銷售等模塊，此外也同樣需要提供歷史數(shù)據(jù)查詢，因此也在繼續(xù)運(yùn)行。目前采用U8本身提供的口令身份認(rèn)證和業(yè)務(wù)權(quán)限管理功能。由于XXX公司于2007年進(jìn)行信息化改造，將所有的相關(guān)業(yè)務(wù)全部移植到新的EBS系統(tǒng)中，因此該系統(tǒng)基本停用，但由于業(yè)務(wù)上需要查詢歷史數(shù)據(jù)（查詢歷史的財(cái)務(wù)數(shù)據(jù)、銷售數(shù)據(jù)等），因此仍在繼續(xù)運(yùn)行。 應(yīng)用系統(tǒng)描述XXX重要的應(yīng)用，從功能劃分上可以包含四個(gè)大類，分別是企業(yè)業(yè)務(wù)處理系統(tǒng)、辦公自動(dòng)化系統(tǒng)、研發(fā)應(yīng)用系統(tǒng)以及對(duì)外服務(wù)系統(tǒng)，其中企業(yè)業(yè)務(wù)處理系統(tǒng)包括了財(cái)務(wù)系統(tǒng)、客戶關(guān)系管理系統(tǒng)以及企業(yè)資源管理系統(tǒng)；辦公自動(dòng)化系統(tǒng)包含了內(nèi)部主頁(yè)系統(tǒng)、郵件系統(tǒng)以及考勤系統(tǒng)；研發(fā)應(yīng)用系統(tǒng)則包含了CVS系統(tǒng)和BUGzilla系統(tǒng)；對(duì)外服務(wù)系統(tǒng)則包含了公司的主頁(yè)發(fā)布系統(tǒng)、郵件系統(tǒng)以及升級(jí)服務(wù)器等。 信息安全管理平臺(tái)目前XXX公司已經(jīng)實(shí)施了對(duì)全網(wǎng)進(jìn)行安全事件管理的綜合平臺(tái)，采用XXX信息安全管理系統(tǒng)－TopAnalyzer，系統(tǒng)通過(guò)資產(chǎn)管理、安全事件管理、安全事件關(guān)聯(lián)分析、安全威脅管理等功能，對(duì)XXX的所有信息資產(chǎn)實(shí)現(xiàn)了全局的管理，系統(tǒng)通過(guò)監(jiān)控、分析和管理XXX信息網(wǎng)絡(luò)的整體安全態(tài)勢(shì)，依據(jù)BS7799安全管理標(biāo)準(zhǔn)，結(jié)合安全服務(wù)的最佳實(shí)踐，以風(fēng)險(xiǎn)管理為核心，通過(guò)深度數(shù)據(jù)挖掘、事件關(guān)聯(lián)等技術(shù)，實(shí)現(xiàn)了對(duì)XXX信息網(wǎng)絡(luò)內(nèi)部各類安全事件的集中管理和智能分析，提供多視角、實(shí)時(shí)動(dòng)態(tài)的企業(yè)風(fēng)險(xiǎn)現(xiàn)狀展示。n 系統(tǒng)資源管理，TopDesk系統(tǒng)為管理員提供了Agent管理、IP管理等功能，能對(duì)網(wǎng)絡(luò)內(nèi)的Agent進(jìn)行有效管理，避免IP地址混亂、非法接入等情況。n 桌面系統(tǒng)監(jiān)管，使管理員能夠輕松進(jìn)行局域網(wǎng)的管理維護(hù)，解決了桌面系統(tǒng)基礎(chǔ)信息難以及時(shí)、準(zhǔn)確掌控的問(wèn)題，規(guī)范了客戶端操作行為，提高了桌面系統(tǒng)的安全等級(jí)。針對(duì)桌面系統(tǒng)的補(bǔ)丁自動(dòng)檢測(cè)、下發(fā)和安裝，修復(fù)存在的安全漏洞。當(dāng)IDS檢測(cè)到報(bào)警后能夠與主機(jī)防火墻進(jìn)行聯(lián)動(dòng)，自動(dòng)阻斷外部攻擊行為。SSL VPN系統(tǒng)在業(yè)務(wù)服務(wù)器區(qū)域內(nèi)部署VONE網(wǎng)關(guān)，該網(wǎng)關(guān)集成了IPSEC VPN和SSL VPN的功能，這里主要針對(duì)小型的分支機(jī)構(gòu)（終端點(diǎn)數(shù)少）和移動(dòng)辦公人員，可通過(guò)SSL VPN來(lái)訪問(wèn)總部的業(yè)務(wù)服務(wù)器區(qū)域；配置SSL VPN的好處是不需要在遠(yuǎn)程終端上安裝任何硬件或軟件設(shè)備，只要遠(yuǎn)程終端接入到互聯(lián)網(wǎng)，那么可通過(guò)向SSL VPN網(wǎng)關(guān)發(fā)送HTTPS的訪問(wèn)請(qǐng)求即可，SSL VPN接收到請(qǐng)求并對(duì)數(shù)據(jù)進(jìn)行加密，以及完整性校驗(yàn)后，將訪問(wèn)請(qǐng)求轉(zhuǎn)發(fā)給業(yè)務(wù)服務(wù)器。 VPN系統(tǒng)在XXX信息網(wǎng)絡(luò)中采取的VPN有兩種技術(shù)，一是IPSEC VPN技術(shù)，主要是針對(duì)大型的分支機(jī)構(gòu)（比如廣州、上海、杭州、西安、武漢、沈陽(yáng)等）對(duì)總部局域網(wǎng)的訪問(wèn)，采用IPSEC VPN隧道進(jìn)行安全的遠(yuǎn)程訪問(wèn)；二是SSL VPN技術(shù)，主要是針對(duì)小型的分支機(jī)構(gòu)（比如南寧、昆明、貴陽(yáng)等）和移動(dòng)辦公人員對(duì)總部局域網(wǎng)的訪問(wèn)，采用SSL VPN技術(shù)實(shí)現(xiàn)安全的遠(yuǎn)程訪問(wèn)。四樓防火墻在四樓機(jī)房?jī)?nèi)部署的防火墻，在核心防火墻的基礎(chǔ)上，針對(duì)四樓的總裁辦公室、董事會(huì)、行政部、人力資源部、財(cái)務(wù)部、銷售中心、銷售管理部、市場(chǎng)部、戰(zhàn)略方案中心等辦公終端，執(zhí)行更細(xì)的訪問(wèn)控制規(guī)則，包括：n 允許四樓的辦公終端訪問(wèn)互聯(lián)網(wǎng)；n 允許四樓的辦公終端訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域的辦公自動(dòng)化系統(tǒng)；n 允許四樓的辦公終端訪問(wèn)訪問(wèn)外部服務(wù)器區(qū)域；n 允許總裁辦、銷售管理部、銷售中心、人力資源部訪問(wèn)KCRM以及EBS系統(tǒng)；n 允許財(cái)務(wù)部訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域的財(cái)務(wù)系統(tǒng)；n 允許運(yùn)維中心的終端安全管理平臺(tái)訪問(wèn)四樓的辦公終端區(qū)域；n 不允許其他任何訪問(wèn)；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計(jì)功能，公司也沒(méi)有配置全網(wǎng)的日志審計(jì)系統(tǒng)。該防火墻還針對(duì)外部服務(wù)器區(qū)域，執(zhí)行反向地址轉(zhuǎn)換策略，將公司主頁(yè)服務(wù)器、郵件服務(wù)器以及升級(jí)服務(wù)器的地址轉(zhuǎn)換為電信的互聯(lián)網(wǎng)地址，以提供給電信用戶以及使用電信寬帶的分支機(jī)構(gòu)來(lái)訪問(wèn)外部服務(wù)器區(qū)域；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過(guò)互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計(jì)功能，公司也沒(méi)有配置全網(wǎng)的日志審計(jì)系統(tǒng)。電信出口防火墻在作用和部署上類似與網(wǎng)通出口防火墻，主要是部署在XXX信息網(wǎng)絡(luò)的電信出口處，使用XXX百兆防火墻，使用設(shè)備的兩個(gè)端口分別連接互聯(lián)網(wǎng)、總部核心防火墻，針對(duì)南方使用電信鏈路的分支機(jī)構(gòu)，可通過(guò)該防火墻訪問(wèn)總部信息網(wǎng)絡(luò)，其執(zhí)行的訪問(wèn)規(guī)則包括：n 允許分支機(jī)構(gòu)（北方同樣使用電信鏈路的分支機(jī)構(gòu)）通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用電信鏈路的分支機(jī)構(gòu)）通過(guò)該防火墻訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域；n 允許使用電信寬帶訪問(wèn)互聯(lián)網(wǎng)用戶通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域。網(wǎng)通出口防火墻部署在XXX總部局域網(wǎng)的網(wǎng)通鏈路出口，使用XXX百兆防火墻，使用設(shè)備的三個(gè)端口分別連接互聯(lián)網(wǎng)、總部核心防火墻以及外部服務(wù)器區(qū)域，重點(diǎn)是實(shí)現(xiàn)對(duì)外部服務(wù)器的保護(hù)，同時(shí)配合核心防火墻，執(zhí)行更細(xì)的訪問(wèn)控制規(guī)則，包括：n 允許辦公終端通過(guò)該防火墻訪問(wèn)互聯(lián)網(wǎng)，許可的訪問(wèn)行為包括主頁(yè)訪問(wèn)、MSN、郵件、等，上班時(shí)間不允許進(jìn)行網(wǎng)游；不允許進(jìn)行P2P下載；n 不允許研發(fā)終端訪問(wèn)互聯(lián)網(wǎng)；n 允許辦公終端、研發(fā)終端通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用網(wǎng)通鏈路的分支機(jī)構(gòu)）通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 允許分支機(jī)構(gòu)（北方同樣使用網(wǎng)通鏈路的分支機(jī)構(gòu)）通過(guò)該防火墻訪問(wèn)業(yè)務(wù)服務(wù)器區(qū)域；n 允許互聯(lián)網(wǎng)用戶通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 不允許互聯(lián)網(wǎng)用戶通過(guò)該防火墻訪問(wèn)總部局域網(wǎng)的任何資源?？偛亢诵姆阑饓Σ渴鹪赬XX總部局域網(wǎng)的核心，相當(dāng)于作為核心交換機(jī)使用，采用XXX獵豹系列防火墻，使用設(shè)備的五個(gè)端口分別連接到辦公終端區(qū)域、研發(fā)終端（服務(wù)器）區(qū)域、業(yè)務(wù)服務(wù)器區(qū)域、網(wǎng)絡(luò)運(yùn)維區(qū)域以及網(wǎng)通互聯(lián)網(wǎng)出口；其訪問(wèn)控制規(guī)則包括：n 允許辦公終端通過(guò)該防火墻訪問(wèn)互聯(lián)網(wǎng)，許可的訪問(wèn)行為包括主頁(yè)訪問(wèn)、MSN、郵件、等，上班時(shí)間不允許進(jìn)行網(wǎng)游；不允許進(jìn)行P2P下載；n 不允許研發(fā)終端訪問(wèn)互聯(lián)網(wǎng)；n 允許辦公終端通過(guò)該防火墻訪問(wèn)外部服務(wù)器區(qū)域；n 允許指定的辦公終端訪問(wèn)EBS、K3系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（防火墻對(duì)訪問(wèn)來(lái)源不做任何限制，通過(guò)應(yīng)用系統(tǒng)的用戶認(rèn)證來(lái)鑒別訪問(wèn)者是許可的商務(wù)、銷售和財(cái)務(wù)等人員）；n 允許指定的辦公終端訪問(wèn)CRM系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（防火墻通過(guò)應(yīng)用系統(tǒng)的用戶認(rèn)證來(lái)鑒別訪問(wèn)者是許可的銷售等人員）；n 允許指定的辦公終端訪問(wèn)財(cái)務(wù)系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（通過(guò)應(yīng)用系統(tǒng)的用戶認(rèn)證來(lái)鑒別訪問(wèn)者是許可的銷售等人員）；n 允許運(yùn)行維護(hù)中心的管理平臺(tái)及管理終端訪問(wèn)其他任何區(qū)域；n 只允許辦公終端以及研發(fā)終端的AGENT訪問(wèn)運(yùn)行維護(hù)中心的管理服務(wù)器；n 不允許研發(fā)終端