【正文】 雷的部分）。 防電磁輻射普通的綜合布線系統(tǒng)通常都采用5類UTP的方式，由于電信號在傳輸時(shí)存在電磁場，并隨著信號的改變而改變磁場的強(qiáng)弱，而UTP本身沒有任何的屏蔽功能，因此容易被國外間諜機(jī)構(gòu)或不法分子采取電磁波復(fù)原的方法竊取重要機(jī)密信息，造成嚴(yán)重后果。 應(yīng)用 根據(jù)XXX企業(yè)網(wǎng)絡(luò)的實(shí)際情況，需要在二、三、四樓共20個(gè)信息點(diǎn)上安裝隔離卡。同時(shí)，在隔離卡上接兩個(gè)硬盤，使一個(gè)計(jì)算機(jī)變?yōu)閮蓚€(gè)計(jì)算機(jī)使用，兩個(gè)硬盤上分別運(yùn)行獨(dú)立的操作系統(tǒng)。因此，本方案建議采用網(wǎng)絡(luò)隔離卡的方式來解決網(wǎng)絡(luò)切換的問題。 兩套網(wǎng)絡(luò)的相互轉(zhuǎn)換由于XXX企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)具有兩套網(wǎng)絡(luò)，這兩套網(wǎng)絡(luò)系統(tǒng)是完全物理隔離的，而企業(yè)內(nèi)部有部分用戶需要兩個(gè)網(wǎng)絡(luò)都要接入，這就涉及到兩個(gè)網(wǎng)絡(luò)之間的相互切換問題。對不同等級、類型的信息只允許相應(yīng)級別的人進(jìn)行審閱；對網(wǎng)上公文的處理采取數(shù)字簽名、抗抵賴等相應(yīng)的安全措施。由于XXX企業(yè)是一個(gè)非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對整個(gè)網(wǎng)絡(luò)（或重要網(wǎng)絡(luò)部分）運(yùn)行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。同時(shí)對特別重要的備份數(shù)據(jù)，還應(yīng)當(dāng)采取異地備份保管的方式，來確保數(shù)據(jù)安全。l 備份過程安全確保數(shù)據(jù)在備份時(shí)是沒有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況。如同時(shí)采用硬盤、光盤備份的方式。而整個(gè)數(shù)據(jù)的安全保護(hù)就顯得特別重要，對數(shù)據(jù)進(jìn)行定期備份是必不可少的安全措施。通過這種方法，可以達(dá)到層層設(shè)防的作用，最終實(shí)現(xiàn)病毒防護(hù)。對產(chǎn)品升級，可通過在服務(wù)器端進(jìn)行設(shè)置，自動(dòng)通過INETRNET進(jìn)行升級，再由客戶端到服務(wù)器端進(jìn)行升級，大大簡化升級過程，并且整個(gè)升級是自動(dòng)完成，不需要人工操作。由于內(nèi)部存在幾十個(gè)網(wǎng)絡(luò)客戶端，如采用普通殺毒軟件會(huì)造成升級麻煩、使用不便等問題。由于是安裝在網(wǎng)絡(luò)接入處，因此，對主要網(wǎng)絡(luò)協(xié)議進(jìn)行殺毒處理（SMTP、FTP、HTTP）。l 提供良好的售后服務(wù)及技術(shù)支持。強(qiáng)調(diào)在XXX網(wǎng)絡(luò)防毒系統(tǒng)內(nèi)，實(shí)施統(tǒng)一的防病毒策略、集中的防毒管理和維護(hù)，最大限度地減輕使用人員和維護(hù)人員的工作量。l 所選用產(chǎn)品易于安裝、操作簡便、便于管理和維護(hù)，具有友好的用戶界面。l 應(yīng)用全球最為先進(jìn)的“實(shí)時(shí)監(jiān)控”技術(shù)，充分體現(xiàn)趨勢科技“以防為主”的反病毒思想。在XXX網(wǎng)絡(luò)中所有可能的病毒攻擊點(diǎn)或通道中設(shè)置對應(yīng)的防病毒軟件，通過這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網(wǎng)絡(luò)免遭所有病毒的入侵和危害。 系統(tǒng)設(shè)計(jì)原則為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求：l 采用世界最先進(jìn)的防毒產(chǎn)品與XXX網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)的實(shí)際需要相結(jié)合，確保XXX網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒防護(hù)能力的情況下綜合成本最少。本方案中在選擇殺毒軟件時(shí)應(yīng)當(dāng)注意幾個(gè)方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對付國產(chǎn)和國外病毒能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動(dòng)升級等優(yōu)點(diǎn)。 病毒防護(hù)因?yàn)椴《驹诰W(wǎng)絡(luò)中存儲(chǔ)、傳播、感染的方式各異且途徑多種多樣，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時(shí)，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實(shí)施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW服務(wù)、EMAIL服務(wù)、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全以及提供服務(wù)的安全。 應(yīng)用平臺(tái)安全XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺(tái)安全，一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問控制，對安全相關(guān)操作進(jìn)行的審計(jì)等。XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用服務(wù)平臺(tái)中采用國內(nèi)自主開發(fā)的安全操作系統(tǒng)，針對通用OS的安全問題，對操作系統(tǒng)平臺(tái)的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計(jì)、加密算法及算法替換的支持和完整性保護(hù)等方面進(jìn)行安全改造和性能增強(qiáng)。 應(yīng)用系統(tǒng)安全 系統(tǒng)平臺(tái)安全XXX企業(yè)各級網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全主要是指操作系統(tǒng)的安全。本方案中，采用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動(dòng)提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。 漏洞掃描作為一個(gè)完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的安全措施，定期的安全評估及安全分析同樣相當(dāng)重要。入侵檢測系統(tǒng)的設(shè)置如下圖： 從上圖可知，入侵檢測儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。探測器（網(wǎng)絡(luò)引擎）用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。入侵檢測系統(tǒng)一般包括控制臺(tái)和探測器（網(wǎng)絡(luò)引擎）。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報(bào)警、發(fā)送Email）。 入侵檢測網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品。通常，對網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：l 控制外部合法用戶對內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問；l 控制外部合法用戶對服務(wù)器的訪問；l 禁止外部非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問；l 控制內(nèi)部用戶對外部網(wǎng)絡(luò)的網(wǎng)絡(luò)；l 阻止外部用戶對內(nèi)部的網(wǎng)絡(luò)攻擊；l 防止內(nèi)部主機(jī)的IP欺騙；l 對外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；l 網(wǎng)絡(luò)監(jiān)控；l 網(wǎng)絡(luò)日志審計(jì)；詳細(xì)配置拓?fù)鋱D見圖4圖4圖43。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對專業(yè)技術(shù)人員的要求，這對有著龐大下屬、分支機(jī)構(gòu)的單位來講將是一筆不小的費(fèi)用。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全?？蛇_(dá)到以下幾個(gè)目的：l 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù)；由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸l 網(wǎng)絡(luò)隔離保護(hù)；與INTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問l 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性；l 降低成本（設(shè)備成本和維護(hù)成本）；其中，在各級中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：圖42 中心網(wǎng)絡(luò)VPN設(shè)置圖由一臺(tái)VPN管理機(jī)對CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。根據(jù)XXX企業(yè)三級網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：圖41三級 VPN設(shè)置拓?fù)鋱D每一級的設(shè)置及管理方法相同。由于現(xiàn)在越來越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來構(gòu)建內(nèi)聯(lián)網(wǎng)。通過公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。根據(jù)X