【正文】 防雷(這一般屬于大樓防雷的部分)?！　?防電磁輻射　　普通的綜合布線系統(tǒng)通常都采用5類UTP的方式，由于電信號(hào)在傳輸時(shí)存在電磁場(chǎng)，并隨著信號(hào)的改變而改變磁場(chǎng)的強(qiáng)弱，而UTP本身沒有任何的屏蔽功能，因此容易被國(guó)外間諜機(jī)構(gòu)或不法分子采取電磁波復(fù)原的方法竊取重要機(jī)密信息，造成嚴(yán)重后果?！　?應(yīng)用　　根據(jù)XXX企業(yè)網(wǎng)絡(luò)的實(shí)際情況，需要在二、三、四樓共20個(gè)信息點(diǎn)上安裝隔離卡。同時(shí)，在隔離卡上接兩個(gè)硬盤，使一個(gè)計(jì)算機(jī)變?yōu)閮蓚€(gè)計(jì)算機(jī)使用，兩個(gè)硬盤上分別運(yùn)行獨(dú)立的操作系統(tǒng)?！　?隔離卡工作方式　　隔離卡上有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)接內(nèi)網(wǎng)，一個(gè)接外網(wǎng)。而現(xiàn)在的實(shí)際使用是采用手工拔插網(wǎng)線的方式進(jìn)行切換，這使得使用中非常不方便?！　?物理安全　　XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。對(duì)不同等級(jí)、類型的信息只允許相應(yīng)級(jí)別的人進(jìn)行審閱?！　?認(rèn)證、鑒別、數(shù)字簽名、抗抵賴　　由于XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)龐大，上面存在很多分級(jí)的重要信息。對(duì)重要備份數(shù)據(jù)的異地、多處備份(避免類似美國(guó)911事件為各公司產(chǎn)生的影響)　　 安全審計(jì)　　作為一個(gè)良好的安全系統(tǒng)，安全審計(jì)必不可少?！　　?備份數(shù)據(jù)的保管　　對(duì)存有備份數(shù)據(jù)的存儲(chǔ)介質(zhì)，應(yīng)保存在安全的地方，防火、防盜及各種災(zāi)害，并注意保存環(huán)境(溫度、濕度等)的正常?！　　?數(shù)據(jù)安全　　即數(shù)據(jù)在備份前是真實(shí)數(shù)據(jù)，沒有經(jīng)過篡改或含有病毒。在采取數(shù)據(jù)備份時(shí)應(yīng)該注意以下幾點(diǎn)：　　● 存儲(chǔ)介質(zhì)安全　　在選擇存儲(chǔ)介質(zhì)上應(yīng)選擇保存時(shí)間長(zhǎng)，對(duì)環(huán)境要求低的存儲(chǔ)產(chǎn)品，并采取多種存儲(chǔ)介質(zhì)備份?！　?數(shù)據(jù)備份　　作為國(guó)家機(jī)關(guān)，XXX企業(yè)內(nèi)部存在大量的數(shù)據(jù)，而這里面又有許多重要的、機(jī)密的信息。　　對(duì)郵件系統(tǒng)，可采取安裝專用郵件殺毒產(chǎn)品，通過在郵件服務(wù)器上安裝郵件殺毒程序，實(shí)現(xiàn)對(duì)內(nèi)部郵件的殺毒，保證郵件在收、發(fā)時(shí)都是經(jīng)過檢查的，確保郵件無毒?？稍诜?wù)器上安裝客戶端防病毒產(chǎn)品(客戶端殺毒軟件的工作模式是服務(wù)器端、客戶端的方式)的服務(wù)器端，由客戶端通過網(wǎng)絡(luò)與服務(wù)器端連接后進(jìn)行網(wǎng)絡(luò)化安裝?！　≡诜?wù)器上安裝單獨(dú)的服務(wù)器殺毒產(chǎn)品，對(duì)服務(wù)器進(jìn)行病毒保護(hù)?！　?yīng)用拓?fù)淙缦聢D：　　圖44病毒應(yīng)用拓?fù)鋱D　　在網(wǎng)絡(luò)骨干接入處，安裝防毒墻(即安裝有網(wǎng)關(guān)殺毒軟件的獨(dú)立網(wǎng)關(guān)設(shè)備)，由防毒墻實(shí)現(xiàn)網(wǎng)絡(luò)接入處的病毒防護(hù)?！　　?客戶端防毒?！　　?具有良好的可擴(kuò)充性，充分保護(hù)用戶的現(xiàn)有投資，適應(yīng) XXX網(wǎng)絡(luò)系統(tǒng)的今后發(fā)展需要　　 產(chǎn)品應(yīng)用　　根據(jù)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用特點(diǎn)，病毒防御可采取多種措施：　　● 網(wǎng)關(guān)防毒?！　　?完全自動(dòng)化的日常維護(hù)，便于進(jìn)行病毒碼及掃描引擎的更新?！　　?應(yīng)用經(jīng)由ICSA(國(guó)際電腦安全協(xié)會(huì))技術(shù)認(rèn)證的掃描引擎，保證對(duì)包括各種千面人病毒、變種病毒和黑客程序等具有最佳的病毒偵測(cè)率，除對(duì)已知病毒具備全面的偵防能力，對(duì)未知病毒亦有良好的偵測(cè)能力?！　　?所選用產(chǎn)品具備對(duì)多種壓縮格式文件的病毒檢測(cè)?！　　?充分考慮XXX網(wǎng)絡(luò)的系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對(duì)現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響?！　　?貫徹川大能士“層層設(shè)防，集中控管，以防為主、防治結(jié)合”的企業(yè)防毒策略。　　病毒對(duì)信息系統(tǒng)的正常工作運(yùn)行產(chǎn)生很大影響，據(jù)統(tǒng)計(jì)，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。具體而言，就是針對(duì)網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對(duì)應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。在選擇這些應(yīng)用系統(tǒng)時(shí)，應(yīng)當(dāng)盡量選擇國(guó)內(nèi)軟件開發(fā)商進(jìn)行開發(fā)，系統(tǒng)類型也應(yīng)當(dāng)盡量采用國(guó)內(nèi)自主開發(fā)的應(yīng)用系統(tǒng)。其中的用戶應(yīng)同時(shí)包括各級(jí)管理員用戶和各類業(yè)務(wù)用戶。一般用戶運(yùn)行在PC機(jī)上的NT平臺(tái)，在選擇性地用好NT安全機(jī)制的同時(shí)，應(yīng)加強(qiáng)監(jiān)控管理。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國(guó)外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患?！　?其它　　對(duì)復(fù)雜或有特殊要求的網(wǎng)絡(luò)環(huán)境，在采取安全措施上應(yīng)當(dāng)特殊考慮，增加新的安全措施。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長(zhǎng)期保持很高的安全性，而是隨著時(shí)間的推移和技術(shù)的發(fā)展而不斷下降的，同時(shí)，在使用過程中會(huì)出現(xiàn)新的安全問題，因此，作為安全系統(tǒng)建設(shè)的補(bǔ)充，采取相應(yīng)的措施也是必然。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動(dòng)功能)等方式進(jìn)行控制(即安全設(shè)備自適應(yīng)機(jī)制)，最后將攻擊行為進(jìn)行日志記錄以供以后審查。由于探測(cè)器采取的是監(jiān)聽而不是過濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。控制臺(tái)用作制定及管理所有探測(cè)器(網(wǎng)絡(luò)引擎)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補(bǔ)?！　　?網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高　　由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低?！　　?安全性高(可有效降低在安全設(shè)備使用上的配置漏洞)。　　詳細(xì)配置拓?fù)鋱D見圖4圖4圖43?！　　?網(wǎng)絡(luò)監(jiān)控。　　● 防止內(nèi)部主機(jī)的IP欺騙?！　　?控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò)?！　　?控制外部合法用戶對(duì)服務(wù)器的訪問?！　?訪問控制　　由于XXX企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。同時(shí)，每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對(duì)專業(yè)技術(shù)人員的要求，這對(duì)有著龐大下屬、分支機(jī)構(gòu)的單位來講將是一筆不小的費(fèi)用。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。　　其中，在各級(jí)中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：　　圖42 中心網(wǎng)絡(luò)VPN設(shè)置圖　　由一臺(tái)VPN管理機(jī)對(duì)CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理?！　∨cINTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問　　● 集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性?？蛇_(dá)到以下幾個(gè)目的：　　● 網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù)。根據(jù)XXX企業(yè)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：　　圖41三級(jí) VPN設(shè)置拓?fù)鋱D　　每一級(jí)的設(shè)置及管理方法相同?！　∮捎诂F(xiàn)在越來越多的政府、金融機(jī)構(gòu)、企業(yè)等用戶采用VPN技術(shù)來構(gòu)建它們的跨越公共網(wǎng)絡(luò)的內(nèi)聯(lián)網(wǎng)系統(tǒng)，因此在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來構(gòu)建內(nèi)聯(lián)網(wǎng)。通過公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。由于許多重要的信息都通過網(wǎng)絡(luò)進(jìn)行交換，　　 網(wǎng)絡(luò)傳輸　　由于XXX企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等?！　　?安全管理?！　　?應(yīng)用系統(tǒng)安全?！　? 網(wǎng)絡(luò)安全