【正文】 關(guān)、遠(yuǎn)程移動用戶到網(wǎng)關(guān)的 VPN 隧道在具有 SCM 的解決方案中，支持靈活的移動用戶到移動用戶的隧道。接入支持 PPPOE 撥號接入支持網(wǎng)絡(luò)時鐘協(xié)議 SNTP，可以自動根據(jù) NTP 服務(wù)器的時鐘調(diào)整本機(jī)時間其它支持 IPX、NetBEUI 等非 IP 協(xié)議。支持 ARP 代理、 ARP 學(xué)習(xí)ARP可設(shè)置靜態(tài) ARP非 IP 協(xié)議 支持對非 IP 協(xié)議 IPX/NetBEUI 的傳輸與控制。支持 RIP、OSPF 等路由協(xié)議。端口阻斷：可以根據(jù)數(shù)據(jù)包的來源和數(shù)據(jù)包的特征進(jìn)行阻斷設(shè)置防御攻擊SYN 代理：對來自定義區(qū)域的 Syn Flood 攻擊行為進(jìn)行阻斷過濾支持使用一次性口令認(rèn)證（OTP）、本地認(rèn)證、雙因子認(rèn)證（SecureID）以及數(shù)字證書（CA）等常用的安全認(rèn)證方式支持使用第三方認(rèn)證如 RADIUS、TACACS/TACACS+ 、LDAP 、域認(rèn)證等安全認(rèn)證方式支持 Session 認(rèn)證、 HTTP 會話認(rèn)證支持認(rèn)證保活功能AAA 服務(wù)可將認(rèn)證用戶信息加密存放在本地數(shù)據(jù)庫支持雙向 NAT支持動態(tài)地址轉(zhuǎn)換和靜態(tài)地址轉(zhuǎn)換支持多對一、一對多和一對一等多種方式的地址轉(zhuǎn)換網(wǎng)絡(luò)安全性NAT支持虛擬服務(wù)器功能支持靜態(tài)路由、動態(tài)路由網(wǎng)絡(luò)適應(yīng)性 路由支持基于源/目的地址、接口、Metric 的策略路由網(wǎng)絡(luò)安全建設(shè)實(shí)施方案19支持單臂路由，可通過單臂模式接入網(wǎng)絡(luò)，并提供路由轉(zhuǎn)發(fā)功能。支持 URL 過濾支持對移動代碼如 Java applet、ActiveX、VBScript、Jscript、Java script的過濾支持對郵件的收發(fā)郵件地址、文件名、文件類型過濾支持對郵件主題、正文、收發(fā)件人、附件名、附件內(nèi)容等關(guān)鍵字匹配過濾內(nèi)容過濾動態(tài)端口支持協(xié)議：FTP、RTSP 、SQL*NET 、MMS、RPC(msrpc,dcerpc)、TFTP。產(chǎn)品功能：功能類別 功能項(xiàng) 功能細(xì)項(xiàng)網(wǎng)絡(luò)安全建設(shè)實(shí)施方案18工作模式 路由、透明、混合支持基于流、數(shù)據(jù)包、透明代理的過濾方式。同時，產(chǎn)生的日志能夠以多種方式導(dǎo)出，有利于網(wǎng)絡(luò)內(nèi)部署的安全集中管理平臺進(jìn)行統(tǒng)一的管理。防火墻系統(tǒng)提供了強(qiáng)大的日志功能，可對重要關(guān)鍵資源的使用情況進(jìn)行有效的監(jiān)控，實(shí)現(xiàn)日志的分級管理、自動報表、自動報警功能，用戶可以根據(jù)需要對不同的通訊內(nèi)容記錄不同的日志，包括會話日志（主要描述通訊的時間、源目地址、源目端口、通信流量、通訊協(xié)議等）和命令日志（主要描述使用了那些命令，執(zhí)行了那些操作） 。? 日志和審計(jì)策略一個安全防護(hù)體系中的審計(jì)系統(tǒng)的作用是記錄安全系統(tǒng)發(fā)生的事件、狀態(tài)的改變歷史、通過該節(jié)點(diǎn)的符合安全策略的訪問和不符合安全策略的企圖，使管理員可以隨時審核系統(tǒng)的安全效果、追蹤危險事件、調(diào)整安全策略。我們還可以定義任意兩個網(wǎng)絡(luò)對象之間通信時的最大帶寬。網(wǎng)絡(luò)安全建設(shè)實(shí)施方案17? 帶寬管理策略我們可以依據(jù)應(yīng)用需要來限制流量，來調(diào)整鏈路的帶寬利用。作為區(qū)域邊界保護(hù)的準(zhǔn)則，防火墻的訪問控制策略與業(yè)務(wù)的一致性是保證系統(tǒng)訪問控制策略是否得到實(shí)施的關(guān)鍵，因此對防火墻訪問控制策略的定期檢查和調(diào)整是區(qū)域邊界保護(hù)中要注意的問題。 本次項(xiàng)目我們將在實(shí)施的過程中，根據(jù)網(wǎng)絡(luò)的真實(shí)環(huán)境和應(yīng)用系統(tǒng)數(shù)據(jù)交互的實(shí)際需要，來制定詳細(xì)的訪問控制策略。? 訪問控制策略防火墻被部署后，將根據(jù)實(shí)際應(yīng)用需要定義適當(dāng)?shù)陌踩呗?，針對源地址、目的地址、網(wǎng)絡(luò)協(xié)議、服務(wù)、時間、帶寬等條件的實(shí)現(xiàn)訪問控制，確保不同網(wǎng)絡(luò)區(qū)域之間的授權(quán)、有序訪問，特別是防止互聯(lián)網(wǎng)中非法用戶的訪問或一些惡意的攻擊。網(wǎng)絡(luò)安全建設(shè)實(shí)施方案16針對公司辦公局域網(wǎng)的具體情況，我們建議制定以下的安全策略：? 安全區(qū)域隔離策略由于網(wǎng)絡(luò)安全的整體性要求，為了使網(wǎng)絡(luò)系統(tǒng)達(dá)到一定的安全水平，必須保證對網(wǎng)絡(luò)中各部分都采取了均衡的保護(hù)措施，但對于公司整個辦公網(wǎng)來說都采用相同的手段是不可能也沒有必要的，本辦公網(wǎng)可以采用的方法是根據(jù)網(wǎng)絡(luò)不同部分的重要性劃分為不同的安全區(qū)域，并著重對其中重要的安全區(qū)域進(jìn)行隔離和保護(hù)。從某公司網(wǎng)絡(luò)結(jié)構(gòu)和功能劃分上，可以看出，辦公網(wǎng)中的服務(wù)器區(qū)域是很重要的安全區(qū)域，這些服務(wù)器承載著整個公司全部網(wǎng)絡(luò)功能的需求，對網(wǎng)絡(luò)安全系數(shù)的要求很高，一旦重要服務(wù)器遭到攻擊破壞，將對整個公司的業(yè)務(wù)產(chǎn)生非常大的影響，所以可以在服務(wù)器交換機(jī)與核心交換機(jī)的連接中設(shè)置防火墻設(shè)備，根據(jù)用戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，提供內(nèi)外網(wǎng)絡(luò)通信，是必不可少的安全防御措施。? 產(chǎn)品在使用上應(yīng)具有友好的用戶界面，使用戶在管理、使用、維護(hù)上盡量簡單、直觀。? 采取核心保護(hù)策略，盡可能的以最小的投資達(dá)到最大的安全防護(hù)。（3） 可用性? 安全系統(tǒng)本身的可用性；? 安全管理友好，并于其他系統(tǒng)管理的有效集成；? 避免造成網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的復(fù)雜；網(wǎng)絡(luò)安全建設(shè)實(shí)施方案15? 盡量降低對原有網(wǎng)絡(luò)系統(tǒng)的性能影響和不影響應(yīng)用業(yè)務(wù)的開展。系統(tǒng)整體安全體系結(jié)構(gòu)圖見圖 1：網(wǎng)絡(luò)安全建設(shè)實(shí)施方案14W E B 服務(wù)器郵件服務(wù)器病毒服務(wù)器I N T E R N E T出口生產(chǎn)系統(tǒng)區(qū)辦公系統(tǒng)區(qū)入侵檢測系統(tǒng)安全審計(jì)系統(tǒng)K V M審計(jì)服務(wù)器網(wǎng)管工作站舊辦公區(qū)各個樓層交換入侵檢測系統(tǒng)入侵檢測系統(tǒng)公共系統(tǒng)區(qū)入侵檢測系統(tǒng)網(wǎng)絡(luò)管理區(qū)圖 1： 系統(tǒng)整體安全體系結(jié)構(gòu)示意圖 防火墻實(shí)施方案（1） 整體性? 安全防范體系的建立和多層保護(hù)的相互配合；? 實(shí)現(xiàn)技術(shù)、產(chǎn)品選型、質(zhì)量保證與技術(shù)服務(wù)的統(tǒng)一。B. 在系統(tǒng)當(dāng)中部署安全強(qiáng)審計(jì)系統(tǒng)。C. 服務(wù)器安全加固，對關(guān)鍵服務(wù)器進(jìn)行安全加固，保證服務(wù)器的安全使用和穩(wěn)固。B. 與客戶端一起，在系統(tǒng)內(nèi)所有服務(wù)器部署統(tǒng)一管理的終端安全防護(hù)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止服務(wù)器免受病毒的感染和傳播。B. 通過入侵檢測系統(tǒng)的部署，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴(kuò)展系統(tǒng)管理員的安全管理能力，提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。C. 在中心部署身份認(rèn)證登陸系統(tǒng)，終端必須通過身份認(rèn)證才能進(jìn)入，避免非法進(jìn)入。B. 在系統(tǒng)內(nèi)所有客戶端部署統(tǒng)一管理的終端安全防護(hù)系統(tǒng)。通過防病毒系統(tǒng)的統(tǒng)一部署，可以防止病毒的感染和傳播。其他服務(wù)器如數(shù)據(jù)庫服務(wù)器劃為 Data VLAN。辦公網(wǎng)可按各個職能來劃分 VLAN，如將領(lǐng)導(dǎo)所在的網(wǎng)絡(luò)單獨(dú)作為一個 Leader VLAN (LVLAN )，技術(shù)人員劃分為一個VLAN，工作人員劃分為一個 VLAN，而其它機(jī)構(gòu)分別劃作一個 VLAN。虛擬局域網(wǎng)可有效地解決廣播風(fēng)暴、廣播攻擊、充分利用網(wǎng)絡(luò)帶寬資源。為確保辦公網(wǎng)中各子網(wǎng)網(wǎng)絡(luò)安全建設(shè)實(shí)施方案12以及用戶之間的互聯(lián)互通和便于部署網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施，保證網(wǎng)絡(luò)正常、安全運(yùn)行，需要合理規(guī)劃、分配外網(wǎng)各部門的 IP 地址。遠(yuǎn)程訪問安全：進(jìn)行基本的安全配置。如：定期維護(hù)：及時安裝漏洞補(bǔ)丁，定期進(jìn)行完整性檢查、配置檢查、病毒檢查和漏洞掃描。? 操作系統(tǒng)安全目前用戶辦公計(jì)算機(jī)采用操作系統(tǒng)還主要基于 Windows 平臺。另一種數(shù)據(jù)保護(hù)是日志，數(shù)據(jù)庫實(shí)例都提供日志，用以記錄數(shù)據(jù)庫中所進(jìn)行的各種操作，包括修改、調(diào)整參數(shù)等，并在數(shù)據(jù)庫內(nèi)部建立一個所有作業(yè)的完整記錄。在此，特別強(qiáng)調(diào)對系統(tǒng)管理員和安全管理員兩個特殊賬戶的保密管理。數(shù)據(jù)庫具體安全要求：用戶角色的管理這是保護(hù)數(shù)據(jù)庫系統(tǒng)安全的重要手段之一。加強(qiáng)數(shù)據(jù)庫系統(tǒng)登陸權(quán)限管理，加強(qiáng)管理員登陸口令的管理以及數(shù)據(jù)庫遠(yuǎn)程訪問權(quán)限的管理，對數(shù)據(jù)庫采用備份與恢復(fù)機(jī)制。 系統(tǒng)安全系統(tǒng)安全包括數(shù)據(jù)庫安全和操作系統(tǒng)安全，下面分別闡述。訪問控制技術(shù)是保證網(wǎng)絡(luò)安全最重要的核心策略之一。系統(tǒng)訪問控制可以針對具體的一個文件或目錄授權(quán)給指定的人員相應(yīng)的權(quán)限，受派者在試圖訪問相應(yīng)信息時，需要驗(yàn)證身份、判別權(quán)限后才能進(jìn)行訪問。 訪問控制訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)最有效手段之一，據(jù)統(tǒng)計(jì)分析，完善的訪問控制策略可把網(wǎng)絡(luò)安全風(fēng)險降低 90%。為了防止業(yè)務(wù)數(shù)據(jù)的丟失和損壞而影響業(yè)務(wù)辦理，或者在數(shù)據(jù)出現(xiàn)意外事故時無法恢復(fù)，必須對數(shù)據(jù)庫進(jìn)行備份。保證應(yīng)用服務(wù)器能夠提供不間斷的服務(wù)。即兩臺服務(wù)器同時安裝備份系統(tǒng)，同時在線，互為備份。通過防盜措施，如裝備報警裝置防止設(shè)備被盜；通過對重要設(shè)備電源采用UPS 供電防止電源意外斷電中斷服務(wù)；通過對重要設(shè)備或線路冗余備份保持服務(wù)的可持續(xù)性。 安全實(shí)施方案 物理安全防護(hù)物理安全是整個系統(tǒng)安全的基礎(chǔ)，要把公司內(nèi)部局域網(wǎng)系統(tǒng)的安全風(fēng)險減至最低限度，需要選擇適當(dāng)?shù)募夹g(shù)和產(chǎn)品，保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。? 安全服務(wù)：安全服務(wù)包括安全培訓(xùn)、日常維護(hù)、安全評估、安全加固、緊急響應(yīng)等。網(wǎng)絡(luò)安全建設(shè)實(shí)施方案9? 制度建設(shè)：安全管理制度建設(shè)包括：人員管理制度、機(jī)房管理制度、卡機(jī)具生產(chǎn)管理制度、設(shè)備管理制度、文檔管理制度等的建設(shè)。? 安全審計(jì)：各應(yīng)用系統(tǒng)對各種訪問和操作要有完善的日志記錄，并提供相應(yīng)的審計(jì)工具。? 數(shù)據(jù)完整性：數(shù)據(jù)完整性指對辦公網(wǎng)絡(luò)中存儲、傳輸?shù)臄?shù)據(jù)進(jìn)行數(shù)據(jù)完整性保護(hù)。鑒于辦公網(wǎng)與互聯(lián)網(wǎng)相連，用戶數(shù)量較大的，基于數(shù)字證書（CA）的認(rèn)證體制將是理想的選擇。 應(yīng)用安全? 身份認(rèn)證：身份認(rèn)證用于保證身份的真實(shí)性。? 安全審計(jì)：用于事件追蹤。? 漏洞掃描：漏洞掃描用于及時發(fā)現(xiàn)操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)以及網(wǎng)絡(luò)協(xié)議安全漏洞，防止安全漏洞引起的安全隱患。? 網(wǎng)絡(luò)防病毒：網(wǎng)絡(luò)防病毒用于預(yù)防病毒在網(wǎng)絡(luò)內(nèi)傳播、感染和發(fā)作。網(wǎng)絡(luò)安全建設(shè)實(shí)施方案8? 邊界防護(hù)：邊界防護(hù)用于預(yù)防來自本安全域以外的各種惡意攻擊和遠(yuǎn)程訪問控制。 網(wǎng)絡(luò)安全與系統(tǒng)安全? 深層防御：深層防御就是采用層次化保護(hù)策略，預(yù)防能攻破一層或一類保護(hù)的攻擊行為，使之無法破壞整個辦公網(wǎng)絡(luò)。? 線路備份：線路備份主要是預(yù)防通信線路意外中斷。? 設(shè)備備份：設(shè)備備份用于預(yù)防關(guān)鍵設(shè)備意外損壞。? 機(jī)房監(jiān)控：機(jī)房監(jiān)控主要是預(yù)防盜竊、人為破壞、私自闖入等情況。通過容災(zāi)系統(tǒng)將這種“場地”故障造成的數(shù)據(jù)不可用性減到最小。這些場地問題包括：電力中斷——供電部門因各種原因長時間的中斷；電信中斷——各種原因造成的通信線路破壞；戰(zhàn)爭、地震、火災(zāi)、水災(zāi)等造成機(jī)房毀壞或不可用等。網(wǎng)絡(luò)安全建設(shè)實(shí)施方案7 安全需求分析基于上述的安全風(fēng)險分析，某股份有限公司信息系統(tǒng)必須采取相應(yīng)的應(yīng)對措施與手段，形成有效的安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急反應(yīng)能力，為整個信息系統(tǒng)建立可靠的安全運(yùn)行環(huán)境和安全業(yè)務(wù)系統(tǒng)，切實(shí)保障全公司信息系統(tǒng)正常、有序、可靠地運(yùn)行。? 缺少標(biāo)準(zhǔn)規(guī)范：系統(tǒng)缺乏總體論證，沒有或缺少相關(guān)的標(biāo)準(zhǔn)規(guī)范，各子系統(tǒng)各自為政，系統(tǒng)的互聯(lián)性差，擴(kuò)展性不強(qiáng)。? 人員安全意識淡薄：無意泄漏系統(tǒng)口令等系統(tǒng)操作信息，隨意放置操作員 IC 卡，私自接入外網(wǎng)，私自拷貝竊取信息，私自安裝程序，不按操作規(guī)程操作和越權(quán)操作，擅離崗位，沒有交接手續(xù)等，均會造成安全隱患。 安全管理? 安全管理組織不健全：沒有相應(yīng)的安全管理組織，缺少安全管理人員編制，沒有建立應(yīng)急響應(yīng)支援體系等。 網(wǎng)絡(luò)安全與系統(tǒng)安全? 互聯(lián)網(wǎng)安全隱患：互聯(lián)網(wǎng)會帶來的越權(quán)訪問、惡意攻擊、病毒入侵等安全隱患；? 搭線竊取的隱患：黑客或犯罪團(tuán)體通過搭線和架設(shè)協(xié)議分析設(shè)備非法竊取系統(tǒng)信息；? 病毒侵襲的隱患：病毒在系統(tǒng)內(nèi)感染、傳播和發(fā)作；? 操作系統(tǒng)安全隱患：操作系統(tǒng)可能的后門程序、安全漏洞、安全設(shè)置不當(dāng)、安全級別低等，缺乏文件系統(tǒng)的保護(hù)和對操作的控制，讓各種攻擊有可乘之機(jī)；? 數(shù)據(jù)庫系統(tǒng)安全隱患：不能實(shí)時監(jiān)控數(shù)據(jù)庫系統(tǒng)的運(yùn)行情況，數(shù)據(jù)庫數(shù)據(jù)丟失、被非法訪問或竊?。? 應(yīng)用系統(tǒng)安全隱患：應(yīng)用系統(tǒng)存在后門、因考慮不周出現(xiàn)安全漏洞等，網(wǎng)絡(luò)安全建設(shè)實(shí)施方案6可能出現(xiàn)非法訪問；? 惡意攻擊和非法訪問：拒絕服務(wù)攻擊，網(wǎng)頁篡改，下載不懷好意的惡意小程序，對系統(tǒng)進(jìn)行惡意攻擊，對系統(tǒng)進(jìn)行非法訪問等。? 設(shè)備正常損壞：設(shè)備軟 、硬件故障，造成設(shè)備不能正常工作。? 電力中斷：因電力檢修、線路或設(shè)備故障造成電力中斷。 安全風(fēng)險分析 物理安全物理安全層面存在下述威脅和風(fēng)險形式：? 機(jī)房毀壞：由于戰(zhàn)爭、自然災(zāi)害、意外事故造成機(jī)房毀壞，大部分設(shè)備損壞。2 網(wǎng)絡(luò)系統(tǒng)安全建設(shè) 安全現(xiàn)狀分析某股份有限公司依托于某整體規(guī)劃建設(shè)和發(fā)展，將承載著越來越多的港口業(yè)務(wù)等工作，特別是隨著信息化辦公的進(jìn)一步深入，自動化辦公的便利和效率可以說是公司發(fā)展壯大的必要手段；但是某股份有限公司辦公大樓是整個公司信息的核心地帶，不但為本地員工及另外一個園區(qū)的業(yè)務(wù)人員提供各種辦公應(yīng)用服務(wù)，而且在各地已經(jīng)或是將要成立辦事處，實(shí)現(xiàn)遠(yuǎn)程辦公，并且各個位置和部門的業(yè)務(wù)需求又不盡相同，在這種網(wǎng)絡(luò)結(jié)構(gòu)較為龐大，多層次、多應(yīng)用的網(wǎng)絡(luò)中，安全是一項(xiàng)很重要的任務(wù)和保證措施。網(wǎng)絡(luò)安全建設(shè)實(shí)施方案1網(wǎng)絡(luò)安全建設(shè)實(shí)施方案目錄1 概述 ...................................................................................................................................................3網(wǎng)絡(luò)安全建設(shè)實(shí)施方案22 網(wǎng)絡(luò)系統(tǒng)安全建設(shè) ................