【正文】 絡(luò)管理軟件配合完成，使信息系統(tǒng)管理人員對信息系統(tǒng)的運(yùn)行狀況一目了然。身份認(rèn)證可以通過應(yīng)用系統(tǒng)中的用戶管理系統(tǒng)實(shí)現(xiàn)，也可以通過專業(yè)的身份認(rèn)證系統(tǒng)，考慮到終端用戶對帳號、密碼的管理能力較差，建議可采用第三方生物識別設(shè)備實(shí)現(xiàn)終端用戶的帳號、密碼的管理。現(xiàn)在一般常用的數(shù)據(jù)保存方式都是通過磁盤陣列來完成，但是，磁盤陣列的穩(wěn)定性是不能保證的。重點(diǎn)加強(qiáng)核心系統(tǒng)的安全防護(hù)；對操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞及時(shí)的安裝補(bǔ)丁為防止核心系統(tǒng)的運(yùn)行出現(xiàn)固障，應(yīng)對核心系統(tǒng)所在的網(wǎng)絡(luò)線路進(jìn)行冗余設(shè)計(jì)，并對交換機(jī)、路由器設(shè)備進(jìn)行雙路冗余。第二：建立多層次、全方面的防病毒系統(tǒng) 根據(jù)病毒寄存的環(huán)境，在所有服務(wù)器和客戶機(jī)上安裝網(wǎng)絡(luò)版防毒系統(tǒng) 根據(jù)病毒傳播的途徑，在網(wǎng)關(guān)處安裝網(wǎng)關(guān)防毒網(wǎng)關(guān)，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時(shí)進(jìn)行有效的病毒防護(hù) 在內(nèi)部交換層，通過硬件的網(wǎng)絡(luò)防毒墻對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測，有效的進(jìn)行網(wǎng)絡(luò)層病毒、蠕蟲、惡意攻擊行為的防護(hù)，保護(hù)內(nèi)部網(wǎng)絡(luò)的穩(wěn)定與暢通。通過防火墻實(shí)現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為；通過防火墻驗(yàn)證訪問內(nèi)部的用戶身份、訪問權(quán)限等；通過入侵防護(hù)檢測訪問者的訪問行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進(jìn)行加密，可以通過防火墻的VPN模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。第三章 全面的信息絡(luò)安全體系設(shè)計(jì)要建立一套全面的信息安全系統(tǒng)，就要從自身的應(yīng)用狀況分析，分析可能存在安全漏洞，從重要性、緊迫性出發(fā)，逐一提供建設(shè)參考。下面列出部分這類新風(fēng)險(xiǎn)因素：信息安全可以從以下幾個方面來理解：1）網(wǎng)絡(luò)物理是否安全；2）網(wǎng)絡(luò)結(jié)構(gòu)是否安全；3）系統(tǒng)是否安全；4）應(yīng)用是否安全；5）管理是否安全。第二部分 技術(shù)方案第一章 信息安全風(fēng)險(xiǎn)分析隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶迅速增加，風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。我們相信本建議書中的設(shè)計(jì)能較好地滿足貴單位網(wǎng)絡(luò)系統(tǒng)的需求，并希望與貴公司有關(guān)領(lǐng)導(dǎo)及具體負(fù)責(zé)人進(jìn)一步進(jìn)行深入的討論。針對***酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀，我們從物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全方面對***酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析。通常酒店的網(wǎng)絡(luò)有兩部分：辦公網(wǎng)絡(luò)和客房網(wǎng)絡(luò)，為節(jié)約成本往往兩個網(wǎng)絡(luò)通過一條Internet出口連接互聯(lián)網(wǎng)，酒店網(wǎng)絡(luò)管理員希望充分保障辦公網(wǎng)絡(luò)的安全，不受外部網(wǎng)絡(luò)攻擊及客房網(wǎng)絡(luò)可能出現(xiàn)的病毒影響；客房用戶上網(wǎng)隨意性較大，需要帶寬管理措施來限制占用帶寬過高的用戶，并保障辦公網(wǎng)絡(luò)的網(wǎng)速正常。人們希望在任何地方、任何時(shí)候都可以通過網(wǎng)絡(luò)方便、快速地獲得所需要的信息，對于那些經(jīng)常出門在外的人，如果在暫住的酒店中能夠隨時(shí)訪問互聯(lián)網(wǎng)，對他們無疑將有著巨大的吸引力。*** 酒店網(wǎng)絡(luò)安全建議書目錄第一部分 簡述 ……………………………………………………………………………….2第一章 概述……………………………………………………………………………….2第二部分 技術(shù)方案……………………………………………………………………………..3第一章 信息安全風(fēng)險(xiǎn)分析……………………………………………………………….3第二章安全需求與目標(biāo)…………………………………………………………………..4第三章 全面的信息絡(luò)安全體系設(shè)計(jì)…………………………………………………….4第四章 ***酒店安全網(wǎng)絡(luò)設(shè)計(jì)…………………………………………………………….7第五章 防病毒產(chǎn)品設(shè)計(jì)方案…………………………………………………………….12. 網(wǎng)絡(luò)防病毒產(chǎn)品推薦 14 第六章 內(nèi)網(wǎng)管理產(chǎn)品設(shè)計(jì)方案2. 整體方案建議 16 . 整體防病毒體系建議 16 . 防病毒體系設(shè)計(jì)思路 16 . 產(chǎn)品部署建議 16 . 服務(wù)器防護(hù) 16 . 客戶機(jī)防護(hù) 18 . 網(wǎng)絡(luò)層防病毒 20 部署實(shí)施方案 22 （一）控制功能：細(xì)致的訪問控制功能，有效管理用戶上網(wǎng) 26 （二）監(jiān)控功能：完善的內(nèi)容過慮和訪問審計(jì)功能，防止機(jī)密信息泄漏 27 （三）報(bào)表功能：強(qiáng)大的數(shù)據(jù)報(bào)表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì) 27 （四）帶寬及流量管理功能：強(qiáng)大的QOS功能及流量分析 28 （五）負(fù)載均衡和高可用性 28 （六）豐富的外網(wǎng)安全功能：包括防火墻、VPN、IPS、網(wǎng)關(guān)殺毒及防垃圾郵件等 28 （一）深度的內(nèi)容檢測技術(shù)及在線網(wǎng)關(guān)監(jiān)控技術(shù)——及時(shí)封堵P2P、IM軟件 29 （二）流量控制管理 29 （三）郵件的延遲審計(jì)（專利技術(shù)） 30 （四）獨(dú)有的網(wǎng)絡(luò)訪問準(zhǔn)入規(guī)則（專利技術(shù)） 30 （五）WEB認(rèn)證技術(shù) 30 （六）高度集成，部署靈活 31 第七章 整體網(wǎng)絡(luò)應(yīng)用拓?fù)鋱D…………………………………………………………….32第八章 ***酒店安全服務(wù)……………………………………………………………… 33第九章 產(chǎn)品報(bào)價(jià)………………………………………………………………………..36第一部分 簡述 第一章 概述在當(dāng)今的信息時(shí)代，互聯(lián)網(wǎng)已經(jīng)成為很多人生活中不可分割的一部分。人們越來越習(xí)慣于利用互聯(lián)網(wǎng)進(jìn)行相互溝通和商務(wù)活動。為此，在酒店這個人員流動性非常大的公共場所為客人提供上網(wǎng)服務(wù)已成為現(xiàn)代酒店發(fā)展的必然趨勢，這也是酒店提高自身服務(wù)水平的重要標(biāo)志?！　【频暧脩袅鲃有院艽螅S身攜帶的移動電腦中經(jīng)常帶有病毒，一旦爆發(fā)將影響整個網(wǎng)絡(luò)的正常，例如常見的ARP地址欺騙病毒，當(dāng)中毒電腦冒充網(wǎng)關(guān)地址時(shí)，整個網(wǎng)絡(luò)的客戶端都將受此影響而無法訪問互聯(lián)網(wǎng)，因此急需有效的防內(nèi)部攻擊措施來保障網(wǎng)絡(luò)正常?；谝陨系男枨蠓治?，我們將重點(diǎn)考慮：保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性，保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性，防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問，防范入侵者的惡意攻擊與破壞，保護(hù)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性，防范計(jì)算機(jī)病毒的侵害，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)，實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理，建立相應(yīng)的遠(yuǎn)程安全管理通道和管理平臺，建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。我們有決心積極參加貴單位此次網(wǎng)絡(luò)安全建設(shè)項(xiàng)目，有信心圓滿完成貴單位的網(wǎng)絡(luò)安全建設(shè)工程。原來由單個計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對Internet安全政策的認(rèn)識不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重。1. 網(wǎng)絡(luò)物理安全：地震、火災(zāi)、雷電等2. 網(wǎng)絡(luò)安全：線路故障，路由、交換機(jī)設(shè)備損壞等3. 系統(tǒng)安全：應(yīng)用服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫故障等4. 應(yīng)用安全：黑客攻擊、非法入侵、病毒、惡意程序、應(yīng)用軟件故障、數(shù)據(jù)丟失泄密、帳號密碼丟失、軟件漏洞等5. 管理安全：內(nèi)部攻擊、誤操作、設(shè)備的破壞、惡意行為等第二章 安全需求與安全目標(biāo) 針對信息系統(tǒng)所面臨的安全分析，通過可能造系統(tǒng)安全的五個部分，如何進(jìn)行有效的防范，需從五方面進(jìn)行：1. 針對管理級安全：須建立一套完整可行的信息安全管理制度，通過有效的系統(tǒng)管理工具，實(shí)現(xiàn)系統(tǒng)的安全運(yùn)行管理與維護(hù)；2. 針對應(yīng)用級安全：須加強(qiáng)網(wǎng)絡(luò)防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、數(shù)據(jù)加密、身份認(rèn)證等，通過一系列信息安全軟硬件設(shè)備建設(shè)安全防護(hù)體系；3. 針對系統(tǒng)級安全：須加強(qiáng)對服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫的運(yùn)行監(jiān)測，加強(qiáng)系統(tǒng)補(bǔ)丁的管理，通過雙機(jī)（或兩套系統(tǒng)）的形式保證核心系統(tǒng)運(yùn)行，當(dāng)發(fā)生故障時(shí)，能及時(shí)的提供備用系統(tǒng)和恢復(fù)；4. 針對網(wǎng)絡(luò)級安全：須保證網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的運(yùn)行穩(wěn)定，對核心層的網(wǎng)絡(luò)設(shè)備和線路提供雙路的冗余；5. 針對物理級安全：須保證數(shù)據(jù)的安全和系統(tǒng)的及時(shí)恢復(fù)，加強(qiáng)數(shù)據(jù)的遠(yuǎn)程異地備份和系統(tǒng)的異地容災(zāi)。首先：區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對外接口（互聯(lián)網(wǎng)接口、上級門、下級單位、同級部門、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡(luò)），在對外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全。目前，大部分防火墻的功能差異并不太大，性能成為選擇防火墻的主要指標(biāo)，市場上的防火墻根據(jù)架構(gòu)的不同，可分為三大類：ASIC芯片、NP架構(gòu)、傳統(tǒng)的X86架構(gòu)，ASIC芯片級的防火墻把大部分處理通過芯片來完成，不再占用CPU資源，具有更好的處理性能。單機(jī)的問題并不能對網(wǎng)絡(luò)造成嚴(yán)重的問題，網(wǎng)絡(luò)中斷或癱瘓?jiān)斐傻膿p失是巨大的第三：加強(qiáng)核心網(wǎng)絡(luò)、核心應(yīng)用的安全防護(hù)核心網(wǎng)絡(luò)、服務(wù)器群是一個網(wǎng)絡(luò)的中心部分，應(yīng)更加注重安全的防范，為了防止來自外部和內(nèi)部的攻擊，應(yīng)在核心服務(wù)器群前安裝防火墻及入侵防護(hù)系統(tǒng)。同時(shí)，把安裝重要應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行雙機(jī)熱備所有數(shù)據(jù)通過磁盤陣列或磁帶機(jī)進(jìn)行存儲、備份對于網(wǎng)站系統(tǒng),可以通過主頁防篡改系統(tǒng)、防DOS攻擊系統(tǒng)加強(qiáng)對網(wǎng)站的防護(hù)第四：加強(qiáng)數(shù)據(jù)備份數(shù)據(jù)資源是一個單位的最為重要資源,。一般情況，可以通過磁帶機(jī)對磁盤陣列的數(shù)據(jù)進(jìn)行再次備份也可以通過另一臺磁盤陣列進(jìn)行數(shù)據(jù)的相互備份通過專用的備份軟件實(shí)現(xiàn)對數(shù)據(jù)庫、文件資源、應(yīng)用系統(tǒng)及整個的應(yīng)用服務(wù)系統(tǒng)進(jìn)行備份，并提供相應(yīng)用恢復(fù)方案為防止地震、火災(zāi)、雷電等自然災(zāi)害，須將重要數(shù)據(jù)在異地進(jìn)行備份，如果系統(tǒng)的運(yùn)行不能中斷，就需要在異地進(jìn)行系統(tǒng)的容災(zāi)第五：加強(qiáng)應(yīng)用系統(tǒng)的安全防護(hù)對于擁有獨(dú)立郵件系統(tǒng)的網(wǎng)絡(luò)需要加強(qiáng)垃圾郵件的過濾對于應(yīng)用系統(tǒng)必須加強(qiáng)用戶身份認(rèn)證，通過身份認(rèn)證控制用戶的使用權(quán)限。第六：加強(qiáng)網(wǎng)絡(luò)管理信息系統(tǒng)的安全只靠以上的安全設(shè)備是不能解決問題的，三分技術(shù)七分管理，必須加強(qiáng)對信息系統(tǒng)設(shè)備的管理以及用戶應(yīng)用的管理。網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具備和實(shí)現(xiàn) 獲取全網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，在網(wǎng)絡(luò)線路、基礎(chǔ)聯(lián)接層面了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況 監(jiān)控路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，監(jiān)測控制網(wǎng)絡(luò)流量，及時(shí)提供報(bào)警，并能方便的對網(wǎng)絡(luò)設(shè)備進(jìn)行系統(tǒng)配置和管理， 監(jiān)控服務(wù)器、主機(jī)、磁盤陣列的運(yùn)行狀況、網(wǎng)絡(luò)流量、資源占用等，及時(shí)提供報(bào)警，并能方便的對主機(jī)設(shè)備進(jìn)行配置和管理 監(jiān)控應(yīng)用系統(tǒng)的運(yùn)行狀況，對用戶進(jìn)行訪問控制、記錄訪問及操作日志 管理網(wǎng)絡(luò)中的所有終端設(shè)資源，方便進(jìn)行遠(yuǎn)程的管理和操作控制 監(jiān)測及控制終端用戶對電腦軟硬件資源的使用、應(yīng)用程序的使用、上網(wǎng)行為等操作行為 實(shí)現(xiàn)系統(tǒng)補(bǔ)丁管理、補(bǔ)丁分發(fā)，對操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行及時(shí)的補(bǔ)丁更新 限制不安全的設(shè)備的接入以上為網(wǎng)絡(luò)管理系統(tǒng)所須具備的功能，缺一不可，建議在選擇產(chǎn)品時(shí)，作為重要的參考依據(jù)。漏洞掃描系統(tǒng)就是檢查信息系統(tǒng)是否存在安全隱患的最佳工具，我們可以通過專用的漏洞掃描系統(tǒng)對網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)終端進(jìn)行全面的檢測，通過模擬黑客的進(jìn)攻方法，對被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描，提交風(fēng)險(xiǎn)評估報(bào)告，并提供相應(yīng)的整改措施。第八：安全管理及培訓(xùn) 制定并實(shí)施信息安全制度 加強(qiáng)網(wǎng)絡(luò)安全意識的教育和培養(yǎng) 加強(qiáng)網(wǎng)絡(luò)安全知識的培訓(xùn) 定期進(jìn)行終端安全產(chǎn)品的應(yīng)用操作指導(dǎo)第四章 ***酒店安全網(wǎng)絡(luò)設(shè)計(jì)一、 ***酒店需求分析自2003年新實(shí)行的星級酒店國家標(biāo)準(zhǔn)將提供寬帶上網(wǎng)服務(wù)列入了賓館酒店評星的考核內(nèi)容之一，短時(shí)間內(nèi)星級賓館酒店客房寬帶上網(wǎng)服務(wù)將基本普及，不同檔次的賓館酒店的流動人口可以在網(wǎng)絡(luò)上進(jìn)行各種各樣的網(wǎng)絡(luò)活動，因此一系列的網(wǎng)絡(luò)安全問題隨即出現(xiàn)：賓館酒店缺乏單位網(wǎng)絡(luò)信息備案；缺乏對房客互聯(lián)網(wǎng)的訪問管理；缺乏對出現(xiàn)問題的信息源定位，導(dǎo)致線索跟蹤的中斷；缺乏對各類站點(diǎn)的分類管理；缺乏對上網(wǎng)信息的收集、統(tǒng)計(jì)與分析，導(dǎo)致這部分的公共網(wǎng)絡(luò)信息管理處于真空狀態(tài)。主要網(wǎng)絡(luò)安全威脅由于網(wǎng)絡(luò)體系越來越復(fù)雜，應(yīng)用系統(tǒng)越來越多，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，再加上與Internet的連接，網(wǎng)絡(luò)用戶也已經(jīng)不單單是內(nèi)部用戶。具體分析，對網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素有：（1） 黑客的攻擊、入侵168。168。 把服務(wù)器當(dāng)作攻擊其它網(wǎng)絡(luò)（政府、金融）的跳板，攻擊其它服務(wù)器168。 通過網(wǎng)絡(luò)傳送的病毒和Internet的電子郵件夾帶的病毒。168。 造成數(shù)據(jù)丟失，機(jī)器、網(wǎng)絡(luò)系統(tǒng)癱瘓168。 內(nèi)部用戶的惡意攻擊、誤操作168。 工作學(xué)習(xí)時(shí)間無限制上網(wǎng)，游戲、聊天等（4） 系統(tǒng)存在的漏洞缺乏一套完整的安全策略、政策，缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性。 可能帶來的嚴(yán)重后果168。 由于病毒的侵害，造成文件丟失/損壞、硬件設(shè)備損壞造成重大損失168。 無限增加流量，造成重大經(jīng)濟(jì)損失168。 數(shù)據(jù)泄密、數(shù)據(jù)丟失 當(dāng)前網(wǎng)絡(luò)問題