【正文】 的方法，并且在每個層面上進行細致的分析，根據(jù)風險分析的結果及目前主要面 10 臨的問題設計出符合具體實際的、可行的網(wǎng)絡安全整體解決方案。如： ? 設備被盜、被毀壞 ? 鏈路老化或被有意或者無意的破壞 ? 因電子輻射造成信息泄露 ? 設備意外故障、停電 ? 地震、火災、水災等自然災害 因此，法院網(wǎng)絡在網(wǎng)絡安全考慮時，首先要考慮物理安全。2. 網(wǎng)絡層安全風險分析? 重要數(shù)據(jù)被破壞由于目前尚無安全的數(shù)據(jù)庫及個人終端安全保護措施，還不能抵御來自網(wǎng)絡上的各種對數(shù)據(jù)庫及個人終端的攻擊。存儲數(shù)據(jù)對于法院來說極為重要，如果由于通信線路的質量原因或者人為的惡意篡改，都將導致難以想象的后果，這也是網(wǎng)絡犯罪的最大特征。3. 應用層安全風險分析由于法院對外提供網(wǎng)上 WWW 服務，因此存在外網(wǎng)非法用戶對內部網(wǎng)和服務器的攻擊。這樣非法用戶通過網(wǎng)絡竊聽，非法數(shù)據(jù)庫訪問，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令， 11 可對資源非法訪問和越權操作。 ? 服務漏洞Web Server 目前正在成為法院對外宣傳、開展業(yè)務的基地，但公開服務器本身不能保證沒有漏洞，不法分子可能利用服務的漏洞修改頁面甚至破壞服務器。這就要求我們必須提高服務器的抗破壞能力，防止拒絕服務（DOS）或分布式拒絕服務（DDOS）之類的惡意攻擊，提高服務器備份與恢復、防篡改與自動修復能力。內部網(wǎng)用戶進行電子郵件發(fā)送和接收時存在被黑客跟蹤或收到一些惡意程序（如，特洛伊木馬、蠕蟲等） 、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統(tǒng)帶來不安全因素。1. 防火墻分系統(tǒng)訪問控制分系統(tǒng)是信息安全體系的基本組成要素，網(wǎng)絡層的訪問控制通過防火墻實現(xiàn)。法院信息網(wǎng)絡是一個綜合的網(wǎng)絡系統(tǒng)，存在著不同安全級別的網(wǎng)絡。防火墻是隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)。防火墻是建立在內部網(wǎng)絡與外部之 12 間的唯一安全通道，通過制定相應的安全規(guī)則，可以允許符合條件的數(shù)據(jù)進入，同時將不符合條件的數(shù)據(jù)拒之門外，即“法無許可即禁止” 。因此，防火墻的作用是防止不希望的、未授權的通信進出被保護的網(wǎng)絡，迫使單位強化自己的網(wǎng)絡安全策略。法院系統(tǒng)是一個業(yè)務非常重要，安全級別要求較高的網(wǎng)絡系統(tǒng)，在本方案中，我們建議法院內部網(wǎng)絡邊界處防火墻作為統(tǒng)一的接入控制設備，針對法院網(wǎng)絡系統(tǒng)，防火墻主要解決的問題如下：防止非法的訪問與數(shù)據(jù)包：一般來講，總是利用高端口發(fā)送數(shù)據(jù)包來進行攻擊行為，那么我們只需要封閉這些端口，或者一些沒有用處的協(xié)議（比如 ICMP協(xié)議） ，就能夠有效的防范攻擊，特別是外網(wǎng)用戶，由于在內部有各類應用服務，我們必須確保只有對應的服務才能經(jīng)過防火墻，而其他的訪問均被禁止，從而保護各類應用服務的安全。網(wǎng)頁訪問控制；WEB 認證、文件上傳下載控制、代理識別。包括制定安全策略、修改安全策略以及升級攻擊代碼庫等。 13 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡安全技術，目的是提供實時的入侵檢測及采取相應的防護手段，如發(fā)現(xiàn)違規(guī)訪問、阻斷網(wǎng)絡連接、內部越權訪問等，發(fā)現(xiàn)更為隱蔽的攻擊。 目前網(wǎng)絡入侵安全問題主要采用網(wǎng)絡入侵監(jiān)測系統(tǒng)等成熟產(chǎn)品和技術來解決。能及時識別各種黑客攻擊行為，發(fā)現(xiàn)攻擊時，阻斷弱化攻擊行為、并能詳細記錄，生成入侵檢測報告，及時向管理員報警。 ? 能夠支持大規(guī)模并行檢測，能夠方便地對大的網(wǎng)絡同時執(zhí)行多個檢測。 ? 檢測和掃描行為不能影響正常的網(wǎng)絡連接服務和網(wǎng)絡的效率。 ? 安全檢測策略可由用戶自行設定，對檢測強度和風險程度進行等級管理，用戶可根據(jù)不同需求選擇相應的檢測策略。 3. 防病毒網(wǎng)關分系統(tǒng)病毒是系統(tǒng)中最常見、威脅最大的安全來源，建立一個全方位的病毒防范系統(tǒng)是法院網(wǎng)絡系統(tǒng)安全體系建設的重要任務。 14 根據(jù)法院系統(tǒng)網(wǎng)絡結構和計算機分布情況，以及目前客戶端防病毒軟件安裝及使用不能完全防范病毒等現(xiàn)狀，利用邊界安全網(wǎng)關在網(wǎng)絡中的特殊位置，使得電腦病毒在進行擴散之前得到有效處理。病毒防護功能特色? 基于流、低延時、高并發(fā)、高性能的病毒過濾? 支持對大病毒文件也能檢測? 實時病毒連接阻斷，病毒事件記錄? 支持常見病毒傳輸協(xié)議 HTTP、FTP 及各種郵件協(xié)議掃描? 超過 40 萬的病毒特征庫，病毒庫定時自動更新? 支持應用處理模塊4. 內網(wǎng)機密信息安全訪問解決方案內網(wǎng)是一個完全獨立的網(wǎng)絡，因此數(shù)據(jù)在網(wǎng)絡平臺的傳輸過程相對比較安全，但是對于一些重要信息，尤其是一些機密信息，需要嚴格保證這些數(shù)據(jù)在傳輸過程中的安全。適用環(huán)境：移動辦公 SOHO，便攜筆記本。方案優(yōu)勢：? MSG4000 安全網(wǎng)關可同時提供 IPSec 和 SSL 兩種 VPN 接入方式，可以提供根據(jù)業(yè)務選擇不同的接入方式? SSL VPN 可以提供免安裝軟件接入，對于 B/S 模式的業(yè)務支持能力強，維護成本較低，但對于復雜業(yè)務的處理支持能力有限? 可以支持 USBSecKEY，RSA 等多種硬件認證方法，保證移動終端接入的可靠性? 接入方式靈活，支持 ADSL，GPRS，CDMA 1X，Modem 等多種移動接入方案5. 上網(wǎng)行為審計解決方案互聯(lián)網(wǎng)的興起與普及為人們的工作和生活提供了極大的便利，與此同時，經(jīng)由內部訪問互聯(lián)網(wǎng)導致的帶寬濫用、效率下降、信息泄漏、法律風險、安全隱患等問題日益凸顯。該功能通過對用戶的網(wǎng)絡訪問行為進行控制和管理，有效解決因接入互聯(lián)網(wǎng)而可能引發(fā)的各種問題，優(yōu)化對互聯(lián)網(wǎng)資源的應用。上網(wǎng)行為管理功能主要通過策略機制實現(xiàn)，網(wǎng)絡管理者可以針對不同用戶制定適合的上網(wǎng)行為管理策略規(guī)則，系統(tǒng)則會根據(jù)策略規(guī)則對網(wǎng)絡應用流量進行行為控制和管理。根據(jù)不同的協(xié)議及應用領域將網(wǎng)絡應用分為網(wǎng)絡游戲、即時通訊、在線炒股、P2P 協(xié)議、流媒體協(xié)議、其他協(xié)議、FTP 控制以及 HTTP 控制等等大類，每一大類中又包含若干具體的子應用和協(xié)議。 17 網(wǎng)頁內容控制策略規(guī)則網(wǎng)頁內容控制策略規(guī)則包括 URL 過濾策略規(guī)則和關鍵字過濾策略規(guī)則。URL 過濾策略規(guī)則可以基于系統(tǒng)預定義的 URL 類別和用戶自定義的 URL 類別，對用戶所訪問的網(wǎng)頁進行過濾。外發(fā)信息控制策略規(guī)則 18 外發(fā)信息控制策略規(guī)則包括 Email 控制策略規(guī)則和論壇發(fā)帖控制策略規(guī)則，能夠對用戶的外發(fā)信息進行控制。同時，能夠通過 SSL 代理功能控制 Gmail 加密郵件的發(fā)送。上網(wǎng)行為管理作為網(wǎng)絡層安全設計中一部分，與訪問控制、Qos、IPS 等模塊構成企業(yè)網(wǎng)絡出口的安全屏障。從而使網(wǎng)絡的安全性得到提高，使應用和用戶的行為能夠可視化。滿足法院局域網(wǎng)關鍵業(yè)務高可用性要求。對用戶接入的有效控制，符合策略的終端才能接入網(wǎng)絡。、 網(wǎng)絡精細化管理通過網(wǎng)絡精細化管理，能夠實時監(jiān)視所有設備的運行狀況，通過可視化的網(wǎng)絡拓撲界面幫助用戶及時了解網(wǎng)絡的變化。同時，豐富的歷史性能統(tǒng)計數(shù)據(jù)為用戶升級擴容網(wǎng)絡提供了客觀準確的參考。、 硬件配置建議序號 產(chǎn)品型號 描述數(shù)量價格合計核心交換機1 SM680008AMFSM680008AMF 交換機箱（含背板、防塵板），2 個主控插槽、2 個交換矩陣板插槽、8 個線卡插槽、1 個風扇插槽，8個電源插槽。建議配置兩條 DDR400512S，可選配一個 U 盤和一個 CF 卡。適用于 SM680008AMF、SM680016AMF2 　 0 20 4 SM68A24GET24GEFH24 端口千兆光接口（需配 SFP 光模塊）＋24 端口千兆電接口，可選配 POE 模塊， 該模塊可支持 3 個 POE。適用于 S680002A/04A/08A/16AMF 系列主機1 　 05 SM68ASIUH液晶顯示模塊,用于 SM680008AMF v1版、SM680016AMF V1 版，必配 1 張。適用于 S680002A/04A/08A/16AMF 系列主機。0 數(shù)量/總計 4 165。0 數(shù)量/總計 10 165。0 數(shù)量/總計 42 165。0 數(shù)量/總計 26 165。0 數(shù)量/總計 2 165。MyPower S6800 系列高性能電信級交換機采用先進的 200G 交換平臺，可以提供超大容量 L2/L3 層數(shù)據(jù)交換服務；采用 ATCA 理念，先進的電信級 %設備穩(wěn)定性設計，所有部件全冗余，主控卡和交換矩陣硬件分離；支持 MPLS 和 IPv6 數(shù)據(jù)的全分布式硬件線速處理，滿足核心層設備高密度、高吞吐量的 MPLS 和 IPv6 數(shù)據(jù)轉發(fā)要求；提供電信網(wǎng)絡的管理特性，通過 OAM 協(xié)議可以對網(wǎng)絡鏈路、業(yè)務、用戶端進行全面的管理。MyPower S6800 系列高性能電信級交換機分別提供 4 槽、8 槽、12 槽、20 槽四種機框滿足不同業(yè)務容量客戶的需求。采用 ATCA 架構設計的電信級交換平臺整個系統(tǒng)采用 ATCA 架構的理念，所有部件均提供雙冗余或者多冗余設計，支持電源冗余、管理模塊冗余、交換矩陣冗余、風扇冗余、鏈路冗余等；整個系統(tǒng)電源模塊、風扇模塊、所有業(yè)務板卡支持熱插拔；系統(tǒng)軟件支持優(yōu)雅重啟技術和在線升級功能，可以保證業(yè)務永不中斷；獨特的雙控制引擎互為備份設計，保證核心交換平臺具有苛刻電信級可靠性；獨立的交換網(wǎng)板卡，交換卡和控制引擎硬件相互獨立，可以提高設備的可靠性，同時為后續(xù)產(chǎn)品帶寬的持續(xù)升級提供保證。豐富的 MPLS 功能特性，可以滿足運營商 MPLS 城域網(wǎng)的要求，可以針對各類業(yè)務提供二、三層 MPLS VPN 功能。領先的電信級產(chǎn)品的易用性、可管理性通過獨立的機箱管理平面和液晶面板，能夠自動檢測和上報硬件故障，并進行相應的故障隔離，對電源管理、環(huán)境及熱點溫度監(jiān)控、風扇轉速自動調整，CPU 系統(tǒng)異常重啟前關鍵信息保存，便于后續(xù)故障分析和定位。全面支持 OAM、 OAM、 ITU OAM，提供多種設備級和網(wǎng)絡級的故障檢測手段?？刂破矫婧娃D發(fā)平面的物理隔離，控制平面和轉發(fā)平面的多級保護及安全性，可以有效的防止各類攻擊。 24 支持虛擬化功能，可以實現(xiàn)配置統(tǒng)一管理和數(shù)據(jù)同步功能支持虛擬化功能，可以將多臺交換機虛擬化為一臺交換機，進行統(tǒng)一管理和統(tǒng)一表項的數(shù)據(jù)轉發(fā)。多臺交換機堆疊后，可以實現(xiàn)主、從交換機的轉發(fā)表項的自動同步功能，以一臺交換機的方式進行數(shù)據(jù)轉發(fā)。支持跨設備的鏈路捆綁功能，可以滿足核心網(wǎng)絡的鏈路高速切換需求。通過加強核心設備的功能集成，將以前多種設備分布實現(xiàn)的業(yè)務功能，通過一臺 MyPower S6800 高性能交換機平臺來集中處理，既減少網(wǎng)絡復雜度，降低了用戶的維護工作量，又可以通過 MyPower S6800 高性能交換機平臺的高性能交換通道，提供一個高性能的數(shù)據(jù)轉發(fā)環(huán)境。全面的綠色環(huán)保設計延長核心交換平臺的壽命根據(jù) 10℃規(guī)律，半導體芯片的可靠性、使用壽命與工作溫度有著直接的關系，工作溫度每上升 10℃，半導體芯片可靠性降低一半，而工作溫度與設備的功耗成正比關系。低功耗設計不但大大增加高端設備的使用壽命和穩(wěn)定運行，在能源日益緊張的今天，同時也節(jié)約設備的運轉能耗，滿足綠色環(huán)保要求。產(chǎn)品規(guī)格硬件規(guī)格產(chǎn)品型號 S680002機框S680004 機框S680008機框S680016機框整機槽位數(shù) 4 8 12 20主控板槽位數(shù) 2 2 2 2交換板槽位數(shù) 0 2 2 2業(yè)務引擎槽位數(shù) 2 4 8 16電源槽位數(shù) 2 4 8 8交換容量 800Gbps 1600Gbps 3200Gbps 6400Gbps 25 轉發(fā)性能（IPv4） 952Mpps 1920Mpps 2400Mpps 7619Mpps轉發(fā)性能（IPv6） 952Mpps 1920Mpps 2400Mpps 7619MppsUSB 主控板上提供一個 USB 接口配置口 主控板上提供一個配置接口存儲卡 主控板上提供一個 CF 擴展接口外形尺寸（長寬高） 444x600x131（3U）444x600x310（7U）444x600x577（13U）444x600x977（22U）輸入電壓 AC：100～260V，50～60HzDC：–36～－72V功耗（非 POE 最大值） 200W 600W 1000W 1800W工作溫度： 0～45℃溫度存儲溫度：10～60℃工作濕度：10～90% 不結露濕度存儲濕度：10～90% 不結露散熱方式 風扇散熱軟件特性支持 MAC 地址學習數(shù)目限制；靜態(tài) MAC 配置；黑洞MACEther，Ether II、 VLAN（VLANBASED PORT VLAN、VOICE VLAN、Guest VLAN） 、QINQ、靈活的 QinQSTP/RSTP/MSTP；支持 BPDU TUNNEL；IGMP Snooping、GVRP LACP 二層聚合鏈路層協(xié)議與技術局域網(wǎng)多對一的端口鏡像，遠程端口鏡像 RSPAN，跨板的端口鏡像，不同速率的端口鏡像，支持基于流的鏡像，支持 26 跨網(wǎng)段的流鏡像功能 ERPAN基于端口的廣播流量抑制，基于端口的未知組播流量抑制，基于端口的未知單播流量抑制，基于端口絕對帶寬進行流量抑制，可按照 PPS 和 BPS 進行抑制ARP 功能 動態(tài)和靜態(tài) ARP、代理 ARP、免費 ARP靜態(tài)路由RIP v1/vRIPngOSPF vOSPFv3ISIS、I