【正文】 信息泄漏或非法攻擊。因此內(nèi)部網(wǎng)的安全風(fēng)險(xiǎn)更嚴(yán)重。隨著企業(yè)的發(fā)展壯大及移動(dòng)辦公的普及，xx逐漸形成了企業(yè)總部、各地分支機(jī)構(gòu)、移動(dòng)辦公人員這樣的新型互動(dòng)運(yùn)營(yíng)模式。各地機(jī)構(gòu)與總部之間的網(wǎng)絡(luò)連接安全直接影響企業(yè)的高效運(yùn)作。由于xx內(nèi)部網(wǎng)絡(luò)系統(tǒng)具有兩套網(wǎng)絡(luò)，這兩套網(wǎng)絡(luò)系統(tǒng)是完全物理隔離的，而企業(yè)內(nèi)部有部分用戶需要兩個(gè)網(wǎng)絡(luò)都要接入，這就涉及到兩個(gè)網(wǎng)絡(luò)之間的相互切換問(wèn)題。建議采用網(wǎng)絡(luò)隔離卡的方式來(lái)解決網(wǎng)絡(luò)切換的問(wèn)題。同時(shí)，在隔離卡上接兩個(gè)硬盤(pán)，使一個(gè)計(jì)算機(jī)變?yōu)閮蓚€(gè)計(jì)算機(jī)使用，兩個(gè)硬盤(pán)上分別運(yùn)行獨(dú)立的操作系統(tǒng)。根據(jù)xx網(wǎng)絡(luò)的實(shí)際情況，需要在二、三、四樓共20個(gè)信息點(diǎn)上安裝隔離卡。xx各級(jí)網(wǎng)絡(luò)內(nèi)部存在重要的信息點(diǎn)，如內(nèi)部核心應(yīng)用系統(tǒng)，環(huán)境等都需要保護(hù)，它主要包括三個(gè)方面： 1) 環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)(參見(jiàn)國(guó)家標(biāo)準(zhǔn)GB5017393《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB288789《計(jì)算站場(chǎng)地技術(shù)條件》、GB936188《計(jì)算站場(chǎng)地安全要求》)。對(duì)中心機(jī)房和關(guān)鍵信息點(diǎn)采取多種安全防范措施，確保非授權(quán)人員無(wú)法進(jìn)入。 3) 媒體安全：包括媒體數(shù)據(jù)的安全及媒體本身的安全。其次應(yīng)該考慮的是強(qiáng)有力的身份認(rèn)證，確保用戶的密碼不會(huì)被他人所猜測(cè)到。3) 對(duì)于應(yīng)用服務(wù)，我們應(yīng)該只開(kāi)放那些需要的服務(wù)，并隨時(shí)更新。4) 安裝并及時(shí)升級(jí)殺毒軟件以避免來(lái)自病毒的苦惱。針對(duì)xx的VLAN劃分情況，在某些情況下，它的一些局域網(wǎng)的某個(gè)網(wǎng)段比另一個(gè)網(wǎng)段更受信任，或者某個(gè)網(wǎng)段比另一個(gè)更敏感。將分散系統(tǒng)整合成一個(gè)異構(gòu)網(wǎng)絡(luò)系統(tǒng)，數(shù)據(jù)存儲(chǔ)系統(tǒng)整合成網(wǎng)絡(luò)數(shù)據(jù)中心，通過(guò)存儲(chǔ)局域網(wǎng)的形式對(duì)系統(tǒng)的各種應(yīng)用提供數(shù)據(jù)支持。使整個(gè)信息系統(tǒng)對(duì)數(shù)據(jù)的依賴程度越來(lái)越高?；诼?lián)動(dòng)聯(lián)防和網(wǎng)絡(luò)集中管理、監(jiān)控技術(shù)，本方案將所有網(wǎng)絡(luò)安全和數(shù)據(jù)安全產(chǎn)品有機(jī)的結(jié)合在一起，在漏洞預(yù)防、攻擊處理、破壞修復(fù)三方面給用戶提供整體的解決方案，能夠極大地提高系統(tǒng)防護(hù)效果，降低網(wǎng)絡(luò)管理的風(fēng)險(xiǎn)和復(fù)雜性。因?yàn)樵S多重要的信息都通過(guò)網(wǎng)絡(luò)進(jìn)行交換。通過(guò)公共線路建立跨越INTERNET的企業(yè)集團(tuán)內(nèi)部局域網(wǎng)，并通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)交換、信息共享。在本解決方案中對(duì)網(wǎng)絡(luò)傳輸安全部分推薦采用VPN設(shè)備來(lái)構(gòu)建內(nèi)聯(lián)網(wǎng)。根據(jù)企業(yè)三級(jí)網(wǎng)絡(luò)結(jié)構(gòu)，VPN設(shè)置如下圖所示：每一級(jí)的設(shè)置及管理方法相同?？蛇_(dá)到以下幾個(gè)目的：網(wǎng)絡(luò)傳輸數(shù)據(jù)保護(hù)：由安裝在網(wǎng)絡(luò)上的VPN設(shè)備實(shí)現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時(shí)采取加密或隧道的方式進(jìn)行傳輸；網(wǎng)絡(luò)隔離保護(hù)：與INTERNET進(jìn)行隔離，控制內(nèi)網(wǎng)與INTERNET的相互訪問(wèn)；集中統(tǒng)一管理，提高網(wǎng)絡(luò)安全性；降低成本(設(shè)備成本和維護(hù)成本)；其中，在各級(jí)中心網(wǎng)絡(luò)的VPN設(shè)備設(shè)置如下圖：由一臺(tái)VPN管理機(jī)對(duì)CA、中心VPN設(shè)備、分支機(jī)構(gòu)VPN設(shè)備進(jìn)行統(tǒng)一網(wǎng)絡(luò)管理。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。由于安全設(shè)備屬于特殊的網(wǎng)絡(luò)設(shè)備，其維護(hù)、管理需要相應(yīng)的專業(yè)人員，而采取這種管理方式以后，就可以降低下屬機(jī)構(gòu)的維護(hù)成本和對(duì)專業(yè)技術(shù)人員的要求，從而降低企業(yè)的成本。由于一般的安全產(chǎn)品在管理上是各自管理，因而很容易因?yàn)槟硞€(gè)設(shè)備的設(shè)置不當(dāng)，而使整個(gè)網(wǎng)絡(luò)出現(xiàn)重大的安全隱患。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對(duì)主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。通常，對(duì)網(wǎng)絡(luò)的訪問(wèn)控制最成熟的是采用防火墻技術(shù)來(lái)實(shí)現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個(gè)方面的要求：1)控制外部合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問(wèn)；2)控制外部合法用戶對(duì)服務(wù)器的訪問(wèn)；3)禁止外部非法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)；4)控制內(nèi)部用戶對(duì)外部網(wǎng)絡(luò)的網(wǎng)絡(luò)；5)阻止外部用戶對(duì)內(nèi)部的網(wǎng)絡(luò)攻擊；6)防止內(nèi)部主機(jī)的IP欺騙；7)對(duì)外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；8)網(wǎng)絡(luò)監(jiān)控；9)網(wǎng)絡(luò)日志審計(jì)。由于是采用一體化設(shè)備，比之傳統(tǒng)解決方案中采用防火墻和加密機(jī)兩個(gè)設(shè)備而言，其穩(wěn)定性更高，故障率更低。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)(IDS)可與安全VPN系統(tǒng)形成互補(bǔ)。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為?？刂婆_(tái)用作制定及管理所有探測(cè)器(網(wǎng)絡(luò)引擎)。由于探測(cè)器采取的是監(jiān)聽(tīng)而不是過(guò)濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過(guò)VPN設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽(tīng)，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過(guò)報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)(即IDS與VPN聯(lián)動(dòng)功能)等方式進(jìn)行控制(即安全設(shè)備自適應(yīng)機(jī)制)，最后將攻擊行為進(jìn)行日志記錄以供以后審查。由于網(wǎng)絡(luò)安全系統(tǒng)在建立后并不是長(zhǎng)期保持很高的安全性，而是隨著時(shí)間的推移和技術(shù)的發(fā)展而不斷下降的，同時(shí)，在使用過(guò)程中會(huì)出現(xiàn)新的安全問(wèn)題，因此，作為安全系統(tǒng)建設(shè)的補(bǔ)充，采取相應(yīng)的措施也是必然。（一）系統(tǒng)平臺(tái)安全各級(jí)網(wǎng)絡(luò)系統(tǒng)平臺(tái)安全主要是指操作系統(tǒng)的安全。企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用服務(wù)平臺(tái)中采用國(guó)內(nèi)自主開(kāi)發(fā)的安全操作系統(tǒng)，針對(duì)通用OS的安全問(wèn)題，對(duì)操作系統(tǒng)平臺(tái)的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計(jì)、加密算法及算法替換的支持和完整性保護(hù)等方面進(jìn)行安全改造和性能增強(qiáng)。（二）應(yīng)用平臺(tái)安全企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺(tái)安全，一方面涉及用戶