【正文】 ?！　?安全設(shè)計總體考慮　　根據(jù)XXX企業(yè)網(wǎng)絡(luò)現(xiàn)狀及發(fā)展趨勢，主要安全措施從以下幾個方面進(jìn)行考慮：　　l 網(wǎng)絡(luò)傳輸保護(hù)　　主要是數(shù)據(jù)加密保護(hù)　　l 主要網(wǎng)絡(luò)安全隔離　　通用措施是采用防火墻　　l 網(wǎng)絡(luò)病毒防護(hù)　　采用網(wǎng)絡(luò)防病毒系統(tǒng)　　l 廣域網(wǎng)接入部分的入侵檢測　　采用入侵檢測系統(tǒng)　　l 系統(tǒng)漏洞分析　　采用漏洞分析設(shè)備　　l 定期安全審計　　主要包括兩部分：內(nèi)容審計和網(wǎng)絡(luò)通信審計　　l 重要數(shù)據(jù)的備份　　l 重要信息點的防電磁泄露　　l 網(wǎng)絡(luò)安全結(jié)構(gòu)的可伸縮性　　包括安全設(shè)備的可伸縮性，即能根據(jù)用戶的需要隨時進(jìn)行規(guī)模、功能擴(kuò)展　　l 網(wǎng)絡(luò)防雷　　 網(wǎng)絡(luò)安全　　作為XXX企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級機(jī)構(gòu)網(wǎng)絡(luò)相連。而INTERNET本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果?？稍诿考壒芾碛騼?nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。即在每一級的中心網(wǎng)絡(luò)安裝一臺VPN設(shè)備和一臺VPN認(rèn)證服務(wù)器(VPNCA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺VPN設(shè)備，由上級的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對下一級的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理?！　∮砂惭b在網(wǎng)絡(luò)上的VPN設(shè)備實現(xiàn)各內(nèi)部網(wǎng)絡(luò)之間的數(shù)據(jù)傳輸加密保護(hù)，并可同時采取加密或隧道的方式進(jìn)行傳輸　　l 網(wǎng)絡(luò)隔離保護(hù)?！　 降低成本(設(shè)備成本和維護(hù)成本)。將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問、記錄日志?！　∠录墕挝坏腣PN設(shè)備放置如下圖所示：　　圖43 下級單位VPN設(shè)置圖　　從圖44可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級機(jī)構(gòu)通過網(wǎng)絡(luò)實現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可?！　∮捎诰W(wǎng)絡(luò)安全的是一個綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設(shè)備的管理就顯得尤為重要。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象。所以，在安全設(shè)備的選擇上應(yīng)當(dāng)選擇可以進(jìn)行網(wǎng)絡(luò)化集中管理的設(shè)備，這樣，由少量的專業(yè)人員對主要安全設(shè)備進(jìn)行管理、配置，提高整體網(wǎng)絡(luò)的安全性和穩(wěn)定性。通常，對網(wǎng)絡(luò)的訪問控制最成熟的是采用防火墻技術(shù)來實現(xiàn)的，本方案中選擇帶防火墻功能的VPN設(shè)備來實現(xiàn)網(wǎng)絡(luò)安全隔離，可滿足以下幾個方面的要求：　　l 控制外部合法用戶對內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)訪問。　　l 禁止外部非法用戶對內(nèi)部網(wǎng)絡(luò)的訪問?！　 阻止外部用戶對內(nèi)部的網(wǎng)絡(luò)攻擊?！　 對外隱藏內(nèi)部IP地址和網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)?！　 網(wǎng)絡(luò)日志審計?！　∮捎诓捎梅阑饓ΑPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：　　l 管理、維護(hù)簡單、方便?！　 硬件成本和維護(hù)成本低?！　?入侵檢測　　網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)安全是個整體的，必須配相應(yīng)的安全產(chǎn)品。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實時監(jiān)控、記錄，并按制定的策略實行響應(yīng)(阻斷、報警、發(fā)送Email)。入侵檢測系統(tǒng)一般包括控制臺和探測器(網(wǎng)絡(luò)引擎)。探測器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指令執(zhí)行相應(yīng)行為?！　∪肭謾z測系統(tǒng)的設(shè)置如下圖：　　從上圖可知，入侵檢測儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。　 漏洞掃描　　作為一個完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的安全措施，定期的安全評估及安全分析同樣相當(dāng)重要?！　”痉桨钢?，采用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整?！　?應(yīng)用系統(tǒng)安全　　 系統(tǒng)平臺安全　　XXX企業(yè)各級網(wǎng)絡(luò)系統(tǒng)平臺安全主要是指操作系統(tǒng)的安全。　　XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)在主要的應(yīng)用服務(wù)平臺中采用國內(nèi)自主開發(fā)的安全操作系統(tǒng)，針對通用OS的安全問題，對操作系統(tǒng)平臺的登錄方式、文件系統(tǒng)、網(wǎng)絡(luò)傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護(hù)等方面進(jìn)行安全改造和性能增強(qiáng)?！　?應(yīng)用平臺安全　　XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的應(yīng)用平臺安全，一方面涉及用戶進(jìn)入系統(tǒng)的身份鑒別與控制，以及使用網(wǎng)絡(luò)資源的權(quán)限管理和訪問控制，對安全相關(guān)操作進(jìn)行的審計等。另一方面涉及各種數(shù)據(jù)庫系統(tǒng)、WWW服務(wù)、EMAIL服務(wù)、FTP和TELNET應(yīng)用中服務(wù)器系統(tǒng)自身的安全以及提供服務(wù)的安全?！　?病毒防護(hù)　　因為病毒在網(wǎng)絡(luò)中存儲、傳播、感染的方式各異且途徑多種多樣，相應(yīng)地企業(yè)在構(gòu)建網(wǎng)絡(luò)防病毒系統(tǒng)時，應(yīng)利用全方位的企業(yè)防毒產(chǎn)品，實施“層層設(shè)防、集中控制、以防為主、防殺結(jié)合”的策略。本方案中在選擇殺毒軟件時應(yīng)當(dāng)注意幾個方面的要求：具有卓越的病毒防治技術(shù)、程序內(nèi)核安全可靠、對付國產(chǎn)和國外病毒能力超群、全中文產(chǎn)品，系統(tǒng)資源占用低，性能優(yōu)越、可管理性高，易于使用、產(chǎn)品集成度高、高可靠性、可調(diào)配系統(tǒng)資源占用率、便捷的網(wǎng)絡(luò)化自動升級等優(yōu)點?！　?系統(tǒng)設(shè)計原則　　為了更好的解決病毒的防范，一般要求病毒防范系統(tǒng)滿足如下要求：　　l 采用世界最先進(jìn)的防毒產(chǎn)品與XXX網(wǎng)絡(luò)網(wǎng)絡(luò)系統(tǒng)的實際需要相結(jié)合，確保XXX網(wǎng)絡(luò)系統(tǒng)具有最佳的病毒防護(hù)能力的情況下綜合成本最少。在XXX網(wǎng)絡(luò)中所有可能的病毒攻擊點或通道中設(shè)置對應(yīng)的防病毒軟件，通過這種全方位的、多層次的防毒系統(tǒng)配置，使企業(yè)網(wǎng)絡(luò)免遭所有病毒的入侵和危害?！　 應(yīng)用全球最為先進(jìn)的“實時監(jiān)控”技術(shù)，充分體現(xiàn)趨勢科技“以防為主”的反病毒思想?！　 所選用產(chǎn)品易于安裝、操作簡便、便于管理和維護(hù)，具有友好的用戶界面。強(qiáng)調(diào)在XXX網(wǎng)絡(luò)防毒系統(tǒng)內(nèi)，實施統(tǒng)一的防病毒策略、集中的防毒管理和維護(hù)，最大限度地減輕使用人員和維護(hù)人員的工作量?！　 提供良好的售后服務(wù)及技術(shù)支持?！　 服務(wù)器防毒?！　 郵件防毒。由于是安裝在網(wǎng)絡(luò)接入處，因此，對主要網(wǎng)絡(luò)協(xié)議進(jìn)行殺毒處理(SMTP、FTP、HTTP)?！　∮捎趦?nèi)部存在幾十個網(wǎng)絡(luò)客戶端，如采用普通殺毒軟件會造成升級麻煩、使用不便等問題。對產(chǎn)品升級，可通過在服務(wù)器端進(jìn)行設(shè)置，自動通過INETRNET進(jìn)行升級，再由客戶端到服務(wù)器端進(jìn)行升級，大大簡化升級過程，并且整個升級是自動完成，不需要人工操作。　　通過這種方法，可以達(dá)到層層設(shè)防的作用，最終實現(xiàn)病毒防護(hù)。而整個數(shù)據(jù)的安全保護(hù)就顯得特別重要，對數(shù)據(jù)進(jìn)行定期備份是必不可少的安全措施。如同時采用硬盤、光盤備份的方式?！　 備份過程安全　　確保數(shù)據(jù)在備份時是沒有受到外界任何干擾，包括因異常斷電而使數(shù)據(jù)備份中斷的或其它情況。同時對特別重要的備份數(shù)據(jù)，還應(yīng)當(dāng)采取異地備份保管的方式，來確保數(shù)據(jù)安全?！　∮捎赬XX企業(yè)是一個非常龐大的網(wǎng)絡(luò)系統(tǒng)，因而對整個網(wǎng)絡(luò)(或重要網(wǎng)絡(luò)部分)運(yùn)行進(jìn)行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數(shù)據(jù)進(jìn)行分析、比較，找出發(fā)生的網(wǎng)絡(luò)安全問題的原因，并可作為以后的法律證據(jù)或者為以后的網(wǎng)絡(luò)安全調(diào)整提供依據(jù)。同時，由于現(xiàn)在國家正在大力推進(jìn)電子政務(wù)的發(fā)展，網(wǎng)上辦公已經(jīng)越來越多的被應(yīng)用到各級政府部門當(dāng)中，因此，需要對網(wǎng)上用戶的身份、操作權(quán)限等