【正文】 樓防火墻ETH1口VLAN 11市場部四樓防火墻ETH1口VLAN 12四層會議室四樓防火墻ETH1口VLAN 16安全集成、服務(wù)三樓防火墻ETH1口VLAN 17商務(wù)部三樓防火墻ETH1口VLAN 18 采購部三樓防火墻ETH1口VLAN 19生產(chǎn)部三樓防火墻ETH1口VLAN 20三層會議室三樓防火墻ETH1口VLAN 25戰(zhàn)略方案中心及五樓培訓(xùn)教室四樓防火墻ETH2口VLAN 26戰(zhàn)略方案中心及五樓培訓(xùn)教室四樓防火墻ETH2口VLAN 81研發(fā)總工辦五樓防火墻ETH2口VLAN 83研發(fā)管理部五樓防火墻ETH6口VLAN 87研發(fā)軟件平臺開發(fā)部五樓防火墻ETH5口VLAN 89研發(fā)軟件平臺開發(fā)部五樓防火墻ETH5口VLAN 91研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 92研發(fā)軟件平臺開發(fā)部五樓防火墻ETH5口VLAN 94研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 95研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口VLAN 96研發(fā)測試部五樓防火墻ETH1口VLAN 97應(yīng)用軟件研發(fā)部五樓防火墻ETH3口VLAN 98研發(fā)測試部五樓防火墻ETH1口VLAN 99研發(fā)服務(wù)器五樓防火墻ETH7口VLAN 100研發(fā)服務(wù)器五樓防火墻ETH7口VLAN 105研發(fā)安全管理、高端開發(fā)部五樓防火墻ETH4口 服務(wù)器設(shè)備情況XXX公司的服務(wù)器，按照其承載的應(yīng)用系統(tǒng)可劃分為六種類型，分別如下： 業(yè)務(wù)應(yīng)用服務(wù)器業(yè)務(wù)應(yīng)用系統(tǒng)包括用友U8系統(tǒng)，金蝶K3及CRM系統(tǒng)，ORACLE的EBS電子商務(wù)套件，服務(wù)器均部署在業(yè)務(wù)服務(wù)器區(qū)域，該類服務(wù)器包括：用友U8應(yīng)用服務(wù)器用友U8財務(wù)系統(tǒng)的應(yīng)用和數(shù)據(jù)庫都安裝在一臺服務(wù)器上，設(shè)備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進(jìn)行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點(diǎn)是用戶登錄日志；遠(yuǎn)程管理時采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行；金蝶K3應(yīng)用服務(wù)器系統(tǒng)與數(shù)據(jù)庫服務(wù)器均安裝在同一臺設(shè)備上，設(shè)備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進(jìn)行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點(diǎn)是用戶登錄日志；遠(yuǎn)程管理時采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行；金蝶CRM應(yīng)用服務(wù)器應(yīng)用服務(wù)器與數(shù)據(jù)庫分開安裝，設(shè)備型號為IBM Xseries 345，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進(jìn)行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點(diǎn)是用戶登錄日志。遠(yuǎn)程管理時采用SSL VPN＋Telnet的方式進(jìn)行。遠(yuǎn)程管理時采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行；內(nèi)部考勤服務(wù)器實(shí)現(xiàn)辦公考勤的應(yīng)用，設(shè)備型號為聯(lián)想PC服務(wù)器，操作系統(tǒng)為WINDOWS 2000 Advance Server SP4，數(shù)據(jù)庫為Sql Server，服務(wù)器的管理認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進(jìn)行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點(diǎn)是用戶登錄日志。遠(yuǎn)程管理時采用SSL VPN＋遠(yuǎn)程桌面的方式進(jìn)行。 研發(fā)服務(wù)器承載研發(fā)部門專用的CVS系統(tǒng)和BUGzilla系統(tǒng)的服務(wù)器，服務(wù)器均部署在研發(fā)專用機(jī)房內(nèi)，該類服務(wù)器包括：CVS應(yīng)用服務(wù)器該系統(tǒng)實(shí)現(xiàn)了對研發(fā)源代碼的管理，系統(tǒng)部署在研發(fā)服務(wù)器區(qū)域內(nèi)的7臺服務(wù)器上，服務(wù)器型號分別為IBM Server Xseries 335及IBM Server Xseries 305，操作系統(tǒng)為Rad Hat Linux ；系統(tǒng)對管理員的認(rèn)證方式為用戶名/口令方式，其口令強(qiáng)度有嚴(yán)格的要求，口令必須包含字母和數(shù)組以及特殊字符，防止被隨意破解；另外管理員定期檢查服務(wù)器的管理員帳號，對過期賬戶進(jìn)行刪除；服務(wù)器可通過本地局域網(wǎng)進(jìn)行管理，但不允許通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程訪問，管理方式采用SSH的方式，保障加密傳輸；另外沒有開啟日志服務(wù)器功能；服務(wù)器IP地址分別為：；服務(wù)器沒有啟用IP地址訪問控制，只通過用戶名和口令來認(rèn)證管理員身份；BUGzilla服務(wù)器該系統(tǒng)包含兩個部分，一部分是提供給技術(shù)服務(wù)中心來提交產(chǎn)品的BUG問題；另一部分是測試人員提交測試過程中發(fā)現(xiàn)的BUG，系統(tǒng)部署在研發(fā)服務(wù)器區(qū)域內(nèi)的2臺服務(wù)器上，系統(tǒng)采用B/S結(jié)構(gòu)，服務(wù)器型號為IBM Server Xseries 305，系統(tǒng)對管理員的認(rèn)證方式為用戶名/口令方式，其口令強(qiáng)度有嚴(yán)格的要求，口令必須包含字母和數(shù)組以及特殊字符，防止被隨意破解；另外管理員定期檢查服務(wù)器的管理員帳號，對過期賬戶進(jìn)行刪除；服務(wù)器可通過本地局域網(wǎng)進(jìn)行管理，管理方式采用SSH的方式，保障加密傳輸；另外沒有開啟日志服務(wù)器功能。服務(wù)器的型號為IBM Server Xseries 365，操作系統(tǒng)均為Windows 2003 Server，操作系統(tǒng)對管理員的登錄認(rèn)證方式為用戶名/口令方式，沒有做到分權(quán)管理；利用WINDOWS自帶的口令加密方式進(jìn)行保護(hù)；在管理上服務(wù)器采取高強(qiáng)度口令，并且能夠定期自動更新，對于過期賬戶通過人工方式進(jìn)行定期檢查，并及時刪除過期帳號，開啟了日志審計功能，審計重點(diǎn)是用戶登錄日志。安全管理及終端安全管理數(shù)據(jù)庫數(shù)據(jù)庫與應(yīng)用服務(wù)器分離，安裝數(shù)據(jù)庫的設(shè)備型號為IBM Server Xseries 365，操作系統(tǒng)為Windows 2003 Server，數(shù)據(jù)庫版本為Oracle 9i，服務(wù)器管理員認(rèn)證方式為用戶名/口令認(rèn)證，操作系統(tǒng)口令有明確的強(qiáng)度要求，并且系統(tǒng)管理員經(jīng)常定期更換操作系統(tǒng)口令；操作系統(tǒng)口令與數(shù)據(jù)庫口令分離，數(shù)據(jù)庫口令也有嚴(yán)格的強(qiáng)度要求，并且定期進(jìn)行更換；系統(tǒng)管理員還不定期地檢查數(shù)據(jù)庫過期賬戶，并及時刪除過期賬戶；服務(wù)器可以通過互聯(lián)網(wǎng)進(jìn)行遠(yuǎn)程管理，管理方式為SSL VPN遠(yuǎn)程管理 + TELNET；數(shù)據(jù)庫配置了日志審計功能，審計內(nèi)容僅包含登錄信息審計，對操作沒有審計措施；。分支機(jī)構(gòu)防火墻在各個分支機(jī)構(gòu)局域網(wǎng)的互聯(lián)網(wǎng)出口處部署XXX防火墻，對分支機(jī)構(gòu)的局域網(wǎng)進(jìn)行有效防護(hù)，其訪問控制規(guī)則為：n 允許分支機(jī)構(gòu)人員通過防火墻訪問互聯(lián)網(wǎng)，進(jìn)行主頁訪問、MSN、等操作，不允許分支機(jī)構(gòu)人員通過P2P軟件訪問互聯(lián)網(wǎng)，不允許分支機(jī)構(gòu)人員在上班時間玩網(wǎng)絡(luò)游戲；n 允許分支機(jī)構(gòu)人員通過防火墻訪問公司的外部服務(wù)器群，包括訪問公司主頁，訪問公司郵件系統(tǒng)；n 允許分支機(jī)構(gòu)的商務(wù)人員通過防火墻訪問總部的EBS、K3系統(tǒng)，進(jìn)行相關(guān)業(yè)務(wù)操作（通過應(yīng)用系統(tǒng)的用戶認(rèn)證來鑒別訪問者是許可的商務(wù)人員）；n 允許分支機(jī)構(gòu)的銷售人員通過防火墻訪問總部的CRM系統(tǒng)，提交項(xiàng)目及客戶相關(guān)信息（通過應(yīng)用系統(tǒng)的用戶認(rèn)證來鑒別訪問者是許可的銷售人員）；n 其他任何類型的訪問均被禁止；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略統(tǒng)一由總部進(jìn)行維護(hù)，以保證防火墻的統(tǒng)一性；防火墻尚未有統(tǒng)一的日志管理措施。防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。出口防火墻還執(zhí)行了反向地址轉(zhuǎn)換策略，將外部服務(wù)器的地址轉(zhuǎn)換為網(wǎng)通的互聯(lián)網(wǎng)地址，以便使互聯(lián)網(wǎng)的網(wǎng)通用戶可以訪問；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。n 其他的任何訪問均被禁止。三樓防火墻在三樓機(jī)房內(nèi)部署的防火墻，在核心防火墻的基礎(chǔ)上，針對三樓技術(shù)服務(wù)器中心、生產(chǎn)部執(zhí)行更細(xì)的訪問控制規(guī)則，包括：n 允許三樓的辦公終端訪問互聯(lián)網(wǎng)；n 不允許生產(chǎn)車間的終端訪問互聯(lián)網(wǎng)；n 不允許生產(chǎn)車間的終端訪問業(yè)務(wù)服務(wù)器區(qū)域；n 只允許生產(chǎn)車間的終端訪問EBS以及K3系統(tǒng)；n 允許三樓的辦公終端訪問業(yè)務(wù)服務(wù)器區(qū)域的辦公自動化系統(tǒng)；n 允許三樓的辦公終端訪問訪問外部服務(wù)器區(qū)域；n 允許商務(wù)部訪問KCRM以及EBS系統(tǒng)；n 允許技術(shù)服務(wù)中心訪問研發(fā)的BUGzilla外部服務(wù)器；n 允許運(yùn)維中心的終端安全管理平臺訪問三樓的辦公終端區(qū)域；n 不允許其他任何訪問；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。五樓防火墻在五樓機(jī)房內(nèi)部署的防火墻，重點(diǎn)是針對研發(fā)部門執(zhí)行更加細(xì)化的訪問控制規(guī)則，包括：n 不允許研發(fā)終端以及研發(fā)服務(wù)器訪問互聯(lián)網(wǎng)；n 只允許研發(fā)終端訪問研發(fā)服務(wù)器的CVS以及BUGzilla的內(nèi)部服務(wù)器；n 允許研發(fā)終端以及三樓技術(shù)服務(wù)中心訪問BUGzilla的外部服務(wù)器；n 只允許研發(fā)終端訪問外部服務(wù)器區(qū)域；n 允許運(yùn)維中心的終端安全管理平臺訪問五樓的研發(fā)辦公終端區(qū)域；n 不允許其他任何訪問；防火墻在管理上采取證書＋口令的雙因素認(rèn)證方式，防火墻的策略有運(yùn)行維護(hù)中心的安全維護(hù)終端進(jìn)行配置，不允許通過互聯(lián)網(wǎng)遠(yuǎn)程配置防火墻；防火墻尚未有開啟日志審計功能，公司也沒有配置全網(wǎng)的日志審計系統(tǒng)。IPSEC VPN系統(tǒng)系統(tǒng)的開啟方式是在大型分支機(jī)構(gòu)的出口防火墻上，開啟IPSEC VPN模塊，同時在總部局域網(wǎng)的網(wǎng)通及電信出口防火墻也開啟IPSEC VPN模塊，形成網(wǎng)關(guān)到網(wǎng)關(guān)的IPSEC VPN加密隧道，并執(zhí)行以下的安全策略：n 數(shù)據(jù)機(jī)密性保護(hù)：分支機(jī)構(gòu)需要訪問總部的業(yè)務(wù)服務(wù)器區(qū)域，訪問CRM、K財務(wù)以及EBS等系統(tǒng)，進(jìn)行業(yè)務(wù)處理，這將造成關(guān)鍵業(yè)務(wù)數(shù)據(jù)通過互聯(lián)網(wǎng)傳遞，如果數(shù)據(jù)以明文方式那么很容易早到竊聽攻擊，因此IPSEC VPN提供的機(jī)密性保護(hù)，可以將數(shù)據(jù)轉(zhuǎn)換為密文方式傳遞，即使被竊取也無法知道其中的內(nèi)容，從而保障了遠(yuǎn)程傳輸?shù)臋C(jī)密性；n 數(shù)據(jù)完整性保護(hù)：IPSEC VPN利用摘要算法，可以保障當(dāng)數(shù)據(jù)被修改時，接收端可以有效檢測出來，并通知發(fā)送端重新發(fā)送數(shù)據(jù)，這樣當(dāng)數(shù)據(jù)在互聯(lián)網(wǎng)中傳遞，一旦被攻擊者篡改，那么系統(tǒng)會很快了解到此情況并采取必要的措施，保障了數(shù)據(jù)遠(yuǎn)程傳輸過程中的完整性；n 抗重放攻擊：防止互聯(lián)網(wǎng)攻擊者在完整截獲數(shù)據(jù)后，以自己的身份將數(shù)據(jù)重新發(fā)送給接收端；從而造成假冒訪問，對總部業(yè)務(wù)系統(tǒng)造成威脅；n 身份認(rèn)證：，對于分支機(jī)構(gòu)，在遠(yuǎn)程訪問總部的業(yè)務(wù)系統(tǒng)時，必須先建立起IPSEC VPN隧道，那么在建立隧道之前，通信的雙方必須先進(jìn)行身份鑒別，XXXVPN模塊通過預(yù)共享密鑰，實(shí)現(xiàn)了雙方的驗(yàn)證，只有驗(yàn)證為合法的VPN才能順利建立隧道；此外，分別在網(wǎng)通出口防火墻上，和電信出口防火墻上開啟IPSEC VPN模塊，可以針對使用網(wǎng)通寬帶以及電信寬帶的分支機(jī)構(gòu)，分別啟用IPSEC VPN隧道，保障了業(yè)務(wù)訪問的效率。 終端安全管理系統(tǒng)目前總部局域網(wǎng)內(nèi)的所有終端（包括三樓、四樓、五樓的辦公終端和研發(fā)終端）均部署了XXX的終端安全代理，并且在運(yùn)行維護(hù)中心內(nèi)部署了終端安全管理服務(wù)器，實(shí)現(xiàn)了：n 桌面安全監(jiān)管，通過統(tǒng)一配置策略的主機(jī)防火墻和主機(jī)IDS，實(shí)現(xiàn)對桌面系統(tǒng)的網(wǎng)絡(luò)安全檢測和防護(hù)。并且能夠自動檢測桌面系統(tǒng)的安全狀態(tài)，檢測桌面系統(tǒng)的病毒防護(hù)軟件是否工作正常。n 桌面行為監(jiān)管，對桌面系統(tǒng)上撥號行為、打印行為、外存使用行為、文件操作行為的監(jiān)控，確保機(jī)密數(shù)據(jù)的安全，避免了內(nèi)部保密數(shù)據(jù)的泄漏。通過系統(tǒng)監(jiān)管模塊管理員能夠遠(yuǎn)程查看桌面系統(tǒng)當(dāng)前的詳細(xì)信息，包括：已安裝軟件、已安裝硬件、進(jìn)程、端口、CPU、磁盤、內(nèi)存等。 終端防病毒總部局個域網(wǎng)內(nèi)的所有終端（包括三樓、四樓、五樓的辦公終端和研發(fā)終端）均部署了防病毒軟件，但是當(dāng)前防病毒軟件品牌不統(tǒng)一，公司雖然統(tǒng)一部署了SYMANTE的防病毒軟件，并且在運(yùn)行維護(hù)中心還部署了集中的病毒控管中心，但是由于SYMANTEC防病毒軟件在防范木馬、蠕蟲、惡意腳本等方面的能力比較差，因此內(nèi)網(wǎng)終端許多用戶都轉(zhuǎn)而安裝了卡巴斯基的桌面防病毒軟件，并且直接到互聯(lián)網(wǎng)上自行升級，這樣給病毒的集中監(jiān)管和防范帶來了很多問題。同時，系統(tǒng)內(nèi)置了多種報警響應(yīng)、工單機(jī)制以及專家建議系統(tǒng)，可以幫助用戶采取及時、有效的安全措施以實(shí)現(xiàn)閉環(huán)的、持續(xù)改進(jìn)的信息安全管理，保證XXX的正常業(yè)務(wù)不受影響。 企業(yè)業(yè)務(wù)處理系統(tǒng)企業(yè)業(yè)務(wù)處理系統(tǒng)是XXX信息系統(tǒng)的核心，公司所有的生產(chǎn)、銷售、財務(wù)、合同等數(shù)據(jù)都在此類系統(tǒng)中被處理，業(yè)務(wù)處理系統(tǒng)經(jīng)過多年的發(fā)展，目前已經(jīng)完全覆蓋了公司的生產(chǎn)制造、庫存管理、采購管理、銷售管理以及財務(wù)管理業(yè)務(wù)，成為公司業(yè)務(wù)的重要核心部分，各系統(tǒng)具體情況說明如下：用友U8系統(tǒng)這是公司2002年建設(shè)的系統(tǒng)，包括財務(wù)、生產(chǎn)制造、庫存、采購、銷售等模塊。U8系統(tǒng)是C/S模式，基于MS