企業(yè)信息化建設(shè)安全解決方案

企業(yè)信息化建設(shè)

安全解決方案（天威誠信）

（版本：1.0）■信威illusCninA北京天威誠信電子商務(wù)服務(wù)有限公司

2013年3月目錄TOC\o"1-5"\h\z\o"CurrentDocument"前言1\o"CurrentDocument"概述1\o"CurrentDocument"安全體系1\o"CurrentDocument"本文研究內(nèi)容2\o"CurrentDocument"**集團企業(yè)信息化現(xiàn)狀2**集團企業(yè)信息化現(xiàn)狀2**集團現(xiàn)狀錯誤!未定義書簽。**集團信息化現(xiàn)狀2\o"CurrentDocument"主要系統(tǒng)現(xiàn)狀及存在問題3\o"CurrentDocument"其他問題4\o"CurrentDocument"**集團企業(yè)信息化系統(tǒng)需求分析4\o"CurrentDocument"網(wǎng)絡(luò)需求分析4\o"CurrentDocument"系統(tǒng)需求分析:5\o"CurrentDocument"安全需求分析第二章**集團企業(yè)信息化現(xiàn)狀7\o"CurrentDocument"安全管理策略10**集團企業(yè)信息化及安全整體解決方案13**企業(yè)信息規(guī)劃總體方案13\o"CurrentDocument"系統(tǒng)設(shè)計原則及進度安排13\o"CurrentDocument"**集團網(wǎng)絡(luò)拓撲圖13\o"CurrentDocument"**集團整體網(wǎng)絡(luò)概述13\o"CurrentDocument"網(wǎng)絡(luò)建設(shè)14\o"CurrentDocument"中心機房及其配套設(shè)施建設(shè)14\o"CurrentDocument"中國實業(yè)集團與**集團公司的連接14\o"CurrentDocument"各實業(yè)分公司網(wǎng)絡(luò)與**集團公司連接14\o"CurrentDocument"網(wǎng)絡(luò)建設(shè)方案總結(jié)14\o"CurrentDocument"系統(tǒng)建設(shè)16\o"CurrentDocument"財務(wù)系統(tǒng)16\o"CurrentDocument"人力資源管理系統(tǒng)16\o"CurrentDocument"門戶、OA系統(tǒng)16\o"CurrentDocument"門戶系統(tǒng)建設(shè)17\o"CurrentDocument"業(yè)務(wù)管理和運營支撐系統(tǒng)17\o"CurrentDocument"企業(yè)信息化管理17\o"CurrentDocument"3.4安全建設(shè)17\o"CurrentDocument"網(wǎng)絡(luò)邊界安全防護17\o"CurrentDocument"入侵檢測與防御18\o"CurrentDocument"安全漏洞掃描和評估20\o"CurrentDocument"防病毒系統(tǒng)20\o"CurrentDocument"終端監(jiān)控與管理214結(jié)束語22論文工作總結(jié)22\o"CurrentDocument"本方案不足之處221前言1.1概述國內(nèi)企業(yè)的信息化建設(shè)也經(jīng)歷了幾起幾落，取得了一些成績，也積累了一些經(jīng)驗教訓(xùn)。在發(fā)展的同時，各企業(yè)也不同程度上產(chǎn)生了信息孤島，信息集成的優(yōu)勢還沒有發(fā)揮出來，阻礙了企業(yè)信息化的發(fā)展，并在相當(dāng)程度上抵消了網(wǎng)絡(luò)技術(shù)帶給我們的便利和效率。如果我們把分析信息系統(tǒng)集成問題的著眼點放在基礎(chǔ)數(shù)據(jù)信息流上，通過基礎(chǔ)數(shù)據(jù)信息流將企業(yè)各部門的主要功能“穿起來”，而不是根據(jù)現(xiàn)有部門的功能來考慮信息系統(tǒng)的集成問題，就可以建立起既具有穩(wěn)定性，又具有靈活性的全企業(yè)集成化的信息系統(tǒng)模型，有效地防止信息孤島的產(chǎn)生。因此，為了建設(shè)一個優(yōu)秀的1T系統(tǒng)，要以基礎(chǔ)數(shù)據(jù)為根本，以先進的管理思想為指導(dǎo)，以領(lǐng)先的技術(shù)為輔助。企業(yè)信息化作為一個嚴密的信息系統(tǒng)，數(shù)據(jù)處理的準確性、及時性和可靠性是以各業(yè)務(wù)環(huán)節(jié)數(shù)據(jù)的完整和準確為基礎(chǔ)的。企業(yè)信息化建設(shè)中有一句老話：“三分技術(shù)，七分管理，十二分數(shù)據(jù)”，信息系統(tǒng)的實施是建立在完善的基礎(chǔ)數(shù)據(jù)之上的，而信息系統(tǒng)的成功運行則是基于對基礎(chǔ)數(shù)據(jù)的科學(xué)管理。因此，理順企業(yè)的數(shù)據(jù)流是企業(yè)信息化建設(shè)成功的關(guān)鍵之一。信息化建設(shè)是對企業(yè)管理水平進行量化的過程，企業(yè)的管理水平是信息化的基礎(chǔ)。管理是一種思路，這種思路可以用數(shù)字來表示，當(dāng)這些數(shù)字形成數(shù)據(jù)流時，也就表示了這一管理思想的過程，理順了數(shù)據(jù)流也等于理順了管理。IT技術(shù)人員通常不了解管理思路，但對數(shù)據(jù)流卻相當(dāng)熟悉，這就有利于IT技術(shù)人員開發(fā)符合要求的軟件產(chǎn)品。企業(yè)信息化就是利用技術(shù)的手段將先進的企業(yè)管理思想融入企業(yè)的經(jīng)營管理中，在這個過程中將最終實現(xiàn)對財務(wù)、物流、業(yè)務(wù)流程、成本核算、客戶關(guān)系管理及供應(yīng)鏈管理等各個環(huán)節(jié)的科學(xué)管理。因此要明確部門間哪些數(shù)據(jù)需要共享，哪些數(shù)據(jù)要上報企業(yè)領(lǐng)導(dǎo)，哪些部門需要獲取外部的知識或信息，企業(yè)的哪些數(shù)據(jù)需要對外發(fā)布和宣傳，哪些數(shù)據(jù)需要保密，子公司要與總公司交換哪些數(shù)據(jù)等等。當(dāng)數(shù)據(jù)流理順后，相應(yīng)的業(yè)務(wù)管理流程也就一目了然，管理流程也就理順了。圖l一l管理流程圖1.2安全體系網(wǎng)絡(luò)安全是一個綜合的系統(tǒng)工程，需要考慮涉及到的所有軟硬件產(chǎn)品環(huán)節(jié)。網(wǎng)絡(luò)的總體安全取決于所有環(huán)節(jié)中的最薄弱環(huán)節(jié)，或者說如果有一個環(huán)節(jié)出了問題，其總體安全就得不到保障，這也就是所謂的木桶效應(yīng)，一個由一根根木條釘成的水桶，它的盛水量是由其最短的那根木條決定的，網(wǎng)絡(luò)安全正是如此，其設(shè)計、實施必須要有全面的考慮，否則就會得不到保障。網(wǎng)絡(luò)安全也是個長期的過程，是個不斷完善的過程，不能說買了幾個產(chǎn)品就一勞永逸的解決了所有的安全問題，需要不斷對現(xiàn)有系統(tǒng)進行安全評估，發(fā)現(xiàn)新的安全問題，另外也要跟蹤最新的安全技術(shù)，及時調(diào)整自己的安全策略。通常安全設(shè)計需要參照如下模式：圖安全模式網(wǎng)絡(luò)安全不單是單點的安全，而是整個系統(tǒng)的安全，需要從物理、鏈路、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用和管理方面進行立體的防護。要知道如何防護，首先需要了解安全風(fēng)險來自于何處。安全需求和風(fēng)險評估是制定安全策略的依據(jù)。我們先要對現(xiàn)有的網(wǎng)絡(luò)的安全進行風(fēng)險分析，風(fēng)險分析的結(jié)果作為制定安全策略的重要依據(jù)之一。然后根據(jù)安全策略的要求，選擇相應(yīng)的安全機制和安全技術(shù)，實施安全防御系統(tǒng)、進行監(jiān)控與檢測。安全防御系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。安全防御系統(tǒng)搭建得完善與否，直接決定著整個網(wǎng)絡(luò)安全程度，無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成業(yè)務(wù)網(wǎng)絡(luò)中的后門。響應(yīng)與恢復(fù)系統(tǒng)是保障網(wǎng)絡(luò)安全性的重要手段。根據(jù)檢測和響應(yīng)的結(jié)果，可以發(fā)現(xiàn)防御系統(tǒng)中的薄弱環(huán)節(jié)，或者安全策略中的漏洞，進一步進行風(fēng)險分析，修改安全策略，根據(jù)技術(shù)的發(fā)展和業(yè)務(wù)的變化，逐步完善安全策略，加強業(yè)務(wù)網(wǎng)安全措施。1.3本文研究內(nèi)容本課題源于**集團企業(yè)信息化建設(shè)這一項目。目前**集團各子公司各自組網(wǎng)，使用各自的以辦公系統(tǒng)。為了適應(yīng)市場的不斷發(fā)展和激烈競爭，提高福建電信實業(yè)公司的服務(wù)水平和服務(wù)質(zhì)量，增強對新業(yè)務(wù)的支撐能力和反應(yīng)速度，滿足客戶需求的不斷變化和發(fā)展，要求建立一個統(tǒng)一的對外平臺?，F(xiàn)在互聯(lián)網(wǎng)處于開放的狀態(tài)，網(wǎng)上充斥著各種信息，病毒、惡意攻擊、竊取公司機密等等屢見不鮮，由于**集團與各子公司經(jīng)過互聯(lián)網(wǎng)進行以互聯(lián)，對外提供web服務(wù)，同時各公司存在上網(wǎng)的需求，因此保護企業(yè)網(wǎng)絡(luò)，防止信息泄漏更是急切需要解決的問題。本解決方案就是要提供網(wǎng)絡(luò)互聯(lián)、網(wǎng)絡(luò)監(jiān)測、流量控制、帶寬保證、防入侵檢測。系統(tǒng)可幫助值班人員隨時了解到網(wǎng)絡(luò)質(zhì)量以及設(shè)備的工作狀態(tài);系統(tǒng)對歷史信息進行記錄并提供查詢功能，方便用戶對出現(xiàn)的情況原因進行深入分析;系統(tǒng)提供圖形化界面管理，方便用戶實現(xiàn)人性化管理，同時抗擊各種非法攻擊和干擾，保證網(wǎng)絡(luò)安全可靠。2**集團企業(yè)信息化現(xiàn)狀2.1**集團企業(yè)信息化現(xiàn)狀**集團信息化現(xiàn)狀描述2.1.2主要系統(tǒng)現(xiàn)狀及存在問題描述門戶網(wǎng)站、企業(yè)郵箱系統(tǒng)目前**、設(shè)計院、郵科公司、工程公司都有公司網(wǎng)站，有公司域名，但是網(wǎng)站內(nèi)容非常有限，僅用于發(fā)布一些企業(yè)宣傳信息、產(chǎn)品信息、招聘信息等，且信息更新頻度較低。除郵科公司網(wǎng)站系統(tǒng)部署在自有服務(wù)器上外，其他公司的網(wǎng)站系統(tǒng)都是租用電信的服務(wù)器或硬盤空間。各子公司的網(wǎng)站和實業(yè)公司的網(wǎng)站系統(tǒng)之間沒有進行“超鏈”。**、設(shè)計院、郵科通信公司、工程公司有公司的郵箱系統(tǒng)，采用公司域名作為郵箱系統(tǒng)的域名。除郵科通信公司的郵箱系統(tǒng)是架設(shè)在自有服務(wù)器上外，其他公司的郵箱系統(tǒng)都是主機托管或租用電信的郵箱服務(wù)。人力資源管理系統(tǒng)目前所有子公司都沒有單獨完整的人力資源管理系統(tǒng)，部分公司目前使用的人力資管理系統(tǒng)主要是80年代原省郵電管理局統(tǒng)一使用的老系統(tǒng)或相關(guān)業(yè)務(wù)管理部門指定的小軟件，目前已經(jīng)難以滿足企業(yè)的人力資源管理需求。部分公司正在學(xué)習(xí)金蝶HR系統(tǒng)，但是目前都沒有正式使用該軟件。這些軟件都是單機版或者C/S架構(gòu)的網(wǎng)絡(luò)版，無法滿足《指導(dǎo)意見》提出的2級架構(gòu)要求。調(diào)研中，各子公司的人力資源部門都強烈希望集團能夠盡快提供一套統(tǒng)一的人力資源管理系統(tǒng)。財務(wù)管理系統(tǒng)、報表系統(tǒng)所有子公司都統(tǒng)一使用金蝶K/3系統(tǒng)作為財務(wù)基礎(chǔ)核算系統(tǒng)，該系統(tǒng)為C/S架構(gòu)的網(wǎng)絡(luò)版，該架構(gòu)無法滿足《指導(dǎo)意見》提出的2級架構(gòu)要求。目前所有子公司都購買了金蝶公司的支撐服務(wù)。**無法通過遠程訪問方式了解各子公司的財務(wù)數(shù)據(jù)。目前所有子公司都使用北京久其公司的久其報表軟件單機版，報表模板由**統(tǒng)一下發(fā)，各子公司財務(wù)部負責(zé)收集數(shù)據(jù)，匯總后上報給**。各子公司上報的數(shù)據(jù)中有一部分人力資源、經(jīng)營的數(shù)據(jù)需要財務(wù)以外的部門提供，目前通過手工方式提供。**的報表上報也是使用久其單機版，由省電信公司財務(wù)部下發(fā)模板，收集各子公司上報的數(shù)據(jù)匯總后報送給省電信公司財務(wù)部。目前無需向其他單位提供統(tǒng)計報表（如統(tǒng)計局、省管局等）。目前沒有購買久其公司的維護支撐服務(wù)。經(jīng)營分析系統(tǒng)目前包括**在內(nèi)，都沒有專門的IT系統(tǒng)用來支撐經(jīng)營分析。目前的經(jīng)營分析主要通過各業(yè)務(wù)部門手工提取數(shù)據(jù)進行加工分析后形成經(jīng)營分析報告。業(yè)務(wù)運營支撐系統(tǒng)設(shè)計院的主要業(yè)務(wù):設(shè)計業(yè)務(wù)，系統(tǒng)集成（工程業(yè)務(wù)），使用自己開發(fā)的一套系統(tǒng)來支撐其業(yè)務(wù)。該系統(tǒng)技術(shù)架構(gòu)比較先進，功能基本滿足該公司的業(yè)務(wù)需求，由于為自己開發(fā)的系統(tǒng)，維護支撐、軟件功能升級都比較便利。郵科通信公司的業(yè)務(wù)類型比較雜:軟件開發(fā)、系統(tǒng)集成、電信業(yè)務(wù)支撐服務(wù)、生產(chǎn)銷售、工程服務(wù)、工程設(shè)計，目前沒有統(tǒng)一的IT系統(tǒng)來支撐，而是由各個專業(yè)部門自行開發(fā)或引入一些系統(tǒng)來支撐日常業(yè)務(wù)，存在種類繁多不統(tǒng)一，信息無法共享的問題。工程公司的業(yè)務(wù)類型:工程施工，部分施工、維護，也是采用自行開發(fā)的一套系統(tǒng)來支撐業(yè)務(wù)。2.1.3其他問題?集團內(nèi)各子公司網(wǎng)絡(luò)規(guī)模龐大，網(wǎng)絡(luò)設(shè)備種類多，配置復(fù)雜，版本參差不齊，對系統(tǒng)資源利用和性能指標缺乏實時的、集中的監(jiān)控管理機制；?在接入Internet方面，部分子公司保留有Internet出口，部分終端可其它方式訪問Internet，存在網(wǎng)絡(luò)安全隱患；?網(wǎng)絡(luò)上運行的諸多服務(wù)器和網(wǎng)絡(luò)設(shè)備都有設(shè)置有多個用戶帳號和口令，但缺乏統(tǒng)一的口令管理機制，認證方式不可靠。?網(wǎng)絡(luò)中連接有為數(shù)眾多的終端，大多終端安裝有防病毒軟件。但缺乏病毒防護的統(tǒng)一監(jiān)控和管理，系統(tǒng)管理員維護工作量較大并且復(fù)雜。2.2**集團企業(yè)信息化系統(tǒng)需求分析2.2.1網(wǎng)絡(luò)需求分析結(jié)合**集團的1T現(xiàn)狀及本省的06—09年IT總體規(guī)劃需求，擬在**集團有限公司集團總部建設(shè)一中心點，作為中心機房，通過中心點與全市5個上市子公司之間組建辦公網(wǎng)。本期建設(shè)的IT系統(tǒng)能夠省集中部署的全部采用省集中部署模式。如下圖：圖IT基礎(chǔ)設(shè)施建設(shè)實施關(guān)鍵點明確應(yīng)用系統(tǒng)的硬件及網(wǎng)絡(luò)帶寬需求評估未來5年**的應(yīng)用系統(tǒng)的IT環(huán)境需求，包括妥種主機設(shè)備、網(wǎng)絡(luò)帶寬、電源容量、存儲容量等需求，在機房設(shè)計施工時預(yù)留足夠的余量。安全方案設(shè)計充分考慮企業(yè)信息化的安全需求，特別與Internet相連的網(wǎng)絡(luò)、應(yīng)用系第二章**集團企業(yè)信息化現(xiàn)狀統(tǒng)，采取各種安全措施、備份措施，包括物理安全和人為操作安全。內(nèi)外網(wǎng)隔離方案是安全的一個重要基礎(chǔ)，現(xiàn)在采用物理隔離方案的安全性最高，但是會給應(yīng)用系統(tǒng)的部署和使用帶來不便?？紤]到現(xiàn)有的網(wǎng)絡(luò)安全設(shè)備以及技術(shù)方案比較成熟，安全強度足夠高，并且應(yīng)用上需要支持遠程辦公，本次建設(shè)將不采用物理隔離方式。異地備份方案采用在子公司機房部署備份服務(wù)器的方式。機房選址選定**機房作為中心機房，該機房具有較大的擴展空間。異地備份機房選用郵科公司智能網(wǎng)機房。機房設(shè)計施工，包括電源改造、增加UPS、增加空調(diào)設(shè)備等現(xiàn)有機房的市電容量不足，沒有專用空調(diào)，未配備統(tǒng)一的UPS，因此需要在本次建設(shè)統(tǒng)一考慮。網(wǎng)絡(luò)實施包括專線線路、ADSLVPN線路、樓內(nèi)線路的施工、調(diào)測，施工進度依賴線路提供商和綜合布線進度，必須做好工程質(zhì)量監(jiān)督和進度監(jiān)督。設(shè)備采購、安裝本次IT建設(shè)對多個應(yīng)用軟件的部署環(huán)境進行統(tǒng)籌考慮，數(shù)據(jù)進行集中存儲，數(shù)據(jù)庫軟件盡量選用同一種，中間件也盡量選用相同廠家的同一版本，這樣便于管理和維護，也可以共享主機平臺，但是對設(shè)備的可靠性和性能要求較高，并且需要考慮系統(tǒng)間的性能干擾。設(shè)備的選型將考慮未來5年的性能需求增長，將以當(dāng)前需求的200%的性能參數(shù)配置主機設(shè)備，此外主機設(shè)備留有等量的擴展空間。2.2.2系統(tǒng)需求分析：財務(wù)系統(tǒng)**集團與各子公司財務(wù)業(yè)務(wù)統(tǒng)一，軟件統(tǒng)一，這是本次的財務(wù)系統(tǒng)的集中部署的最有利條件。第二章**集團企業(yè)信息化現(xiàn)狀新的財務(wù)系統(tǒng)最好能夠和現(xiàn)有在用系統(tǒng)的操作習(xí)慣比較一致。人力資源管理系統(tǒng)**目前在人力資源管理系統(tǒng)上基本處于一片空白，在業(yè)務(wù)上也處于比較原始的人事管理水平。對未來的系統(tǒng)無法提出有深度的需求，因此本次人力資源管理系統(tǒng)應(yīng)該具備最核心的功能，兼顧性價比，系統(tǒng)一邊建設(shè)一邊培訓(xùn)，通過成熟系統(tǒng)向現(xiàn)有的人力資源管理人員灌輸先進的人力資源管理理念，固化并統(tǒng)一全省的人力資源管理制度。當(dāng)人力資源管理達到相當(dāng)水平后，結(jié)合我省的實際情況，人力資源管理部門人員必然會提出一些新的需求，這些需求通過對系統(tǒng)進行二次開發(fā)來滿足。門戶、0A系統(tǒng)從現(xiàn)狀看，**的以系統(tǒng)建設(shè)也是參差不齊的，大部分專業(yè)公司對以系統(tǒng)的需求不是非常強烈。但是從管理上看，0A系統(tǒng)覆蓋到專業(yè)公司的中層干部以及必要的后勤管理部門是必須的。由于大部分專業(yè)公司還沒有建設(shè)以系統(tǒng)，因此考慮本次所有子公司的以系統(tǒng)在選型上和**一致。為了降低系統(tǒng)的推進難度，第一期只在**部署統(tǒng)一的0A系統(tǒng)，在系統(tǒng)中為各專業(yè)公司單獨配置流程，達到覆蓋子公司的目標。當(dāng)子公司新產(chǎn)生的本地化需求不能在現(xiàn)有系統(tǒng)上進行配置或二次開發(fā)來滿足時，才考慮在子公司單獨部署以系統(tǒng)。以系統(tǒng)在選型時必須考慮良好的接口開放性和二次開發(fā)支撐能力。**集團、設(shè)計院、郵科公司、工程公司都擁有自己的公司網(wǎng)站，但是功能簡單，且連最簡單的互相鏈接都沒有。**需要一個統(tǒng)一的門戶來有效整合各子公司的品牌資源，做統(tǒng)一的形象推廣。第一期通過統(tǒng)一的門戶系統(tǒng)、統(tǒng)一門戶域名、統(tǒng)一郵箱域名的方式進行門戶建設(shè)，同時把以、經(jīng)營分析、報表軟件等通過門戶系統(tǒng)進行集成，提供單點登錄、統(tǒng)一鑒權(quán)功能，把系統(tǒng)建設(shè)、維護集中在**，這樣可以方便將來的維護、升級，同時最大限度降低對各子公司的IT能力的要求。業(yè)務(wù)管理和運營支撐系統(tǒng)**目前基本沒有業(yè)務(wù)管理和業(yè)務(wù)運營支撐系統(tǒng)，規(guī)劃中要建立**數(shù)據(jù)中心，收集業(yè)務(wù)統(tǒng)計相關(guān)數(shù)據(jù)的建設(shè)需求。我**各專業(yè)公司層面則第二章**集團企業(yè)信息化現(xiàn)狀己經(jīng)建立了部分業(yè)務(wù)運營支撐系統(tǒng)。業(yè)務(wù)管理和業(yè)務(wù)運營支撐上，實業(yè)和主業(yè)之間存在顯著差異:主業(yè)的業(yè)務(wù)同質(zhì)性相當(dāng)高，而實業(yè)則是一個復(fù)雜的、多業(yè)務(wù)類型的集團企業(yè)。我**未建立統(tǒng)一、獨立的業(yè)務(wù)管理系統(tǒng)，在業(yè)務(wù)運營支撐系統(tǒng)方面，主要是以專業(yè)公司為主進行自行建設(shè)。**層面目前對于業(yè)務(wù)管理和業(yè)務(wù)運營支撐沒有強烈的系統(tǒng)支撐需求，考慮到實業(yè)本身多業(yè)務(wù)、多行業(yè)的特征，并且**對專業(yè)公司主要是進行投資管控，我省業(yè)務(wù)運營支撐系統(tǒng)以專業(yè)公司為主來進行建設(shè)比較合理，一方面能夠盡可能的貼近專業(yè)公司自身的需求，不是為建系統(tǒng)而建系統(tǒng):另一方面**公司對專業(yè)公司的管理主要是投資類型的管控，而非運營類型管控，因此**沒有必要對專業(yè)公司的業(yè)務(wù)運營做過多的管理和干涉，否則容易造成捆住專業(yè)公司手腳的局面。**在組織架構(gòu)等工作陸續(xù)完成后，將逐步加強對業(yè)務(wù)的管理。本期建設(shè)完成后，將在**層面建立合同協(xié)調(diào)服務(wù)系統(tǒng)，主要對專業(yè)公司的合同信息、合同狀態(tài)等做實時了解。2.2.2.S企業(yè)信息化管理**沒有專門的IT組織，也沒有設(shè)置企業(yè)信息化崗位;部分專業(yè)公司如郵科公司等，有專門的IT組織和IT開發(fā)團隊，既支撐自身的IT建設(shè)，又對外提供1T服務(wù)，其他子公司沒有專門的IT部門和IT崗位，但有專人負責(zé)企業(yè)信息化工作，人員分散在財務(wù)部、信息中心、綜合部等部門。各專業(yè)公司根據(jù)各自需求自行建設(shè)IT系統(tǒng)，導(dǎo)致重復(fù)投資問題，如很多專業(yè)公司自行建設(shè)或準備建設(shè)的人力資源管理系統(tǒng)。因此，我們本次企業(yè)信息化建設(shè)能集中的系統(tǒng)就集中，不能集中的才考慮由專業(yè)公司自行建設(shè)，但是由**進行指導(dǎo)選型。其次，**將盡快設(shè)置工亶相關(guān)崗位，同時在各子公司中抽調(diào)一部分IT人員組成IT虛擬團隊，統(tǒng)一協(xié)調(diào)整個**范圍的企業(yè)信息化建設(shè)。在系統(tǒng)建設(shè)過程中，將同步進行IT系統(tǒng)的運行、維護、管理的各項規(guī)范、流程的制定。2.2.3安全需求分析第二章**集團企業(yè)信息化現(xiàn)狀物理安全風(fēng)險分析網(wǎng)絡(luò)物理安全是整個網(wǎng)絡(luò)系統(tǒng)安全的前提。安全以人為本，如果管理不善或一些不可抗力的因數(shù)的存在，**集團網(wǎng)絡(luò)的物理環(huán)境可能存在如下的風(fēng)險：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個系統(tǒng)毀滅；?電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫信息丟失；?設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；?電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；?報警系統(tǒng)的設(shè)計不足可能造成原本可以防止但實際發(fā)生了的事故。鏈路傳輸風(fēng)險分析**集團網(wǎng)絡(luò)的各個局域網(wǎng)如果采用的是UTP非屏蔽布線方式，則存在網(wǎng)絡(luò)信息通過電磁輻射泄露的可能。**集團網(wǎng)絡(luò)的通信鏈路存在著安裝竊聽裝置，竊取或篡改網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)的可能，從而破壞數(shù)據(jù)的完整性。以上種種不安全因素都對網(wǎng)絡(luò)構(gòu)成嚴重的安全威脅。網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險分析1）來自外部網(wǎng)絡(luò)的安全威脅出于業(yè)務(wù)的需要，**集團網(wǎng)絡(luò)與Internet及其他業(yè)務(wù)單位網(wǎng)絡(luò)相連接。這種物理網(wǎng)絡(luò)上互聯(lián)互通給數(shù)據(jù)的互聯(lián)互通帶來了事實上的可能性。但是如果Internet與外單位網(wǎng)絡(luò)可以與**集團網(wǎng)絡(luò)隨意進行互訪，容易導(dǎo)致本系統(tǒng)內(nèi)部機密泄漏等安全威脅；其次，各系統(tǒng)的互聯(lián)互通會使得跨系統(tǒng)的攻擊和病毒傳播成為可能，帶來極大的安全隱患。**集團網(wǎng)絡(luò)中的服務(wù)器及各人主機上都有涉密信息。假如內(nèi)部網(wǎng)絡(luò)的一臺機器安全受損（被攻擊或者被病毒感染），就會同時影響在同一網(wǎng)絡(luò)上的許多其他系統(tǒng)。透過網(wǎng)絡(luò)傳播，還會影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒有采取一定的安全防護措施，內(nèi)部網(wǎng)絡(luò)容易造到來自外部網(wǎng)絡(luò)的一些不懷好意的入侵者的攻擊。如：?入侵者通過漏洞掃描、Sniffer嗅探等工具來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進行攻擊；入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進而假冒內(nèi)部合法身份進行非法登錄，竊取內(nèi)部網(wǎng)重要信息；惡意攻擊:入侵者通過發(fā)送大量PING包對內(nèi)部網(wǎng)重要服務(wù)器進行攻擊，使得服務(wù)器超負荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓；發(fā)送大量包含惡意代碼或病毒程序的郵件。2）內(nèi)部局域網(wǎng)的安全威脅據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來自內(nèi)部網(wǎng)絡(luò)的侵犯。來自機構(gòu)內(nèi)部局域網(wǎng)的威脅包括：?誤用和濫用關(guān)鍵、敏感數(shù)據(jù)和計算資源。無論是有不滿情緒的員工的故意破壞，還是沒有訪問關(guān)鍵系統(tǒng)權(quán)限的員工因誤操作而進入關(guān)鍵系統(tǒng)，由此而造成的數(shù)據(jù)泄露、偷竊、損壞或刪除將給企業(yè)帶來很大的負面影響;如果工作人員發(fā)送、接收和查看攻擊性材料，可能會形成敵意的工作環(huán)境，從而增大內(nèi)耗；?內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu);安全管理員有意透露其用戶名及口令；內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過各種方式盜取他人涉密信息傳播出去；內(nèi)部人員在上班時間玩游戲，看視頻等。?網(wǎng)絡(luò)設(shè)備的安全隱患，網(wǎng)絡(luò)設(shè)備中包含路由器、交換機、防火墻等，它們的設(shè)置比較復(fù)雜，第二章**集團企業(yè)信息化現(xiàn)狀可能由于疏忽或不正確理解而使這些系統(tǒng)可用而安全性不佳。通訊線路故障可能是由于電信提供的遠程線路的中斷，也可能發(fā)生在局域網(wǎng)中。網(wǎng)絡(luò)設(shè)備故障也是應(yīng)該考慮的安全風(fēng)險之一。目前計算機在網(wǎng)絡(luò)中的身份是以IP地址作為自己的標識的。由于TCP/IP協(xié)議在安全方面考慮的較少，IP地址很容易被假冒（特別在局域網(wǎng)中）；缺乏判斷通訊對象是否是惡意的網(wǎng)絡(luò)身份假冒者的技術(shù)手段，是目前網(wǎng)絡(luò)中存在的安全風(fēng)險。?信息在局域網(wǎng)和廣域網(wǎng)中傳輸，都存在被竊聽和篡改的危險。當(dāng)從一個安全區(qū)域（子網(wǎng)）訪問另一個安全保護要求不同的區(qū)域（子網(wǎng)）時，存在對不應(yīng)訪問的數(shù)據(jù)、交易與系統(tǒng)服務(wù)操作的危險。缺乏對網(wǎng)絡(luò)入侵行為的探測、報警、取證機制，是網(wǎng)絡(luò)在安全方面的一個隱患。種種因素都將網(wǎng)絡(luò)安全構(gòu)成很大的威脅。系統(tǒng)的安全風(fēng)險分析所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。操作系統(tǒng)的安裝以正常工作為目標，一般很少考慮其安全性；因此安裝通常都是以缺省選項進行設(shè)置。從安全角度考慮，其表現(xiàn)為裝了很多用不著的功能模塊，開放了很多不必開放的端口，其中可能隱含了安全風(fēng)險。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，系統(tǒng)本身必定存在安全漏洞。這些安全漏洞都將存在重大安全隱患。但是從實際應(yīng)用上，系統(tǒng)的安全程度跟對其進行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。如果進行安全配置，比如，填補安全漏洞，關(guān)閉一些不常用的服務(wù)，禁止開放一些不常用而又比較敏感的端口等，那么入侵者要成功進行內(nèi)部網(wǎng)是不容易，這需要相當(dāng)高的技術(shù)水平及相當(dāng)長時間。因此應(yīng)正確估價自己的網(wǎng)絡(luò)風(fēng)險并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險大小作出相應(yīng)的安全解決方案。第二章**集團企業(yè)信息化現(xiàn)狀應(yīng)用的安全風(fēng)險分析應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動態(tài)的、不斷變化的。應(yīng)用的安全性也是動態(tài)的。這就需要我們對不同的應(yīng)用，檢測安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險。■資源共享的安全風(fēng)險**集團網(wǎng)絡(luò)內(nèi)部有自動化辦化系統(tǒng)。而辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源，比如文件共、打印機共享等。由此就可能存在著:員工有意、無意把硬盤中重要信息目錄共享，長期暴露在網(wǎng)絡(luò)鄰居上，可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密，因為缺少必要的訪問控制策略?！鱿到y(tǒng)的安全風(fēng)險**集團網(wǎng)絡(luò)提供基于Web的信息發(fā)布系統(tǒng)，也存在安全的風(fēng)險，例如Web服務(wù)器本身存在漏洞容易受到攻擊，網(wǎng)頁被篡改，Web服務(wù)器容易受到網(wǎng)絡(luò)病毒的感染。Web是電子業(yè)務(wù)的發(fā)布板，與其他服務(wù)器連接在一起，對Web服務(wù)器的攻擊容易波及其他的網(wǎng)絡(luò)服務(wù)器和設(shè)備。■數(shù)據(jù)庫服務(wù)器的安全風(fēng)險**集團網(wǎng)絡(luò)內(nèi)部的很多應(yīng)用是基于數(shù)據(jù)庫的。數(shù)據(jù)庫服務(wù)器的安全風(fēng)險包括:數(shù)據(jù)庫服務(wù)器的管理員口令過于簡單，非授權(quán)用戶的訪問，通過口令猜測獲得系統(tǒng)管理員權(quán)限，數(shù)據(jù)庫服務(wù)器本身存在漏洞容易受到攻擊等。數(shù)據(jù)庫中數(shù)據(jù)由于意外（硬件問題或軟件崩潰）而導(dǎo)致不可恢復(fù)，也是需要考慮的安全問題。■電子郵件系統(tǒng)的安全風(fēng)險內(nèi)部網(wǎng)用戶可通過拔號或其它方式進行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶安全意識比較淡薄，對一些來歷不明的郵件，沒有警惕性，給入侵者提供機會，給系統(tǒng)帶來不安全因至素?！霾《厩趾Φ陌踩L(fēng)險網(wǎng)絡(luò)是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網(wǎng)上下載、電子郵件、使用光盤或軟盤、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。因此，病毒的危害第二章**集團企業(yè)信息化現(xiàn)狀的不可以輕視的。網(wǎng)絡(luò)中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時間內(nèi)迅速擴散，傳播到網(wǎng)絡(luò)上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。管理的安全分析管理方面的安全隱患包括：內(nèi)部管理人員或員工圖方便省事，不設(shè)置用戶口令，或者設(shè)置的口令過短和過于簡單，導(dǎo)致很容易破解；內(nèi)部管理人員或員工責(zé)任不清，使用相同的用戶名、口令，導(dǎo)致權(quán)限管理混亂，信息泄密；內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來信息泄漏風(fēng)險；機房重地卻是任何人都可以進進出出，來去自由。存有惡意的入侵者便有機會得到入侵的條件；內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。如傳出至關(guān)重要的信息、錯誤地進入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。這些都將給網(wǎng)絡(luò)造成極大的安全風(fēng)險。管理是網(wǎng)絡(luò)中安全得到保證的重要組成部分，是防止來自內(nèi)部網(wǎng)絡(luò)入侵必須的部分。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險。即除了從技術(shù)上下功夫外，還得依靠安全管理來實現(xiàn)。性能需求由于安全控制的原理和特點，加上了安全的防護手段之后，多多少少會對網(wǎng)絡(luò)和系統(tǒng)帶來性能的影響。因此，我們在進行安全設(shè)計和選擇安全產(chǎn)品時，必須將對網(wǎng)絡(luò)和系統(tǒng)的性能的影響的考慮放在重要的位置2.2.4安全管理策略網(wǎng)絡(luò)安全關(guān)鍵基礎(chǔ)之一就是構(gòu)成企業(yè)總體信息安全方案的綜合策略。第二章**集團企業(yè)信息化現(xiàn)狀安全管理策略安全管理貫穿在安全的各個層次實施。從全局管理角度來看，我們制訂了全局的安全管理策略;從技術(shù)管理角度來看，實現(xiàn)安全的配置和管理;從人員管理角度來看，實現(xiàn)統(tǒng)一的用戶角色劃分策略，制定一系列的管理規(guī)范;從資源管理角度來看，實現(xiàn)資源的統(tǒng)一配置和管理。**集團網(wǎng)絡(luò)的安全管理策略是保證網(wǎng)絡(luò)安全的核心。安全管理策略的實施需要工作人員和領(lǐng)導(dǎo)的支持。一個良好的安全管理策略應(yīng)包括如下內(nèi)容：?計算機技術(shù)購買指南:該指南中應(yīng)指明哪些安全特征是必須的。該指南可作為企業(yè)購買產(chǎn)品的參考之一；?隱私政策:制定監(jiān)控電子郵件、記錄鍵盤敲擊及訪問用戶文件的可接受的隱私程度;?訪問政策:制定用戶、操作人員及管理人員的訪問權(quán)限，用來保護資產(chǎn)不被盜用。該政策應(yīng)提供外部連接、數(shù)據(jù)通訊、連接設(shè)備到網(wǎng)絡(luò)、增加新軟件到系統(tǒng)等操作指南，同時也應(yīng)包括通知信息（例如連接后應(yīng)提示合法使用的說明，而不僅僅顯示“歡迎，’）;?責(zé)任政策:指出用戶、操作人員及管理人員的職責(zé)。該政策應(yīng)包括審計功能，以及處理安全事件的程序指南（即檢測到可疑事件發(fā)生后，應(yīng)找誰負責(zé)等問題的處理步驟）；?認證政策:通過有效的口令政策，在計算機之間建立信任關(guān)系。該政策應(yīng)包括遠程訪問的認證指南及認證設(shè)備（如一次性口令及生成這些口令的設(shè)備）的使用說明；?可用性聲明:使用戶對系統(tǒng)的可用性有所了解。如果系統(tǒng)被入侵，用戶根據(jù)這個聲明所述，就可以知道系統(tǒng)在多長時間內(nèi)可以恢復(fù)。聲明應(yīng)提及冗余及恢復(fù)的解決方法，列出操作時間及因維護而造成的停機時間，以及網(wǎng)絡(luò)發(fā)生故障時的負責(zé)人是誰;?信息技術(shù)系統(tǒng)及網(wǎng)絡(luò)維護政策:說明內(nèi)部及外部的維修人員如何處理訪問技術(shù)。該政策其中一項重要說明是講述企業(yè)是否允許進行遠程操作，以及對這類訪問的控制方法；?違規(guī)報告政策:指明哪類違規(guī)行為應(yīng)該報告（例如個人隱私及安全、內(nèi)部及外部）以及向誰報告。輕松的氣氛或采用匿名報告的方式可以鼓勵員工報告違規(guī)行為。該政策還應(yīng)包括企業(yè)發(fā)生安全事故后應(yīng)對外界詢問的指南，及指明企業(yè)信息的保密程度，即哪些信息不應(yīng)向外界披露。訪問控制策略訪問控制的目的是控制信息的訪問。訪問控制是對用戶進行文件和數(shù)據(jù)操作權(quán)限的限制，主要防范用戶的越權(quán)訪問。訪問控制策略應(yīng)按照業(yè)務(wù)及安全要求控制信息及業(yè)務(wù)程序的訪問，訪問控制策略應(yīng)包括以下內(nèi)容：每個業(yè)務(wù)應(yīng)用系統(tǒng)的安全要求；?確認所有與業(yè)務(wù)應(yīng)用系統(tǒng)有關(guān)的信息；?信息發(fā)布及授權(quán)的策略，例如:安全級別及原則，以及信息分類的需要；?不同系統(tǒng)及網(wǎng)絡(luò)之間的訪問控制及信息分類策略的一致性；?關(guān)于保護訪問數(shù)據(jù)或服務(wù)的相關(guān)法律或任何合同規(guī)定；一般作業(yè)類的標準用戶訪問配置；?在分布式及互聯(lián)的環(huán)境中，管理所有類別的連接的訪問權(quán)限。網(wǎng)絡(luò)訪問控制用于控制內(nèi)部及外部聯(lián)網(wǎng)服務(wù)的訪問，以確?？梢栽L問網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶不會破壞這些網(wǎng)絡(luò)服務(wù)的安全。不安全地連接到網(wǎng)絡(luò)服務(wù)會影響整個機構(gòu)的安全，所以，只能讓用戶直接訪問己明確授權(quán)使用的服務(wù)。這種安全控制對連接敏感或重要業(yè)務(wù)的網(wǎng)絡(luò)，或連接到在高風(fēng)險地方（例如不在安全管理及控制范圍的公用或外部地方）的用戶尤其重要。**集團網(wǎng)絡(luò)應(yīng)根據(jù)信息密級和信息重要性劃分安全域，在安全域與非安全域之間用安全保密設(shè)備進行隔離和訪問控制;在同一安全域中，根據(jù)信息的密級和信息重要性進行分割和訪問控制。通常將**集團網(wǎng)絡(luò)重要服務(wù)器所在的子網(wǎng)和重要的工作子網(wǎng)分別劃分為單獨的安全域。當(dāng)局域與遠程網(wǎng)絡(luò)連接時，通常在局域網(wǎng)與遠程網(wǎng)絡(luò)之間的接口處配置安全保密產(chǎn)品。（如防火墻、保密網(wǎng)關(guān)等）進行網(wǎng)絡(luò)邊界安全保護，第二章**集團企業(yè)信息化現(xiàn)狀并采取數(shù)據(jù)加密設(shè)備（如DDN機密機、PSTN加密機等）保證信息遠程傳輸?shù)陌踩??2.4.3網(wǎng)絡(luò)安全監(jiān)控與入侵檢測策略網(wǎng)絡(luò)安全監(jiān)控可以測試企業(yè)所實施的安全控制是否有效。同時，安全監(jiān)控是檢測系統(tǒng)及網(wǎng)絡(luò)是否有可疑或不正常的通訊的有效辦法。這個步驟用于檢測網(wǎng)絡(luò)的潛在漏洞或非授權(quán)行為，同時，它可以提醒管理人員網(wǎng)絡(luò)現(xiàn)有的安全隱患及應(yīng)采取什么樣的防護措施。一旦企業(yè)系統(tǒng)發(fā)生安全事故，管理人員應(yīng)依據(jù)監(jiān)控系統(tǒng)所提供的警示，采取必要的步驟，在最短的時間恢復(fù)系統(tǒng)，以減少企業(yè)的損失。入侵監(jiān)控是對入侵行為的檢測和控制。入侵檢測作為一種積極主動的安全防護技術(shù)，從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，對防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動的實時保護，它可在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。我們通過在**集團網(wǎng)絡(luò)的關(guān)鍵環(huán)節(jié)放置入侵檢測產(chǎn)品，它監(jiān)視計算機網(wǎng)絡(luò)或計算機系統(tǒng)的運行，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。同時，記錄受到攻擊的過程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來源提供基本數(shù)據(jù)。并把這些信息集中報告給數(shù)據(jù)中心的集中管理控制臺。漏洞掃描與風(fēng)險評估策略從信息安全的角度看，漏洞掃描是網(wǎng)絡(luò)安全防御中的一項重要技術(shù)，其原理是采用模擬攻擊的形式對目標可能存在的已知安全漏洞進行逐項檢查。目標可以是工作站、服務(wù)器、交換機、數(shù)據(jù)庫應(yīng)用等各種對象，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報告，從而為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)安全體系的建設(shè)中，漏洞掃描工具具有花費低、效果好、見效快、與網(wǎng)絡(luò)的運行相對對立、安裝運行簡單等特點。在功能上，安全掃描工具可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定。計算機病毒防治策略由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力。我們都知道，網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)大多為WINDOWS系統(tǒng)，比較容易感染病毒。因此計算第二章**集團企業(yè)信息化現(xiàn)狀機病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考慮的重要的環(huán)節(jié)之一。我們從預(yù)防病毒、檢測病毒和殺毒考慮網(wǎng)絡(luò)的網(wǎng)絡(luò)安全。安全審計策略安全審計有助于對入侵進行評估，是提高安全性的重要工具。審計信息對于確定是否有網(wǎng)絡(luò)攻擊的情況發(fā)生，以及確定問題和攻擊源都非常重要。通過對安全事件的不斷收集與積累并且加以分析，可以為發(fā)現(xiàn)可能的破壞性行為提供有力的證據(jù)。備份與恢復(fù)策略主要設(shè)備、軟件、數(shù)據(jù)、電源等都應(yīng)有備份，并有技術(shù)措施和組織措施能夠在較短時間內(nèi)恢復(fù)系統(tǒng)運行。如果日常工作對涉密系統(tǒng)的依賴性特別強，則建立遠程的應(yīng)急處理和災(zāi)難恢復(fù)中心。我們考慮的備份主要包括數(shù)據(jù)備份、服務(wù)器備份、線路備份等幾個方面。實時響應(yīng)和恢復(fù)策略我國的許多企業(yè)單位對防范天災(zāi)人禍有一套成型的體系，對于網(wǎng)絡(luò)安全的災(zāi)難事件卻通常會手足無措。為此，制定一套完整、可行的事件救援及災(zāi)難恢復(fù)的計劃對于企業(yè)來說是非常重要的。災(zāi)難恢復(fù)的步驟應(yīng)包括測試救援程序的有效性(是否對可疑的通訊及事故作出反應(yīng))、在事故發(fā)生后，企業(yè)如何分析事故的發(fā)生過程、程序如何迅速恢復(fù)、如何減少企業(yè)的損失等。第三章**集團企業(yè)信息化及安全整體解決方案3好集團企業(yè)信息化及安全整體解決方案3.1**企業(yè)信息規(guī)劃總體方案3.1.1系統(tǒng)設(shè)計原則及進度安排**集團的整體網(wǎng)絡(luò)在設(shè)計中遵循以下原則：?良好的擴展能力:包括業(yè)務(wù)網(wǎng)點的擴展、業(yè)務(wù)量和業(yè)務(wù)種類的擴展。?高度的安全性。能防止網(wǎng)絡(luò)的非法訪問，保護關(guān)鍵數(shù)據(jù)不被非法竊取、篡改或泄露。使數(shù)據(jù)具有極高的可靠性。?高度的可靠性，網(wǎng)絡(luò)在連接失敗時能有遷回路由，并有效地消除單點失效的隱患。?可升級性:改造后的網(wǎng)絡(luò)在向更新的技術(shù)升級時，能保護現(xiàn)有的投資。根據(jù)**信息化IT規(guī)劃總體架構(gòu)及**目前IT系統(tǒng)現(xiàn)狀，**集團網(wǎng)絡(luò)拓撲圖以下為**集團整體網(wǎng)絡(luò)規(guī)劃拓撲圖：網(wǎng)絡(luò)拓撲圖**集團整體網(wǎng)絡(luò)概述**集團公司網(wǎng)絡(luò)整體從安全、穩(wěn)定、高速和服務(wù)質(zhì)量(QoS)方面考慮，采用CNZ電路與SitetoSiteVPN結(jié)合的方式組網(wǎng)。各分公司通過劃分VPN來實現(xiàn)與總公司連接。在分公司和省公司都部署相應(yīng)的PE設(shè)備。**集團公司網(wǎng)絡(luò)采用雙線路備份，通過采用CNZMPLSvPN做為與集團公司和地市實業(yè)分公司的首選網(wǎng)絡(luò)連接，采用InternetVPN做為備用線路連接集團公司和地市實業(yè)分公司。第三章**集團企業(yè)信息化及安全整體解決方案服務(wù)器端使用兩塊網(wǎng)卡橋接，對外使用網(wǎng)絡(luò)橋連接網(wǎng)絡(luò)設(shè)備，首先通過二層交換機接入到主備用ASA555O防火墻，由防火墻控制所有用戶的訪問權(quán)限，關(guān)閉非使用端口，開啟服務(wù)器所承載以、財務(wù)、人力應(yīng)用服務(wù)需要使用的端口。在此道防火墻建立D棍區(qū)，連接省電信公司收發(fā)公文的轉(zhuǎn)接器，建立一高于DMZ區(qū)低于內(nèi)網(wǎng)的管理區(qū)，用于管理機的接入。在內(nèi)網(wǎng)防火墻之外采用兩臺cisco3750三層交換機做路由控制，接入本大樓內(nèi)分公司網(wǎng)絡(luò)及實業(yè)本部網(wǎng)絡(luò)，由其控制訪問服務(wù)器、分公司VPN及外網(wǎng)路由。與地市分公司的InternetVPN采用C1scoASA552O防火墻，同時提供撥號VPN接入，外網(wǎng)訪問通過燦眼rantenF60O防火墻控制后接入公網(wǎng)網(wǎng)絡(luò)，同時提供備用撥號VPN接入。外網(wǎng)WEB服務(wù)器接在AmarantenF600防火墻DMZ區(qū)，對外開啟tep80http服務(wù)。3.2網(wǎng)絡(luò)建設(shè)3.2.1中心機房及其配套設(shè)施建設(shè)因為需要采用兩種接入方式，因此我們在**集團中心機房采用以下設(shè)備?核心路由器。與各分實業(yè)公司的連接方面，因為要使用CNZMPLSVPN線路，因此我們建議采用一臺思科公司的Cisco28n路由器作為**CE，讓各各實業(yè)分公司用戶可以高速、安全、穩(wěn)定地訪問**集團中心機房的應(yīng)用服務(wù)器及訪問集團機房應(yīng)用服務(wù)器。?安全網(wǎng)關(guān)。與遠程移動辦公用戶連接方面，因為要采用VPN的連接方式，我們建議采用思科公司的ASA5520自適應(yīng)安全設(shè)備讓遠程移動辦公用戶可以安全訪問實業(yè)集團中心機房應(yīng)用服務(wù)器。另一方面，AsA5520自適應(yīng)安全設(shè)備還可作為防火墻功能使用，有效阻止來自Internet及各實業(yè)分公司的非法訪問行為。3.2.2中國實業(yè)集團與**集團公司的連接采用CNZ將**集團與集團互連。采用CNZ電路的組網(wǎng)方式，能確保提供穩(wěn)定的線路質(zhì)量、較高的帶寬、良好的安全保密特性，使用戶對集團企業(yè)信第三章**集團企業(yè)信息化及安全整體解決方案息化的應(yīng)用訪問更快，更安全、穩(wěn)定。CNZ電路有保密性能好，傳輸速率高，信道利用率高，網(wǎng)絡(luò)時延小等特點。3.2.3各實業(yè)分公司網(wǎng)絡(luò)與**集團公司連接**集團與各實業(yè)分公司辦公用戶的連接各實業(yè)分公司需要與**集團中心機房建立高速穩(wěn)定的連接，因此采用一臺CISCO28n路由器加上RJ45擴展卡，實現(xiàn)1條CNZ電路連接需求，另外一條接口作備份InternetVPN，滿足鏈路備份使用。**與遠程移動辦公用戶的連接對于互聯(lián)網(wǎng)用戶、遠程移動辦公人員采用LZtPoyerIpse。VPN結(jié)合的方式組網(wǎng)，建設(shè)成本比較低，信息安全也得到有效保障。網(wǎng)絡(luò)用戶的安全認證**信息化應(yīng)用系統(tǒng)涉及多個分公司的應(yīng)用用戶，用戶人數(shù)較多，為有效管理用戶的訪問行為，審計用戶相關(guān)訪問信息，在**采用單點登錄認證，后期增加以認證。3.2.4網(wǎng)絡(luò)建設(shè)方案總結(jié)兼容性和擴展性該系統(tǒng)具備良好的兼容性和擴展性，具體表現(xiàn)在以下各方面：?中心機房采用自適應(yīng)安全設(shè)備作廣域網(wǎng)的核心安全設(shè)備，能夠提供良好的安全性和VPN服務(wù)。有4個千兆GE接口，和1個100M以太接口。支持高達500個IPSeeVPN對，可擴展至最大5000個IPSe。vPN對，支持500個WEBVPN對，可擴展至2500個WEBVPN對。完全可以保證**集團公司的廣域網(wǎng)安全接入的較長時間內(nèi)的需求。?中心機房采用CNZ電路與中國實業(yè)集團總公司和各實業(yè)分公司建立連接，滿足帶寬及時延要求。各實業(yè)分公司采用一臺CISCO28n路由器加上RJ45擴展卡，可提供1條接口，CNZ電路占用一條，InternetVPN使用一條，做好鏈路備份工作。第三章**集團企業(yè)信息化及安全整體解決方案高可靠性、穩(wěn)定性**集團公司信息系統(tǒng)是集團公司的信息傳送平臺和信息處理樞紐，作為關(guān)鍵的財務(wù)系統(tǒng)、人力資源等業(yè)務(wù)系統(tǒng)及網(wǎng)絡(luò)平臺設(shè)備，可靠性是最重要的。網(wǎng)絡(luò)平臺、關(guān)鍵業(yè)務(wù)的服務(wù)器和存儲設(shè)備必須具備7X24小時的連續(xù)運轉(zhuǎn)能力。非計劃停機將會對業(yè)務(wù)運行、對外服務(wù)形象等造成巨大的影響，對處于激烈競爭環(huán)境下的運營企業(yè)造成沉重的打擊。安全性**集團中心機房網(wǎng)絡(luò)部分:中心機房采用自適應(yīng)安全設(shè)備作廣域網(wǎng)的核心安全設(shè)備，能夠?qū)⒆罡叩陌踩院蚔PN服務(wù)與全新的自適應(yīng)識別和防御(AIM)架構(gòu)有機地結(jié)合在一起。借助融合型防火墻、入侵防御系統(tǒng)(IPS)和網(wǎng)絡(luò)Anti一X服務(wù)，能夠提供主動威脅防御功能、，在網(wǎng)絡(luò)受到威脅之前就能及時阻擋攻擊，控制網(wǎng)絡(luò)行為和應(yīng)用流量，并提供靈活的VPN連接。從而能確保中心機房能與各地公司建立穩(wěn)定的VPN連接及保證中心機房的網(wǎng)絡(luò)安全。**集團中心機房:采用CNZ電路連接，保證網(wǎng)絡(luò)連接的安全。使用集成多業(yè)務(wù)路由器產(chǎn)品，提供網(wǎng)絡(luò)連接的同時提供防火墻、VPN.XPS多種功能，提高連接的安全性及對**集團內(nèi)部網(wǎng)絡(luò)的全面安全的保護。?各實業(yè)分公司接入安全性:采用CNZ電路連接，與**集團中心機房連接通訊，保障數(shù)據(jù)和應(yīng)用的安全性。?遠程移動辦公用戶的接入安全性:使用**集團中心機房配置的自適應(yīng)安全設(shè)備內(nèi)置的LZtpoverIpsecVPN功能，為移動用戶提供安全的VPN遠程接入，有效保障數(shù)據(jù)和應(yīng)用在鏈路層的安全性。**集團、各實業(yè)分公司網(wǎng)絡(luò)用戶訪問企業(yè)信息化應(yīng)用系統(tǒng)時，都提供了統(tǒng)一CIScoACS4.0安全平臺作集中的身份認證、授權(quán)、行為審計。易維護性**集團公司信息平臺建設(shè)完成后，有多個應(yīng)用系統(tǒng)在平臺上運行，并有多種廣域網(wǎng)的接入方式，中心機房的網(wǎng)絡(luò)和設(shè)備數(shù)量多，本方案提供統(tǒng)一的網(wǎng)絡(luò)管理系統(tǒng)CIScoworkSVMS對路由器或VPN接入設(shè)備和其它網(wǎng)絡(luò)安全設(shè)第三章**集團企業(yè)信息化及安全整體解決方案備等作監(jiān)控和管理，提供信息平臺的綜合管理的功能。選用國際知名品牌的設(shè)備和系統(tǒng)，技術(shù)和服務(wù)有保證。?網(wǎng)絡(luò)和設(shè)備品牌盡量統(tǒng)一，易于維護和管理。采用功能強大的網(wǎng)絡(luò)管理系統(tǒng)，增強對設(shè)備和應(yīng)用的系統(tǒng)。3.3系統(tǒng)建設(shè)3.3.1財務(wù)系統(tǒng)**集團跟各專業(yè)子公司統(tǒng)一采用用友ERPNC5.0軟件，在功能域上實現(xiàn)如下功能:功能域1、財務(wù)基礎(chǔ)核算（總帳、應(yīng)收應(yīng)付、合并報表等）；2、資產(chǎn)管理；3、現(xiàn)金流管理；4、財務(wù)狀況監(jiān)控，財務(wù)狀況分析；5、預(yù)算管理（編制、執(zhí)行、結(jié)果）；6、資金管理，大額支出管理7、關(guān)聯(lián)交易系統(tǒng).部署模式集中部署，各子公司遠程登錄本系統(tǒng)使用。3.3.2人力資源管理系統(tǒng)功能域1、全省員工基本信息管理；2、人事管理、崗位及工作信息管理；3、薪酬、考核管理；4、合同管理；5、組織管理；6、統(tǒng)計查詢報表，人力資源分析；7、招聘管理.部署模式集中部署，各子公司遠程登錄本系統(tǒng)使用。3.3.3門戶、OA系統(tǒng)功能域.部署模式本次以系統(tǒng)的實施將采用**集中部署的模式進行，通過配置各子公司的以流程來實現(xiàn)子公司的以系統(tǒng)覆蓋3.3.4門戶系統(tǒng)建設(shè)企業(yè)門戶功能域包括企業(yè)信息展現(xiàn)(內(nèi)部門戶)和企業(yè)網(wǎng)站(外部門戶)兩個功能模塊。辦公及輔助管理功能域主要包括文件公務(wù)流轉(zhuǎn)、企業(yè)郵箱、知識管理、資產(chǎn)管理四個功能模塊。功能域?qū)ν饩W(wǎng)站企業(yè)上市信息披露企業(yè)形象宣傳企業(yè)產(chǎn)品宣傳人力招聘信息遠程辦公支持對內(nèi)門戶：單點登陸整合以系統(tǒng)整合郵箱系統(tǒng)整合久其報表系統(tǒng)實現(xiàn)初步的知識管理資產(chǎn)管理3.3.5業(yè)務(wù)管理和運營支撐系統(tǒng)采用其報表系統(tǒng)作為業(yè)務(wù)統(tǒng)一管理和分析系統(tǒng)。.功能域.部署模式集中部署，各子公司遠程登錄本系統(tǒng)使用。3.3.6企業(yè)信息化管理根據(jù)實業(yè)集團公司信息化建設(shè)的總體設(shè)計，需要對公司全網(wǎng)路由器、VPN設(shè)備進行及時有效的配置，監(jiān)控和管理，我們采用思科公司提供的CiscoworksVMS網(wǎng)絡(luò)管理系統(tǒng)。CIScoworksVMS可以通過集成用于配置、監(jiān)控和診斷企業(yè)虛擬專用網(wǎng)(VPN)的Web工具，防火墻，以及基于網(wǎng)絡(luò)、主機的入侵檢測系統(tǒng)(IPS)，保護企業(yè)的生產(chǎn)率和降低運營成本。第三章**集團企業(yè)信息化及安全整體解決方案3.4安全建設(shè)3.4.1網(wǎng)絡(luò)邊界安全防護網(wǎng)絡(luò)層的安全性首先由路由器做初步保障。路由器一般用于分隔網(wǎng)段。分隔網(wǎng)段的特性往往要求路由器處于網(wǎng)絡(luò)的邊界上。通過配置路由器訪問控制列表(AcL)，可以將其用作一個“預(yù)過濾器”，篩分不要的信息流，路由器的ACL只能作為防火墻系統(tǒng)的一個重要補充，對于復(fù)雜的安全控制，只能通過防火墻系統(tǒng)來實現(xiàn)。**集團信息網(wǎng)服務(wù)器，首先通過二層交換機接入到主備用ASA5550防火墻，由防火墻控制所有用戶的訪問權(quán)限，關(guān)閉非使用端口，開啟服務(wù)器所承載以、財務(wù)、人力應(yīng)用服務(wù)需要使用的端口。在此道防火墻建立DMZ區(qū)，連接省電信公司收發(fā)公文的轉(zhuǎn)接器，建立一高于DMZ區(qū)低于內(nèi)網(wǎng)的管理區(qū)，用于管理機的接入。在內(nèi)網(wǎng)防火墻之外采用兩臺。1sco3750三層交換機做路由控制，接入本大樓內(nèi)分公司網(wǎng)絡(luò)及實業(yè)本部網(wǎng)絡(luò)，由其控制訪問服務(wù)器、分公司VPN及外網(wǎng)路由。與地市分公司的InternetVPN采用CiscoASA552O防火墻，同時提供撥號VPN接入，外網(wǎng)訪問通過AmarantenF60O防火墻控制后接入公網(wǎng)網(wǎng)絡(luò)，同時提供備用撥號VPN接入。外網(wǎng)WEB服務(wù)器接在枷arantenF600防火墻眼Z區(qū)，對外開啟tep80http服務(wù)。通過制定相應(yīng)的安全策略，防火墻允許合法訪問，拒絕無關(guān)的服務(wù)和非法入侵。防火墻的安全策略可以基于系統(tǒng)、網(wǎng)絡(luò)、域、服務(wù)、時間、用戶、認證、數(shù)據(jù)內(nèi)容、地址翻譯、地址欺騙、同步攻擊和拒絕服務(wù)攻擊等等。連接至防火墻的不同網(wǎng)段之間的互訪均需將到對方或經(jīng)過對方到其它地方的路由指向防火墻的相應(yīng)接口，防火墻制定合理的策略保證合法和必要的訪問，拒絕非法入侵。我們通過配置AmarantenF600防火墻實現(xiàn)以下功能：可以通過IP地址、協(xié)議、端口等參數(shù)進行控制，使得在內(nèi)網(wǎng)中的部分用戶可以訪問外網(wǎng)，而其他用戶不能通過防火墻訪問Internet。對網(wǎng)絡(luò)流量進行精確的控制，對一個或一組IP地址、端口、應(yīng)用協(xié)議第三章**集團企業(yè)信息化及安全整體解決方案既可以通過設(shè)置保留帶寬保證應(yīng)用的最小帶寬，又可以設(shè)置最大帶寬防止對網(wǎng)絡(luò)資源的過度占用，還可以通過設(shè)置網(wǎng)絡(luò)應(yīng)用的優(yōu)先級將網(wǎng)絡(luò)帶寬在不同應(yīng)用之間進行合理分配，使網(wǎng)絡(luò)效率達到最優(yōu)化。通過三種方式過濾不良內(nèi)容，包括：URL地址:只需要將不良網(wǎng)站的URL地址添加到過濾列表中，便可進行阻擋。?不良關(guān)鍵字:所有包含**集團網(wǎng)絡(luò)用戶自定義不良關(guān)鍵字（如“法輪功”）的網(wǎng)頁將被屏蔽?網(wǎng)頁分類:靦arantenF600將上億萬個網(wǎng)頁分成了幾十個類別（如政治、經(jīng)濟、色情、暴力等），**集團網(wǎng)絡(luò)用戶只需要在FortiGate上設(shè)置阻斷某一類站點（如色情、暴力類網(wǎng)站）便可批量屏蔽不良網(wǎng)站。通過利用IP地址、郵件地址、實時黑名單/匿名中繼代理列表（RBL/ORDBL）、MIME頭、關(guān)鍵字等多項反垃圾郵件技術(shù)在網(wǎng)絡(luò)層和內(nèi)容層為**集團網(wǎng)絡(luò)過濾大量的垃圾郵件，以凈化帶寬，減輕郵件服務(wù)器負擔(dān)，提高**集團網(wǎng)絡(luò)的工作效率，并防止病毒和不良信息通過垃圾郵件進入陜西電信DcN網(wǎng)絡(luò)內(nèi)網(wǎng)。AmarantenF600防火墻擁有強大的日志功能，可以對網(wǎng)絡(luò)訪問、入侵、病毒、內(nèi)容過濾等信息進行詳細的記錄。3.4.2入侵檢測與防御入侵檢測幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，擴展系統(tǒng)管理員的安全管理能力（包括安全審計、監(jiān)視、攻擊識別和響應(yīng)），提高信息安全基礎(chǔ)結(jié)構(gòu)的完整性。它在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從計算機網(wǎng)絡(luò)系統(tǒng)中收集信息，并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測作為一種積極主動地安全防護技術(shù)，對內(nèi)部攻擊、外部攻擊及時做出響應(yīng)，包括阻塞網(wǎng)絡(luò)連接、記錄事件和報警等，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵，第三章**集團企業(yè)信息化及安全整體解決方案被認為是防火墻之后的第二道安全閘門。這些通過以下工作來實現(xiàn)：?監(jiān)視、分析用戶及系統(tǒng)活動；?系統(tǒng)構(gòu)造和弱點的審計；?識別反映已知進攻的活動模式并向相關(guān)人士報替；?異常行為模式的統(tǒng)計分析；?評估重要系統(tǒng)和數(shù)據(jù)文件的完整性；?操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為。對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點是，它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。從而達到對網(wǎng)絡(luò)實現(xiàn)立體縱深、多層次保護的目的。實時監(jiān)控或最近的網(wǎng)絡(luò)數(shù)據(jù)監(jiān)控。實時地顯示、監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)流量并記入日志。每小時網(wǎng)絡(luò)數(shù)據(jù)流量記入日志，顯示并提供詳細的信息。本地或遠程的服務(wù)器服務(wù)的用戶信息。網(wǎng)絡(luò)負載容量和系統(tǒng)狀態(tài)的實時顯示。實時檢測、攔截并跟蹤黑客入侵行為檢測、攔截并通過各種方式（手機短信息、e朋i1，etc）發(fā)布警告信息給系統(tǒng)管理員。支持各種規(guī)則配置保證檢測和阻止黑客入侵。支持追蹤黑客，定位黑客的攻擊位置。信息管理，檢測并阻止訪問非授權(quán)的web站點（色情、娛樂等等）通過關(guān)鍵字的搜尋對e一mail和web一mail信息流出進行攔截和記入日志。第三章**集團企業(yè)信息化及安全整體解決方案對于千兆網(wǎng)絡(luò)的完善支持。并聯(lián)式被動抓包技術(shù)（掃描和抓包）不影響網(wǎng)絡(luò)流量。簡便的安裝和方便的操作（集成了S/W和H/W）。獨立安裝的系統(tǒng)保證更好地防御安全入侵。遠程監(jiān)控和集中控制。支持和（IAP）控制中心的通訊交流。檢測/保護/警告根據(jù)入侵檢測規(guī)則阻斷非法網(wǎng)絡(luò)流量，發(fā)布警告和報告（通過報警、e—mail、移動電話）給網(wǎng)絡(luò)管理人員。提供黑客的不同信息（目的、黑客行為、攻擊嘗試的數(shù)量、解決辦法、黑客攻擊的起止時間等等）。提供針對不同的攻擊行為的詳細信息和對策。提供詳盡的黑客文件來定位黑客位置?？刂菩畔ⅰM出的郵件進行有效的信息管理（發(fā)送者和接受者）。檢測e一11（信息體和附件）并可以通過關(guān)鍵字的匹配進行阻斷（保證保密或機密信息不泄漏）。記錄Telnet，F(xiàn)tP和遠程登錄的詳細信息。管理訪問未授權(quán)的網(wǎng)頁（包括色情、娛樂和股票信息等）的信息?？刂坪凸芾碛脖P共享功能（對于PC機）?？刂铺囟ǖ姆?wù)器、客戶端和服務(wù)（協(xié)議），如果需要可以定義規(guī)則阻斷非法連接。提供根據(jù)字符串匹配檢索日志記錄。報告功能，實時或定期的網(wǎng)絡(luò)使用情況的詳細信息報告。黑客攻擊信息/檢測信息/保護信息/阻止信息報告。第三章**集團企業(yè)信息化及安全整體解決方案數(shù)據(jù)交換詳細信息報告，包括e—mail（正文/附件）、Web—mail、Telnet、Ftp和遠程登錄等等。提供阻斷硬盤共享、本地/遠程用戶不合法信息的報告。提供各種黑客攻擊行為的報告。各種不同的打印和輸出格式。各種圖形和報表報告?；谟嬎銠C、服務(wù)、時間、單個記錄/群體的報告。根據(jù)不同時間段（月、天、小時）產(chǎn)生統(tǒng)計報表。設(shè)置統(tǒng)一管理權(quán)限。設(shè)置允許登錄IP地址，保證只有合法IP的特定用戶才能登錄系統(tǒng)。本地客戶機管理。根據(jù)IP地址管理數(shù)據(jù)流是否合法。攔截規(guī)則設(shè)置。根據(jù)每臺服務(wù)器情況和每個服務(wù)（端口）情況設(shè)置攔截端口。日志設(shè)置，網(wǎng)絡(luò)數(shù)據(jù)實時監(jiān)控設(shè)置。入侵檢測與防御解決方案利用在線式IPS和旁路式IDS實現(xiàn)。3.4.3安全漏洞掃描和評估安全漏洞掃描產(chǎn)品能夠最全面的評估企業(yè)范圍內(nèi)的所有網(wǎng)絡(luò)服務(wù)、防火墻、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等系統(tǒng)的安全狀況，找出存在的安全漏洞，按照高中底三種風(fēng)險級別羅列出來，同時針對每個漏洞給出修補的辦法。漏洞掃描器的對象是基于TCP協(xié)議的網(wǎng)絡(luò)設(shè)備，包括服務(wù)器、路由器交換機、工作站、網(wǎng)絡(luò)打印機、防火墻等，通過模擬黑客攻擊手法，探測網(wǎng)絡(luò)設(shè)備存在的弱點，提醒安全管理員，及時完善安全策略，降低安全風(fēng)險。只需在**集團公司中心機房配置一臺機器上安裝上漏洞掃描器即可對全網(wǎng)所有網(wǎng)絡(luò)設(shè)備及服務(wù)器等進行掃描。設(shè)置對昵B服務(wù)器、郵柞服務(wù)器、DNS服務(wù)器、數(shù)據(jù)庫服務(wù)器、等進行基于網(wǎng)絡(luò)的掃描。系統(tǒng)掃描器通過對企業(yè)內(nèi)部操作系統(tǒng)安全弱點的全面分析幫助組織管理安全風(fēng)險。系統(tǒng)掃描比較一個組織規(guī)定的安全策略和實際的主機配置來發(fā)現(xiàn)潛在的安全風(fēng)險，包括缺少安全補丁、詞典中中可猜中的口令，不適當(dāng)?shù)挠脩魴?quán)限、不正確的系統(tǒng)登陸權(quán)限、不安全的服務(wù)配置和代表攻擊的可以行為等等。系統(tǒng)掃描器采用Console/Agent結(jié)構(gòu)，首先需要一臺Console，在被掃描的機器上安裝Agent代理，由Console集中管理所有的Agent的掃描服務(wù)。數(shù)據(jù)庫掃描器是針對數(shù)據(jù)庫管理系統(tǒng)的風(fēng)險評估檢測工具，可以利用它建立數(shù)據(jù)庫的安全規(guī)則，通過運用審核程序來提供有關(guān)安全風(fēng)險和位置的簡明報告。利用數(shù)據(jù)庫掃描器定期地通過網(wǎng)絡(luò)快速、方便地掃描數(shù)據(jù)庫，去檢查數(shù)據(jù)庫特有的安全漏洞，全面評估所有的安全漏洞和認證、授權(quán)、完整性方面的問題。數(shù)據(jù)庫掃描器目前支持的數(shù)據(jù)庫類型有：MSSQLServer、ora。le和Sybase等。只需在一臺PC上安裝上數(shù)據(jù)庫掃描器即可通過網(wǎng)絡(luò)對數(shù)據(jù)庫實施安全漏洞檢測。計劃配置一臺便攜式筆記本電腦安裝漏洞掃描軟件，從不同的網(wǎng)絡(luò)位置掃描**集團中心機房所有的應(yīng)用服務(wù)器、交換機路由器、防火墻等聯(lián)網(wǎng)設(shè)備，該筆記本電腦還可以同時安裝系統(tǒng)掃描器的Console以及數(shù)據(jù)庫掃描器。3.4.4防病毒系統(tǒng)通過對病毒在網(wǎng)絡(luò)中存儲、傳播、感染的各種方式和途徑進行分析，結(jié)合當(dāng)代企業(yè)網(wǎng)絡(luò)的特點，在網(wǎng)絡(luò)安全的病毒防護方面應(yīng)該采用“多級防范，集中管理，以