大型網(wǎng)絡(luò)安全解決方案（精選12篇）

    方案的制定是為了有效利用資源、提高效率和達(dá)到預(yù)期的目標(biāo)。我們可以借鑒先進(jìn)的經(jīng)驗(yàn)和成功的案例，來(lái)指導(dǎo)我們的方案設(shè)計(jì)。接下來(lái)是一些方案范例，供大家參考和學(xué)習(xí)。
    大型網(wǎng)絡(luò)安全解決方案篇一
    為提高處理醫(yī)院信息網(wǎng)絡(luò)系統(tǒng)安全突發(fā)事件的應(yīng)對(duì)能力，及時(shí)應(yīng)對(duì)網(wǎng)絡(luò)突發(fā)故障，維護(hù)正常的門診、住院工作流程和醫(yī)療程序，保障患者正常就醫(yī)，特制定醫(yī)院信息系統(tǒng)應(yīng)急規(guī)劃。
    一、組織機(jī)構(gòu)：
    略
    二、應(yīng)急范圍。
    范圍：?jiǎn)蝹€(gè)計(jì)算機(jī)、外圍設(shè)備、服務(wù)器、網(wǎng)絡(luò)設(shè)備、電腦病毒感染、停電。
    三、報(bào)告程序及規(guī)劃啟動(dòng)。
    a、報(bào)告程序。
    如出現(xiàn)網(wǎng)絡(luò)安全問題，網(wǎng)管員應(yīng)立即上報(bào)主任與分管院長(zhǎng)或總值班室，請(qǐng)求一定的協(xié)助。
    b、規(guī)劃啟動(dòng)。
    當(dāng)整個(gè)網(wǎng)絡(luò)停止使用時(shí)，各科室采取以下方式進(jìn)行運(yùn)行。
    1、各醫(yī)生工作站采取手式開處方。
    2、門診收費(fèi)處應(yīng)隨時(shí)準(zhǔn)備發(fā)票，進(jìn)行手工收費(fèi)。
    3、門診西藥房與中藥房采取手工發(fā)藥，并應(yīng)備用藥品價(jià)格表(如價(jià)格有調(diào)整藥劑科應(yīng)及時(shí)通知各藥房更改)。
    4、住院科室用藥，查閱處方后到住院西藥房采取借藥方式進(jìn)行。
    5、住院西藥房采取手工方式發(fā)藥操作，并做好各科室藥品的登記。
    四、預(yù)防措施。
    1、軟件系統(tǒng)故障：操作員可以關(guān)閉計(jì)算機(jī)并撥除電源插座，過一分鐘后重新啟動(dòng)計(jì)算機(jī)將自動(dòng)修復(fù)錯(cuò)誤。同時(shí)信息科應(yīng)做好軟件操作系統(tǒng)的快速備份，在最短的時(shí)間內(nèi)恢復(fù)計(jì)算機(jī)運(yùn)行。(如不能正常關(guān)閉計(jì)算機(jī)，可直接按主機(jī)電源5秒強(qiáng)行關(guān)閉，此操作對(duì)計(jì)算機(jī)有損害請(qǐng)盡量避免)。
    2、硬件系統(tǒng)故障：如發(fā)現(xiàn)在鼠標(biāo)、鍵盤、顯示器或不能啟動(dòng)計(jì)算機(jī)，請(qǐng)與信息科聯(lián)系，經(jīng)網(wǎng)管員檢測(cè)不能立即修復(fù)的，網(wǎng)管員應(yīng)立即起用備用設(shè)備對(duì)其進(jìn)行更換，同時(shí)信息科應(yīng)好備用計(jì)算機(jī)的工作。
    3、打印機(jī)系統(tǒng)故障：如打印機(jī)在工作中出現(xiàn)異常(打印頭溫度過高、打印頭發(fā)出異響、進(jìn)紙器卡紙)，操作員應(yīng)立即關(guān)閉打印機(jī)電源與信息科聯(lián)系，網(wǎng)管員經(jīng)檢測(cè)不能修復(fù)，可采用備用打印機(jī)替換，計(jì)算機(jī)操作員不能帶電拆解打印機(jī)與計(jì)算機(jī)外部器件。
    4、網(wǎng)絡(luò)：網(wǎng)線、交換機(jī)、光纖模塊、ups電源故障，由信息科進(jìn)行檢修，如不能在立即修復(fù)采用備用設(shè)備進(jìn)行更換，保證網(wǎng)絡(luò)的正常運(yùn)行。
    5、服務(wù)器。
    a、ups電源故障：我們現(xiàn)有兩臺(tái)服務(wù)器電源是接入1kv的ups電源，保證在停電狀態(tài)下醫(yī)院數(shù)據(jù)庫(kù)的安全，如ups出現(xiàn)故障，服務(wù)器暫時(shí)接入市電啟動(dòng)服務(wù)器運(yùn)行。
    b、軟件系統(tǒng)故障：當(dāng)軟件系統(tǒng)出現(xiàn)故障，網(wǎng)管員應(yīng)采取相應(yīng)的方法盡快解決，如不能立即解決應(yīng)立即起用報(bào)告制度與手工操作方式(見后)。
    c、硬件系統(tǒng)故障：當(dāng)硬件系統(tǒng)出現(xiàn)故障，不能修復(fù)應(yīng)立即起用備用服務(wù)器，替代主服務(wù)器進(jìn)行工作。
    d、數(shù)據(jù)安全與病毒防范：網(wǎng)管員應(yīng)每天檢查服務(wù)器的數(shù)據(jù)備份與實(shí)時(shí)數(shù)據(jù)的運(yùn)行狀況，如出現(xiàn)異常應(yīng)立即停止工作站操作查找原因，并對(duì)實(shí)時(shí)數(shù)據(jù)采取備份保留。網(wǎng)管員應(yīng)定時(shí)升級(jí)服務(wù)器病毒數(shù)據(jù)庫(kù)，定時(shí)手工查殺病毒并打開服務(wù)器實(shí)時(shí)病毒監(jiān)控系統(tǒng)，如工作站受到病毒感染應(yīng)立即關(guān)閉計(jì)算機(jī)，等待網(wǎng)管員通知開機(jī)。
    大型網(wǎng)絡(luò)安全解決方案篇二
    隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)的快速發(fā)展，基于網(wǎng)絡(luò)的應(yīng)用已無(wú)孔不入地滲透到了社會(huì)的每一個(gè)角落，信息網(wǎng)絡(luò)技術(shù)是一把雙刃劍，它在促進(jìn)國(guó)民經(jīng)濟(jì)建設(shè)、豐富人民物質(zhì)文化生活的同時(shí)，也對(duì)傳統(tǒng)的國(guó)家安全體系、政府安全體系、企業(yè)安全體系提出了嚴(yán)峻的挑戰(zhàn)，使得國(guó)家的機(jī)密、政府敏感信息、企業(yè)商業(yè)機(jī)密、企業(yè)生產(chǎn)運(yùn)行等面臨巨大的安全威脅。
    政府各部門信息化基礎(chǔ)設(shè)施相對(duì)完善，信息化建設(shè)總體上處于較高水平。由于政務(wù)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全性與穩(wěn)定性的特殊要求，建立電子政務(wù)網(wǎng)安全整體防護(hù)體系，制定恰當(dāng)?shù)陌踩呗?，加?qiáng)安全管理，提高電子政務(wù)網(wǎng)的安全保障能力，是當(dāng)前迫在眉睫的大事。
    本文以一個(gè)廳局級(jí)單位的網(wǎng)絡(luò)為例，分析其面臨的威脅，指出了部署安全防護(hù)的總體策略，探討了安全防護(hù)的技術(shù)措施。
    政府各部門的信息網(wǎng)絡(luò)一般分為：涉密網(wǎng)、非涉密內(nèi)網(wǎng)、外網(wǎng)，按照國(guó)家保密局要求，涉密網(wǎng)與外網(wǎng)物理斷開。大部分單位建設(shè)有非涉密內(nèi)網(wǎng)和外網(wǎng)。以某局級(jí)單位的內(nèi)網(wǎng)為例，分析其潛在安全威脅如下：
    局級(jí)政務(wù)網(wǎng)上與市政務(wù)網(wǎng)相聯(lián)，下與區(qū)屬局級(jí)單位相聯(lián);在本局大樓內(nèi)，聯(lián)接各處室、網(wǎng)絡(luò)中心、業(yè)務(wù)窗口、行政服務(wù)中心等部門;對(duì)外還直接或間接地聯(lián)到internet。由于網(wǎng)絡(luò)結(jié)構(gòu)比較復(fù)雜，連接的部門多，使用人員多，并且存在各種異構(gòu)設(shè)備、多種應(yīng)用系統(tǒng)，因此政務(wù)網(wǎng)絡(luò)上存在的潛在安全威脅非常之大。
    如果從威脅來(lái)源渠道的角度來(lái)看，有來(lái)自internet的安全威脅、來(lái)自內(nèi)部的安全威脅，有有意的人為安全威脅、有無(wú)意的人為安全威脅。
    如果從安全威脅種類的角度來(lái)看，有黑客攻擊、病毒侵害、木馬、惡意代碼、拒絕服務(wù)、后門、信息外泄、信息丟失、信息篡改、資源占用等。
    安全威脅種類示意圖如下：
    如果依據(jù)網(wǎng)絡(luò)的理論模型進(jìn)行分析，有物理安全風(fēng)險(xiǎn)、鏈路傳輸安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)互聯(lián)安全風(fēng)險(xiǎn)、系統(tǒng)安全風(fēng)險(xiǎn)、應(yīng)用安全風(fēng)險(xiǎn)、以及管理安全風(fēng)險(xiǎn)。
    如下圖所示：
    三、總體策略。
    信息系統(tǒng)安全體系覆蓋通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)、系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)，覆蓋網(wǎng)絡(luò)的各個(gè)層面，覆蓋各項(xiàng)安全功能，是一個(gè)多維度全方位的安全結(jié)構(gòu)模型。安全體系的建立，應(yīng)從設(shè)施、技術(shù)到管理整個(gè)經(jīng)營(yíng)運(yùn)作體系進(jìn)行通盤考慮，因此必須以系統(tǒng)工程的方法進(jìn)行設(shè)計(jì)。
    從目前安全技術(shù)的總體發(fā)展水平與諸種因素情況來(lái)看，絕對(duì)安全是不可能的，需要在系統(tǒng)的可用性和性能、投資以及安全保障程度之間形成一定的平衡，通過相應(yīng)安全措施的實(shí)施把風(fēng)險(xiǎn)降低到可接受的程度。
    廳局級(jí)單位的網(wǎng)絡(luò)安全體系設(shè)計(jì)本著：適度集中，分散風(fēng)險(xiǎn)，突出重點(diǎn)，分級(jí)保護(hù)的總體策略。
    根據(jù)中辦發(fā)[]27號(hào)文件精神，政府部門安全防護(hù)的總體策略是：
    2、建設(shè)和完善信息安全監(jiān)控體系;。
    3、建立信息安全應(yīng)急響應(yīng)機(jī)制;。
    4、加快信息安全人才培養(yǎng)，增強(qiáng)公務(wù)人員信息安全意識(shí);。
    5、加強(qiáng)對(duì)信息安全保障工作的領(lǐng)導(dǎo)，建立健全信息安全管理責(zé)任制。
    四、主要技術(shù)措施。
    針對(duì)不同的安全風(fēng)險(xiǎn)種類，相應(yīng)的技術(shù)措施如下表：
    安全威脅種類。
    相應(yīng)的技術(shù)措施。
    管理安全：管理員權(quán)限、口令、錯(cuò)誤操作、資源亂用、內(nèi)部攻擊、內(nèi)部泄密。
    管理體系、管理制度、管理措施、訪問控制、認(rèn)證審計(jì)等技術(shù)。
    應(yīng)用安全：來(lái)自應(yīng)用軟件、數(shù)據(jù)庫(kù)的漏洞，包括資源共享、email、病毒等。
    防火墻、物理隔離、入侵檢測(cè)、病毒防護(hù)、aaa認(rèn)證技術(shù)、數(shù)據(jù)加密、內(nèi)容過濾、數(shù)據(jù)備份、災(zāi)難恢復(fù)。
    系統(tǒng)安全：操作系統(tǒng)的脆弱性、協(xié)議的脆弱性、漏洞、錯(cuò)誤配置。
    漏洞掃描、防火墻、物理隔離、入侵檢測(cè)、病毒防護(hù)、主機(jī)加固。
    傳輸安全：在傳輸線路上竊取數(shù)據(jù)。
    vpn加密技術(shù)。
    網(wǎng)絡(luò)互聯(lián)安全：來(lái)自internet、系統(tǒng)內(nèi)網(wǎng)絡(luò)、系統(tǒng)外網(wǎng)絡(luò)、內(nèi)部局域網(wǎng)、撥號(hào)網(wǎng)絡(luò)等的安全威脅。
    防火墻、物理隔離、入侵檢測(cè)、aaa認(rèn)證技術(shù)。
    物理安全：地震、火災(zāi)、水災(zāi)、設(shè)備硬件損壞、電源故障、被盜等。
    設(shè)備冗余、線路冗余、數(shù)據(jù)備份、異地備災(zāi)中心等。
    五、部署方案簡(jiǎn)述。
    本方案針對(duì)局級(jí)政務(wù)內(nèi)網(wǎng)和外網(wǎng)進(jìn)行整體安全設(shè)計(jì)。政務(wù)外網(wǎng)主要提供對(duì)社會(huì)公眾的信息發(fā)布平臺(tái)，可以通過邏輯隔離設(shè)備聯(lián)入互聯(lián)網(wǎng)，政務(wù)內(nèi)網(wǎng)主要運(yùn)行政務(wù)網(wǎng)內(nèi)部公文等oa系統(tǒng)，縱向與上級(jí)單位和下級(jí)單位網(wǎng)絡(luò)相連，橫向通過物理隔離設(shè)備與政務(wù)外網(wǎng)相連。
    在內(nèi)部網(wǎng)絡(luò)中，大量的工作站是病毒進(jìn)行攻擊的主要目標(biāo)之一。由于各工作站在日常工作中進(jìn)行頻繁的郵件收發(fā)、數(shù)據(jù)傳輸拷貝、應(yīng)用軟件執(zhí)行等操作，再加之內(nèi)部人員上網(wǎng)瀏覽、下載程序及利用軟盤、光盤進(jìn)行文件復(fù)制等，使得病毒感染的可能性極大。當(dāng)前的病毒傳染現(xiàn)狀是，一旦一臺(tái)工作站染毒，則會(huì)很快蔓延至整個(gè)網(wǎng)絡(luò)范圍，造成業(yè)務(wù)系統(tǒng)及辦公網(wǎng)絡(luò)的極大損害。因此，應(yīng)在所有的工作站上部署客戶端防病毒產(chǎn)品。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。其最大特點(diǎn)是擁有最靈活的`產(chǎn)品集中部署方式，不受windows域管理模式的約束，除支持sms、登錄域腳本、共享安裝以外，還支持純web的部署方式，可以在安裝時(shí)設(shè)定的防病毒策略下，自動(dòng)地進(jìn)行日常所有的防毒、殺毒、更新、升級(jí)工作，極大地方便了管理員的操作，并提供最為及時(shí)有效的病毒防范機(jī)制。
    大型網(wǎng)絡(luò)安全解決方案篇三
    作為無(wú)線網(wǎng)絡(luò)的發(fā)展，企業(yè)級(jí)的應(yīng)用無(wú)疑起到了巨大的促進(jìn)作用，面對(duì)越來(lái)越多的企業(yè)構(gòu)建，使用無(wú)線網(wǎng)絡(luò)，已經(jīng)從簡(jiǎn)單的構(gòu)建發(fā)展到越來(lái)越繁瑣。無(wú)線環(huán)境的多樣化，帶來(lái)的問題也就日益增多。建立一個(gè)嶄新的企業(yè)級(jí)無(wú)線網(wǎng)絡(luò)解決方案是我們新一輪的討論重點(diǎn)。
    毫無(wú)疑問，互聯(lián)網(wǎng)正在改變著人類社會(huì)，無(wú)數(shù)基于新模式的應(yīng)用締造了信息時(shí)代的空前繁榮。人越是離不開網(wǎng)絡(luò)，傳統(tǒng)的有線連接方式就越難滿足需求。很自然地，擺脫了線纜束縛的無(wú)線以太網(wǎng)憑借自由、便捷等特性，受到越來(lái)越多用戶的青睞，逐漸成為有線網(wǎng)絡(luò)不可或缺的補(bǔ)充。甚至，在一些特殊的應(yīng)用環(huán)境中，用戶已經(jīng)開始使用無(wú)線網(wǎng)絡(luò)承載生產(chǎn)及業(yè)務(wù)環(huán)境，運(yùn)行著關(guān)鍵業(yè)務(wù)或增值服務(wù)。如何做好無(wú)線網(wǎng)絡(luò)解決方案的選型，已成為許多cio們關(guān)心的話題。
    談及無(wú)線，貌似必談性能。但在理性的評(píng)估標(biāo)準(zhǔn)中，性能絕不是唯一重要的考察項(xiàng)目，架構(gòu)理念才是最值得關(guān)注的評(píng)估內(nèi)容，因?yàn)樗苯記Q定了一套無(wú)線網(wǎng)絡(luò)解決方案的擴(kuò)展性、安全性和功能復(fù)雜度。此外，與高度整合的消費(fèi)級(jí)或soho級(jí)產(chǎn)品不同，面向大中型企業(yè)或園區(qū)用戶的無(wú)線解決方案必須面對(duì)更多的部署難題和非常復(fù)雜的應(yīng)用需求。
    既然全面離散是企業(yè)級(jí)無(wú)線解決方案不可接受的模式，那么全面集中是否又能滿足需求呢?市場(chǎng)上確實(shí)存在一些“無(wú)線交換機(jī)+瘦ap”的解決方案，這類方案采用集中管理、業(yè)務(wù)集中處理的激進(jìn)思路，將瘦ap定位成純粹的分布式天線，由無(wú)線交換機(jī)負(fù)責(zé)剩下的一切，在邏輯上猶如一個(gè)超大的傳統(tǒng)ap。
    這確實(shí)能夠解決傳統(tǒng)方案在漫游切換(延遲抖動(dòng))和性能(吞吐量)方面存在的問題，但也有著天生的缺陷。由于所有數(shù)據(jù)都通過無(wú)線交換機(jī)進(jìn)行集中轉(zhuǎn)發(fā)處理，首先ap數(shù)量就受到約束;如果部署更多的無(wú)線交換機(jī)，網(wǎng)絡(luò)的復(fù)雜度又變的難以控制。
    此外，處于邏輯中央的無(wú)線交換機(jī)成為可靠性的黑洞，用戶不得不為避免單點(diǎn)故障進(jìn)行雙倍投資。并且，隨著802.11n規(guī)格的普及，鏈路帶寬與無(wú)線交換機(jī)本身處理能力的瓶頸變得更加突出，使方案在成本與效果方面再打折扣。
    針對(duì)以上問題，hpprocurve提出了新一代的自適應(yīng)無(wú)線網(wǎng)絡(luò)解決方案。這套方案堅(jiān)持采用集中管理的方式，但不再?gòu)?qiáng)制進(jìn)行業(yè)務(wù)的集中處理。通過強(qiáng)化ap自身的處理能力，可將數(shù)據(jù)加解密、qos、身份認(rèn)證等特性在無(wú)線網(wǎng)絡(luò)邊緣實(shí)現(xiàn)，只有需要做進(jìn)一步處理的數(shù)據(jù)流才會(huì)到達(dá)無(wú)線控制器，消除了對(duì)中央資源的依賴。
    也就是說，在多數(shù)情況下，無(wú)線控制器與ap間可以只存在管理控制的數(shù)據(jù)流;ap間實(shí)現(xiàn)分布式轉(zhuǎn)發(fā)，業(yè)務(wù)數(shù)據(jù)走的是直連路徑，實(shí)現(xiàn)源到目的地的直通。這樣一來(lái)，該方案在繼承了集中管理控制的操作優(yōu)勢(shì)的同時(shí)，又有著更高的處理效率及性能，對(duì)時(shí)延敏感型應(yīng)用有著很好的支持。分布式處理從另一個(gè)角度提高了方案的可靠性，至少在無(wú)線控制器出現(xiàn)故障時(shí)，ap依然可以繼續(xù)工作，獨(dú)立地轉(zhuǎn)發(fā)數(shù)據(jù)。
    為了驗(yàn)證hpprocurve企業(yè)無(wú)線網(wǎng)絡(luò)解決方案的實(shí)際效果，我們?cè)诨萜展镜闹С窒?，已?jīng)在實(shí)驗(yàn)室成功搭建起一套完整的環(huán)境。工程師們將會(huì)盡快對(duì)其進(jìn)行全方位的測(cè)試，為讀者朋友們帶來(lái)精彩的連載報(bào)道。
    大型網(wǎng)絡(luò)安全解決方案篇四
    網(wǎng)絡(luò)安全中的入侵檢測(cè)系統(tǒng)是近年來(lái)出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，也是重要的網(wǎng)絡(luò)安全工具。下面是有網(wǎng)絡(luò)安全解決方案設(shè)計(jì)，歡迎參閱。
    一、客戶背景。
    集團(tuán)內(nèi)聯(lián)網(wǎng)主要以總部局域網(wǎng)為核心，采用廣域網(wǎng)方式與外地子公司聯(lián)網(wǎng)。集團(tuán)廣域網(wǎng)采用mpls-技術(shù)，用來(lái)為各個(gè)分公司提供骨干網(wǎng)絡(luò)平臺(tái)和接入，各個(gè)分公司可以在集團(tuán)的骨干信息網(wǎng)絡(luò)系統(tǒng)上建設(shè)各自的子系統(tǒng)，確保各類系統(tǒng)間的相互獨(dú)立。
    二、安全威脅。
    某公司屬于大型上市公司，在北京，上海、廣州等地均有分公司。公司內(nèi)部采用無(wú)紙化辦公，oa系統(tǒng)成熟。每個(gè)局域網(wǎng)連接著該所有部門，所有的數(shù)據(jù)都從局域網(wǎng)中傳遞。同時(shí)，各分公司采用技術(shù)連接公司總部。該單位為了方便，將相當(dāng)一部分業(yè)務(wù)放在了對(duì)外開放的網(wǎng)站上，網(wǎng)站也成為了既是對(duì)外形象窗口又是內(nèi)部辦公窗口。
    由于網(wǎng)絡(luò)設(shè)計(jì)部署上的缺陷，該單位局域網(wǎng)在建成后就不斷出現(xiàn)網(wǎng)絡(luò)擁堵、網(wǎng)速特別慢的情況，同時(shí)有些個(gè)別機(jī)器上的殺毒軟件頻頻出現(xiàn)病毒報(bào)警，網(wǎng)絡(luò)經(jīng)常癱瘓，每次時(shí)間都持續(xù)幾十分鐘，網(wǎng)管簡(jiǎn)直成了救火隊(duì)員，忙著清除病毒，重裝系統(tǒng)。對(duì)外web網(wǎng)站同樣也遭到黑客攻擊，網(wǎng)頁(yè)遭到非法篡改，有些網(wǎng)頁(yè)甚至成了傳播不良信息的平臺(tái)，不僅影響到網(wǎng)站的正常運(yùn)行，而且還對(duì)政府形象也造成不良影響。(安全威脅根據(jù)拓?fù)鋱D分析)從網(wǎng)絡(luò)安全威脅看，集團(tuán)網(wǎng)絡(luò)的威脅主要包括外部的攻擊和入侵、內(nèi)部的攻擊或誤用、企業(yè)內(nèi)的病毒傳播，以及安全管理漏洞等信息安全現(xiàn)狀：經(jīng)過分析發(fā)現(xiàn)該公司信息安全基本上是空白，主要有以下問題：
    公司沒有制定信息安全政策，信息管理不健全。公司在建內(nèi)網(wǎng)時(shí)與internet的連接沒有防火墻。內(nèi)部網(wǎng)絡(luò)(同一城市的各分公司)之間沒有任何安全保障為了讓網(wǎng)絡(luò)正常運(yùn)行。
    根據(jù)我國(guó)《信息安全等級(jí)保護(hù)管理辦法》的信息安全要求，近期公司決定對(duì)該網(wǎng)絡(luò)加強(qiáng)安全防護(hù)，解決目前網(wǎng)絡(luò)出現(xiàn)的安全問題。
    三、安全需求。
    從安全性和實(shí)用性角度考慮，安全需求主要包括以下幾個(gè)方面：
    1、安全管理咨詢。
    安全建設(shè)應(yīng)該遵照7分管理3分技術(shù)的原則，通過本次安全項(xiàng)目，可以發(fā)現(xiàn)集團(tuán)現(xiàn)有安全問題，并且協(xié)助建立起完善的安全管理和安全組織體系。
    2、集團(tuán)骨干網(wǎng)絡(luò)邊界安全。
    主要考慮骨干網(wǎng)絡(luò)中internet出口處的安全，以及移動(dòng)用戶、遠(yuǎn)程撥號(hào)訪問用戶的安全。
    3、集團(tuán)骨干網(wǎng)絡(luò)服務(wù)器安全。
    主要考慮骨干網(wǎng)絡(luò)中網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的服務(wù)器，包括oa、財(cái)務(wù)、人事、內(nèi)部web等內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)的安全。
    4、集團(tuán)內(nèi)聯(lián)網(wǎng)統(tǒng)一的病毒防護(hù)。
    主要考慮集團(tuán)內(nèi)聯(lián)網(wǎng)中，包括總公司在內(nèi)的所有公司的病毒防護(hù)。
    5、統(tǒng)一的增強(qiáng)口令認(rèn)證系統(tǒng)。
    由于系統(tǒng)管理員需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備，如何確?？诹畎踩Q為一個(gè)重要的問題。
    6、統(tǒng)一的安全管理平臺(tái)。
    通過在集團(tuán)內(nèi)聯(lián)網(wǎng)部署統(tǒng)一的安全管理平臺(tái)，實(shí)現(xiàn)集團(tuán)總部對(duì)全網(wǎng)安全狀況的集中監(jiān)測(cè)、安全策略的統(tǒng)一配置管理、統(tǒng)計(jì)分析各類安全事件、以及處理各種安全突發(fā)事件。
    7、專業(yè)安全服務(wù)。
    過專業(yè)安全服務(wù)建立全面的安全策略、管理組織體系及相關(guān)管理制度，全面評(píng)估企業(yè)網(wǎng)絡(luò)中的信息資產(chǎn)及其面臨的安全風(fēng)險(xiǎn)情況，在必要的情況下，進(jìn)行主機(jī)加固和網(wǎng)絡(luò)加固。通過專業(yè)緊急響應(yīng)服務(wù)保證企業(yè)在面臨緊急事件情況下的處理能力，降低安全風(fēng)險(xiǎn)。
    骨干網(wǎng)邊界安全。
    集團(tuán)骨干網(wǎng)共有一個(gè)internet出口，位置在總部，在internet出口處部署linktrustcyberwall-200f/006防火墻一臺(tái)。
    networkdefender可以實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)中的異常流量，防止惡意入侵。
    集團(tuán)骨干網(wǎng)服務(wù)器主要指網(wǎng)絡(luò)中的網(wǎng)關(guān)服務(wù)器和集團(tuán)內(nèi)部的應(yīng)用服務(wù)器包括oa、財(cái)務(wù)、人事、內(nèi)部web等，以及專為此次項(xiàng)目配置的、用于安全產(chǎn)品管理的服務(wù)器的安全。主要考慮為在服務(wù)器區(qū)配置千兆防火墻，實(shí)現(xiàn)服務(wù)器區(qū)與辦公區(qū)的隔離，并將內(nèi)部信息系統(tǒng)服務(wù)器區(qū)和安全管理服務(wù)器區(qū)在防火墻上實(shí)現(xiàn)邏輯隔離。還考慮到在服務(wù)器區(qū)配置主機(jī)入侵檢測(cè)系統(tǒng)，在網(wǎng)絡(luò)中配置百兆網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，實(shí)現(xiàn)主機(jī)及網(wǎng)絡(luò)層面的主動(dòng)防護(hù)。
    漏洞掃描。
    了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些安全漏洞，新出現(xiàn)的安全問題等，都要求信息系統(tǒng)自身和用戶作好安全評(píng)估。安全評(píng)估主要分成網(wǎng)絡(luò)安全評(píng)估、主機(jī)安全評(píng)估和數(shù)據(jù)庫(kù)安全評(píng)估三個(gè)層面。
    內(nèi)聯(lián)網(wǎng)病毒防護(hù)。
    病毒防范是網(wǎng)絡(luò)安全的一個(gè)基本的、重要部分。通過對(duì)病毒傳播、感染的各種方式和途徑進(jìn)行分析，結(jié)合集團(tuán)網(wǎng)絡(luò)的特點(diǎn)，在網(wǎng)絡(luò)安全的病毒防護(hù)方面應(yīng)該采用“多級(jí)防范，集中管理，以防為主、防治結(jié)合”的動(dòng)態(tài)防毒策略。
    病毒防護(hù)體系主要由桌面網(wǎng)絡(luò)防毒、服務(wù)器防毒和郵件防毒三個(gè)方面。
    增強(qiáng)的身份認(rèn)證系統(tǒng)。
    由于需要管理大量的主機(jī)和網(wǎng)絡(luò)設(shè)備，如何確?？诹畎踩彩且粋€(gè)非常重要的問題。減小口令危險(xiǎn)的最為有效的辦法是采用雙因素認(rèn)證方式。雙因素認(rèn)證機(jī)制不僅僅需要用戶提供一個(gè)類似于口令或者pin的單一識(shí)別要素，而且需要第二個(gè)要素，也即用戶擁有的，通常是認(rèn)證令牌，這種雙因素認(rèn)證方式提供了比可重用的口令可靠得多的用戶認(rèn)證級(jí)別。用戶除了知道他的pin號(hào)碼外，還必須擁有一個(gè)認(rèn)證令牌。而且口令一般是一次性的，這樣每次的口令是動(dòng)態(tài)變化的，大大提高了安全性。
    統(tǒng)一安全平臺(tái)的建立。
    通過建立統(tǒng)一的安全管理平臺(tái)(安全運(yùn)行管理中心—soc)，建立起集團(tuán)的安全風(fēng)險(xiǎn)監(jiān)控體系，利于從全局的角度發(fā)現(xiàn)網(wǎng)絡(luò)中存在的安全問題，并及時(shí)歸并相關(guān)人員處理。這里的風(fēng)險(xiǎn)監(jiān)控體系包括安全信息庫(kù)、安全事件收集管理系統(tǒng)、安全工單系統(tǒng)等，同時(shí)開發(fā)有效的多種手段實(shí)時(shí)告警系統(tǒng)，定制高效的安全報(bào)表系統(tǒng)。
    1.1安全系統(tǒng)建設(shè)目標(biāo)。
    本技術(shù)方案旨在為某市政府網(wǎng)絡(luò)提供全面的網(wǎng)絡(luò)系統(tǒng)安全解決方案，包括安全管理制度策略的制定、安全策略的實(shí)施體系結(jié)構(gòu)的設(shè)計(jì)、安全產(chǎn)品的選擇和部署實(shí)施，以及長(zhǎng)期的合作和技術(shù)支持服務(wù)。系統(tǒng)建設(shè)目標(biāo)是在不影響當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面安全管理。
    2)通過部署不同類型的安全產(chǎn)品，實(shí)現(xiàn)對(duì)不同層次、不同類別網(wǎng)絡(luò)安全問題的防護(hù);。
    3)使網(wǎng)絡(luò)管理者能夠很快重新組織被破壞了的文件或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前的狀態(tài)。最大限度地減少損失。
    其次，對(duì)于通過對(duì)網(wǎng)絡(luò)的流量進(jìn)行實(shí)時(shí)監(jiān)控，對(duì)重要服務(wù)器的運(yùn)行狀況進(jìn)行全面監(jiān)控。
    1.1.1防火墻系統(tǒng)設(shè)計(jì)方案。
    1.1.1.1防火墻對(duì)服務(wù)器的安全保護(hù)。
    網(wǎng)絡(luò)中應(yīng)用的服務(wù)器，信息量大、處理能力強(qiáng)，往往是攻擊的主要對(duì)象。另外，服務(wù)器提供的各種服務(wù)本身有可能成為"黑客"攻擊的突破口，因此，在實(shí)施方案時(shí)要對(duì)服務(wù)器的安全進(jìn)行一系列安全保護(hù)。
    如果服務(wù)器沒有加任何安全防護(hù)措施而直接放在公網(wǎng)上提供對(duì)外服務(wù)，就會(huì)面臨著"黑客"各種方式的攻擊，安全級(jí)別很低。因此當(dāng)安裝防火墻后，所有訪問服務(wù)器的請(qǐng)求都要經(jīng)過防火墻安全規(guī)則的詳細(xì)檢測(cè)。只有訪問服務(wù)器的請(qǐng)求符合防火墻安全規(guī)則后，才能通過防火墻到達(dá)內(nèi)部服務(wù)器。防火墻本身抵御了絕大部分對(duì)服務(wù)器的攻擊，外界只能接觸到防火墻上的特定服務(wù)，從而防止了絕大部分外界攻擊。
    1.1.1.2防火墻對(duì)內(nèi)部非法用戶的防范。
    網(wǎng)絡(luò)內(nèi)部的環(huán)境比較復(fù)雜，而且各子網(wǎng)的分布地域廣闊，網(wǎng)絡(luò)用戶、設(shè)備接入的可控性比較差，因此，內(nèi)部網(wǎng)絡(luò)用戶的可靠性并不能得到完全的保證。特別是對(duì)于存放敏感數(shù)據(jù)的主機(jī)的攻擊往往發(fā)自內(nèi)部用戶，如何對(duì)內(nèi)部用戶進(jìn)行訪問控制和安全防范就顯得特別重要。為了保障內(nèi)部網(wǎng)絡(luò)運(yùn)行的可靠性和安全性，我們必須要對(duì)它進(jìn)行詳盡的分析，盡可能防護(hù)到網(wǎng)絡(luò)的每一節(jié)點(diǎn)。
    全防范處理，整個(gè)系統(tǒng)的安全性容易受到內(nèi)部用戶攻擊的威脅，安全等級(jí)不高。根據(jù)國(guó)際上流行的處理方法，我們把內(nèi)部用戶跨網(wǎng)段的訪問分為兩大類：其一，是內(nèi)部網(wǎng)絡(luò)用戶之間的訪問，即單機(jī)到單機(jī)訪問。這一層次上的應(yīng)用主要有用戶共享文件的傳輸(netbios)應(yīng)用;其次，是內(nèi)部網(wǎng)絡(luò)用戶對(duì)內(nèi)部服務(wù)器的訪問，這一類應(yīng)用主要發(fā)生在內(nèi)部用戶的業(yè)務(wù)處理時(shí)。一般內(nèi)部用戶對(duì)于網(wǎng)絡(luò)安全防范的意識(shí)不高，如果內(nèi)部人員發(fā)起攻擊，內(nèi)部網(wǎng)絡(luò)主機(jī)將無(wú)法避免地遭到損害，特別是針對(duì)于netbios文件共享協(xié)議，已經(jīng)有很多的漏洞在網(wǎng)上公開報(bào)道，如果網(wǎng)絡(luò)主機(jī)保護(hù)不完善，就可能被內(nèi)部用戶利用"黑客"工具造成嚴(yán)重破壞。
    1.1.2入侵檢測(cè)系統(tǒng)。
    利用防火墻技術(shù)，經(jīng)過仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，但是入侵者可尋找防火墻背后可能敞開的后門，入侵者也可能就在防火墻內(nèi)。
    網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過實(shí)時(shí)偵聽網(wǎng)絡(luò)數(shù)據(jù)流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)行為和未授權(quán)的網(wǎng)絡(luò)訪問時(shí)，網(wǎng)絡(luò)監(jiān)控系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實(shí)時(shí)報(bào)警、事件登錄，或執(zhí)行用戶自定義的安全策略等。網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以部署在網(wǎng)絡(luò)中有安全風(fēng)險(xiǎn)的地方，如局域網(wǎng)出入口、重點(diǎn)保護(hù)主機(jī)、遠(yuǎn)程接入服務(wù)器、內(nèi)部網(wǎng)重點(diǎn)工作站組等。在重點(diǎn)保護(hù)區(qū)域，可以單獨(dú)各部署一套網(wǎng)絡(luò)監(jiān)控系統(tǒng)(管理器+探測(cè)引擎)，也可以在每個(gè)需要保護(hù)的地方單獨(dú)部署一個(gè)探測(cè)引擎，在全網(wǎng)使用一個(gè)管理器，這種方式便于進(jìn)行集中管理。
    在內(nèi)部應(yīng)用網(wǎng)絡(luò)中的重要網(wǎng)段，使用網(wǎng)絡(luò)探測(cè)引擎，監(jiān)視并記錄該網(wǎng)段上的所有操作，在一定程度上防止非法操作和惡意攻擊網(wǎng)絡(luò)中的重要服務(wù)器和主機(jī)。同時(shí)，網(wǎng)絡(luò)監(jiān)視器還可以形象地重現(xiàn)操作的過程，可幫助安全管理員發(fā)現(xiàn)網(wǎng)絡(luò)安全的隱患。
    需要說明的是，ids是對(duì)防火墻的非常有必要的附加而不僅僅是簡(jiǎn)單的補(bǔ)充。
    按照現(xiàn)階段的網(wǎng)絡(luò)及系統(tǒng)環(huán)境劃分不同的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)區(qū)域，x市政府本期網(wǎng)絡(luò)安全系統(tǒng)項(xiàng)目的需求為：
    區(qū)域部署安全產(chǎn)品。
    內(nèi)網(wǎng)連接到internet的出口處安裝兩臺(tái)互為雙機(jī)熱備的海信fw3010pf-4000型百兆防火墻;在主干交換機(jī)上安裝海信千兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器;在主干交換機(jī)上安裝nethawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng);在內(nèi)部工作站上安裝趨勢(shì)防毒墻網(wǎng)絡(luò)版防病毒軟件;在各服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件。
    dmz區(qū)在服務(wù)器上安裝趨勢(shì)防毒墻服務(wù)器版防病毒軟件;安裝一臺(tái)interscan。
    viruswall防病毒網(wǎng)關(guān);安裝百兆眼鏡蛇入侵檢測(cè)系統(tǒng)探測(cè)器和nethawk網(wǎng)絡(luò)安全監(jiān)控與審計(jì)系統(tǒng)。
    安全監(jiān)控與備份中心安裝fw3010-5000千兆防火墻，安裝rj-itop榕基網(wǎng)絡(luò)安全漏洞掃描器;安裝眼鏡蛇入侵檢測(cè)系統(tǒng)控制臺(tái)和百兆探測(cè)器;安裝趨勢(shì)防毒墻服務(wù)器版管理服務(wù)器，趨勢(shì)防毒墻網(wǎng)絡(luò)版管理服務(wù)器，對(duì)各防病毒軟件進(jìn)行集中管理。
    網(wǎng)絡(luò)信息系統(tǒng)的安全技術(shù)體系通常是在安全策略指導(dǎo)下合理配置和部署：網(wǎng)絡(luò)隔離與訪問控制、入侵檢測(cè)與響應(yīng)、漏洞掃描、防病毒、數(shù)據(jù)加密、身份認(rèn)證、安全監(jiān)控與審計(jì)等技術(shù)設(shè)備，并且在各個(gè)設(shè)備或系統(tǒng)之間，能夠?qū)崿F(xiàn)系統(tǒng)功能互補(bǔ)和協(xié)調(diào)動(dòng)作。
    網(wǎng)絡(luò)系統(tǒng)安全具備的功能及配置原則。
    1.網(wǎng)絡(luò)隔離與訪問控制。通過對(duì)特定網(wǎng)段、服務(wù)進(jìn)行物理和邏輯隔離，并建立訪問控制機(jī)制，將絕大多數(shù)攻擊阻止在網(wǎng)絡(luò)和服務(wù)的邊界以外。
    2.漏洞發(fā)現(xiàn)與堵塞。通過對(duì)網(wǎng)絡(luò)和運(yùn)行系統(tǒng)安全漏洞的周期檢查，發(fā)現(xiàn)可能被攻擊所利用的漏洞，并利用補(bǔ)丁或從管理上堵塞漏洞。
    3.入侵檢測(cè)與響應(yīng)。通過對(duì)特定網(wǎng)絡(luò)(段)、服務(wù)建立的入侵檢測(cè)與響應(yīng)體系，實(shí)時(shí)檢測(cè)出攻擊傾向和行為，并采取相應(yīng)的行動(dòng)(如斷開網(wǎng)絡(luò)連接和服務(wù)、記錄攻擊過程、加強(qiáng)審計(jì)等)。
    4.加密保護(hù)。主動(dòng)的加密通信，可使攻擊者不能了解、修改敏感信息(如方式)或數(shù)據(jù)加密通信方式;對(duì)保密或敏感數(shù)據(jù)進(jìn)行加密存儲(chǔ)，可防止竊取或丟失。
    5.備份和恢復(fù)。良好的備份和恢復(fù)機(jī)制，可在攻擊造成損失時(shí)，盡快地恢復(fù)數(shù)據(jù)和系統(tǒng)服務(wù)。
    6.監(jiān)控與審計(jì)。在辦公網(wǎng)絡(luò)和主要業(yè)務(wù)網(wǎng)絡(luò)內(nèi)配置集中管理、分布式控制的監(jiān)控與審計(jì)系統(tǒng)。一方面以計(jì)算機(jī)終端為單元強(qiáng)化桌面計(jì)算的內(nèi)外安全控制與日志記錄;另一方面通過集中管理方式對(duì)內(nèi)部所有計(jì)算機(jī)終端的安全態(tài)勢(shì)予以掌控。
    在利用公共網(wǎng)絡(luò)與外部進(jìn)行連接的“內(nèi)”外網(wǎng)絡(luò)邊界處使用防火墻，為“內(nèi)部”網(wǎng)絡(luò)(段)與“外部”網(wǎng)絡(luò)(段)劃定安全邊界。在網(wǎng)絡(luò)內(nèi)部進(jìn)行各種連接的地方使用帶防火墻功能的設(shè)備，在進(jìn)行“內(nèi)”外網(wǎng)絡(luò)(段)的隔離的同時(shí)建立網(wǎng)絡(luò)(段)之間的安全通道。
    1.防火墻應(yīng)具備如下功能：
    使用nat把dmz區(qū)的服務(wù)器和內(nèi)部端口影射到firewall的對(duì)外端口;。
    允許dmz區(qū)內(nèi)的工作站與應(yīng)用服務(wù)器訪問internet公網(wǎng);。
    允許內(nèi)部網(wǎng)用戶通過代理訪問internet公網(wǎng);。
    禁止internet公網(wǎng)用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)和非法訪問dmz區(qū)應(yīng)用服務(wù)器;。
    禁止dmz區(qū)的公開服務(wù)器訪問內(nèi)部網(wǎng)絡(luò);。
    防止來(lái)自internet的dos一類的攻擊;。
    能接受入侵檢測(cè)的聯(lián)動(dòng)要求，可實(shí)現(xiàn)對(duì)實(shí)時(shí)入侵的策略響應(yīng);。
    提供日志報(bào)表的自動(dòng)生成功能，便于事件的分析;。
    提供實(shí)時(shí)的網(wǎng)絡(luò)狀態(tài)監(jiān)控功能，能夠?qū)崟r(shí)的查看網(wǎng)絡(luò)通信行為的連接狀態(tài)(當(dāng)前有那些連接、正在連接的ip、正在關(guān)閉的連接等信息)，通信數(shù)據(jù)流量。提供連接查詢和動(dòng)態(tài)圖表顯示。
    防火墻自身必須是有防黑客攻擊的保護(hù)能力。
    2.帶防火墻功能的設(shè)備是在防火墻基本功能(隔離和訪問控制)基礎(chǔ)上，通過功能擴(kuò)展，同時(shí)具有在ip層構(gòu)建端到端的具有加密選項(xiàng)功能的esp隧道能力，這類設(shè)備也有s的，主要用于通過外部網(wǎng)絡(luò)(公共通信基礎(chǔ)網(wǎng)絡(luò))將兩個(gè)或兩個(gè)以上“內(nèi)部”局域網(wǎng)安全地連接起來(lái)，一般要求s應(yīng)具有一下功能：
    具有對(duì)連接兩端的實(shí)體鑒別認(rèn)證能力;。
    支持移動(dòng)用戶遠(yuǎn)程的安全接入;。
    支持ipesp隧道內(nèi)傳輸數(shù)據(jù)的完整性和機(jī)密性保護(hù);。
    提供系統(tǒng)內(nèi)密鑰管理功能;。
    s設(shè)備自身具有防黑客攻擊以及網(wǎng)上設(shè)備認(rèn)證的能力。
    入侵檢測(cè)與響應(yīng)方案。
    在網(wǎng)絡(luò)邊界配置入侵檢測(cè)設(shè)備，不僅是對(duì)防火墻功能的必要補(bǔ)充，而且可與防火墻一起構(gòu)建網(wǎng)絡(luò)邊界的防御體系。通過入侵檢測(cè)設(shè)備對(duì)網(wǎng)絡(luò)行為和流量的特征分析，可以檢測(cè)出侵害“內(nèi)部”網(wǎng)絡(luò)或?qū)ν庑孤┑木W(wǎng)絡(luò)行為和流量，與防火墻形成某種協(xié)調(diào)關(guān)系的互動(dòng)，從而在“內(nèi)部”網(wǎng)與外部網(wǎng)的邊界處形成保護(hù)體系。
    入侵檢測(cè)系統(tǒng)的基本功能如下：
    通過檢測(cè)引擎對(duì)各種應(yīng)用協(xié)議，操作系統(tǒng)，網(wǎng)絡(luò)交換的數(shù)據(jù)進(jìn)行分析，檢測(cè)出網(wǎng)絡(luò)入侵事件和可疑操作行為。
    對(duì)自身的數(shù)據(jù)庫(kù)進(jìn)行自動(dòng)維護(hù)，無(wú)需人工干預(yù)，并且不對(duì)網(wǎng)絡(luò)的正常運(yùn)行造成任何干擾。
    采取多種報(bào)警方式實(shí)時(shí)報(bào)警、音響報(bào)警，信息記錄到數(shù)據(jù)庫(kù)，提供電子郵件報(bào)警、syslog報(bào)警、snmptrap報(bào)警、windows日志報(bào)警、windows消息報(bào)警信息，并按照預(yù)設(shè)策略，根據(jù)提供的報(bào)警信息切斷攻擊連接。
    與防火墻建立協(xié)調(diào)聯(lián)動(dòng)，運(yùn)行自定義的多種響應(yīng)方式，及時(shí)阻隔或消除異常行為。
    全面查看網(wǎng)絡(luò)中發(fā)生的所有應(yīng)用和連接，完整的顯示當(dāng)前網(wǎng)絡(luò)連接狀態(tài)。
    可對(duì)網(wǎng)絡(luò)中的攻擊事件，訪問記錄進(jìn)行適時(shí)查詢，并可根據(jù)查詢結(jié)果輸出圖文報(bào)表，能讓管理人員方便的提取信息。
    入侵檢測(cè)系統(tǒng)猶如攝像頭、監(jiān)視器，在可疑行為發(fā)生前有預(yù)警，在攻擊行為發(fā)生時(shí)有報(bào)警，在攻擊事件發(fā)生后能記錄，做到事前、事中、事后有據(jù)可查。
    漏洞掃描方案。
    除利用入侵檢測(cè)設(shè)備檢測(cè)對(duì)網(wǎng)絡(luò)的入侵和異常流量外，還需要針對(duì)主機(jī)系統(tǒng)的漏洞采取檢查和發(fā)現(xiàn)措施。目前常用的方法是配置漏洞掃描設(shè)備。主機(jī)漏洞掃描可以主動(dòng)發(fā)現(xiàn)主機(jī)系統(tǒng)中存在的系統(tǒng)缺陷和可能的安全漏洞，并提醒系統(tǒng)管理員對(duì)該缺陷和漏洞進(jìn)行修補(bǔ)或堵塞。
    對(duì)于漏洞掃描的結(jié)果，一般可以按掃描提示信息和建議，屬外購(gòu)標(biāo)準(zhǔn)產(chǎn)品問題的，應(yīng)及時(shí)升級(jí)換代或安裝補(bǔ)丁程序;屬委托開發(fā)的產(chǎn)品問題的，應(yīng)與開發(fā)商協(xié)議修改程序或安裝補(bǔ)丁程序;屬于系統(tǒng)配置出現(xiàn)的問題，應(yīng)建議系統(tǒng)管理員修改配置參數(shù)，或視情況關(guān)閉或卸載引發(fā)安全漏洞的程序模塊或功能模塊。
    漏洞掃描功能是協(xié)助安全管理、掌握網(wǎng)絡(luò)安全態(tài)勢(shì)的必要輔助，對(duì)使用這一工具的安全管理員或系統(tǒng)管理員有較高的技術(shù)素質(zhì)要求。
    考慮到漏洞掃描能檢測(cè)出防火墻策略配置中的問題，能與入侵檢測(cè)形成很好的互補(bǔ)關(guān)系：漏洞掃描與評(píng)估系統(tǒng)使系統(tǒng)管理員在事前掌握主動(dòng)地位，在攻擊事件發(fā)生前找出并關(guān)閉安全漏洞;而入侵檢測(cè)系統(tǒng)則對(duì)系統(tǒng)進(jìn)行監(jiān)測(cè)以期在系統(tǒng)被破壞之前阻止攻擊得逞。因此，漏洞掃描與入侵檢測(cè)在安全保護(hù)方面不但有共同的安全目標(biāo)，而且關(guān)系密切。本方案建議采購(gòu)將入侵檢測(cè)、管理控制中心與漏洞掃描一體化集成的產(chǎn)品，不但可以簡(jiǎn)化管理，而且便于漏洞掃描、入侵檢測(cè)和防火墻之間的協(xié)調(diào)動(dòng)作。
    網(wǎng)絡(luò)防病毒產(chǎn)品較為成熟，且有幾種主流產(chǎn)品。本方案建議，網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)具備下列功能：
    網(wǎng)絡(luò)&單機(jī)防護(hù)—提供個(gè)人或家庭用戶病毒防護(hù);。
    文件及存儲(chǔ)服務(wù)器防護(hù)—提供服務(wù)器病毒防護(hù);。
    集中管理—為企業(yè)網(wǎng)絡(luò)的防毒策略，提供了強(qiáng)大的集中控管能力。
    關(guān)于安全設(shè)備之間的功能互補(bǔ)與協(xié)調(diào)運(yùn)行。
    各種網(wǎng)絡(luò)安全設(shè)備(防火墻、入侵檢測(cè)、漏洞掃描、防病毒產(chǎn)品等)，都有自己獨(dú)特的安全探測(cè)與安全保護(hù)能力，但又有基于自身主要功能的擴(kuò)展能力和與其它安全功能的對(duì)接能力或延續(xù)能力。因此，在安全設(shè)備選型和配置時(shí)，盡可能考慮到相關(guān)安全設(shè)備的功能互補(bǔ)與協(xié)調(diào)運(yùn)行，對(duì)于提高網(wǎng)絡(luò)平臺(tái)的整體安全性具有重要意義。
    防火墻是目前廣泛用于隔離網(wǎng)絡(luò)(段)邊界并實(shí)施進(jìn)/出信息流控制的大眾型網(wǎng)絡(luò)安全產(chǎn)品之一。作為不同網(wǎng)絡(luò)(段)之間的邏輯隔離設(shè)備，防火墻將內(nèi)部可信區(qū)域與外部危險(xiǎn)區(qū)域有效隔離，將網(wǎng)絡(luò)的安全策略制定和信息流動(dòng)集中管理控制，為網(wǎng)絡(luò)邊界提供保護(hù)，是抵御入侵控制內(nèi)外非法連接的。
    但防火墻具有局限性。這種局限性并不說明防火墻功能有失缺，而且由于本身只應(yīng)該承擔(dān)這樣的職能。因?yàn)榉阑饓κ桥渲迷诰W(wǎng)絡(luò)連接邊界的通道處的，這就決定了它的基本職能只應(yīng)提供靜態(tài)防御，其規(guī)則都必須事先設(shè)置，對(duì)于實(shí)時(shí)的攻擊或異常的行為不能做出實(shí)時(shí)反應(yīng)。這些控制規(guī)則只能是粗顆粒的，對(duì)一些協(xié)議細(xì)節(jié)無(wú)法做到完全解析。而且，防火墻無(wú)法自動(dòng)調(diào)整策略設(shè)置以阻斷正在進(jìn)行的攻擊，也無(wú)法防范基于協(xié)議的攻擊。
    為了彌補(bǔ)防火墻在實(shí)際應(yīng)用中存在的局限，防火墻廠商主動(dòng)提出了協(xié)調(diào)互動(dòng)思想即聯(lián)動(dòng)問題。防火墻聯(lián)動(dòng)即將其它安全設(shè)備(組件)(例如ids)探測(cè)或處理的結(jié)果通過接口引入系統(tǒng)內(nèi)調(diào)整防火墻的安全策略，增強(qiáng)防火墻的訪問控制能力和范圍，提高整體安全水平。
    大型網(wǎng)絡(luò)安全解決方案篇五
    在當(dāng)前的it環(huán)境中，業(yè)務(wù)與it已無(wú)法分割，存儲(chǔ)架構(gòu)是滿足企業(yè)it發(fā)展的基礎(chǔ)建設(shè)，萬(wàn)丈高樓從地起，架構(gòu)是規(guī)劃未來(lái)藍(lán)圖的重要基礎(chǔ)。it是業(yè)務(wù)不斷發(fā)展的源動(dòng)力，當(dāng)業(yè)務(wù)嚴(yán)重依賴著某些it應(yīng)用，尤其是對(duì)于數(shù)據(jù)安全和存儲(chǔ)要求較高的應(yīng)用，為了保障業(yè)務(wù)永續(xù)，此時(shí)一個(gè)具有彈性的存儲(chǔ)設(shè)施是解決企業(yè)后顧之憂的最佳選擇。存儲(chǔ)的彈性，有利于企業(yè)進(jìn)一步的it規(guī)劃建設(shè)，充分適應(yīng)業(yè)務(wù)的需求，保障業(yè)務(wù)的安全穩(wěn)定。
    在眾多企業(yè)級(jí)信息存儲(chǔ)架構(gòu)解決方案中，惠普的方案獨(dú)具特色，以惠普存儲(chǔ)全線產(chǎn)品的基礎(chǔ)保障加上強(qiáng)大的惠普軟件技術(shù)，可以為任何客戶提供定制化的服務(wù)。無(wú)論多么獨(dú)特的it架構(gòu)要求，總有一款惠普產(chǎn)品與技術(shù)能適應(yīng)客戶的需求。
    而另一方面，惠普存儲(chǔ)架構(gòu)又具有超強(qiáng)的整合能力。以惠普xp外部存儲(chǔ)方案為例，xp存儲(chǔ)設(shè)備具有超大存儲(chǔ)容量，滿足數(shù)據(jù)增長(zhǎng)需求;支持多種不同的外部陣列，可以有效利舊、降低成本，并構(gòu)建分級(jí)存儲(chǔ);同時(shí)，用戶數(shù)據(jù)可以在多層存儲(chǔ)系統(tǒng)之間進(jìn)行復(fù)制和移動(dòng)，構(gòu)建數(shù)據(jù)復(fù)制系統(tǒng)。而且這樣的架構(gòu)具備更大的彈性，可以使眾多企業(yè)按照自己的業(yè)務(wù)發(fā)展來(lái)逐步擴(kuò)展其存儲(chǔ)架構(gòu)，并支持異構(gòu)系統(tǒng)，從而有力促進(jìn)了客戶的業(yè)務(wù)成長(zhǎng)。
    數(shù)據(jù)防彈保業(yè)務(wù)安全。
    當(dāng)有了很好的存儲(chǔ)架構(gòu)以后，企業(yè)所考慮的就是如何保證計(jì)算機(jī)系統(tǒng)的連續(xù)不斷運(yùn)行，因而保護(hù)企業(yè)中最寶貴的數(shù)據(jù)資產(chǎn)，成為企業(yè)穩(wěn)定發(fā)展的關(guān)鍵。隨著電子商務(wù)業(yè)務(wù)的不斷拓展，將會(huì)有越來(lái)越多的關(guān)鍵業(yè)務(wù)集中于計(jì)算機(jī)系統(tǒng)中，能否提供一個(gè)高可靠性和高可用性的網(wǎng)絡(luò)服務(wù)成為衡量服務(wù)質(zhì)量的一個(gè)重要指標(biāo)，因此整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全可靠地運(yùn)行將直接關(guān)系到企業(yè)的生存和未來(lái)發(fā)展。
    而實(shí)際上，計(jì)算機(jī)系統(tǒng)時(shí)刻受到來(lái)自自然災(zāi)害、人為因素、供電、病毒、攻擊等各方面的破壞和侵襲。因此，具備快捷方便的數(shù)據(jù)備份、災(zāi)難恢復(fù)和數(shù)據(jù)恢復(fù)功能是現(xiàn)今系統(tǒng)網(wǎng)絡(luò)管理的重要目標(biāo)。基于以上問題已構(gòu)成數(shù)據(jù)安全的巨大隱患，需要采用專業(yè)的數(shù)據(jù)備份方案來(lái)解決以上問題。
    惠普數(shù)據(jù)保護(hù)解決方案就包括：企業(yè)在24小時(shí)連續(xù)應(yīng)用的過程中，如果規(guī)定時(shí)間進(jìn)行數(shù)據(jù)備份的話，數(shù)據(jù)本身會(huì)不斷增大，這樣一來(lái)就迫切需要把這種能夠縮短rpo(恢復(fù)點(diǎn)目標(biāo))和rto(恢復(fù)時(shí)間目標(biāo))的技術(shù)補(bǔ)充進(jìn)來(lái)。各個(gè)企業(yè)都能從hpstorageworks的備份恢復(fù)解決方案中根據(jù)自己的實(shí)際需要選擇最佳解決方案，從而降低風(fēng)險(xiǎn)、縮短垃圾時(shí)間，為業(yè)務(wù)體系的完善健全做出貢獻(xiàn)。
    業(yè)務(wù)連續(xù)性未雨綢繆。
    “惠普是亞太地區(qū)少數(shù)幾個(gè)真正經(jīng)歷過客戶災(zāi)備方案實(shí)際應(yīng)用的廠商之一”，中國(guó)惠普有限公司企業(yè)計(jì)算及專業(yè)服務(wù)集團(tuán)存儲(chǔ)產(chǎn)品經(jīng)理周志峰在接受筆者采訪時(shí)說。周志峰說的是五年前上海地鐵4號(hào)線施工時(shí)所造成的塌方，當(dāng)時(shí)造成旁邊的一棟大廈隨時(shí)有倒塌的危險(xiǎn)，而大廈里正好有惠普客戶的數(shù)據(jù)中心。因此當(dāng)時(shí)客戶馬上通知惠普將數(shù)據(jù)中心在短時(shí)間內(nèi)切換到了同城的另一個(gè)備份數(shù)據(jù)中心上，保證了客戶業(yè)務(wù)的安全運(yùn)行。
    上面的例子也就是說，在系統(tǒng)架構(gòu)已經(jīng)完成，數(shù)據(jù)的安全和系統(tǒng)化管理進(jìn)一步推進(jìn)的同時(shí)，企業(yè)應(yīng)該越來(lái)越重視對(duì)數(shù)據(jù)本身進(jìn)行的風(fēng)險(xiǎn)管理。為了在發(fā)生故障時(shí)，能夠用最快的速度重新展開或繼續(xù)工作，很多企業(yè)都已經(jīng)把bcp的策劃當(dāng)成了自己的一項(xiàng)必須履行的義務(wù)。
    而惠普的災(zāi)難恢復(fù)方案尤其適用于對(duì)應(yīng)用系統(tǒng)要求7x24小時(shí)不間斷運(yùn)行的企業(yè)用戶，特別適用于對(duì)數(shù)據(jù)的完整性、實(shí)時(shí)性極為敏感的銀行、電信以及大中型企業(yè)用戶。
    自動(dòng)歸檔使業(yè)務(wù)一點(diǎn)就通。
    “眼看著數(shù)據(jù)也安全了，也避免了風(fēng)險(xiǎn)，cio們好象可以高枕無(wú)憂了，可是又一個(gè)問題冒了出來(lái)，企業(yè)這么龐大的數(shù)據(jù)該如何利用，發(fā)現(xiàn)其中的價(jià)值，如何利用企業(yè)最寶貴的這筆財(cái)富，又開始讓許多經(jīng)營(yíng)者大傷腦筋?！毙熘锯x表示。
    的確，隨著數(shù)據(jù)爆炸性地增長(zhǎng)以及各行業(yè)對(duì)信息系統(tǒng)的依賴，對(duì)于每個(gè)企業(yè)來(lái)說最重要的是數(shù)據(jù)，同樣最頭疼的是如何管理這些數(shù)據(jù)。據(jù)idc統(tǒng)計(jì)，全球的數(shù)據(jù)存儲(chǔ)量已經(jīng)達(dá)到了1610億gb，如果形象一點(diǎn)，這相當(dāng)于現(xiàn)有書籍信息量的300萬(wàn)倍，如果將這些信息出書并排列起來(lái)，其總長(zhǎng)度是地球到太陽(yáng)距離的12倍。
    而且隨著安然事件的發(fā)生和薩班斯法案的簽署實(shí)施，世界各國(guó)均制定了相應(yīng)數(shù)據(jù)保存、不可修改和檢索的強(qiáng)制性法律，實(shí)際迫使公司將這些非結(jié)構(gòu)化的數(shù)據(jù)保留更長(zhǎng)一段時(shí)間。
    根據(jù)這一行業(yè)發(fā)展趨勢(shì)，惠普在業(yè)內(nèi)率先推出了針對(duì)整個(gè)信息生命周期的自動(dòng)歸檔存儲(chǔ)解決方案，以便將數(shù)以tb記的數(shù)據(jù)轉(zhuǎn)換為企業(yè)有體系的知識(shí)資產(chǎn)。例如，hpstorageworksilm就是當(dāng)前業(yè)界成熟、可靠、可擴(kuò)展的解決方案和架構(gòu)?；萜赵谠擃I(lǐng)域所進(jìn)行的創(chuàng)新，幫助客戶成功將全生命周期的數(shù)據(jù)轉(zhuǎn)化為了使業(yè)務(wù)清晰可見、一點(diǎn)就通的財(cái)產(chǎn)。
    智能管理成就業(yè)務(wù)高效。
    隨著數(shù)據(jù)信息的指數(shù)化增長(zhǎng)，全球眾多的咨詢研究機(jī)構(gòu)預(yù)測(cè)，未來(lái)幾年所產(chǎn)生的信息數(shù)據(jù)將超過整個(gè)人類歷史所產(chǎn)生的全部數(shù)據(jù)之合。企業(yè)如何利用it、如何部署和管理it資源來(lái)支撐業(yè)務(wù)策略和業(yè)務(wù)系統(tǒng)，已經(jīng)成為了企業(yè)經(jīng)營(yíng)的基本手段。如何有效的管理數(shù)據(jù)，利用數(shù)據(jù)并生成對(duì)企業(yè)有利用價(jià)值的信息，是當(dāng)今企業(yè)普遍面臨的挑戰(zhàn)。
    因此在實(shí)現(xiàn)了整個(gè)信息生命周期的內(nèi)容歸檔后，客戶開始希望能從數(shù)據(jù)的“海洋”中跳脫出來(lái)，利用智能管理，跨越信息孤島，充分實(shí)現(xiàn)it對(duì)業(yè)務(wù)的支持與推動(dòng)?；萜斩嗄陙?lái)一直致力于統(tǒng)一it架構(gòu)策略，大力推廣基于開放標(biāo)準(zhǔn)平臺(tái)的成長(zhǎng)企業(yè)所具有的簡(jiǎn)單、易管理和適應(yīng)性理念。
    惠普統(tǒng)一存儲(chǔ)管理平臺(tái)，由基礎(chǔ)部分以及其上的智能插件組成。基礎(chǔ)部分包括：拓?fù)浒l(fā)現(xiàn)、事件管理、容量管理、策略管理等功能，通過智能插件可以提供應(yīng)用管理，包括：oracle、exchange、sybase以及文件系統(tǒng)等。
    架構(gòu)提升企業(yè)的競(jìng)爭(zhēng)力。對(duì)于企業(yè)的cio來(lái)說，通過該管理平臺(tái)可以嚴(yán)格控制預(yù)算，及時(shí)掌握存儲(chǔ)資源的利用情況以及未來(lái)的增長(zhǎng)趨勢(shì)，合理規(guī)劃未來(lái)的資源增長(zhǎng)需求，降低企業(yè)存儲(chǔ)架構(gòu)的總擁有成本，提高投資的回報(bào)率。
    性能優(yōu)化加速業(yè)務(wù)優(yōu)化。
    最后，客戶仍然希望能繼續(xù)優(yōu)化性能，從而不斷優(yōu)化其業(yè)務(wù)成效。為此，惠普存儲(chǔ)性能優(yōu)化解決方案提供了從應(yīng)用層、操作系統(tǒng)層到存儲(chǔ)層全面的i/o性能資源優(yōu)化、管理、分配等功能。
    其主要特點(diǎn)是：模塊化方案設(shè)計(jì)，支持靈活擴(kuò)展，惠普提供的存儲(chǔ)性能優(yōu)化方案可以從存儲(chǔ)資源分配，提供存儲(chǔ)服務(wù)質(zhì)量，可靠性以及i/o性能等各方面優(yōu)化用戶it環(huán)境的存儲(chǔ)系統(tǒng)。而且根據(jù)用戶的不同需求，惠普可以靈活配置各種軟、硬件以滿足用戶在不同階段，不同環(huán)境的方案需求。不同需求采用的模塊，軟硬件均可以單獨(dú)配置，也可以和其他模塊組合，方便用戶擴(kuò)展、升級(jí)。
    惠普存儲(chǔ)性能優(yōu)化解決方案可以幫助用戶進(jìn)一步優(yōu)化系統(tǒng)存儲(chǔ)資源，提升系統(tǒng)性能，降低用戶it成本，并加速業(yè)務(wù)優(yōu)化的步伐。
    大型網(wǎng)絡(luò)安全解決方案篇六
    中小企業(yè)用戶的局域網(wǎng)一般來(lái)說網(wǎng)絡(luò)結(jié)構(gòu)不太復(fù)雜，主機(jī)數(shù)量不太多，服務(wù)器提供的服務(wù)相對(duì)較少，這樣的網(wǎng)絡(luò)通常很少甚至沒有專門的管理員來(lái)維護(hù)網(wǎng)絡(luò)的安全。這就給和非法訪問提供了可乘之機(jī)。這樣的網(wǎng)絡(luò)使用環(huán)境一般存在下列安全隱患和需求：
    計(jì)算機(jī)病毒在企業(yè)內(nèi)部網(wǎng)絡(luò)傳播。
    內(nèi)部網(wǎng)絡(luò)可能被外部的攻擊。
    對(duì)外的服務(wù)器（如：www、ftp等）沒有安全防護(hù)，容易被攻擊。
    遠(yuǎn)程、移動(dòng)用戶對(duì)公司內(nèi)部網(wǎng)絡(luò)的安全訪問。
    大型網(wǎng)絡(luò)安全解決方案篇七
    1.背景始于1993年的校園網(wǎng)近年來(lái)發(fā)展迅速，目前我國(guó)絕大多數(shù)高校都建立了比較健全的校園網(wǎng)絡(luò)系統(tǒng)。有條件的中、小學(xué)校在積極嘗試建設(shè)自己的校園網(wǎng)絡(luò)系統(tǒng)。中國(guó)教育和科研計(jì)算機(jī)網(wǎng)（cernet）也已經(jīng)成為國(guó)內(nèi)僅次于中國(guó)電信的第二大互聯(lián)網(wǎng)絡(luò)。
    的限制。
    將管理中心及控制臺(tái)部署在服務(wù)器區(qū)域，管理員將通過其管理整個(gè)網(wǎng)絡(luò)的防毒節(jié)點(diǎn)。
    分級(jí)架構(gòu)。
    為每個(gè)子網(wǎng)部署系統(tǒng)中心，負(fù)責(zé)管理本子網(wǎng)的客戶機(jī)，
    級(jí)聯(lián)升級(jí)。
    在服務(wù)器區(qū)安裝主升級(jí)服務(wù)器，從internet自動(dòng)下載升級(jí)文件；各子網(wǎng)分別部署二級(jí)升級(jí)服務(wù)器，自動(dòng)從主升級(jí)服務(wù)器獲取升級(jí)文件并分發(fā)給本區(qū)域的客戶機(jī)。
    靈活部署。
    辦公行政子網(wǎng)的客戶機(jī)都已加入域，對(duì)其采用域腳登錄腳本安裝以e―mail等方式發(fā)布安裝鏈接，在其他客戶機(jī)通過點(diǎn)擊安裝鏈接自動(dòng)完成安裝；以遠(yuǎn)程安裝方式為所有服務(wù)器安裝服務(wù)器端。
    防護(hù)策略。
    將各子網(wǎng)的學(xué)生機(jī)分別劃入一個(gè)特別的組，對(duì)其進(jìn)行嚴(yán)格的權(quán)限設(shè)置，防止其隨意關(guān)閉及卸載客戶端。
    仰恩大學(xué)金山毒霸網(wǎng)絡(luò)版應(yīng)用實(shí)踐所屬行業(yè)：教育行業(yè)網(wǎng)絡(luò)中心主任米老師表示：“以前網(wǎng)絡(luò)維護(hù)的工作量大部分都是由于病毒破壞所帶來(lái)的，我們不得不抽調(diào)其他老師及學(xué)生來(lái)處理這些問題。部署金山毒霸網(wǎng)絡(luò)版使得整個(gè)網(wǎng)絡(luò)趨于平靜，在這個(gè)‘和平’的環(huán)境下，不再需要這么多網(wǎng)絡(luò)維護(hù)人員，他們可以轉(zhuǎn)而去開發(fā)和研究新的課題?！痹敿?xì)。
    關(guān)鍵字：安全方案。
    大型網(wǎng)絡(luò)安全解決方案篇八
    網(wǎng)絡(luò)由于其系統(tǒng)方面漏洞導(dǎo)致的安全問題是企業(yè)的一大困擾，如何消除辦企業(yè)網(wǎng)絡(luò)的安全隱患成為企業(yè)管理中的的一大難題。各種網(wǎng)絡(luò)安全技術(shù)的出現(xiàn)為企業(yè)的網(wǎng)絡(luò)信息安全帶來(lái)重要保障，為企業(yè)的發(fā)展奠定堅(jiān)實(shí)的基礎(chǔ)。
    1.1防火墻技術(shù)。
    防火墻技術(shù)主要作用是實(shí)現(xiàn)了網(wǎng)絡(luò)之間訪問的有效控制，對(duì)外部不明身份的對(duì)象采取隔離的方式禁止其進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，從而實(shí)現(xiàn)對(duì)企業(yè)信息的保護(hù)。
    如果將公司比作人，公司防盜系統(tǒng)就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統(tǒng)都是建立在防火墻的基礎(chǔ)上?，F(xiàn)在最常用也最管用的防盜系統(tǒng)就是防火墻，防火墻又可以細(xì)分為代理服務(wù)防火墻和包過濾技術(shù)防火墻。代理服務(wù)防火墻的作用一般是在雙方進(jìn)行電子商務(wù)交易時(shí)，作為中間人的角色，履行監(jiān)督職責(zé)。包過濾技術(shù)防火墻就像是一個(gè)篩子，會(huì)選擇性的讓數(shù)據(jù)信息通過或隔離。
    1.2加密技術(shù)。
    加密技術(shù)是企業(yè)常用保護(hù)數(shù)據(jù)信息的一種便捷技術(shù)，主要是利用一些加密程序?qū)ζ髽I(yè)一些重要的數(shù)據(jù)進(jìn)行保護(hù)，避免被不法分子盜取利用。常用的加密方法主要有數(shù)據(jù)加密方法以及基于公鑰的加密算法。數(shù)據(jù)加密方法主要是對(duì)重要的數(shù)據(jù)通過一定的規(guī)律進(jìn)行變換，改變其原有特征，讓外部人員無(wú)法直接觀察其本質(zhì)含義，這種加密技術(shù)具有簡(jiǎn)便性和有效性，但是存在一定的風(fēng)險(xiǎn)，一旦加密規(guī)律被別人知道后就很容易將其解除。基于公鑰的加密算法指的是由對(duì)應(yīng)的一對(duì)唯一性密鑰（即公開密鑰和私有密鑰）組成的加密方法。這種加密方法具有較強(qiáng)的隱蔽性，外部人員如果想得到數(shù)據(jù)信息只有得到相關(guān)的只有得到唯一的私有密匙，因此具有較強(qiáng)的保密性。
    1.3身份鑒定技術(shù)。
    身份鑒定技術(shù)就是根據(jù)具體的特征對(duì)個(gè)人進(jìn)行識(shí)別，根據(jù)識(shí)別的結(jié)果來(lái)判斷識(shí)別對(duì)象是否符合具體條件，再由系統(tǒng)判斷是否對(duì)來(lái)人開放權(quán)限。這種方式對(duì)于冒名頂替者十分有效，比如指紋或者后虹膜，一般情況下只有本人才有權(quán)限進(jìn)行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術(shù)一般應(yīng)用在企業(yè)高度機(jī)密信息的保密過程中，具有較強(qiáng)的實(shí)用性。
    2.1控制網(wǎng)絡(luò)訪問。
    對(duì)網(wǎng)絡(luò)訪問的控制是保障企業(yè)網(wǎng)絡(luò)安全的重要手段，通過設(shè)置各種權(quán)限避免企業(yè)信息外流，保證企業(yè)在激烈的市場(chǎng)競(jìng)爭(zhēng)中具有一定的競(jìng)爭(zhēng)力。企業(yè)的網(wǎng)絡(luò)設(shè)置按照面向?qū)ο蟮姆绞竭M(jìn)行設(shè)置，針對(duì)個(gè)體對(duì)象按照網(wǎng)絡(luò)協(xié)議進(jìn)行訪問權(quán)限設(shè)置，將網(wǎng)絡(luò)進(jìn)行細(xì)分，根據(jù)不同的功能對(duì)企業(yè)內(nèi)部的工作人員進(jìn)行權(quán)限管理。企業(yè)辦公人員需要使用到的功能給予開通，其他與其工作不相關(guān)的內(nèi)容即取消其訪問權(quán)限。另外對(duì)于一些重要信息設(shè)置寫保護(hù)或讀保護(hù)，從根本上保障企業(yè)機(jī)密信息的安全。另外對(duì)網(wǎng)絡(luò)的訪問控制可以分時(shí)段進(jìn)行，例如某文件只可以在相應(yīng)日期的一段時(shí)間內(nèi)打開。
    企業(yè)網(wǎng)絡(luò)設(shè)計(jì)過程中應(yīng)該考慮到網(wǎng)絡(luò)安全問題，因此在實(shí)際設(shè)計(jì)過程中應(yīng)該對(duì)各種網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)系統(tǒng)等進(jìn)行安全管理，例如對(duì)各種設(shè)備的接口以及設(shè)備間的信息傳送方式進(jìn)行科學(xué)管理，在保證其基本功能的基礎(chǔ)上消除其他功能，利用當(dāng)前安全性較高的網(wǎng)絡(luò)系統(tǒng)，消除網(wǎng)絡(luò)安全的脆弱性。
    企業(yè)經(jīng)營(yíng)過程中由于業(yè)務(wù)需求常需要通過遠(yuǎn)端連線設(shè)備連接企業(yè)內(nèi)部網(wǎng)絡(luò)，遠(yuǎn)程連接過程中脆弱的網(wǎng)絡(luò)系統(tǒng)極容易成為別人攻擊的對(duì)象，因此在企業(yè)網(wǎng)絡(luò)系統(tǒng)中應(yīng)該加入安全性能較高的遠(yuǎn)程訪問設(shè)備，提高遠(yuǎn)程網(wǎng)絡(luò)訪問的安全性。同時(shí)對(duì)網(wǎng)絡(luò)系統(tǒng)重新設(shè)置，對(duì)登入身份信息進(jìn)行加密處理，保證企業(yè)內(nèi)部人員在操作過程中信息不被外人竊取，在數(shù)據(jù)傳輸過程中通過相應(yīng)的網(wǎng)絡(luò)技術(shù)對(duì)傳輸?shù)臄?shù)據(jù)審核，避免信息通過其他渠道外泄，提高信息傳輸?shù)陌踩浴?BR>    2.2網(wǎng)絡(luò)的安全傳輸。
    電子商務(wù)時(shí)代的供應(yīng)鏈建立在網(wǎng)絡(luò)技術(shù)的基礎(chǔ)上，供應(yīng)鏈的各種信息都在企業(yè)內(nèi)部網(wǎng)絡(luò)以及與供應(yīng)商之間的網(wǎng)絡(luò)上進(jìn)行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業(yè)造成重大經(jīng)濟(jì)損失。為了避免信息被竊取，企業(yè)可以建設(shè)完善的網(wǎng)絡(luò)系統(tǒng)，通過防火墻技術(shù)將身份無(wú)法識(shí)別的隔離在企業(yè)網(wǎng)絡(luò)之外，保證企業(yè)信息在安全的網(wǎng)絡(luò)環(huán)境下進(jìn)行傳輸。另外可以通過相應(yīng)的加密技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理，技術(shù)一些黑客解除企業(yè)的防火墻，竊取到的信息也是難以理解的加密數(shù)據(jù)，加密過后的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被解除的可能性，但現(xiàn)行的數(shù)據(jù)加密方式都是利用復(fù)雜的密匙處理過的，即使是最先進(jìn)的密碼解除技術(shù)也要花費(fèi)相當(dāng)長(zhǎng)的時(shí)間，等到數(shù)據(jù)被解除后該信息已經(jīng)失去其時(shí)效性，成為一條無(wú)用的信息，對(duì)企業(yè)而言沒有任何影響。
    2.3網(wǎng)絡(luò)攻擊檢測(cè)。
    一些黑客通常會(huì)利用一些惡意程序攻擊企業(yè)網(wǎng)絡(luò)，并從中找到漏洞進(jìn)入企業(yè)內(nèi)部網(wǎng)絡(luò)，對(duì)企業(yè)信息進(jìn)行竊取或更改。為避免惡意網(wǎng)絡(luò)攻擊，企業(yè)可以引進(jìn)入侵檢測(cè)系統(tǒng)，并將其與控制網(wǎng)絡(luò)訪問結(jié)合起來(lái)，對(duì)企業(yè)信息實(shí)行雙重保護(hù)。根據(jù)企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)，將入侵檢測(cè)系統(tǒng)滲入到企業(yè)網(wǎng)絡(luò)內(nèi)部的各個(gè)環(huán)節(jié)，尤其是重要部門的機(jī)密信息需要重點(diǎn)監(jiān)控。利用防火墻技術(shù)實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)的第一道保護(hù)屏障，再配以檢測(cè)技術(shù)以及相關(guān)加密技術(shù)，防火記錄用戶的身份信息，遇到無(wú)法識(shí)別的身份信息即將數(shù)據(jù)傳輸給管理員。后續(xù)的入侵檢測(cè)技術(shù)將徹底阻擋黑客的攻擊，并對(duì)黑客身份信息進(jìn)行分析。即使黑客通過這些屏障得到的也是經(jīng)過加密的數(shù)據(jù)，難以從中得到有效信息。通過這些網(wǎng)絡(luò)安全技術(shù)的配合，全方位消除來(lái)自網(wǎng)絡(luò)黑客的攻擊，保障企業(yè)網(wǎng)絡(luò)安全。
    3結(jié)束語(yǔ)。
    隨著電子商務(wù)時(shí)代的到來(lái)，網(wǎng)絡(luò)技術(shù)將會(huì)在未來(lái)一段時(shí)間內(nèi)在企業(yè)的運(yùn)轉(zhuǎn)中發(fā)揮難以取代的作用，企業(yè)網(wǎng)絡(luò)安全也將長(zhǎng)期伴隨企業(yè)經(jīng)營(yíng)管理，因此必須對(duì)企業(yè)網(wǎng)絡(luò)實(shí)行動(dòng)態(tài)管理，保證網(wǎng)絡(luò)安全的先進(jìn)性，為企業(yè)的發(fā)展建立安全的網(wǎng)絡(luò)環(huán)境。
    大型網(wǎng)絡(luò)安全解決方案篇九
    根據(jù)來(lái)自國(guó)際計(jì)算機(jī)安全協(xié)會(huì)(簡(jiǎn)稱icsa)的統(tǒng)計(jì)，現(xiàn)在全球有99%以上的病毒是通過smtp和http協(xié)議進(jìn)入用戶的計(jì)算機(jī)的，因此目前絕大部分的病毒來(lái)源于internet和外網(wǎng)，尤其是電子郵件和網(wǎng)頁(yè)瀏覽，在，由此造成的損失就超過100億美元，預(yù)計(jì)到全世界每年由于病毒所造成的損失將高到268億美元。
    中國(guó)教育和科研計(jì)算機(jī)網(wǎng)cernet始建于1994年，是由國(guó)家投資建設(shè)，教育部負(fù)責(zé)管理，清華大學(xué)等高等學(xué)校承擔(dān)建設(shè)和運(yùn)行的全國(guó)性學(xué)術(shù)計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，是全國(guó)最大的公益性計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)。隨著國(guó)家對(duì)教育投入的不斷增加和高校作為科研第一戰(zhàn)線的地位，cernet從建設(shè)之初，就具有了網(wǎng)絡(luò)設(shè)備先進(jìn)，網(wǎng)絡(luò)帶寬巨大，網(wǎng)絡(luò)應(yīng)用復(fù)雜且用戶數(shù)量龐大。以一個(gè)典型的重點(diǎn)高校為例，已經(jīng)普及了千兆光纖接入cernet，千兆光纖接入到各個(gè)院、系、所，百兆到桌面。
    但是伴隨巨大帶寬帶而來(lái)的一個(gè)問題就是網(wǎng)絡(luò)安全問題嚴(yán)重，尤其體現(xiàn)在內(nèi)容層面。由于校園網(wǎng)內(nèi)，聯(lián)網(wǎng)的計(jì)算機(jī)眾多，不但有教學(xué)辦公用機(jī)，還有學(xué)生通過宿舍或者wi-fi網(wǎng)絡(luò)接入，這些都增加了對(duì)網(wǎng)絡(luò)內(nèi)容管理的復(fù)雜性。校園網(wǎng)內(nèi)，病毒、垃圾郵件以及間諜軟件的泛濫已經(jīng)給正常的教學(xué)和科研活動(dòng)帶內(nèi)極大的影響。
    二、解決方案。
    安維華(anchiva)科技有限公司成立于，是由十幾位全球it界知名的華人專家創(chuàng)立的，分別在中國(guó)中關(guān)村和美國(guó)硅谷設(shè)立了研發(fā)中心，擁有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全高科技企業(yè)。安維華系列內(nèi)容安全網(wǎng)關(guān)基于asic芯片技術(shù)，致力于為用戶提供高帶寬時(shí)代的內(nèi)容安全的整體防護(hù)方案。由于芯片技術(shù)的引入，安維華系列內(nèi)容安全網(wǎng)關(guān)可以以比同類產(chǎn)品快3-4倍的速度掃描網(wǎng)絡(luò)上深層包內(nèi)容，對(duì)病毒、垃圾郵件及間諜軟件等安全威脅進(jìn)行防護(hù)。
    安維華系列內(nèi)容安全網(wǎng)關(guān)有四種型號(hào)，從anchiva500到anchivax。最高端的anchiva2000x可以支持千兆線速的包括病毒掃描在內(nèi)的內(nèi)容檢查速度。針對(duì)一個(gè)典型高校校園網(wǎng)，一個(gè)應(yīng)用全線安維華內(nèi)容安全網(wǎng)關(guān)的拓?fù)鋱D如下所示:。
    上圖是一個(gè)典型的高校校園網(wǎng)的綜合防護(hù)示意圖，
    安維華的內(nèi)容安全網(wǎng)關(guān)安裝使用非常簡(jiǎn)潔方便，支持全透明模式運(yùn)行，可以在不改動(dòng)用戶網(wǎng)絡(luò)結(jié)構(gòu)的情況下無(wú)縫的接入到現(xiàn)有的校園網(wǎng)絡(luò)中。在上圖中，安維華內(nèi)容網(wǎng)關(guān)被部署在以下位置:。
    1.在校園網(wǎng)與cernet和internet接口之間,使用兩臺(tái)anchiva2000x網(wǎng)關(guān)，提供千兆線速的內(nèi)容防護(hù)。兩臺(tái)設(shè)備可以配置為active/passive或者負(fù)載均衡模式，確保網(wǎng)絡(luò)服務(wù)的服務(wù)質(zhì)量。這樣整個(gè)學(xué)?？梢员话踩谋槐Ｗo(hù)起來(lái)，不受來(lái)自互聯(lián)網(wǎng)的病毒侵害。
    2.學(xué)生上網(wǎng)的終端數(shù)量眾多，而且上網(wǎng)的時(shí)間、廣度和深度都很巨大。而伴隨的病毒和垃圾郵件的數(shù)量也很龐大。為了給學(xué)生一個(gè)干凈的上網(wǎng)空間，同時(shí)也防止學(xué)生計(jì)算機(jī)通過其它途徑而感染的病毒傳播影響到校園主干，也就是教學(xué)科研區(qū)的網(wǎng)絡(luò)使用，在學(xué)生宿舍區(qū)和校園網(wǎng)主干之間部署一臺(tái)anchiva2000x網(wǎng)關(guān)。
    3.行政大樓是學(xué)校管理的中樞，校長(zhǎng)辦公室、黨委，人事組織部門都在內(nèi)辦公。聯(lián)網(wǎng)計(jì)算機(jī)數(shù)量眾多，而對(duì)網(wǎng)絡(luò)安全極為重視。為此，部署一臺(tái)anchiva1000x網(wǎng)關(guān)。
    4.教務(wù)處是教學(xué)的核心管理部門。學(xué)生的成績(jī)，課程安排等都在教務(wù)處處理。如果計(jì)算機(jī)被感染病毒，或者間諜軟件，敏感信息被泄露出去，造成的損失不可估量。使用一臺(tái)anchiva1000網(wǎng)關(guān)可以有效的防護(hù)教務(wù)處。
    5.對(duì)于其它部門，可以采用anchiva500網(wǎng)關(guān)來(lái)進(jìn)行額外的防護(hù)。
    三、應(yīng)用優(yōu)勢(shì)。
    安維華公司在業(yè)界率先推出的千兆級(jí)別的內(nèi)容網(wǎng)關(guān)產(chǎn)品，是目前唯一可以部署在校園網(wǎng)千兆出口位置的網(wǎng)關(guān)產(chǎn)品。而豐富的產(chǎn)品線，可以對(duì)校園網(wǎng)絡(luò)進(jìn)行整體層次化的防護(hù)。對(duì)于校園網(wǎng)機(jī)器眾多，管理難度極大的應(yīng)用環(huán)境，在網(wǎng)關(guān)的關(guān)鍵位置進(jìn)行防護(hù)，是最優(yōu)的解決方案。
    關(guān)鍵字：安全方案。
    大型網(wǎng)絡(luò)安全解決方案篇十
    摘要：隨著企業(yè)內(nèi)部網(wǎng)絡(luò)的日益龐大及與外部網(wǎng)絡(luò)聯(lián)系的逐漸增多，一個(gè)安全可信的企業(yè)網(wǎng)絡(luò)安全系統(tǒng)顯得十分重要。局域網(wǎng)企業(yè)信息安全系統(tǒng)是為了防范企業(yè)中計(jì)算機(jī)數(shù)據(jù)信息泄密而建立的一種管理系統(tǒng)，旨在對(duì)局域網(wǎng)中的信息安全提供一種實(shí)用、可靠的管理方案。
    關(guān)鍵詞：網(wǎng)絡(luò)安全防病毒防火墻入侵檢測(cè)。
    網(wǎng)絡(luò)安全從其本質(zhì)上來(lái)講就是網(wǎng)絡(luò)上的信息安全。它涉及的領(lǐng)域相當(dāng)廣泛。這是因?yàn)樵谀壳暗墓猛ㄐ啪W(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義來(lái)說，凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論，都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全，通常定義為網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，網(wǎng)絡(luò)服務(wù)不中斷。
    （一)綜合性、整體性原則。應(yīng)用系統(tǒng)工程的觀點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)措施（識(shí)別技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)，包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中的地位和影響作用，也只有從系統(tǒng)綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，根據(jù)規(guī)定的安全策略制定出合理的網(wǎng)絡(luò)安全體系結(jié)構(gòu)。
    （二)需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則。對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的。對(duì)一個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)際額研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。
    （三）分步實(shí)施原則。由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，網(wǎng)絡(luò)脆弱性也會(huì)不斷增加。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)的。同時(shí)由于實(shí)施信息安全措施需相當(dāng)?shù)馁M(fèi)用支出。因此分步實(shí)施，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全的基本需要，亦可節(jié)省費(fèi)用開支。
    網(wǎng)絡(luò)安全是一項(xiàng)動(dòng)態(tài)的、整體的系統(tǒng)工程，從技術(shù)上來(lái)說，網(wǎng)絡(luò)安全由安全的操作系統(tǒng)、應(yīng)用系統(tǒng)、防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)、安全掃描等多個(gè)安全組件組成，一個(gè)單獨(dú)的組件是無(wú)法確保您信息網(wǎng)絡(luò)的安全性。
    該方案主要包括以下幾個(gè)方面：
    （一）防病毒方面：應(yīng)用防病毒技術(shù)，建立全面的網(wǎng)絡(luò)防病毒體系。隨著internet的不斷發(fā)展，信息技術(shù)已成為促進(jìn)經(jīng)濟(jì)發(fā)展、社會(huì)進(jìn)步的巨大推動(dòng)力：當(dāng)今社會(huì)高度的計(jì)算機(jī)化信息資源對(duì)任何人無(wú)論在任何時(shí)候、任何地方都變得極有價(jià)值。不管是存儲(chǔ)在工作站中、服務(wù)器里還是流通于internet上的信息都已轉(zhuǎn)變成為一個(gè)關(guān)系事業(yè)成敗關(guān)鍵的策略點(diǎn)，這就使保證信息的安全變得格外重要。
    （二）應(yīng)用防火墻技術(shù)，控制訪問權(quán)限，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中管理。防火墻技術(shù)是今年發(fā)展起來(lái)的重要網(wǎng)絡(luò)安全技術(shù)，其主要作用是在網(wǎng)絡(luò)入口處檢查網(wǎng)絡(luò)通訊，根據(jù)客戶設(shè)定的安全規(guī)則，在保護(hù)內(nèi)部網(wǎng)絡(luò)安全的前提下，保障內(nèi)外網(wǎng)絡(luò)通訊。在網(wǎng)絡(luò)出口處安裝防火墻后，內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行了有效的隔離，所有來(lái)自外部網(wǎng)絡(luò)的訪問請(qǐng)求都要通過防火墻的檢查，內(nèi)部網(wǎng)絡(luò)的安全有了很大的提高。
    防火墻可以完成以下具體任務(wù)：通過源地址過濾，拒絕外部非法ip地址，有效的避免了外部網(wǎng)絡(luò)上與業(yè)務(wù)無(wú)關(guān)的主機(jī)的越權(quán)訪問；防火墻可以只保留有用的服務(wù)，將其他不需要的服務(wù)關(guān)閉，這樣可以將系統(tǒng)受攻擊的可能性降低到最小限度，使黑客無(wú)機(jī)可乘。
    隨著網(wǎng)絡(luò)的廣泛應(yīng)用和普及，網(wǎng)絡(luò)入侵行為、病毒破壞、垃圾郵件的處理和普遍存在的安全話題也成了人們?nèi)遮呹P(guān)注的焦點(diǎn)。防火墻作為網(wǎng)絡(luò)邊界的第一道防線，由最初的路由器設(shè)備配置訪問策略進(jìn)行安全防護(hù)，到形成專業(yè)獨(dú)立的產(chǎn)品，已經(jīng)充斥了整個(gè)網(wǎng)絡(luò)世界。在網(wǎng)絡(luò)安全領(lǐng)域，隨著黑客應(yīng)用技術(shù)的不斷“傻瓜化”，入侵檢測(cè)系統(tǒng)ids的地位正在逐漸增加。一個(gè)網(wǎng)絡(luò)中，只有有效實(shí)施了ids，才能敏銳地察覺攻擊者的侵犯行為，才能防患于未然。
    參考文獻(xiàn)：
    [1]陳家琪。計(jì)算機(jī)網(wǎng)絡(luò)安全。上海理工大學(xué)，電子教材，2005。
    大型網(wǎng)絡(luò)安全解決方案篇十一
    某股份有限公司是我國(guó)同類行業(yè)中技術(shù)實(shí)力最強(qiáng)、市場(chǎng)占有率最高的企業(yè)之一，由于企業(yè)近幾年來(lái)的不斷發(fā)展，其網(wǎng)絡(luò)體系結(jié)構(gòu)逐漸變得越來(lái)越復(fù)雜，所安裝的應(yīng)用系統(tǒng)的數(shù)量也越來(lái)越多，為企業(yè)網(wǎng)絡(luò)安全保護(hù)帶來(lái)了更多的困難，另一方面，隨著計(jì)算機(jī)通信技術(shù)和互聯(lián)網(wǎng)的快速發(fā)展，每天都有全新的技術(shù)問世，大量的系統(tǒng)漏洞也不斷地被們挖掘出來(lái)，作為下一次網(wǎng)絡(luò)攻擊的突破口。在這種情況下，任何單一的防護(hù)產(chǎn)品或方式都難以阻擋網(wǎng)絡(luò)攻擊的實(shí)施，對(duì)于一個(gè)大型企業(yè)網(wǎng)絡(luò)，必須建立起全面的、立體的安全解決方案才能為企業(yè)網(wǎng)絡(luò)安全提供全面、持久的保障。
    策略描述。
    北京榕基網(wǎng)安科技有限公司在分析了該股份有限公司計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)的實(shí)際情況的前提下，制訂了統(tǒng)一的全網(wǎng)安全策略，對(duì)該網(wǎng)絡(luò)平臺(tái)的安全防護(hù)給出一個(gè)全面解決方案。該解決方案從整網(wǎng)構(gòu)建的時(shí)間、網(wǎng)絡(luò)跨越的物理空間、網(wǎng)絡(luò)層次結(jié)構(gòu)三個(gè)方面進(jìn)行了安全體系架構(gòu)的端到端的集成，并專門對(duì)全網(wǎng)中各種業(yè)務(wù)間進(jìn)行了必要的安全隔離，全網(wǎng)還具備智能安全控制功能，可以實(shí)現(xiàn)網(wǎng)絡(luò)安全的主動(dòng)防御，并能夠抵御內(nèi)網(wǎng)中病毒的惡意攻擊。
    榕基網(wǎng)安ids解決方案針對(duì)該股份有限公司計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的設(shè)計(jì)和實(shí)施結(jié)合了兩種安全設(shè)計(jì)思想：
    縱深防御思想。
    縱深防御思想的目的是保障安全系統(tǒng)設(shè)計(jì)的廣度和深度，促進(jìn)建立全面、綜合、高效的網(wǎng)絡(luò)安全保障體系。
    縱深防御思想在廣度上要求從網(wǎng)絡(luò)架構(gòu)、操作系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等各個(gè)層面考慮安全系統(tǒng)的建設(shè)。
    縱深防御思想在深度上要求分層次地、由外而內(nèi)從地（從網(wǎng)絡(luò)邊界、內(nèi)部網(wǎng)絡(luò)，到核心服務(wù)器乃至桌面pc）考慮安全體系建設(shè)的規(guī)劃。
    動(dòng)態(tài)網(wǎng)絡(luò)安全體系思想的根本目的是要保障安全系統(tǒng)設(shè)計(jì)具備良好的動(dòng)態(tài)建設(shè)過程和安全可擴(kuò)展性，促進(jìn)建立易擴(kuò)展的網(wǎng)絡(luò)安全保障體系。
    方案描述。
    依據(jù)安全需求分析，方案搭建的安全系統(tǒng)包括以下安全功能子系統(tǒng)：
    邊界訪問控制系統(tǒng)。
    入侵檢測(cè)系統(tǒng)。
    隱患掃描系統(tǒng)。
    該網(wǎng)絡(luò)安全解決方案涉及到的產(chǎn)品數(shù)品種和數(shù)量都很多，方案選擇了有針對(duì)性的網(wǎng)絡(luò)安全產(chǎn)品，其中榕基的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)漏洞掃描系統(tǒng)是整個(gè)方案中的亮點(diǎn)。
    入侵檢測(cè)系統(tǒng)的功能。
    榕基網(wǎng)安入侵檢測(cè)系統(tǒng)rj-ids是目前國(guó)內(nèi)技術(shù)領(lǐng)先的入侵檢測(cè)系統(tǒng)，該系統(tǒng)采用了國(guó)際前沿的網(wǎng)絡(luò)安全技術(shù)，使用方法簡(jiǎn)單，界面友好，對(duì)于大型企業(yè)網(wǎng)絡(luò)的安全建設(shè)來(lái)說，是一款是功能全面、便于掌握的安全產(chǎn)品。將榕基網(wǎng)安入侵檢測(cè)系統(tǒng)rj-ids布署在該股份有限公司計(jì)算機(jī)網(wǎng)絡(luò)安全系統(tǒng)解決方方案中可以賦予系統(tǒng)以下安全保護(hù)功能：
    及時(shí)發(fā)現(xiàn)和阻斷來(lái)自internet的攻擊和入侵，防止攻擊帶來(lái)的安全損失；
    加強(qiáng)對(duì)內(nèi)部網(wǎng)絡(luò)流量和網(wǎng)絡(luò)資源的監(jiān)控，方便及時(shí)的發(fā)現(xiàn)網(wǎng)絡(luò)異常；
    規(guī)范了數(shù)據(jù)流向，通過策略配置，可以完成對(duì)數(shù)據(jù)傳輸方向的定制；
    漏洞掃描系統(tǒng)的功能。
    榕基網(wǎng)絡(luò)隱患掃描系統(tǒng)嚴(yán)格按照計(jì)算機(jī)信息系統(tǒng)安全的國(guó)家標(biāo)準(zhǔn)、相關(guān)行業(yè)標(biāo)準(zhǔn)進(jìn)行設(shè)計(jì)、編寫、制造。榕基網(wǎng)絡(luò)隱患掃描系統(tǒng)可以對(duì)不同操作系統(tǒng)下的計(jì)算機(jī)（在可掃描ip范圍內(nèi)）進(jìn)行漏洞檢測(cè)。主要用于分析和指出有關(guān)網(wǎng)絡(luò)的安全漏洞及被測(cè)系統(tǒng)的薄弱環(huán)節(jié)，給出詳細(xì)的檢測(cè)報(bào)告，并針對(duì)檢測(cè)到的網(wǎng)絡(luò)安全隱患給出相應(yīng)的修補(bǔ)措施和安全建議。榕基網(wǎng)絡(luò)隱患掃描系統(tǒng)最終目標(biāo)是成為加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)安全防護(hù)能力，提高內(nèi)部網(wǎng)絡(luò)安全防護(hù)性能和抗破壞能力，能夠準(zhǔn)確評(píng)估網(wǎng)絡(luò)的安全性能，并為網(wǎng)絡(luò)系統(tǒng)管理員提供實(shí)時(shí)安全建議的主流工具。網(wǎng)絡(luò)隱患掃描系統(tǒng)作為一種積極主動(dòng)的安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，并可根據(jù)用戶需求對(duì)該系統(tǒng)功能進(jìn)行升級(jí)。
    大型網(wǎng)絡(luò)安全解決方案篇十二
    根據(jù)來(lái)自國(guó)際計(jì)算機(jī)安全協(xié)會(huì)(簡(jiǎn)稱icsa)的統(tǒng)計(jì)，現(xiàn)在全球有99%以上的病毒是通過smtp和http協(xié)議進(jìn)入用戶的計(jì)算機(jī)的，因此目前絕大部分的病毒來(lái)源于internet和外網(wǎng)，尤其是電子郵件和網(wǎng)頁(yè)瀏覽，在1999年，由此造成的損失就超過100億美元，預(yù)計(jì)到2007年全世界每年由于病毒所造成的損失將高到268億美元。
    中國(guó)教育和科研計(jì)算機(jī)網(wǎng)cernet始建于1994年，是由國(guó)家投資建設(shè)，教育部負(fù)責(zé)管理，清華大學(xué)等高等學(xué)校承擔(dān)建設(shè)和運(yùn)行的全國(guó)性學(xué)術(shù)計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)，是全國(guó)最大的公益性計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)。隨著國(guó)家對(duì)教育投入的不斷增加和高校作為科研第一戰(zhàn)線的地位，cernet從建設(shè)之初，就具有了網(wǎng)絡(luò)設(shè)備先進(jìn)，網(wǎng)絡(luò)帶寬巨大，網(wǎng)絡(luò)應(yīng)用復(fù)雜且用戶數(shù)量龐大。以一個(gè)典型的重點(diǎn)高校為例，已經(jīng)普及了千兆光纖接入cernet，千兆光纖接入到各個(gè)院、系、所，百兆到桌面。
    但是伴隨巨大帶寬帶而來(lái)的一個(gè)問題就是網(wǎng)絡(luò)安全問題嚴(yán)重，尤其體現(xiàn)在內(nèi)容層面。由于校園網(wǎng)內(nèi)，聯(lián)網(wǎng)的計(jì)算機(jī)眾多，不但有教學(xué)辦公用機(jī)，還有學(xué)生通過宿舍或者wi-fi網(wǎng)絡(luò)接入，這些都增加了對(duì)網(wǎng)絡(luò)內(nèi)容管理的復(fù)雜性。校園網(wǎng)內(nèi)，病毒、垃圾郵件以及間諜軟件的泛濫已經(jīng)給正常的教學(xué)和科研活動(dòng)帶內(nèi)極大的影響。
    二、解決方案。
    安維華(anchiva)科技有限公司成立于2004年，是由十幾位全球it界知名的華人專家創(chuàng)立的，分別在中國(guó)中關(guān)村和美國(guó)硅谷設(shè)立了研發(fā)中心，擁有自主知識(shí)產(chǎn)權(quán)的網(wǎng)絡(luò)安全高科技企業(yè)。安維華系列內(nèi)容安全網(wǎng)關(guān)基于asic芯片技術(shù)，致力于為用戶提供高帶寬時(shí)代的內(nèi)容安全的整體防護(hù)方案。由于芯片技術(shù)的引入，安維華系列內(nèi)容安全網(wǎng)關(guān)可以以比同類產(chǎn)品快3-4倍的速度掃描網(wǎng)絡(luò)上深層包內(nèi)容，對(duì)病毒、垃圾郵件及間諜軟件等安全威脅進(jìn)行防護(hù)。
    安維華系列內(nèi)容安全網(wǎng)關(guān)有四種型號(hào)，從anchiva500到anchiva2000x。最高端的anchiva2000x可以支持千兆線速的包括病毒掃描在內(nèi)的內(nèi)容檢查速度。針對(duì)一個(gè)典型高校校園網(wǎng)，一個(gè)應(yīng)用全線安維華內(nèi)容安全網(wǎng)關(guān)的拓?fù)鋱D如下所示:。
    上圖是一個(gè)典型的高校校園網(wǎng)的綜合防護(hù)示意圖，
    安維華的內(nèi)容安全網(wǎng)關(guān)安裝使用非常簡(jiǎn)潔方便，支持全透明模式運(yùn)行，可以在不改動(dòng)用戶網(wǎng)絡(luò)結(jié)構(gòu)的情況下無(wú)縫的接入到現(xiàn)有的校園網(wǎng)絡(luò)中。在上圖中，安維華內(nèi)容網(wǎng)關(guān)被部署在以下位置:。
    1.在校園網(wǎng)與cernet和internet接口之間,使用兩臺(tái)anchiva2000x網(wǎng)關(guān)，提供千兆線速的內(nèi)容防護(hù)。兩臺(tái)設(shè)備可以配置為active/passive或者負(fù)載均衡模式，確保網(wǎng)絡(luò)服務(wù)的服務(wù)質(zhì)量。這樣整個(gè)學(xué)?？梢员话踩谋槐Ｗo(hù)起來(lái)，不受來(lái)自互聯(lián)網(wǎng)的病毒侵害。
    2.學(xué)生上網(wǎng)的終端數(shù)量眾多，而且上網(wǎng)的時(shí)間、廣度和深度都很巨大。而伴隨的病毒和垃圾郵件的數(shù)量也很龐大。為了給學(xué)生一個(gè)干凈的上網(wǎng)空間，同時(shí)也防止學(xué)生計(jì)算機(jī)通過其它途徑而感染的病毒傳播影響到校園主干，也就是教學(xué)科研區(qū)的網(wǎng)絡(luò)使用，在學(xué)生宿舍區(qū)和校園網(wǎng)主干之間部署一臺(tái)anchiva2000x網(wǎng)關(guān)。
    3.行政大樓是學(xué)校管理的中樞，校長(zhǎng)辦公室、黨委，人事組織部門都在內(nèi)辦公。聯(lián)網(wǎng)計(jì)算機(jī)數(shù)量眾多，而對(duì)網(wǎng)絡(luò)安全極為重視。為此，部署一臺(tái)anchiva1000x網(wǎng)關(guān)。
    4.教務(wù)處是教學(xué)的核心管理部門。學(xué)生的成績(jī)，課程安排等都在教務(wù)處處理。如果計(jì)算機(jī)被感染病毒，或者間諜軟件，敏感信息被泄露出去，造成的損失不可估量。使用一臺(tái)anchiva1000網(wǎng)關(guān)可以有效的防護(hù)教務(wù)處。
    5.對(duì)于其它部門，可以采用anchiva500網(wǎng)關(guān)來(lái)進(jìn)行額外的防護(hù)。
    三、應(yīng)用優(yōu)勢(shì)。
    安維華公司在業(yè)界率先推出的千兆級(jí)別的內(nèi)容網(wǎng)關(guān)產(chǎn)品，是目前唯一可以部署在校園網(wǎng)千兆出口位置的網(wǎng)關(guān)產(chǎn)品。而豐富的產(chǎn)品線，可以對(duì)校園網(wǎng)絡(luò)進(jìn)行整體層次化的防護(hù)。對(duì)于校園網(wǎng)機(jī)器眾多，管理難度極大的應(yīng)用環(huán)境，在網(wǎng)關(guān)的關(guān)鍵位置進(jìn)行防護(hù)，是最優(yōu)的解決方案。
    關(guān)鍵字：安全方案。
    將本文的word文檔下載到電腦，方便收藏和打印。