隨著計(jì)算機(jī)網(wǎng)絡(luò)的不斷發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開(kāi)放性、互連性等特征，致使網(wǎng)絡(luò)易受黑客、病毒、蠕蟲(chóng)、惡意軟件和其他惡意的攻擊，所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問(wèn)題。無(wú)論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然和人為等諸多因素的脆弱性和潛在威脅。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無(wú)意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對(duì)計(jì)算機(jī)系統(tǒng)直接或間接的攻擊，威脅也可能源于偶發(fā)的、或蓄意的事件。不管威脅來(lái)自于環(huán)境因素還是意外故障、無(wú)惡意的還是惡意的內(nèi)部行為以及來(lái)自于第三方的外部攻擊行為，都會(huì)對(duì)網(wǎng)絡(luò)信息系統(tǒng)面臨最大的風(fēng)險(xiǎn)。

2. 網(wǎng)絡(luò)安全需求分析

針對(duì)企業(yè)單位網(wǎng)絡(luò)的信息系統(tǒng)做面臨的安全風(fēng)險(xiǎn)，以保障網(wǎng)絡(luò)信息系統(tǒng)的安全運(yùn)行為基本出發(fā)點(diǎn)，為保障企業(yè)單位中信息系統(tǒng)的完整性、高可用性和抗抵賴性提供整體的網(wǎng)絡(luò)安全解決方案，建立完善的網(wǎng)絡(luò)安全信息系統(tǒng)，確保該信息系統(tǒng)能夠安全、穩(wěn)定、可靠地運(yùn)行，對(duì)于企業(yè)單位的網(wǎng)絡(luò)信息系統(tǒng)的安全具有重要意義。針對(duì)企業(yè)單位的信息系統(tǒng)典型安全需求包括以下幾個(gè)方面：

1、信息系統(tǒng)安全區(qū)域的劃分及管理；

2、 信息系統(tǒng)安全區(qū)域邊界的安全隔離防護(hù)及入侵防護(hù)管理

3、 企業(yè)單位信息中心和分支子公司的安全互聯(lián)及安全訪問(wèn)控制管理；

4、 移動(dòng)辦公、第三方運(yùn)維、VIP用戶及IPAD用戶的安全接入及統(tǒng)一認(rèn)證管理；

5、 統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)維體系、防病毒體系、網(wǎng)絡(luò)安全漏洞及終端安全準(zhǔn)入管理；

3. 網(wǎng)絡(luò)安全技術(shù)解決方案

1. 安全區(qū)域的劃分管理：根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)劃分安全區(qū)域，利用防火墻將個(gè)安全進(jìn)去進(jìn)行安全隔離，根據(jù)各安全區(qū)域的重要性不同，其安全級(jí)別也各不相同；針對(duì)不同級(jí)別的安全域提供相應(yīng)的安全防護(hù)；

 2. 邊界安全防護(hù)及入侵防御，安全區(qū)域邊界部署防火墻、入侵防御及上網(wǎng)行為管理，對(duì)安全區(qū)域進(jìn)行安全隔離，對(duì)網(wǎng)絡(luò)訪問(wèn)行為進(jìn)行安全審計(jì)，詳細(xì)記錄用戶行為，并對(duì)訪問(wèn)數(shù)據(jù)進(jìn)行檢測(cè)，防止病毒、木馬、后門(mén)、蠕蟲(chóng)病毒等惡意代碼的危害，防止惡意的網(wǎng)絡(luò)攻擊行為。

3. 信息中心網(wǎng)絡(luò)和分支子公司網(wǎng)絡(luò)通過(guò)IPSEC VPN加密隧道對(duì)服務(wù)器安全區(qū)域的業(yè)務(wù)系統(tǒng)的訪問(wèn)，根據(jù)訪問(wèn)業(yè)務(wù)信息系統(tǒng)進(jìn)行權(quán)限劃分，加強(qiáng)對(duì)業(yè)務(wù)信息系統(tǒng)的訪問(wèn)控制管理；

4. 統(tǒng)一的CA數(shù)值證書(shū)認(rèn)證，移動(dòng)辦公、第三方運(yùn)維、VIP用戶及IPAD用戶的通過(guò)VPN數(shù)據(jù)加密安全接入，采用數(shù)字證書(shū)認(rèn)證，通過(guò)服務(wù)協(xié)議端口代理的方式接入信息中心網(wǎng)絡(luò)對(duì)業(yè)務(wù)應(yīng)用系統(tǒng)的訪問(wèn)，根據(jù)訪問(wèn)性質(zhì)和目的不同，對(duì)其進(jìn)行權(quán)限劃分，通過(guò)行為審計(jì)和日志審計(jì)對(duì)其行為進(jìn)行監(jiān)督和審計(jì)；

5. 建立統(tǒng)一的網(wǎng)絡(luò)安全運(yùn)維體系、防病毒體系、網(wǎng)絡(luò)安全漏洞及終端安全準(zhǔn)入管理，對(duì)企業(yè)單位網(wǎng)絡(luò)信息系統(tǒng)所有IT資源中的各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)和服務(wù)器、服務(wù)和應(yīng)用系統(tǒng)，以及機(jī)房設(shè)備進(jìn)行統(tǒng)一的管理，為用戶提供一個(gè)全方位監(jiān)控的統(tǒng)一管理平臺(tái)，使得管理員通過(guò)一個(gè)單一控制臺(tái)就能夠進(jìn)行實(shí)時(shí)全網(wǎng)監(jiān)控，確保企業(yè)單位IT資源的可用性，以及業(yè)務(wù)的持續(xù)性。以服務(wù)器和群件病毒防護(hù)、桌面病毒防護(hù)、反病毒管理系統(tǒng)、邊界防病毒等相結(jié)合的方式，建立一個(gè)全方位、多層次綜合立體病毒防護(hù)體系；加強(qiáng)漏洞管理，通過(guò)定期的對(duì)網(wǎng)絡(luò)信息系統(tǒng)進(jìn)行全面或部分掃描和漏洞分析，采用模擬攻擊的形式對(duì)工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等對(duì)象可能存在的已知安全漏洞進(jìn)行逐項(xiàng)檢查，然后根據(jù)掃描結(jié)果向系統(tǒng)管理員提供安全性分析報(bào)告，評(píng)估網(wǎng)絡(luò)系統(tǒng)的安全狀況和弱點(diǎn)分步，為提高網(wǎng)絡(luò)安全整體水平產(chǎn)生重要依據(jù)。加強(qiáng)終端管理，以滿足等級(jí)保護(hù)基本要求-技術(shù)要求部分的網(wǎng)絡(luò)安全和主機(jī)安全要求提供必要的技術(shù)手段，為用戶提供包括終端接入控制、終端安全加固、終端合規(guī)審計(jì)、終端數(shù)據(jù)保護(hù)、分發(fā)補(bǔ)丁和加固系統(tǒng)等安全管理手段。

4. 方案優(yōu)勢(shì)

本方案以保護(hù)信息系統(tǒng)為目標(biāo)，以策略為核心，從多個(gè)層面進(jìn)行安全防護(hù)，對(duì)網(wǎng)絡(luò)信息系統(tǒng)劃分為不同的安全區(qū)域，各個(gè)安全區(qū)域內(nèi)部的網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端、應(yīng)用系統(tǒng)形成單獨(dú)的計(jì)算環(huán)境、各個(gè)安全區(qū)域之間的訪問(wèn)形成邊界、各個(gè)安全區(qū)域之間的連接鏈路和網(wǎng)絡(luò)設(shè)備構(gòu)成了網(wǎng)絡(luò)基礎(chǔ)設(shè)施；并通過(guò)統(tǒng)一的運(yùn)維管理體系來(lái)實(shí)現(xiàn)對(duì)基礎(chǔ)安全設(shè)施的集中管理，構(gòu)建分域的控制體系。通過(guò)整合安全網(wǎng)關(guān)、邊界防護(hù)、行為管理、安全接入、入侵防御、安全審計(jì)、終端安全管理、綜合防病毒體系以及綜合安全運(yùn)維管理等多項(xiàng)安全技術(shù)，實(shí)現(xiàn)以保障服務(wù)器業(yè)務(wù)系統(tǒng)為核心，實(shí)現(xiàn)業(yè)務(wù)應(yīng)用系統(tǒng)安全防護(hù)，結(jié)合安全區(qū)域的劃分與隔離技術(shù)，實(shí)現(xiàn)邊界安全防護(hù)，配合終端安全管理、病毒安全防護(hù)體系等技術(shù)手段，全面提升入侵檢測(cè)防護(hù)能力，并通過(guò)安全運(yùn)維管理體系統(tǒng)一的安全管理，保障業(yè)務(wù)系統(tǒng)安全、穩(wěn)定運(yùn)行。