成都航利实业科技有限公司网络安全解决方案精编版[34页].docx

《成都航利实业科技有限公司网络安全解决方案精编版[34页].docx》由会员分享，可在线阅读，更多相关《成都航利实业科技有限公司网络安全解决方案精编版[34页].docx（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新资料推荐电 子 科 技 大 学毕 业 设 计（论 文）论文题目： 成都航利实业科技有限公司网络安全解决方案 教学中心： 电子科技大学网络教育重庆学习中心 指导老师： 唐锡雷 职 称： 讲师 学生姓名： 郑天宇 学 号: V08642442123 专 业： 网络工程 电子科技大学继续教育学院制网络教育学院2010年05月10日电 子 科 技 大 学毕业设计（论文）任务书题目： 成都航利实业科技有限公司网络安全解决方案 任务与要求： 本论文主要针对航利集团有限责任公司（以下简称航利集团公司） 的安全问题研究，找到其解决的办法，这对一个以技术为主的公司是很具备现实的意 义。 本论文的要求是能解决

2、该公司的主要网络问题，使公司能健康的发展，也使公司更安全的从事其各项业务。 时间： 2010 年 3月10 日 至 2010年 5 月 13 日 共 9 周 办学单位： 电子科技大学网络教育重庆学习中心 学生姓名： 郑天宇 学 号： V08642442123 专业： 网络工程指导单位或教研室： 重庆科创职业学院指导教师： 唐锡雷 职 称： 讲师 电子科技大学继续教育学院制网络教育学院2010年3月10日毕业设计(论文)进度计划表日 期工 作 内 容执 行 情 况指导教师签 字10月15日至10月20日选题良好10月21日至10月25日论文提纲写作良好10月26日至11月10日初稿写作良好11月

3、11日至 11月15日二稿写作良好11月16日至11月19日定稿并上交论文的电子文档良好11月20日至12月12日做好论文答辩准备良好教师对进度计划实施情况总评 签名 年 月 日 本表作评定学生平时成绩的依据之一。最新精品资料整理推荐，更新于二二一年一月十八日2021年1月18日星期一17:52:16电子科技大学毕业设计(论文)中期检查记录表学生填写毕业设计(论文)题目: 成都航利实业科技有限公司网络安全解决方案学生姓名: 郑天宇 学号：V08642442123专业：网络工程 层次: 专升本教学中心名称: 电子科技大学网络教育重庆学习中心指导教师姓名及职称: 唐锡雷 讲师教师指导毕业设计(论文

4、)时间及地点:电子科技大学网络教育重庆学习中心检查教师填写毕业设计(论文)题目工作量饱满一般不够毕业设计(论文)题目难度大适中不够毕业设计(论文)题目涉及知识点丰富比较丰富较少毕业设计(论文)题目价值很有价值一般价值不大学生是否按计划进度独立完成工作任务学生毕业设计(论文)工作进度填写情况学生出勤情况及出勤的考核办法学生与指导教师见面接受指导次数5次学生工作态度认真一般较差教师毕业设计(论文)指导日志是否齐全其他检查内容：存在问题及采取措施:检查教师签字: 年 月 日教学中心意见:学院审核意见(加盖公章):年 月 日 年 月 日摘 要随着信息化技术的飞速发展，许多有远见的企业都认识到依托先进的

5、IT技术构建企业自身的业务和运营平台将极大地提升企业的核心竞争力，使企业在残酷的竞争环境中脱颖而出。航利集团作为集军工与高新科技、多元化投资的民品管理、西南首屈一指的大型集团，其自身的网络安全，更引起了贵公司的高度重视。本文首先对航利集团有限责任公司（以下简称航利集团）现有的网络系统做了简单的介绍并对现有的网络所面临的安全威胁和影响网络安全的主要因素做了分析；其次针对航利集团公司的实际情况提出了安全的建立网络系统的原则；最后提出相应的安全解决方案并对所需的设备选型、使用、升级等提出一些建议，本文对航利集团网络安全设计进行了重点的论述。 关键词：网络安全 网络系统 设备选型AbstractWit

6、h the rapid development of information technology, and many forward-looking companies recognize that relying on the advanced IT technology to build the enterprises own business and operating platform will greatly enhance the core competitiveness of enterprises so that enterprises in a brutal competi

7、tive environment stand out. Lee Group as a set of military aircraft and high-tech, diversified investment management products for civilian use, leading a large group of Southwest, its own network security has attracted great attention of your company.This first flight Lee Group Co., Ltd. (hereinafte

8、r referred to as Air Lee Group) the existing network system as a simple introduction to the existing network and security threat and the main factors that affect network security analysis done; followed for Hang Lee Group, the authors presented a secure networking system principles; Finally, the app

9、ropriate security solutions and the necessary equipment selection, use, upgrade and so make some suggestions, the paper profit on the route design of our network security the focus of the discussion.KEY WORDS Network security, Network systerm, Equipment Selectio目录第一章 绪 论1第一节 论文的背景和目的1第二节 论文的结构及研究内容1

10、第二章 航利集团网络分析2第一节 航利集团现有网络结构2第二节 航利集团网络面对的威胁、风险分析2一、内部窃密和破坏3二、搭线（网络）窃听3三、 假冒3四、完整性破坏3五、其它网络的攻击3六、 管理及操作人员缺乏安全知识4七、雷击4第三章 安全系统建设原则5第一节 系统性原则5第二节 技术先进性原则5第三节 管理可控性原则5第四节 适度安全性原则5第五节 技术与管理相结合原则5第六节 测评认证原则6第七节 系统可伸缩性原则6第四章 网络安全总体设计7第一节 安全设计总体考虑7第二节 网络安全7一、网络传输8二、 访问控制10三、 入侵检测11四、漏洞扫描12五、其它12第三节 应用系统安全12

11、一、 系统平台安全12二、 应用平台安全12三、 病毒防护12四、系统设计原则13五、产品应用13六、数据备份15七、安全审计15八、认证、鉴别、数字签名、抗抵赖15第四节 物理安全15一、两套网络的相互转换16二、防电磁辐射16三、网络防雷16四、重要信息点的物理保护17五、安全管理17六、安全特性19第五章 安全设备要求20第一节 安全性要求20第二节 可用性要求20第三节 可靠性要求21第四节 安全设备的可扩展性21第五节 安全设备的升级21第六节 设备列表21第六章 保障与培训22第一节 保障机制22第二节 培训22第三节 现场操作培训22结束语23谢辞24参考文献25第一章 绪 论第

12、一节 论文的背景和目的随着国内计算机和网络技术的迅猛发展和广泛普及，企业经营活动的各种业务系统都立足于Internet/Intranet环境中。但是，Internet所具有的开放性、国际性和自由性在增加应用自由度的同时，对安全提出了更高的要求。一旦网络系统安全受到严重威胁，甚至处于瘫痪状态，将会给企业带来巨大的经济损失。如何使信息网络系统免受黑客和病毒的入侵，已成为信息事业健康发展所要考虑的重要事情之一。航利集团有限责任公司于2004年6月正式组建成立，是整合军工企业下属民品行业组建而成的全资大型高新科技、多元化投资的民品管理公司，总资产逾8亿元。做为西南首屈一指的大型集团其自身的网络安全，更

13、是保护其重要商业信息安全，决胜商场立于不败之地的重要法宝之一。第二节 论文的结构及研究内容本文共分为五章，第一章介绍了本文的课题背景及目的；第二章简单的介绍了航利集团的现有网络结构并从网络安全的角度阐述所面对的威胁、风险做了分析；第三章针对航利集团的实际情况提出了安全的建立网络的原则；第四章对提出相应的安全解决方案；第五章对网络系统的安全设备的安全性、可用性、可靠性等提出了要求；第六章列出了网络系统的保障和培训的建议。第二章 航利集团网络分析第一节 航利集团现有网络结构航利集团拥有分布在成都高新区、四川彭州、双流九江的三个自建工业园区，下属有航空产品部、成都航利阀门成套设备有限公司、成都航利电

14、气有限公司、四川航利泰格建设有限责任公司、四川航利房地产发展有限责任公司、成都青山利康药业有限公司等多个国内同行业较高等级资质的企业。经营涉足航空零备件制造、航空设备制造、油气专用阀门、高、低压开关柜、钢结构网架建筑、装修装饰、设备安装、房地产开发等领域。公司三个工业园的各分支机构都可以方便快捷地访问公司总部的Notes，EMail，MRPII等服务器。 航利集团数据中心采用Quidway NetEngine80(简称:NE80)核心路由器，采用了网络处理器技术，在提供高速数据转发的同时还具有QOS，VPN、安全保障等众多业务特性，有效地保证了航利集团企业网对数据、语音、图像在内的多业务承载。

15、网络处理器的应用，使NE80可平滑扩展支持IPV6等众多新技术，避免传统千兆交换路由器GSR采用ASIC硬件转发，新业务支持特性弱的问题，极大延长了高端网络设备的生存周期，长久保护用户的网络建设投资。 航利集团企业网的骨干网，包括总部到区域核心节点，区域核心节点到各办事处，全部采用SDH专线连接，专线技术保证了骨干网数据传递的固定时延和高可靠，使骨干网能很好的支持IP电话、IP会议电视等多业务承载。而各工业园区之间则从早期的ISDN、DDN专线全部替换成了ADSL VPN接入，VPN技术的实施不仅大大的降低了专线租用费用，同时也使办事处员工的移动办公成为可能。专线和VPN技术的相结合，为华为构

16、建了一个高可靠、高性价比的多业务网络平台。航利集团为了提高办公效率、提高企业的竞争力，创造内部人员之间沟通的崭新人文环境，建立自己的内部局域网（Intranet），同时，更快获取市场信息、对外宣传自己的产品，选择接入 Internet 这个见效快、投资小的方式。希望通过网络来提高自身竞争力的同时，信息安全问题也随之而来。如企业敏感信息的泄露、黑客的侵扰、内部网络资源的非法访问和使用以及计算机病毒等，都将对企业的信息安全构成严重的威胁。第二节 航利集团网络面对的威胁、风险分析针对航利集团现阶段网络系统的网络结构和业务流程，结合航利集团今后进行的网络化应用范围的拓展考虑，航利集团网主要的安全威胁和

17、安全漏洞包括以下几方面：一、内部窃密和破坏由于航利集团网络上同时接入了其它部门的网络系统，因此容易出现其它部门不怀好意的人员（或外部非法人员利用其它部门的计算机）通过网络进入内部网络，并进一步窃取和破坏其中的重要信息（如领导的网络账号和口令、重要文件等），因此这种风险是必须采取措施进行防范的。二、搭线（网络）窃听这种威胁是网络最容易发生的。攻击者可以采用如Sniffer等网络协议分析工具，在INTERNET网络安全的薄弱处进入INTERNET，并非常容易地在信息传输过程中获取所有信息（尤其是敏感信息）的内容。对航利集团网络系统来讲，由于存在跨越INTERNET的内部通信（与上级、下级）这种威胁

18、等级是相当高的，因此也是本方案考虑的重点。三、假冒这种威胁既可能来自航利集团网内部用户，也可能来自INTERNET内的其它用户。如系统内部攻击者伪装成系统内部的其他正确用户。攻击者可能通过冒充合法系统用户，诱骗其他用户或系统管理员，从而获得用户名/口令等敏感信息，进一步窃取用户网络内的重要信息。或者内部用户通过假冒的方式获取其不能阅读的秘密信息。四、完整性破坏这种威胁主要指信息在传输过程中或者存储期间被篡改或修改，使得信息/数据失去了原有的真实性，从而变得不可用或造成广泛的负面影响。由于航利集团网内有许多重要信息，因此那些不怀好意的用户和非法用户就会通过网络对没有采取安全措施的服务器上的重要文

19、件进行修改或传达一些虚假信息，从而影响工作的正常进行。五、其它网络的攻击航利集团网络系统是接入到INTERNET上的，这样就有可能会遭到INTERNET上黑客、恶意用户等的网络攻击，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等。因此这也是需要采取相应的安全措施进行防范。六、管理及操作人员缺乏安全知识由于信息和网络技术发展迅猛，信息的应用和安全技术相对滞后，用户在引入和采用安全设备和系统时，缺乏全面和深入的培训和学习，对信息安全的重要性与技术认识不足，很容易使安全设备/系统成为摆设，不能使其发挥正确的作用。如本来对某些通信和操作需要限制，为了方便，设置

20、成全开放状态等等，从而出现网络漏洞。由于网络安全产品的技术含量大，因此，对操作管理人员的培训显得尤为重要。这样，使安全设备能够尽量发挥其作用，避免使用上的漏洞。七、雷击由于网络系统中涉及很多的网络设备、终端、线路等，而这些都是通过通信电缆进行传输，因此极易受到雷击，造成连锁反应，使整个网络瘫痪，设备损坏，造成严重后果。因此，为避免遭受感应雷击的危害和静电干扰、电磁辐射干扰等引起的瞬间电压浪涌电压的损坏，有必要对整个网络系统采取相应的防雷措施。第三章 安全系统建设原则航利集团网络系统安全建设原则为：第一节 系统性原则航利集团网络系统整个安全系统的建设要有系统性和适应性，不因网络和应用技术的发展、

21、信息系统攻防技术的深化和演变、系统升级和配置的变化，而导致在系统的整个生命期内的安全保护能力和抗御风险的能力降低。第二节 技术先进性原则航利集团网络系统整个安全系统的设计采用先进的安全体系进行结构性设计，选用先进、成熟的安全技术和设备，实施中采用先进可靠的工艺和技术，提高系统运行的可靠性和稳定性。第三节 管理可控性原则系统的所有安全设备（管理、维护和配置）都应自主可控；系统安全设备的采购必须有严格的手续；安全设备必须有相应机构的认证或许可标记；安全设备供应商应具备相应资质并可信。安全系统实施方案的设计和施工单位应具备相应资质并可信。第四节 适度安全性原则系统安全方案应充分考虑保护对象的价值与保

22、护成本之间的平衡性，在允许的风险范围内尽量减少安全服务的规模和复杂性，使之具有可操作性，避免超出用户所能理解的范围，变得很难执行或无法执行。第五节 技术与管理相结合原则航利集团网络系统安全建设是一个复杂的系统工程，它包括产品、过程和人的因素，因此它的安全解决方案，必须在考虑技术解决方案的同时充分考虑管理、法律、法规方面的制约和调控作用。单靠技术或单靠管理都不可能真正解决安全问题的，必须坚持技术和管理相结合的原则。第六节 测评认证原则航利集团网络系统作为重要的政务系统，其系统的安全方案和工程设计必须通过国家有关部门的评审，采用的安全产品和保密设备需经过国家主管理部门的认可。第七节 系统可伸缩性原

23、则航利集团网络系统将随着网络和应用技术的发展而发生变化，同时信息安全技术也在发展，因此安全系统的建设必须考虑系统可升级性和可伸缩性。重要和关键的安全设备不因网络变化或更换而废弃。第四章 网络安全总体设计一个网络系统的安全建设通常包括许多方面，包括物理安全、数据安全、网络安全、系统安全、安全管理等，而一个安全系统的安全等级，又是按照木桶原理来实现的。根据航利集团各级内部网络机构、广域网结构、和三级网络管理、应用业务系统的特点，本方案主要从以下几个方面进行安全设计：(1)网络系统安全；(2)应用系统安全；(3)物理安全；(4)安全管理；第一节 安全设计总体考虑根据航利集团网络现状及发展趋势，主要安

24、全措施从以下几个方面进行考虑：网络传输保护主要是数据加密保护主要网络安全隔离通用措施是采用防火墙网络病毒防护采用网络防病毒系统广域网接入部分的入侵检测采用入侵检测系统系统漏洞分析采用漏洞分析设备定期安全审计：内容审计和网络通信审计重要数据的备份重要信息点的防电磁泄露网络安全结构的可伸缩性包括安全设备的可伸缩性，即能根据用户的需要随时进行规模、功能扩展网络防雷第二节 网络安全作为航利集团应用业务系统的承载平台，网络系统的安全显得尤为重要。由于许多重要的信息都通过网络进行交换，一、网络传输由于航利集团中心内部网络存在两套网络系统，其中一套为企业内部网络，主要运行的是内部办公、业务系统等；另一套是与

25、INTERNET相连，通过ADSL接入，并与企业系统内部的上、下级机构网络相连。通过公共线路建立跨越INTERNET的企业集团内部局域网，并通过网络进行数据交换、信息共享。而INTERNET本身就缺乏有效的安全保护，如果不采取相应的安全措施，易受到来自网络上任意主机的监听而造成重要信息的泄密或非法篡改，产生严重的后果。由于现在越来越多的政府、金融机构、企业等用户采用VPN技术来构建它们的跨越公共网络的内联网系统，因此在本解决方案中对网络传输安全部分推荐采用VPN设备来构建内联网。可在每级管理域内设置一套VPN设备，由VPN设备实现网络传输的加密保护。根据航利集团三级网络结构，VPN设置如下图所

26、示：图4-1三级 VPN设置拓扑图每一级的设置及管理方法相同。即在每一级的中心网络安装一台VPN设备和一台VPN认证服务器（VPN-CA），在所属的直属单位的网络接入处安装一台VPN设备，由上级的VPN认证服务器通过网络对下一级的VPN设备进行集中统一的网络化管理。可达到以下几个目的：网络传输数据保护；由安装在网络上的VPN设备实现各内部网络之间的数据传输加密保护，并可同时采取加密或隧道的方式进行传输网络隔离保护；与INTERNET进行隔离，控制内网与INTERNET的相互访问集中统一管理，提高网络安全性；降低成本（设备成本和维护成本）；其中，在各级中心网络的VPN设备设置如下图：图4-2 中

27、心网络VPN设置图由一台VPN管理机对CA、中心VPN设备、分支机构VPN设备进行统一网络管理。将对外服务器放置于VPN设备的DMZ口与内部网络进行隔离，禁止外网直接访问内网，控制内网的对外访问、记录日志。这样即使服务器被攻破，内部网络仍然安全。下级单位的VPN设备放置如下图所示：图4-3 下级单位VPN设置图从图4-3可知，下属机构的VPN设备放置于内部网络与路由器之间，其配置、管理由上级机构通过网络实现，下属机构不需要做任何的管理，仅需要检查是否通电即可。由于安全设备属于特殊的网络设备，其维护、管理需要相应的专业人员，而采取这种管理方式以后，就可以降低下属机构的维护成本和对专业技术人员的要

28、求，这对有着庞大下属、分支机构的单位来讲将是一笔不小的费用。由于网络安全的是一个综合的系统工程，是由许多因素决定的，而不是仅仅采用高档的安全产品就能解决，因此对安全设备的管理就显得尤为重要。由于一般的安全产品在管理上是各自管理，因而很容易因为某个设备的设置不当，而使整个网络出现重大的安全隐患。而用户的技术人员往往不可能都是专业的，因此，容易出现上述现象；同时，每个维护人员的水平也有差异，容易出现相互配置上的错误使网络中断。所以，在安全设备的选择上应当选择可以进行网络化集中管理的设备，这样，由少量的专业人员对主要安全设备进行管理、配置，提高整体网络的安全性和稳定性。二、 访问控制由于航利集团广域

29、网网络部分通过公共网络建立，其在网络上必定会受到来自INTERNET上许多非法用户的攻击和访问，如试图进入网络系统、窃取敏感信息、破坏系统数据、设置恶意代码、使系统服务严重降低或瘫痪等，因此，采取相应的安全措施是必不可少的。通常，对网络的访问控制最成熟的是采用防火墙技术来实现的，本方案中选择带防火墙功能的VPN设备来实现网络安全隔离，可满足以下几个方面的要求：控制外部合法用户对内部网络的网络访问；控制外部合法用户对服务器的访问；禁止外部非法用户对内部网络的访问；控制内部用户对外部网络的网络；阻止外部用户对内部的网络攻击；防止内部主机的IP欺骗；对外隐藏内部IP地址和网络拓扑结构；网络监控；网络

30、日志审计；详细配置拓扑图见图4-1、图4-2、图4-3。由于采用防火墙、VPN技术融为一体的安全设备，并采取网络化的统一管理，因此具有以下几个方面的优点：管理、维护简单、方便；安全性高（可有效降低在安全设备使用上的配置漏洞）；硬件成本和维护成本低；网络运行的稳定性更高由于是采用一体化设备，比之传统解决方案中采用防火墙和加密机两个设备而言，其稳定性更高，故障率更低。三、 入侵检测网络安全不可能完全依靠单一产品来实现，网络安全是个整体的，必须配相应的安全产品。作为必要的补充，入侵检测系统（IDS）可与安全VPN系统形成互补。入侵检测系统是根据已有的、最新的和可预见的攻击手段的信息代码对进出网络的所

31、有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。入侵检测系统一般包括控制台和探测器（网络引擎）。控制台用作制定及管理所有探测器（网络引擎）。探测器（网络引擎）用作监听进出网络的访问行为，根据控制台的指令执行相应行为。由于探测器采取的是监听而不是过滤数据包，因此，入侵检测系统的应用不会对网络系统性能造成多大影响。入侵检测系统的设置如下图：从上图可知，入侵检测仪在网络接如上与VPN设备并接使用。入侵检测仪在使用上是独立网络使用的，网络数据全部通过VPN设备，而入侵检测设备在网络上进行疹听，监控网络状况，一旦发现攻击行为将通过报

32、警、通知VPN设备中断网络（即IDS与VPN联动功能）等方式进行控制（即安全设备自适应机制），最后将攻击行为进行日志记录以供以后审查。四、漏洞扫描作为一个完善的通用安全系统，应当包含完善的安全措施，定期的安全评估及安全分析同样相当重要。由于网络安全系统在建立后并不是长期保持很高的安全性，而是随着时间的推移和技术的发展而不断下降的，同时，在使用过程中会出现新的安全问题，因此，作为安全系统建设的补充，采取相应的措施也是必然。本方案中，采用漏洞扫描设备对网络系统进行定期扫描，对存在的系统漏洞、网络漏洞、应用程序漏洞、操作系统漏洞等进行探测、扫描，发现相应的漏洞并告警，自动提出解决措施，或参考意见，提

33、醒网络安全管理员作好相应调整。五、其它对复杂或有特殊要求的网络环境，在采取安全措施上应当特殊考虑，增加新的安全措施。第三节 应用系统安全一、 系统平台安全航利集团各级网络系统平台安全主要是指操作系统的安全。由于目前主要的操作系统平台是建立在国外产品的基础上，因而存在很大的安全隐患。航利集团网络系统在主要的应用服务平台中采用国内自主开发的安全操作系统，针对通用OS的安全问题，对操作系统平台的登录方式、文件系统、网络传输、安全日志审计、加密算法及算法替换的支持和完整性保护等方面进行安全改造和性能增强。一般用户运行在PC机上的NT平台，在选择性地用好NT安全机制的同时，应加强监控管理。二、 应用平台

34、安全航利集团网络系统的应用平台安全，一方面涉及用户进入系统的身份鉴别与控制，以及使用网络资源的权限管理和访问控制，对安全相关操作进行的审计等。其中的用户应同时包括各级管理员用户和各类业务用户。另一方面涉及各种数据库系统、WWW服务、E-MAIL服务、FTP和TELNET应用中服务器系统自身的安全以及提供服务的安全。在选择这些应用系统时，应当尽量选择国内软件开发商进行开发，系统类型也应当尽量采用国内自主开发的应用系统。三、 病毒防护因为病毒在网络中存储、传播、感染的方式各异且途径多种多样，相应地企业在构建网络防病毒系统时，应利用全方位的企业防毒产品，实施“层层设防、集中控制、以防为主、防杀结合”

35、的策略。具体而言，就是针对网络中所有可能的病毒攻击设置对应的防毒软件，通过全方位、多层次的防毒系统配置，使网络没有薄弱环节成为病毒入侵的缺口。本方案中在选择杀毒软件时应当注意几个方面的要求：具有卓越的病毒防治技术、程序内核安全可靠、对付国产和国外病毒能力超群、全中文产品，系统资源占用低，性能优越、可管理性高，易于使用、产品集成度高、高可靠性、可调配系统资源占用率、便捷的网络化自动升级等优点。病毒对信息系统的正常工作运行产生很大影响，据统计，信息系统的60%瘫痪是由于感染病毒引起的。四、系统设计原则为了更好的解决病毒的防范，一般要求病毒防范系统满足如下要求：采用世界最先进的防毒产品与SVPN系统

36、的实际需要相结合，确保SVPN系统具有最佳的病毒防护能力的情况下综合成本最少。贯彻川大能士“层层设防，集中控管，以防为主、防治结合”的企业防毒策略。在SVPN系统中所有可能的病毒攻击点或通道中设置对应的防病毒软件，通过这种全方位的、多层次的防毒系统配置，使企业网络免遭所有病毒的入侵和危害。充分考虑SVPN系统的系统数据、文件的安全可靠性，所选产品与现系统具有良好的一致性和兼容性，以及最低的系统资源占用，保证不对现有系统运行产生不良影响。应用全球最为先进的“实时监控”技术，充分体现趋势科技“以防为主”的反病毒思想。所选用产品具备对多种压缩格式文件的病毒检测。所选用产品易于安装、操作简便、便于管理

37、和维护，具有友好的用户界面。应用经由ICSA（国际电脑安全协会）技术认证的扫描引擎，保证对包括各种千面人病毒、变种病毒和黑客程序等具有最佳的病毒侦测率，除对已知病毒具备全面的侦防能力，对未知病毒亦有良好的侦测能力。强调在XXX网络防毒系统内，实施统一的防病毒策略、集中的防毒管理和维护，最大限度地减轻使用人员和维护人员的工作量。完全自动化的日常维护，便于进行病毒码及扫描引擎的更新。提供良好的售后服务及技术支持。具有良好的可扩充性，充分保护用户的现有投资，适应SVPN系统的今后发展需要。五、产品应用根据航利集团网络系统的结构和应用特点，病毒防御可采取多种措施：网关防毒；服务器防毒；客户端防毒；邮件

38、防毒；应用拓扑如下图：图4-4病毒应用拓扑图在网络骨干接入处，安装防毒墙（即安装有网关杀毒软件的独立网关设备），由防毒墙实现网络接入处的病毒防护。由于是安装在网络接入处，因此，对主要网络协议进行杀毒处理（SMTP、FTP、HTTP）。在服务器上安装单独的服务器杀毒产品，对服务器进行病毒保护。由于内部存在几十个网络客户端，如采用普通杀毒软件会造成升级麻烦、使用不便等问题。可在服务器上安装客户端防病毒产品（客户端杀毒软件的工作模式是服务器端、客户端的方式）的服务器端，由客户端通过网络与服务器端连接后进行网络化安装。对产品升级，可通过在服务器端进行设置，自动通过INETRNET进行升级，再由客户端到

39、服务器端进行升级，大大简化升级过程，并且整个升级是自动完成，不需要人工操作。对邮件系统，可采取安装专用邮件杀毒产品，通过在邮件服务器上安装邮件杀毒程序，实现对内部邮件的杀毒，保证邮件在收、发时都是经过检查的，确保邮件无毒。通过这种方法，可以达到层层设防的作用，最终实现病毒防护。六、数据备份作为企业集团，航利集团内部存在大量的数据，而这里面又有许多重要的、机密的信息。而整个数据的安全保护就显得特别重要，对数据进行定期备份是必不可少的安全措施。在采取数据备份时应该注意以下几点：存储介质安全在选择存储介质上应选择保存时间长，对环境要求低的存储产品，并采取多种存储介质备份。如同时采用硬盘、光盘备份的方

40、式。数据安全即数据在备份前是真实数据，没有经过篡改或含有病毒。备份过程安全确保数据在备份时是没有受到外界任何干扰，包括因异常断电而使数据备份中断的或其它情况。备份数据的保管对存有备份数据的存储介质，应保存在安全的地方，防火、防盗及各种灾害，并注意保存环境（温度、湿度等）的正常。同时对特别重要的备份数据，还应当采取异地备份保管的方式，来确保数据安全。对重要备份数据的异地、多处备份（避免类似美国911事件为各公司产生的影响）七、安全审计作为一个良好的安全系统，安全审计必不可少。由于航利集团是一个非常庞大的网络系统，因而对整个网络（或重要网络部分）运行进行记录、分析是非常重要的，它可以让用户通过对记

41、录的日志数据进行分析、比较，找出发生的网络安全问题的原因，并可作为以后的法律证据或者为以后的网络安全调整提供依据。八、认证、鉴别、数字签名、抗抵赖由于航利集团网络系统庞大，上面存在很多分级的重要信息；同时，由于现在国家正在大力推进电子政务的发展，网上办公已经越来越多的被应用到各级政府部门当中，因此，需要对网上用户的身份、操作权限等进行控制和授权。对不同等级、类型的信息只允许相应级别的人进行审阅；对网上公文的处理采取数字签名、抗抵赖等相应的安全措施。第四节 物理安全航利集团网络系统的物理安全要求是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾和雷击等环境事故以及人为操作失误或错误及各种

42、计算机犯罪行为导致的破坏过程。一、两套网络的相互转换由于航利集团内部网络系统具有两套网络，这两套网络系统是完全物理隔离的，而企业内部有部分用户需要两个网络都要接入，这就涉及到两个网络之间的相互切换问题。而现在的实际使用是采用手工拔插网线的方式进行切换，这使得使用中非常不方便。因此，本方案建议采用网络隔离卡的方式来解决网络切换的问题。隔离卡上有两个网络接口，一个接内网，一个接外网；另外还有一个控制口，通过控制口连接一个控制器（只有火柴盒大小），放置于电脑旁边。同时，在隔离卡上接两个硬盘，使一个计算机变为两个计算机使用，两个硬盘上分别运行独立的操作系统。这样，可通过控制器进行切换（简单的开关，类似

43、电源开关），使计算机分别接到两个网络上。二、防电磁辐射普通的综合布线系统通常都采用5类UTP的方式，由于电信号在传输时存在电磁场，并随着信号的改变而改变磁场的强弱，而UTP本身没有任何的屏蔽功能，因此容易被国外间谍机构或不法分子采取电磁波复原的方法窃取重要机密信息，造成严重后果。因而对重要信息点的数据传输介质应采取相应的安全措施，如使用屏蔽双绞线等终端设备尤其是CRT显示器均有程度不同的电磁辐射问题，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，因此除要求在订购设备上尽量选取低辐射产品外，还应根据保护对象分别采取主动式的干扰设备（如干扰机来破坏对信息的侦窃），或采用加装带屏蔽门窗的屏蔽室。

44、三、网络防雷由于航利集团网络系统的物理范围主要是在一栋大楼内，而大楼本身已采取相应的防雷措施，因此，本方案中主要针对网络系统防雷进行设计，不包括电源防雷（这一般属于大楼防雷的部分）。不少用户为防止计算机及其局域网或广域网遭雷击，便简单地在与外部线路连接的调制解调器上安装避雷器，但由于静电感应雷、防电磁感应雷主要是通过供电线路破坏设备的，因此对计算机信息系统的防雷保护首先是合理地加装电源避雷器，其次是加装信号线路和天馈线避雷器。如果大楼信息系统的设备配置中有计算机中心机房、程控交换机房及机要设备机房，那么在总电源处要加装电源避雷器。按照有关标准要求，必须在0区、1区、2区分别加装避雷器（0区、1区、2区是按照雷电出现的强度划分的）。在各设备前端分别要加装串联型电源避雷器（多级集成型），以最大限度地抑制雷电感应的能量。同时，计