隨著計算機網(wǎng)絡的不斷發(fā)展,計算機網(wǎng)絡具有聯(lián)結形式多樣性、終端分布不均勻性和網(wǎng)絡的開放性、互連性等特征，致使網(wǎng)絡易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊，所以網(wǎng)上信息的安全和保密是一個至關重要的問題。無論是在局域網(wǎng)還是在廣域網(wǎng)中都存在著自然和人為等諸多因素的脆弱性和潛在威脅。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對計算機系統(tǒng)直接或間接的攻擊，威脅也可能源于偶發(fā)的、或蓄意的事件。不管威脅來自于環(huán)境因素還是意外故障、無惡意的還是惡意的內部行為以及來自于第三方的外部攻擊行為，都會對網(wǎng)絡信息系統(tǒng)面臨最大的風險。

2. 網(wǎng)絡安全需求分析

針對企業(yè)單位網(wǎng)絡的信息系統(tǒng)做面臨的安全風險，以保障網(wǎng)絡信息系統(tǒng)的安全運行為基本出發(fā)點，為保障企業(yè)單位中信息系統(tǒng)的完整性、高可用性和抗抵賴性提供整體的網(wǎng)絡安全解決方案，建立完善的網(wǎng)絡安全信息系統(tǒng)，確保該信息系統(tǒng)能夠安全、穩(wěn)定、可靠地運行，對于企業(yè)單位的網(wǎng)絡信息系統(tǒng)的安全具有重要意義。針對企業(yè)單位的信息系統(tǒng)典型安全需求包括以下幾個方面：

1、信息系統(tǒng)安全區(qū)域的劃分及管理；

2、 信息系統(tǒng)安全區(qū)域邊界的安全隔離防護及入侵防護管理

3、 企業(yè)單位信息中心和分支子公司的安全互聯(lián)及安全訪問控制管理；

4、 移動辦公、第三方運維、VIP用戶及IPAD用戶的安全接入及統(tǒng)一認證管理；

5、 統(tǒng)一的網(wǎng)絡安全運維體系、防病毒體系、網(wǎng)絡安全漏洞及終端安全準入管理；

3. 網(wǎng)絡安全技術解決方案

1. 安全區(qū)域的劃分管理：根據(jù)網(wǎng)絡結構劃分安全區(qū)域，利用防火墻將個安全進去進行安全隔離，根據(jù)各安全區(qū)域的重要性不同，其安全級別也各不相同；針對不同級別的安全域提供相應的安全防護；

 2. 邊界安全防護及入侵防御，安全區(qū)域邊界部署防火墻、入侵防御及上網(wǎng)行為管理，對安全區(qū)域進行安全隔離，對網(wǎng)絡訪問行為進行安全審計，詳細記錄用戶行為，并對訪問數(shù)據(jù)進行檢測，防止病毒、木馬、后門、蠕蟲病毒等惡意代碼的危害，防止惡意的網(wǎng)絡攻擊行為。

3. 信息中心網(wǎng)絡和分支子公司網(wǎng)絡通過IPSEC VPN加密隧道對服務器安全區(qū)域的業(yè)務系統(tǒng)的訪問，根據(jù)訪問業(yè)務信息系統(tǒng)進行權限劃分，加強對業(yè)務信息系統(tǒng)的訪問控制管理；

4. 統(tǒng)一的CA數(shù)值證書認證，移動辦公、第三方運維、VIP用戶及IPAD用戶的通過VPN數(shù)據(jù)加密安全接入，采用數(shù)字證書認證，通過服務協(xié)議端口代理的方式接入信息中心網(wǎng)絡對業(yè)務應用系統(tǒng)的訪問，根據(jù)訪問性質和目的不同，對其進行權限劃分，通過行為審計和日志審計對其行為進行監(jiān)督和審計；

5. 建立統(tǒng)一的網(wǎng)絡安全運維體系、防病毒體系、網(wǎng)絡安全漏洞及終端安全準入管理，對企業(yè)單位網(wǎng)絡信息系統(tǒng)所有IT資源中的各種網(wǎng)絡設備、安全設備、主機和服務器、服務和應用系統(tǒng)，以及機房設備進行統(tǒng)一的管理，為用戶提供一個全方位監(jiān)控的統(tǒng)一管理平臺，使得管理員通過一個單一控制臺就能夠進行實時全網(wǎng)監(jiān)控，確保企業(yè)單位IT資源的可用性，以及業(yè)務的持續(xù)性。以服務器和群件病毒防護、桌面病毒防護、反病毒管理系統(tǒng)、邊界防病毒等相結合的方式，建立一個全方位、多層次綜合立體病毒防護體系；加強漏洞管理，通過定期的對網(wǎng)絡信息系統(tǒng)進行全面或部分掃描和漏洞分析，采用模擬攻擊的形式對工作站、服務器、交換機、數(shù)據(jù)庫應用等對象可能存在的已知安全漏洞進行逐項檢查，然后根據(jù)掃描結果向系統(tǒng)管理員提供安全性分析報告，評估網(wǎng)絡系統(tǒng)的安全狀況和弱點分步，為提高網(wǎng)絡安全整體水平產(chǎn)生重要依據(jù)。加強終端管理，以滿足等級保護基本要求-技術要求部分的網(wǎng)絡安全和主機安全要求提供必要的技術手段，為用戶提供包括終端接入控制、終端安全加固、終端合規(guī)審計、終端數(shù)據(jù)保護、分發(fā)補丁和加固系統(tǒng)等安全管理手段。

4. 方案優(yōu)勢

本方案以保護信息系統(tǒng)為目標，以策略為核心，從多個層面進行安全防護，對網(wǎng)絡信息系統(tǒng)劃分為不同的安全區(qū)域，各個安全區(qū)域內部的網(wǎng)絡設備、服務器、終端、應用系統(tǒng)形成單獨的計算環(huán)境、各個安全區(qū)域之間的訪問形成邊界、各個安全區(qū)域之間的連接鏈路和網(wǎng)絡設備構成了網(wǎng)絡基礎設施；并通過統(tǒng)一的運維管理體系來實現(xiàn)對基礎安全設施的集中管理，構建分域的控制體系。通過整合安全網(wǎng)關、邊界防護、行為管理、安全接入、入侵防御、安全審計、終端安全管理、綜合防病毒體系以及綜合安全運維管理等多項安全技術，實現(xiàn)以保障服務器業(yè)務系統(tǒng)為核心，實現(xiàn)業(yè)務應用系統(tǒng)安全防護，結合安全區(qū)域的劃分與隔離技術，實現(xiàn)邊界安全防護，配合終端安全管理、病毒安全防護體系等技術手段，全面提升入侵檢測防護能力，并通過安全運維管理體系統(tǒng)一的安全管理，保障業(yè)務系統(tǒng)安全、穩(wěn)定運行。