企业信息化建设安全解决方案_企业信息化建设方法

企业信息化建设安全解决方案由刀豆文库小编整理，希望给你工作、学习、生活带来方便，猜你可能喜欢“企业信息化建设方法”。

企业信息化建设安全解决方案

企业信息化建设 安全解决方案

（天威诚信）(版本：1.0)

北京天威诚信电子商务服务有限公司

2013年3月企业信息化建设安全解决方案

目 录前言......................................................................................................................................1 1.1 概述...............................................................................................................................1 1.2 安全体系.......................................................................................................................1 1.3 本文研究内容...............................................................................................................2 2 **集团企业信息化现状......................................................................................................2 2.1 **集团企业信息化现状...............................................................................................2 2.1.1 **集团现状..........................................................................错误！未定义书签。2.1.2 **集团信息化现状................................................................................................2 2.1.3 主要系统现状及存在问题....................................................................................3 2.1.4 其他问题................................................................................................................4 2.2 **集团企业信息化系统需求分析...............................................................................4 2.2.1 网络需求分析........................................................................................................4 2.2.2 系统需求分析:.......................................................................................................5 2.2.3 安全需求分析

3.3.4 门户系统建设......................................................................................................17 3.3.5 业务管理和运营支撑系统..................................................................................17 3.3.6 企业信息化管理..................................................................................................17 3.4 安全建设.....................................................................................................................17 3.4.1 网络边界安全防护..............................................................................................17 3.4.2 入侵检测与防御..................................................................................................18 3.4.3 安全漏洞扫描和评估..........................................................................................20 3.4.4 防病毒系统..........................................................................................................20 3.4.5 终端监控与管理..................................................................................................21 4 结束语................................................................................................................................22 4.1 论文工作总结.............................................................................................................22 4.2 本方案不足之处.........................................................................................................22 企业信息化建设安全解决方案 前言

1.1概述

国内企业的信息化建设也经历了几起几落，取得了一些成绩，也积累了一些经验教训。在发展的同时，各企业也不同程度上产生了信息孤岛，信息集成的优势还没有发挥出来，阻碍了企业信息化的发展，并在相当程度上抵消了网络技术带给我们的便利和效率。如果我们把分析信息系统集成问题的着眼点放在基础数据信息流上，通过基础数据信息流将企业各部门的主要功能“穿起来”，而不是根据现有部门的功能来考虑信息系统的集成问题，就可以建立起既具有稳定性，又具有灵活性的全企业集成化的信息系统模型，有效地防止信息孤岛的产生。因此，为了建设一个优秀的1T系统，要以基础数据为根本，以先进的管理思想为指导，以领先的技术为辅助。企业信息化作为一个严密的信息系统，数据处理的准确性、及时性和可靠性是以各业务环节数据的完整和准确为基础的。企业信息化建设中有一句老话:“三分技术，七分管理，十二分数据”，信息系统的实施是建立在完善的基础数据之上的，而信息系统的成功运行则是基于对基础数据的科学管理。因此，理顺企业的数据流是企业信息化建设成功的关键之一。信息化建设是对企业管理水平进行量化的过程，企业的管理水平是信息化的基础。管理是一种思路，这种思路可以用数字来表示，当这些数字形成数据流时，也就表示了这一管理思想的过程，理顺了数据流也等于理顺了管理。IT技术人员通常不了解管理思路，但对数据流却相当熟悉，这就有利于IT技术人员开发符合要求的软件产品。企业信息化就是利用技术的手段将先进的企业管理思想融入企业的经营管理中，在这个过程中将最终实现对财务、物流、业务流程、成本核算、客户关系管理及供应链管理等各个环节的科学管理。因此要明确部门间哪些数据需要共享，哪些数据要上报企业领导，哪些部门需要获取外部的知识或信息，企业的哪些数据需要对外发布和宣传，哪些数据需要保密，子公司要与总公司交换哪些数据等等。当数据流理顺后，相应的业务管理流程也就一目了然，管理流程也就理顺了。图l一l管理流程图

1.2安全体系

网络安全是一个综合的系统工程，需要考虑涉及到的所有软硬件产品环节。网络的总体安全取决于所有环节中的最薄弱环节，或者说如果有一个环节出了问题，其总体安全就得不到保障，这也就是所谓的木桶效应，一个由一根根木条钉成的水桶，它的盛水量是由其最短的那根木条决定的，网络安全正是如此，其设计、实施必须要有全面的考虑，否则就会得不到保障。网络安全也是个长期的过程，是个不断完善的过程，不能说买了几个产品就一劳永逸的解决了所有的安全问题，需要不断对现有系企业信息化建设安全解决方案

统进行安全评估，发现新的安全问题，另外也要跟踪最新的安全技术，及时调整自己的安全策略。通常安全设计需要参照如下模式:

图安全模式

网络安全不单是单点的安全，而是整个系统的安全，需要从物理、链路、网络、系统、应用和管理方面进行立体的防护。要知道如何防护，首先需要了解安全风险来自于何处。安全需求和风险评估是制定安全策略的依据。我们先要对现有的网络的安全进行风险分析，风险分析的结果作为制定安全策略的重要依据之一。然后根据安全策略的要求，选择相应的安全机制和安全技术，实施安全防御系统、进行监控与检测。安全防御系统必须包括技术和管理两方面，涵盖物理层、系统层、网络层、应用层和管理层各个层面上的诸多风险类。安全防御系统搭建得完善与否，直接决定着整个网络安全程度，无论哪个层面上的安全措施不到位，都会存在很大的安全隐患，都有可能造成业务网络中的后门。响应与恢复系统是保障网络安全性的重要手段。根据检测和响应的结果，可以发现防御系统中的薄弱环节，或者安全策略中的漏洞，进一步进行风险分析，修改安全策略，根据技术的发展和业务的变化，逐步完善安全策略，加强业务网安全措施。

1.3本文研究内容

本课题源于**集团企业信息化建设这一项目。目前**集团各子公司各自组网，使用各自的以办公系统。为了适应市场的不断发展和激烈竞争，提高福建电信实业公司的服务水平和服务质量，增强对新业务的支撑能力和反应速度，满足客户需求的不断变化和发展，要求建立一个统一的对外平台。现在互联网处于开放的状态，网上充斥着各种信息，病毒、恶意攻击、窃取公司机密等等屡见不鲜，由于**集团与各子公司经过互联网进行以互联，对外提供web服务，同时各公司存在上网的需求，因此保护企业网络，防止信息泄漏更是急切需要解决的问题。本解决方案就是要提供网络互联、网络监测、流量控制、带宽保证、防入侵检测。系统可帮助值班人员随时了解到网络质量以及设备的工作状态;系统对历史信息进行记录并提供查询功能，方便用户对出现的情况原因进行深入分析;系统提供图形化界面管理，方便用户实现人性化管理，同时抗击各种非法攻击和干扰，保证网络安全可靠。**集团企业信息化现状

2.1 **集团企业信息化现状

2.1.1 **集团信息化现状

描述…… 企业信息化建设安全解决方案

2.1.2 主要系统现状及存在问题

描述……

2.1.2.1 门户网站、企业邮箱系统

目前**、设计院、邮科公司、工程公司都有公司网站，有公司域名，但是网站内容非常有限，仅用于发布一些企业宣传信息、产品信息、招聘信息等，且信息更新频度较低。除邮科公司网站系统部署在自有服务器上外，其他公司的网站系统都是租用电信的服务器或硬盘空间。各子公司的网站和实业公司的网站系统之间没有进行“超链”。**、设计院、邮科通信公司、工程公司有公司的邮箱系统，采用公司域名作为邮箱系统的域名。除邮科通信公司的邮箱系统是架设在自有服务器上外，其他公司的邮箱系统都是主机托管或租用电信的邮箱服务。

2.1.2.2 人力资源管理系统

目前所有子公司都没有单独完整的人力资源管理系统，部分公司目前使用的人力资管理系统主要是80年代原省邮电管理局统一使用的老系统或相关业务管理部门指定的小软件，目前已经难以满足企业的人力资源管理需求。部分公司正在学习金蝶HR系统，但是目前都没有正式使用该软件。这些软件都是单机版或者C/S架构的网络版，无法满足《指导意见》提出的2级架构要求。调研中，各子公司的人力资源部门都强烈希望集团能够尽快提供一套统一的人力资源管理系统。

2.1.2.3 财务管理系统、报表系统

所有子公司都统一使用金蝶K/3系统作为财务基础核算系统，该系统为C/S架构的网络版，该架构无法满足《指导意见》提出的2级架构要求。目前所有子公司都购买了金蝶公司的支撑服务。**无法通过远程访问方式了解各子公司的财务数据。目前所有子公司都使用北京久其公司的久其报表软件单机版，报表模板由**统一下发，各子公司财务部负责收集数据，汇总后上报给**。各子公司上报的数据中有一部分人力资源、经营的数据需要财务以外的部门提供，目前通过手工方式提供。**的报表上报也是使用久其单机版，由省电信公司财务部下发模板，收集各子公司上报的数据汇总后报送给省电信公司财务部。目前无需向其他单位提供统计报表(如统计局、省管局等)。目前没有购买久其公司的维护支撑服务。

2.1.2.4 经营分析系统

目前包括**在内，都没有专门的IT系统用来支撑经营分析。目前的经营分析主要通过各业务部门手工提取数据进行加工分析后形成经营分析报告。企业信息化建设安全解决方案

2.1.2.5 业务运营支撑系统

设计院的主要业务:设计业务，系统集成(工程业务)，使用自己开发的一套系统来支撑其业务。该系统技术架构比较先进，功能基本满足该公司的业务需求，由于为自己开发的系统，维护支撑、软件功能升级都比较便利。邮科通信公司的业务类型比较杂:软件开发、系统集成、电信业务支撑服务、生产销售、工程服务、工程设计，目前没有统一的IT系统来支撑，而是由各个专业部门自行开发或引入一些系统来支撑日常业务，存在种类繁多不统一，信息无法共享的问题。工程公司的业务类型:工程施工，部分施工、维护，也是采用自行开发的一套系统来支撑业务。

2.1.3 其他问题

 集团内各子公司网络规模庞大，网络设备种类多，配置复杂，版本参差不齐，对系统资源利用和性能指标缺乏实时的、集中的监控管理机制; 在接入Internet方面，部分子公司保留有Internet出口，部分终端可其它方式访问Internet，存在网络安全隐患; 网络上运行的诸多服务器和网络设备都有设置有多个用户帐号和口令，但缺乏统一的口令管理机制，认证方式不可靠。

 网络中连接有为数众多的终端，大多终端安装有防病毒软件。但缺乏病毒防护的统一监控和管理，系统管理员维护工作量较大并且复杂。

2.2 **集团企业信息化系统需求分析

2.2.1 网络需求分析

结合**集团的1T现状及本省的06一09年IT总体规划需求，拟在**集团有限公司集团总部建设一中心点，作为中心机房，通过中心点与全市5个上市子公司之间组建办公网。本期建设的IT系统能够省集中部署的全部采用省集中部署模式。如下图:

图

IT基础设施建设实施关键点

1.明确应用系统的硬件及网络带宽需求

评估未来5年**的应用系统的IT环境需求，包括妥种主机设备、网络带宽、电源容量、存储容量等需求，在机房设计施工时预留足够的余量。2.安全方案设计

充分考虑企业信息化的安全需求，特别与工nternet相连的网络、应用系

比较成熟，安全强度足够高，并且应用上需要支持远程办公，本次建设将不采用物理隔离方式。异地备份方案采用在子公司机房部署备份服务器的方式。3.机房选址

选定**机房作为中心机房，该机房具有较大的扩展空间。异地备份机房选用邮科公司智能网机房。

4.机房设计施工，包括电源改造、增加UPS、增加空调设备等

现有机房的市电容量不足，没有专用空调，未配备统一的UPS，因此需要在本次建设统一考虑。

5.网络实施

包括专线线路、ADSLVPN线路、楼内线路的施工、调测，施工进度依赖线路提供商和综合布线进度，必须做好工程质量监督和进度监督。6.设备采购、安装

本次IT建设对多个应用软件的部署环境进行统筹考虑，数据进行集中存储，数据库软件尽量选用同一种，中间件也尽量选用相同厂家的同一版本，这样便于管理和维护，也可以共享主机平台，但是对设备的可靠性和性能要求较高，并且需要考虑系统间的性能干扰。设备的选型将考虑未来5年的性能需求增长，将以当前需求的200%的性能参数配置主机设备，此外主机设备留有等量的扩展空间。

2.2.2 系统需求分析: 2.2.2.1 财务系统

**集团与各子公司财务业务统一，软件统一，这是本次的财务系统的集中部署的最有利条件。

产生的本地化需求不能在现有系统上进行配置或二次开发来满足时，才考虑在子公司单独部署以系统。以系统在选型时必须考虑良好的接口开放性和二次开发支撑能力。**集团、设计院、邮科公司、工程公司都拥有自己的公司网站，但是功能简单，且连最简单的互相链接都没有。**需要一个统一的门户来有效整合各子公司的品牌资源，做统一的形象推广。

2.2.3 安全需求分析

据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。来自机构内部局域网的威胁包括:  误用和滥用关键、敏感数据和计算资源。无论是有不满情绪的员工的故意破坏，还是没有访问关键系统权限的员工因误操作而进入关键系统，由此而造成的数据泄露、偷窃、损坏或删除将给企业带来很大的负面影响;如果工作人员发送、接收和查看攻击性材料，可能会形成敌意的工作环境，从而增大内耗; 内部人员故意泄漏内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去;内部人员在上班时间玩游戏，看视频等。

 网络设备的安全隐患，网络设备中包含路由器、交换机、防火墙等，它们的设置比较复杂，2.2.3.5 应用的安全风险分析

应用系统的安全涉及很多方面。应用系统是动态的、不断变化的。应用的安全性也是动态的。这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。

 资源共享的安全风险

**集团网络内部有自动化办化系统。而办公网络应用通常是共享网络资源，比如文件共、打印机共享等。由此就可能存在着:员工有意、无意把硬盘中重要信息目录共享，长期暴露在网络邻居上，可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密，因为缺少必要的访问控制策略。

 系统的安全风险

**集团网络提供基于Web的信息发布系统，也存在安全的风险，例如Web服务器本身存在漏洞容易受到攻击，网页被篡改，Web服务器容易受到网络病毒的感染。Web是电子业务的发布板，与其他服务器连接在一起，对Web服务器的攻击容易波及其他的网络服务器和设备。

 数据库服务器的安全风险

**集团网络内部的很多应用是基于数据库的。数据库服务器的安全风险包括:数据库服务器的管理员口令过于简单，非授权用户的访问，通过口令猜测获得系统管理员权限，数据库服务器本身存在漏洞容易受到攻击等。数据库中数据由于意外(硬件问题或软件崩溃)而导致不可恢复，也是需要考虑的安全问题。 电子邮件系统的安全风险

内部网用户可通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马、病毒程序等，由于许多用户安全意识比较淡薄，对一些来历不明的邮件，没有警惕性，给入侵者提供机会，给系统带来不安全因至素。

 病毒侵害的安全风险

网络是病毒传播的最好、最快的途径之一。病毒程序可以通过网上下载、电子邮件、使用光盘或软盘、人为投放等传播途径潜入内部网。因此，病毒的危害

4.机房重地却是任何人都可以进进出出，来去自由。存有恶意的入侵者便有机会得到入侵的条件;5.内部不满的员工有的可能熟悉服务器、小程序、脚本和系统的弱点。利用网络开些小玩笑，甚至破坏。如传出至关重要的信息、错误地进入数据库、删除数据等等。这些都将给网络造成极大的安全风险。

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵必须的部分。责权不明，管理混乱、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险。即除了从技术上下功夫外，还得依靠安全管理来实现。

2.2.3.7 性能需求

由于安全控制的原理和特点，加上了安全的防护手段之后，多多少少会对网络和系统带来性能的影响。因此，我们在进行安全设计和选择安全产品时，必须将对网络和系统的性能的影响的考虑放在重要的位置

2.2.4 安全管理策略

网络安全关键基础之一就是构成企业总体信息安全方案的综合策略。

 可用性声明:使用户对系统的可用性有所了解。如果系统被入侵，用户根据这个声明所述，就可以知道系统在多长时间内可以恢复。声明应提及冗余及恢复的解决方法，列出操作时间及因维护而造成的停机时间，以及网络发生故障时的负责人是谁; 信息技术系统及网络维护政策:说明内部及外部的维修人员如何处理访问技术。该政策其中一项重要说明是讲述企业是否允许进行远程操作，以及对这类访问的控制方法；

 违规报告政策:指明哪类违规行为应该报告(例如个人隐私及安全、内部及外部)以及向谁报告。轻松的气氛或采用匿名报告的方式可以鼓励员工报告违规行为。该政策还应包括企业发生安全事故后应对外界询问的指南，及指明企业信息的保密程度，即哪些信息不应向外界披露。

2.2.4.2 访问控制策略

访问控制的目的是控制信息的访问。访问控制是对用户进行文件和数据操作权限的限制，主要防范用户的越权访问。访问控制策略应按照业务及安全要求控制信息及业务程序的访问，访问控制策略应包括以下内容:  每个业务应用系统的安全要求; 确认所有与业务应用系统有关的信息; 信息发布及授权的策略，例如:安全级别及原则，以及信息分类的需要; 不同系统及网络之间的访问控制及信息分类策略的一致性; 关于保护访问数据或服务的相关法律或任何合同规定; 一般作业类的标准用户访问配置; 在分布式及互联的环境中，管理所有类别的连接的访问权限。

网络访问控制用于控制内部及外部联网服务的访问，以确保可以访问网络或网络服务的用户不会破坏这些网络服务的安全。不安全地连接到网络服务会影响整个机构的安全，所以，只能让用户直接访问己明确授权使用的服务。这种安全控制对连接敏感或重要业务的网络，或连接到在高风险地方(例如不在安全管理及控制范围的公用或外部地方)的用户尤其重要。

**集团网络应根据信息密级和信息重要性划分安全域，在安全域与非安全域之间用安全保密设备进行隔离和访问控制;在同一安全域中，根据信息的密级和信息重要性进行分割和访问控制。通常将**集团网络重要服务器所在的子网和重要的工作子网分别 划分为单独的安全域。当局域与远程网络连接时，通常在局域网与远程网络之间的接口处配置安全保密产品。(如防火墙、保密网关等)进行网络边界安全保护，采取必要的步骤，在最短的时间恢复系统，以减少企业的损失。入侵监控是对入侵行为的检测和控制。入侵检测作为一种积极主动的安全防护技术，从网络安全立体纵深、多层次防御的角度出发，对防范网络恶意攻击及误操作提供了主动的实时保护，它可在网络系统受到危害之前拦截和响应入侵。我们通过在**集团网络的关键环节放置入侵检测产品，它监视计算机网络或计算机系统的运行，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，一旦发现攻击能够发出报警并采取相应的措施，如阻断、跟踪和反击等。同时，记录受到攻击的过程，为网络或系统的恢复和追查攻击的来源提供基本数据。并把这些信息集中报告给数据中心的集中管理控制台。

2.2.4.4 漏洞扫描与风险评估策略

从信息安全的角度看，漏洞扫描是网络安全防御中的一项重要技术，其原理

是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象，然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告，从而为提高网络安全整体水平产生重要依据。在网络安全体系的建设中，漏洞扫描工具具有花费低、效果好、见效快、与网络的运行相对对立、安装运行简单等特点。在功能上，安全扫描工具可以大规模减少安全管理员的手工劳动，有利于保持全网安全政策的统一和稳定。

2.2.4.5 计算机病毒防治策略

由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。我们都知道，网络系统中使用的操作系统大多为W工NDOWS系统，比较容易感染病毒。因此计算

于企业来说是非常重要的。灾难恢复的步骤应包括测试救援程序的有效性(是否对可疑的通讯及事故作出反应)、在事故发生后，企业如何分析事故的发生过程、程序如何迅速恢复、如何减少企业的损失等。

络，同时提供备用拨号VPN接入。外网WEB服务器接在 AmarantenF600防火墙DMZ区，对外开启 tep80http服务。

3.2 网络建设

3.2.1 中心机房及其配套设施建设

因为需要采用两种接入方式，因此我们在**集团中心机房采用以下设备

 核心路由器。与各分实业公司的连接方面，因为要使用 CNZMPLSVPN线路，因此我们建议采用一台思科公司的 Cisco28n路由器作为**CE，让各各实业分公司用户可以高速、安全、稳定地访问**集团中心机房的应用服务器及访问集团机房应用服务器。

 安全网关。与远程移动办公用户连接方面，因为要采用VPN的连接方式，我们建议采用思科公司的 ASA5520自适应安全设备让远程移动办公用户可以安全访问实业集团中心机房应用服务器。另一方面，AsA5520自适应安全设备还可作为防火墙功能使用，有效阻止来自Internet及各实业分公司的非法访问行为。

3.2.2 中国实业集团与**集团公司的连接

采用CNZ将**集团与集团互连。采用CNZ电路的组网方式，能确保提供稳定的线路质量、较高的带宽、良好的安全保密特性，使用户对集团企业信

 中心机房采用自适应安全设备作广域网的核心安全设备，能够提供良好的安全性和VPN服务。有4个千兆GE接口，和1个100M以太接口。支持高达500个

IPSeeVPN对，可扩展至最大5000个IPSe。vPN对，支持500个 WEBVPN对，可扩展至2500个 WEBVPN对。完全可以保证**集团公司的广域网安全接入的较长时间内的需求。

 中心机房采用CNZ电路与中国实业集团总公司和各实业分公司建立连接，满足带宽及时延要求。 各实业分公司采用一台 CISCO28n路由器加上RJ45扩展卡，可提供1条接口，CNZ电路占用一条，InternetVPN使用一条，做好链路备份工作。

 采用功能强大的网络管理系统，增强对设备和应用的系统。

3.3 系统建设

3.3.1 财务系统

**集团跟各专业子公司统一采用用友ERPNC 5.0软件，在功能域上实现如下功能:功能域

1、财务基础核算(总帐、应收应付、合并报表等);

2、资产管理;

3、现金流管理;

4、财务状况监控，财务状况分析;

5、预算管理(编制、执行、结果);

6、资金管理，大额支出管理

7、关联交易系统.部署模式

集中部署，各子公司远程登录本系统使用。

3.3.2 人力资源管理系统

功能域

1、全省员工基本信息管理;

2、人事管理、岗位及工作信息管理;

3、薪酬、考核管理;

4、合同管理;

5、组织管理;

6、统计查询报表，人力资源分析;

7、招聘管理.部署模式

集中部署，各子公司远程登录本系统使用。

3.3.3 门户、OA系统

功能域.部署模式

本次以系统的实施将采用**集中部署的模式进行，通过配置各子公司的以流程来实现子公司的以系统覆盖 企业信息化建设安全解决方案

3.3.4 门户系统建设

企业门户功能域包括企业信息展现(内部门户)和企业网站(外部门户)两个功能模块。办公及辅助管理功能域主要包括文件公务流转、企业邮箱、知识管理、资产管理四个功能模块。功能域

5.对外网站

企业上市信息披露

企业形象宣传

企业产品宣传

人力招聘信息

远程办公支持 6.对内门户: 单点登陆 整合以系统 整合邮箱系统 整合久其报表系统 实现初步的知识管理

资产管理

3.3.5 业务管理和运营支撑系统

采用其报表系统作为业务统一管理和分析系统。

.功能域.部署模式

集中部署，各子公司远程登录本系统使用。

3.3.6 企业信息化管理

根据实业集团公司信息化建设的总体设计，需要对公司全网路由器、VPN设备进行及时有效的配置，监控和管理，我们采用思科公司提供的 CiscoworksVMS网络管理系统。CIScoworksVMS可以通过集成用于配置、监控和诊断企业虚拟专用网(VPN)的Web工具，防火墙，以及基于网络、主机的入侵检测系统(IPS)，保护企业的生产率和降低运营成本。

以将其用作一个“预过滤器”，筛分不要的信息流，路由器的ACL只能作为防火墙系统的一个重要补充，对于复杂的安全控制，只能通过防火墙系统来实现。**集团信息网服务器，首先通过二层交换机接入到主备用ASA5550防火墙，由防火墙控制所有用户的访问权限，关闭非使用端口，开启服务器所承载以、财务、人力应用服务需要使用的端口。在此道防火墙建立DMZ区，连接省电信公司收发公文的转接器，建立一高于DMZ区低于内网的管理区，用于管理机的接入。在内网防火墙之外采用两台。1sco3750三层交换机做路由控制，接入本大楼内分公司网络及实业本部网络，由其控制访问服务器、分公司VPN及外网路由。与地市分公司的 InternetVPN采用 CiscoASA552O防火墙，同时提供拨号VPN接入，外网访问通过 AmarantenF60O防火墙控制后接入公网网络，同时提供备用拨号VPN接入。外网WEB服务器接在枷

arantenF600防火墙眼Z区，对外开启 tep80http服务。通过制定相应的安全策略，防火墙允许合法访问，拒绝无关的服务和非法入侵。防火墙的安全策略可以基于系统、网络、域、服务、时间、用户、认证、数据内容、地址翻译、地址欺骗、同步攻击和拒绝服务攻击等等。连接至防火墙的不同网段之间的互访均需将到对方或经过对方到其它地方的路由指向防火墙的相应接口，防火墙制定合理的策略保证合法和必要的访问，拒绝非法入侵。我们通过配置 AmarantenF600防火墙实现以下功能: 1.可以通过IP地址、协议、端口等参数进行控制，使得在内网中的部分 用户可以访问外网，而其他用户不能通过防火墙访问Internet。

2.对网络流量进行精确的控制，对一个或一组IP地址、端口、应用协议

网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测作为一种积极主动地安全防护技术，对内部攻击、外部攻击及时做出响应，包括阻塞网络连接、记录事件和报警等，在网络系统受到危害之前拦截和响应入侵，和每个服务(端口)情况设置拦截端口。日志设置，网络数据实时监控设置。入侵检测与防御解决方案利用在线式IPS和旁路式IDS实现。

3.4.3 安全漏洞扫描和评估

安全漏洞扫描产品能够最全面的评估企业范围内的所有网络服务、防火墙、应用服务器、数据库服务器等系统的安全状况，找出存在的安全漏洞，按照高中底三种风险级别罗列出来，同时针对每个漏洞给出修补的办法。漏洞扫描器的对象是基于TCP协议的网络设备，包括服务器、路由器交换机、工作站、网络打印机、防火墙等，通过模拟黑客攻击手法，探测网络设备存在的弱点，提醒安全管理员，及时完善安全策略，降低安全风险。只需在**集团公司中心机房配置一台机器上安装上漏洞扫描器即 可对全网所有网络设备及服务器等进行扫描。设置对昵B服务器、邮柞服务器、DNS服务器、数据库服务器、等进行基于网络的扫描。系统扫描器通过对企业内部操作系统安全弱点的全面分析帮助组织管理安全风险。系统扫描比较一个组织规定的安全策略和实际的主机配置来发现潜在的安全风险，包括缺少安全补丁、词典中中可猜中的口令，不适当的用户权限、不正确的系统登陆权限、不安全的服务配置和代表攻击的可以行为等等。系统扫描器采用Console/Agent结构，首先需要一台Console，在被扫描的机器上安装Agent代理，由Console集中管理所有的Agent的扫描服务。数据库扫描器是针对数据库管理系统的风险评估检测工具，可以利用它建立数据库的安全规则，通过运用审核程序来提供有关安全风险和位置的简明报告。利用数据库扫描器定期地通过网络快速、方便地扫描数据库，去检查数据库特有的安全漏洞，全面评估所有的安全漏洞和认证、授权、完整性方面的问题。数据库扫描器目前支持的数据库类型有 :MSSQLServer、ora。le和Sybase等。只需在一台PC上安装上数据库扫描器即可通过网络对数据库实施安全漏洞检测。计划配置一台便携式笔记本电脑安装漏洞扫描软件，从不同的网络位置扫描**集团中心机房所有的应用服务器、交换机路由器、防火墙等联网设备，该笔记本电脑还可以同时安装系统扫描器的Console以及数据库扫描器。

3.4.4 防病毒系统

通过对病毒在网络中存储、传播、感染的各种方式和途径进行分析，结合当代企业网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略。在**集团网络中部署全面的病毒扫描解决方案，从单机、网络到Internet/Intranet网关全方位多平台的防病毒产品，满足不同用户对计算机从清除病毒到网络通讯系统全面防范监控的要求。单机病毒防火墙:适用于未联网的单个windows桌面机，支持win98、winNTWorkstation、Win2000/XPProfeional等个人操作系统。服务器病毒防火墙:文件服务器是企业网中最常见的服务器。以NT服务器为例，它会遭受大量引导型病毒、宏病毒、32位Windows病毒以及黑客程序等的攻击，更为常见的是，由于服务器为网络中所有工作站提供资源共享，因而也成为病毒理想的隐身寄居场所，进而将病毒轻易扩散到网络中的所有工作站上。需要为服务器提了针对性的防病毒解决方案，支持包括Net，are、企业信息化建设安全解决方案

NT及AlphaNT为平台的多种服务器的病毒防护。电子邮件服务器病毒防火墙:对邮件服务器进行针对性的病毒扫描服务，使服务器本身不受病毒感染，同时防止病毒通过邮件交叉感染。邮件服务器产品覆盖 MierosoftExehange、LotusNotesforNT、AIX、Solaris、HPUX、IBM5390和05400等。网络杀毒服务器:实时的、基于Web的、可集中控管的桌面反病毒解决方案。从管理控制台，管理员可配置、更新、扫描、监控所有的客户端的反病毒防护，降低企业的整体成本。在病毒爆发情况下，管理员可将所有的客户端的病毒码更新至最新状态并进行扫描，进行整个企业的病毒扫描。防毒中央控管系统:使用中央控管系统后，网管人员可以使用浏览器为应用界面，在企业网内部的任意工作站或通过Internet实现对跨地区、跨平台的企业防毒系统实施统一管理和监控。随着近年来尼姆达、冲击波等蠕虫病毒的泛滥，越来越多的病毒通过系统漏洞进行主动的复制和传播，仅仅依靠针对主机的防病毒软件并不能完全阻止蠕虫病毒在网络中的扩散。而据ICSA(国际计算机安全协会)的统计表明，超过90%的病毒是通过网络传播的，因此网关防病毒是**集团网络安全建设的重中之重。我们需要针对**集团网络的安全需求，对 AmarantenF600的结束语

4.1 论文工作总结

本企业信息安全解决方案实现了企业以互联，提供了安全的Site一to一SiteVPN与移动办公VPN接入，针对移动办公提供了 CISCOeasyVPN和 LZTPVPN的同时安全连接，其中 LZTPVPN为CISCO新增支持功能。由于目前最大的安全隐患都是出在内网上，针对企业外网和内网，特别是内网提供一揽子解决方案。

4.2 本方案不足之处

由于**集团牵头、督促各上市省份要在规定时间内完成每个企业信息网络建设。所以本方案从设计到实施才一年多的时间，主要建设方向在大局:中心机房建设、各子公司VPN接入、各子系统建设。接下来进入网络建设第二阶段，会加强对内网的安全建设上。如桌面安全防护方面:通过技术手段解决ARP欺骗问题、U盘病毒传播、终端电脑随意接入问题、以及传统的防病毒软件无法解决的问题。内网资产管理方面:能够全面了解内网硬件以及软件资产的信息，比如安装什么类型软件、电脑配置等，并且可以及时了解内网资产变化情况;系统能够提供软件分发、补丁管理方面的技术手段，减轻管理人员的工作压力，提供更加方面快捷手段集中管理所有终端系统。行为管理方面:通过技术手段解决外设滥用、明确规定只用注册的U盘设备才允许在企业范围内使用，防止信息泄密;限制不允许随意更改网络配置信息，比如IP、MAC地址等;另外在上网行为审计、非法外联控制等方面也存在较大的需求。