酒店網(wǎng)絡(luò)安全解決方案-(網(wǎng)絡(luò)拓?fù)浼霸O(shè)計(jì))

精選優(yōu)質(zhì)文檔-----傾情為你奉上精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)專心---專注---專業(yè)精選優(yōu)質(zhì)文檔-----傾情為你奉上專心---專注---專業(yè)***酒店網(wǎng)絡(luò)安全建議書目錄第一部分簡述……………….2第一章概述……………….2第二部分技術(shù)方案……………..3第一章信息安全風(fēng)險(xiǎn)分析……………….3第二章安全需求與目標(biāo)…………………..4第三章全面的信息絡(luò)安全體系設(shè)計(jì)…………………….4第四章***酒店安全網(wǎng)絡(luò)設(shè)計(jì)…………….7第五章防病毒產(chǎn)品設(shè)計(jì)方案…………….12TOC\o"1-4"\h\z\u第六章內(nèi)網(wǎng)管理產(chǎn)品設(shè)計(jì)方案第七章整體網(wǎng)絡(luò)應(yīng)用拓?fù)鋱D…………….32第八章***酒店安全服務(wù)………………-33第九章產(chǎn)品報(bào)價(jià)………………………..36第一部分簡述概述在當(dāng)今的信息時(shí)代，互聯(lián)網(wǎng)已經(jīng)成為很多人生活中不可分割的一部分。人們越來越習(xí)慣于利用互聯(lián)網(wǎng)進(jìn)行相互溝通和商務(wù)活動。人們希望在任何地方、任何時(shí)候都可以通過網(wǎng)絡(luò)方便、快速地獲得所需要的信息，對于那些經(jīng)常出門在外的人，如果在暫住的酒店中能夠隨時(shí)訪問互聯(lián)網(wǎng)，對他們無疑將有著巨大的吸引力。為此，在酒店這個(gè)人員流動性非常大的公共場所為客人提供上網(wǎng)服務(wù)已成為現(xiàn)代酒店發(fā)展的必然趨勢，這也是酒店提高自身服務(wù)水平的重要標(biāo)志。通常酒店的網(wǎng)絡(luò)有兩部分：辦公網(wǎng)絡(luò)和客房網(wǎng)絡(luò)，為節(jié)約成本往往兩個(gè)網(wǎng)絡(luò)通過一條Internet出口連接互聯(lián)網(wǎng)，酒店網(wǎng)絡(luò)管理員希望充分保障辦公網(wǎng)絡(luò)的安全，不受外部網(wǎng)絡(luò)攻擊及客房網(wǎng)絡(luò)可能出現(xiàn)的病毒影響；客房用戶上網(wǎng)隨意性較大，需要帶寬管理措施來限制占用帶寬過高的用戶，并保障辦公網(wǎng)絡(luò)的網(wǎng)速正常。

酒店用戶流動性很大，隨身攜帶的移動電腦中經(jīng)常帶有病毒，一旦爆發(fā)將影響整個(gè)網(wǎng)絡(luò)的正常，例如常見的ARP地址欺騙病毒，當(dāng)中毒電腦冒充網(wǎng)關(guān)地址時(shí)，整個(gè)網(wǎng)絡(luò)的客戶端都將受此影響而無法訪問互聯(lián)網(wǎng)，因此急需有效的防內(nèi)部攻擊措施來保障網(wǎng)絡(luò)正常。針對***酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)現(xiàn)狀，我們從物理安全、鏈路安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全及管理安全方面對***酒店計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)絡(luò)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析?；谝陨系男枨蠓治?，我們將重點(diǎn)考慮：保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性，保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性，防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問，防范入侵者的惡意攻擊與破壞，保護(hù)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性，防范計(jì)算機(jī)病毒的侵害，實(shí)現(xiàn)系統(tǒng)快速恢復(fù)，實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理，建立相應(yīng)的遠(yuǎn)程安全管理通道和管理平臺，建立一套完整可行的網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理策略。我們相信本建議書中的設(shè)計(jì)能較好地滿足貴單位網(wǎng)絡(luò)系統(tǒng)的需求，并希望與貴公司有關(guān)領(lǐng)導(dǎo)及具體負(fù)責(zé)人進(jìn)一步進(jìn)行深入的討論。我們有決心積極參加貴單位此次網(wǎng)絡(luò)安全建設(shè)項(xiàng)目，有信心圓滿完成貴單位的網(wǎng)絡(luò)安全建設(shè)工程。第二部分技術(shù)方案信息安全風(fēng)險(xiǎn)分析隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)用戶迅速增加，風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。原來由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其他系統(tǒng)，引起大范圍的癱瘓和損失；另外加上缺乏安全控制機(jī)制和對Internet安全政策的認(rèn)識不足，這些風(fēng)險(xiǎn)正日益嚴(yán)重。下面列出部分這類新風(fēng)險(xiǎn)因素：信息安全可以從以下幾個(gè)方面來理解：1）網(wǎng)絡(luò)物理是否安全；2）網(wǎng)絡(luò)結(jié)構(gòu)是否安全；3）系統(tǒng)是否安全；4）應(yīng)用是否安全；5）管理是否安全。網(wǎng)絡(luò)物理安全：地震、火災(zāi)、雷電等網(wǎng)絡(luò)安全：線路故障，路由、交換機(jī)設(shè)備損壞等系統(tǒng)安全：應(yīng)用服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫故障等應(yīng)用安全：黑客攻擊、非法入侵、病毒、惡意程序、應(yīng)用軟件故障、數(shù)據(jù)丟失泄密、帳號密碼丟失、軟件漏洞等管理安全：內(nèi)部攻擊、誤操作、設(shè)備的破壞、惡意行為等安全需求與安全目標(biāo)針對信息系統(tǒng)所面臨的安全分析，通過可能造系統(tǒng)安全的五個(gè)部分，如何進(jìn)行有效的防范，需從五方面進(jìn)行：針對管理級安全：須建立一套完整可行的信息安全管理制度，通過有效的系統(tǒng)管理工具，實(shí)現(xiàn)系統(tǒng)的安全運(yùn)行管理與維護(hù)；針對應(yīng)用級安全：須加強(qiáng)網(wǎng)絡(luò)防病毒、防攻擊、漏洞管理、數(shù)據(jù)備份、數(shù)據(jù)加密、身份認(rèn)證等，通過一系列信息安全軟硬件設(shè)備建設(shè)安全防護(hù)體系；針對系統(tǒng)級安全：須加強(qiáng)對服務(wù)器、操作系統(tǒng)、數(shù)據(jù)庫的運(yùn)行監(jiān)測，加強(qiáng)系統(tǒng)補(bǔ)丁的管理，通過雙機(jī)（或兩套系統(tǒng)）的形式保證核心系統(tǒng)運(yùn)行，當(dāng)發(fā)生故障時(shí)，能及時(shí)的提供備用系統(tǒng)和恢復(fù)；針對網(wǎng)絡(luò)級安全：須保證網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)線路的運(yùn)行穩(wěn)定，對核心層的網(wǎng)絡(luò)設(shè)備和線路提供雙路的冗余；針對物理級安全：須保證數(shù)據(jù)的安全和系統(tǒng)的及時(shí)恢復(fù)，加強(qiáng)數(shù)據(jù)的遠(yuǎn)程異地備份和系統(tǒng)的異地容災(zāi)。全面的信息絡(luò)安全體系設(shè)計(jì)要建立一套全面的信息安全系統(tǒng)，就要從自身的應(yīng)用狀況分析，分析可能存在安全漏洞，從重要性、緊迫性出發(fā)，逐一提供建設(shè)參考。首先：區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對外接口（互聯(lián)網(wǎng)接口、上級門、下級單位、同級部門、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡(luò)），在對外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻實(shí)現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為；通過防火墻驗(yàn)證訪問內(nèi)部的用戶身份、訪問權(quán)限等；通過入侵防護(hù)檢測訪問者的訪問行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進(jìn)行加密，可以通過防火墻的VPN模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。目前，大部分防火墻的功能差異并不太大，性能成為選擇防火墻的主要指標(biāo)，市場上的防火墻根據(jù)架構(gòu)的不同，可分為三大類：ASIC芯片、NP架構(gòu)、傳統(tǒng)的X86架構(gòu)，ASIC芯片級的防火墻把大部分處理通過芯片來完成，不再占用CPU資源，具有更好的處理性能。第二：建立多層次、全方面的防病毒系統(tǒng)根據(jù)病毒寄存的環(huán)境，在所有服務(wù)器和客戶機(jī)上安裝網(wǎng)絡(luò)版防毒系統(tǒng)根據(jù)病毒傳播的途徑，在網(wǎng)關(guān)處安裝網(wǎng)關(guān)防毒網(wǎng)關(guān)，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時(shí)進(jìn)行有效的病毒防護(hù)在內(nèi)部交換層，通過硬件的網(wǎng)絡(luò)防毒墻對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測，有效的進(jìn)行網(wǎng)絡(luò)層病毒、蠕蟲、惡意攻擊行為的防護(hù)，保護(hù)內(nèi)部網(wǎng)絡(luò)的穩(wěn)定與暢通。單機(jī)的問題并不能對網(wǎng)絡(luò)造成嚴(yán)重的問題，網(wǎng)絡(luò)中斷或癱瘓?jiān)斐傻膿p失是巨大的第三：加強(qiáng)核心網(wǎng)絡(luò)、核心應(yīng)用的安全防護(hù)核心網(wǎng)絡(luò)、服務(wù)器群是一個(gè)網(wǎng)絡(luò)的中心部分，應(yīng)更加注重安全的防范，為了防止來自外部和內(nèi)部的攻擊，應(yīng)在核心服務(wù)器群前安裝防火墻及入侵防護(hù)系統(tǒng)。重點(diǎn)加強(qiáng)核心系統(tǒng)的安全防護(hù)；對操作系統(tǒng)及應(yīng)用系統(tǒng)的漏洞及時(shí)的安裝補(bǔ)丁為防止核心系統(tǒng)的運(yùn)行出現(xiàn)固障，應(yīng)對核心系統(tǒng)所在的網(wǎng)絡(luò)線路進(jìn)行冗余設(shè)計(jì)，并對交換機(jī)、路由器設(shè)備進(jìn)行雙路冗余。同時(shí)，把安裝重要應(yīng)用系統(tǒng)的服務(wù)器進(jìn)行雙機(jī)熱備所有數(shù)據(jù)通過磁盤陣列或磁帶機(jī)進(jìn)行存儲、備份對于網(wǎng)站系統(tǒng),可以通過主頁防篡改系統(tǒng)、防DOS攻擊系統(tǒng)加強(qiáng)對網(wǎng)站的防護(hù)第四：加強(qiáng)數(shù)據(jù)備份數(shù)據(jù)資源是一個(gè)單位的最為重要資源,一但數(shù)據(jù)丟失所造成的損失是無法彌補(bǔ)的.因此必須加對數(shù)據(jù)的保存和備份?，F(xiàn)在一般常用的數(shù)據(jù)保存方式都是通過磁盤陣列來完成，但是，磁盤陣列的穩(wěn)定性是不能保證的。一般情況，可以通過磁帶機(jī)對磁盤陣列的數(shù)據(jù)進(jìn)行再次備份也可以通過另一臺磁盤陣列進(jìn)行數(shù)據(jù)的相互備份通過專用的備份軟件實(shí)現(xiàn)對數(shù)據(jù)庫、文件資源、應(yīng)用系統(tǒng)及整個(gè)的應(yīng)用服務(wù)系統(tǒng)進(jìn)行備份，并提供相應(yīng)用恢復(fù)方案為防止地震、火災(zāi)、雷電等自然災(zāi)害，須將重要數(shù)據(jù)在異地進(jìn)行備份，如果系統(tǒng)的運(yùn)行不能中斷，就需要在異地進(jìn)行系統(tǒng)的容災(zāi)第五：加強(qiáng)應(yīng)用系統(tǒng)的安全防護(hù)對于擁有獨(dú)立郵件系統(tǒng)的網(wǎng)絡(luò)需要加強(qiáng)垃圾郵件的過濾對于應(yīng)用系統(tǒng)必須加強(qiáng)用戶身份認(rèn)證，通過身份認(rèn)證控制用戶的使用權(quán)限。身份認(rèn)證可以通過應(yīng)用系統(tǒng)中的用戶管理系統(tǒng)實(shí)現(xiàn)，也可以通過專業(yè)的身份認(rèn)證系統(tǒng)，考慮到終端用戶對帳號、密碼的管理能力較差，建議可采用第三方生物識別設(shè)備實(shí)現(xiàn)終端用戶的帳號、密碼的管理。第六：加強(qiáng)網(wǎng)絡(luò)管理信息系統(tǒng)的安全只靠以上的安全設(shè)備是不能解決問題的，三分技術(shù)七分管理，必須加強(qiáng)對信息系統(tǒng)設(shè)備的管理以及用戶應(yīng)用的管理?？梢酝ㄟ^網(wǎng)絡(luò)管理軟件配合完成，使信息系統(tǒng)管理人員對信息系統(tǒng)的運(yùn)行狀況一目了然。網(wǎng)絡(luò)管理系統(tǒng)應(yīng)該具備和實(shí)現(xiàn)獲取全網(wǎng)拓?fù)浣Y(jié)構(gòu)圖，在網(wǎng)絡(luò)線路、基礎(chǔ)聯(lián)接層面了解網(wǎng)絡(luò)系統(tǒng)的運(yùn)行狀況監(jiān)控路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備的運(yùn)行情況，監(jiān)測控制網(wǎng)絡(luò)流量，及時(shí)提供報(bào)警，并能方便的對網(wǎng)絡(luò)設(shè)備進(jìn)行系統(tǒng)配置和管理，監(jiān)控服務(wù)器、主機(jī)、磁盤陣列的運(yùn)行狀況、網(wǎng)絡(luò)流量、資源占用等，及時(shí)提供報(bào)警，并能方便的對主機(jī)設(shè)備進(jìn)行配置和管理監(jiān)控應(yīng)用系統(tǒng)的運(yùn)行狀況，對用戶進(jìn)行訪問控制、記錄訪問及操作日志管理網(wǎng)絡(luò)中的所有終端設(shè)資源，方便進(jìn)行遠(yuǎn)程的管理和操作控制監(jiān)測及控制終端用戶對電腦軟硬件資源的使用、應(yīng)用程序的使用、上網(wǎng)行為等操作行為實(shí)現(xiàn)系統(tǒng)補(bǔ)丁管理、補(bǔ)丁分發(fā)，對操作系統(tǒng)、應(yīng)用系統(tǒng)進(jìn)行及時(shí)的補(bǔ)丁更新限制不安全的設(shè)備的接入以上為網(wǎng)絡(luò)管理系統(tǒng)所須具備的功能，缺一不可，建議在選擇產(chǎn)品時(shí)，作為重要的參考依據(jù)。第七：漏洞掃描、安全評估僅管如上所述，我們己經(jīng)采取了眾多的安全措施，但是，我們的信息系統(tǒng)是一個(gè)不斷建設(shè)完善的系統(tǒng)，在系統(tǒng)的不斷建設(shè)過程，仍然會出現(xiàn)一些新的安全漏洞，安全系統(tǒng)的是否部署到位，我們的信息系統(tǒng)是否仍然存在安全隱患，作為信息系統(tǒng)的管理人員仍然需要進(jìn)行定期的安全檢查。漏洞掃描系統(tǒng)就是檢查信息系統(tǒng)是否存在安全隱患的最佳工具，我們可以通過專用的漏洞掃描系統(tǒng)對網(wǎng)絡(luò)設(shè)備、服務(wù)器、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)終端進(jìn)行全面的檢測，通過模擬黑客的進(jìn)攻方法，對被檢系統(tǒng)進(jìn)行攻擊性的安全漏洞和隱患掃描，提交風(fēng)險(xiǎn)評估報(bào)告，并提供相應(yīng)的整改措施。找出網(wǎng)絡(luò)中存在的漏洞，防患于未然。第八：安全管理及培訓(xùn)制定并實(shí)施信息安全制度加強(qiáng)網(wǎng)絡(luò)安全意識的教育和培養(yǎng)加強(qiáng)網(wǎng)絡(luò)安全知識的培訓(xùn)定期進(jìn)行終端安全產(chǎn)品的應(yīng)用操作指導(dǎo)***酒店安全網(wǎng)絡(luò)設(shè)計(jì)***酒店需求分析自2003年新實(shí)行的星級酒店國家標(biāo)準(zhǔn)將提供寬帶上網(wǎng)服務(wù)列入了賓館酒店評星的考核內(nèi)容之一，短時(shí)間內(nèi)星級賓館酒店客房寬帶上網(wǎng)服務(wù)將基本普及，不同檔次的賓館酒店的流動人口可以在網(wǎng)絡(luò)上進(jìn)行各種各樣的網(wǎng)絡(luò)活動，因此一系列的網(wǎng)絡(luò)安全問題隨即出現(xiàn)：賓館酒店缺乏單位網(wǎng)絡(luò)信息備案；缺乏對房客互聯(lián)網(wǎng)的訪問管理；缺乏對出現(xiàn)問題的信息源定位，導(dǎo)致線索跟蹤的中斷；缺乏對各類站點(diǎn)的分類管理；缺乏對上網(wǎng)信息的收集、統(tǒng)計(jì)與分析，導(dǎo)致這部分的公共網(wǎng)絡(luò)信息管理處于真空狀態(tài)。根據(jù)國家規(guī)定，提供上網(wǎng)服務(wù)場所必須將上網(wǎng)日志保存，并以一定的技術(shù)手段進(jìn)行管理；目前許多賓館酒店都未有這種技術(shù)手段，在網(wǎng)絡(luò)管理上存在著漏洞，達(dá)不到國家的要求。主要網(wǎng)絡(luò)安全威脅由于網(wǎng)絡(luò)體系越來越復(fù)雜，應(yīng)用系統(tǒng)越來越多，網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，再加上與Internet的連接，網(wǎng)絡(luò)用戶也已經(jīng)不單單是內(nèi)部用戶。由于內(nèi)部網(wǎng)絡(luò)直接與外部網(wǎng)絡(luò)相連，對整個(gè)網(wǎng)絡(luò)安全形成了巨大的威脅，因此整個(gè)網(wǎng)絡(luò)承受著來自外部、內(nèi)部、黑客、病毒等各方面威脅。具體分析，對網(wǎng)絡(luò)安全構(gòu)成威脅的主要因素有：黑客的攻擊、入侵內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的連接為直接連接，外部用戶不但可以訪問對外服務(wù)的服務(wù)器，同時(shí)也容易地訪問內(nèi)部的網(wǎng)絡(luò)服務(wù)器，這樣，由于內(nèi)部和外部沒有隔離措施，內(nèi)部系統(tǒng)較容易遭到攻擊。入侵服務(wù)器后，在服務(wù)器中增加黃色、反動站點(diǎn)把服務(wù)器當(dāng)作攻擊其它網(wǎng)絡(luò)（政府、金融）的跳板，攻擊其它服務(wù)器把服務(wù)器當(dāng)作檢測掃描其它網(wǎng)絡(luò)及數(shù)據(jù)處理的工具，造成大量網(wǎng)絡(luò)流量病毒的侵害通過網(wǎng)絡(luò)傳送的病毒和Internet的電子郵件夾帶的病毒。來自Internet的Web瀏覽可能存在的惡意Java/ActiveX控件。病毒、木馬發(fā)送大量數(shù)據(jù)包，造成系統(tǒng)資源的消耗，以至系統(tǒng)停止服務(wù)造成數(shù)據(jù)丟失，機(jī)器、網(wǎng)絡(luò)系統(tǒng)癱瘓必須斷開網(wǎng)絡(luò)逐一進(jìn)行殺毒，增加網(wǎng)絡(luò)工作量，影響正常工作內(nèi)部的無限制訪問內(nèi)部用戶的惡意攻擊、誤操作訪問不健康的站點(diǎn)，獲取有害信息工作學(xué)習(xí)時(shí)間無限制上網(wǎng)，游戲、聊天等系統(tǒng)存在的漏洞缺乏一套完整的安全策略、政策，缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)的安全性。目前流行的許多操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞，如UNIX服務(wù)器，NT服務(wù)器及Windows桌面PC。可能帶來的嚴(yán)重后果系統(tǒng)癱瘓或服務(wù)器停止工作造成重大損失由于病毒的侵害，造成文件丟失/損壞、硬件設(shè)備損壞造成重大損失由于病毒原因，造成系統(tǒng)修復(fù)、病毒清理等巨大的工作量無限增加流量，造成重大經(jīng)濟(jì)損失因服務(wù)器危害其它網(wǎng)絡(luò)，而涉及相關(guān)責(zé)任數(shù)據(jù)泄密、數(shù)據(jù)丟失當(dāng)前網(wǎng)絡(luò)問題分析雖然網(wǎng)絡(luò)中部署了單機(jī)防病毒系統(tǒng)，但仍有很多客戶機(jī)、移動筆記本由于沒有安裝防病毒系統(tǒng)，這些機(jī)器感染病毒后，對網(wǎng)絡(luò)中發(fā)出大量病毒攻擊包，造成網(wǎng)絡(luò)速度下降，甚至網(wǎng)絡(luò)癱瘓；網(wǎng)絡(luò)中大多數(shù)客戶機(jī)都是WIN2000\WINXP系統(tǒng)，由于WIN2000

\WINXP系統(tǒng)存在大量的系統(tǒng)漏洞，沒有能及時(shí)升級系統(tǒng)補(bǔ)丁，使得病毒、黑客有了可乘之機(jī)；作為網(wǎng)絡(luò)管理人員，無法及時(shí)的了解網(wǎng)絡(luò)的運(yùn)行情況，服務(wù)器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的工作情況，終端系統(tǒng)的操作應(yīng)用情況等？網(wǎng)絡(luò)目前需求分析通過我們對***酒店結(jié)構(gòu)、應(yīng)用及安全威脅分析，可以看出其安全問題主要集中在對計(jì)算機(jī)病毒的防護(hù)、內(nèi)網(wǎng)安全的管理上。因此，我們必須采取相應(yīng)的安全措施杜絕安全隱患，其中應(yīng)該做到：加強(qiáng)病毒的防護(hù)，建立全面的防毒體系，防止病毒的攻擊實(shí)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全管理針對***酒店系統(tǒng)的實(shí)際情況，在系統(tǒng)考慮如何解決上述安全問題的設(shè)計(jì)時(shí)應(yīng)滿足如下要求：大幅度地提高系統(tǒng)的安全性（重點(diǎn)是可用性和可控性）；保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)置；易于操作、維護(hù)，并便于自動化管理，而不增加或少增加附加操作；盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，同時(shí)便于系統(tǒng)及系統(tǒng)功能的擴(kuò)展；安全保密系統(tǒng)具有較好的性能價(jià)格比，一次性投資，可以長期使用；安全系統(tǒng)整體設(shè)計(jì)方案系統(tǒng)設(shè)計(jì)原則本方案的設(shè)計(jì)遵循并體現(xiàn)了如下設(shè)計(jì)原則：先進(jìn)性：所采用的設(shè)備和技術(shù)應(yīng)屬世界、國內(nèi)主流產(chǎn)品，在相關(guān)計(jì)算機(jī)、通信網(wǎng)絡(luò)及數(shù)字視頻技術(shù)方面處于國際或國內(nèi)領(lǐng)先或領(lǐng)導(dǎo)地位。一體系化設(shè)計(jì)原則本方案從物理層安全、系統(tǒng)層安全、網(wǎng)絡(luò)層安全、應(yīng)用層安全、安全管理等層面充分分析信息網(wǎng)絡(luò)的層次關(guān)系，提出科學(xué)的安全體系和安全框架，并根據(jù)安全體系分析存在的各種安全風(fēng)險(xiǎn)，從而最大限度地解決可能存在的安全問題?？煽匦栽瓌t本次方案采取的技術(shù)手段達(dá)到安全可控的目的，技術(shù)解決方案涉及的工程實(shí)施應(yīng)具有可控性；系統(tǒng)性、均衡性、綜合性設(shè)計(jì)原則從全系統(tǒng)出發(fā)，綜合考慮各種安全風(fēng)險(xiǎn)，采取相應(yīng)的安全措施，并根據(jù)風(fēng)險(xiǎn)的大小，采取不同強(qiáng)度的安全措施，提供具有最優(yōu)的性能價(jià)格比的安全解決方案?？煽啃?、穩(wěn)定性原則設(shè)備及技術(shù)均已進(jìn)入成熟期，應(yīng)有類似的實(shí)際應(yīng)用，系統(tǒng)運(yùn)行穩(wěn)定，在國內(nèi)應(yīng)用領(lǐng)域中占主導(dǎo)地位。采用安全系統(tǒng)之后，不會對南京中央商場的現(xiàn)有網(wǎng)絡(luò)和應(yīng)用系統(tǒng)有大的影響。在保證網(wǎng)絡(luò)和應(yīng)用系統(tǒng)正常運(yùn)轉(zhuǎn)的前提下，提供最優(yōu)安全保障。標(biāo)準(zhǔn)性原則方案的設(shè)計(jì)、實(shí)施以及產(chǎn)品的選擇以相關(guān)國際安全管理、安全控制、安全規(guī)程為參考依據(jù)。投資保護(hù)原則本次方案的設(shè)計(jì)和已經(jīng)存在的設(shè)備具有兼容性，可以對已有設(shè)備進(jìn)行有效的利用，保護(hù)已有投資安全應(yīng)對策略及建議在明確這些威脅與風(fēng)險(xiǎn)以后下一步需要做的就是在此基礎(chǔ)上制定相應(yīng)的安全策略，以求實(shí)現(xiàn)有效的平衡，即一方面需要保持可靠的信息安全，另一方面則要建立和易操作的有效安全系統(tǒng)。一個(gè)系統(tǒng)的安全強(qiáng)度實(shí)際等于它最薄弱環(huán)節(jié)的安全強(qiáng)度。即當(dāng)一個(gè)網(wǎng)絡(luò)系統(tǒng)存在一點(diǎn)薄弱環(huán)節(jié)時(shí)，其就有可能危及到整個(gè)網(wǎng)絡(luò)系統(tǒng)的整體安全。電子業(yè)務(wù)安全關(guān)鍵基礎(chǔ)之一就是構(gòu)成企業(yè)總體信息安全方案的綜合策略。我公司根據(jù)貴單位網(wǎng)絡(luò)現(xiàn)狀分析，及工作業(yè)務(wù)的需求分析，從保護(hù)投資的角度考慮，提出了保證網(wǎng)絡(luò)系統(tǒng)的高性能正常運(yùn)行的建設(shè)建議：建立多層次、全方面的防病毒系統(tǒng)首先，根據(jù)病毒寄存的環(huán)境，在所有服務(wù)器和客戶機(jī)上安裝網(wǎng)絡(luò)版防毒系統(tǒng)，通過趨勢科技的Serverprotect加強(qiáng)服務(wù)器系統(tǒng)中的病毒防護(hù)，通過趨勢科技的Officescan加強(qiáng)對網(wǎng)絡(luò)中所有客戶機(jī)的病毒防護(hù)。其次，在內(nèi)部交換層，通過硬件的網(wǎng)絡(luò)防毒墻NVW對網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行檢測，有效的進(jìn)行網(wǎng)絡(luò)層病毒、蠕蟲、惡意攻擊行為的防護(hù)，及時(shí)的清除和隔離網(wǎng)絡(luò)層的病毒包，保護(hù)內(nèi)部網(wǎng)絡(luò)的穩(wěn)定與暢通,防止ARP病毒的侵害。另外，根據(jù)病毒傳播的途徑，可以在網(wǎng)關(guān)處安裝趨勢防毒網(wǎng)關(guān)IWSA、

IMSA，在瀏覽網(wǎng)頁、下載資料、收發(fā)郵件時(shí)進(jìn)行有效的病毒防護(hù)。最后，通過趨勢統(tǒng)一集中控制管理平臺TMCM實(shí)現(xiàn)對所有系統(tǒng)的集中病毒防護(hù)、策略的實(shí)施和管理加強(qiáng)網(wǎng)絡(luò)管理信息系統(tǒng)的安全只靠安全設(shè)備是不能解決問題的，三分技術(shù)七分管理，必須加強(qiáng)對信息系統(tǒng)設(shè)備的管理以及用戶應(yīng)用的管理?？梢酝ㄟ^網(wǎng)絡(luò)管理軟件配合完成，使信息系統(tǒng)管理人員對信息系統(tǒng)的運(yùn)行狀況一目了然。酒店客戶的移動接入支持和的。需要酒店網(wǎng)絡(luò)移動服務(wù)的大多是商務(wù)人士，他們需要酒店提供移動的支持、更主要的是安全性。酒店是一個(gè)流動性很強(qiáng)的場所，所以這對網(wǎng)絡(luò)的安全和管理是有很高的要求。例如：防止客戶對一些非法網(wǎng)站的訪問而帶給網(wǎng)絡(luò)中其它用戶的傷害，還有客戶用BT等會對其他網(wǎng)絡(luò)用戶的網(wǎng)速有非常大的影響，同時(shí)一網(wǎng)雙用，內(nèi)部辦公網(wǎng)絡(luò)和客戶使用網(wǎng)絡(luò)并用一個(gè)網(wǎng)絡(luò)，而又互相隔離。通過深信服AC設(shè)備實(shí)現(xiàn)：防病毒產(chǎn)品設(shè)計(jì)方案----南京聯(lián)成科技為***酒店構(gòu)建的整體防病毒安全體系的建立簡述如下：1、區(qū)分內(nèi)外網(wǎng)，加強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全防護(hù)：找到網(wǎng)絡(luò)的對外接口（互聯(lián)網(wǎng)接口、上級門、下級單位、同級部門、第三方關(guān)聯(lián)單位等其它非信任網(wǎng)絡(luò)），在對外網(wǎng)絡(luò)的接口處安裝防火墻系統(tǒng)，通過防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全。通過防火墻實(shí)現(xiàn)訪問控制，控制內(nèi)部用戶的上網(wǎng)行為；通過防火墻驗(yàn)證訪問內(nèi)部的用戶身份、訪問權(quán)限等；通過入侵防護(hù)檢測訪問者的訪問行為；因?yàn)閿?shù)據(jù)在網(wǎng)絡(luò)上的傳輸都是明文的，為了保證數(shù)據(jù)傳輸?shù)陌踩皂殞?shù)據(jù)進(jìn)行加密，可以通過防火墻的VPN模塊或?qū)Ｓ玫腣PN設(shè)備建立VPN通道。防病毒產(chǎn)品的全面性，領(lǐng)先性：采用全方位，多層次防毒的方式，部署多層次病毒防線，具體來說就是在網(wǎng)關(guān)利用趨勢科技的IMSS以及SPS,實(shí)現(xiàn)在進(jìn)行病毒過濾的同時(shí)，也防范垃圾郵件對企業(yè)網(wǎng)絡(luò)資源的消耗與破壞。對整個(gè)***酒店網(wǎng)絡(luò)中的客戶端采用趨勢科技防毒墻網(wǎng)絡(luò)版Officescan，對整個(gè)***酒店網(wǎng)絡(luò)中的服務(wù)器部署趨勢科技防病毒墻服務(wù)器版Serverprotect。對于整個(gè)***酒店整體的防病毒系統(tǒng)的中央控管則可以通過趨勢科技中央控管軟件TMCM來整體中央控管。廠商和代理商全面的服務(wù)：趨勢科技授權(quán)服務(wù)商和趨勢科技，***酒店相關(guān)人員組成專門的防病毒以及安全小組，負(fù)責(zé)對***酒店的防病毒體系部署，防病毒安全規(guī)范的制定。趨勢科技授權(quán)服務(wù)商相關(guān)人員將對***酒店的防病毒體系定期進(jìn)行巡檢，在***酒店的病毒爆發(fā)造成業(yè)務(wù)影響的緊急時(shí)刻，趨勢科技授權(quán)服務(wù)商工程師將至***酒店現(xiàn)場服務(wù)。趨勢科技防病毒體系顯著優(yōu)勢：廠商優(yōu)勢：趨勢科技是目前業(yè)界唯一僅專注于防病毒和防病毒安全體系建立的廠商，相對其他的防病毒廠商，趨勢科技的產(chǎn)品更具有技術(shù)的領(lǐng)先性。其設(shè)在菲律賓的，業(yè)界唯一獲得ISO9002認(rèn)證的TrendLab病毒實(shí)驗(yàn)室提供7*24小時(shí)、全年無休的專人專業(yè)服務(wù)，包括從最早的防毒內(nèi)容及范圍的規(guī)劃、企業(yè)防毒網(wǎng)的建立、人員的教育訓(xùn)練、病毒爆發(fā)時(shí)保證兩小時(shí)提供解藥的最高等級支持等。高擴(kuò)展性：由于專注于防病毒安全產(chǎn)品和解決方案，趨勢科技有能力為***酒店提供全方位，多層次，具可擴(kuò)展性的防病毒安全體系。除了提供用于客戶機(jī)防病毒的officescan產(chǎn)品，用于服務(wù)器的ServerProtect產(chǎn)品，用于網(wǎng)關(guān)防病毒的IMSS產(chǎn)品和網(wǎng)關(guān)垃圾郵件防范的SPS，還可以在將來***酒店需要時(shí)提供專注于LotusNotes/Exchange的病毒防范軟件Scanmail,專注于Web防病毒的IWSS軟件和提供所有在線用戶的在線殺毒工具――DCS等。全方位的產(chǎn)品和解決方案支持使得趨勢科技的防病毒安全體系的提供是具備高擴(kuò)展性的。防范和查殺病毒的自動化：針對像***酒店比較大型的網(wǎng)絡(luò)，單純的依靠***酒店的各級網(wǎng)絡(luò)管理人員進(jìn)行分散的人為管理不可能將防病毒工作做到完美無缺。趨勢科技提供高度自動化的管理和病毒防范，查殺技術(shù)。掃描在線用戶是否已經(jīng)安裝趨勢客戶端軟件，并且可以有選擇性的強(qiáng)制用戶進(jìn)行安裝；掃描在線用戶是否安裝了微軟操作系統(tǒng)的補(bǔ)丁，并且可以有選擇性的強(qiáng)制用戶進(jìn)行安裝；中央控管軟件定期自動進(jìn)行全網(wǎng)絡(luò)的病毒查殺，自動的更新病毒碼和掃描引擎，自動的生成全網(wǎng)絡(luò)的病毒日志，分析報(bào)表，并且通過日志查找網(wǎng)絡(luò)中的病毒源頭等。所有這一切都是通過位于中心的中央控管軟件自動進(jìn)行。業(yè)界獨(dú)一無二的病毒預(yù)防范：針對目前病毒出現(xiàn)――影響用戶――病毒庫和防病毒代碼的出現(xiàn)這一時(shí)間段的病毒最可能蔓延和爆發(fā)的“真空期”，趨勢科技提供業(yè)界獨(dú)一無二的“企業(yè)保護(hù)戰(zhàn)略技術(shù)”EPS，其中央控管軟件能夠在防病毒代碼出現(xiàn)之前，就自動的關(guān)閉客戶端可能引起病毒蔓延的端口，并自動的隔離已經(jīng)感染病毒的PC，文件夾等。第一時(shí)間的做到了病毒的預(yù)防范。本方案詳盡描述了采用趨勢科技公司的全線產(chǎn)品為***酒店構(gòu)建的整體防病毒系統(tǒng)，該方案貫徹了如下整體防毒的基本思想：防毒一定要實(shí)現(xiàn)全方位、多層次防毒。在***酒店的方案中，我們部署了多層次病毒防線，分別是網(wǎng)關(guān)防毒、應(yīng)用服務(wù)器防毒和客戶端防毒，保證斬?cái)嗖《究梢詡鞑ァ⒓纳拿恳粋€(gè)節(jié)點(diǎn)，實(shí)現(xiàn)病毒的全面防范；網(wǎng)關(guān)防毒和防垃圾郵件是整體防毒的首要防線。在***酒店的方案中，我們將網(wǎng)關(guān)防毒和防垃圾郵件作為最重要的一道防線來部署，全面消除外來病毒的威脅，使得病毒，垃圾郵件不能再從外網(wǎng)傳播進(jìn)來，對內(nèi)部網(wǎng)絡(luò)資源和系統(tǒng)資源造成消耗。同時(shí)，全面防范垃圾郵件的侵?jǐn)_以及內(nèi)部機(jī)密數(shù)據(jù)的外泄，在整個(gè)防毒系統(tǒng)中起到事半功倍的效果。網(wǎng)絡(luò)層病毒直接清除：利用趨勢科技網(wǎng)絡(luò)病毒墻確保了病毒在網(wǎng)絡(luò)設(shè)備之間傳播的過程中就能夠直接被清除，以避免對整個(gè)網(wǎng)絡(luò)造成沖擊。沒有集中管理的防毒系統(tǒng)是無效的防毒系統(tǒng)。在***酒店的方案中，趨勢科技構(gòu)建了跨子網(wǎng)，跨分支機(jī)構(gòu)的集中管理系統(tǒng)，保證了整個(gè)防毒產(chǎn)品可以從管理系統(tǒng)中及時(shí)得到更新，同時(shí)又使得管理人員可以在任何時(shí)間、任何地點(diǎn)通過瀏覽器對整個(gè)防毒系統(tǒng)進(jìn)行管理，使整個(gè)系統(tǒng)中任何一個(gè)節(jié)點(diǎn)都可以被管理人員隨時(shí)管理，保證整個(gè)防毒系統(tǒng)有效、及時(shí)地?cái)r截病毒。服務(wù)是整體防毒系統(tǒng)中極為重要的一環(huán)。防病毒系統(tǒng)建立起來之后，能不能對病毒進(jìn)行有效的防范，與病毒廠商能否提供及時(shí)、全面的服務(wù)有著極為重要的關(guān)系。這一方面要求廠商要有全球化的防毒體系為基礎(chǔ)，另一方面也要求廠商以及本地趨勢科技授權(quán)服務(wù)商能有足夠的本地化技術(shù)人員作依托，不管是對系統(tǒng)使用中出現(xiàn)的問題，還是用戶發(fā)現(xiàn)的可疑文件，都能進(jìn)行快速的分析和方案提供。趨勢科技作為網(wǎng)絡(luò)防毒及互聯(lián)網(wǎng)安全與服務(wù)的領(lǐng)導(dǎo)廠商，可以全面滿足***酒店多層次的服務(wù)要求。***酒店整體防毒系統(tǒng)所達(dá)到的效果***酒店希望部署趨勢科技防病毒整體解決方案后，能夠達(dá)到以下效果：對***酒店通過防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)的隔離，保證內(nèi)部網(wǎng)絡(luò)的安全對***酒店網(wǎng)絡(luò)內(nèi)的應(yīng)用服務(wù)器進(jìn)行全面防護(hù)，斬?cái)嗖《驹诜?wù)器內(nèi)的寄生及傳播；對所有的客戶機(jī)進(jìn)行全面防護(hù)，徹底消除病毒對客戶機(jī)的破壞，保證所有員工都有一個(gè)干凈、安全的平臺；建立及時(shí)、快速的病毒響應(yīng)機(jī)制，能夠迅速抑制病毒在企業(yè)網(wǎng)中傳播。網(wǎng)絡(luò)防病毒產(chǎn)品推薦基于上述原則及對該領(lǐng)域技術(shù)發(fā)展前景、產(chǎn)品的性價(jià)比等綜合因素，聯(lián)成科技建議***酒店計(jì)算機(jī)網(wǎng)絡(luò)采用如下產(chǎn)品配置：趨勢公司TrendMicroAntiVirusTotalSolution包括：趨勢科技防毒墻服務(wù)器版：ServerProtect；趨勢科技防毒墻網(wǎng)絡(luò)版：OfficeScan網(wǎng)絡(luò)病毒墻:TrendMicroTMNetworkVirusWallTM-NVWE**防火墻：自己添加…….產(chǎn)品簡要說明:產(chǎn)品功能及用途產(chǎn)品名稱功能和部署建議桌面機(jī)的病毒防護(hù)OfficeScanOfficescan服務(wù)器端安裝在***酒店的防病毒專用服務(wù)器上，Officescan客戶端可自動安裝在所有客戶機(jī)上,透過Web接口的管理主控臺，管理人員可以從網(wǎng)絡(luò)上的任何地點(diǎn)，來管理和設(shè)置整個(gè)網(wǎng)絡(luò)客戶機(jī)防毒策略，并且也能迅速響應(yīng)各種緊急事件。NT/Novell/Linux服務(wù)器病毒防護(hù)ServerProtectServerProtect遠(yuǎn)程安裝在所有服務(wù)器上對Windows?2000/NT、Novell?NertWare或LinuxRedhat網(wǎng)絡(luò)上的服務(wù)器，提供全面性的病毒防護(hù)。它提供病毒疫情管理、集中式病毒掃描、病毒碼更新、事件報(bào)告和防毒配置等功能。網(wǎng)絡(luò)層防病毒NVWE針對企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理的設(shè)備?？蓞f(xié)助公司企業(yè)防止ARP病毒攻擊，在爆發(fā)病毒疫情時(shí)隔絕高危險(xiǎn)的網(wǎng)絡(luò)脆弱環(huán)節(jié)，在網(wǎng)絡(luò)層部署由趨勢科技提供的安全防御策略，并能在缺乏防毒保護(hù)的設(shè)備等潛在感染源連接網(wǎng)絡(luò)時(shí)，予以隔離和清除。網(wǎng)絡(luò)防護(hù)防火墻Asic內(nèi)容處理器行為特征掃描VPN加密處理(DES，3DES，MD5，SHA1)狀態(tài)檢測防火墻會話處理流量管理每個(gè)芯片200-400Mbps的吞吐量EsOS專用的,高度安全的,基于需求定制的操作系統(tǒng)

整體方案建議整體防病毒體系建議防病毒體系設(shè)計(jì)思路為了構(gòu)建一個(gè)強(qiáng)壯、有效的防病毒體系，在分析了***酒店網(wǎng)絡(luò)架構(gòu)及相關(guān)應(yīng)用之后，針對潛在的病毒傳播威脅，趨勢科技建議采用結(jié)合產(chǎn)品、防御策略、服務(wù)為一體的防病毒體系。由于***酒店防病毒管理具有明顯的地域性，為了方便集中管理，需要有一套切實(shí)可行的集中管理機(jī)制，以方便管理員實(shí)時(shí)掌控全市防病毒狀況。同時(shí)還要求按分支機(jī)構(gòu)進(jìn)行權(quán)限分派管理，不同分支機(jī)構(gòu)的管理人員在中央控管體系中只能夠管理到本分支機(jī)構(gòu)范圍內(nèi)的防病毒軟件，包括防病毒策略設(shè)定、病毒碼及掃描引擎升級等。聯(lián)成科技在為***酒店設(shè)計(jì)的防病毒體系中，充分考慮到集中及分權(quán)管理的需求，構(gòu)建邏輯結(jié)構(gòu)為三層的防病毒體系：產(chǎn)品部署建議根據(jù)***酒店計(jì)算機(jī)網(wǎng)絡(luò)潛在的病毒威脅分析，結(jié)合趨勢科技全系列防毒產(chǎn)品的特性，由點(diǎn)及面，全方位部署，徹底截?cái)嗖《救肭值乃型緩?。服?wù)器防護(hù)趨勢科技防毒墻服務(wù)器版–ServerProtect趨勢科技的ServerProtect可以對Windows?2000/NT、Novell?NertWare或LinuxRedhat網(wǎng)絡(luò)上的檔案服務(wù)器，提供全面性的病毒防護(hù)。ServerProtect是通過直覺的、可攜式的主控臺來操作，它提供病毒疫情管理、集中式病毒掃描、病毒碼更新、事件報(bào)告和防毒配置等功能。策略：防毒軟件可通過單一的主控臺來管理。安裝時(shí)可以依照網(wǎng)域分組，同時(shí)替多部服務(wù)器進(jìn)行安裝。利用集中式報(bào)表，管理人員可以監(jiān)看整個(gè)網(wǎng)絡(luò)的狀態(tài)。通過TaskManager，管理人員可以輕松地完成各種病毒維護(hù)工作，例如設(shè)定掃毒模式、更新病毒碼和程序、編輯病毒報(bào)告，以及設(shè)定實(shí)時(shí)掃描的參數(shù)等反復(fù)掃描經(jīng)過多層壓縮的檔案，支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP、MicrosoftCompress，以及UUENCODE和MIME等郵件附件格式。自動下載和分發(fā)病毒碼、掃毒引擎和程序文件。支持MPLSVPN和IPSec等VPN競爭優(yōu)勢：IDC統(tǒng)計(jì)數(shù)據(jù)：連續(xù)多年占據(jù)全球市場份額第一位病毒代碼到來之前具備網(wǎng)絡(luò)控制功能，有效控制病毒擴(kuò)散可集中分發(fā)病毒清除工具，免除手動清除煩惱跨網(wǎng)段安裝與管理有集中隔離工具,可以將感染病毒檔案集中隔離到一臺服務(wù)器有病毒追蹤工具,當(dāng)有病毒通過網(wǎng)絡(luò)共享擴(kuò)散時(shí),可以偵測到感染病毒的機(jī)器可以實(shí)現(xiàn)遠(yuǎn)程集中安裝、掃描、更新、管理軟件安裝時(shí)可對病毒進(jìn)行預(yù)處理，安裝后不需要重新啟動強(qiáng)大、完善的日志管理功能安裝簡單、產(chǎn)品成熟、運(yùn)行穩(wěn)定、高效防毒部署建議：在NT、2000、Netware和Linux系統(tǒng)的服務(wù)器上安裝ServerProtect防病毒系統(tǒng)，提供以上系統(tǒng)的實(shí)時(shí)病毒防護(hù)能力。為了滿足大型企業(yè)的要求，ServerProtect本身被設(shè)計(jì)成一個(gè)多層結(jié)構(gòu)的軟件。它共有三個(gè)模塊：InformationServer(IS)，NormalServer(NS)，ManagementConsole(MC)。NS是安裝在每臺文件服務(wù)器上的防毒模塊，IS是所有NS的集中管理模塊，可安裝在某一臺服務(wù)器上；MC是給管理員使用的管理界面模塊，可安裝在任何一臺機(jī)器上。因此部署時(shí)，可以將IS和MC安裝在防毒專用服務(wù)器上，NS安裝在真正的文件及Proxy、郵件服務(wù)器上。在***酒店總部及下屬各分支機(jī)構(gòu)分公司中，建議各增設(shè)一臺病毒防護(hù)專用服務(wù)器（系統(tǒng)配置需求請見產(chǎn)品布署列表）安裝ServerProtect信息服務(wù)器及管理控制臺（SPInformationServer&ManagemnetConsole），作為Serverprotect的管理中心。在管理中心上實(shí)現(xiàn)每一個(gè)管理單位內(nèi)所有服務(wù)器的防病毒策略部署和病毒代碼、引擎的升級，然后在每一臺NT或2000服務(wù)器上安裝ServerProtect的普通服務(wù)器（SPNormalServer）。產(chǎn)品部署架構(gòu)：同時(shí)，通過安裝TMCM代理程序，Serverprotect就能夠被整合在TMCM的管理體系中，并且能夠通過TMCM得到“病毒爆發(fā)抑制策略”。Serverprotect應(yīng)用該策略能夠有選擇性的關(guān)閉某些病毒攻擊網(wǎng)絡(luò)，服務(wù)器和客戶機(jī)的端口，或共享文件夾。從而保護(hù)網(wǎng)絡(luò)中的服務(wù)器群，在最新的病毒碼沒做出來之前不被新病毒攻擊?？蛻魴C(jī)防護(hù)趨勢科技防毒墻網(wǎng)絡(luò)版–OfficeScanCorporateEdition趨勢科技的OfficeScanCorporateEdition將管理與部署的功能集中到服務(wù)器端。透過Web接口的管理主控臺，管理人員可以從網(wǎng)絡(luò)上的任何地點(diǎn)，來管理和設(shè)置全公司的防毒策略，并且也能迅速響應(yīng)各種緊急事件。競爭優(yōu)勢：支持防護(hù)策略的自動/手動配置，有效控制病毒擴(kuò)散支持多種客戶端的安裝方式HTTPBase具有Web管理功能,可以跨WAN進(jìn)行管理方便而簡單的配置管理與實(shí)時(shí)報(bào)告先進(jìn)的自動更新技術(shù),無須管理員與用戶的手動操作,不需要重新啟動增量式、隊(duì)列式更新防毒組件,節(jié)省網(wǎng)絡(luò)帶寬，提高網(wǎng)絡(luò)性能主動關(guān)閉用戶共享，阻絕病毒通過網(wǎng)絡(luò)共享傳播客戶端POP3掃描功能支持客戶端自行上互聯(lián)網(wǎng)更新防毒組件支持網(wǎng)段掃描偵測尚未安裝OfficeScan的用戶機(jī),杜絕防毒漏洞支持將紀(jì)錄數(shù)據(jù)導(dǎo)入SQL服務(wù)器方便數(shù)據(jù)分析與管理支持在客戶端可以在不同的OfficeScan服務(wù)器中轉(zhuǎn)移,不需重新安裝無論是域模式網(wǎng)絡(luò)還是對等網(wǎng)絡(luò)OfficeScan都完全支持軟件安裝時(shí)可對病毒進(jìn)行預(yù)處理強(qiáng)大、完善的日志管理功能病毒、客戶機(jī)的排行榜功能，幫助網(wǎng)管了解毒源、善后處理、報(bào)告領(lǐng)導(dǎo)安裝簡單快捷、產(chǎn)品成熟、運(yùn)行穩(wěn)定、高效防毒部署建議：對桌面系統(tǒng)的病毒防護(hù)：在***酒店的32位操作系統(tǒng)的客戶端上可統(tǒng)一采用OfficeScan。它的統(tǒng)一管理、升級和高效的實(shí)時(shí)防護(hù)，能有效的保證服務(wù)應(yīng)用者的應(yīng)用安全。通過使用NT域的LoginScript方式、或是使用Web頁面方式、安裝程序打包方式、SMS方式、文件共享方式（最多提供9種安裝方式），可以迅速、方便地將OSCE客戶端軟件部署到每個(gè)客戶機(jī)上。在部署時(shí)，可將OfficeScan管理服務(wù)器安裝在***酒店總部及各分支機(jī)構(gòu)分公司的專用防病毒服務(wù)器上。這樣就可在同一臺服務(wù)器上實(shí)現(xiàn)服務(wù)器和桌面系統(tǒng)統(tǒng)一的防病毒策略部署和病毒代碼、引擎升級。產(chǎn)品部署架構(gòu)：同時(shí)，安裝TMCM代理程序。Officescan就能夠被整合在TMCM的管理體系中，并且能夠通過TMCM得到“病毒爆發(fā)抑制策略”。Officescan應(yīng)用該策略能夠有選擇性的關(guān)閉某些病毒攻擊網(wǎng)絡(luò)，服務(wù)器和客戶機(jī)的端口，或共享文件夾，從而，阻擋大量的蠕蟲病毒，在網(wǎng)絡(luò)中大面積爆發(fā)。從而，保護(hù)用戶網(wǎng)絡(luò)中的所有客戶機(jī)和服務(wù)器不受到病毒攻擊。網(wǎng)絡(luò)層防病毒產(chǎn)品簡介:TrendMicroTMNetworkVirusWallTM是基于網(wǎng)絡(luò)層，針對企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理的設(shè)備。可協(xié)助公司企業(yè)防止ARP病毒攻擊，在爆發(fā)病毒疫情時(shí)隔絕高危險(xiǎn)的網(wǎng)絡(luò)脆弱環(huán)節(jié)，在網(wǎng)絡(luò)層部署由趨勢科技提供的安全防御策略，并能在缺乏防毒保護(hù)的設(shè)備等潛在感染源連接網(wǎng)絡(luò)時(shí)，予以隔離和清除。不同于只監(jiān)測安全威脅或提供信息的安全解決方案，NetworkVirusWall協(xié)助企業(yè)采取準(zhǔn)確、快速的安全措施，并且主動偵測、預(yù)防圍堵與進(jìn)行善后清理。當(dāng)企業(yè)在網(wǎng)絡(luò)的各網(wǎng)段之間部署NetworkVirusWall之后，即可大幅降低安全威脅、網(wǎng)絡(luò)宕機(jī)時(shí)間以疫情管理的負(fù)擔(dān)。同時(shí)，NetworkVirusWall支持趨勢科技的「企業(yè)安全防護(hù)策略」（EnterpriseProtectionStrategy）。NVW提供以下主要功能：防止ARP欺騙主動免疫，識別攻擊者發(fā)送的ARP欺騙包，并阻止發(fā)送被動防護(hù)，保護(hù)終端免受ARP欺騙包影響網(wǎng)絡(luò)流量偵測與網(wǎng)絡(luò)病毒過濾在網(wǎng)絡(luò)層清除帶毒數(shù)據(jù)包分析網(wǎng)絡(luò)數(shù)據(jù)流量，定位可疑計(jì)算機(jī)使用智能型規(guī)則，提供關(guān)于網(wǎng)絡(luò)病毒疫情的早期預(yù)警信息隔離薄弱環(huán)節(jié)偵測帶有安全漏洞的計(jì)算機(jī)，預(yù)防病毒利用網(wǎng)絡(luò)上的薄弱環(huán)節(jié)入侵爆發(fā)病毒疫情時(shí)，阻止未安裝相關(guān)補(bǔ)丁程序的計(jì)算機(jī)訪問網(wǎng)絡(luò)資源強(qiáng)制實(shí)施安全策略隔離特定IP地址段隔離實(shí)施通訊軟件（MSN，YahooICQ）隔離特定文件傳輸隔離特定的網(wǎng)絡(luò)協(xié)議（TCP，UDP，ICMP）客戶端補(bǔ)丁及防病毒軟件管理管理未安裝防病毒軟件（Symantec，MacFee，TrendMicro）的機(jī)器確保客戶端安裝最新的病毒代碼（支持OfficeScan，PC-Cillin）管理未打安全補(bǔ)丁的機(jī)器自動損害清除自動遠(yuǎn)程清除病毒系統(tǒng)修復(fù)定時(shí)病毒查殺自動升級專殺工具集中管理找出網(wǎng)絡(luò)上的染毒來源并在清除完成前予以隔離報(bào)表管理提供多種報(bào)表類型提供詳細(xì)的安全報(bào)告定期安全性評估.................

2、部署實(shí)施方案由于***酒店整個(gè)網(wǎng)絡(luò)物理位置分散的較開，這就給企業(yè)網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理造成了非常大的困難。一旦出現(xiàn)ARP病毒攻擊，無法快速定位攻擊源?；?**酒店目前的網(wǎng)絡(luò)連接以及網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理的存在的問題，趨勢科技建議采用網(wǎng)絡(luò)病毒墻NetworkViruswall來為***酒店解決網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理存在的問題。特別是ARP病毒攻擊問題。一旦在***酒店網(wǎng)絡(luò)中部署了NVW，應(yīng)對先前對***酒店網(wǎng)絡(luò)內(nèi)網(wǎng)安全管理所存在的問題，NVW能夠幫助***酒店在ARP病毒爆發(fā)生命周期中的每個(gè)環(huán)節(jié)，提高對整個(gè)網(wǎng)絡(luò)的防病毒控制能力和管理能力：階段一：微軟更新了新的補(bǔ)丁，新病毒隨時(shí)可能爆發(fā)1、NVW在網(wǎng)絡(luò)監(jiān)聽待命，可在ARP攻擊行動前，主動封鎖。如針對ARP傳播和感染利用的漏洞，NVW會將其定義為（最熱門）（hot）的漏洞，作為企業(yè)安全政策執(zhí)行，如果使用者未補(bǔ)好某些漏洞，則無法連上企業(yè)網(wǎng)絡(luò)，避免被感染或?yàn)?zāi)區(qū)擴(kuò)大NVW強(qiáng)制檢測網(wǎng)絡(luò)中所有計(jì)算機(jī)是否有會被病毒所利用的操作系統(tǒng)漏洞和應(yīng)用程序漏洞，同時(shí)，將漏洞的危險(xiǎn)等級進(jìn)行分類，針對具備不同危險(xiǎn)等級漏洞的計(jì)算機(jī)，有不同的處理方式。NVW會將有漏洞的計(jì)算機(jī)隔離，同時(shí)，自動重定向到微軟官方補(bǔ)丁更新網(wǎng)站或內(nèi)部網(wǎng)絡(luò)中的補(bǔ)丁升級服務(wù)器。有漏洞的機(jī)器只有把補(bǔ)丁更新好之后，才能被NVW釋放，這樣就確保***酒店網(wǎng)絡(luò)中不會有防病毒的漏洞存在。2、NVW能偵測高危險(xiǎn)的網(wǎng)絡(luò)薄弱環(huán)節(jié)，并加以隔離，它可以掃描全網(wǎng)內(nèi)的系統(tǒng)漏洞，阻止漏洞機(jī)器上網(wǎng)，并立即針對可疑機(jī)器進(jìn)行殺毒和系統(tǒng)恢復(fù)NVW可以自動實(shí)時(shí)監(jiān)測和掃描***酒店網(wǎng)絡(luò)中所有的計(jì)算機(jī)的防病毒狀態(tài)，并且能夠按照管理員預(yù)先設(shè)定的處理措施，將那些沒有安裝防病毒軟件的計(jì)算機(jī)以及病毒碼過期的計(jì)算機(jī)，自動暫時(shí)隔離，同時(shí)，NVW會自動將有防病毒漏洞的計(jì)算機(jī)自動重定向到通過網(wǎng)頁安裝防病毒軟件客戶端的界面，從而強(qiáng)制計(jì)算機(jī)安裝防病毒軟件的客戶端，而那些病毒碼過期的計(jì)算機(jī)在被隔離的時(shí)間段內(nèi)會自動從防病毒軟件主控端升級到病毒碼。一旦漏洞被彌補(bǔ)之后，所有被隔離計(jì)算機(jī)會被NVW自動釋放。同時(shí)為了避免重要計(jì)算機(jī)被隔離，管理員可以在NVW中設(shè)定例外IP地址，確保重要計(jì)算機(jī)的可用性。3、將筆記本電腦引導(dǎo)至指定的網(wǎng)址安裝防病毒軟件或者引導(dǎo)至在線殺毒服務(wù)器，一避免筆記本電腦可能夾帶的ARP病毒散播到企業(yè)的網(wǎng)絡(luò)上為了避免客戶或者供應(yīng)商的筆記本電腦在沒有防護(hù)的情況下直接聯(lián)入***酒店內(nèi)部網(wǎng)絡(luò)，在***酒店網(wǎng)絡(luò)中可以設(shè)定特定的網(wǎng)段供他們上網(wǎng)，NVW會檢測客戶或者供應(yīng)商的筆記本電腦是否具備防病毒能力，若有，則允許通過；若無，管理員則可以設(shè)定將筆記本電腦引導(dǎo)至指定的網(wǎng)址安裝防病毒軟件或者引導(dǎo)至在線殺毒服務(wù)器。即使什么防護(hù)動作都不開啟，NVW也可以確保這些筆記本中所攜帶的網(wǎng)絡(luò)病毒不能通過NVW向整個(gè)網(wǎng)絡(luò)內(nèi)部散播。4、管理員在NVWE的控制臺上輸入各子網(wǎng)網(wǎng)關(guān)、代理服務(wù)器、郵件服務(wù)器的正確IP和MAC地址；管理員輸入的IPandMAC信息被PEAgent傳輸?shù)娇蛻舳瞬⒈粚懭階RP靜態(tài)表；客戶端訪問網(wǎng)關(guān)、代理服務(wù)器、郵件服務(wù)器等重要目標(biāo)時(shí)就不會再被欺騙，同時(shí)也不需要進(jìn)行ARP查詢。階段二：ARP病毒在***酒店網(wǎng)絡(luò)內(nèi)部爆發(fā)階段4、捕獲ARP包分析包中的IP是否是本機(jī)IP，如果是本機(jī),ARP包允許發(fā)送。如果不是本機(jī)的，ARP包就被阻止并彈出警報(bào)信息給用戶根據(jù)ARP數(shù)據(jù)包的特征，NVW可以完全擺脫傳統(tǒng)的單純的依靠病毒碼進(jìn)行病毒查殺的方式，可以直接將ARP病毒的欺騙數(shù)據(jù)包丟棄并彈出警報(bào)信息給用戶，來解決ARP病毒在***酒店網(wǎng)絡(luò)中攻擊和散播。階段三：***酒店全網(wǎng)絡(luò)清除ARP病毒5、自動遠(yuǎn)程清除ARP病毒一旦發(fā)現(xiàn)網(wǎng)絡(luò)中有機(jī)器感染了ARP病毒，對外進(jìn)行ARP攻擊。NVW會自動調(diào)用損害清除服務(wù)，遠(yuǎn)程自動清除感染ARP病毒的機(jī)器。6、NVW的損害清除服務(wù)能夠持續(xù)性的監(jiān)控網(wǎng)絡(luò)，避免病毒重復(fù)感染NVW能夠?qū)崟r(shí)地，持續(xù)性的檢測網(wǎng)絡(luò)中的ARP病毒，能夠發(fā)現(xiàn)依靠人力無法發(fā)現(xiàn)的防ARP病毒遺漏的死角，從而確保能夠真真正正的消滅網(wǎng)絡(luò)中的ARP病毒。添加產(chǎn)品介紹…………內(nèi)網(wǎng)管理產(chǎn)品設(shè)計(jì)方案----南京聯(lián)成科技為***酒店構(gòu)建的整體內(nèi)網(wǎng)管理體系的建立簡述如下：1.需求概述1．1背景介紹***酒店建有完備的內(nèi)網(wǎng)信息系統(tǒng)。網(wǎng)關(guān)處部署了防火墻，等安全設(shè)備。整個(gè)酒店應(yīng)用了，OA系統(tǒng)、ERP系統(tǒng)、WEB服務(wù)器、郵件服務(wù)器等同過互聯(lián)網(wǎng)平臺得到整體應(yīng)用…酒店規(guī)模...酒店發(fā)展?fàn)顩r...酒店員工組成...需求分析***酒店的網(wǎng)絡(luò)有兩部分：辦公網(wǎng)絡(luò)和客房網(wǎng)絡(luò)，兩個(gè)網(wǎng)絡(luò)通過一條Internet出口連接互聯(lián)網(wǎng)，客房用戶上網(wǎng)隨意性較大，需要帶寬管理措施來限制占用帶寬過高的用戶，并保障辦公網(wǎng)絡(luò)的網(wǎng)速正常。

酒店用戶流動性很大，隨身攜帶的移動電腦中經(jīng)常帶有病毒，一旦爆發(fā)將影響整個(gè)網(wǎng)絡(luò)的正常，例如常見的ARP地址欺騙病毒，當(dāng)中毒電腦冒充網(wǎng)關(guān)地址時(shí)，整個(gè)網(wǎng)絡(luò)的客戶端都將受此影響而無法訪問互聯(lián)網(wǎng)，因此急需有效的防內(nèi)部攻擊措施來保障網(wǎng)絡(luò)正常。

賓館酒店的管理人員不具備網(wǎng)絡(luò)專業(yè)能力，而管理的網(wǎng)絡(luò)卻又是復(fù)雜多樣的.

傳統(tǒng)的ARP地址雙向綁定技術(shù)雖能有效防止ARP地址欺騙，但對于酒店這種流動性非常大的網(wǎng)絡(luò)來說并不適用?？蛻艟唧w需求分析##***酒店網(wǎng)絡(luò)訪問控制詳細(xì)需求分析……隨著業(yè)務(wù)的發(fā)展，信息化建設(shè)步伐的加快，某某酒店的網(wǎng)絡(luò)安全問題也日益嚴(yán)峻，雖然在網(wǎng)絡(luò)出口處已部署了專門的防火墻設(shè)備，但無孔不入的病毒（尤其是木馬病毒）、垃圾郵件仍然大肆泛濫，嚴(yán)重影響了企業(yè)應(yīng)用系統(tǒng)的運(yùn)行和公司業(yè)務(wù)的正常運(yùn)作；另外，在針對內(nèi)網(wǎng)的安全方面（尤其是PC客戶端準(zhǔn)入安全檢查），由于缺少專門的客戶端安全檢查設(shè)備，無法有效的保護(hù)整個(gè)局域網(wǎng)的安全性。最為重要的是企業(yè)對入住客戶使用方面沒有很好的限制方法，導(dǎo)致bt下載嚴(yán)重影響了企業(yè)內(nèi)部關(guān)鍵應(yīng)用的使用。通過對酒店網(wǎng)絡(luò)目前普遍存在的問題，我們看到***酒店在內(nèi)網(wǎng)行為方面在以下幾個(gè)方面需要解決:------無法做到細(xì)致的訪問控制首先酒店企業(yè)有著豐富的網(wǎng)絡(luò)資源如：OA系統(tǒng)、ERP系統(tǒng)、WEB服務(wù)器、郵件服務(wù)器等。并且酒店的規(guī)模十分龐大，部門、人員組成十分復(fù)雜。酒店無法對這些用戶進(jìn)行細(xì)致的分組規(guī)定他們訪問的資源的權(quán)限。還有QQ、MSN、BT等網(wǎng)絡(luò)資源同樣無法進(jìn)行有效的控制，導(dǎo)致用戶可以任意的使用網(wǎng)絡(luò)資源使員工效率降低，并且加大了企業(yè)的風(fēng)險(xiǎn)。------無法對內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行有效的監(jiān)控提到網(wǎng)絡(luò)安全問題，大多數(shù)用戶都只關(guān)注外網(wǎng)安全。但是其實(shí)企業(yè)的信息資產(chǎn)更多的不是被黑客竊取，而是通過內(nèi)部泄漏的。所以雖然酒店企業(yè)已經(jīng)部署了防火墻等安全設(shè)備，但是無法對內(nèi)網(wǎng)用戶的網(wǎng)絡(luò)行為進(jìn)行有效的監(jiān)控。------沒有很好的統(tǒng)計(jì)方法，無法得知內(nèi)網(wǎng)的使用狀況管理員無法具體知道網(wǎng)絡(luò)的使用情況只能聽員工反映的情況，最多只能簡單的記錄一些ip訪問情況，查尋起來非常不便。------對帶寬流量無法管理不能限制入住酒店客戶的網(wǎng)絡(luò)使用，對流量無法控制，無法對酒店帶寬有效的管理，導(dǎo)致酒店內(nèi)部重要的關(guān)鍵應(yīng)用無法正常的運(yùn)轉(zhuǎn)。------無法保證客戶端的安全性由于員工的機(jī)器沒有限制，所以無法保證在上網(wǎng)時(shí)的安全性，導(dǎo)致很容易從訪問網(wǎng)站中感染病毒，木馬，等不安全因素，從而影響整個(gè)內(nèi)網(wǎng)用戶的應(yīng)用。（根據(jù)不同的情況適當(dāng)進(jìn)行調(diào)整） 2、解決方案2．1AC上網(wǎng)行為管理設(shè)備功能介紹（一）控制功能：細(xì)致的訪問控制功能，有效管理用戶上網(wǎng)SINFORAC安全網(wǎng)關(guān)不僅可以對員工訪問WEB、FTP、MAIL等常用服務(wù)的內(nèi)容進(jìn)行控制，更可以對QQ、BT、MSN、SKYPE等各種P2P軟件的行為進(jìn)行限制和控制。豐富的報(bào)表功能還可以分析出企業(yè)的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者分配和了解員工網(wǎng)絡(luò)資源提供有效數(shù)據(jù)支持。基于Web的和LDAP/Radius集成的用戶認(rèn)證功能，使得對上網(wǎng)用戶的管理變得十分靈活方便。表3.1：訪問控制功能一覽表功能模塊功能性能指標(biāo)身份認(rèn)證IP－MAC綁定結(jié)合準(zhǔn)入規(guī)則功能，可實(shí)現(xiàn)跨三層交換機(jī)的IP-MAC綁定功能WEB認(rèn)證WEB認(rèn)證的用戶名和密碼可以使用本地用戶密碼也可以和LDAP服務(wù)器、Microsoft的AD服務(wù)器、Radius服務(wù)器，POP3服務(wù)器聯(lián)動單點(diǎn)登錄支持基于MicrosoftAD域的單點(diǎn)登陸，用戶登陸域以后，不需要再次在WEB認(rèn)證頁面輸入密碼客戶端安全檢查網(wǎng)絡(luò)準(zhǔn)入規(guī)則對上網(wǎng)的終端進(jìn)行安全檢查，可檢查是否安裝了防病毒軟件、個(gè)人防火墻軟件或病毒庫是否升級、操作系統(tǒng)是否安裝安全補(bǔ)丁以及是否運(yùn)行了某個(gè)不該運(yùn)行的軟件上網(wǎng)權(quán)限控制策略管理分組、分時(shí)段，有選擇性的封堵各種上網(wǎng)行為代理檢測能識別采用Http、Https、Socks等代理服務(wù)器繞過防火墻檢查的行為，防止訪問非法網(wǎng)站P2P控制允許管理員有選擇性的封堵各種P2P和IM軟件上網(wǎng)時(shí)長限制在用戶達(dá)到管理員設(shè)定的最長上網(wǎng)時(shí)間后拒絕該用戶對互聯(lián)網(wǎng)的繼續(xù)訪問內(nèi)容過濾URL控制數(shù)十種多達(dá)300萬條URL庫，控制對危險(xiǎn)、反動、色情等各類站點(diǎn)的訪問關(guān)鍵字過濾基于網(wǎng)址/搜索引擎以及HTTP上傳的關(guān)鍵字過濾功能。如通過WEB發(fā)郵件、通過BBS發(fā)表言論文件類型過濾對HTTP/FTP上傳下載的文件做文件類型過濾郵件過濾可對發(fā)送的郵件做關(guān)鍵字、郵箱地址的過濾。保證內(nèi)部機(jī)密信息不外泄漏SSL證書

過濾及控制通過對網(wǎng)站的數(shù)字證書和數(shù)字簽名進(jìn)行審核和對照，利用SSL證書庫內(nèi)置的可信任證書頒布機(jī)構(gòu)列表，對SSL連接的證書內(nèi)容進(jìn)行可信度評估，當(dāng)危險(xiǎn)站點(diǎn)采用了偽造的數(shù)字證書來騙取內(nèi)網(wǎng)用戶信任時(shí)，AC可以判斷出其本來面目并進(jìn)行阻斷，避免組織成員蒙受經(jīng)濟(jì)損失。（二）監(jiān)控功能：完善的內(nèi)容過慮和訪問審計(jì)功能，防止機(jī)密信息泄漏談到安全問題時(shí)，大多數(shù)人都只關(guān)注外網(wǎng)安全，但其實(shí)企業(yè)的信息資產(chǎn)更多的不是被黑客竊取，而是通過內(nèi)部泄漏的。SINFORAC安全網(wǎng)關(guān)完善的訪問審計(jì)和監(jiān)控功能能夠有效防止信息通過Internet泄漏，并建立強(qiáng)大的內(nèi)部安全的威懾，減少內(nèi)部泄密的行為。對于郵件類型的應(yīng)用還采用了深信服“郵件延遲審計(jì)”的專利技術(shù)來保證先審計(jì)后發(fā)送。SINFORAC的訪問審計(jì)/監(jiān)控模塊為企業(yè)構(gòu)筑了強(qiáng)大的內(nèi)部安全屏障。另外,根據(jù)國家規(guī)定，提供上網(wǎng)服務(wù)場所必須將上網(wǎng)日志保存，并以一定的技術(shù)手段進(jìn)行管理；目前許多賓館酒店都未有這種技術(shù)手段，在網(wǎng)絡(luò)管理上存在著漏洞，達(dá)不到國家的要求.表3.2：訪問審計(jì)功能一覽表功能詳細(xì)指標(biāo)郵件延遲審計(jì)對外發(fā)郵件進(jìn)行延遲緩存，審計(jì)后才能發(fā)出，確保信息資產(chǎn)不外泄實(shí)時(shí)監(jiān)控實(shí)時(shí)監(jiān)控用戶的上網(wǎng)行為內(nèi)網(wǎng)監(jiān)控針對員工在網(wǎng)上的所有行為，包括聊天記錄、瀏覽的網(wǎng)頁、上傳下載的文件等進(jìn)行詳細(xì)的記錄，以監(jiān)控內(nèi)網(wǎng)人員的上網(wǎng)行為，防止企業(yè)內(nèi)部機(jī)密、情報(bào)等泄漏，并事后追查責(zé)任人（三）報(bào)表功能：強(qiáng)大的數(shù)據(jù)報(bào)表中心，提供直觀的上網(wǎng)數(shù)據(jù)統(tǒng)計(jì)SINFORAC網(wǎng)關(guān)擁有強(qiáng)大的數(shù)據(jù)中心，管理者可分組、用戶、規(guī)則、協(xié)議等多種查詢對象，按餅圖、柱狀圖、曲線圖等方式進(jìn)行查詢，可直觀地查看到網(wǎng)絡(luò)流量、郵件、網(wǎng)絡(luò)監(jiān)控、IPS系統(tǒng)、準(zhǔn)入規(guī)則、防火墻等詳細(xì)信息，并可直接打印和導(dǎo)出報(bào)表。SINFORAC網(wǎng)關(guān)強(qiáng)大的日志系統(tǒng)和豐富的報(bào)表功能，可詳細(xì)分析出企業(yè)的Internet的詳細(xì)使用情況，為網(wǎng)絡(luò)管理員和決策者提供了最有效的數(shù)據(jù)支持。表3.3：數(shù)據(jù)中心功能一覽表功能詳細(xì)指標(biāo)流量統(tǒng)計(jì)日志包含內(nèi)網(wǎng)流量統(tǒng)計(jì)概要、組流量排行、流量日志、流量趨勢等，用餅狀、柱型等直觀地表示網(wǎng)絡(luò)內(nèi)部的流量排名郵件日志包含郵件統(tǒng)計(jì)概要、郵件排行、郵件查詢、郵件趨勢等功能，可詳細(xì)統(tǒng)計(jì)用戶所有收發(fā)郵件的具體情況網(wǎng)絡(luò)監(jiān)控日志包括監(jiān)控統(tǒng)計(jì)摘要、監(jiān)控排行、監(jiān)控查詢、監(jiān)控趨勢等功能。管理員可詳細(xì)監(jiān)控內(nèi)網(wǎng)用戶使用互聯(lián)網(wǎng)資源的具體使用情況準(zhǔn)入規(guī)則日志包括準(zhǔn)入規(guī)則摘要、準(zhǔn)入排行、準(zhǔn)入查詢等功能，管理員可對內(nèi)部網(wǎng)絡(luò)的違規(guī)機(jī)器進(jìn)行詳細(xì)統(tǒng)計(jì)和查看IPS日志包含IPS日志摘要、IPS排行、IPS查詢、IPS趨勢等功能，可顯示詳細(xì)的網(wǎng)絡(luò)安全情況防火墻日志包含防火墻摘要、防火墻排行、防火墻查詢、防火墻趨勢等功能，管理員可以對防火墻的日志進(jìn)行更為詳細(xì)地分析日志庫管理主要包含日志庫信息、日志庫查詢、日志庫切換等功能用戶管理管理員可在此新增用戶、查詢用戶（四）帶寬及流量管理功能：強(qiáng)大的QOS功能及流量分析SINFORAC安全網(wǎng)關(guān)強(qiáng)大的訪問控制和QOS功能可以使得酒店合理利用Internet資源，為不同的用戶分配不同的帶寬和上網(wǎng)權(quán)限，使得Internet資源得到有效利用，并大大提高員工的工作效率。SINFORAC安全網(wǎng)關(guān)可以詳細(xì)記錄和分析所有流量的內(nèi)容，包括http、ftp、mail、telnet等常用軟件的內(nèi)容和常用IM軟件的內(nèi)容。另外還能按用戶、用戶組、協(xié)議和時(shí)間對Internet流量進(jìn)行統(tǒng)計(jì)分析，以優(yōu)化員工對Internet的資源使用情況。使得企業(yè)有限的帶寬能得到最充分的利用，提高企業(yè)的網(wǎng)絡(luò)利用率。表3.4：QOS及流量控制功能一覽表功能詳細(xì)指標(biāo)QOS保證使用差分業(yè)務(wù)模型實(shí)現(xiàn)QOS使用隨機(jī)早期檢測RED丟棄算法提供流量控制流量控制能針對內(nèi)網(wǎng)每個(gè)用戶或者不同的組，限定其上網(wǎng)能占用的帶寬資源，使企業(yè)內(nèi)網(wǎng)帶寬資源得到充分有效的利用針對P2P應(yīng)用采用上行流量和下行流量得限制，保證整個(gè)網(wǎng)絡(luò)得帶寬（五）負(fù)載均衡和高可用性負(fù)載均衡和高可用性多線路支持多達(dá)４條Internet線路，各線路之間可互為備份，可負(fù)載均衡，通過智能選擇最優(yōu)線路技術(shù)，有效解決南北運(yùn)營商互聯(lián)互通問題雙機(jī)熱備通過熱備技術(shù)提供高可用特性，提高網(wǎng)絡(luò)可靠性（六）豐富的外網(wǎng)安全功能：包括防火墻、VPN、IPS、網(wǎng)關(guān)殺毒及防垃圾郵件等作為一個(gè)全面的內(nèi)網(wǎng)管理設(shè)備，SINFORAC安全網(wǎng)關(guān)還提供了豐富的外部安全保障措施。除了強(qiáng)大的防火墻模塊和VPN模塊之外，SINFORAC安全網(wǎng)關(guān)還集成了來自歐洲的領(lǐng)先病毒廠商F-PROT的殺毒引擎，對內(nèi)網(wǎng)用戶接收的郵件和下載的文件進(jìn)行病毒過濾，降低了內(nèi)網(wǎng)用戶感染病毒的風(fēng)險(xiǎn)。另外，強(qiáng)大的垃圾郵件過濾功能將大量垃圾郵件拒之門外，也大大提高了員工使用Internet的辦公效率。同時(shí)SINFORAC安全網(wǎng)關(guān)還提供了高效的IPS（入侵防御系統(tǒng)）功能，能有效識別和抵御3000多種攻擊，更大范圍的保護(hù)了企業(yè)連接到Internet的安全。2.2.SINFORAC安全網(wǎng)關(guān)主要技術(shù)優(yōu)勢（一）深度的內(nèi)容檢測技術(shù)及在線網(wǎng)關(guān)監(jiān)控技術(shù)——及時(shí)封堵P2P、IM軟件（1）深度的內(nèi)容檢測技術(shù)：目前的P2P軟件，如QQ、MSN等IM即時(shí)通訊軟件以及BT、電驢等下載軟件，在用TCP或者UDP數(shù)據(jù)包的傳送過程中，其報(bào)文段都會有一段特征碼，該特征碼是用來標(biāo)識其數(shù)據(jù)包類型。SINFORAC安全網(wǎng)關(guān)的深度內(nèi)容檢測技術(shù)，可以檢測出數(shù)據(jù)包的報(bào)文中相對應(yīng)的特征碼，并根據(jù)預(yù)置策略進(jìn)行及時(shí)封堵。SINFORAC安全網(wǎng)關(guān)內(nèi)置了多種深度內(nèi)容檢測技術(shù)所依賴的特征碼規(guī)則，并且可以從網(wǎng)站上更新下載。依靠這種技術(shù)，SINFORAC安全網(wǎng)關(guān)可以封堵目前所有的P2P軟件；避免了最終用戶在IM或者P2P軟件上浪費(fèi)時(shí)間，提高了員工的工作效率和企業(yè)的生產(chǎn)效率，并防止泄密或由于員工泄密引起的重大損失。（2）在線網(wǎng)關(guān)監(jiān)控技術(shù)：與其他旁路監(jiān)聽的訪問監(jiān)控產(chǎn)品不同的是，SINFORAC使用了在線網(wǎng)關(guān)監(jiān)控技術(shù)。所有的旁路監(jiān)聽產(chǎn)品，對UDP發(fā)送的數(shù)據(jù)都難以攔截，并且攔截往往有一定時(shí)延，攔截敏感數(shù)據(jù)的效果不佳，并且容易遺漏監(jiān)控?cái)?shù)據(jù)。SINFORAC的在線攔截監(jiān)控技術(shù)能保證攔截到所有敏感數(shù)據(jù)，外出數(shù)據(jù)無一紕漏。（二）流量控制管理（1）P2P軟件流量控制：針對目前P2P軟件泛濫，完全影響網(wǎng)絡(luò)使用帶寬的情況。深信服創(chuàng)造性的提出不僅僅要封堵，更重要的是進(jìn)行流量的限制，徹底將P2P趕到應(yīng)用的死角。針對每一種P2P應(yīng)用進(jìn)行上行流量和下行流量的控制。（2）QOS控制：QOS（網(wǎng)絡(luò)服務(wù)質(zhì)量）技術(shù)包括專用帶寬、抖動控制和延遲、丟包率的改進(jìn)以及對指定高優(yōu)先級網(wǎng)絡(luò)服務(wù)的流量保證。AC同樣采用了QOS技術(shù)，對流經(jīng)WAN和LAN的數(shù)據(jù)進(jìn)行了優(yōu)先級處理，保證了重要服務(wù)的帶寬質(zhì)量。（三）郵件的延遲審計(jì)（專利技術(shù)）SINFORAC安全網(wǎng)關(guān)獨(dú)有的郵件延遲審計(jì)功能保證了企業(yè)的重要信息不外泄。目前電子郵件已經(jīng)成為人們最重要的溝通方式。電子郵件快捷、方便的特點(diǎn)已經(jīng)成為企業(yè)與外部溝通的最有效的方式之一。企業(yè)內(nèi)部大量的信息都通過電子郵件方式發(fā)送到外部，因而電子郵件也成為泄漏企業(yè)重要信息的重要途徑之一。SINFORAC安全網(wǎng)關(guān)獨(dú)創(chuàng)的郵件延遲審計(jì)功能，可以對經(jīng)由AC安全網(wǎng)關(guān)的所有郵件進(jìn)行延遲審計(jì)。對于內(nèi)網(wǎng)用戶向外發(fā)送郵件，AC安全網(wǎng)關(guān)會對其進(jìn)行延遲緩存，只有等待管理員審計(jì)后才能發(fā)出，確保了企業(yè)信息資產(chǎn)不外泄，保證了企業(yè)內(nèi)網(wǎng)信息的安全，且郵件延遲審計(jì)對發(fā)件人完全透明。（四）獨(dú)有的網(wǎng)絡(luò)訪問準(zhǔn)入規(guī)則（專利技術(shù)）企業(yè)的安全隱患，往往是由于內(nèi)網(wǎng)用戶客戶端缺乏安全防范造成的。為了從根本上杜絕企業(yè)內(nèi)部網(wǎng)絡(luò)安全隱患，減少內(nèi)網(wǎng)用戶遭受間諜軟件、病毒的風(fēng)險(xiǎn)。深信服科技創(chuàng)新性地采用了網(wǎng)絡(luò)訪問準(zhǔn)入規(guī)則這一技術(shù)。網(wǎng)絡(luò)訪問準(zhǔn)入規(guī)則，是管理員在SINFORAC安全網(wǎng)關(guān)的準(zhǔn)入規(guī)則中預(yù)先定制好內(nèi)網(wǎng)計(jì)算機(jī)的安全策略。所謂安全策略，是指特定的安全標(biāo)準(zhǔn)。如：用戶計(jì)算機(jī)的操作系統(tǒng)是否安裝有管理員指定的系統(tǒng)補(bǔ)丁，以及用戶的計(jì)算機(jī)是否安裝有相應(yīng)的殺毒程序或者防火墻，或者是用戶的計(jì)算機(jī)是否啟動相應(yīng)的殺毒程序、防火墻程序等等，這一系列的安全標(biāo)準(zhǔn)都可以定制成相應(yīng)的安全策略。當(dāng)用戶計(jì)算機(jī)訪問網(wǎng)絡(luò)請求的數(shù)據(jù)包通過SINFORAC安全網(wǎng)關(guān)時(shí)，若啟用了WEB認(rèn)證，當(dāng)用戶通過WEB認(rèn)證后，此時(shí)用戶的計(jì)算機(jī)會自動從AC安全網(wǎng)關(guān)下載相應(yīng)的安全策略掃描程序，并根據(jù)指定的安全策略啟動掃描程序，檢查用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計(jì)算機(jī)才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計(jì)算機(jī)，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計(jì)算機(jī)的安全性，減少了企業(yè)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風(fēng)險(xiǎn)。（五）WEB認(rèn)證技術(shù)AC安全網(wǎng)關(guān)基于Web的用戶認(rèn)證功能，使得管理員對上網(wǎng)用戶的管理變得十分靈活方便。用戶啟用了Web認(rèn)證功能以后，除了對客戶端的本地身份（如：用戶名密碼認(rèn)證，LDAP、RADIUS、MicrosoftAD、POP3認(rèn)證）進(jìn)行常規(guī)性認(rèn)證以外，還將啟用Web認(rèn)證。當(dāng)客戶端在瀏覽器中輸入任意網(wǎng)址時(shí)，AC安全網(wǎng)關(guān)會要求用戶輸入用戶名和密碼進(jìn)行認(rèn)證。只有當(dāng)用戶輸入了正確的帳號，該用戶才能夠訪問Internet。（六）高度集成，部署靈活SINFORAC安全網(wǎng)關(guān)很重要的一個(gè)特點(diǎn)就是除了作為專用的互聯(lián)網(wǎng)訪問控制設(shè)備外，它還是一個(gè)整合式的UTM設(shè)備，將訪問控制/監(jiān)控、網(wǎng)關(guān)殺毒、防垃圾郵件、防火墻、VPN和IPS等多種功能都集成在一個(gè)網(wǎng)關(guān)。用戶可以使用較低的成本同時(shí)擁有多種網(wǎng)絡(luò)安全模塊，大大降低了企業(yè)在網(wǎng)絡(luò)安全方面的總體擁有成本。另外，用戶在使用AC作為互聯(lián)網(wǎng)訪問控制設(shè)備的同時(shí)，也可以選擇使用AC設(shè)備的其他某個(gè)或某幾個(gè)功能模塊，比如將AC作為殺毒網(wǎng)關(guān)或防火墻等的網(wǎng)絡(luò)設(shè)備使用，可與原有網(wǎng)絡(luò)安全產(chǎn)品融合，部署靈活的同時(shí)也保護(hù)了投資。整體網(wǎng)絡(luò)應(yīng)用拓?fù)鋱D***酒