石家莊電信分公司網(wǎng)絡(luò)安全項(xiàng)目解決方案

電信分公司網(wǎng)絡(luò)安全

方案1.背景介紹1.1.項(xiàng)目總述電信分公司網(wǎng)絡(luò)安全系統(tǒng)主要涉及計費(fèi)網(wǎng)絡(luò)、0A網(wǎng)絡(luò)和客服網(wǎng)絡(luò)設(shè)計和布局。需要在一些對外接口處放置防火墻系統(tǒng)，以保障數(shù)據(jù)和信息在網(wǎng)絡(luò)上傳輸?shù)陌踩?.2.網(wǎng)絡(luò)環(huán)境總述電信分公司網(wǎng)絡(luò)安全系統(tǒng)是非涉密的部業(yè)務(wù)工作處理網(wǎng)絡(luò)，傳輸、處理、查詢工作中非涉密的信息。防火墻系統(tǒng)需要集中在數(shù)據(jù)中心控制機(jī)上面進(jìn)行管理和審計。信息安全方案的組成信息安全產(chǎn)品的選型原則電信分公司網(wǎng)絡(luò)安全系統(tǒng)是一個要求高可靠性和安全性的網(wǎng)絡(luò)系統(tǒng)，若干重要的信息在網(wǎng)絡(luò)傳輸過程中不可泄露，如果數(shù)據(jù)被黑客修改或者刪除，那么就會嚴(yán)重的影響工作。所以電信分公司網(wǎng)絡(luò)安全系統(tǒng)安全產(chǎn)品的選型事關(guān)重大，要提到國家戰(zhàn)略的高度來衡量，否則一旦被黑客或者敵國攻入，其代價將是不能想象的。電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)安全系統(tǒng)方案必須遵循如下原則：?全局性原則：安全威脅來自最薄弱的環(huán)節(jié)，必須從全局出發(fā)規(guī)劃安全系統(tǒng)。電信分公司網(wǎng)絡(luò)安全系統(tǒng)安全體系，遵循中心統(tǒng)一規(guī)劃，局部實(shí)施的原則。?綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國發(fā)生的網(wǎng)絡(luò)安全問題中，管理問題占相當(dāng)大的比例，在各地方建立網(wǎng)絡(luò)安全設(shè)施體系的同時必須建立相應(yīng)的制度和管理體系。?均衡性原則：安全措施的實(shí)施必須以根據(jù)安全級別和經(jīng)費(fèi)限度統(tǒng)一考慮。網(wǎng)絡(luò)中相同安全級別的強(qiáng)度要一致。?節(jié)約性原則：整體方案的設(shè)計應(yīng)該盡可能的不改變原來網(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。?集中性原則：所有的防火墻產(chǎn)品要求在數(shù)據(jù)中心可以進(jìn)行集中管理，這樣才能保證在數(shù)據(jù)中心的服務(wù)器上可以掌握全局。?角色化原則：防火墻產(chǎn)品在管理上面不僅在數(shù)據(jù)中心可以完全控制外，在地方還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看防火墻策略和審計。目前，很多公開的新聞表明美國國家安全局（NSA）有可能在許多美國大軟件公司的產(chǎn)品中安裝“后門”，其中包括一些應(yīng)用廣泛的操作系統(tǒng)。為此德國軍方前些時候甚至規(guī)定在所有牽涉到的計算機(jī)里，不得使用美國的操作系統(tǒng)。作為信息安全的保障，我們在安全產(chǎn)品選型時強(qiáng)烈建議使用國自主開發(fā)的優(yōu)秀的網(wǎng)絡(luò)安全產(chǎn)品，將安全風(fēng)險降至最低。在為各安全產(chǎn)品選型時，我們立足國，同時保證所選產(chǎn)品的先進(jìn)性及可靠性，并要求通過國家各主要安全測評認(rèn)證。網(wǎng)絡(luò)安全現(xiàn)狀I(lǐng)nternet正在越來越多地融入到社會的各個方面。一方面，隨著網(wǎng)絡(luò)用戶成分越來越多樣化，出于各種目的的網(wǎng)絡(luò)入侵和攻擊越來越頻繁；另一方面，隨著Internet和以電子商務(wù)為代表的網(wǎng)絡(luò)應(yīng)用的日益發(fā)展，Internet越來越深地滲透到各行各業(yè)的關(guān)鍵要害領(lǐng)域。Internet的安全包括其上的信息數(shù)據(jù)安全，日益成為與政府、軍隊(duì)、企業(yè)、個人的利益休戚相關(guān)的“大事情”。尤其對于政府和軍隊(duì)而言，如果網(wǎng)絡(luò)安全問題不能得到妥善的解決，將會對國家安全帶來嚴(yán)重的威脅。2000年二月，在三天的時間里，黑客使美國數(shù)家頂級互聯(lián)一Yahoo!'Amazon、eBay、CNN陷入癱瘓，造成了十幾億美元的損失，令美國上下如臨大敵。黑客使用了DDoS（分布式拒絕服務(wù)）的攻擊手段，用大量無用信息阻塞的服務(wù)器，使其不能提供正常服務(wù)。在隨后的不到一個月的時間里，又先后有微軟、ZDNet和E*TRADE等著名遭受攻擊。國也未能幸免于難，新浪、當(dāng)當(dāng)書店、EC123等知名也先后受到黑客攻擊。國第一家大型網(wǎng)上連鎖商城IT1633月6日開始運(yùn)營，然而僅四天，該商城突遭網(wǎng)上黑客襲擊，界面文件全部被刪除，各種數(shù)據(jù)庫遭到不同程度的破壞，致使無法運(yùn)作?？陀^地說，沒有任何一個網(wǎng)絡(luò)能夠免受安全的困擾，依據(jù)FinancialTimes曾做過的統(tǒng)計，平均每20秒鐘就有一個網(wǎng)絡(luò)遭到入侵。僅在美國，每年由于網(wǎng)絡(luò)安全問題造成的經(jīng)濟(jì)損失就超過100億美元。典型的黑客攻擊黑客們進(jìn)行網(wǎng)絡(luò)攻擊的目的各種各樣，有的是出于政治目的，有的是員工部破壞，還有的是出于好奇或者滿足自己的虛榮心。隨著Internet的高速發(fā)展，也出現(xiàn)了有明確軍事目的的軍方黑客組織。在典型的網(wǎng)絡(luò)攻擊中，黑客一般會采取如下的步驟：自我隱藏，黑客使用通過rsh或telnet在以前攻克的主機(jī)上跳轉(zhuǎn)、通過錯誤配置的proxy主機(jī)跳轉(zhuǎn)等各種技術(shù)來隱藏他們的IP地址，更高級一點(diǎn)的黑客，精通利用交換侵入主機(jī)。網(wǎng)絡(luò)偵探和信息收集，在利用Internet開始對目標(biāo)網(wǎng)絡(luò)進(jìn)行攻擊前，典型的黑客將會對網(wǎng)絡(luò)的外部主機(jī)進(jìn)行一些初步的探測。黑客通常在查找其他弱點(diǎn)之前首先試圖收集網(wǎng)絡(luò)結(jié)構(gòu)本身的信息。通過查看上面查詢來的結(jié)果列表，通常很容易建立一個主機(jī)列表并且開始了解主機(jī)之間的聯(lián)系。黑客在這個階段使用一些簡單的命令來獲得外部和部主機(jī)的名稱：例如，使用nslookup來執(zhí)行“l(fā)s〈domainornetwork>”，finger外部主機(jī)上的用戶等。確認(rèn)信任的網(wǎng)絡(luò)組成，一般而言，網(wǎng)絡(luò)中的主控主機(jī)都會受到良好的安全保護(hù)，黑客對這些主機(jī)的入侵是通過網(wǎng)絡(luò)中的主控主機(jī)的信任成分來開始攻擊的，一個網(wǎng)絡(luò)信任成員往往是主控主機(jī)或者被認(rèn)為是安全的主機(jī)。黑客通常通過檢查運(yùn)行nfsd或mountd的那些主機(jī)輸出的NFS開始入侵，有時候一些重要目錄（例如/etc，/home）能被一個信任主機(jī)mount°確認(rèn)網(wǎng)絡(luò)組成的弱點(diǎn)，如果一個黑客能建立你的外部和部主機(jī)列表，他就可以用掃描程序（如ADMhack,mscan,nmap等）來掃描一些特定的遠(yuǎn)程弱點(diǎn)。啟動掃描程序的主機(jī)系統(tǒng)管理員通常都不知道一個掃描器已經(jīng)在他的主機(jī)上運(yùn)行，因?yàn)椤痯s'和’netstat'都被特洛伊化來隱藏掃描程序。在對外部主機(jī)掃描之后，黑客就會對主機(jī)是否易受攻擊或安全有一個正確的判斷°有效利用網(wǎng)絡(luò)組成的弱點(diǎn)，當(dāng)黑客確認(rèn)了一些被信任的外部主機(jī)，并且同時確認(rèn)了一些在外部主機(jī)上的弱點(diǎn)，他們就要嘗試攻克主機(jī)了°黑客將攻擊一個被信任的外部主機(jī)，用它作為發(fā)動攻擊部網(wǎng)絡(luò)的據(jù)點(diǎn)°要攻擊大多數(shù)的網(wǎng)絡(luò)組成，黑客就要使用程序來遠(yuǎn)程攻擊在外部主機(jī)上運(yùn)行的易受攻擊服務(wù)程序，這樣的例子包括易受攻擊的Sendmail,IMAP,P0P3和諸如statd,mountd,pcnfsd等RPC服務(wù)°獲得對有弱點(diǎn)的網(wǎng)絡(luò)組成的訪問權(quán)，在攻克了一個服務(wù)程序后，黑客就要開始清除他在記錄文件中所留下的痕跡，然后留下作后門的二進(jìn)制文件，使其以后可以不被發(fā)覺地訪問該主機(jī)°目前，黑客的主要攻擊方式有：欺騙：通過偽造IP地址或者盜用用戶等方法來獲得對系統(tǒng)的非授權(quán)使用，例如盜用撥號。竊聽：利用以太網(wǎng)廣播的特性，使用監(jiān)聽程序來截獲通過網(wǎng)絡(luò)的數(shù)據(jù)包，對信息進(jìn)行過濾和分析后得到有用的信息，例如使用sniffer程序竊聽用戶密碼。數(shù)據(jù)竊?。涸谛畔⒌墓蚕砗蛡鬟f過程中，對信息進(jìn)行非法的復(fù)制，例如，非法拷貝數(shù)據(jù)庫重要的商業(yè)信息，盜取用戶的個人信息等。數(shù)據(jù)篡改：在信息的共享和傳遞過程中，對信息進(jìn)行非法的修改，例如，刪除系統(tǒng)的重要文件，破壞數(shù)據(jù)庫等。拒絕服務(wù)：使用大量無意義的服務(wù)請求來占用系統(tǒng)的網(wǎng)絡(luò)帶寬、CPU處理能力和10能力，造成系統(tǒng)癱瘓，無法對外提供服務(wù)。典型的例子就是2000年年初黑客對Yahoo等大型的攻擊。黑客的攻擊往往造成重要數(shù)據(jù)丟失、敏感信息被竊取、主機(jī)資源被利用和網(wǎng)絡(luò)癱瘓等嚴(yán)重后果，如果是對軍用和政府網(wǎng)絡(luò)的攻擊，還會對國家安全造成嚴(yán)重威脅。網(wǎng)絡(luò)與信息安全平臺的任務(wù)網(wǎng)絡(luò)與信息安全平臺的任務(wù)就是創(chuàng)建一個完善的安全防護(hù)體系，對所有非法網(wǎng)絡(luò)行為，如越權(quán)訪問、病毒傳播、惡意破壞等等，事前預(yù)防、事中報警并阻止，事后能有效的將系統(tǒng)恢復(fù)。在上文對黑客行為的描述中，我們可以看出，網(wǎng)絡(luò)上任何一個安全漏洞都會給黑客以可乘之機(jī)。著名的木桶原理（木桶的容量由其最短的木板決定）在網(wǎng)絡(luò)安全里尤其適用。所以，我們的方案必須是一個完整的網(wǎng)絡(luò)安全解決方案，對網(wǎng)絡(luò)安全的每一個環(huán)節(jié)，都要有仔細(xì)的考慮。網(wǎng)絡(luò)安全解決方案的組成針對前文對黑客入侵的過程的描述，為了更為有效的保證網(wǎng)絡(luò)安全，方正數(shù)碼提出了兩個理念：立體安全防護(hù)體系和安全服務(wù)支持。首先網(wǎng)絡(luò)的安全決不僅僅是一個防火墻，它應(yīng)是包括入侵測檢（IDS）、虛擬專用網(wǎng)（VPN）等功能在的立體的安全防護(hù)體系；其次真正的網(wǎng)絡(luò)安全一定要配備完善的高質(zhì)量的安全維護(hù)服務(wù)，以使安全產(chǎn)品充分發(fā)揮出其真正的安全效力。一個好的網(wǎng)絡(luò)安全解決方案應(yīng)該由如下幾個部分組成：防火墻：對網(wǎng)絡(luò)攻擊的阻隔防火墻是保證網(wǎng)絡(luò)安全的重要屏障。防火墻根據(jù)網(wǎng)絡(luò)流的來源和訪問的目標(biāo)，對網(wǎng)絡(luò)流進(jìn)行限制，允許合法網(wǎng)絡(luò)流，并禁止非法網(wǎng)絡(luò)流。防火墻最大的意義在網(wǎng)絡(luò)邊界處提供統(tǒng)一的安全策略，有效的將復(fù)雜的網(wǎng)絡(luò)安全問題簡化，大大降低管理成本和潛在風(fēng)險。在應(yīng)用防火墻技術(shù)時，正確的劃分網(wǎng)絡(luò)邊界和制定完善的安全策略是至關(guān)重要的。發(fā)展到今天，好的防火墻往往集成了其他一些安全功能。比如方正方御防火墻在很好的實(shí)現(xiàn)了防火墻功能的同時，也實(shí)現(xiàn)了下面所說的入侵檢測功能；入侵檢測（IDS）:對攻擊試探的預(yù)警當(dāng)黑客試探攻擊時，大多采用一些已知的攻擊方法來試探。網(wǎng)絡(luò)安全漏洞掃描器是“先敵發(fā)現(xiàn)”，未雨綢繆。而從另外一個角度考慮問題，“實(shí)時監(jiān)測”，發(fā)現(xiàn)黑客攻擊的企圖，對于網(wǎng)絡(luò)安全來說也是非常有意義的。甚至由此派生出了P'2DR理論。入侵檢測系統(tǒng)通過掃描網(wǎng)絡(luò)流里的特征字段（網(wǎng)絡(luò)入侵檢測），或者探測系統(tǒng)的異常行為（主機(jī)入侵檢測），來發(fā)覺這類攻擊的存在。一旦被發(fā)現(xiàn)，則報警并作出相應(yīng)處理，同時可以根據(jù)預(yù)定的措施自動反應(yīng)，比如暫時封掉發(fā)起該掃描的IP。需要注意的是，入侵檢測系統(tǒng)目前不能，以后也很難，精確的發(fā)現(xiàn)黑客的攻擊痕跡。事實(shí)上，黑客可以將一些廣為人知的網(wǎng)絡(luò)攻擊進(jìn)行一些較為復(fù)雜的變形，就能做到?jīng)]有入侵檢測系統(tǒng)能夠識別出來。所以，在應(yīng)用入侵檢測系統(tǒng)時，千萬不要因?yàn)橛辛巳肭謾z測系統(tǒng)，就不對系統(tǒng)中的安全隱患進(jìn)行及時補(bǔ)救。安全審計管理安全審計系統(tǒng)必須實(shí)時監(jiān)測網(wǎng)絡(luò)上和用戶系統(tǒng)中發(fā)生的各類與安全有關(guān)的事件，如網(wǎng)絡(luò)入侵、部資料竊取、泄密行為、破壞行為、違規(guī)使用等，將這些情況真實(shí)記錄，并能對于嚴(yán)重的違規(guī)行為進(jìn)行阻斷。安全審計系統(tǒng)所做的記錄如同飛機(jī)上的黑匣子，在發(fā)生網(wǎng)絡(luò)犯罪案件時能夠提供寶貴的偵破和取證輔助數(shù)據(jù)，并具有防銷毀和篡改的特性。安全審計跟蹤機(jī)制的容是在安全審計跟蹤中記錄有關(guān)安全的信息，而安全審計管理的容是分析和報告從安全審計跟蹤中得來的信息。安全審計跟蹤將考慮要選擇記錄什么信息以及在什么條件下記錄信息。收集審計跟蹤的信息，通過列舉被記錄的安全事件的類別（例如對安全要求的明顯違反或成功操作的完成），能適應(yīng)各種不同的需要。已知安全審計的存在可對某些潛在的侵犯安全的攻擊源起到威攝作用。防病毒以及特洛伊木馬計算機(jī)病毒的危害不言而喻，計算機(jī)病毒發(fā)展到今天，已經(jīng)和特洛伊木馬結(jié)合起來，成為黑客的又一利器。微軟的原碼失竊案，據(jù)信，就是一黑客使用特洛伊木馬所為。?安全策略的實(shí)施保證網(wǎng)絡(luò)安全知識的普及，網(wǎng)絡(luò)安全策略的嚴(yán)格執(zhí)行，是網(wǎng)絡(luò)安全最重要的保障。此外，信息備份是信息安全的最起碼的要求。能減少惡意網(wǎng)絡(luò)攻擊或者意外災(zāi)害帶來的破壞性損失。超高安全要求下的網(wǎng)絡(luò)保護(hù)認(rèn)證與授權(quán)認(rèn)證與授權(quán)是一切網(wǎng)絡(luò)安全的根基所在，尤其在網(wǎng)絡(luò)安全管理、外部網(wǎng)絡(luò)訪問部網(wǎng)絡(luò)（包括撥號）時，要有非常嚴(yán)格的認(rèn)證與授權(quán)機(jī)制，防止黑客假冒身份滲透進(jìn)部網(wǎng)絡(luò)。對于部訪問，也要有完善的網(wǎng)絡(luò)行為審計記錄和權(quán)限限定，防止由部人員發(fā)起的攻擊 70%以上的攻擊都是部人員發(fā)起的。我們建議電信分公司網(wǎng)絡(luò)安全系統(tǒng)利用基于X.509證書的認(rèn)證體系（目前最強(qiáng)的認(rèn)證體系）來進(jìn)行認(rèn)證。方正方御防火墻管理也是用X.509證書進(jìn)行認(rèn)證的。網(wǎng)絡(luò)隔離網(wǎng)絡(luò)安全界的一個玩笑就是：要想安全，就不要插上網(wǎng)線。這是一個簡單的原理：如果網(wǎng)絡(luò)是隔離開的，那么網(wǎng)絡(luò)攻擊就失去了其存在的介質(zhì)，皮之不存，毛將焉附。但對于需要和外界溝通的實(shí)際應(yīng)用系統(tǒng)來說，完全的物理隔離是行不通的。方正數(shù)碼提出了安全數(shù)據(jù)通道網(wǎng)絡(luò)隔離解決方案，在網(wǎng)絡(luò)連通條件下，通過破壞網(wǎng)絡(luò)攻擊得以進(jìn)行的另外兩個重要條件：?從外部網(wǎng)絡(luò)向部網(wǎng)絡(luò)發(fā)起連接?將可執(zhí)行指令傳送到部網(wǎng)絡(luò)從而確保電信分公司網(wǎng)絡(luò)安全系統(tǒng)的安全。.實(shí)施保證電信分公司網(wǎng)絡(luò)安全系統(tǒng)牽涉網(wǎng)點(diǎn)眾多，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜。要保護(hù)這樣一個繁雜的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)安全，必須有完善的管理保證。安全系統(tǒng)要能夠提供統(tǒng)一的集中的靈活的管理機(jī)制，一方面要能讓電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)控中心的網(wǎng)管人員監(jiān)控整體網(wǎng)絡(luò)安全狀況，另外一方面，要能讓地方網(wǎng)管人員靈活處理具體事務(wù)。方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機(jī)對多臺方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級權(quán)限機(jī)制，分為管理員，策略員和審計員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機(jī)制，這樣他們共同地負(fù)責(zé)起一個安全的管理平臺。事實(shí)上，方御防火墻是通過該標(biāo)準(zhǔn)認(rèn)證的第一個包過濾防火墻。另外，方正方御防火墻還提供了原標(biāo)準(zhǔn)中沒有強(qiáng)制執(zhí)行的實(shí)施域分組授權(quán)機(jī)制，尤其適合于電信分公司網(wǎng)絡(luò)安全系統(tǒng)這樣的網(wǎng)絡(luò)。

2.安全架構(gòu)分析與設(shè)計網(wǎng)絡(luò)結(jié)構(gòu)部分一網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示：網(wǎng)絡(luò)結(jié)構(gòu)部分一這部分網(wǎng)絡(luò)主要目的防護(hù)部的小型機(jī)網(wǎng)絡(luò)和財務(wù)服務(wù)器，詳細(xì)分析如下：在兩臺5000上面通過交換技術(shù)放置防火墻，可以保證了部計費(fèi)服務(wù)器系統(tǒng)的網(wǎng)絡(luò)安全?？紤]以后的擴(kuò)展性，建議使用方御專業(yè)級防火墻。財務(wù)服務(wù)器和5000連接，因此其中放置一臺防火墻，可以保障合法的訪問，由于這種情況可以使用方御橋式防火墻。由于撥號服務(wù)器上面配置了認(rèn)證模塊，因此為了保障二級訪問的可靠

性，可以以后考慮在認(rèn)證后面放置防火墻。網(wǎng)絡(luò)結(jié)構(gòu)部分二語音/傳真

服務(wù)器甯語音/傳真

服務(wù)器甯??霍隹網(wǎng)絡(luò)結(jié)構(gòu)示意圖二防火墻在中心三層交換機(jī)前面進(jìn)行放置，可以有效的包含后面所以的服務(wù)器，包括應(yīng)用服務(wù)器、OA服務(wù)器、數(shù)據(jù)庫服務(wù)器、CTI/CCS/IVR服務(wù)器、短信息服務(wù)器和語音/傳真服務(wù)器。集中管理和分級管理由于電信分公司網(wǎng)絡(luò)安全系統(tǒng)涉及的網(wǎng)絡(luò)安全設(shè)備繁多，因此在管理上面需要既能集中管理，又可以在本地進(jìn)行審計管理，日志查詢等操作。而用戶的權(quán)限機(jī)制分配必須通過網(wǎng)絡(luò)管理中心統(tǒng)一分配和管理。需要集中管理的網(wǎng)絡(luò)設(shè)備包括防火墻設(shè)備。在電信分公司網(wǎng)絡(luò)安全系統(tǒng)網(wǎng)絡(luò)管理中心需要對各地方的網(wǎng)絡(luò)安全設(shè)備進(jìn)行集中管理。分析電信分公司網(wǎng)絡(luò)安全系統(tǒng)的特點(diǎn)和需求，方正方御防火墻的集中管理功能和權(quán)限管理機(jī)制完全可以滿足這些需求。方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。可以通過一個控制機(jī)對多臺方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻采用了三級權(quán)限機(jī)制，分為管理員，策略員和審計員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機(jī)制。這樣他們共同的負(fù)責(zé)起一個安全的管理平臺。電信分公司網(wǎng)絡(luò)安全系統(tǒng)的集中管理圖如下所示：

3.產(chǎn)品選型防火墻與入侵檢測的選型我們采用方正最新型方正方御防火墻。方正方御防火墻是一個很優(yōu)秀的防火墻，同時它集成強(qiáng)大的入侵檢測功能。方正方御防火墻是國第一個通過公安部公共信息網(wǎng)絡(luò)安全監(jiān)督局新防火墻認(rèn)證標(biāo)準(zhǔn)的包過濾級防火墻產(chǎn)品，同時通過了中國人民解放軍安全測評認(rèn)證中心和中國國家信息安全測評認(rèn)證中心的嚴(yán)格認(rèn)證。方正數(shù)碼公司簡介作為方正集團(tuán)互聯(lián)網(wǎng)戰(zhàn)略的實(shí)施者，方正數(shù)碼將自身定位于電子商務(wù)的“賦能者”，其業(yè)務(wù)涉及互聯(lián)網(wǎng)與電子商務(wù)的技術(shù)研究應(yīng)用與系統(tǒng)集成、網(wǎng)絡(luò)市場營銷服務(wù)、空間信息應(yīng)用、無線互聯(lián)以及電子商務(wù)的咨詢服務(wù)等方向，以幫助政府、行業(yè)、企業(yè)、、電子商務(wù)的運(yùn)營者在互聯(lián)網(wǎng)時代健康成功的發(fā)展為己任。要給電子商務(wù)運(yùn)營者賦能，先要給安全賦能。方正數(shù)碼首先推出的就是方正方御互聯(lián)網(wǎng)安全解決方案。方正方御是在經(jīng)過一年多的大量投入和深入的研究后，提出的一套基于中國國情、全部自主開發(fā)、具有領(lǐng)先優(yōu)勢的解決方案。它是一套整體的集群平臺，可以解決互聯(lián)網(wǎng)運(yùn)營商最為關(guān)切的安全性、高可靠性、可擴(kuò)展性和易于遠(yuǎn)程管理的問題。目前這套方案已經(jīng)得到國家有關(guān)部門的大力支持，被國家經(jīng)貿(mào)委列為國家創(chuàng)新計劃項(xiàng)目之一。另外，還得到了國家”863”計劃的支持。在立身自主開發(fā)外，方正數(shù)碼還與眾多國際知名的安全公司保持著良好的合作關(guān)系，并集成了國外最優(yōu)秀的公司安全產(chǎn)品，為國Internet的安全建設(shè)保駕護(hù)航。產(chǎn)品概述方御防火墻是方正方御中的主要安全產(chǎn)品之一。由于防火墻技術(shù)的針對性很強(qiáng)，它已成為實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要保障之一。方御防火墻是通過對國外防火墻產(chǎn)品的綜合分析，針對我們國家的具體應(yīng)用環(huán)境，結(jié)合國外防火墻領(lǐng)域里的最新發(fā)展，在面向IDC和中小企業(yè)的FireBridge防火墻的基礎(chǔ)上，提出的一種具有強(qiáng)大的信息分析功能、高效包過濾功能、多種反電子欺騙手段、多種安全措施綜合運(yùn)用的安全可靠的專用防火墻系統(tǒng)。方正方御防火墻不僅僅是一個包過濾的防火墻，而且包括了大量的實(shí)用模

塊，可以為用戶提供多方面的服務(wù)。方御防火墻保護(hù)如下模塊：集中管理集中管理系統(tǒng)特點(diǎn)一體化的硬件設(shè)計方正方御防火墻采用了一體化的硬件設(shè)計，采用了自己的操作系統(tǒng)，無需其他操作系統(tǒng)的支持，這樣能夠發(fā)揮硬件的最大性能，同時也提高了系統(tǒng)的安全性。雙機(jī)熱備份通過雙機(jī)熱備份，本系統(tǒng)提供可靠的容錯/熱待機(jī)功能。備份防火墻服務(wù)器中存有主防火墻服務(wù)器的設(shè)置鏡像，當(dāng)主防火墻因?yàn)槟承┰虿荒苷＿\(yùn)作，備份服務(wù)器可以在

12秒鐘取代主服務(wù)器運(yùn)作，充分保證整個網(wǎng)絡(luò)系統(tǒng)運(yùn)作的穩(wěn)定性。完善的訪問控制方正方御防火墻符合國家最新防火墻安全標(biāo)準(zhǔn)，采用了三級權(quán)限機(jī)制吩為管理員，策略員和審計員。管理員負(fù)責(zé)防火墻的開關(guān)及日常維護(hù)，策略員負(fù)責(zé)配置防火墻的包過濾和入侵檢測規(guī)則，審計員負(fù)責(zé)日志的管理和審計中的授權(quán)機(jī)制。這樣他們共同地負(fù)責(zé)起一個安全的管理平臺。多種工作模式方正方御防火墻可以工作在網(wǎng)橋路由兩種模式下，這樣可以方便用戶使用。使用在網(wǎng)橋模式時在IP層透明，使用路由模式時可以作為三個區(qū)之間的路由器，同時提供網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換。防御DOS，DDOS攻擊普通的防火墻都是采用限制每一網(wǎng)絡(luò)地址單位時間通過的SYN包數(shù)量來抵御DDOS攻擊，但是通常網(wǎng)絡(luò)攻擊者都會隨機(jī)的偽造網(wǎng)絡(luò)地址，因此這種方法防的效果非常差，不能從根本上抵御DDOS攻擊。方正方御防火墻修改了TCP/IP堆棧的算法，使得新的syn連接包可以正常通過，避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。

狀態(tài)檢測方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時還對任何網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是根據(jù)規(guī)則表進(jìn)行匹配，而方正方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合來對網(wǎng)絡(luò)狀態(tài)進(jìn)行控制。代理服務(wù)用戶可以設(shè)置代理服務(wù)器端口來啟動代理服務(wù)器功能，而且通過設(shè)置使用代理服務(wù)器用戶密碼和訪問控制來維護(hù)安全性。代理服務(wù)的訪問控制非常的完善，可以對時間、協(xié)議、方法、地址、DNS域、目的端口和URL來進(jìn)行控制。用戶完全可以通過設(shè)置一定的條件來符合自己的要求。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換系統(tǒng)支持動態(tài)、靜態(tài)、雙向的NAT。當(dāng)用戶需要從部IP訪問Internet時，NAT系統(tǒng)會從IP池里取出一個合法的InternetIP，為該用戶建立映射。如果需要在Intranet提供讓外部訪問的服務(wù)（如WWW、FTP等），NAT系統(tǒng)可以為Intranet里的服務(wù)器建立靜態(tài)映射，外部用戶可以直接訪問該服務(wù)器。雙向網(wǎng)絡(luò)地址轉(zhuǎn)換為企業(yè)用戶連接到Internet

提供了良好的網(wǎng)絡(luò)地址隱蔽，并且能減少IP占用，替用戶節(jié)省費(fèi)用。提供DMZ區(qū)除了部網(wǎng)絡(luò)界面和外部網(wǎng)絡(luò)界面，系統(tǒng)還可以再增加一個網(wǎng)絡(luò)界面，讓管理員靈活應(yīng)用。如建立DMZ（軍事獨(dú)立區(qū)），在其中放置公共應(yīng)用服務(wù)器。帶寬管理和流量統(tǒng)計方正方御防火墻系統(tǒng)使用流量統(tǒng)計與控制策略，可方便的根據(jù)網(wǎng)段和主機(jī)等對流量進(jìn)行統(tǒng)計與控制管理。用戶可以通過設(shè)置源地址到目的地址單位在時間允許通過的流量以及協(xié)議和端口來進(jìn)行帶寬控制。日志審計審計功能是方正方御防火墻非常強(qiáng)大的一個部分，目前國防火墻的審計功能都非常不完善，方正方御防火墻提供了大量的審計容和對審計容的查詢功能，由于日志可能對一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而其中每一部分都可以進(jìn)行查詢和管理，這樣用戶就能對防火墻的情況有一個非常透徹的了解。入侵檢測方正方御防火墻入侵檢測系統(tǒng)采用了可擴(kuò)展的檢測庫方法目前可以抵御1000多種攻擊方法，而且可以通過升級檢測庫的方法

來不斷的抵御新的攻擊方法。用戶還可以自定義攻擊檢測庫來符合自己的要求。自動報警和防系統(tǒng)方正方御防火墻一旦檢測到有黑客進(jìn)行攻擊，會在第一時間在控制機(jī)上進(jìn)行報警，而且同時會自動封禁掉攻擊者的IP地址，這樣可以做到防火墻的防完全自動化，而不象普通的防火墻那樣需要人工干預(yù)?；赑KI的授權(quán)認(rèn)證方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。快速安裝配置方正方御防火墻的安裝和配置非常方便，管理員只要設(shè)定好網(wǎng)絡(luò)設(shè)備的地址，然后使用系統(tǒng)提供的一些典型配置模板，適當(dāng)?shù)男薷囊恍┮?guī)則來符合要求。除此以外還可以添加系統(tǒng)提供的一些子模板來實(shí)現(xiàn)一些特定的功能。圖形管理界面用戶可以通過圖形界面對防火墻進(jìn)行配置和管理。而且也可以通過圖形界面來管理審計容，而不象有些防火墻是通過命令行方式進(jìn)行配置。

完全中國化的設(shè)計 方正方御防火墻是由方正數(shù)碼自行設(shè)計和制作的，充分考慮了中國國情，除了界面、幫助文檔、使用說明完全中文化外，還加入了一些小型模板用戶給管理員配置防火墻。集中管理 方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作?？梢酝ㄟ^一個控制機(jī)對多臺方正方御防火墻進(jìn)行集中式的管理。方正方御防火墻功能說明.多種工作模式方正方御防火墻可以工作在網(wǎng)橋和路由兩種模式下：A:網(wǎng)橋模式：3個端口構(gòu)成一個以太網(wǎng)交換機(jī)，防火墻本身沒有IP地址，在IP層透明。可以將任意三個物理網(wǎng)絡(luò)連接起來構(gòu)成一個互通的物理網(wǎng)絡(luò)。當(dāng)防火墻工作在交換模式時，網(wǎng)、DMZ區(qū)和路由器的部端口構(gòu)成一個統(tǒng)一的交換式物理子網(wǎng)，網(wǎng)和DMZ區(qū)還可以有自己的第二級路由器，這種模式不需要改變原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和各主機(jī)和設(shè)備的網(wǎng)絡(luò)設(shè)置。B:路由模式：防火墻本身構(gòu)成3個網(wǎng)絡(luò)間的路由器，3個界面分別具有不同的IP地址。三個網(wǎng)絡(luò)中的主機(jī)通過該路由進(jìn)行通信。當(dāng)防火墻工作在路由模式時，可以作為三個區(qū)之間的路由器，同時提供網(wǎng)到外網(wǎng)、DMZ到外網(wǎng)的網(wǎng)絡(luò)地址轉(zhuǎn)換，也就是說，網(wǎng)和DMZ都可以使用保留地址，網(wǎng)用戶通過地址轉(zhuǎn)換訪問Internet，同時隔絕Internet對網(wǎng)的訪問，DMZ區(qū)通過反向地址轉(zhuǎn)換對Internet提供服務(wù)。在安裝了方正方御防火墻的時候網(wǎng)絡(luò)結(jié)構(gòu)圖如下:DataBaseDataBase.包過濾防火墻方正方御防火墻包過濾的功能是對指定IP包進(jìn)行包過濾，并且按照設(shè)定策略對IP包進(jìn)行統(tǒng)計和日志記錄，主要根據(jù)IP包的如下信息進(jìn)行過濾：源IP地址目的IP地址協(xié)議類型(IP、ICMP、TCP、UDP)源TCP/UDP端口目的TCP/UDP端口ICMP報文類型域和代碼域?碎片包其它標(biāo)志位，如SYN，ACK位Web.1.高效的過濾有些防火墻在安裝上以后對WEB服務(wù)器的吞吐能力影響很大造成性能的降低。由于方正方御防火墻采用了3I(IntelligentIPIdentifying)技術(shù)，能夠?qū)崿F(xiàn)快速匹配。因此方正方御防火墻不會對性能造成任何影響。方正方御防火墻優(yōu)化了算法，使最大并發(fā)連接數(shù)可以達(dá)到300,000個以上，而一般的防火墻的最大并發(fā)連接只可以達(dá)到幾萬個左右。.2.碎片處理功能由于很多系統(tǒng)平臺，包括一些路由器對IP碎片的處理存在問題，容易產(chǎn)生欺騙和拒絕服務(wù)等攻擊，方正方御防火墻能夠識別出IP碎片并且進(jìn)行控制，這樣一來通過禁止IP碎片通過方正方御防火墻，防止了這樣的問題的產(chǎn)生。防SYNFlood攻擊一些TCP/IP棧的實(shí)現(xiàn)只能等待從有限數(shù)量的計算機(jī)發(fā)來的ACK消息，因?yàn)樗麄冎挥杏邢薜拇婢彌_區(qū)用于創(chuàng)建連接，如果這一緩沖區(qū)充滿了虛假連接的初始信息，該服務(wù)器就會對接下來的連接停止響應(yīng)，直到緩沖區(qū)里的連接企圖超時。典型的就是SynFlood攻擊，通過大量的虛假的Syn包使服務(wù)器速度變慢，甚至是死機(jī)。一般的防火墻是通過限制每秒鐘通過的Syn包數(shù)量來組織SynFlood攻擊，這種方法可以在一定意義上阻止SynFlood攻擊，但是也有可能將正常的Syn包忽略掉，因此不是一種非常好的方法。方正方御防火墻使用了兩種方式來反SynFlood攻擊，一種方法就是通過設(shè)置單位時間的SYN包數(shù)量來控制，另外一種方法修改了TCP/IP堆棧的算法，使得新Syn包始終可以獲得連接位避免了由于大量的攻擊SYN包造成網(wǎng)絡(luò)的阻塞。.4.強(qiáng)大的狀態(tài)檢測功能方正方御防火墻可以根據(jù)數(shù)據(jù)包的地址、協(xié)議和端口進(jìn)行訪問控制，同時還對任何網(wǎng)絡(luò)連接和會話的當(dāng)前狀態(tài)進(jìn)行分析和監(jiān)控。傳統(tǒng)的防火墻的包過濾只是與規(guī)則表進(jìn)行匹配，而方正方御防火墻對每個連接，作為一個數(shù)據(jù)流，通過規(guī)則表與連接表共同配合，在繼承了傳統(tǒng)包過濾系統(tǒng)對應(yīng)用透明的特性外，還極提高了系統(tǒng)的性能和安全性。其他的防火墻大多采用傳統(tǒng)的規(guī)則表的匹配方法，隨著安全規(guī)則的增加，勢必會使防火墻的性能大幅度的減少，造成網(wǎng)絡(luò)擁塞。1：沒有安裝方御防火墻

網(wǎng)絡(luò)層網(wǎng)絡(luò)層.IDS（入侵檢測系統(tǒng)）.1.反端口掃描一般黑客如果要對一個發(fā)動攻擊，首先都要掃描目標(biāo)服務(wù)器的端口，確定服務(wù)器上開啟的服務(wù)，然后做出相應(yīng)的入侵方式。方正方御防火墻入侵檢測系統(tǒng)能夠在黑客掃描的時候就能檢測到并報警，這樣就能提前將黑客拒之于門外。方正方御防火墻入侵檢測系統(tǒng)在檢測到有黑客掃描服務(wù)器端口的時候會立即在攻擊者的視野中消失，從而使黑客無法進(jìn)行后面的攻擊。方正方御防火墻入侵檢測系統(tǒng)根據(jù)配置文件監(jiān)控任何和TCP、UDP端口的連接。可以對全部端口同時進(jìn)行監(jiān)控，同時也可以忽略指定的端口。這樣就能滿足不同的需求方式。.2.可以防1000余種攻擊方式檢測多種DoS攻擊檢測多種DDoS攻擊檢測保護(hù)子網(wǎng)中是否存在后門和木馬程序檢測多種針對Finger服務(wù)的攻擊檢測多種針對FTP服務(wù)的攻擊檢測基于NetBIOS的攻擊檢測緩沖區(qū)溢出類型攻擊&檢測基于RPC的攻擊檢測基于SMTP的攻擊檢測基于Telnet的攻擊檢測網(wǎng)絡(luò)上傳輸?shù)牟《竞腿湎x檢測CGI攻擊檢測針對WEBServer的FrontPage擴(kuò)展進(jìn)行的攻擊檢測針對WEBServer的ColdFusion擴(kuò)展進(jìn)行的攻擊檢測針對MicrosoftIISserver進(jìn)行的攻擊檢測利用ICMP進(jìn)行的掃描和攻擊。檢測利用Traceroute對網(wǎng)絡(luò)的探測檢測ActiveX，JaveApplet的傳輸檢測對其他可能的網(wǎng)絡(luò)服務(wù)進(jìn)行的攻擊.3.在線升級和實(shí)時報警由于入侵檢測系統(tǒng)的庫文件是需要不斷的更新，因此方正方御防火墻提供了非常方便的升級接口，可以通過我們的進(jìn)行在線升級，而且我們提供了非常方便的用戶升級界面，使升級工作可以非常方便的完成。報警是否能夠及時是衡量一個入侵檢測系統(tǒng)的重要因素之一，如果在黑客剛剛進(jìn)行攻擊的時候就能夠做出響應(yīng)，那么管理員會有足夠的時間進(jìn)行防護(hù)。方正方御防火墻的報警系統(tǒng)和入侵檢測系統(tǒng)的協(xié)調(diào)工作幾乎是一致的，一旦入侵檢測系統(tǒng)檢測到攻擊，報警系統(tǒng)會馬上做出反應(yīng)，通過Email或手機(jī)通知管理員。同時會啟動自動防系統(tǒng)進(jìn)行防。入侵檢測和防火墻的互動通過通信行為跟蹤，防火墻能夠檢測到對網(wǎng)絡(luò)的多種掃描，檢測到對網(wǎng)絡(luò)的攻擊行為，并能夠?qū)粜袨檫M(jìn)行響應(yīng)，包括自動防及用戶自定義安全響應(yīng)策略等。雙機(jī)熱備方正方御防火墻系統(tǒng)能夠在網(wǎng)絡(luò)中智能地尋找與其對等的備份機(jī)，并且使備份機(jī)自動進(jìn)入等待狀態(tài)，而一旦備份機(jī)發(fā)現(xiàn)主工作機(jī)失效，可及時自動啟動，防止網(wǎng)絡(luò)中斷事故的發(fā)生。其智能識別技術(shù)甚至可以支持多于兩臺以上的方正方御防火墻在網(wǎng)絡(luò)上互為備份，適用于對可靠性要求極高的場合。強(qiáng)大的審計功能審計功能是方正方御防火墻非常強(qiáng)大的一個部分，目前國防火墻的審計功能都非常不完善，方正方御防火墻提供了大量的審計容和對審計容的查詢功能，由于日志可能對一般用戶比較難以理解，而我們將日志記錄分成了若干部分，而且就每一個部分都是可以進(jìn)行查詢和管理的，這樣一來就可以使用戶對防火墻的情況有一個非常透徹的了解。方正方御防火墻中審計功能有著非常完善的權(quán)限管理，有專門的審計員來對審計容進(jìn)行管理，在審計中又分成了若干級別的權(quán)限。這樣可以方便管理員管理審計容。.基于PKI的高級授權(quán)認(rèn)證PKI(PublicKeyInfrastrueture)是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機(jī)構(gòu)(CA)和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實(shí)現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認(rèn)證系統(tǒng)，即安全認(rèn)證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。網(wǎng)絡(luò)，特別是Internet網(wǎng)絡(luò)的安全應(yīng)用已經(jīng)離不開PKI技術(shù)的支持。網(wǎng)絡(luò)應(yīng)用中的性、真實(shí)性、完整性、不可否認(rèn)性和存取控制等安全需求只有PKI技術(shù)才能滿足°PKI在國外已經(jīng)開始實(shí)際應(yīng)用。在美國，隨著電子商務(wù)的日益興旺，電子簽名、數(shù)字證書已經(jīng)在實(shí)際中得到了一定程度的應(yīng)用，就連某些國家都已經(jīng)開始接受電子簽名的檔案。方正方御防火墻的授權(quán)認(rèn)證是基于PKI基礎(chǔ)之上，因此完全性極高。有些防火墻的認(rèn)證機(jī)制采用OTP(OnceTimePassword)，或者采用了靜態(tài)口令機(jī)制。比如說，靜態(tài)密碼是用戶和機(jī)器之間共知的一種信息，而其他人不知道，這樣用戶若知道這個口令，就說明用戶是機(jī)器所認(rèn)為的那個人，那么就很容易的控制防火墻。而一次性口令也一樣，用戶和機(jī)器之間必須共知一條通行短語，而這通行短語對外界是完全的。和靜態(tài)口令不同的是，這個通行短語并不在網(wǎng)絡(luò)上進(jìn)行傳輸，所以黑客通過網(wǎng)絡(luò)竊聽是不可能的。當(dāng)時使用起來沒有使用證書認(rèn)證方便。因此方正方御防火墻基于PKI的高級授權(quán)認(rèn)證機(jī)制在技術(shù)上面非常的先進(jìn)，超越了大部分的防火墻產(chǎn)品。.集中管理根據(jù)美國財經(jīng)雜志統(tǒng)計資料表明，30%的入侵發(fā)生在有防火墻的情況下，這些入侵的主要原因并非是防火墻無用，而是由于一般的防火墻的管理及配置相當(dāng)復(fù)雜，要想成功的維護(hù)防火墻，要求防火墻管理員對網(wǎng)絡(luò)安全攻擊的手段及其與系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解，而且防火墻的安全策略無法進(jìn)行集中管理，這些都造成了網(wǎng)絡(luò)安全的失敗。而方正方御防火墻采用基于WindowsGUI的用戶界面進(jìn)行遠(yuǎn)程集中式管理，配置管理界面直觀，易于操作。可以通過一個控制機(jī)對多臺方正方御防火墻進(jìn)行集中式的管理。工程實(shí)施方案測試及驗(yàn)收測試及驗(yàn)收描述在整個項(xiàng)目實(shí)施過程中，有3個重要的驗(yàn)收，它們是單點(diǎn)驗(yàn)收、初驗(yàn)和終驗(yàn)。下面是這三個驗(yàn)收通過的描述：單點(diǎn)驗(yàn)收通過的條件：設(shè)備數(shù)量與合同相符完成上機(jī)、加電、連接網(wǎng)絡(luò)及配置移交(初驗(yàn))測試的定義：買方技術(shù)人員按各方商定好的測試項(xiàng)目及方法對系統(tǒng)進(jìn)行測試。此測試的目的是使整個網(wǎng)絡(luò)系統(tǒng)具有開放業(yè)務(wù)的條件。詳細(xì)的測試方案將和用戶協(xié)商后確定。移交(初驗(yàn))測試通過的條件：買方按測試計劃完成并通過網(wǎng)絡(luò)測試或買方開通業(yè)務(wù)。終驗(yàn)通過的條件：沒有出現(xiàn)雙方認(rèn)可的由于安全產(chǎn)品設(shè)備造成全網(wǎng)不可恢復(fù)的癱瘓沒有出現(xiàn)雙方認(rèn)可的由于安全產(chǎn)品設(shè)備造成單點(diǎn)不可恢復(fù)的癱瘓在試運(yùn)行期間解決了初驗(yàn)遺留的有關(guān)賣方設(shè)備的主要技術(shù)問題及試運(yùn)行期間出現(xiàn)的有關(guān)賣方設(shè)備的主要技術(shù)問題。系統(tǒng)初驗(yàn)初驗(yàn)測試是對網(wǎng)絡(luò)驗(yàn)收所必須進(jìn)行的一項(xiàng)工作,是驗(yàn)證網(wǎng)絡(luò)與應(yīng)用系統(tǒng)是否達(dá)到合同所規(guī)定的要求的必要的手段。初驗(yàn)測試所需要進(jìn)行的工作有：功能測試功能測試主要是為了驗(yàn)證所完成的網(wǎng)絡(luò)系統(tǒng)是否具有合同所描述的或超過合同要求的各項(xiàng)功能，主要有：>網(wǎng)絡(luò)的連通性測試>各應(yīng)用系統(tǒng)功能的實(shí)現(xiàn)網(wǎng)絡(luò)管理功能的實(shí)現(xiàn)實(shí)際數(shù)據(jù)傳輸?shù)臏y試性能測試性能測主要是檢驗(yàn)所完成的網(wǎng)絡(luò)系統(tǒng)的性能優(yōu)劣，主要有：網(wǎng)絡(luò)的承載能力>各網(wǎng)絡(luò)設(shè)備相應(yīng)速度各應(yīng)用系統(tǒng)的服務(wù)提供功能和能力售后服務(wù)和技術(shù)支持方正數(shù)碼一貫以來遵行服務(wù)至上的觀念，既為客戶提供高效可靠的網(wǎng)絡(luò)安全產(chǎn)品，也為客戶提供優(yōu)質(zhì)及時的售后服務(wù)。對電信分公司網(wǎng)絡(luò)安全系統(tǒng)這樣的大型項(xiàng)目，專門提供了完整的服務(wù)解決方案，使客戶無后顧之憂。服務(wù)解決方案由熱線支持、服務(wù)、安裝調(diào)試、現(xiàn)場維護(hù)、產(chǎn)品保修和用戶培訓(xùn)等模塊組成，用戶也可以根據(jù)實(shí)際情況靈活選擇模塊，獲得量身定作的服務(wù)。5.1.售后服務(wù)容為了保證電信分公司網(wǎng)絡(luò)安全系統(tǒng)的安全暢通，方正數(shù)碼對其網(wǎng)絡(luò)安全產(chǎn)品承諾如下售后服務(wù)：支持（周一至周五9:00-18:00，節(jié)假日除外）：電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心在使用本公司網(wǎng)絡(luò)安全產(chǎn)品時如遇到問題，無論是軟件，硬件或是網(wǎng)絡(luò)，都可以從方正數(shù)碼得到支持（8），電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心可以指定一名主要聯(lián)系人及兩名替補(bǔ)聯(lián)系人與方正數(shù)碼技術(shù)支持中心聯(lián)系。一旦接到電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心請求，方正數(shù)碼技術(shù)人員將在規(guī)定時間通過解決或回答電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心的問題。對于非工作日接到的故障，最遲將在下一個工作日響應(yīng)。在線支持：.是一個網(wǎng)絡(luò)安全專題，其中包括方正數(shù)碼的網(wǎng)絡(luò)安全系列產(chǎn)品信息、網(wǎng)絡(luò)安全的各種攻防信息、最新的網(wǎng)絡(luò)安全資料、電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心提出的問題及解答、網(wǎng)絡(luò)安全產(chǎn)品版本升級程序、補(bǔ)丁程序以及其它對用戶解決技術(shù)問題有幫助的信息。Website每天更新，電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理中心可以通過Internet實(shí)時讀取有關(guān)信息?，F(xiàn)場支持（周一至周五9:00-18:00，節(jié)假日除外）：對于通過無法解決的問題，方正數(shù)碼或授權(quán)代理服務(wù)中心將派出工程師到用戶現(xiàn)場為用戶提供現(xiàn)場產(chǎn)品調(diào)試服務(wù)，保證網(wǎng)絡(luò)安全產(chǎn)品在電信分公司網(wǎng)絡(luò)安全系統(tǒng)上正常運(yùn)行。保修服務(wù)：方正數(shù)碼對本公司的網(wǎng)絡(luò)安全產(chǎn)品制訂了為期一年的免費(fèi)保修期，在此期間，方正數(shù)碼將對本公司產(chǎn)品進(jìn)行免費(fèi)維修。免費(fèi)保修期后，方正數(shù)碼仍然提供完善的服務(wù)來保證電信分公司網(wǎng)絡(luò)安全系統(tǒng)的正常運(yùn)行。A安裝服務(wù)：由于網(wǎng)絡(luò)安全產(chǎn)品涉及到較多的網(wǎng)絡(luò)知識和安全知識，如果電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理人員無法自行安裝、配置購買的方正數(shù)碼網(wǎng)絡(luò)安全產(chǎn)品，方正數(shù)碼或授權(quán)代理服務(wù)中心可以派出工程師到用戶現(xiàn)場為用戶提供現(xiàn)場產(chǎn)品安裝服務(wù)。版本升級：我們會通知電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理人員所購產(chǎn)品的版本最新更新信息和最新的黑客攻防情況，確定用戶是否升級。保駕服務(wù)：為了保證電信分公司網(wǎng)絡(luò)安全系統(tǒng)購買的方正數(shù)碼網(wǎng)絡(luò)安全產(chǎn)品長期正常運(yùn)轉(zhuǎn)，如電信分公司網(wǎng)絡(luò)安全系統(tǒng)管理人員需要時，我們可以安排工程師對產(chǎn)品及電信分公司網(wǎng)絡(luò)安全系統(tǒng)產(chǎn)品進(jìn)行定期巡檢服務(wù)，包括定期回訪、設(shè)備檢測、設(shè)備調(diào)試服務(wù)。用戶培訓(xùn)：為用戶提供產(chǎn)品使用和網(wǎng)絡(luò)安全方面的全面培訓(xùn)，協(xié)助用戶提高網(wǎng)絡(luò)安全管理水平，具備一定的網(wǎng)絡(luò)攻防保護(hù)能力。保修方正數(shù)碼對其防火墻產(chǎn)品承諾如下保修服務(wù)：產(chǎn)品一年免費(fèi)保修，隨機(jī)資料及光盤、軟盤、電源線、串口線、網(wǎng)線、包裝材料等不屬于保修圍。保修方式故障譖別：當(dāng)客戶購買的網(wǎng)絡(luò)安全產(chǎn)品發(fā)生故障時，方正數(shù)碼可以提供故障譖別服務(wù)。工程師判斷故障類型后，由客戶決定是否維修。維修服務(wù)：如果產(chǎn)品的保修類別是現(xiàn)場維修，則產(chǎn)品的維修將在客戶的使用現(xiàn)場進(jìn)行。但如果是某些特殊的故障，經(jīng)客戶同意，方正數(shù)碼授權(quán)工程師會將產(chǎn)品帶回維修，并提供一臺備機(jī)以保證用戶網(wǎng)絡(luò)的正常運(yùn)行，在修復(fù)后將原產(chǎn)品送還客戶，并取回備機(jī)。備件更換：經(jīng)過診斷，產(chǎn)品故障較為嚴(yán)重?zé)o法通過其它維修方式進(jìn)行維修的，方正數(shù)碼提供備件更換服務(wù)，并恢復(fù)原用戶產(chǎn)品的配置，以保證用戶網(wǎng)絡(luò)的正常運(yùn)行。保修圍方正數(shù)碼提供的保修服務(wù)不適用于向非授權(quán)代理商處購買的任何網(wǎng)絡(luò)安全產(chǎn)品。也不適用于因以下原因而遭受損壞或出現(xiàn)缺陷的任何網(wǎng)絡(luò)安全產(chǎn)品：地震、火災(zāi)等自然災(zāi)害及意外事故所造成的損壞擅自更換或修改原網(wǎng)絡(luò)安全產(chǎn)品硬件部件因使用網(wǎng)絡(luò)安全產(chǎn)品不當(dāng)造成的任何間接損失經(jīng)方正數(shù)碼或方正數(shù)碼授權(quán)服務(wù)供應(yīng)商之外的人士進(jìn)行修理或維修（以設(shè)備封條為準(zhǔn)）人為原因（有可見的物理性損壞等）造成的硬件損壞＞誤用或?yàn)E用＞磨損或損耗5.5.保修期的確認(rèn)保修期始于購買之日。含有網(wǎng)絡(luò)安全產(chǎn)品購買日期的購買收據(jù)，即為您購買日期的證明。此保修條款僅適用于原始購買人享有。購買網(wǎng)絡(luò)安全產(chǎn)品后，請?zhí)钔妆Ｐ蘅ú⒋丝ǎ跧聯(lián)］以及用戶信息登記卡寄回方正數(shù)碼進(jìn)行用戶注冊，公司收到后，會寄回注冊確認(rèn)函（包含用戶的產(chǎn)品服務(wù)號），用戶憑保修卡及服務(wù)號就可享受各項(xiàng)保修服務(wù)。如果您沒有進(jìn)行用戶注冊，維修時，您需要出示原始購買憑證。若用戶無法提供以上證明，方正數(shù)碼將根據(jù)產(chǎn)品序列號來計算保修日期，即產(chǎn)品出產(chǎn)之日起三（3）個月算起。5.6.培訓(xùn)安排為保證用戶對系統(tǒng)的熟練掌握，方正數(shù)碼公司為用戶提供完善的培訓(xùn)課程。培訓(xùn)目標(biāo)：掌握網(wǎng)絡(luò)安全的基本知識掌握各產(chǎn)品的工作原理能熟練操作配置系統(tǒng)能進(jìn)行日常維護(hù)能熟練地根據(jù)業(yè)務(wù)需要進(jìn)行一定的系統(tǒng)調(diào)整。培訓(xùn)課程：TCP/IP基礎(chǔ)網(wǎng)絡(luò)安全基礎(chǔ)防火墻的實(shí)施和使用防火墻規(guī)則配置分析培訓(xùn)方式：理論授課、上機(jī)實(shí)習(xí)培訓(xùn)時長：3工作日培訓(xùn)地點(diǎn)：方正數(shù)碼培訓(xùn)教室培訓(xùn)人數(shù)：35人入學(xué)要求：計算機(jī)使用熟練：熟悉windows系統(tǒng)具有基本網(wǎng)絡(luò)知識：熟悉路由器、交換機(jī)、集線器等基本網(wǎng)絡(luò)設(shè)備。有組建簡單局域網(wǎng)絡(luò)的能力。有組建簡單TCP/IP網(wǎng)絡(luò)的能力。（有防火墻此類安全產(chǎn)品使用經(jīng)驗(yàn)者更佳）5.7.全國服務(wù)網(wǎng)絡(luò)方正數(shù)碼公司利用其全國服務(wù)網(wǎng)絡(luò)，可以為電信分公司網(wǎng)絡(luò)安全系統(tǒng)在各省市、地方的機(jī)構(gòu)提供本地化的快捷服務(wù)。目前方正數(shù)碼總部在，已在、開設(shè)辦事處，并在、、分別設(shè)技術(shù)支持中心，在全國圍簽有多家授權(quán)服務(wù)提供商。每星期一至星期五（國家法定節(jié)假日除外），每天9:00~18:00可撥打8熱線享受技術(shù)支持，或者訪問我們的.，也可直接與距您最近的辦事處聯(lián)系。我們將調(diào)度最近的服務(wù)商在第一時間提供專為大客戶設(shè)計的更優(yōu)質(zhì)的服務(wù)。場地及環(huán)境準(zhǔn)備常規(guī)要求這一部分描述的工程設(shè)計數(shù)據(jù)是計算機(jī)及網(wǎng)絡(luò)設(shè)備的規(guī)劃和安裝的必要環(huán)境條件標(biāo)準(zhǔn)。機(jī)房電源、地線及同步要求>要求使用不間斷穩(wěn)壓電源供電。>提供穩(wěn)壓的標(biāo)準(zhǔn)交流電源（含UPS）的輸入中心線和輸出中心線不能相聯(lián)，需分別接地，各自構(gòu)成回路，不能交叉。>提供穩(wěn)壓的一48V直流電源。A地線：機(jī)房設(shè)備機(jī)架全部接地，要求接地電阻不大于4歐姆；同時要求從程控交換機(jī)接出的E1中繼所在機(jī)架接地。照明、辦公設(shè)備不得與設(shè)備電源相聯(lián)。電源：電源為單相220伏穩(wěn)壓交流電源。直流電源要求為DC-48V電源。電源輸出距設(shè)備位置不應(yīng)超過3米。設(shè)備場地、通信設(shè)備場地在每一處地點(diǎn)的設(shè)備包括如下容：>機(jī)架。容納防火墻的工作臺。A機(jī)房應(yīng)配備計算機(jī)地板，或相應(yīng)的布線槽位及走線。A通用的工具、工作桌、工作椅應(yīng)準(zhǔn)備好。普通網(wǎng)線至少4根。A普通PC機(jī)一臺。如果需要防火墻遠(yuǎn)程管理，需要一個靜態(tài)IP地址。機(jī)房環(huán)境機(jī)房設(shè)計的環(huán)境如下表：No.項(xiàng)目參考值1房間尺寸請參照所附的規(guī)劃書2空氣條件塵埃，低于0.3mg/m33振動機(jī)房部地面低于0.25G4有害氣體氣體濃度不能高于危害操作員健康和機(jī)器壽命的限度.5地板強(qiáng)度大于等于500kg/m（相當(dāng)于一般寫字樓地面）

6地板表面防靜電材料防塵封材料7樓層高度大于等于2.2m8墻壁和天花板防靜電材料防塵封材料阻燃材料吸音和隔音材料9窗戶為防止對設(shè)備損害，應(yīng)加窗簾防塵和防止鹽類與有害氣體的腐蝕10門最窄不小于1.2m,最高不少于2.0m11保安能防火、防洪水與地震和操作員及設(shè)備安全12衛(wèi)生條件能防鼠患和昆蟲13防火安裝自動火警裝置和滅火器14電場強(qiáng)度W120dB(1V/m)，頻率圍從10KHZ到1GHZ15磁場強(qiáng)度<50Oe（顯示器要求為0.015Oe）16靜電W6KV（試驗(yàn)設(shè)備的要求為150PF/330Ohn）17照明300到700