1、某企業網絡安全綜合設計方案目 錄1 xxx企業網絡分析. 42 網絡威脅、風險分析. 52.1內部竊密和破壞. 52.2 搭線(網絡)竊聽. 52.3 假冒. 52.4 完整性破壞. 52.5 其它網絡的攻擊. 52.6 管理及操作人員缺乏安全知識. 62.7 雷擊. 63 安全系統建設原則. 74 網絡安全總體設計. 94.1 安全設計總體考慮. 94.2 網絡安全. 104.2.1 網絡傳輸. 104.2.2 訪問控制. 124.2.3 入侵檢測. 134.2.4 漏洞掃描. 144.2.5 其它. 144.3 應用系統安全. 144.3.1 系統平臺安全. 144.3.2 應用平臺安全.

2、 144.3.3 病毒防護. 154.3.4 數據備份. 174.3.5 安全審計. 174.3.6 認證、鑒別、數字簽名、抗抵賴. 184.4 物理安全. 184.4.1 兩套網絡的相互轉換. 184.4.2 防電磁輻射. 184.4.3 網絡防雷. 194.4.4 重要信息點的物理保護. 194.5 安全管理. 204.6 安全特性. 215 安全設備要求. 235.1 安全設備選型原則. 235.1.1 安全性要求. 235.1.2 可用性要求. 235.1.3 可靠性要求. 245.2 安全設備的可擴展性. 245.3 安全設備的升級. 246 技術支持與服務. 256.1 保障機制.

3、 256.2 咨詢服務. 256.3 故障響應. 256.4 備件倉庫. 266.5 系統升級. 266.6 性能分析. 266.7 保修服務. 266.8 保修期后的技術支持服務. 266.9 網絡安全培訓. 266.9.1網絡安全管理培訓. 266.9.2 現場操作培訓. 271 企業網絡分析2 網絡威脅、風險分析針對企業現階段網絡系統的網絡結構和業務流程，結合企業今后進行的網絡化應用范圍的拓展考慮，企業網主要的安全威脅和安全漏洞包括以下幾方面：2.1內部竊密和破壞由于企業網絡上同時接入了其它部門的網絡系統，因此容易出現其它部門不懷好意的人員(或外部非法人員利用其它部門的計算機)通過網絡進

4、入內部網絡，并進一步竊取和破壞其中的重要信息(如領導的網絡帳號和口令、重要文件等)，因此這種風險是必須采取措施進行防范的。2.2 搭線(網絡)竊聽這種威脅是網絡最容易發生的。攻擊者可以采用如sniffer等網絡協議分析工具，在internet網絡安全的薄弱處進入internet，并非常容易地在信息傳輸過程中獲取所有信息(尤其是敏感信息)的內容。對xxx企業網絡系統來講，由于存在跨越internet的內部通信(與上級、下級)這種威脅等級是相當高的，因此也是本方案考慮的重點。2.3 假冒這種威脅既可能來自企業網內部用戶，也可能來自internet內的其它用戶。如系統內部攻擊者偽裝成系統內部的其他正

5、確用戶。攻擊者可能通過冒充合法系統用戶，誘騙其他用戶或系統管理員，從而獲得用戶名/口令等敏感信息，進一步竊取用戶網絡內的重要信息。或者內部用戶通過假冒的方式獲取其不能閱讀的秘密信息。2.4 完整性破壞這種威脅主要指信息在傳輸過程中或者存儲期間被篡改或修改，使得信息/數據失去了原有的真實性，從而變得不可用或造成廣泛的負面影響。由于xxx企業網內有許多重要信息，因此那些不懷好意的用戶和非法用戶就會通過網絡對沒有采取安全措施的服務器上的重要文件進行修改或傳達一些虛假信息，從而影響工作的正常進行。2.5 其它網絡的攻擊企業網絡系統是接入到internet上的，這樣就有可能會遭到internet上黑客、

6、惡意用戶等的網絡攻擊，如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降低或癱瘓等。因此這也是需要采取相應的安全措施進行防范。2.6 管理及操作人員缺乏安全知識由于信息和網絡技術發展迅猛，信息的應用和安全技術相對滯后，用戶在引入和采用安全設備和系統時，缺乏全面和深入的培訓和學習，對信息安全的重要性與技術認識不足，很容易使安全設備/系統成為擺設，不能使其發揮正確的作用。如本來對某些通信和操作需要限制，為了方便，設置成全開放狀態等等，從而出現網絡漏洞。由于網絡安全產品的技術含量大，因此，對操作管理人員的培訓顯得尤為重要。這樣，使安全設備能夠盡量發揮其作用，避免使用上的漏

7、洞。2.7 雷擊由于網絡系統中涉及很多的網絡設備、終端、線路等，而這些都是通過通信電纜進行傳輸，因此極易受到雷擊，造成連鎖反應，使整個網絡癱瘓，設備損壞，造成嚴重后果。因此，為避免遭受感應雷擊的危害和靜電干擾、電磁輻射干擾等引起的瞬間電壓浪涌電壓的損壞，有必要對整個網絡系統采取相應的防雷措施。3 安全系統建設原則xxx企業網絡系統安全建設原則為：1)系統性原則企業網絡系統整個安全系統的建設要有系統性和適應性，不因網絡和應用技術的發展、信息系統攻防技術的深化和演變、系統升級和配置的變化，而導致在系統的整個生命期內的安全保護能力和抗御風險的能力降低。2)技術先進性原則企業網絡系統整個安全系統的設計

8、采用先進的安全體系進行結構性設計，選用先進、成熟的安全技術和設備，實施中采用先進可靠的工藝和技術，提高系統運行的可靠性和穩定性。3)管理可控性原則系統的所有安全設備(管理、維護和配置)都應自主可控;系統安全設備的采購必須有嚴格的手續;安全設備必須有相應機構的認證或許可標記;安全設備供應商應具備相應資質并可信。安全系統實施方案的設計和施工單位應具備相應資質并可信。4)適度安全性原則系統安全方案應充分考慮保護對象的價值與保護成本之間的平衡性，在允許的風險范圍內盡量減少安全服務的規模和復雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執行或無法執行。5)技術與管理相結合原則企業網絡系統安

9、全建設是一個復雜的系統工程，它包括產品、過程和人的因素，因此它的安全解決方案，必須在考慮技術解決方案的同時充分考慮管理、法律、法規方面的制約和調控作用。單靠技術或單靠管理都不可能真正解決安全問題的，必須堅持技術和管理相結合的原則。6)測評認證原則企業網絡系統作為重要的政務系統，其系統的安全方案和工程設計必須通過國家有關部門的評審，采用的安全產品和保密設備需經過國家主管理部門的認可。7)系統可伸縮性原則企業網絡系統將隨著網絡和應用技術的發展而發生變化，同時信息安全技術也在發展，因此安全系統的建設必須考慮系統可升級性和可伸縮性。重要和關鍵的安全設備不因網絡變化或更換而廢棄。4 網絡安全總體設計一個

10、網絡系統的安全建設通常包括許多方面，包括物理安全、數據安全、網絡安全、系統安全、安全管理等，而一個安全系統的安全等級，又是按照木桶原理來實現的。根據企業各級內部網絡機構、廣域網結構、和三級網絡管理、應用業務系統的特點，本方案主要從以下幾個方面進行安全設計： 網絡系統安全; 應用系統安全; 物理安全; 安全管理;4.1 安全設計總體考慮根據企業網絡現狀及發展趨勢，主要安全措施從以下幾個方面進行考慮： 網絡傳輸保護主要是數據加密保護 主要網絡安全隔離通用措施是采用防火墻 網絡病毒防護采用網絡防病毒系統 廣域網接入部分的入侵檢測采用入侵檢測系統 系統漏洞分析采用漏洞分析設備 定期安全審計主要包括兩部

11、分：內容審計和網絡通信審計 重要數據的備份 重要信息點的防電磁泄露 網絡安全結構的可伸縮性包括安全設備的可伸縮性，即能根據用戶的需要隨時進行規模、功能擴展 網絡防雷4.2 網絡安全作為企業應用業務系統的承載平臺，網絡系統的安全顯得尤為重要。由于許多重要的信息都通過網絡進行交換，4.2.1 網絡傳輸由于企業中心內部網絡存在兩套網絡系統，其中一套為企業內部網絡，主要運行的是內部辦公、業務系統等;另一套是與internet相連，通過adsl接入，并與企業系統內部的上、下級機構網絡相連。通過公共線路建立跨越internet的企業集團內部局域網，并通過網絡進行數據交換、信息共享。而internet本身就

12、缺乏有效的安全保護，如果不采取相應的安全措施，易受到來自網絡上任意主機的監聽而造成重要信息的泄密或非法篡改，產生嚴重的后果。由于現在越來越多的政府、金融機構、企業等用戶采用vpn技術來構建它們的跨越公共網絡的內聯網系統，因此在本解決方案中對網絡傳輸安全部分推薦采用vpn設備來構建內聯網。可在每級管理域內設置一套vpn設備，由vpn設備實現網絡傳輸的加密保護。根據xxx企業三級網絡結構，vpn設置如下圖所示：圖4-1三級 vpn設置拓撲圖每一級的設置及管理方法相同。即在每一級的中心網絡安裝一臺vpn設備和一臺vpn認證服務器(vpn-ca)，在所屬的直屬單位的網絡接入處安裝一臺vpn設備，由上級

13、的vpn認證服務器通過網絡對下一級的vpn設備進行集中統一的網絡化管理?？蛇_到以下幾個目的： 網絡傳輸數據保護;由安裝在網絡上的vpn設備實現各內部網絡之間的數據傳輸加密保護，并可同時采取加密或隧道的方式進行傳輸 網絡隔離保護;與internet進行隔離，控制內網與internet的相互訪問 集中統一管理，提高網絡安全性; 降低成本(設備成本和維護成本);其中，在各級中心網絡的vpn設備設置如下圖：圖4-2 中心網絡vpn設置圖由一臺vpn管理機對ca、中心vpn設備、分支機構vpn設備進行統一網絡管理。將對外服務器放置于vpn設備的dmz口與內部網絡進行隔離，禁止外網直接訪問內網，控制內網的

14、對外訪問、記錄日志。這樣即使服務器被攻破，內部網絡仍然安全。下級單位的vpn設備放置如下圖所示：圖4-3 下級單位vpn設置圖從圖4-4可知，下屬機構的vpn設備放置于內部網絡與路由器之間，其配置、管理由上級機構通過網絡實現，下屬機構不需要做任何的管理，僅需要檢查是否通電即可。由于安全設備屬于特殊的網絡設備，其維護、管理需要相應的專業人員，而采取這種管理方式以后，就可以降低下屬機構的維護成本和對專業技術人員的要求，這對有著龐大下屬、分支機構的單位來講將是一筆不小的費用。由于網絡安全的是一個綜合的系統工程，是由許多因素決定的，而不是僅僅采用高檔的安全產品就能解決，因此對安全設備的管理就顯得尤為重

15、要。由于一般的安全產品在管理上是各自管理，因而很容易因為某個設備的設置不當，而使整個網絡出現重大的安全隱患。而用戶的技術人員往往不可能都是專業的，因此，容易出現上述現象;同時，每個維護人員的水平也有差異，容易出現相互配置上的錯誤使網絡中斷。所以，在安全設備的選擇上應當選擇可以進行網絡化集中管理的設備，這樣，由少量的專業人員對主要安全設備進行管理、配置，提高整體網絡的安全性和穩定性。4.2.2 訪問控制由于企業廣域網網絡部分通過公共網絡建立，其在網絡上必定會受到來自internet上許多非法用戶的攻擊和訪問，如試圖進入網絡系統、竊取敏感信息、破壞系統數據、設置惡意代碼、使系統服務嚴重降低或癱瘓等

16、，因此，采取相應的安全措施是必不可少的。通常，對網絡的訪問控制最成熟的是采用防火墻技術來實現的，本方案中選擇帶防火墻功能的vpn設備來實現網絡安全隔離，可滿足以下幾個方面的要求： 控制外部合法用戶對內部網絡的網絡訪問; 控制外部合法用戶對服務器的訪問; 禁止外部非法用戶對內部網絡的訪問; 控制內部用戶對外部網絡的網絡; 阻止外部用戶對內部的網絡攻擊; 防止內部主機的ip欺騙; 對外隱藏內部ip地址和網絡拓撲結構; 網絡監控; 網絡日志審計;詳細配置拓撲圖見圖4-1、圖4-2、圖4-3。由于采用防火墻、vpn技術融為一體的安全設備，并采取網絡化的統一管理，因此具有以下幾個方面的優點： 管理、維護

17、簡單、方便; 安全性高(可有效降低在安全設備使用上的配置漏洞); 硬件成本和維護成本低; 網絡運行的穩定性更高由于是采用一體化設備，比之傳統解決方案中采用防火墻和加密機兩個設備而言，其穩定性更高，故障率更低。4.2.3 入侵檢測網絡安全不可能完全依靠單一產品來實現，網絡安全是個整體的，必須配相應的安全產品。作為必要的補充，入侵檢測系統(ids)可與安全vpn系統形成互補。入侵檢測系統是根據已有的、最新的和可預見的攻擊手段的信息代碼對進出網絡的所有操作行為進行實時監控、記錄，并按制定的策略實行響應(阻斷、報警、發送e-mail)。從而防止針對網絡的攻擊與犯罪行為。入侵檢測系統一般包括控制臺和探測

18、器(網絡引擎)?？刂婆_用作制定及管理所有探測器(網絡引擎)。探測器(網絡引擎)用作監聽進出網絡的訪問行為，根據控制臺的指令執行相應行為。由于探測器采取的是監聽而不是過濾數據包，因此，入侵檢測系統的應用不會對網絡系統性能造成多大影響。入侵檢測系統的設置如下圖：從上圖可知，入侵檢測儀在網絡接如上與vpn設備并接使用。入侵檢測儀在使用上是獨立網絡使用的，網絡數據全部通過vpn設備，而入侵檢測設備在網絡上進行疹聽，監控網絡狀況，一旦發現攻擊行為將通過報警、通知vpn設備中斷網絡(即ids與vpn聯動功能)等方式進行控制(即安全設備自適應機制)，最后將攻擊行為進行日志記錄以供以后審查。4.2.4 漏洞掃

19、描作為一個完善的通用安全系統，應當包含完善的安全措施，定期的安全評估及安全分析同樣相當重要。由于網絡安全系統在建立后并不是長期保持很高的安全性，而是隨著時間的推移和技術的發展而不斷下降的，同時，在使用過程中會出現新的安全問題，因此，作為安全系統建設的補充，采取相應的措施也是必然。本方案中，采用漏洞掃描設備對網絡系統進行定期掃描，對存在的系統漏洞、網絡漏洞、應用程序漏洞、操作系統漏洞等進行探測、掃描，發現相應的漏洞并告警，自動提出解決措施，或參考意見，提醒網絡安全管理員作好相應調整。4.2.5 其它對復雜或有特殊要求的網絡環境，在采取安全措施上應當特殊考慮，增加新的安全措施。4.3 應用系統安全

20、4.3.1 系統平臺安全企業各級網絡系統平臺安全主要是指操作系統的安全。由于目前主要的操作系統平臺是建立在國外產品的基礎上，因而存在很大的安全隱患。企業網絡系統在主要的應用服務平臺中采用國內自主開發的安全操作系統，針對通用os的安全問題，對操作系統平臺的登錄方式、文件系統、網絡傳輸、安全日志審計、加密算法及算法替換的支持和完整性保護等方面進行安全改造和性能增強。一般用戶運行在pc機上的nt平臺，在選擇性地用好nt安全機制的同時，應加強監控管理。4.3.2 應用平臺安全企業網絡系統的應用平臺安全，一方面涉及用戶進入系統的身份鑒別與控制，以及使用網絡資源的權限管理和訪問控制，對安全相關操作進行的審

21、計等。其中的用戶應同時包括各級管理員用戶和各類業務用戶。另一方面涉及各種數據庫系統、www服務、e-mail服務、ftp和telnet應用中服務器系統自身的安全以及提供服務的安全。在選擇這些應用系統時，應當盡量選擇國內軟件開發商進行開發，系統類型也應當盡量采用國內自主開發的應用系統。4.3.3 病毒防護因為病毒在網絡中存儲、傳播、感染的方式各異且途徑多種多樣，相應地企業在構建網絡防病毒系統時，應利用全方位的企業防毒產品，實施“層層設防、集中控制、以防為主、防殺結合”的策略。具體而言，就是針對網絡中所有可能的病毒攻擊設置對應的防毒軟件，通過全方位、多層次的防毒系統配置，使網絡沒有薄弱環節成為病毒

22、入侵的缺口。本方案中在選擇殺毒軟件時應當注意幾個方面的要求：具有卓越的病毒防治技術、程序內核安全可靠、對付國產和國外病毒能力超群、全中文產品，系統資源占用低，性能優越、可管理性高，易于使用、產品集成度高、高可靠性、可調配系統資源占用率、便捷的網絡化自動升級等優點。病毒對信息系統的正常工作運行產生很大影響，據統計，信息系統的60%癱瘓是由于感染病毒引起的。 系統設計原則為了更好的解決病毒的防范，一般要求病毒防范系統滿足如下要求： 采用世界最先進的防毒產品與網絡網絡系統的實際需要相結合，確保x網絡系統具有最佳的病毒防護能力的情況下綜合成本最少。 貫徹川大能士“層層設防，集中控管，以防

23、為主、防治結合”的企業防毒策略。在網絡中所有可能的病毒攻擊點或通道中設置對應的防病毒軟件，通過這種全方位的、多層次的防毒系統配置，使企業網絡免遭所有病毒的入侵和危害。 充分考慮網絡的系統數據、文件的安全可靠性，所選產品與現系統具有良好的一致性和兼容性，以及最低的系統資源占用，保證不對現有系統運行產生不良影響。 應用全球最為先進的“實時監控”技術，充分體現趨勢科技“以防為主”的反病毒思想。 所選用產品具備對多種壓縮格式文件的病毒檢測。 所選用產品易于安裝、操作簡便、便于管理和維護，具有友好的用戶界面。 應用經由icsa(國際電腦安全協會)技術認證的掃描引擎，保證對包括各種千面人病毒、變種病毒和黑

24、客程序等具有最佳的病毒偵測率，除對已知病毒具備全面的偵防能力，對未知病毒亦有良好的偵測能力。強調在網絡防毒系統內，實施統一的防病毒策略、集中的防毒管理和維護，最大限度地減輕使用人員和維護人員的工作量。 完全自動化的日常維護，便于進行病毒碼及掃描引擎的更新。 提供良好的售后服務及技術支持。 具有良好的可擴充性，充分保護用戶的現有投資，適應 網絡系統的今后發展需要 產品應用根據企業網絡系統的結構和應用特點，病毒防御可采取多種措施： 網關防毒; 服務器防毒; 客戶端防毒; 郵件防毒;應用拓撲如下圖：圖4-4病毒應用拓撲圖在網絡骨干接入處，安裝防毒墻(即安裝有網關殺毒軟件的獨立網關設備)

25、，由防毒墻實現網絡接入處的病毒防護。由于是安裝在網絡接入處，因此，對主要網絡協議進行殺毒處理(smtp、ftp、http)。在服務器上安裝單獨的服務器殺毒產品，對服務器進行病毒保護。由于內部存在幾十個網絡客戶端，如采用普通殺毒軟件會造成升級麻煩、使用不便等問題?？稍诜掌魃习惭b客戶端防病毒產品(客戶端殺毒軟件的工作模式是服務器端、客戶端的方式)的服務器端，由客戶端通過網絡與服務器端連接后進行網絡化安裝。對產品升級，可通過在服務器端進行設置，自動通過inetrnet進行升級，再由客戶端到服務器端進行升級，大大簡化升級過程，并且整個升級是自動完成，不需要人工操作。對郵件系統，可采取安裝專用郵件殺毒

26、產品，通過在郵件服務器上安裝郵件殺毒程序，實現對內部郵件的殺毒，保證郵件在收、發時都是經過檢查的，確保郵件無毒。通過這種方法，可以達到層層設防的作用，最終實現病毒防護。4.3.4 數據備份作為國家機關，企業內部存在大量的數據，而這里面又有許多重要的、機密的信息。而整個數據的安全保護就顯得特別重要，對數據進行定期備份是必不可少的安全措施。在采取數據備份時應該注意以下幾點： 存儲介質安全在選擇存儲介質上應選擇保存時間長，對環境要求低的存儲產品，并采取多種存儲介質備份。如同時采用硬盤、光盤備份的方式。 數據安全即數據在備份前是真實數據，沒有經過篡改或含有病毒。 備份過程安全確保數據在備份時是沒有受到

27、外界任何干擾，包括因異常斷電而使數據備份中斷的或其它情況。 備份數據的保管對存有備份數據的存儲介質，應保存在安全的地方，防火、防盜及各種災害，并注意保存環境(溫度、濕度等)的正常。同時對特別重要的備份數據，還應當采取異地備份保管的方式，來確保數據安全。對重要備份數據的異地、多處備份(避免類似美國911事件為各公司產生的影響)4.3.5 安全審計作為一個良好的安全系統，安全審計必不可少。由于企業是一個非常龐大的網絡系統，因而對整個網絡(或重要網絡部分)運行進行記錄、分析是非常重要的，它可以讓用戶通過對記錄的日志數據進行分析、比較，找出發生的網絡安全問題的原因，并可作為以后的法律證據或者為以后的網

28、絡安全調整提供依據。4.3.6 認證、鑒別、數字簽名、抗抵賴由于企業網絡系統龐大，上面存在很多分級的重要信息;同時，由于現在國家正在大力推進電子政務的發展，網上辦公已經越來越多的被應用到各級政府部門當中，因此，需要對網上用戶的身份、操作權限等進行控制和授權。對不同等級、類型的信息只允許相應級別的人進行審閱;對網上公文的處理采取數字簽名、抗抵賴等相應的安全措施。4.4 物理安全企業網絡系統的物理安全要求是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災和雷擊等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。4.4.1 兩套網絡的相互轉換由于企業內部網絡系統具有兩套網絡，

29、這兩套網絡系統是完全物理隔離的，而企業內部有部分用戶需要兩個網絡都要接入，這就涉及到兩個網絡之間的相互切換問題。而現在的實際使用是采用手工拔插網線的方式進行切換，這使得使用中非常不方便。因此，本方案建議采用網絡隔離卡的方式來解決網絡切換的問題。 隔離卡工作方式隔離卡上有兩個網絡接口，一個接內網，一個接外網;另外還有一個控制口，通過控制口連接一個控制器(只有火柴盒大小)，放置于電腦旁邊。同時，在隔離卡上接兩個硬盤，使一個計算機變為兩個計算機使用，兩個硬盤上分別運行獨立的操作系統。這樣，可通過控制器進行切換(簡單的開關，類似電源開關)，使計算機分別接到兩個網絡上。 應用

30、根據企業網絡的實際情況，需要在二、三、四樓共20個信息點上安裝隔離卡。其中二樓6個，三樓12個，四樓2個。4.4.2 防電磁輻射普通的綜合布線系統通常都采用5類utp的方式，由于電信號在傳輸時存在電磁場，并隨著信號的改變而改變磁場的強弱，而utp本身沒有任何的屏蔽功能，因此容易被國外間諜機構或不法分子采取電磁波復原的方法竊取重要機密信息，造成嚴重后果。因而對重要信息點的數據傳輸介質應采取相應的安全措施，如使用屏蔽雙絞線等終端設備尤其是crt顯示器均有程度不同的電磁輻射問題，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，因此除要求在訂購設備上盡量選取低輻射產品外，還應根據保護對象分別采取主動

31、式的干擾設備(如干擾機來破壞對信息的偵竊)，或采用加裝帶屏蔽門窗的屏蔽室。4.4.3 網絡防雷由于企業網絡系統的物理范圍主要是在一棟大樓內，而大樓本身已采取相應的防雷措施，因此，本方案中主要針對網絡系統防雷進行設計，不包括電源防雷(這一般屬于大樓防雷的部分)。不少用戶為防止計算機及其局域網或廣域網遭雷擊，便簡單地在與外部線路連接的調制解調器上安裝避雷器，但由于靜電感應雷、防電磁感應雷主要是通過供電線路破壞設備的，因此對計算機信息系統的防雷保護首先是合理地加裝電源避雷器，其次是加裝信號線路和天饋線避雷器。如果大樓信息系統的設備配置中有計算機中心機房、程控交換機房及機要設備機房，那么在總電源處要加

32、裝電源避雷器。按照有關標準要求，必須在0區、1區、2區分別加裝避雷器(0區、1區、2區是按照雷電出現的強度劃分的)。在各設備前端分別要加裝串聯型電源避雷器(多級集成型)，以最大限度地抑制雷電感應的能量。同時，計算機中心的modem、路由器、甚至hub等都有線路出戶，這些出戶的線路都應視為雷電引入通道，都應加裝信號避雷器。對樓內計算機等電子設備進行防護的同時，對建(構)筑物再安裝防雷設施就更安全了。根據企業網絡結構、物理結構、電源結構分析，防雷系統可采取兩級防雷措施。 骨干網絡防雷; 終端防雷;以上兩級避雷可使用信號避雷器來實現。根據網絡連接線路的類型和帶寬選擇相應的避雷器。4.4.4 重要信息

33、點的物理保護企業各級網絡內部存在重要的信息點，如內部核心應用系統，環境等都需要保護，它主要包括三個方面：(1) 環境安全：對系統所在環境的安全保護，如區域保護和災難保護(參見國家標準gb50173-93電子計算機機房設計規范、國標gb2887-89計算站場地技術條件、gb9361-88計算站場地安全要求)。(2) 設備安全：主要包括設備的防盜、防毀壞及電源保護等。對中心機房和關鍵信息點采取多種安全防范措施，確保非授權人員無法進入。中心機房處理秘密級、機密級信息的系統均采用有效的電子門控系統等。(3) 媒體安全：包括媒體數據的安全及媒體本身的安全。4.5 安全管理任何網絡系統的安全建設，不僅僅是

34、采用安全產品，而是結合相應的安全管理來進行的。企業及下屬各級機構在行政管理上采取逐級縱向管理的方式，因此在網絡管理上也采用這種方式，。組織機構體系指是企業網絡系統安全的組織保障系統，由機構、崗位和人事三個模塊構成一個體系。企業網絡系統的安全組織體系是安全管理體系的組織保障。這個組織體系在國家有關安全部門(如機要局、保密局、公安廳、安全廳、信息安全協調機構等)的指導下，遵循國家相關法律法規，制定相應的安全管理制度和內部的法規政策，并對內部人員進行安全教育和管理，指導、監督、考核安全制度的執行。安全組織建立原則企業網絡系統的安全組織體系，是網絡系統安全的組織保障系統，由機構、崗位和人事三個部分構成

35、一個體系。安全組織結構企業網絡系統的安全管理機構設置為三個層次：決策層、管理層和執行層。決策層是企業網絡系統主體單位決定系統安全重大事宜的領導機構，由主管信息工作的負責人為首，有行使國家安全、公共安全、機要和保密職能的部門負責人和信息系統主要負責人參與組成。管理層是決策層的日常管理機關，根據決策機構的決定全面規劃并協調各方面力量實施信息系統的安全方案，制定、修改安全策略，處理安全事故，設置安全相關的崗位。執行層是在管理層協調下具體負責某一個或某幾個特定安全事務的一個邏輯群體，這個群體分布在信息系統的各個操作層或崗位上。崗位是企業網絡系統安全管理部門根據安全需要設定的負責某一個或某幾個安全事務的

36、職位，崗位在系統內部可以是具有垂直領導關系的若干層次的一個序列，一個人可以負責一個或幾個安全崗位，但一個人不得同時兼任安全崗位所對應的系統管理或具體業務崗位。因此崗位并不是一個機構，它由管理機構設定，由人事機構管理。人事機構是根據管理機構設定的崗位，對崗位上在職和待職的工作人員進行素質教育、業績考核和管理，以及對離職工作人員進行監管的機構。人事機構的全部管理活動在國家有關安全的法律、法規、政策規定范圍內依法進行。在xxx企業主管部門直接領導下，自上而下地構建層次清楚、職責明確的安全組織體系。安全組織職責企業網絡系統的各級安全工作小組的職責是：在企業網絡系統安全管理機構的領導下，嚴格執行各項安全

37、管理規章制度，進行日常的安全保密工作，對內部人員進行安全教育和管理，指導、監督和考核安全制度的執行。管理體系管理是企業網絡系統安全的靈魂。網絡信息系統安全的管理體系由法律管理、制度管理和培訓管理三部分組成。企業網絡系統安全管理組織根據國家、各省有關的法律、法規和政策，在安全領導組織的領導下制定具體的安全管理制度，并進行培訓。安全管理制度的分類原則企業網絡系統安全管理組織制定的安全管理制度主要包括：(1) 人事安全管理制度(2) 操作安全管理制度(3) 場地與設施安全管理制度(4) 設備安全管理制度(5) 軟件平臺安全管理制度(6) 計算機網絡安全管理制度(7) 應用軟件安全管理制度(8) 技術

38、文檔安全管理制度(9) 數據安全管理制度(10)密碼安全管理制度(11)應急管理制度4.6 安全特性企業網絡系統的安全性建設措施應能滿足當前企業網絡系統安全的主要需求及以后系統建設的發展需要，使網絡系統不易受到內部和外部的攻擊，從而達到網絡能夠正常運行，滿足主要業務對安全的需要：(1) 確保企業中心網絡系統與下屬各級機構等網絡系統互連的安全，并必須能防范來自外部的各種形式的攻擊。(2) 確保企業中心網絡系統與下屬各級機構網絡之間的信息在交換過程中保持完整、真實、可用和不被非法泄露的特性。信息交換必須遵照約定的層次管理需要和授權管理需要。(3) 確保企業中心網絡系統與平級機構等網絡系統的網絡連接安全。(4) 確保企業中心網絡關鍵系統入口數據訪問的可監視性，作到有據可