隨著計算機網絡的不斷發展,計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征，致使網絡易受黑客、病毒、蠕蟲、惡意軟件和其他惡意的攻擊，所以網上信息的安全和保密是一個至關重要的問題。無論是在局域網還是在廣域網中都存在著自然和人為等諸多因素的脆弱性和潛在威脅。產生安全威脅的主要因素可以分為人為因素和環境因素。人為因素包括有意的和無意的因素。環境因素包括自然界的不可抗力因素和其它物理因素。威脅可能源于對計算機系統直接或間接的攻擊，威脅也可能源于偶發的、或蓄意的事件。不管威脅來自于環境因素還是意外故障、無惡意的還是惡意的內部行為以及來自于第三方的外部攻擊行為，都會對網絡信息系統面臨最大的風險。

2. 網絡安全需求分析

針對企業單位網絡的信息系統做面臨的安全風險，以保障網絡信息系統的安全運行為基本出發點，為保障企業單位中信息系統的完整性、高可用性和抗抵賴性提供整體的網絡安全解決方案，建立完善的網絡安全信息系統，確保該信息系統能夠安全、穩定、可靠地運行，對于企業單位的網絡信息系統的安全具有重要意義。針對企業單位的信息系統典型安全需求包括以下幾個方面：

1、信息系統安全區域的劃分及管理；

2、 信息系統安全區域邊界的安全隔離防護及入侵防護管理

3、 企業單位信息中心和分支子公司的安全互聯及安全訪問控制管理；

4、 移動辦公、第三方運維、VIP用戶及IPAD用戶的安全接入及統一認證管理；

5、 統一的網絡安全運維體系、防病毒體系、網絡安全漏洞及終端安全準入管理；

3. 網絡安全技術解決方案

1. 安全區域的劃分管理：根據網絡結構劃分安全區域，利用防火墻將個安全進去進行安全隔離，根據各安全區域的重要性不同，其安全級別也各不相同；針對不同級別的安全域提供相應的安全防護；

 2. 邊界安全防護及入侵防御，安全區域邊界部署防火墻、入侵防御及上網行為管理，對安全區域進行安全隔離，對網絡訪問行為進行安全審計，詳細記錄用戶行為，并對訪問數據進行檢測，防止病毒、木馬、后門、蠕蟲病毒等惡意代碼的危害，防止惡意的網絡攻擊行為。

3. 信息中心網絡和分支子公司網絡通過IPSEC VPN加密隧道對服務器安全區域的業務系統的訪問，根據訪問業務信息系統進行權限劃分，加強對業務信息系統的訪問控制管理；

4. 統一的CA數值證書認證，移動辦公、第三方運維、VIP用戶及IPAD用戶的通過VPN數據加密安全接入，采用數字證書認證，通過服務協議端口代理的方式接入信息中心網絡對業務應用系統的訪問，根據訪問性質和目的不同，對其進行權限劃分，通過行為審計和日志審計對其行為進行監督和審計；

5. 建立統一的網絡安全運維體系、防病毒體系、網絡安全漏洞及終端安全準入管理，對企業單位網絡信息系統所有IT資源中的各種網絡設備、安全設備、主機和服務器、服務和應用系統，以及機房設備進行統一的管理，為用戶提供一個全方位監控的統一管理平臺，使得管理員通過一個單一控制臺就能夠進行實時全網監控，確保企業單位IT資源的可用性，以及業務的持續性。以服務器和群件病毒防護、桌面病毒防護、反病毒管理系統、邊界防病毒等相結合的方式，建立一個全方位、多層次綜合立體病毒防護體系；加強漏洞管理，通過定期的對網絡信息系統進行全面或部分掃描和漏洞分析，采用模擬攻擊的形式對工作站、服務器、交換機、數據庫應用等對象可能存在的已知安全漏洞進行逐項檢查，然后根據掃描結果向系統管理員提供安全性分析報告，評估網絡系統的安全狀況和弱點分步，為提高網絡安全整體水平產生重要依據。加強終端管理，以滿足等級保護基本要求-技術要求部分的網絡安全和主機安全要求提供必要的技術手段，為用戶提供包括終端接入控制、終端安全加固、終端合規審計、終端數據保護、分發補丁和加固系統等安全管理手段。

4. 方案優勢

本方案以保護信息系統為目標，以策略為核心，從多個層面進行安全防護，對網絡信息系統劃分為不同的安全區域，各個安全區域內部的網絡設備、服務器、終端、應用系統形成單獨的計算環境、各個安全區域之間的訪問形成邊界、各個安全區域之間的連接鏈路和網絡設備構成了網絡基礎設施；并通過統一的運維管理體系來實現對基礎安全設施的集中管理，構建分域的控制體系。通過整合安全網關、邊界防護、行為管理、安全接入、入侵防御、安全審計、終端安全管理、綜合防病毒體系以及綜合安全運維管理等多項安全技術，實現以保障服務器業務系統為核心，實現業務應用系統安全防護，結合安全區域的劃分與隔離技術，實現邊界安全防護，配合終端安全管理、病毒安全防護體系等技術手段，全面提升入侵檢測防護能力，并通過安全運維管理體系統一的安全管理，保障業務系統安全、穩定運行。