1、* 酒店网络安全建议书目录第一部分 简述 .2第一章 概述.2第二部分 技术方案.3第一章 信息安全风险分析.3第二章安全需求与目标.4第三章 全面的信息络安全体系设计.4第四章 *酒店安全网络设计.7第五章 防病毒产品设计方案.121.1.网络防病毒产品推荐- 14 -第六章 内网管理产品设计方案2.整体方案建议- 16 -2.1.整体防病毒体系建议- 16 -2.1.1.防病毒体系设计思路- 16 -2.1.2.产品部署建议- 16 -2.1.3.服务器防护- 16 -2.1.4.客户机防护- 18 -2.1.5.网络层防病毒- 20 -2、部署实施方案- 22 -(一)控制功能:细致的访
2、问控制功能,有效管理用户上网- 26 -(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏- 27 -(三)报表功能:强大的数据报表中心,提供直观的上网数据统计- 27 -(四)带宽及流量管理功能:强大的QOS功能及流量分析- 28 -(五)负载均衡和高可用性- 28 -(六)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等- 28 -(一)深度的内容检测技术及在线网关监控技术及时封堵P2P、IM软件- 29 -(二)流量控制管理- 29 -(三)邮件的延迟审计(专利技术)- 30 -(四)独有的网络访问准入规则(专利技术)- 30 -(五)WEB认证技术-
3、30 -(六)高度集成,部署灵活- 31 -第七章 整体网络应用拓扑图.32第八章 *酒店安全服务 - 33第九章 产品报价.36第一部分 简述 第一章 概述在当今的信息时代,互联网已经成为很多人生活中不可分割的一部分。人们越来越习惯于利用互联网进行相互沟通和商务活动。人们希望在任何地方、任何时候都可以通过网络方便、快速地获得所需要的信息,对于那些经常出门在外的人,如果在暂住的酒店中能够随时访问互联网,对他们无疑将有着巨大的吸引力。为此,在酒店这个人员流动性非常大的公共场所为客人提供上网服务已成为现代酒店发展的必然趋势,这也是酒店提高自身服务水平的重要标志。通常酒店的网络有两部分:办公网络和客
4、房网络,为节约成本往往两个网络通过一条Internet出口连接互联网,酒店网络管理员希望充分保障办公网络的安全,不受外部网络攻击及客房网络可能出现的病毒影响;客房用户上网随意性较大,需要带宽管理措施来限制占用带宽过高的用户,并保障办公网络的网速正常。酒店用户流动性很大,随身携带的移动电脑中经常带有病毒,一旦爆发将影响整个网络的正常,例如常见的ARP地址欺骗病毒,当中毒电脑冒充网关地址时,整个网络的客户端都将受此影响而无法访问互联网,因此急需有效的防内部攻击措施来保障网络正常。针对*酒店计算机网络系统网络现状,我们从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全方面对*酒店计算机网络
5、系统络系统进行风险分析。基于以上的需求分析,我们将重点考虑:保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范入侵者的恶意攻击与破坏,保护信息通过网上传输过程中的机密性、完整性,防范计算机病毒的侵害,实现系统快速恢复,实现网络的安全管理,建立相应的远程安全管理通道和管理平台,建立一套完整可行的网络安全与网络管理策略。我们相信本建议书中的设计能较好地满足贵单位网络系统的需求,并希望与贵公司有关领导及具体负责人进一步进行深入的讨论。我们有决心积极参加贵单位此次网络安全建设项目,有信心圆满完成贵单位的网络安全建设工程。第二部分 技术方案第一章 信息安全风险分析随
6、着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。下面列出部分这类新风险因素:信息安全可以从以下几个方面来理解:1)网络物理是否安全;2)网络结构是否安全;3)系统是否安全;4)应用是否安全;5)管理是否安全。1. 网络物理安全:地震、火灾、雷电等2. 网络安全:线路故障,路由、交换机设备损坏等3. 系统安全:应用服务器、操作系统、数据库故障等4. 应用安全:黑客攻击、非法入侵、病毒、恶意程序、应用软件故障、数
7、据丢失泄密、帐号密码丢失、软件漏洞等5. 管理安全:内部攻击、误操作、设备的破坏、恶意行为等第二章 安全需求与安全目标 针对信息系统所面临的安全分析,通过可能造系统安全的五个部分,如何进行有效的防范,需从五方面进行:1. 针对管理级安全:须建立一套完整可行的信息安全管理制度,通过有效的系统管理工具,实现系统的安全运行管理与维护;2. 针对应用级安全:须加强网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,通过一系列信息安全软硬件设备建设安全防护体系;3. 针对系统级安全:须加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当
8、发生故障时,能及时的提供备用系统和恢复;4. 针对网络级安全:须保证网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余;5. 针对物理级安全:须保证数据的安全和系统的及时恢复,加强数据的远程异地备份和系统的异地容灾。第三章 全面的信息络安全体系设计要建立一套全面的信息安全系统,就要从自身的应用状况分析,分析可能存在安全漏洞,从重要性、紧迫性出发,逐一提供建设参考。首先:区分内外网,加强内部网络的安全防护:找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的安全
9、。通过防火墙实现访问控制,控制内部用户的上网行为;通过防火墙验证访问内部的用户身份、访问权限等;通过入侵防护检测访问者的访问行为;因为数据在网络上的传输都是明文的,为了保证数据传输的安全性须对数据进行加密,可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。目前,大部分防火墙的功能差异并不太大,性能成为选择防火墙的主要指标,市场上的防火墙根据架构的不同,可分为三大类:ASIC芯片、NP架构、传统的X86架构,ASIC芯片级的防火墙把大部分处理通过芯片来完成,不再占用CPU资源,具有更好的处理性能。第二:建立多层次、全方面的防病毒系统1、 根据病毒寄存的环境,在所有服务器和客户机上安装网
10、络版防毒系统2、 根据病毒传播的途径,在网关处安装网关防毒网关,在浏览网页、下载资料、收发邮件时进行有效的病毒防护3、 在内部交换层,通过硬件的网络防毒墙对网络中的数据包进行检测,有效的进行网络层病毒、蠕虫、恶意攻击行为的防护,保护内部网络的稳定与畅通。单机的问题并不能对网络造成严重的问题,网络中断或瘫痪造成的损失是巨大的第三:加强核心网络、核心应用的安全防护核心网络、服务器群是一个网络的中心部分,应更加注重安全的防范,为了防止来自外部和内部的攻击,应在核心服务器群前安装防火墙及入侵防护系统。重点加强核心系统的安全防护;对操作系统及应用系统的漏洞及时的安装补丁为防止核心系统的运行出现固障,应对
11、核心系统所在的网络线路进行冗余设计,并对交换机、路由器设备进行双路冗余。同时,把安装重要应用系统的服务器进行双机热备所有数据通过磁盘阵列或磁带机进行存储、备份对于网站系统,可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护第四:加强数据备份数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的.因此必须加对数据的保存和备份。现在一般常用的数据保存方式都是通过磁盘阵列来完成,但是,磁盘阵列的稳定性是不能保证的。一般情况,可以通过磁带机对磁盘阵列的数据进行再次备份也可以通过另一台磁盘阵列进行数据的相互备份通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进
12、行备份,并提供相应用恢复方案为防止地震、火灾、雷电等自然灾害,须将重要数据在异地进行备份,如果系统的运行不能中断,就需要在异地进行系统的容灾第五:加强应用系统的安全防护对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤对于应用系统必须加强用户身份认证,通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现,也可以通过专业的身份认证系统,考虑到终端用户对帐号、密码的管理能力较差,建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。第六:加强网络管理信息系统的安全只靠以上的安全设备是不能解决问题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通
13、过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。网络管理系统应该具备和实现1、 获取全网拓扑结构图,在网络线路、基础联接层面了解网络系统的运行状况2、 监控路由器、交换机、防火墙等网络设备的运行情况,监测控制网络流量,及时提供报警,并能方便的对网络设备进行系统配置和管理,3、 监控服务器、主机、磁盘阵列的运行状况、网络流量、资源占用等,及时提供报警,并能方便的对主机设备进行配置和管理4、 监控应用系统的运行状况,对用户进行访问控制、记录访问及操作日志5、 管理网络中的所有终端设资源,方便进行远程的管理和操作控制6、 监测及控制终端用户对电脑软硬件资源的使用、应用程序的使
14、用、上网行为等操作行为7、 实现系统补丁管理、补丁分发,对操作系统、应用系统进行及时的补丁更新8、 限制不安全的设备的接入以上为网络管理系统所须具备的功能,缺一不可,建议在选择产品时,作为重要的参考依据。第七:漏洞扫描、安全评估仅管如上所述,我们己经采取了众多的安全措施,但是,我们的信息系统是一个不断建设完善的系统,在系统的不断建设过程,仍然会出现一些新的安全漏洞,安全系统的是否部署到位,我们的信息系统是否仍然存在安全隐患,作为信息系统的管理人员仍然需要进行定期的安全检查。漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具,我们可以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终
15、端进行全面的检测,通过模拟黑客的进攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施。找出网络中存在的漏洞,防患于未然。第八:安全管理及培训1、 制定并实施信息安全制度2、 加强网络安全意识的教育和培养3、 加强网络安全知识的培训4、 定期进行终端安全产品的应用操作指导第四章 *酒店安全网络设计一、 *酒店需求分析自2003年新实行的星级酒店国家标准将提供宽带上网服务列入了宾馆酒店评星的考核内容之一,短时间内星级宾馆酒店客房宽带上网服务将基本普及,不同档次的宾馆酒店的流动人口可以在网络上进行各种各样的网络活动,因此一系列的网络安全问题随即出现:宾馆酒店缺乏
16、单位网络信息备案;缺乏对房客互联网的访问管理;缺乏对出现问题的信息源定位,导致线索跟踪的中断;缺乏对各类站点的分类管理;缺乏对上网信息的收集、统计与分析,导致这部分的公共网络信息管理处于真空状态。 根据国家规定,提供上网服务场所必须将上网日志保存,并以一定的技术手段进行管理;目前许多宾馆酒店都未有这种技术手段,在网络管理上存在着漏洞,达不到国家的要求。主要网络安全威胁由于网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,再加上与Internet的连接,网络用户也已经不单单是内部用户。由于内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁,因此整个网络承受着来自外部、内部、黑客、病
17、毒等各方面威胁。具体分析,对网络安全构成威胁的主要因素有:(1) 黑客的攻击、入侵 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。 入侵服务器后,在服务器中增加黄色、反动站点 把服务器当作攻击其它网络(政府、金融)的跳板,攻击其它服务器 把服务器当作检测扫描其它网络及数据处理的工具,造成大量网络流量(2) 病毒的侵害 通过网络传送的病毒和Internet的电子邮件夹带的病毒。 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。 病毒、木马发送大
18、量数据包,造成系统资源的消耗,以至系统停止服务 造成数据丢失,机器、网络系统瘫痪 必须断开网络逐一进行杀毒,增加网络工作量,影响正常工作(3) 内部的无限制访问 内部用户的恶意攻击、误操作 访问不健康的站点,获取有害信息 工作学习时间无限制上网,游戏、聊天等(4) 系统存在的漏洞缺乏一套完整的安全策略、政策,缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。 1、 可能带来的严重后果 系统瘫痪或服务器停止工作造成重大损失 由于病毒的侵害,造成文件丢失/损坏、硬件设备损坏造成重大损失 由于病毒原因,
19、造成系统修复、病毒清理等巨大的工作量 无限增加流量,造成重大经济损失 因服务器危害其它网络,而涉及相关责任 数据泄密、数据丢失2、 当前网络问题分析 虽然网络中部署了单机防病毒系统,但仍有很多客户机、移动笔记本由于没有安装防病毒系统,这些机器感染病毒后,对网络中发出大量病毒攻击包,造成网络速度下降,甚至网络瘫痪; 网络中大多数客户机都是WIN2000WINXP系统,由于WIN2000WINXP系统存在大量的系统漏洞,没有能及时升级系统补丁,使得病毒、黑客有了可乘之机; 作为网络管理人员,无法及时的了解网络的运行情况,服务器、交换机等网络设备的工作情况,终端系统的操作应用情况等?3、 网络目前需
20、求分析通过我们对*酒店结构、应用及安全威胁分析,可以看出其安全问题主要集中在对计算机病毒的防护、内网安全的管理上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到: 加强病毒的防护,建立全面的防毒体系,防止病毒的攻击 实现计算机网络系统的网络安全管理针对*酒店系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求: 大幅度地提高系统的安全性(重点是可用性和可控性); 保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置; 易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; 尽量不影响原网络拓扑结构,同时便于系统及系统功能的
21、扩展; 安全保密系统具有较好的性能价格比,一次性投资,可以长期使用;二、 安全系统整体设计方案(一) 系统设计原则本方案的设计遵循并体现了如下设计原则: 先进性:所采用的设备和技术应属世界、国内主流产品,在相关计算机、通信网络及数字视频技术方面处于国际或国内领先或领导地位。 一体系化设计原则本方案从物理层安全、系统层安全、网络层安全、应用层安全、安全管理等层面充分分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。 可控性原则本次方案采取的技术手段达到安全可控的目的,技术解决方案涉及的工程实施应具有可控性; 系统性、
22、均衡性、综合性设计原则从全系统出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。 可靠性、稳定性原则设备及技术均已进入成熟期,应有类似的实际应用,系统运行稳定,在国内应用领域中占主导地位。采用安全系统之后,不会对南京中央商场的现有网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下,提供最优安全保障。 标准性原则方案的设计、实施以及产品的选择以相关国际安全管理、安全控制、安全规程为参考依据。 投资保护原则本次方案的设计和已经存在的设备具有兼容性,可以对已有设备进行有效的利用,保护已有投资(二) 安全应对策
23、略及建议在明确这些威胁与风险以后下一步需要做的就是在此基础上制定相应的安全策略,以求实现有效的平衡,即一方面需要保持可靠的信息安全,另一方面则要建立和易操作的有效安全系统。一个系统的安全强度实际等于它最薄弱环节的安全强度。即当一个网络系统存在一点薄弱环节时,其就有可能危及到整个网络系统的整体安全。电子业务安全关键基础之一就是构成企业总体信息安全方案的综合策略。我公司根据贵单位网络现状分析,及工作业务的需求分析,从保护投资的角度考虑,提出了保证网络系统的高性能正常运行的建设建议:1、 建立多层次、全方面的防病毒系统 首先,根据病毒寄存的环境,在所有服务器和客户机上安装网络版防毒系统,通过趋势科技
24、的Serverprotect加强服务器系统中的病毒防护,通过趋势科技的Officescan加强对网络中所有客户机的病毒防护。 其次,在内部交换层,通过硬件的网络防毒墙NVW对网络中的数据包进行检测,有效的进行网络层病毒、蠕虫、恶意攻击行为的防护,及时的清除和隔离网络层的病毒包,保护内部网络的稳定与畅通,防止ARP病毒的侵害。 另外,根据病毒传播的途径,可以在网关处安装趋势防毒网关IWSA、IMSA,在浏览网页、下载资料、收发邮件时进行有效的病毒防护。 最后,通过趋势统一集中控制管理平台TMCM实现对所有系统的集中病毒防护、策略的实施和管理2、 加强网络管理信息系统的安全只靠安全设备是不能解决问
25、题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。酒店客户的移动接入支持和安全的管理。需要酒店网络移动服务的大多是商务人士,他们需要酒店提供移动的支持、更主要的是安全性。 酒店是一个流动性很强的场所,所以这对网络的安全和管理是有很高的要求。例如:防止客户对一些非法网站的访问而带给网络中其它用户的伤害,还有客户用BT等软件会对其他网络用户的网速有非常大的影响,同时一网双用,内部办公网络和客户使用网络并用一个网络,而又互相隔离。通过深信服AC设备实现:(一)控制功能:细致的访问控制功能,有效管理用户
26、上网(二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏(三)报表功能:强大的数据报表中心,提供直观的上网数据统计(四)带宽及流量管理功能:强大的QOS功能及流量分析(五)负载均衡和高可用性(六)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等第五章 防病毒产品设计方案-南京联成科技为*酒店构建的整体防病毒安全体系的建立简述如下:1、区分内外网,加强内部网络的安全防护:找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的安全。通过防火墙实现访问控
27、制,控制内部用户的上网行为;通过防火墙验证访问内部的用户身份、访问权限等;通过入侵防护检测访问者的访问行为;因为数据在网络上的传输都是明文的,为了保证数据传输的安全性须对数据进行加密,可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。2、 防病毒产品的全面性,领先性:采用全方位,多层次防毒的方式,部署多层次病毒防线,具体来说就是在网关利用趋势科技的IMSS以及SPS, 实现在进行病毒过滤的同时,也防范垃圾邮件对企业网络资源的消耗与破坏。对整个*酒店网络中的客户端采用趋势科技防毒墙网络版Officescan,对整个*酒店网络中的服务器部署趋势科技防病毒墙服务器版Serverprotec
28、t。对于整个*酒店整体的防病毒系统的中央控管则可以通过趋势科技中央控管软件TMCM来整体中央控管。3、 厂商和代理商全面的服务:趋势科技授权服务商和趋势科技,*酒店相关人员组成专门的防病毒以及安全小组,负责对*酒店的防病毒体系部署,防病毒安全规范的制定。趋势科技授权服务商相关人员将对*酒店的防病毒体系定期进行巡检,在*酒店的病毒爆发造成业务影响的紧急时刻,趋势科技授权服务商工程师将至*酒店现场服务。趋势科技防病毒体系显著优势:1. 厂商优势:趋势科技是目前业界唯一仅专注于防病毒和防病毒安全体系建立的厂商,相对其他的防病毒厂商,趋势科技的产品更具有技术的领先性。其设在菲律宾的,业界唯一获得ISO
29、9002认证的TrendLab病毒实验室提供7*24小时、全年无休的专人专业服务,包括从最早的防毒内容及范围的规划、企业防毒网的建立、人员的教育训练、病毒爆发时保证两小时提供解药的最高等级支持等。2. 高扩展性:由于专注于防病毒安全产品和解决方案,趋势科技有能力为*酒店提供全方位,多层次,具可扩展性的防病毒安全体系。除了提供用于客户机防病毒的officescan产品,用于服务器的ServerProtect产品,用于网关防病毒的IMSS产品和网关垃圾邮件防范的SPS,还可以在将来*酒店需要时提供专注于LotusNotes/Exchange的病毒防范软件 Scanmail,专注于Web防病毒的IW
30、SS软件和提供所有在线用户的在线杀毒工具DCS等。全方位的产品和解决方案支持使得趋势科技的防病毒安全体系的提供是具备高扩展性的。3. 防范和查杀病毒的自动化:针对像*酒店比较大型的网络,单纯的依靠*酒店的各级网络管理人员进行分散的人为管理不可能将防病毒工作做到完美无缺。趋势科技提供高度自动化的管理和病毒防范,查杀技术。l 扫描在线用户是否已经安装趋势客户端软件,并且可以有选择性的强制用户进行安装;l 扫描在线用户是否安装了微软操作系统的补丁,并且可以有选择性的强制用户进行安装;l 中央控管软件定期自动进行全网络的病毒查杀,自动的更新病毒码和扫描引擎,自动的生成全网络的病毒日志,分析报表,并且通
31、过日志查找网络中的病毒源头等。所有这一切都是通过位于中心的中央控管软件自动进行。4. 业界独一无二的病毒预防范:针对目前病毒出现影响用户病毒库和防病毒代码的出现这一时间段的病毒最可能蔓延和爆发的“真空期”,趋势科技提供业界独一无二的“企业保护战略技术”EPS,其中央控管软件能够在防病毒代码出现之前,就自动的关闭客户端可能引起病毒蔓延的端口,并自动的隔离已经感染病毒的PC,文件夹等。第一时间的做到了病毒的预防范。本方案详尽描述了采用趋势科技公司的全线产品为*酒店构建的整体防病毒系统,该方案贯彻了如下整体防毒的基本思想:1. 防毒一定要实现全方位、多层次防毒。在*酒店的方案中,我们部署了多层次病毒
32、防线,分别是网关防毒、应用服务器防毒和客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范;2. 网关防毒和防垃圾邮件是整体防毒的首要防线。在*酒店的方案中,我们将网关防毒和防垃圾邮件作为最重要的一道防线来部署,全面消除外来病毒的威胁,使得病毒,垃圾邮件不能再从外网传播进来,对内部网络资源和系统资源造成消耗。同时,全面防范垃圾邮件的侵扰以及内部机密数据的外泄,在整个防毒系统中起到事半功倍的效果。3. 网络层病毒直接清除:利用趋势科技网络病毒墙确保了病毒在网络设备之间传播的过程中就能够直接被清除,以避免对整个网络造成冲击。4. 没有集中管理的防毒系统是无效的防毒系统。在*酒店的
33、方案中,趋势科技构建了跨子网,跨分支机构的集中管理系统,保证了整个防毒产品可以从管理系统中及时得到更新,同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。5. 服务是整体防毒系统中极为重要的一环。防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为基础,另一方面也要求厂商以及本地趋势科技授权服务商能有足够的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快
34、速的分析和方案提供。趋势科技作为网络防毒及互联网安全与服务的领导厂商,可以全面满足*酒店多层次的服务要求。*酒店整体防毒系统所达到的效果*酒店希望部署趋势科技防病毒整体解决方案后,能够达到以下效果:l 对*酒店通过防火墙实现内外网的隔离,保证内部网络的安全l 对*酒店网络内的应用服务器进行全面防护,斩断病毒在服务器内的寄生及传播;l 对所有的客户机进行全面防护,彻底消除病毒对客户机的破坏,保证所有员工都有一个干净、安全的平台;l 建立及时、快速的病毒响应机制,能够迅速抑制病毒在企业网中传播。1.1. 网络防病毒产品推荐基于上述原则及对该领域技术发展前景、产品的性价比等综合因素,联成科技建议*酒
35、店计算机网络采用如下产品配置:趋势公司 Trend Micro AntiVirus Total Solution 包括:l 趋势科技防毒墙服务器版:ServerProtect;l 趋势科技防毒墙网络版:OfficeScanl 网络病毒墙: Trend MicroTM Network VirusWallTM-NVWEl *防火墙:l自己添加.产品简要说明:产品功能及用途产品名称功能和部署建议桌面机的病毒防护OfficeScanOfficescan服务器端安装在*酒店的防病毒专用服务器上,Officescan客户端可自动安装在所有客户机上,透过Web接口的管理主控台,管理人员可以从网络上的任何地点
36、,来管理和设置整个网络客户机防毒策略,并且也能迅速响应各种紧急事件。NT/Novell/Linux服务器病毒防护ServerProtectServerProtect远程安装在所有服务器上对Windows 2000/NT、Novell NertWare或Linux Redhat网络上的服务器,提供全面性的病毒防护。它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。网络层防病毒NVWE针对企业网络内网安全管理的设备。可协助公司企业防止ARP病毒攻击,在爆发病毒疫情时隔绝高危险的网络脆弱环节,在网络层部署由趋势科技提供的安全防御策略,并能在缺乏防毒保护的设备等潜在感染源连接网
37、络时,予以隔离和清除。网络防护防火墙Asic 内容处理器行为特征扫描VPN加密处理 (DES,3DES,MD5,SHA1) 状态检测防火墙会话处理流量管理每个芯片200-400 Mbps 的吞吐量EsOS专用的, 高度安全的,基于需求定制的操作系统2. 整体方案建议2.1. 整体防病毒体系建议2.1.1. 防病毒体系设计思路为了构建一个强壮、有效的防病毒体系,在分析了*酒店网络架构及相关应用之后,针对潜在的病毒传播威胁,趋势科技建议采用结合产品、防御策略、服务为一体的防病毒体系。由于*酒店防病毒管理具有明显的地域性,为了方便集中管理,需要有一套切实可行的集中管理机制,以方便管理员实时掌控全市防
38、病毒状况。同时还要求按分支机构进行权限分派管理,不同分支机构的管理人员在中央控管体系中只能够管理到本分支机构范围内的防病毒软件,包括防病毒策略设定、病毒码及扫描引擎升级等。联成科技在为*酒店设计的防病毒体系中,充分考虑到集中及分权管理的需求,构建逻辑结构为三层的防病毒体系:2.1.2. 产品部署建议根据*酒店计算机网络潜在的病毒威胁分析,结合趋势科技全系列防毒产品的特性,由点及面,全方位部署,彻底截断病毒入侵的所有途径。2.1.3. 服务器防护趋势科技防毒墙服务器版 ServerProtect趋势科技的ServerProtect可以对Windows 2000/NT、Novell NertWar
39、e或Linux Redhat网络上的档案服务器,提供全面性的病毒防护。ServerProtect是通过直觉的、可携式的主控台来操作,它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。策略:l 防毒软件可通过单一的主控台来管理。l 安装时可以依照网域分组,同时替多部服务器进行安装。l 利用集中式报表,管理人员可以监看整个网络的状态。l 通过Task Manager,管理人员可以轻松地完成各种病毒维护工作,例如设定扫毒模式、更新病毒码和程序、编辑病毒报告,以及设定实时扫描的参数等l 反复扫描经过多层压缩的档案,支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE
40、、PKZIP、Microsoft Compress,以及UUENCODE和MIME等邮件附件格式。 l 自动下载和分发病毒码、扫毒引擎和程序文件。l 支持MPLS VPN和IPSec等VPN竞争优势:l IDC统计数据:连续多年占据全球市场份额第一位l 病毒代码到来之前具备网络控制功能,有效控制病毒扩散l 可集中分发病毒清除工具,免除手动清除烦恼l 跨网段安装与管理l 有集中隔离工具,可以将感染病毒档案集中隔离到一台服务器l 有病毒追踪工具,当有病毒通过网络共享扩散时,可以侦测到感染病毒的机器l 可以实现远程集中安装、扫描、更新、管理l 软件安装时可对病毒进行预处理,安装后不需要重新启动l 强
41、大、完善的日志管理功能l 安装简单、产品成熟、运行稳定、高效防毒部署建议:在NT、2000、Netware和Linux系统的服务器上安装ServerProtect防病毒系统,提供以上系统的实时病毒防护能力。l 为了满足大型企业的要求,ServerProtect本身被设计成一个多层结构的软件。它共有三个模块:Information Server (IS),Normal Server (NS),Management Console (MC)。NS是安装在每台文件服务器上的防毒模块,IS是所有NS的集中管理模块,可安装在某一台服务器上;MC是给管理员使用的管理界面模块,可安装在任何一台机器上。l 因
42、此部署时,可以将IS和MC安装在防毒专用服务器上,NS安装在真正的文件及Proxy、邮件服务器上。 在*酒店总部及下属各分支机构分公司中,建议各增设一台病毒防护专用服务器(系统配置需求请见产品布署列表)安装ServerProtect信息服务器及管理控制台(SP Information Server & Managemnet Console),作为Serverprotect的管理中心。在管理中心上实现每一个管理单位内所有服务器的防病毒策略部署和病毒代码、引擎的升级,然后在每一台NT或2000服务器上安装ServerProtect的普通服务器(SP Normal Server)。产品部署架构:同时
43、,通过安装TMCM代理程序,Serverprotect就能够被整合在TMCM的管理体系中,并且能够通过TMCM得到“病毒爆发抑制策略”。Serverprotect应用该策略能够有选择性的关闭某些病毒攻击网络,服务器和客户机的端口,或共享文件夹。从而保护网络中的服务器群,在最新的病毒码没做出来之前不被新病毒攻击。2.1.4. 客户机防护趋势科技防毒墙网络版 OfficeScan Corporate Edition趋势科技的OfficeScan Corporate Edition将管理与部署的功能集中到服务器端。透过Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全公司的防毒策
44、略,并且也能迅速响应各种紧急事件。竞争优势:l 支持防护策略的自动/手动配置,有效控制病毒扩散l 支持多种客户端的安装方式l HTTP Base具有Web管理功能,可以跨WAN进行管理l 方便而简单的配置管理与实时报告l 先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动l 增量式、队列式更新防毒组件,节省网络带宽,提高网络性能l 主动关闭用户共享,阻绝病毒通过网络共享传播l 客户端POP3扫描功能l 支持客户端自行上互联网更新防毒组件l 支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞l 支持将纪录数据导入SQL服务器方便数据分析与管理l 支持在客户端可以在不同
45、的OfficeScan服务器中转移,不需重新安装l 无论是域模式网络还是对等网络OfficeScan都完全支持l 软件安装时可对病毒进行预处理l 强大、完善的日志管理功能l 病毒、客户机的排行榜功能,帮助网管了解毒源、善后处理、报告领导l 安装简单快捷、产品成熟、运行稳定、高效防毒部署建议:对桌面系统的病毒防护:在*酒店的32位操作系统的客户端上可统一采用OfficeScan。它的统一管理、升级和高效的实时防护,能有效的保证服务应用者的应用安全。通过使用NT域的Login Script方式、或是使用Web页面方式、安装程序打包方式、SMS方式、文件共享方式(最多提供9种安装方式),可以迅速、方便地将OSCE客户端软件部署到每个客户机上。在部署时,可将OfficeScan管理服务器安装在*酒店总部及各分支机构分公司的专用防病毒服务器上。这样就可在同一台服务器上实现服务器和桌面系统统一的防病毒策略部署和病毒代码、引擎升级。产品部署架构:同时,安装TMCM代理程序。Officescan就能够被整合在TMCM的管理体系中,并且能够通过TMCM得到“病毒爆发抑制策略”。Officescan应用该策略能够有选择性的关闭某些病毒攻击网络,服务器和客户机的端口,或共享文件夹,从而,阻挡大量的蠕虫病毒,在网络中大面积爆发。从而,保护用户网络中的所有客户机和服务器不受到病毒攻击。2.1.5.
浙ICP备2021020529号-1 | 浙B2-20240490 
