酒店网络安全解决方案-(网络拓扑及设计).doc
《酒店网络安全解决方案-(网络拓扑及设计).doc》由会员分享,可在线阅读,更多相关《酒店网络安全解决方案-(网络拓扑及设计).doc(38页珍藏版)》请在咨信网上搜索。
*** 酒店 网络安全建议书 目录 第一部分 简述 ……………………………………………………………………………….2 第一章 概述……………………………………………………………………………….2 第二部分 技术方案……………………………………………………………………………..3 第一章 信息安全风险分析……………………………………………………………….3 第二章安全需求与目标…………………………………………………………………..4 第三章 全面的信息络安全体系设计…………………………………………………….4 第四章 ***酒店安全网络设计…………………………………………………………….7 第五章 防病毒产品设计方案…………………………………………………………….12 1.1. 网络防病毒产品推荐 - 14 - 第六章 内网管理产品设计方案 2. 整体方案建议 - 16 - 2.1. 整体防病毒体系建议 - 16 - 2.1.1. 防病毒体系设计思路 - 16 - 2.1.2. 产品部署建议 - 16 - 2.1.3. 服务器防护 - 16 - 2.1.4. 客户机防护 - 18 - 2.1.5. 网络层防病毒 - 20 - 2、部署实施方案 - 22 - (一)控制功能:细致的访问控制功能,有效管理用户上网 - 26 - (二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏 - 27 - (三)报表功能:强大的数据报表中心,提供直观的上网数据统计 - 27 - (四)带宽及流量管理功能:强大的QOS功能及流量分析 - 28 - (五)负载均衡和高可用性 - 28 - (六)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 - 28 - (一)深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 - 29 - (二)流量控制管理 - 29 - (三)邮件的延迟审计(专利技术) - 30 - (四)独有的网络访问准入规则(专利技术) - 30 - (五)WEB认证技术 - 30 - (六)高度集成,部署灵活 - 31 - 第七章 整体网络应用拓扑图…………………………………………………………….32 第八章 ***酒店安全服务……………………………………………………………… - 33 第九章 产品报价………………………………………………………………………..36 第一部分 简述 第一章 概述 在当今的信息时代,互联网已经成为很多人生活中不可分割的一部分。人们越来越习惯于利用互联网进行相互沟通和商务活动。人们希望在任何地方、任何时候都可以通过网络方便、快速地获得所需要的信息,对于那些经常出门在外的人,如果在暂住的酒店中能够随时访问互联网,对他们无疑将有着巨大的吸引力。为此,在酒店这个人员流动性非常大的公共场所为客人提供上网服务已成为现代酒店发展的必然趋势,这也是酒店提高自身服务水平的重要标志。 通常酒店的网络有两部分:办公网络和客房网络,为节约成本往往两个网络通过一条Internet出口连接互联网,酒店网络管理员希望充分保障办公网络的安全,不受外部网络攻击及客房网络可能出现的病毒影响;客房用户上网随意性较大,需要带宽管理措施来限制占用带宽过高的用户,并保障办公网络的网速正常。 酒店用户流动性很大,随身携带的移动电脑中经常带有病毒,一旦爆发将影响整个网络的正常,例如常见的ARP地址欺骗病毒,当中毒电脑冒充网关地址时,整个网络的客户端都将受此影响而无法访问互联网,因此急需有效的防内部攻击措施来保障网络正常。 针对***酒店计算机网络系统网络现状,我们从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全方面对***酒店计算机网络系统络系统进行风险分析。基于以上的需求分析,我们将重点考虑:保护网络系统的可用性,保护网络系统服务的连续性,防范网络资源的非法访问及非授权访问,防范入侵者的恶意攻击与破坏,保护信息通过网上传输过程中的机密性、完整性,防范计算机病毒的侵害,实现系统快速恢复,实现网络的安全管理,建立相应的远程安全管理通道和管理平台,建立一套完整可行的网络安全与网络管理策略。 我们相信本建议书中的设计能较好地满足贵单位网络系统的需求,并希望与贵公司有关领导及具体负责人进一步进行深入的讨论。我们有决心积极参加贵单位此次网络安全建设项目,有信心圆满完成贵单位的网络安全建设工程。 第二部分 技术方案 第一章 信息安全风险分析 随着Internet网络急剧扩大和上网用户迅速增加,风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统,引起大范围的瘫痪和损失;另外加上缺乏安全控制机制和对Internet安全政策的认识不足,这些风险正日益严重。 下面列出部分这类新风险因素:信息安全可以从以下几个方面来理解:1)网络物理是否安全;2)网络结构是否安全;3)系统是否安全;4)应用是否安全;5)管理是否安全。 1. 网络物理安全:地震、火灾、雷电等 2. 网络安全:线路故障,路由、交换机设备损坏等 3. 系统安全:应用服务器、操作系统、数据库故障等 4. 应用安全:黑客攻击、非法入侵、病毒、恶意程序、应用软件故障、数据丢失泄密、帐号密码丢失、软件漏洞等 5. 管理安全:内部攻击、误操作、设备的破坏、恶意行为等 第二章 安全需求与安全目标 针对信息系统所面临的安全分析,通过可能造系统安全的五个部分,如何进行有效的防范,需从五方面进行: 1. 针对管理级安全:须建立一套完整可行的信息安全管理制度,通过有效的系统管理工具,实现系统的安全运行管理与维护; 2. 针对应用级安全:须加强网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等,通过一系列信息安全软硬件设备建设安全防护体系; 3. 针对系统级安全:须加强对服务器、操作系统、数据库的运行监测,加强系统补丁的管理,通过双机(或两套系统)的形式保证核心系统运行,当发生故障时,能及时的提供备用系统和恢复; 4. 针对网络级安全:须保证网络设备、网络线路的运行稳定,对核心层的网络设备和线路提供双路的冗余; 5. 针对物理级安全:须保证数据的安全和系统的及时恢复,加强数据的远程异地备份和系统的异地容灾。 第三章 全面的信息络安全体系设计 要建立一套全面的信息安全系统,就要从自身的应用状况分析,分析可能存在安全漏洞,从重要性、紧迫性出发,逐一提供建设参考。 首先:区分内外网,加强内部网络的安全防护: 找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的安全。 通过防火墙实现访问控制,控制内部用户的上网行为; 通过防火墙验证访问内部的用户身份、访问权限等; 通过入侵防护检测访问者的访问行为; 因为数据在网络上的传输都是明文的,为了保证数据传输的安全性须对数据进行加密,可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。 目前,大部分防火墙的功能差异并不太大,性能成为选择防火墙的主要指标,市场上的防火墙根据架构的不同,可分为三大类:ASIC芯片、NP架构、传统的X86架构,ASIC芯片级的防火墙把大部分处理通过芯片来完成,不再占用CPU资源,具有更好的处理性能。 第二:建立多层次、全方面的防病毒系统 1、 根据病毒寄存的环境,在所有服务器和客户机上安装网络版防毒系统 2、 根据病毒传播的途径,在网关处安装网关防毒网关,在浏览网页、下载资料、收发邮件时进行有效的病毒防护 3、 在内部交换层,通过硬件的网络防毒墙对网络中的数据包进行检测,有效的进行网络层病毒、蠕虫、恶意攻击行为的防护,保护内部网络的稳定与畅通。 单机的问题并不能对网络造成严重的问题,网络中断或瘫痪造成的损失是巨大的 第三:加强核心网络、核心应用的安全防护 核心网络、服务器群是一个网络的中心部分,应更加注重安全的防范,为了防止来自外部和内部的攻击,应在核心服务器群前安装防火墙及入侵防护系统。重点加强核心系统的安全防护; 对操作系统及应用系统的漏洞及时的安装补丁 为防止核心系统的运行出现固障,应对核心系统所在的网络线路进行冗余设计,并对交换机、路由器设备进行双路冗余。 同时,把安装重要应用系统的服务器进行双机热备 所有数据通过磁盘阵列或磁带机进行存储、备份 对于网站系统,可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护 第四:加强数据备份 数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的.因此必须加对数据的保存和备份。现在一般常用的数据保存方式都是通过磁盘阵列来完成,但是,磁盘阵列的稳定性是不能保证的。 一般情况,可以通过磁带机对磁盘阵列的数据进行再次备份 也可以通过另一台磁盘阵列进行数据的相互备份 通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进行备份,并提供相应用恢复方案 为防止地震、火灾、雷电等自然灾害,须将重要数据在异地进行备份,如果系统的运行不能中断,就需要在异地进行系统的容灾 第五:加强应用系统的安全防护 对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤 对于应用系统必须加强用户身份认证,通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现,也可以通过专业的身份认证系统,考虑到终端用户对帐号、密码的管理能力较差,建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。 第六:加强网络管理 信息系统的安全只靠以上的安全设备是不能解决问题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。 网络管理系统应该具备和实现 1、 获取全网拓扑结构图,在网络线路、基础联接层面了解网络系统的运行状况 2、 监控路由器、交换机、防火墙等网络设备的运行情况,监测控制网络流量,及时提供报警,并能方便的对网络设备进行系统配置和管理, 3、 监控服务器、主机、磁盘阵列的运行状况、网络流量、资源占用等,及时提供报警,并能方便的对主机设备进行配置和管理 4、 监控应用系统的运行状况,对用户进行访问控制、记录访问及操作日志 5、 管理网络中的所有终端设资源,方便进行远程的管理和操作控制 6、 监测及控制终端用户对电脑软硬件资源的使用、应用程序的使用、上网行为等操作行为 7、 实现系统补丁管理、补丁分发,对操作系统、应用系统进行及时的补丁更新 8、 限制不安全的设备的接入 以上为网络管理系统所须具备的功能,缺一不可,建议在选择产品时,作为重要的参考依据。 第七:漏洞扫描、安全评估 仅管如上所述,我们己经采取了众多的安全措施,但是,我们的信息系统是一个不断建设完善的系统,在系统的不断建设过程,仍然会出现一些新的安全漏洞,安全系统的是否部署到位,我们的信息系统是否仍然存在安全隐患,作为信息系统的管理人员仍然需要进行定期的安全检查。 漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具,我们可以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终端进行全面的检测,通过模拟黑客的进攻方法,对被检系统进行攻击性的安全漏洞和隐患扫描,提交风险评估报告,并提供相应的整改措施。找出网络中存在的漏洞,防患于未然。 第八:安全管理及培训 1、 制定并实施信息安全制度 2、 加强网络安全意识的教育和培养 3、 加强网络安全知识的培训 4、 定期进行终端安全产品的应用操作指导 第四章 ***酒店安全网络设计 一、 ***酒店需求分析 自2003年新实行的星级酒店国家标准将提供宽带上网服务列入了宾馆酒店评星的考核内容之一,短时间内星级宾馆酒店客房宽带上网服务将基本普及,不同档次的宾馆酒店的流动人口可以在网络上进行各种各样的网络活动,因此一系列的网络安全问题随即出现:宾馆酒店缺乏单位网络信息备案;缺乏对房客互联网的访问管理;缺乏对出现问题的信息源定位,导致线索跟踪的中断;缺乏对各类站点的分类管理;缺乏对上网信息的收集、统计与分析,导致这部分的公共网络信息管理处于真空状态。 根据国家规定,提供上网服务场所必须将上网日志保存,并以一定的技术手段进行管理;目前许多宾馆酒店都未有这种技术手段,在网络管理上存在着漏洞,达不到国家的要求。 主要网络安全威胁 由于网络体系越来越复杂,应用系统越来越多,网络规模不断扩大,再加上与Internet的连接,网络用户也已经不单单是内部用户。由于内部网络直接与外部网络相连,对整个网络安全形成了巨大的威胁,因此整个网络承受着来自外部、内部、黑客、病毒等各方面威胁。 具体分析,对网络安全构成威胁的主要因素有: (1) 黑客的攻击、入侵 ¨ 内部网络和外部网络之间的连接为直接连接,外部用户不但可以访问对外服务的服务器,同时也容易地访问内部的网络服务器,这样,由于内部和外部没有隔离措施,内部系统较容易遭到攻击。 ¨ 入侵服务器后,在服务器中增加黄色、反动站点 ¨ 把服务器当作攻击其它网络(政府、金融)的跳板,攻击其它服务器 ¨ 把服务器当作检测扫描其它网络及数据处理的工具,造成大量网络流量 (2) 病毒的侵害 ¨ 通过网络传送的病毒和Internet的电子邮件夹带的病毒。 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。 ¨ 病毒、木马发送大量数据包,造成系统资源的消耗,以至系统停止服务 ¨ 造成数据丢失,机器、网络系统瘫痪 ¨ 必须断开网络逐一进行杀毒,增加网络工作量,影响正常工作 (3) 内部的无限制访问 ¨ 内部用户的恶意攻击、误操作 ¨ 访问不健康的站点,获取有害信息 ¨ 工作学习时间无限制上网,游戏、聊天等 (4) 系统存在的漏洞 缺乏一套完整的安全策略、政策,缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞,如UNIX服务器,NT服务器及Windows桌面PC。 1、 可能带来的严重后果 ¨ 系统瘫痪或服务器停止工作造成重大损失 ¨ 由于病毒的侵害,造成文件丢失/损坏、硬件设备损坏造成重大损失 ¨ 由于病毒原因,造成系统修复、病毒清理等巨大的工作量 ¨ 无限增加流量,造成重大经济损失 ¨ 因服务器危害其它网络,而涉及相关责任 ¨ 数据泄密、数据丢失 2、 当前网络问题分析 ¨ 虽然网络中部署了单机防病毒系统,但仍有很多客户机、移动笔记本由于没有安装防病毒系统,这些机器感染病毒后,对网络中发出大量病毒攻击包,造成网络速度下降,甚至网络瘫痪; ¨ 网络中大多数客户机都是WIN2000\WINXP系统,由于WIN2000 \WINXP系统存在大量的系统漏洞,没有能及时升级系统补丁,使得病毒、黑客有了可乘之机; ¨ 作为网络管理人员,无法及时的了解网络的运行情况,服务器、交换机等网络设备的工作情况,终端系统的操作应用情况等? 3、 网络目前需求分析 通过我们对***酒店结构、应用及安全威胁分析,可以看出其安全问题主要集中在对计算机病毒的防护、内网安全的管理上。因此,我们必须采取相应的安全措施杜绝安全隐患,其中应该做到: ¨ 加强病毒的防护,建立全面的防毒体系,防止病毒的攻击 ¨ 实现计算机网络系统的网络安全管理 针对***酒店系统的实际情况,在系统考虑如何解决上述安全问题的设计时应满足如下要求: ¨ 大幅度地提高系统的安全性(重点是可用性和可控性); ¨ 保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性,能透明接入,无需更改网络设置; ¨ 易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; ¨ 尽量不影响原网络拓扑结构,同时便于系统及系统功能的扩展; ¨ 安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; 二、 安全系统整体设计方案 (一) 系统设计原则 本方案的设计遵循并体现了如下设计原则: ¨ 先进性: 所采用的设备和技术应属世界、国内主流产品,在相关计算机、通信网络及数字视频技术方面处于国际或国内领先或领导地位。 ¨ 一体系化设计原则 本方案从物理层安全、系统层安全、网络层安全、应用层安全、安全管理等层面充分分析信息网络的层次关系,提出科学的安全体系和安全框架,并根据安全体系分析存在的各种安全风险,从而最大限度地解决可能存在的安全问题。 ¨ 可控性原则 本次方案采取的技术手段达到安全可控的目的,技术解决方案涉及的工程实施应具有可控性; ¨ 系统性、均衡性、综合性设计原则 从全系统出发,综合考虑各种安全风险,采取相应的安全措施,并根据风险的大小,采取不同强度的安全措施,提供具有最优的性能价格比的安全解决方案。 ¨ 可靠性、稳定性原则 设备及技术均已进入成熟期,应有类似的实际应用,系统运行稳定,在国内应用领域中占主导地位。采用安全系统之后,不会对南京中央商场的现有网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下,提供最优安全保障。 ¨ 标准性原则 方案的设计、实施以及产品的选择以相关国际安全管理、安全控制、安全规程为参考依据。 ¨ 投资保护原则 本次方案的设计和已经存在的设备具有兼容性,可以对已有设备进行有效的利用,保护已有投资 (二) 安全应对策略及建议 在明确这些威胁与风险以后下一步需要做的就是在此基础上制定相应的安全策略,以求实现有效的平衡,即一方面需要保持可靠的信息安全,另一方面则要建立和易操作的有效安全系统。一个系统的安全强度实际等于它最薄弱环节的安全强度。即当一个网络系统存在一点薄弱环节时,其就有可能危及到整个网络系统的整体安全。 电子业务安全关键基础之一就是构成企业总体信息安全方案的综合策略。我公司根据贵单位网络现状分析,及工作业务的需求分析,从保护投资的角度考虑,提出了保证网络系统的高性能正常运行的建设建议: 1、 建立多层次、全方面的防病毒系统 ¨ 首先,根据病毒寄存的环境,在所有服务器和客户机上安装网络版防毒系统,通过趋势科技的Serverprotect加强服务器系统中的病毒防护,通过趋势科技的Officescan加强对网络中所有客户机的病毒防护。 ¨ 其次,在内部交换层,通过硬件的网络防毒墙NVW对网络中的数据包进行检测,有效的进行网络层病毒、蠕虫、恶意攻击行为的防护,及时的清除和隔离网络层的病毒包,保护内部网络的稳定与畅通,防止ARP病毒的侵害。 ¨ 另外,根据病毒传播的途径,可以在网关处安装趋势防毒网关IWSA、 IMSA,在浏览网页、下载资料、收发邮件时进行有效的病毒防护。 ¨ 最后,通过趋势统一集中控制管理平台TMCM实现对所有系统的集中病毒防护、策略的实施和管理 2、 加强网络管理 信息系统的安全只靠安全设备是不能解决问题的,三分技术七分管理,必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成,使信息系统管理人员对信息系统的运行状况一目了然。 酒店客户的移动接入支持和安全的管理。需要酒店网络移动服务的大多是商务人士,他们需要酒店提供移动的支持、更主要的是安全性。 酒店是一个流动性很强的场所,所以这对网络的安全和管理是有很高的要求。例如:防止客户对一些非法网站的访问而带给网络中其它用户的伤害,还有客户用BT等软件会对其他网络用户的网速有非常大的影响,同时一网双用,内部办公网络和客户使用网络并用一个网络,而又互相隔离。 通过深信服AC设备实现: (一)控制功能:细致的访问控制功能,有效管理用户上网 (二)监控功能:完善的内容过虑和访问审计功能,防止机密信息泄漏 (三)报表功能:强大的数据报表中心,提供直观的上网数据统计 (四)带宽及流量管理功能:强大的QOS功能及流量分析 (五)负载均衡和高可用性 (六)丰富的外网安全功能:包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 第五章 防病毒产品设计方案 ----南京联成科技为***酒店构建的整体防病毒安全体系的建立简述如下: 1、区分内外网,加强内部网络的安全防护:找到网络的对外接口(互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络),在对外网络的接口处安装防火墙系统,通过防火墙实现内外网的隔离,保证内部网络的安全。 通过防火墙实现访问控制,控制内部用户的上网行为; 通过防火墙验证访问内部的用户身份、访问权限等; 通过入侵防护检测访问者的访问行为; 因为数据在网络上的传输都是明文的,为了保证数据传输的安全性须对数据进行加密,可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。 2、 防病毒产品的全面性,领先性:采用全方位,多层次防毒的方式,部署多层次病毒防线,具体来说就是在网关利用趋势科技的IMSS以及SPS, 实现在进行病毒过滤的同时,也防范垃圾邮件对企业网络资源的消耗与破坏。对整个***酒店网络中的客户端采用趋势科技防毒墙网络版Officescan,对整个***酒店网络中的服务器部署趋势科技防病毒墙服务器版Serverprotect。对于整个***酒店整体的防病毒系统的中央控管则可以通过趋势科技中央控管软件TMCM来整体中央控管。 3、 厂商和代理商全面的服务:趋势科技授权服务商和趋势科技,***酒店相关人员组成专门的防病毒以及安全小组,负责对***酒店的防病毒体系部署,防病毒安全规范的制定。趋势科技授权服务商相关人员将对***酒店的防病毒体系定期进行巡检,在***酒店的病毒爆发造成业务影响的紧急时刻,趋势科技授权服务商工程师将至***酒店现场服务。 趋势科技防病毒体系显著优势: 1. 厂商优势:趋势科技是目前业界唯一仅专注于防病毒和防病毒安全体系建立的厂商,相对其他的防病毒厂商,趋势科技的产品更具有技术的领先性。其设在菲律宾的,业界唯一获得ISO9002认证的TrendLab病毒实验室提供7*24小时、全年无休的专人专业服务,包括从最早的防毒内容及范围的规划、企业防毒网的建立、人员的教育训练、病毒爆发时保证两小时提供解药的最高等级支持等。 2. 高扩展性:由于专注于防病毒安全产品和解决方案,趋势科技有能力为***酒店提供全方位,多层次,具可扩展性的防病毒安全体系。除了提供用于客户机防病毒的officescan产品,用于服务器的ServerProtect产品,用于网关防病毒的IMSS产品和网关垃圾邮件防范的SPS,还可以在将来***酒店需要时提供专注于LotusNotes/Exchange的病毒防范软件 Scanmail,专注于Web防病毒的IWSS软件和提供所有在线用户的在线杀毒工具――DCS等。全方位的产品和解决方案支持使得趋势科技的防病毒安全体系的提供是具备高扩展性的。 3. 防范和查杀病毒的自动化:针对像***酒店比较大型的网络,单纯的依靠***酒店的各级网络管理人员进行分散的人为管理不可能将防病毒工作做到完美无缺。趋势科技提供高度自动化的管理和病毒防范,查杀技术。 l 扫描在线用户是否已经安装趋势客户端软件,并且可以有选择性的强制用户进行安装; l 扫描在线用户是否安装了微软操作系统的补丁,并且可以有选择性的强制用户进行安装; l 中央控管软件定期自动进行全网络的病毒查杀,自动的更新病毒码和扫描引擎,自动的生成全网络的病毒日志,分析报表,并且通过日志查找网络中的病毒源头等。所有这一切都是通过位于中心的中央控管软件自动进行。 4. 业界独一无二的病毒预防范:针对目前病毒出现――影响用户――病毒库和防病毒代码的出现这一时间段的病毒最可能蔓延和爆发的“真空期”,趋势科技提供业界独一无二的“企业保护战略技术”EPS,其中央控管软件能够在防病毒代码出现之前,就自动的关闭客户端可能引起病毒蔓延的端口,并自动的隔离已经感染病毒的PC,文件夹等。第一时间的做到了病毒的预防范。 本方案详尽描述了采用趋势科技公司的全线产品为***酒店构建的整体防病毒系统,该方案贯彻了如下整体防毒的基本思想: 1. 防毒一定要实现全方位、多层次防毒。在***酒店的方案中,我们部署了多层次病毒防线,分别是网关防毒、应用服务器防毒和客户端防毒,保证斩断病毒可以传播、寄生的每一个节点,实现病毒的全面防范; 2. 网关防毒和防垃圾邮件是整体防毒的首要防线。在***酒店的方案中,我们将网关防毒和防垃圾邮件作为最重要的一道防线来部署,全面消除外来病毒的威胁,使得病毒,垃圾邮件不能再从外网传播进来,对内部网络资源和系统资源造成消耗。同时,全面防范垃圾邮件的侵扰以及内部机密数据的外泄,在整个防毒系统中起到事半功倍的效果。 3. 网络层病毒直接清除:利用趋势科技网络病毒墙确保了病毒在网络设备之间传播的过程中就能够直接被清除,以避免对整个网络造成冲击。 4. 没有集中管理的防毒系统是无效的防毒系统。在***酒店的方案中,趋势科技构建了跨子网,跨分支机构的集中管理系统,保证了整个防毒产品可以从管理系统中及时得到更新,同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理,使整个系统中任何一个节点都可以被管理人员随时管理,保证整个防毒系统有效、及时地拦截病毒。 5. 服务是整体防毒系统中极为重要的一环。防病毒系统建立起来之后,能不能对病毒进行有效的防范,与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为基础,另一方面也要求厂商以及本地趋势科技授权服务商能有足够的本地化技术人员作依托,不管是对系统使用中出现的问题,还是用户发现的可疑文件,都能进行快速的分析和方案提供。趋势科技作为网络防毒及互联网安全与服务的领导厂商,可以全面满足***酒店多层次的服务要求。 ***酒店整体防毒系统所达到的效果 ***酒店希望部署趋势科技防病毒整体解决方案后,能够达到以下效果: l 对***酒店通过防火墙实现内外网的隔离,保证内部网络的安全 l 对***酒店网络内的应用服务器进行全面防护,斩断病毒在服务器内的寄生及传播; l 对所有的客户机进行全面防护,彻底消除病毒对客户机的破坏,保证所有员工都有一个干净、安全的平台; l 建立及时、快速的病毒响应机制,能够迅速抑制病毒在企业网中传播。 1.1. 网络防病毒产品推荐 基于上述原则及对该领域技术发展前景、产品的性价比等综合因素,联成科技建议***酒店计算机网络采用如下产品配置: 趋势公司 Trend Micro AntiVirus Total Solution 包括: l 趋势科技防毒墙服务器版:ServerProtect; l 趋势科技防毒墙网络版:OfficeScan l 网络病毒墙: Trend MicroTM Network VirusWallTM-NVWE l **防火墙: l 自己添加……………………. 产品简要说明: 产品功能及用途 产品名称 功能和部署建议 桌面机的病毒防护 OfficeScan Officescan服务器端安装在***酒店的防病毒专用服务器上,Officescan客户端可自动安装在所有客户机上,透过Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置整个网络客户机防毒策略,并且也能迅速响应各种紧急事件。 NT/Novell/Linux服务器病毒防护 ServerProtect ServerProtect远程安装在所有服务器上对Windows™ 2000/NT、Novell™ NertWare或Linux Redhat网络上的服务器,提供全面性的病毒防护。它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。 网络层防病毒 NVWE 针对企业网络内网安全管理的设备。可协助公司企业防止ARP病毒攻击,在爆发病毒疫情时隔绝高危险的网络脆弱环节,在网络层部署由趋势科技提供的安全防御策略,并能在缺乏防毒保护的设备等潜在感染源连接网络时,予以隔离和清除。 网络防护 防火墙 Asic 内容处理器 行为特征扫描 VPN加密处理 (DES,3DES,MD5,SHA1) 状态检测防火墙会话处理 流量管理 每个芯片200-400 Mbps 的吞吐量 EsOS专用的, 高度安全的,基于需求定制的操作系统 2. 整体方案建议 2.1. 整体防病毒体系建议 2.1.1. 防病毒体系设计思路 为了构建一个强壮、有效的防病毒体系,在分析了***酒店网络架构及相关应用之后,针对潜在的病毒传播威胁,趋势科技建议采用结合产品、防御策略、服务为一体的防病毒体系。 由于***酒店防病毒管理具有明显的地域性,为了方便集中管理,需要有一套切实可行的集中管理机制,以方便管理员实时掌控全市防病毒状况。同时还要求按分支机构进行权限分派管理,不同分支机构的管理人员在中央控管体系中只能够管理到本分支机构范围内的防病毒软件,包括防病毒策略设定、病毒码及扫描引擎升级等。 联成科技在为***酒店设计的防病毒体系中,充分考虑到集中及分权管理的需求,构建逻辑结构为三层的防病毒体系: 2.1.2. 产品部署建议 根据***酒店计算机网络潜在的病毒威胁分析,结合趋势科技全系列防毒产品的特性,由点及面,全方位部署,彻底截断病毒入侵的所有途径。 2.1.3. 服务器防护 趋势科技防毒墙服务器版 – ServerProtect 趋势科技的ServerProtect可以对Windows™ 2000/NT、Novell™ NertWare或Linux Redhat网络上的档案服务器,提供全面性的病毒防护。ServerProtect是通过直觉的、可携式的主控台来操作,它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。 策略: l 防毒软件可通过单一的主控台来管理。 l 安装时可以依照网域分组,同时替多部服务器进行安装。 l 利用集中式报表,管理人员可以监看整个网络的状态。 l 通过Task Manager,管理人员可以轻松地完成各种病毒维护工作,例如设定扫毒模式、更新病毒码和程序、编辑病毒报告,以及设定实时扫描的参数等 l 反复扫描经过多层压缩的档案,支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP、Microsoft Compress,以及UUENCODE和MIME等邮件附件格式。 l 自动下载和分发病毒码、扫毒引擎和程序文件。 l 支持MPLS VPN和IPSec等VPN 竞争优势: l IDC统计数据:连续多年占据全球市场份额第一位 l 病毒代码到来之前具备网络控制功能,有效控制病毒扩散 l 可集中分发病毒清除工具,免除手动清除烦恼 l 跨网段安装与管理 l 有集中隔离工具,可以将感染病毒档案集中隔离到一台服务器 l 有病毒追踪工具,当有病毒通过网络共享扩散时,可以侦测到感染病毒的机器 l 可以实现远程集中安装、扫描、更新、管理 l 软件安装时可对病毒进行预处理,安装后不需要重新启动 l 强大、完善的日志管理功能 l 安装简单、产品成熟、运行稳定、高效防毒 部署建议: 在NT、2000、Netware和Linux系统的服务器上安装ServerProtect防病毒系统,提供以上系统的实时病毒防护能力。 l 为了满足大型企业的要求,ServerProtect本身被设计成一个多层结构的软件。它共有三个模块:Information Server (IS),Normal Server (NS),Management Console (MC)。NS是安装在每台文件服务器上的防毒模块,IS是所有NS的集中管理模块,可安装在某一台服务器上;MC是给管理员使用的管理界面模块,可安装在任何一台机器上。 l 因此部署时,可以将IS和MC安装在防毒专用服务器上,NS安装在真正的文件及Proxy、邮件服务器上。 在***酒店总部及下属各分支机构分公司中,建议各增设一台病毒防护专用服务器(系统配置需求请见产品布署列表)安装ServerProtect信息服务器及管理控制台(SP Information Server & Managemnet Console),作为Serverprotect的管理中心。在管理中心上实现每一个管理单位内所有服务器的防病毒策略部署和病毒代码、引擎的升级,然后在每一台NT或2000服务器上安装ServerProtect的普通服务器(SP Normal Server)。 产品部署架构: 同时,通过安装TMCM代理程序,Serverprotect就能够被整合在TMCM的管理体系中,并且能够通过TMCM得到“病毒爆发抑制策略”。Serverprotect应用该策略能够有选择性的关闭某些病毒攻击网络,服务器和客户机的端口,或共享文件夹。从而保护网络中的服务器群,在最新的病毒码没做出来之前不被新病毒攻击。 2.1.4. 客户机防护 趋势科技防毒墙网络版 – OfficeScan Corporate Edition 趋势科技的OfficeScan Corporate Edition将管理与部署的功能集中到服务器端。透过Web接口的管理主控台,管理人员可以从网络上的任何地点,来管理和设置全公司的防毒策略,并且也能迅速响应各种紧急事件。 竞争优势: l 支持防护策略的自动/手动配置,有效控制病毒扩散 l 支持多种客户端的安装方式 l HTTP Base具有Web管理功能,可以跨WAN进行管理 l 方便而简单的配置管理与实时报告 l 先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动 l 增量式、队列式更新防毒组件,节省网络带宽,提高网络性能 l 主动关闭用户共享,阻绝病毒通过网络共享传播 l 客户端POP3扫描功能 l 支持客户端自行上互联网更新防毒组件 l 支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞 l 支持将纪录数据导入SQL服务器方便数据分析与管理 l 支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装 l 无论是域模式网络还是对等网络OfficeScan都完全支持 l 软件安装时可对病毒进行预处理 l 强大、完善的日志管理功能 l 病毒、客户机的排行榜功能,帮助网管了解毒源、善后处理、报告领导 l 安装简单快捷、产品成熟、运行稳定、高效防毒 部署建议: 对桌面系统的病毒防护:在***酒店的32位操作系统的客户端上可统一采用OfficeScan。它的统一管理、升级和高效的实时防护,能有效的保证服务应用者的应用安全。 通过使用NT域的Login Script方式、或是使用Web页面方式、安装程序打包方式、SMS方式、文件共享方式(最多提供9种安装方式),可以迅速、方便地将OSCE客户端软件部署到每个客户机上。 在部署时,可将OfficeScan管理服务器安装在***酒店总部及各分支机构分公司的专用防病毒服务器上。这样就可在同一台服务器上实现服务器和桌面系统统一的防病毒策略部署和病毒代码、引擎升级。 产品部署架构: 同时,安装TMCM代理程序。Officescan就能够被整合在TMCM的管理体系中,并且能够通过TMCM得到“病毒爆发抑制策略”。Officescan应用该策略能够有选择性的关闭某些病毒攻击网络,服务器和客户机的端口,或共享文件夹,从而,阻挡大量的蠕虫病毒,在网络中大面积爆发。从而,保护用户网络中的所有客户机和服务器不受到病毒攻击。 2.1.5.- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 酒店 网络安全 解决方案 网络 拓扑 设计
咨信网温馨提示:
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【人****来】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【人****来】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。
关于本文