随着计算机网络的不断发展,计算机网络具有联结形式多样性、终端分布不均匀性和网络的开放性、互连性等特征，致使网络易受黑客、病毒、蠕虫、恶意软件和其他恶意的攻击，所以网上信息的安全和保密是一个至关重要的问题。无论是在局域网还是在广域网中都存在着自然和人为等诸多因素的脆弱性和潜在威胁。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对计算机系统直接或间接的攻击，威胁也可能源于偶发的、或蓄意的事件。不管威胁来自于环境因素还是意外故障、无恶意的还是恶意的内部行为以及来自于第三方的外部攻击行为，都会对网络信息系统面临最大的风险。

2. 网络安全需求分析

针对企业单位网络的信息系统做面临的安全风险，以保障网络信息系统的安全运行为基本出发点，为保障企业单位中信息系统的完整性、高可用性和抗抵赖性提供整体的网络安全解决方案，建立完善的网络安全信息系统，确保该信息系统能够安全、稳定、可靠地运行，对于企业单位的网络信息系统的安全具有重要意义。针对企业单位的信息系统典型安全需求包括以下几个方面：

1、信息系统安全区域的划分及管理；

2、 信息系统安全区域边界的安全隔离防护及入侵防护管理

3、 企业单位信息中心和分支子公司的安全互联及安全访问控制管理；

4、 移动办公、第三方运维、VIP用户及IPAD用户的安全接入及统一认证管理；

5、 统一的网络安全运维体系、防病毒体系、网络安全漏洞及终端安全准入管理；

3. 网络安全技术解决方案

1. 安全区域的划分管理：根据网络结构划分安全区域，利用防火墙将个安全进去进行安全隔离，根据各安全区域的重要性不同，其安全级别也各不相同；针对不同级别的安全域提供相应的安全防护；

 2. 边界安全防护及入侵防御，安全区域边界部署防火墙、入侵防御及上网行为管理，对安全区域进行安全隔离，对网络访问行为进行安全审计，详细记录用户行为，并对访问数据进行检测，防止病毒、木马、后门、蠕虫病毒等恶意代码的危害，防止恶意的网络攻击行为。

3. 信息中心网络和分支子公司网络通过IPSEC VPN加密隧道对服务器安全区域的业务系统的访问，根据访问业务信息系统进行权限划分，加强对业务信息系统的访问控制管理；

4. 统一的CA数值证书认证，移动办公、第三方运维、VIP用户及IPAD用户的通过VPN数据加密安全接入，采用数字证书认证，通过服务协议端口代理的方式接入信息中心网络对业务应用系统的访问，根据访问性质和目的不同，对其进行权限划分，通过行为审计和日志审计对其行为进行监督和审计；

5. 建立统一的网络安全运维体系、防病毒体系、网络安全漏洞及终端安全准入管理，对企业单位网络信息系统所有IT资源中的各种网络设备、安全设备、主机和服务器、服务和应用系统，以及机房设备进行统一的管理，为用户提供一个全方位监控的统一管理平台，使得管理员通过一个单一控制台就能够进行实时全网监控，确保企业单位IT资源的可用性，以及业务的持续性。以服务器和群件病毒防护、桌面病毒防护、反病毒管理系统、边界防病毒等相结合的方式，建立一个全方位、多层次综合立体病毒防护体系；加强漏洞管理，通过定期的对网络信息系统进行全面或部分扫描和漏洞分析，采用模拟攻击的形式对工作站、服务器、交换机、数据库应用等对象可能存在的已知安全漏洞进行逐项检查，然后根据扫描结果向系统管理员提供安全性分析报告，评估网络系统的安全状况和弱点分步，为提高网络安全整体水平产生重要依据。加强终端管理，以满足等级保护基本要求-技术要求部分的网络安全和主机安全要求提供必要的技术手段，为用户提供包括终端接入控制、终端安全加固、终端合规审计、终端数据保护、分发补丁和加固系统等安全管理手段。

4. 方案优势

本方案以保护信息系统为目标，以策略为核心，从多个层面进行安全防护，对网络信息系统划分为不同的安全区域，各个安全区域内部的网络设备、服务器、终端、应用系统形成单独的计算环境、各个安全区域之间的访问形成边界、各个安全区域之间的连接链路和网络设备构成了网络基础设施；并通过统一的运维管理体系来实现对基础安全设施的集中管理，构建分域的控制体系。通过整合安全网关、边界防护、行为管理、安全接入、入侵防御、安全审计、终端安全管理、综合防病毒体系以及综合安全运维管理等多项安全技术，实现以保障服务器业务系统为核心，实现业务应用系统安全防护，结合安全区域的划分与隔离技术，实现边界安全防护，配合终端安全管理、病毒安全防护体系等技术手段，全面提升入侵检测防护能力，并通过安全运维管理体系统一的安全管理，保障业务系统安全、稳定运行。