酒店网络安全解决方案-（网络拓扑及设计）

*** 酒店 网络安全建议书

目录

第一部分 简述 ??????????????????????????????.2

第一章 概述??????????????????????????????.2 第二部分 技术方案?????????????????????????????..3

第一章 信息安全风险分析????????????????????????.3 第二章安全需求与目标…………………………………………………………………..4 第三章 全面的信息络安全体系设计????????????????????.4 第四章 ***酒店安全网络设计???????????????????????.7 第五章 防病毒产品设计方案???????????????????????.12 1.1. 网络防病毒产品推荐 ........................................................................................ - 14 - 第六章 内网管理产品设计方案

2. 整体方案建议 .............................................................................................. - 16 -

2.1. 整体防病毒体系建议 ........................................................................................ - 16 -

2.1.1. 防病毒体系设计思路 ................................................................................ - 16 - 2.1.2. 产品部署建议 ............................................................................................ - 16 - 2.1.3. 服务器防护 ................................................................................................ - 16 - 2.1.4. 客户机防护 ................................................................................................ - 18 - 2.1.5. 网络层防病毒 ............................................................................................ - 20 -

2、部署实施方案 .................................................................................................. - 22 -

（一）控制功能：细致的访问控制功能，有效管理用户上网 .................................... - 26 - （二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏 ................ - 27 - （三）报表功能：强大的数据报表中心，提供直观的上网数据统计 ........................ - 27 - （四）带宽及流量管理功能：强大的QOS功能及流量分析 ...................................... - 28 - （五）负载均衡和高可用性 ............................................................................................ - 28 - （六）丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等- 28 - （一）深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件 ....... - 29 - （二）流量控制管理 ........................................................................................................ - 29 - （三）邮件的延迟审计（专利技术） ............................................................................ - 30 - （四）独有的网络访问准入规则（专利技术） ............................................................ - 30 - （五）WEB认证技术 ...................................................................................................... - 30 - （六）高度集成，部署灵活 ............................................................................................ - 31 - 第七章 整体网络应用拓扑图???????????????????????.32 第八章 ***酒店安全服务???????????????????????? - 33 第九章 产品报价???????????????????????????..36

第一部分 简述

第一章 概述

在当今的信息时代，互联网已经成为很多人生活中不可分割的一部分。人们越来越习惯于利用互联网进行相互沟通和商务活动。人们希望在任何地方、任何时候都可以通过网络方便、快速地获得所需要的信息，对于那些经常出门在外的人，如果在暂住的酒店中能够随时访问互联网，对他们无疑将有着巨大的吸引力。为此，在酒店这个人员流动性非常大的公共场所为客人提供上网服务已成为现代酒店发展的必然趋势，这也是酒店提高自身服务水平的重要标志。

- 1 -

通常酒店的网络有两部分：办公网络和客房网络，为节约成本往往两个网络通过一条Internet出口连接互联网，酒店网络管理员希望充分保障办公网络的安全，不受外部网络攻击及客房网络可能出现的病毒影响；客房用户上网随意性较大，需要带宽管理措施来限制占用带宽过高的用户，并保障办公网络的网速正常。

酒店用户流动性很大，随身携带的移动电脑中经常带有病毒，一旦爆发将影响整个网络的正常，例如常见的ARP地址欺骗病毒，当中毒电脑冒充网关地址时，整个网络的客户端都将受此影响而无法访问互联网，因此急需有效的防内部攻击措施来保障网络正常。

针对***酒店计算机网络系统网络现状，我们从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全方面对***酒店计算机网络系统络系统进行风险分析。基于以上的需求分析，我们将重点考虑：保护网络系统的可用性，保护网络系统服务的连续性，防范网络资源的非法访问及非授权访问，防范入侵者的恶意攻击与破坏，保护信息通过网上传输过程中的机密性、完整性，防范计算机病毒的侵害，实现系统快速恢复，实现网络的安全管理，建立相应的远程安全管理通道和管理平台，建立一套完整可行的网络安全与网络管理策略。

我们相信本建议书中的设计能较好地满足贵单位网络系统的需求，并希望与贵公司有关领导及具体负责人进一步进行深入的讨论。我们有决心积极参加贵单位此次网络安全建设项目，有信心圆满完成贵单位的网络安全建设工程。

第二部分 技术方案

第一章 信息安全风险分析

随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。

下面列出部分这类新风险因素：信息安全可以从以下几个方面来理解：1）网络物理是否安全；2）网络结构是否安全；3）系统是否安全；4）应用是否安全；5）管理是否安全。

- 2 -

1. 网络物理安全：地震、火灾、雷电等

2. 网络安全：线路故障，路由、交换机设备损坏等 3. 系统安全：应用服务器、操作系统、数据库故障等

4. 应用安全：黑客攻击、非法入侵、病毒、恶意程序、应用软件故障、数据丢失泄密、帐号密码丢失、软件漏洞等 5. 管理安全：内部攻击、误操作、设备的破坏、恶意行为等

第二章 安全需求与安全目标

针对信息系统所面临的安全分析，通过可能造系统安全的五个部分，如何进行有效的防范，需从五方面进行：

1. 针对管理级安全：须建立一套完整可行的信息安全管理制度，通过有效的系统管理工具，实现系统的安全运行管理与维护； 2. 针对应用级安全：须加强网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等，通过一系列信息安全软硬件设备建设安全防护体系； 3. 针对系统级安全：须加强对服务器、操作系统、数据库的运行监测，加强系统补丁的管理，通过双机（或两套系统）的形式保证核心系统运行，当发生故障时，能及时的提供备用系统和恢复； 4. 针对网络级安全：须保证网络设备、网络线路的运行稳定，对核心层的网络设备和线路提供双路的冗余； 5. 针对物理级安全：须保证数据的安全和系统的及时恢复，加强数据的远程异地备份和系统的异地容灾。

第三章 全面的信息络安全体系设计

要建立一套全面的信息安全系统，就要从自身的应用状况分析，分析可能存在安全漏洞，从重要性、紧迫性出发，逐一提供建设参考。

首先：区分内外网，加强内部网络的安全防护：

找到网络的对外接口（互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络），在对外网络的接口处安装防火墙系统，通过防火墙实现内外网的隔离，保证内部网络的安全。

通过防火墙实现访问控制，控制内部用户的上网行为； 通过防火墙验证访问内部的用户身份、访问权限等； 通过入侵防护检测访问者的访问行为；

- 3 -

因为数据在网络上的传输都是明文的，为了保证数据传输的安全性须对数据进行加密，可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。 目前，大部分防火墙的功能差异并不太大，性能成为选择防火墙的主要指标，市场上的防火墙根据架构的不同，可分为三大类：ASIC芯片、NP架构、传统的X86架构，ASIC芯片级的防火墙把大部分处理通过芯片来完成，不再占用CPU资源，具有更好的处理性能。

第二：建立多层次、全方面的防病毒系统

1、根据病毒寄存的环境，在所有服务器和客户机上安装网络版防毒系统 2、根据病毒传播的途径，在网关处安装网关防毒网关，在浏览网页、下载资料、收发邮件时进行有效的病毒防护 3、在内部交换层，通过硬件的网络防毒墙对网络中的数据包进行检测，有效的进行网络层病毒、蠕虫、恶意攻击行为的防护，保护内部网络的稳定与畅通。 单机的问题并不能对网络造成严重的问题，网络中断或瘫痪造成的损失是巨大的

第三：加强核心网络、核心应用的安全防护

核心网络、服务器群是一个网络的中心部分，应更加注重安全的防范，为了防止来自外部和内部的攻击，应在核心服务器群前安装防火墙及入侵防护系统。重点加强核心系统的安全防护；

对操作系统及应用系统的漏洞及时的安装补丁

为防止核心系统的运行出现固障，应对核心系统所在的网络线路进行冗余设计，并对交换机、路由器设备进行双路冗余。

同时，把安装重要应用系统的服务器进行双机热备 所有数据通过磁盘阵列或磁带机进行存储、备份

对于网站系统,可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护

第四：加强数据备份

数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的.因此必须加对数据的保存和备份。现在一般常用的数据保存方式都是通过磁盘阵列来完成，但是，磁盘阵列的稳定性是不能保证的。

一般情况，可以通过磁带机对磁盘阵列的数据进行再次备份 也可以通过另一台磁盘阵列进行数据的相互备份

通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进行备份，并提供相应用恢复方案

- 4 -

为防止地震、火灾、雷电等自然灾害，须将重要数据在异地进行备份，如果系统的运行不能中断，就需要在异地进行系统的容灾

第五：加强应用系统的安全防护

对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤

对于应用系统必须加强用户身份认证，通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现，也可以通过专业的身份认证系统，考虑到终端用户对帐号、密码的管理能力较差，建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。

第六：加强网络管理

信息系统的安全只靠以上的安全设备是不能解决问题的，三分技术七分管理，必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成，使信息系统管理人员对信息系统的运行状况一目了然。

网络管理系统应该具备和实现

1、 获取全网拓扑结构图，在网络线路、基础联接层面了解网络系统的运行

状况 2、 监控路由器、交换机、防火墙等网络设备的运行情况，监测控制网络流

量，及时提供报警，并能方便的对网络设备进行系统配置和管理， 3、 监控服务器、主机、磁盘阵列的运行状况、网络流量、资源占用等，及

时提供报警，并能方便的对主机设备进行配置和管理 4、 监控应用系统的运行状况，对用户进行访问控制、记录访问及操作日志 5、 管理网络中的所有终端设资源，方便进行远程的管理和操作控制 6、 监测及控制终端用户对电脑软硬件资源的使用、应用程序的使用、上网

行为等操作行为 7、 实现系统补丁管理、补丁分发，对操作系统、应用系统进行及时的补丁

更新 8、 限制不安全的设备的接入

以上为网络管理系统所须具备的功能，缺一不可，建议在选择产品时，作为重要的参考依据。

第七：漏洞扫描、安全评估

仅管如上所述，我们己经采取了众多的安全措施，但是，我们的信息系统是一个不断建设完善的系统，在系统的不断建设过程，仍然会出现一些新的安全漏洞，安全系统的是否部署到位，我们的信息系统是否仍然存在安全隐患，作为信息系统的管理人员仍然需要进行定期的安全检查。 漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具，我们可以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终端

- 5 -

进行全面的检测，通过模拟黑客的进攻方法，对被检系统进行攻击性的安全漏洞和隐患扫描，提交风险评估报告，并提供相应的整改措施。找出网络中存在的漏洞，防患于未然。 第八：安全管理及培训 1、制定并实施信息安全制度 2、加强网络安全意识的教育和培养 3、加强网络安全知识的培训

4、定期进行终端安全产品的应用操作指导

第四章 ***酒店安全网络设计

一、 ***酒店需求分析

自2003年新实行的星级酒店国家标准将提供宽带上网服务列入了宾馆酒店评星的考核内容之一，短时间内星级宾馆酒店客房宽带上网服务将基本普及，不同档次的宾馆酒店的流动人口可以在网络上进行各种各样的网络活动，因此一系列的网络安全问题随即出现：宾馆酒店缺乏单位网络信息备案；缺乏对房客互联网的访问管理；缺乏对出现问题的信息源定位，导致线索跟踪的中断；缺乏对各类站点的分类管理；缺乏对上网信息的收集、统计与分析，导致这部分的公共网络信息管理处于

- 6 -

真空状态。

根据国家规定，提供上网服务场所必须将上网日志保存，并以一定的技术手段进行管理；目前许多宾馆酒店都未有这种技术手段，在网络管理上存在着漏洞，达不到国家的要求。

主要网络安全威胁

由于网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，再加上与Internet的连接，网络用户也已经不单单是内部用户。由于内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁，因此整个网络承受着来自外部、内部、黑客、病毒等各方面威胁。

具体分析，对网络安全构成威胁的主要因素有：

（1） 黑客的攻击、入侵

? 内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同时也容易地访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击。

? ?

入侵服务器后，在服务器中增加黄色、反动站点 把服务器当作攻击其它网络（政府、金融）的跳板，攻击其它服务器

把服务器当作检测扫描其它网络及数据处理的工具，造成大量网络流量

?

（2） 病毒的侵害

?

通过网络传送的病毒和Internet的电子邮件夹带的病毒。 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。

病毒、木马发送大量数据包，造成系统资源的消耗，以至系统停止服务

造成数据丢失，机器、网络系统瘫痪

必须断开网络逐一进行杀毒，增加网络工作量，影响正常工作

?

? ?

（3） 内部的无限制访问

? ? ?

内部用户的恶意攻击、误操作 访问不健康的站点，获取有害信息 工作学习时间无限制上网，游戏、聊天等

- 7 -

（4） 系统存在的漏洞

缺乏一套完整的安全策略、政策，缺乏有效的手段监视、评估网络系统和操作系统的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。 1、可能带来的严重后果

? ?

系统瘫痪或服务器停止工作造成重大损失

由于病毒的侵害，造成文件丢失/损坏、硬件设备损坏造成重大损失

由于病毒原因，造成系统修复、病毒清理等巨大的工作量 无限增加流量，造成重大经济损失 因服务器危害其它网络，而涉及相关责任 数据泄密、数据丢失

? ? ? ?

2、当前网络问题分析

?

虽然网络中部署了单机防病毒系统，但仍有很多客户机、移动笔记本由于没有安装防病毒系统，这些机器感染病毒后，对网络中发出大量病毒攻击包，造成网络速度下降，甚至网络瘫痪；

?

网络中大多数客户机都是WIN2000\\WINXP系统，由于WIN2000 \\WINXP系统存在大量的系统漏洞，没有能及时升级系统补丁，使得病毒、黑客有了可乘之机；

?

作为网络管理人员，无法及时的了解网络的运行情况，服务器、交换机等网络设备的工作情况，终端系统的操作应用情况等？

3、网络目前需求分析

通过我们对***酒店结构、应用及安全威胁分析，可以看出其安全问题主要集中在对计算机病毒的防护、内网安全的管理上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到：

? ?

加强病毒的防护，建立全面的防毒体系，防止病毒的攻击 实现计算机网络系统的网络安全管理

针对***酒店系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求：

- 8 -

? ?

大幅度地提高系统的安全性（重点是可用性和可控性）； 保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置；

?

易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；

?

尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；

?

安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；

二、 安全系统整体设计方案

（一）系统设计原则

本方案的设计遵循并体现了如下设计原则：

?

先进性：

所采用的设备和技术应属世界、国内主流产品，在相关计算机、通信网络及数字视频技术方面处于国际或国内领先或领导地位。

?

一体系化设计原则

本方案从物理层安全、系统层安全、网络层安全、应用层安全、安全管理等层面充分分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。

?

可控性原则

本次方案采取的技术手段达到安全可控的目的，技术解决方案涉及的工程实施应具有可控性；

?

系统性、均衡性、综合性设计原则

从全系统出发，综合考虑各种安全风险，采取相应的安全措施，并根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。

?

可靠性、稳定性原则

- 9 -

设备及技术均已进入成熟期，应有类似的实际应用，系统运行稳定，在国内应用领域中占主导地位。采用安全系统之后，不会对南京中央商场的现有网络和应用系统有大的影响。在保证网络和应用系统正常运转的前提下，提供最优安全保障。

?

标准性原则

方案的设计、实施以及产品的选择以相关国际安全管理、安全控制、安全规程为参考依据。

?

投资保护原则

本次方案的设计和已经存在的设备具有兼容性，可以对已有设备进行有效的利用，保护已有投资

（二）安全应对策略及建议

在明确这些威胁与风险以后下一步需要做的就是在此基础上制定相应的安全策略，以求实现有效的平衡，即一方面需要保持可靠的信息安全，另一方面则要建立和易操作的有效安全系统。一个系统的安全强度实际等于它最薄弱环节的安全强度。即当一个网络系统存在一点薄弱环节时，其就有可能危及到整个网络系统的整体安全。

电子业务安全关键基础之一就是构成企业总体信息安全方案的综合策略。我公司根据贵单位网络现状分析，及工作业务的需求分析，从保护投资的角度考虑，提出了保证网络系统的高性能正常运行的建设建议：

1、建立多层次、全方面的防病毒系统

?

首先，根据病毒寄存的环境，在所有服务器和客户机上安装网络版防毒系统，通过趋势科技的Serverprotect加强服务器系统中的病毒防护，通过趋势科技的Officescan加强对网络中所有客户机的病毒防护。

?

其次，在内部交换层，通过硬件的网络防毒墙NVW对网络中的数据包

- 10 -

进行检测，有效的进行网络层病毒、蠕虫、恶意攻击行为的防护，及时的清除和隔离网络层的病毒包，保护内部网络的稳定与畅通,防止ARP病毒的侵害。

?

另外，根据病毒传播的途径，可以在网关处安装趋势防毒网关IWSA、 IMSA，在浏览网页、下载资料、收发邮件时进行有效的病毒防护。

?

最后，通过趋势统一集中控制管理平台TMCM实现对所有系统的集中病毒防护、策略的实施和管理

2、加强网络管理

信息系统的安全只靠安全设备是不能解决问题的，三分技术七分管理，必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成，使信息系统管理人员对信息系统的运行状况一目了然。

酒店客户的移动接入支持和安全的管理。需要酒店网络移动服务的大多是商务人士，他们需要酒店提供移动的支持、更主要的是安全性。 酒店是一个流动性很强的场所，所以这对网络的安全和管理是有很高的要求。例如：防止客户对一些非法网站的访问而带给网络中其它用户的伤害，还有客户用BT等软件会对其他网络用户的网速有非常大的影响，同时一网双用，内部办公网络和客户使用网络并用一个网络，而又互相隔离。

通过深信服AC设备实现：

（一）控制功能：细致的访问控制功能，有效管理用户上网

（二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏 （三）报表功能：强大的数据报表中心，提供直观的上网数据统计 （四）带宽及流量管理功能：强大的QOS功能及流量分析 （五）负载均衡和高可用性

（六）丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等 .

第五章 防病毒产品设计方案

----南京联成科技为***酒店构建的整体防病毒安全体系的建立简述如下：

1、区分内外网，加强内部网络的安全防护：找到网络的对外接口（互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络），在对外网络的接口处安装防火墙系统，通过防火墙实现内外网的隔离，保证内部网络的安全。

通过防火墙实现访问控制，控制内部用户的上网行为； 通过防火墙验证访问内部的用户身份、访问权限等；

- 11 -

通过入侵防护检测访问者的访问行为；

因为数据在网络上的传输都是明文的，为了保证数据传输的安全性须对数据进行加密，可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。

2、 防病毒产品的全面性，领先性：采用全方位，多层次防毒的方式，部署多层次病

毒防线，具体来说就是在网关利用趋势科技的IMSS以及SPS, 实现在进行病毒过滤的同时，也防范垃圾邮件对企业网络资源的消耗与破坏。对整个***酒店网络中的客户端采用趋势科技防毒墙网络版Officescan，对整个***酒店网络中的服务器部署趋势科技防病毒墙服务器版Serverprotect。对于整个***酒店整体的防病毒系统的中央控管则可以通过趋势科技中央控管软件TMCM来整体中央控管。 3、 厂商和代理商全面的服务：趋势科技授权服务商和趋势科技，***酒店相关人员组

成专门的防病毒以及安全小组，负责对***酒店的防病毒体系部署，防病毒安全规范的制定。趋势科技授权服务商相关人员将对***酒店的防病毒体系定期进行巡检，在***酒店的病毒爆发造成业务影响的紧急时刻，趋势科技授权服务商工程师将至***酒店现场服务。

趋势科技防病毒体系显著优势：

1. 厂商优势：趋势科技是目前业界唯一仅专注于防病毒和防病毒安全体系建立的厂商，相对其他的防病毒厂商，趋势科技的产品更具有技术的领先性。其设在菲律宾的，业界唯一获得ISO9002认证的TrendLab病毒实验室提供7*24小时、全年无休的专人专业服务，包括从最早的防毒内容及范围的规划、企业防毒网的建立、人员的教育训练、病毒爆发时保证两小时提供解药的最高等级支持等。

2. 高扩展性：由于专注于防病毒安全产品和解决方案，趋势科技有能力为***酒店提供全方位，多层次，具可扩展性的防病毒安全体系。除了提供用于客户机防病毒的officescan产品，用于服务器的ServerProtect产品，用于网关防病毒的IMSS产品和网关垃圾邮件防范的SPS，还可以在将来***酒店需要时提供专注于LotusNotes/Exchange的病毒防范软件 Scanmail,专注于Web防病毒的IWSS软件和提供所有在线用户的在线杀毒工具――DCS等。全方位的产品和解决方案支持使得趋势科技的防病毒安全体系的提供是具备高扩展性的。 3. 防范和查杀病毒的自动化：针对像***酒店比较大型的网络，单纯的依靠***酒店的各级网络管理人员进行分散的人为管理不可能将防病毒工作做到完美无缺。趋势科技提供高度自动化的管理和病毒防范，查杀技术。

? 扫描在线用户是否已经安装趋势客户端软件，并且可以有选择性的强制用户进行安装； ? 扫描在线用户是否安装了微软操作系统的补丁，并且可以有选择性的强制用户进行安装；

- 12 -

? 中央控管软件定期自动进行全网络的病毒查杀，自动的更新病毒码和扫描引擎，自动的生成全网络的病毒日志，分析报表，并且通过日志查找网络中的病毒源头等。所有这一切都是通过位于中心的中央控管软件自动进行。

4. 业界独一无二的病毒预防范：针对目前病毒出现――影响用户――病毒库和防病毒代码的出现这一时间段的病毒最可能蔓延和爆发的“真空期”，趋势科技提供业界独一无二的“企业保护战略技术”EPS，其中央控管软件能够在防病毒代码出现之前，就自动的关闭客户端可能引起病毒蔓延的端口，并自动的隔离已经感染病毒的PC，文件夹等。第一时间的做到了病毒的预防范。

本方案详尽描述了采用趋势科技公司的全线产品为***酒店构建的整体防病毒系统，该方案贯彻了如下整体防毒的基本思想：

1. 防毒一定要实现全方位、多层次防毒。在***酒店的方案中，我们部署了多层次病毒防线，分别是网关防毒、应用服务器防毒和客户端防毒，保证斩断病毒可以传播、寄生的每一个节点，实现病毒的全面防范；

2. 网关防毒和防垃圾邮件是整体防毒的首要防线。在***酒店的方案中，我们将网关防毒和防垃圾邮件作为最重要的一道防线来部署，全面消除外来病毒的威胁，使得病毒，垃圾邮件不能再从外网传播进来，对内部网络资源和系统资源造成消耗。同时，全面防范垃圾邮件的侵扰以及内部机密数据的外泄，在整个防毒系统中起到事半功倍的效果。 3. 网络层病毒直接清除：利用趋势科技网络病毒墙确保了病毒在网络设备之间传播的过程中就能够直接被清除，以避免对整个网络造成冲击。

4. 没有集中管理的防毒系统是无效的防毒系统。在***酒店的方案中，趋势科技构建了跨子网，跨分支机构的集中管理系统，保证了整个防毒产品可以从管理系统中及时得到更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。

5. 服务是整体防毒系统中极为重要的一环。防病毒系统建立起来之后，能不能对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为基础，另一方面也要求厂商以及本地趋势科技授权服务商能有足够的本地化技术人员作依托，不管是对系统使用中出现的问题，还是用户发现的可疑文件，都能进行快速的分析和方案提供。趋势科技作为网络防毒及互联网安全与服务的领导厂商，可以全面满足***酒店多层次的服务要求。

***酒店整体防毒系统所达到的效果

- 13 -

***酒店希望部署趋势科技防病毒整体解决方案后，能够达到以下效果： ? 对***酒店通过防火墙实现内外网的隔离，保证内部网络的安全

? 对***酒店网络内的应用服务器进行全面防护，斩断病毒在服务器内的寄生及传播； ? 对所有的客户机进行全面防护，彻底消除病毒对客户机的破坏，保证所有员工都有一个干净、安全的平台；

? 建立及时、快速的病毒响应机制，能够迅速抑制病毒在企业网中传播。

1.1. 网络防病毒产品推荐

基于上述原则及对该领域技术发展前景、产品的性价比等综合因素，联成科技建议***酒店计算机网络采用如下产品配置：

趋势公司 Trend Micro AntiVirus Total Solution 包括：

? 趋势科技防毒墙服务器版：ServerProtect； ? 趋势科技防毒墙网络版：OfficeScan

? 网络病毒墙: Trend MicroTM Network VirusWallTM-NVWE ? **防火墙： ?

自己添加????????.

产品简要说明:

产品功能及用途 产品名称 功能和部署建议 Officescan服务器端安装在***酒店的防病毒专用服务器桌面机的病毒防护 OfficeScan 上，Officescan客户端可自动安装在所有客户机上,透过Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置整个网络客户机防毒策略，并且也能迅速响应各种紧急事件。 ServerProtect远程安装在所有服务器上对Windows? NT/Novell/Linux服务器病毒防护 ServerProtect 2000/NT、Novell? NertWare或Linux Redhat网络上的服务器，提供全面性的病毒防护。它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。 - 14 -

针对企业网络内网安全管理的设备。可协助公司企业防止ARP病毒攻击，在爆发病毒疫情时隔绝高危险的网络脆弱网络层防病毒 NVWE 环节，在网络层部署由趋势科技提供的安全防御策略，并能在缺乏防毒保护的设备等潜在感染源连接网络时，予以隔离和清除。 Asic 内容处理器 行为特征扫描 VPN加密处理 (DES，3DES，MD5，SHA1) 网络防护 防火墙 状态检测防火墙会话处理 流量管理 每个芯片200-400 Mbps 的吞吐量 EsOS专用的, 高度安全的,基于需求定制的操作系统 - 15 -

2. 整体方案建议

2.1. 整体防病毒体系建议 2.1.1.

防病毒体系设计思路

为了构建一个强壮、有效的防病毒体系，在分析了***酒店网络架构及相关应用之后，针对潜在的病毒传播威胁，趋势科技建议采用结合产品、防御策略、服务为一体的防病毒体系。

由于***酒店防病毒管理具有明显的地域性，为了方便集中管理，需要有一套切实可行的集中管理机制，以方便管理员实时掌控全市防病毒状况。同时还要求按分支机构进行权限分派管理，不同分支机构的管理人员在中央控管体系中只能够管理到本分支机构范围内的防病毒软件，包括防病毒策略设定、病毒码及扫描引擎升级等。

联成科技在为***酒店设计的防病毒体系中，充分考虑到集中及分权管理的需求，构建逻辑结构为三层的防病毒体系：

2.1.2. 产品部署建议

根据***酒店计算机网络潜在的病毒威胁分析，结合趋势科技全系列防毒产品的特性，由点及面，全方位部署，彻底截断病毒入侵的所有途径。

2.1.3. 服务器防护

趋势科技防毒墙服务器版 – ServerProtect

趋势科技的ServerProtect可以对Windows? 2000/NT、Novell? NertWare或Linux Redhat网络上的档案服务器，提供全面性的病毒防护。ServerProtect是通过直觉的、可携式的主控台来操作，它提供病毒疫情管理、集中式病毒扫描、病毒码更新、事件报告和防毒配置等功能。 策略：

? 防毒软件可通过单一的主控台来管理。

? 安装时可以依照网域分组，同时替多部服务器进行安装。 ? 利用集中式报表，管理人员可以监看整个网络的状态。

? 通过Task Manager，管理人员可以轻松地完成各种病毒维护工作，例如设定扫毒模式、更新病毒码和程序、编辑病毒报告，以及设定实时扫描的参数等

- 16 -

? 反复扫描经过多层压缩的档案，支持的格式包括ARJ、Diet、LZEXE、LZH、PKLITE、PKZIP、Microsoft Compress，以及UUENCODE和MIME等邮件附件格式。 ? 自动下载和分发病毒码、扫毒引擎和程序文件。 ? 支持MPLS VPN和IPSec等VPN 竞争优势：

? IDC统计数据：连续多年占据全球市场份额第一位 ? 病毒代码到来之前具备网络控制功能，有效控制病毒扩散 ? 可集中分发病毒清除工具，免除手动清除烦恼 ? 跨网段安装与管理

? 有集中隔离工具,可以将感染病毒档案集中隔离到一台服务器

? 有病毒追踪工具,当有病毒通过网络共享扩散时,可以侦测到感染病毒的机器 ? 可以实现远程集中安装、扫描、更新、管理

? 软件安装时可对病毒进行预处理，安装后不需要重新启动 ? 强大、完善的日志管理功能

? 安装简单、产品成熟、运行稳定、高效防毒

部署建议：

在NT、2000、Netware和Linux系统的服务器上安装ServerProtect防病毒系统，提供以上系统的实时病毒防护能力。

? 为了满足大型企业的要求，ServerProtect本身被设计成一个多层结构的软件。它共有三个模块：Information Server (IS)，Normal Server (NS)，Management Console (MC)。NS是安装在每台文件服务器上的防毒模块，IS是所有NS的集中管理模块，可安装在某一台服务器上；MC是给管理员使用的管理界面模块，可安装在任何一台机器上。

? 因此部署时，可以将IS和MC安装在防毒专用服务器上，NS安装在真正的文件及Proxy、邮件服务器上。

在***酒店总部及下属各分支机构分公司中，建议各增设一台病毒防护专用服务器（系统配置需求请见产品布署列表）安装ServerProtect信息服务器及管理控制台（SP Information Server & Managemnet Console），作为Serverprotect的管理中心。在管理中心上实现每一个管理单位内所有服务器的防病毒策略部署和病毒代码、引擎的升级，然后在每一台NT或2000服务器上安装ServerProtect的普通服务器（SP Normal Server）。 产品部署架构：

- 17 -

同时，通过安装TMCM代理程序，Serverprotect就能够被整合在TMCM的管理体系中，并且能够通过TMCM得到“病毒爆发抑制策略”。Serverprotect应用该策略能够有选择性的关闭某些病毒攻击网络，服务器和客户机的端口，或共享文件夹。从而保护网络中的服务器群，在最新的病毒码没做出来之前不被新病毒攻击。

2.1.4. 客户机防护

趋势科技防毒墙网络版 – OfficeScan Corporate Edition

趋势科技的OfficeScan Corporate Edition将管理与部署的功能集中到服务器端。透过Web接口的管理主控台，管理人员可以从网络上的任何地点，来管理和设置全公司的防毒策略，并且也能迅速响应各种紧急事件。 竞争优势：

? 支持防护策略的自动/手动配置，有效控制病毒扩散 ? 支持多种客户端的安装方式

? HTTP Base具有Web管理功能,可以跨WAN进行管理 ? 方便而简单的配置管理与实时报告

? 先进的自动更新技术,无须管理员与用户的手动操作,不需要重新启动 ? 增量式、队列式更新防毒组件,节省网络带宽，提高网络性能 ? 主动关闭用户共享，阻绝病毒通过网络共享传播 ? 客户端POP3扫描功能

? 支持客户端自行上互联网更新防毒组件

? 支持网段扫描侦测尚未安装OfficeScan的用户机,杜绝防毒漏洞

- 18 -

? 支持将纪录数据导入SQL服务器方便数据分析与管理

? 支持在客户端可以在不同的OfficeScan服务器中转移,不需重新安装 ? 无论是域模式网络还是对等网络OfficeScan都完全支持 ? 软件安装时可对病毒进行预处理 ? 强大、完善的日志管理功能

? 病毒、客户机的排行榜功能，帮助网管了解毒源、善后处理、报告领导 ? 安装简单快捷、产品成熟、运行稳定、高效防毒

部署建议：

对桌面系统的病毒防护：在***酒店的32位操作系统的客户端上可统一采用OfficeScan。它的统一管理、升级和高效的实时防护，能有效的保证服务应用者的应用安全。

通过使用NT域的Login Script方式、或是使用Web页面方式、安装程序打包方式、SMS方式、文件共享方式（最多提供9种安装方式），可以迅速、方便地将OSCE客户端软件部署到每个客户机上。

在部署时，可将OfficeScan管理服务器安装在***酒店总部及各分支机构分公司的专用防病毒服务器上。这样就可在同一台服务器上实现服务器和桌面系统统一的防病毒策略部署和病毒代码、引擎升级。 产品部署架构：

- 19 -

同时，安装TMCM代理程序。Officescan就能够被整合在TMCM的管理体系中，并且能够通过TMCM得到“病毒爆发抑制策略”。Officescan应用该策略能够有选择性的关闭某些病毒攻击网络，服务器和客户机的端口，或共享文件夹，从而，阻挡大量的蠕虫病毒，在网络中大面积爆发。从而，保护用户网络中的所有客户机和服务器不受到病毒攻击。

2.1.5.

产品简介:

网络层防病毒

Trend MicroTM Network VirusWallTM 是基于网络层，针对企业网络内网安全管理的设备。可协助公司企业防止ARP病毒攻击，在爆发病毒疫情时隔绝高危险的网络脆弱环节，在网络层部署由趋势科技提供的安全防御策略，并能在缺乏防毒保护的设备等潜在感染源连接网络时，予以隔离和清除。不同于只监测安全威胁或提供信息的安全解决方案，Network VirusWall协助企业采取准确、快速的安全措施，并且主动侦测、预防围堵与进行善后清理。当企业在网络的各网段之间部署Network VirusWall之后，即可大幅降低安全威胁、网络宕机时间以疫情管理的负担。同时，Network VirusWall支持趋势科技的「企业安全防护策略」（Enterprise Protection Strategy）。

NVW提供以下主要功能： 1、 防止ARP欺骗

? 主动免疫，识别攻击者发送的ARP欺骗包，并阻止发送 ? 被动防护，保护终端免受ARP欺骗包影响 2、 网络流量侦测与网络病毒过滤

? 在网络层清除带毒数据包

? 分析网络数据流量，定位可疑计算机

? 使用智能型规则，提供关于网络病毒疫情的早期预警信息 3、 隔离薄弱环节

? 侦测带有安全漏洞的计算机，预防病毒利用网络上的薄弱环节入侵 ? 爆发病毒疫情时，阻止未安装相关补丁程序的计算机访问网络资源 4、 强制实施安全策略

? 隔离特定IP地址段

- 20 -

? 隔离实施通讯软件（MSN，Yahoo ICQ） ? 隔离特定文件传输

? 隔离特定的网络协议（TCP，UDP，ICMP） 5、 客户端补丁及防病毒软件管理

? 管理未安装防病毒软件（Symantec，MacFee，TrendMicro）的机器 ? 确保客户端安装最新的病毒代码（支持OfficeScan，PC-Cillin） ? 管理未打安全补丁的机器 6、 自动损害清除

? 自动远程清除病毒 ? 系统修复 ? 定时病毒查杀 ? 自动升级专杀工具 ? 集中管理

? 找出网络上的染毒来源并在清除完成前予以隔离 7、 报表管理

? 提供多种报表类型 ? 提供详细的安全报告 ? 定期安全性评估 .................

- 21 -

2、部署实施方案

由于***酒店整个网络物理位置分散的较开，这就给企业网络内网安全管理造成了非常大的困难。一旦出现ARP病毒攻击，无法快速定位攻击源。

基于***酒店目前的网络连接以及网络内网安全管理的存在的问题，趋势科技建议采用网络病毒墙Network Viruswall来为***酒店解决网络内网安全管理存在的问题。特别是ARP病毒攻击问题。一旦在***酒店网络中部署了NVW，应对先前对***酒店网络内网安全管理所存在的问题，NVW能够帮助***酒店在ARP病毒爆发生命周期中的每个环节，提高对整个网络的防病毒控制能力和管理能力：

阶段一：微软更新了新的补丁，新病毒随时可能爆发

1、NVW在网络监听待命，可在ARP攻击行动前，主动封锁。如针对ARP传播和感染利用的漏洞，NVW会将其定义为（最热门）（hot）的漏洞，作为企业安全政策执行，如果使用者未补好某些漏洞，则无法连上企业网络，避免被感染或灾区扩大

NVW强制检测网络中所有计算机是否有会被病毒所利用的操作系统漏洞和应用程序漏洞，同时，将漏洞的危险等级进行分类，针对具备不同危险等级漏洞的计算机，有不同的处理方式。NVW会将有漏洞的计算机隔离，同时，自动重定向到微软官方补丁更新网站或内部网络中的补丁升级服务器。有漏洞的机器只有把补丁更新好之后，才能被NVW释放，这样就确保***酒店网络中不会有防病毒的漏洞存在。

2、NVW能侦测高危险的网络薄弱环节，并加以隔离，它可以扫描全网内的系统漏洞，阻止漏洞机器上网，并立即针对可疑机器进行杀毒和系统恢复

NVW可以自动实时监测和扫描***酒店网络中所有的计算机的防病毒状态，并且能够按照管理员预先设定的处理措施，将那些没有安装防病毒软件的计算机以及病毒码过期的计算机，自动暂时隔离，同时，NVW会自动将有防病毒漏洞的计算机自动重定向到通过网页安装防病毒软件客户端的界面，从而强制计算机安装防病毒软件的客户端，而那些病毒码过期的计算机在被隔离的时间段内会自动从防病毒软件主控端升级到病毒码。一旦漏洞被弥补之后，所有被隔离计算机会被NVW自动释放。同时为了避免重要计算机被隔离，管理员可以在NVW中设定例外IP地址，确保重要计算机的可用性。

3、将笔记本电脑引导至指定的网址安装防病毒软件或者引导至在线杀毒服务器，一

- 22 -

避免笔记本电脑可能夹带的ARP病毒散播到企业的网络上

为了避免客户或者供应商的笔记本电脑在没有防护的情况下直接联入***酒店内部网络，在***酒店网络中可以设定特定的网段供他们上网，NVW会检测客户或者供应商的笔记本电脑是否具备防病毒能力，若有，则允许通过；若无，管理员则可以设定将笔记本电脑引导至指定的网址安装防病毒软件或者引导至在线杀毒服务器。即使什么防护动作都不开启，NVW也可以确保这些笔记本中所携带的网络病毒不能通过NVW向整个网络内部散播。

4、管理员在NVWE的控制台上输入各子网网关、代理服务器、邮件服务器的正确IP和MAC地址；

管理员输入的IP and MAC信息被 PEAgent 传输到客户端并被写入ARP静态表；客户端访问网关、代理服务器、邮件服务器等重要目标时就不会再被欺骗，同时也不需要进行ARP查询。

阶段二：ARP病毒在***酒店网络内部爆发阶段

4、捕获ARP包分析包中的IP是否是本机IP，如果是本机, ARP包允许发送。如果不是本机的，ARP包就被阻止并弹出警报信息给用户

根据ARP数据包的特征，NVW可以完全摆脱传统的单纯的依靠病毒码进行病毒查杀的方式，可以直接将ARP病毒的欺骗数据包丢弃并弹出警报信息给用户，来解决ARP病毒在***酒店网络中攻击和散播。

阶段三：***酒店全网络清除ARP病毒 5、自动远程清除ARP病毒

一旦发现网络中有机器感染了ARP病毒，对外进行ARP攻击。NVW会自动调用损害清除服务，远程自动清除感染ARP病毒的机器。

6、NVW的损害清除服务能够持续性的监控网络，避免病毒重复感染

NVW能够实时地，持续性的检测网络中的ARP病毒，能够发现依靠人力无法发现的防ARP病毒遗漏的死角，从而确保能够真真正正的消灭网络中的ARP病毒。

添加产品介绍????

- 23 -

第六章 内网管理产品设计方案

----南京联成科技为***酒店构建的整体内网管理体系的建立简述如下： 1.需求概述

1．1 背景介绍

***酒店建有完备的内网信息系统。网关处部署了防火墙，等安全设备。整个酒店应用了，OA系统、ERP系统、WEB服务器、邮件服务器等同过互联网平台得到整体应用…

酒店规模... 酒店发展状况... 酒店员工组成...

1．2 需求分析

***酒店的网络有两部分：办公网络和客房网络，两个网络通过一条Internet出口连接互联网，客房用户上网随意性较大，需要带宽管理措施来限制占用带宽过高的用户，并保障办公网络的网速正常。

酒店用户流动性很大，随身携带的移动电脑中经常带有病毒，一旦爆发将影响整个网络的正常，例如常见的ARP地址欺骗病毒，当中毒电脑冒充网关地址时，整个网络的客户端都将受此影响而无法访问互联网，因此急需有效的防内部攻击措施来保障网络正常。 宾馆酒店的管理人员不具备网络专业能力，而管理的网络却又是复杂多样的.

传统的ARP地址双向绑定技术虽能有效防止ARP地址欺骗，但对于酒店这种流动性非常大的网络来说并不适用。

1．3 客户具体需求分析

##***酒店网络访问控制详细需求分析……

随着业务的发展，信息化建设步伐的加快，某某酒店的网络安全问题也日益严峻，虽然在网络出口处已部署了专门的防火墙设备，但无孔不入的病毒（尤其是木马病毒）、垃圾邮件仍然大肆泛滥，严重影响了企业应用系统的运行和公司业务的正常运作；另外，在针对内网的安全方面（尤其是PC客户端准入安全检查），由于缺少专门的客户端安全检查设备，无法有效的保护整个局域网的安全性。

最为重要的是企业对入住客户使用方面没有很好的限制方法，导致bt下载严重影响了企业内部关键应用的使用。

- 24 -

通过对酒店网络目前普遍存在的问题，我们看到***酒店在内网行为方面在以下几个方面需要解决:

------无法做到细致的访问控制

首先酒店企业有着丰富的网络资源如：OA系统、ERP系统、WEB服务器、邮件服务器等。并且酒店的规模十分庞大，部门、人员组成十分复杂。酒店无法对这些用户进行细致的分组规定他们访问的资源的权限。还有QQ、MSN、BT等网络资源同样无法进行有效的控制，导致用户可以任意的使用网络资源使员工效率降低，并且加大了企业的风险。

------无法对内网用户的网络行为进行有效的监控

提到网络安全问题，大多数用户都只关注外网安全。但是其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。所以虽然酒店企业已经部署了防火墙等安全设备，但是无法对内网用户的网络行为进行有效的监控。

------ 没有很好的统计方法，无法得知内网的使用状况

管理员无法具体知道网络的使用情况只能听员工反映的情况，最多只能简单的记录一些ip访问情况，查寻起来非常不便。

------ 对带宽流量无法管理

不能限制入住酒店客户的网络使用，对流量无法控制，无法对酒店带宽有效的管理，导致酒店内部重要的关键应用无法正常的运转。

------ 无法保证客户端的安全性

由于员工的机器没有限制，所以无法保证在上网时的安全性，导致很容易从访问网站中感染病毒，木马，等不安全因素，从而影响整个内网用户的应用。

（根据不同的情况适当进行调整）

- 25 -

2、解决方案

2．1 AC上网行为管理设备功能介绍

（一）控制功能：细致的访问控制功能，有效管理用户上网

SINFOR AC安全网关不仅可以对员工访问WEB、FTP、MAIL等常用服务的内容进行控制，更可以对QQ、BT、MSN、SKYPE等各种P2P软件的行为进行限制和控制。丰富的报表功能还可以分析出企业的Internet的详细使用情况，为网络管理员和决策者分配和了解员工网络资源提供有效数据支持。基于Web的和LDAP/Radius集成的用户认证功能，使得对上网用户的管理变得十分灵活方便。

表3.1：访问控制功能一览表

功能模块 功能

IP－MAC绑定

性能指标

结合准入规则功能，可实现跨三层交换机的IP-MAC绑定功能

WEB认证的用户名和密码可以使用本地用户密码也可以和LDAP服务器、Microsoft 的AD服务器、Radius服务器，POP3服务器联动 支持基于Microsoft AD域的单点登陆，用户登陆域以后，不需要再次在WEB认证页面输入密码 对上网的终端进行安全检查，可检查是否安装了防病毒软件、个人防火墙软件或病毒库是否升级、操作系统是否安装安全补丁以及是否运行了某个不该运行的软件 分组、分时段，有选择性的封堵各种上网行为

能识别采用Http、Https、Socks等代理服务器绕过防火墙检查的行为，防止访问非法网站

允许管理员有选择性的封堵各种P2P和IM软件

在用户达到管理员设定的最长上网时间后拒绝该用户对互联网的继续访问

数十种多达300万条URL库，控制对危险、反动、色情等各类站点的访问

基于网址/搜索引擎以及HTTP上传的关键字过滤功能。如通过WEB发邮件、通过BBS发表言论

对HTTP/ FTP上传下载的文件做文件类型过滤

可对发送的邮件做关键字、邮箱地址的过滤。保证内部机密信息不外泄漏

通过对网站的数字证书和数字签名进行审核和对照，利用SSL证书库内置的可信任证书颁布机构列表，对SSL连接的证书内容进行可信度评估，当危险站点采用了伪造的数字证书来骗取内网用户信任时，AC可以判断出其本来面目并进行阻断，避免组织成员蒙受经济损失。

身份认证 WEB认证

单点登录

客户端安全检查

网络准入规则 策略管理

上网权限控制

代理检测 P2P控制 上网时长限制 URL控制 关键字过滤 文件类型过滤

内容过滤 邮件过滤

SSL证书 过滤及控制

- 26 -

（二）监控功能：完善的内容过虑和访问审计功能，防止机密信息泄漏

谈到安全问题时，大多数人都只关注外网安全，但其实企业的信息资产更多的不是被黑客窃取，而是通过内部泄漏的。SINFOR AC安全网关完善的访问审计和监控功能能够有效防止信息通过Internet泄漏，并建立强大的内部安全的威慑，减少内部泄密的行为。对于邮件类型的应用还采用了深信服“邮件延迟审计”的专利技术来保证先审计后发送。SINFOR AC的访问审计/监控模块为企业构筑了强大的内部安全屏障。

另外, 根据国家规定，提供上网服务场所必须将上网日志保存，并以一定的技术手段进行管理；目前许多宾馆酒店都未有这种技术手段，在网络管理上存在着漏洞，达不到国家的要求.

表3.2：访问审计功能一览表 功能 邮件延迟审计 实时监控 内网监控 详细指标 对外发邮件进行延迟缓存，审计后才能发出，确保信息资产不外泄 实时监控用户的上网行为 针对员工在网上的所有行为，包括聊天记录、浏览的网页、上传下载的文件等进行详细的记录，以监控内网人员的上网行为，防止企业内部机密、情报等泄漏，并事后追查责任人 （三）报表功能：强大的数据报表中心，提供直观的上网数据统计

SINFOR AC网关拥有强大的数据中心，管理者可分组、用户、规则、协议等多种查询对象，按饼图、柱状图、曲线图等方式进行查询，可直观地查看到网络流量、邮件、网络监控、IPS系统、准入规则、防火墙等详细信息，并可直接打印和导出报表。SINFOR AC网关强大的日志系统和丰富的报表功能，可详细分析出企业的Internet的详细使用情况，为网络管理员和决策者提供了最有效的数据支持。

表3.3：数据中心功能一览表 功能 流量统计日志 邮件日志 网络监控日志 准入规则日志 IPS日志 防火墙日志 日志库管理 用户管理

详细指标 包含内网流量统计概要、组流量排行、流量日志、流量趋势等，用饼状、柱型等直观地表示网络内部的流量排名 包含邮件统计概要、邮件排行、邮件查询、邮件趋势等功能，可详细统计用户所有收发邮件的具体情况 包括监控统计摘要、监控排行、监控查询、监控趋势等功能。管理员可详细监控内网用户使用互联网资源的具体使用情况 包括准入规则摘要、准入排行、准入查询等功能，管理员可对内部网络的违规机器进行详细统计和查看 包含IPS日志摘要、IPS排行、IPS查询、IPS趋势等功能，可显示详细的网络安全情况 包含防火墙摘要、防火墙排行、防火墙查询、防火墙趋势等功能，管理员可以对防火墙的日志进行更为详细地分析 主要包含日志库信息、日志库查询、日志库切换等功能 管理员可在此新增用户、查询用户 - 27 -

（四）带宽及流量管理功能：强大的QOS功能及流量分析

SINFOR AC安全网关强大的访问控制和QOS功能可以使得酒店合理利用Internet资源，为不同的用户分配不同的带宽和上网权限，使得Internet资源得到有效利用，并大大提高员工的工作效率。

SINFOR AC安全网关可以详细记录和分析所有流量的内容，包括http、ftp、mail、telnet等常用软件的内容和常用IM软件的内容。另外还能按用户、用户组、协议和时间对Internet流量进行统计分析，以优化员工对Internet的资源使用情况。使得企业有限的带宽能得到最充分的利用，提高企业的网络利用率。

表3.4：QOS及流量控制功能一览表 功能 QOS保证 流量控制 详细指标 使用差分业务模型实现QOS 使用随机早期检测RED丢弃算法提供流量控制 能针对内网每个用户或者不同的组，限定其上网能占用的带宽资源，使企业内网带宽资源得到充分有效的利用 针对P2P应用采用上行流量和下行流量得限制，保证整个网络得带宽 （五）负载均衡和高可用性

负载均衡和高可用性

多线路 双机热备

支持多达４条Internet 线路，各线路之间可互为备份，可负载均衡 ，通过智能选择最优线路技术，有效解决南北运营商互联互通问题 通过热备技术提供高可用特性，提高网络可靠性

（六）丰富的外网安全功能：包括防火墙、VPN、IPS、网关杀毒及防垃圾邮件等

作为一个全面的内网管理设备，SINFOR AC安全网关还提供了丰富的外部安全保障措施。除了强大的防火墙模块和VPN模块之外，SINFOR AC安全网关还集成了来自欧洲的领先病毒厂商F-PROT的杀毒引擎，对内网用户接收的邮件和下载的文件进行病毒过滤，降低了内网用户感染病毒的风险。另外，强大的垃圾邮件过滤功能将大量垃圾邮件拒之门外，也大大提高了员工使用Internet的办公效率。同时SINFOR AC安全网关还提供了高效的IPS（入侵防御系统）功能，能有效识别和抵御3000多种攻击，更大范围的保护了企业连接到Internet的安全。

- 28 -

2.2. SINFOR AC安全网关主要技术优势

（一）深度的内容检测技术及在线网关监控技术——及时封堵P2P、IM软件

（1）深度的内容检测技术：目前的P2P软件，如QQ、MSN等IM即时通讯软件以及BT、电驴等下载软件，在用TCP或者UDP数据包的传送过程中，其报文段都会有一段特征码，该特征码是用来标识其数据包类型。SINFOR AC安全网关的深度内容检测技术，可以检测出数据包的报文中相对应的特征码，并根据预置策略进行及时封堵。SINFOR AC安全网关内置了多种深度内容检测技术所依赖的特征码规则，并且可以从网站上更新下载。依靠这种技术，SINFOR AC安全网关可以封堵目前所有的P2P软件；避免了最终用户在IM或者P2P软件上浪费时间，提高了员工的工作效率和企业的生产效率，并防止泄密或由于员工泄密引起的重大损失。

（2）在线网关监控技术：与其他旁路监听的访问监控产品不同的是，SINFOR AC使用了在线网关监控技术。所有的旁路监听产品，对UDP发送的数据都难以拦截，并且拦截往往有一定时延，拦截敏感数据的效果不佳，并且容易遗漏监控数据。SINFOR AC的在线拦截监控技术能保证拦截到所有敏感数据，外出数据无一纰漏。

（二）流量控制管理

（1）P2P软件流量控制：针对目前P2P软件泛滥，完全影响网络使用带宽的情况。深

信服创造性的提出不仅仅要封堵，更重要的是进行流量的限制，彻底将P2P赶到应用的死角。针对每一种P2P应用进行上行流量和下行流量的控制。

- 29 -

（2）QOS控制：

QOS（网络服务质量）技术包括专用带宽、抖动控制和延迟、丢包率的改进以及对指定高优先级网络服务的流量保证。AC同样采用了QOS技术，对流经WAN和LAN的数据进行了优先级处理，保证了重要服务的带宽质量。

（三）邮件的延迟审计（专利技术）

SINFOR AC安全网关独有的邮件延迟审计功能保证了企业的重要信息不外泄。目前电

子邮件已经成为人们最重要的沟通方式。电子邮件快捷、方便的特点已经成为企业与外部沟通的最有效的方式之一。企业内部大量的信息都通过电子邮件方式发送到外部，因而电子邮件也成为泄漏企业重要信息的重要途径之一。

SINFOR AC安全网关独创的邮件延迟审计功能，可以对经由AC安全网关的所有邮件进行延迟审计。对于内网用户向外发送邮件，AC安全网关会对其进行延迟缓存，只有等待管理员审计后才能发出，确保了企业信息资产不外泄，保证了企业内网信息的安全，且邮件延迟审计对发件人完全透明。

（四）独有的网络访问准入规则（专利技术）

企业的安全隐患，往往是由于内网用户客户端缺乏安全防范造成的。为了从根本上杜绝企业内部网络安全隐患，减少内网用户遭受间谍软件、病毒的风险。深信服科技创新性地采用了网络访问准入规则这一技术。

网络访问准入规则，是管理员在SINFOR AC安全网关的准入规则中预先定制好内网计算机的安全策略。所谓安全策略，是指特定的安全标准。如：用户计算机的操作系统是否安装有管理员指定的系统补丁，以及用户的计算机是否安装有相应的杀毒程序或者防火墙，或者是用户的计算机是否启动相应的杀毒程序、防火墙程序等等，这一系列的安全标准都可以定制成相应的安全策略。

当用户计算机访问网络请求的数据包通过SINFOR AC安全网关时，若启用了WEB认证，当用户通过WEB认证后，此时用户的计算机会自动从AC安全网关下载相应的安全策略扫描程序，并根据指定的安全策略启动扫描程序，检查用户的计算机是否具备了相应的安全策略。只有符合相应的安全策略的计算机才允许访问外部网络，不具备相应安全条件的用户计算机，不允许上网。这样从根本上提高了企业用户计算机的安全性，减少了企业用户遭受蠕虫、病毒、木马以及间谍软件的风险。

（五）WEB认证技术

AC安全网关基于Web的用户认证功能，使得管理员对上网用户的管理变得十分灵活方便。用户启用了Web认证功能以后，除了对客户端的本地身份（如：用户名密码认证，LDAP、RADIUS、Microsoft AD、POP3认证）进行常规性认证以外，还将启用Web认证。当客户端在浏览器中输入任意网址时，AC安全网关会要求用户输入用户名和密码进行认证。只有当用户输入了正确的帐号，该用户才能够访问Internet。

- 30 -

（六）高度集成，部署灵活

SINFOR AC安全网关很重要的一个特点就是除了作为专用的互联网访问控制设备外，它还是一个整合式的UTM设备，将访问控制/监控、网关杀毒、防垃圾邮件、防火墙、VPN和IPS等多种功能都集成在一个网关。用户可以使用较低的成本同时拥有多种网络安全模块，大大降低了企业在网络安全方面的总体拥有成本。另外，用户在使用AC作为互联网访问控制设备的同时，也可以选择使用AC设备的其他某个或某几个功能模块，比如将AC作为杀毒网关或防火墙等的网络设备使用，可与原有网络安全产品融合，部署灵活的同时也保护了投资。

- 31 -

第七章 整体网络应用拓扑图

- 32 -

第八章 ***酒店安全服务

作为一家将顾客服务放在第一位的信息安全服务商，南京联成科技发展有限公司充分认识到优质的售后服务及长期技术支持对客户的重要性。我们提供了非常灵活和多样的服务方式来满足用户的不同需求。这样，您能有更多的时间来面对您的事务而不是您的计算机系统。

我公司的技术支持部拥有一批具有丰富支持服务经验及较高职业素质的高科技人才，提供专门针对顾客需求而设计的各项技术支持服务，以保证用户系统运行后的正常运转，大大有利于提高用户系统运作的效率及稳定性。

客户从购买我公司所提供的产品或服务之日起就可以开始获得我们全面的技术支持服务。我们可以向客户提供的服务包括专业技术咨询服务、设备安装及调试服务、维护/保修服务、客户培训服务、专业厂商服务等。

一、 专业技术咨询服务

我公司专业技术服务队伍是由我公司资深的技术专家、精通计算机网络及信息安全的高级工程师、专业的售后服务工程师、经验丰富的系统工程师及售前工程师组成。

我们的专业技术服务旨在深入地了解用户业务、应用、网络及计算机系统的现实和发展需求，向用户提供专业的信息安全规划，系统设计的指导，项目管理等服务，最终帮助我们的客户成功地完成其计算机信息安全系统的规划、建设、使用和发展。 二、 设备安装及调试服务

我公司将按合约向用户提供相关产品的用户现场安装与调试服务。软硬件设备的安装、调试及验收将按我公司的标准及合同规定的要求来进行。工作包括按照装箱单（或合同）清点货物、安装网络及计算机产品硬件及软件、产品功能验证、网络节点设备安装、相关节点设备的网络环境定义及参数配置、启动网络运行，实现网络各节点设备的物理连通及相互间的远程登录；完成与网络间其它设备的互联调试、与主机间的连通调试。并协助进行网络及系统的测试和验收工作。

完成设备安装调试后我们将递交的书面报告主要包括：《到货确认书》《机房场地检查表》《设备安装报告》等，在系统稳定运行后我们还将向用户提交一份针对性较强、详尽的《系统安装及日常维护手册》，以

- 33 -

及重要设备参数及配置文件、软件证书及密码、IP 地址分配表、网络拓扑图及分项网络服务信息记录文件等等文档，以此建立用户网络及计算机系统档案。 三、 维护/保修服务

我公司的维护/保修服务覆盖所有合同产品。用户向我公司购买信息安全产品均享受保修期。在此期间，我的热线响应中心将为您提供电话咨询服务，为用户提供免费现场服务，排除硬件故障，恢复硬件系统的正常运行。在保修期结束后，建议用户签订信息安全系统整体维护合约。我们的主要服务和承诺包括：

我公司办公地点设在南京，同时在省内多个城市设有分公司和办事处及备件中心，具有足够的技术支持能力和保障服务力量，技术人员具有丰富的售后服务经验，将按照严格的流程和积极的态度为用户服务。

在承诺的系统免费质量保证期内，当用户因系统问题提出请求时，我们将确保在2小时内对用户及时响应，完成诊断之后的8小时内，使用备件及时更换损坏器件，并且保障维修换件时系统切换时间不超过2小时，以保障系统正常运行。

在承诺的免费质保期内，我们将为用户提供7*24小时的热线支持（非工作时间用户可联系到我技术支持部工程师），及时回答用户遇到的各种软、硬件问题。

在承诺的免费系统保障期过后，我们将有偿的为用户提供7*24小时的热线支持（非工作时间用户可联系到我技术支持部工程师）。

当客户增加新功能以满足业务需要时，及时提供软件及系统版本升级的方案，以最优惠的价格提供系统软件修补及性能优化服务，使用户计算机系统始终保持在最佳、最新的工作状态。 四、 疑难问题升级服务。

定期走访用户，了解使用情况，及时发现问题，提出建议。 电话、E-mail或传真解答用户提问；或借助电话网和调制解调器，在用户许可的情况下登录到合同用户的系统中，远程诊断并排除操作系统及外围软件的问题。

所有的维护工作结束后，我们的工程师均会提供《技术支持与服务

- 34 -

报告》或以E-mail的形式记录问题的现象及解决情况。 五、 WWW 服务

用户可以通过访问我公司或厂商专业化的WWW 站点，获得更多我们提供的免费技术性资料及支持服务，主要包括：技术白皮书、技术问题解答、用户补丁程序、免费软件资源下载、会展信息、培训信息、我典型案例分析、网上BBS、新产品介绍、技术热点讨论等等。 六、 厂商服务

我公司提供一线服务,含现场安装,现场故障处理等,厂商公司提供二线服务，详细内容如下:

（1）现场硬软件安装和调试； （2）现场维护服务； （3）现场设备维修服务；

（4）电话咨询和电子邮件,传真服务； （5）电话响应服务； （6）用户现场巡检服务； （7）现场故障诊断服务 （8）备件更换服务等。 七、 服务方式

根据客户的实际情况和需要，我们为客户提供的售后服务同时以以下三种方式进行：

1、远程技术支持

主要是对一般情况的小故障，在问题不算复杂、或者客户维护人员对某些技术问题存在疑问时使用。我公司技术人员将对客户所反映的问题，通过远程电话指导等方式解决问题。 2、现场技术服务

对于那些无法通过远程技术指导解决的系统问题或故障，我公司将根据问题和故障的种类及情况，安排相应地区的专业技术工程师到现场为客户排除故障、解决问题。

- 35 -

3、机房巡视、设备检查和软件升级打补丁服务

我公司将安排专门技术人员与客户人员一起定期到各节点机房查看软硬件设备运行情况，检测软硬件设备功能是否正常，排除可能存在的故障隐患。并根据情况，为设备做软件升级和打需要的软件补丁。

八、 厂商有关技术支持和服务的联系方法如下：

一线支持：

在设备出现故障或需要技术咨询时，请与我公司联系。在设备出现故障，确定问题后，由我公司相关地区的技术人员携带所需备件至现场进行服务；如所需备件须从总部调取，将以快件的方式邮递至所需地区或直接由总部的技术人员携带备件至现场完成现场的维修服务。如果由厂商负责维护，可直接与厂商公司联系。 二线支持：

在遇到疑难故障，一线支持在现场未能修复时，可与厂商办事处的工程师联系。厂商公司远程登录进行检查，确定问题后，如需要将由工程师携带所需备件赶赴用户现场直接进行现场服务或维修。

第九章 产品报价 …………….

- 36 -

本文来源：https://www.bwwdw.com/article/twz6.html