解决方案怎么写范文(精品五篇)

篇1：解决方案

网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署：网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备，并且在各个设备或系统之间，能够实现系统功能互补和协调动作。

网络系统安全具备的功能及配置原则

1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻止在网络和服务的边界以外。

2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从管理上堵塞漏洞。

3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系，实时检测出攻击倾向和行为，并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。

4.加密保护。主动的加密通信，可使攻击者不能了解、修改敏感信息(如方式)或数据加密通信方式;对保密或敏感数据进行加密存储，可防止窃取或丢失。

5.备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

6.监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。

边界安全解决方案

在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙，为“内部”网络(段)与“外部”网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的设备，在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。

1.防火墙应具备如下功能：

使用NAT把DMZ区的服务器和内部端口影射到Firewall的对外端口;

允许Internet公网用户访问到DMZ区的应用服务：http、ftp、smtp、dns等;

允许DMZ区内的工作站与应用服务器访问Internet公网;

允许内部用户访问DMZ的应用服务：http、ftp、smtp、dns、pop3、https;

允许内部网用户通过代理访问Internet公网;

禁止Internet公网用户进入内部网络和非法访问DMZ区应用服务器;

禁止DMZ区的公开服务器访问内部网络;

防止来自Internet的DOS一类的攻击;

能接受入侵检测的联动要求，可实现对实时入侵的策略响应;

对所保护的主机的常用应用通信协议(http、ftp、telnet、smtp)能够替换服务器的Banner信息，防止恶意用户信息刺探;

提供日志报表的自动生成功能，便于事件的分析;

提供实时的网络状态监控功能，能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的IP、正在关闭的连接等信息)，通信数据流量。提供连接查询和动态图表显示。

防火墙自身必须是有防黑客攻击的保护能力。

2.带防火墙功能的设备是在防火墙基本功能(隔离和访问控制)基础上，通过功能扩展，同时具有在IP层构建端到端的具有加密选项功能的ESP隧道能力，这类设备也有S的，主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来，一般要求S应具有一下功能：

防火墙基本功能，主要包括：IP包过虑、应用代理、提供DMZ端口和NAT功能等(有些功能描述与上相同);

具有对连接两端的实体鉴别认证能力;

支持移动用户远程的安全接入;

支持IPESP隧道内传输数据的完整性和机密性保护;

提供系统内密钥管理功能;

S设备自身具有防黑客攻击以及网上设备认证的能力。

入侵检测与响应方案

在网络边界配置入侵检测设备，不仅是对防火墙功能的必要补充，而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析，可以检测出侵害“内部”网络或对外泄漏的网络行为和流量，与防火墙形成某种协调关系的互动，从而在“内部”网与外部网的边界处形成保护体系。

入侵检测系统的基本功能如下：

通过检测引擎对各种应用协议，操作系统，网络交换的数据进行分析，检测出网络入侵事件和可疑操作行为。

对自身的数据库进行自动维护，无需人工干预，并且不对网络的正常运行造成任何干扰。

采取多种报警方式实时报警、音响报警，信息记录到数据库，提供电子邮件报警、SysLog报警、SNMPTrap报警、Windows日志报警、Windows消息报警信息，并按照预设策略，根据提供的报警信息切断攻击连接。

与防火墙建立协调联动，运行自定义的多种响应方式，及时阻隔或消除异常行为。

全面查看网络中发生的所有应用和连接，完整的显示当前网络连接状态。

可对网络中的攻击事件，访问记录进行适时查询，并可根据查询结果输出图文报表，能让管理人员方便的提取信息。

入侵检测系统犹如摄像头、监视器，在可疑行为发生前有预警，在攻击行为发生时有报警，在攻击事件发生后能记录，做到事前、事中、事后有据可查。

漏洞扫描方案

除利用入侵检测设备检测对网络的入侵和异常流量外，还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞，并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。

对于漏洞扫描的结果，一般可以按扫描提示信息和建议，属外购标准产品问题的，应及时升级换代或安装补丁程序;属委托开发的产品问题的，应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题，应建议系统管理员修改配置参数，或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。

漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助，对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。

考虑到漏洞扫描能检测出防火墙策略配置中的问题，能与入侵检测形成很好的互补关系：漏洞扫描与评估系统使系统管理员在事前掌握主动地位，在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此，漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标，而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品，不但可以简化管理，而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。

网络防病毒方案

网络防病毒产品较为成熟，且有几种主流产品。本方案建议，网络防病毒系统应具备下列功能：

网络&单机防护—提供个人或家庭用户病毒防护;

文件及存储服务器防护—提供服务器病毒防护;

邮件服务器防护—提供LotusNotes,MicrosoftExchange等病毒防护;

网关防护—在SMTP,HTTP,和FTPservergateway阻挡计算机病毒;

集中管理—为企业网络的防毒策略，提供了强大的集中控管能力。

关于安全设备之间的功能互补与协调运行

各种网络安全设备(防火墙、入侵检测、漏洞扫描、防病毒产品等)，都有自己独特的安全探测与安全保护能力，但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此，在安全设备选型和配置时，尽可能考虑到相关安全设备的功能互补与协调运行，对于提高网络平台的整体安全性具有重要意义。

防火墙是目前广泛用于隔离网络(段)边界并实施进/出信息流控制的大众型网络安全产品之一。作为不同网络(段)之间的逻辑隔离设备，防火墙将内部可信区域与外部危险区域有效隔离，将网络的安全策略制定和信息流动集中管理控制，为网络边界提供保护，是抵御入侵控制内外非法连接的。

但防火墙具有局限性。这种局限性并不说明防火墙功能有失缺，而且由于本身只应该承担这样的职能。因为防火墙是配置在网络连接边界的通道处的，这就决定了它的基本职能只应提供静态防御，其规则都必须事先设置，对于实时的攻击或异常的行为不能做出实时反应。这些控制规则只能是粗颗粒的，对一些协议细节无法做到完全解析。而且，防火墙无法自动调整策略设置以阻断正在进行的攻击，也无法防范基于协议的攻击。

为了弥补防火墙在实际应用中存在的局限，防火墙厂商主动提出了协调互动思想即联动问题。防火墙联动即将其它安全设备(组件)(例如IDS)探测或处理的结果通过接口引入系统内调整防火墙的安全策略，增强防火墙的访问控制能力和范围，提高整体安全水平。

篇2：解决方案

1.1安全系统建设目标

本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案，包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施，以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下，实现对网络的全面安全管理。

1) 将安全策略、硬件及软件等方法结合起来，构成一个统一的防御系统，有效阻止非法用户进入网络，减少网络的安全风险;

2) 通过部署不同类型的安全产品，实现对不同层次、不同类别网络安全问题的防护;

3) 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。

具体来说，本安全方案能够实现全面网络访问控制，并能够对重要控制点进行细粒度的访问控制;

其次，对于通过对网络的流量进行实时监控，对重要服务器的运行状况进行全面监控。

1.1.1 防火墙系统设计方案

1.1.1.1 防火墙对服务器的安全保护

网络中应用的服务器，信息量大、处理能力强，往往是攻击的主要对象。另外，服务器提供的各种服务本身有可能成为"黑客"攻击的突破口，因此，在实施方案时要对服务器的安全进行一系列安全保护。

如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务，就会面临着"黑客"各种方式的攻击，安全级别很低。因此当安装防火墙后，所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后，才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击，外界只能接触到防火墙上的特定服务，从而防止了绝大部分外界攻击。

1.1.1.2 防火墙对内部非法用户的防范

网络内部的环境比较复杂，而且各子网的分布地域广阔，网络用户、设备接入的可控性比较差，因此，内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户，如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性，我们必须要对它进行详尽的分析，尽可能防护到网络的每一节点。

对于一般的网络应用，内部用户可以直接接触到网络内部几乎所有的服务，网络服务器对于内部用户缺乏基本的安全防范，特别是在内部网络上，大部分的主机没有进行基本的安

全防范处理，整个系统的安全性容易受到内部用户攻击的威胁，安全等级不高。根据国际上流行的处理方法，我们把内部用户跨网段的访问分为两大类：其一，是内部网络用户之间的访问，即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(NETBIOS)应用;其次，是内部网络用户对内部服务器的访问，这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高，如果内部人员发起攻击，内部网络主机将无法避免地遭到损害，特别是针对于NETBIOS文件共享协议，已经有很多的漏洞在网上公开报道，如果网络主机保护不完善，就可能被内部用户利用"黑客"工具造成严重破坏。

1.1.2入侵检测系统

利用防火墙技术，经过仔细的配置，通常能够在内外网之间提供安全的网络保护，降低了网络安全风险，但是入侵者可寻找防火墙背后可能敞开的后门，入侵者也可能就在防火墙内。

网络入侵检测系统位于有敏感数据需要保护的网络上，通过实时侦听网络数据流，寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时，网络监控系统能够根据系统安全策略做出反应，包括实时报警、事件登录，或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方，如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域，可以单独各部署一套网络监控系统(管理器+探测引擎)，也可以在每个需要保护的地方单独部署一个探测引擎，在全网使用一个管理器，这种方式便于进行集中管理。

在内部应用网络中的重要网段，使用网络探测引擎，监视并记录该网段上的所有操作，在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时，网络监视器还可以形象地重现操作的过程，可帮助安全管理员发现网络安全的隐患。

需要说明的是，IDS是对防火墙的非常有必要的附加而不仅仅是简单的补充。

按照现阶段的网络及系统环境划分不同的网络安全风险区域，x市政府本期网络安全系统项目的需求为：

区域 部署安全产品

内网 连接到Internet的出口处安装两台互为双机热备的海信FW3010PF-4000型百兆防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装NetHawk网络安全监控与审计系统;在内部工作站上安装趋势防毒墙网络版防病毒软件;在各服务器上安装趋势防毒墙服务器版防病毒软件。

DMZ区 在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台InterScan

VirusWall防病毒网关;安装百兆眼镜蛇入侵检测系统探测器和NetHawk网络安全监控与审计系统。

安全监控与备份中心 安装FW3010-5000千兆防火墙，安装RJ-iTOP榕基网络安全漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙服务器版管理服务器，趋势防毒墙网络版管理服务器，对各防病毒软件进行集中管理。

篇3：解决方案

1、行业背景

随着互联网宽带和技术应用的成熟，以及物流和支付系统的完善，可以预见，电子商务将成为互联网普及应用的主流，必将影响着千家万户的生活和经济行为，并日益成为社会商业活动的重要形式。

网络渠道已经发展成为一个新生的潜力巨大的营销渠道。

相对于传统企业的分销渠道而言，除了传统的直销、代理、分销等销售渠道模式，网络分销渠道已经广泛受到传统企业的高度重视。随着传统渠道竞争的白炽化、网上购物环境的成熟、网上购物市场规模的飞速增长。一面是传统渠道竞争的压力，另一面是新兴渠道广阔市场前景诱惑，网络分销渠道已经成为众多传统企业整体营销渠道战略部署中的一粒重要的棋子，而不少企业已经从网络分销渠道中获得极大的收益。

由实体经营延伸到网络的B2C电子商务模式更稳健、更强壮、更有竞争力.在已有线下业务运营的前提下，传统企业发展电子商务，在人力、物力、财力三方面都有实业支持。传统企业进军B2C电子商务是传统企业基于现有业务模式的一个延伸，有线下业务、品牌、渠道、顾客等多方面资源的支持，这种电子商务模式更稳健，相对于纯网络型电子商务企业更有竞争力。

建立一整套完整的产品管理，销售管理，售后管理的依曼丽商务系统，树立专业的品牌网站形象，并在产品的销售与服务中实现网站运作。网站设计简捷、直观，色彩明快，以图文形式采用国际流行门户网站特征，突出网站的商业化和时尚品位。

2行业需求

电子商务,顾名思义是指在Internet网上进行商务活动。其主要功能包括网上的广告、订货、付款、客户服务和货物递交等销售、售前和售后服务，以及市场调查分析、财务核计及生产安排等多项利用Internet开发的商业活动。

电子商务，归根结底，是要实现商务电子化。电子化、网络化、数字化也好，最终是协助商务流程的现代化，提升传统商务的效率。电子商务的发展重点，当在"商务"(bussiness或commerce)，在于交易与流通;电子化终究服务于商务，更明白地的说，电子化是实现商务的有效手段和工具，它可以革命性地带来商务手段的变革，改变商业交易的观念，但是，电子商务的研究核心终究是商务本身。

Internet电子商务=商业机会，Internet电子商务的发展对于一个公司而言，不仅仅意味着一个商业机会，它还意味着一个全新的全球性的网络驱动经济的诞生，这并非虚言。我们正在迈向一个拥有数10亿台互联电脑的世界，在这个时代，信息就意味着财富。

20xx年，全国电子商务总交易额为4.8万亿规模，同比增长30%。预计20xx年将达到10万亿交易规模。

据中国电子商务研究中心监测数据显示，20xx年国内B2C、C2C与其它电商模式企业数已达15800家，较去年增幅达58.6%，预计20xx年将有望突破2万家。

“”期间，电子商务将被列入战略性新兴产业的重要组成部分，作为新一代信息技术的分支，将是下一阶段信息化建设的重心。此外，电子商务的应用领域也将进一步拓宽。

国内对于电子商务的需求，预计未来2-5年将是高峰期。此间，对于电子商务解决方案的需求，将日益两极化，"贵族式"与"平民化"(甚至免费)共存的格局将存在一段时间，其中的企业电子商务个性化将日渐凸现，对于电子商务解决方案的要求将越来越高，一些电子商务解决方案的新形式将会突破性的出现。最后，由于大型企业全力投入电子商务的联动效应带动，未来所有企业将拥有共同的(或者行业性的)交易平台，网上支付和物流配送也会有突破性进展。总之，电子商务解决方案将走出现有粗放勾勒的阶段，提供更为简单，同时也是更为精细、更为完善的电子商务实现手段。

3解决方案

1、方案宗旨：“以网络技术为工具，以客户需求为中心;以业务应用为灵魂，以企业盈利为目的”。

2、方案概述：

目前互联网业界关于电子商务解决方案的提法有两种，有广义与狭义之分。广义地说，凡是可以有助于实现电子商务的举措，均可以划入电子商务解决方案的范畴，如提供虚拟主机、域名注册业务等。

狭义而言，电子商务解决方案是重点围绕着交易而提供的一系列软件功能，如建构企业的电子商务站点、构建网上交易平台、提供网上支付接口、解决交易的后续流程。在这里，我们重点探讨的是后者--狭义的电子商务解决方案。

3、解决方案实施的目标：

吸引：通过建立有成本效益的商务站点和应用程序，目标明确的广告和市场营销，以及个性化的促销来吸引客户和合作伙伴

交易：软件的基础结构，可实现安全的在线定单交易，管理等功能

分析：用以理解和掌握用户以及合作伙伴的购买需求及感兴趣的数据，从而扩大一个商务网站的或者应用程序的投资回报。

4系统功能及方案

4.1营销管理

4.2后台管理

4.3架构管理

4.4经营管理

5技术特性

卓效电商自主研发的基于J2EE+SQL的网上商城系统，具有智能化、高扩展、稳定、安全等特性，可自由添加频道，免费商城后台智能修改风格，只要懂得网站常识的站长就可以轻松利用该商城建立起专业的大型网上书店，点卡店、鲜花店、手机店、服装店、团购网等不同类型商城。全站经过专业的优化处理，让你的网站在百度上轻易的就能找到。卓效电商为您提供了一整套的在线商城解决方案，已经为国内外多家网上商城提供服务，受到了广大使用者的一致好评。

篇4：体验式培训的解决方案_培训方案_网

体验式培训的解决方案

体验式培训有别于其他教育形式的是：强调从活动项目出发，使学员积极参于活动获得有目的的体验，通过个人分享、团队交流，从而达到整合、提升认识的目的。培训过程中始终以学员为中心，而其中培训师的主要任务是：制造体验和引导整合。“制造体验”指的是：使学员得到某种定向的体验。“引导整合”指的是：将体验变成有目标的认识。虽然培训中可能会带有一些培训师个性化的东西，但培训的关键还是在于解决方案的设计。如何能通过活动实现一种有目的的体验是一个创意设计过程，培训解决方案的设计就象是一个导演在合理运用资源编排一出戏，导演的能力常常决定一部戏的成败，体验式培训也是如此。培训的价值也许是，让大家在培训中演的那出戏，通过经验总结后，在现实中能演得更好。不同的客户来参加体验式培训的目的是不一样的，我将它大致可分成三类（见图），在具体的解决方案的设计中，是有不同的工作流程，可以简单归为以下四步：

培训需求分析—培训计划制订—培训计划实施—培训评估

以下就从工作流程的角度分享一下我对设计一个体验式培训解决方案的个人浅见：

一、培训需求分析

1.      需求分析

培训需求分析是培训成功的第一步，目的是通过一系列工作了解培训目标以及收集相关信息。

包括：了解培训背景、人员背景、企业文化、培训目标存在的问题等。前期的参与者可能有：项目小组成员、培训组织者、员工、管理层、相关客户、专家等。分析方法有：个人面谈、小组面谈、问卷、问题分析、观察法、工作任务分析等。

2.      目标确认

通过需求分析得以清晰培训目标，确认能够通过培训可以实现的部分。找到组织现状与目标的差距，使培训目标配合组织战略目标的实施。最终，与培训组织者共同确认双方所期望的培训目标，这点也是培训评估的重要指标。

二、培训计划制订

1.      设计培训方案

项目小组成员根据前面收集的相关信息以及培训目标，提出培训解决方案以及备选方案。根据需求不同，也可能需要进行深入的调查验究。

体验式培训的中心是学员，实现切合培训目标的个人与团队体验，是解决方案的难点。大家知道每个活动项目都具有个性和普遍性特点，在设计当中，每个活动项目的选择和设置顺序都是有目的的，同时要考虑活动与活动之间的系列影响以及学员在整个培训中的情绪和心态的变化。丰富的体验式培训经验是完成一个优质解决方案的保证，特别是培训顾问要有能力对实施体验的结果假设做出准确的判断，并且能汇聚团队智慧，激发创意思维，才能完成一个解决方案的设计。

2.      解决方案确定

根据培训解决方案的不同需要：进行实地勘测、演练、可行性评估等，与客户协商确认解决方案，撰写培训计划书、学员手册、培训师手册等。

解决方案的确定是一个过程，制造体验本身是经验性的工作，方案确定过程中需要与客户建立良好的沟通渠道，反复确认，才能最终达成共识。

三、培训计划实施

1.      培训准备

培训准备主要有：场地器材、培训师对培训计划和培训信息的了解，培训师之间的协作方案、培训师与培训组织者的沟通、备选方案等等。根据培训方案不同，准备工作的复杂程度差别很大，特别是大型活动的前期准备工作更加复杂、变化。

2.      培训实施

实现快乐的体验学习，需要创造快乐的学习氛围。因此，营造良好的团队气氛尤为重要，快乐的同时还不能忘记安全，这对培训师和方案设计的要求很高。同时，应该让客户理解：安全，在一个完善的系统保障下是可控的，但不是说一些小的擦伤、扭伤也绝对不会发生，这也许是体验式培训要承担的风险。在大型团队活动时需要培训师做到：细致、全面，有责任心、有预见能力、团队合作、有应对方案等等，实施培训本身就是对培训师团队的极大考验。

活动后的回顾引导是产生学习的关键，解决方案确定了培训方向，但是必须从学员的个人感受出发。体验式培训的特点决定了培训师在执行培训计划的同时必须能够灵活操作，控制好学员的情绪状态，学会从整个培训的角度看待每个培训项目的作用，能够从系统思考的角度引导回顾总结。

四、培训评估

1.      学员与组织者反馈

学员填写培训评估表。

培训组织者针对整个培训流程提出改进意见。

2.      培训总结

为了保证培训的正常进行，在培训实施的过程中都会有：班前会 、班中会、班后会，随时对培训进行调整、总结，整个项目结束项目小组针对客户反馈、项目实施情况、团队合作等做评估、总结。

篇5：解决方案

一、客户背景

集团内联网主要以总部局域网为核心，采用广域网方式与外地子公司联网。集团广域网采用MPLS-技术，用来为各个分公司提供骨干网络平台和接入，各个分公司可以在集团的骨干信息网络系统上建设各自的子系统，确保各类系统间的相互独立。

二、安全威胁

某公司属于大型上市公司，在北京，上海、广州等地均有分公司。公司内部采用无纸化办公，OA系统成熟。每个局域网连接着该所有部门，所有的数据都从局域网中传递。同时，各分公司采用技术连接公司总部。该单位为了方便，将相当一部分业务放在了对外开放的网站上，网站也成为了既是对外形象窗口又是内部办公窗口。

由于网络设计部署上的缺陷，该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况，同时有些个别机器上的杀毒软件频频出现病毒报警，网络经常瘫痪，每次时间都持续几十分钟，网管简直成了救火队员，忙着清除病毒，重装系统。对外WEB网站同样也遭到黑客攻击，网页遭到非法篡改，有些网页甚至成了传播不良信息的平台，不仅影响到网站的正常运行，而且还对政府形象也造成不良影响。(安全威胁根据拓扑图分析)从网络安全威胁看，集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播，以及安全管理漏洞等信息安全现状：经过分析发现该公司信息安全基本上是空白，主要有以下问题：

公司没有制定信息安全政策，信息管理不健全。 公司在建内网时与internet的连接没有防火墙。 内部网络(同一城市的各分公司)之间没有任何安全保障为了让网络正常运行。

根据我国《信息安全等级保护管理办法》的信息安全要求，近期公司决定对该网络加强安全防护，解决目前网络出现的安全问题。

三、安全需求

从安全性和实用性角度考虑，安全需求主要包括以下几个方面：

1、安全管理咨询

安全建设应该遵照7分管理3分技术的原则，通过本次安全项目，可以发现集团现有安全问题，并且协助建立起完善的安全管理和安全组织体系。

2、集团骨干网络边界安全

主要考虑骨干网络中Internet出口处的安全，以及移动用户、远程拨号访问用户的安全。

3、集团骨干网络服务器安全

主要考虑骨干网络中网关服务器和集团内部的服务器，包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。

4、集团内联网统一的病毒防护

主要考虑集团内联网中，包括总公司在内的所有公司的病毒防护。

5、统一的增强口令认证系统

由于系统管理员需要管理大量的主机和网络设备，如何确保口令安全称为一个重要的问题。

6、统一的安全管理平台

通过在集团内联网部署统一的安全管理平台，实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。

7、专业安全服务

过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度，全面评估企业网络中的信息资产及其面临的安全风险情况，在必要的情况下，进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力，降低安全风险。

四、方案设计

骨干网边界安全

集团骨干网共有一个Internet出口，位置在总部，在Internet出口处部署LinkTrust Cyberwall-200F/006防火墙一台。

在Internet出口处部署一台LinkTrust Network Defender领信网络入侵检测系统，通过交换机端口镜像的方式，将进出Internet的流量镜像到入侵检测的监听端口，LinkTrust

Network Defender可以实时监控网络中的异常流量，防止恶意入侵。

在各个分公司中添加一个DMZ区，保证各公司的信息安全，内部网络(同一城市的各分公司)之间没有任何安全保障骨干网服务器安全

集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等，以及专为此次项目配置的、用于安全产品管理的服务器的安全。 主要考虑为在服务器区配置千兆防火墙，实现服务器区与办公区的隔离，并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统，在网络中配置百兆网络入侵检测系统，实现主机及网络层面的主动防护。

漏洞扫描

了解自身安全状况，目前面临的安全威胁，存在的安全隐患，以及定期的了解存在那些安全漏洞，新出现的安全问题等，都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。

内联网病毒防护

病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析，结合集团网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略。

病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。

增强的身份认证系统

由于需要管理大量的主机和网络设备，如何确保口令安全也是一个非常重要的问题。 减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素，而且需要第二个要素，也即用户拥有的，通常是认证令牌，这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外，还必须拥有一个认证令牌。而且口令一般是一次性的，这样每次的口令是动态变化的，大大提高了安全性。

统一安全平台的建立

通过建立统一的安全管理平台(安全运行管理中心—SOC)，建立起集团的安全风险监控体系，利于从全局的角度发现网络中存在的安全问题，并及时归并相关人员处理。这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等，同时开发有效的多种手段实时告警系统，定制高效的安全报表系统。