网络安全解决方案

网络安全解决方案

一、网络安全现状

1、设备配置情况

①供电公司局域网中配置了15电脑。主要用途：日常办公、信息查看、公司间信息沟通、可视电话会议、数据收发、公司费用审批、AO办公系统等。②宝源公司局域网中配置了14台电脑。主要用途：日常办公、互联网信息查询、邮件收发、财务报税、物流管理、网上申报等。2、网络状况

宝源公司现有计算机分别接入了供电公司局域网和宝源公司局域网属于双网并存，两个局域网间物理分离，无任何网络联系。①供电公司局域网由供电公司楼顶上铁塔安装发射信号，宝源公司楼顶上为接收点，信号传输为点对点传输。每台电脑都有动态密码、网络防火墙及网络杀毒软件、网络监控、文件监控、共享文件保密及外设存储设备拷贝控制等管理等应用。并由供电公司统一管理，安全状况较好。②宝源公司内部局域网由一个网段组成，公司技术部、财务部、行政部三个部门指定电脑由TPLINK路由器自带的防火墙简单的控制了MAC地址与IP的过滤，根据工作需要不定时与外网连接进行网上办公。3、网络管理

依据《国家电网公司信息安全管理暂行办法》制定了《宝源信息安全管理制度》，并对互联网、局域网、信息安全、网络监控、文件监控、病毒防御、网络维护等明确提出了管理办法及具体要求。4、病毒防护

①供电公司局域网具备网络杀毒软件并由服务器定时升级及时对每台局域网内部的计算机定时杀毒及防御。②宝源公司局域网的每计算机装有家庭单机正版的瑞星防火墙及杀毒软件，由于对互联网的控制不能做到及时升级，存在着病毒入侵局域网的隐患。二、存在的问题

1、两网间问题

①数据交换。由于业务的需要，两网间需要由外部存储设备进行业务数据的交换。（如：客服通过供电公司局域网发送过来的图纸要复制到宝源局域网中，由技术部多台机器进行技术编辑汇总后，又要通过外部存储设备复制到供电公司局域网中回发给客服）2、软件管理问题

①网络监控。宝源局域网中对每一台电脑的网络使用情况和实时网络动态的掌控存在着缺陷。②文件监控。宝源局域网中对每一台电脑文件的拷贝、复制、传输及打印等一切电子

文件流动的掌控情况存在着缺陷。③端口控制。USB端口、刻录机、软驱、1394端口、蓝牙等输出设备的控制存在着缺陷。④病毒防御。家庭单机版的杀毒软件由于网络的限制，不能及时更新病毒库，存在着病毒入侵的风险。三、鉴于以上存在的问题，我们制定了如下网络安全解决方案。

1、局域网电脑管理

根据管理需要，我们采用目前市场上比较先进的内网管理软件，通过监控、管理和维护三方面对网络进行统一管理。①从“网络监控”出发，产品提供了远程屏幕实时监控、屏幕拷贝、文件监控、打印监控、上网网址检查功能，方便企业全方位了解和掌握网络使用情况，为管理工作提供依据以增强管理的有效性。②从“管理限制”出发，产品提供禁用USB、拨号阻断、防止非法外联、禁用超级用户、禁用自动播放、禁用网络共享等等手段，不仅能够防止病毒通过上述通道侵入内部网络，而且能够有效防范企业网络中的大量的机密信息被拷贝到企业之外，造成重大信息泄露和重大的损失；而禁用QQ、禁用BT和禁用网络游戏软件等多种技术手段能够协助行政管理，加强各项工作纪律的落实。③从网络“运行维护”出发，产品提供IP地址绑定，解决IP地址冲突和分配远程计算机IP地址；网络流量监控、注册表监控和自动打补丁管理，能够提升网络安全；提供进程知识库方便在全网范围内查找木马、病毒、流氓软件、间谍软件和未知软件等；同时以计算机为基础建立人机对应的有序网络,能够让网络信息相对集中,更方便工作移交和工作任务变更,旨在有效降低管理成本，提高经营管理效率。④监控功能----网络监控，实时掌握计算机使用情况----文件监控，实时掌握电子文件流动情况屏幕实时监控：管理者可以在管理端远程对各个客户端实施屏幕监视，这样可以实时了解到客户端的操作情况，大大减少了公司机密文件外泄的隐患。屏幕拷贝存储：管理者能在管理端对各个客户端的屏幕进行拷贝，并可以把拷贝的屏幕图像存储到一个文件夹中，其中拷贝屏幕的时间间隔和存储的文件夹可以由管理者自己设定，这样大大方便了管理者掌握各个终端计算机的工作情况。全硬盘文件监控：软件能够对所有计算机进行全硬盘文件操作进行监控。实时了解各台计算机的文件的增加、修改、删除和重命名等变化，并记录该文件的变化时间和变化后的大小。打印监控管理：产品可以根据管理策略对网络打印机进行搜索、并对网络中的打印行为进行检测并记录详细日志信息。杜绝了通过打印机造成的单位机密信息泄露的隐患。上网网址监控：管理者能够对各个客户端的上网情况做纪录，哪个客户端上了什么网站一目了然，规范了公司的上网情况，提高工作效率。⑤管理功能----禁用USB，防止网络失泄密行为----禁用QQ、BT，加强网络违规行为管理禁用USB等外设管理：90%以上的信息是通过便携的U盘和移动硬盘流失的，该功能可禁用USB，禁用后即使拔了网线也能生效，也不影响USB键盘、鼠标和打印机等使用。

其他外设如光驱和软驱等都可被禁用。阻断拨号上网行为管理：产品对内网PC划分不同的拨号上网权限，分为拨号允许、离线允许和拨号禁止等三种。设置为拨号禁止的计算机一旦拨号上网，就立刻自动阻断，同时上报日志记录；阻断后，即使拔了网线也能自动阻断。非法外联管理：除拨号上网之外，还存在其他多种上网方式，例如：通过宽带上网，无线上网等等，并且还随着技术进步逐渐发展出更多的上网方式。内网管理产品能够顺应这种需求，实时探测各种上网行为、报警并记录日志。禁用QQ等进程管理：产品可以捕获终端机器上正在运行的所有进程信息，并且对这些信息进行实时更新。便于管理员实时了解终端机器上运行的程序信息，及时发现诸如QQ聊天、BT下载、网络游戏等违规程序或黑客程序，并对这些违规程序或黑客程序进行查杀，被查杀过进程的程序除非将其禁止策略删除掉，否则该程序一直不能够启用，通过这样以实现安全管理的目的。禁用管理员权限：可以禁止以本地管理员或者域管理员权限使用计算机，加强网络可控性。客户端（除了管理平台自身外）得到管理策略后，终端注销后策略生效，生效后的策略在计算机离开网络后也继续生效。禁用网络共享：可以禁用网络共享，加强网络保密安全。客户端得到管理策略后，能够实时生效，生效后的策略在计算机离开网络后也继续生效。禁用自动播放：可以禁用光盘、u盘和硬盘驱动器的自动播放功能，防止病毒利用自动播放的功能侵入。终端重起后策略生效，生效后的策略在计算机离开网络后也继续生效。⑥维护功能----IP地址管理，解决IP地址冲突----流量监控和全网自动打补丁IP地址管理：产品可以远程集中设定网络内各终端的网络连接属性，包括IP地址、子网掩码、默认网关、DNS、DHCP等，并可以对终端的网络连接属性进行锁定。在锁定策略下，终端不能随便更改其网络连接属性，一旦更改，系统会将其自动恢复到管理端已锁定的配置。代理服务器管理：产品可以远程集中设定网络内各终端代理服务器配置、代理地址和端口等。并可以对终端的代理服务器配置进行锁定。在锁定策略下，终端不能随便更改其代理服务器配置，一旦更改，系统会将其自动恢复到管理端已锁定的配置。计算机名管理：产品可以远程集中设定网络内各终端机器名，并且可以对终端的机器名进行锁定。在锁定策略下，终端不能随便更改其机器名，一旦更改，系统会将其自动恢复到管理端已锁定的名称。流量监控：可以设置流量阈值，超过了阈值，可以自动阻断，防止其异常流量对全网造成影响。通过对流量监控、排名和异常流量管理，将极大地增强排除网络故障能力。对终端流量进行排名，异常流量进行监控告警注册表监控：病毒常常通过修改注册表侵入计算机，产品可以对任意注册表项监控，提供病毒入侵线索。一般软件的版本等信息等通常都留存在注册表，注册表的监控能提供这些软件版本等信息。全网范围内及时发现各种木马、病毒、流氓软件、间谍软件或未知软件：内网管理提供了进程模块提取、进程模块知识库建立和进程模块分析等功能，有助于在全网范围内及时发现各种木马、病毒、流氓软件、间谍软件或未知软件。人机绑定：自动建立人机对应表，形成网络秩序，能够梳理网络管理繁杂局面，减少网络管理的额外开销；同时各种计算机违规事件记录都以单位、部门、使用人等信息标示，提高管理效率。

2、局域网病毒防御

安装网络版杀毒软件，采用瑞星杀毒软件的网络版和瑞星防火墙，解决网络防毒杀毒的问题主要功能如下：

①安全的网络边缘防护瑞星防毒墙可以根据用户的不同需要，具备针对HTTP、FTP、SMTP和POP3协议内容检查、清除病毒的能力，同时通过实施安全策略可以在网络环境中的内外网之间建立一道功能强大的防火墙体系，不但可以保护内部资源不受外部网络的侵犯，同时可以阻止内部用户对外部不良资源的滥用。

②计算机病毒的监控和清除瑞星网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件，通过瑞星网络防病毒体系在网络内客户端和服务器上建立反病毒系统，并且可以实现防病毒体系的统一、集中管理，实时掌握、了解当前网络内计算机病毒事件，并实现对网络内的所有计算机远程反病毒策略设置和安全操作。

③灵活的控制台和Web管理方式瑞星的系列安全产品都提供控制台管理和Web管理两种方式，通过这两种管理方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略，及时掌握了解网络当前的运行基本信息。

④强大的日志分析和统计报表能力瑞星的系列安全产品对网络内的安全事件都作出详细的日志记录，这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外，报表系统可以自动生成各种形式的攻击统计报表，形式包括日报表，月报表，年报表等，通过来源分析，目标分析，类别分析等多种分析方式，以直观、清晰的方式从总体上分析网络上发生的各种事件，有助于管理人员提高网络的安全管理。

安装企业版路由器方案介绍①多WAN口路由接入支持多WAN接入功能，支持光纤、CableModem、ADSL固接/PPPoE、卫星回路等主流接入方式;多条ADSL取代光纤可大大节约宽带接入费用。具有带宽汇聚功能，多WAN口线路负载均衡，平衡对外流量。并且为了解决目前国内南北网络互访速度问题，系统内置完整的北方网通和南方电信的路由表，系统可自动判断网络包目的服务器在那条线路，以确保宽带接入联机反应快速，不会因为网络数据包跨经不同运营商而导致上网速度下降。②VPN虚拟专用网对于企业而言，利用Internet组建私有网，将大笔的专线费用缩减为少量的市话费用和Internet费用。据报道，局域网互联费用可降低20～40％，而远程接入费用更可减少60～80％，这无疑是非常有吸引力的；VPN大大降低了网络复杂度、VPN用户的网络地址可以由企业内部进行统一分配、VPN组网的灵活方便等特性简化了企业的网络管理，另一方面，企业甚至可以不必建立自己的广域网和接入网维护系统，而将这一繁重的任务交由专业的ISP来完成；VPN提高了整个企业网的互联性，良好的扩展性使得企业更好、更快地适应Internet经济的发展，把握商机；另外，在VPN应用中，通过远端用户验证以及隧道数据加密等技术保证了通过公用网络传输的私有数据的安全性。

6000元(每增加10用户增6000元(每增加10用户增加3000元)随着互连网技术的飞速发展，企业网络安全也遭受着严峻挑战。病毒、外部入侵（黑客）、ARP攻击、拒绝服务攻击、内部的误用和滥用，以及各种灾难事故的发生，时刻威胁着网络的业务运转和信息安全。传统的中低端路由器不具备防火墙功能，而高端路由或者独立的防火墙设备价格不菲，一般的中小企业很难承受这种巨大的投入。Hi-SpiderRouterEnterprise自带专业防火墙，提供强大的防护功能，支持内/外部攻击防范，提供扫描类、DoS类、可疑包和含有IP选项的包等攻击保护，能侦测及阻挡ARP欺骗、DoS等网络攻击，有效的阻止Nimda、冲击波、木马等病毒攻击，为企业提供可靠的安全保障④强大的流量管理功能随着新的应用的不断涌现，大量的实时业务就对报文传输的延迟提出了更高的要求（如VoIP、视频会议等）。相对而言，Email和FTP等文件传输业务对时间延迟并不敏感。而传统的网络设备的尽力服务不可能识别和区分网络中的各种通讯类别，不能满足目前网络发展的需要。Hi-SpiderRouterEnterprise支持QoS（QualityofService,服务质量）管理机制，基于策略的带宽分配与加速功能可使您保护关键型应用，抑制娱乐或未经认可的流量，调整可能占用大量带宽的业务应用的步伐，压缩流量以实现最佳的吞吐量⑤上网行为管理随着Internet的接入的普及和带宽的增加，一方面员工上网的条件得到改善，另一方面也给企业带来更高的网络使用危险性、复杂性和混乱。在全世界企业网络使用情况的调查中发现，非法使用邮件、浏览非法Web网站、下载音乐、电影等数字文件，或者在线观看收听流媒体的员工正在增加，令网络管理者头疼不已。这些员工随意使用网络将导致三个问题：(1)工作效率低下、(2)网络性能恶化、(3)网络违法行为。Hi-SpiderRouterEnterprise支持外网访问权限管理、上网时段管理；支持封杀局域网内的P2P软件（如BT、kugoo，电驴，迅雷）、IM聊天软件（如QQ、MSN、Skype等）的使用。支持基于内容和URL的过滤功能。⑥易于管理,免维护系统采用全中文向导式的配置界面，同时每项配置均有帮助提示，使得操作简单易上手。系统内嵌看门狗程序，能自动监控程序进程，在服务意外中止时对中止的服务重启，也能在系统发生紊乱时在短时间重新系统。并且对WINDOWS下的病毒具有免疫功能，确保设备在无人值守的情况下也能长期运行

产品价格