1、安全管理咨询

安全建设应该遵照7分管理3分技术的原则，通过本次安全项目，可以发现集团现有安全问题，并且协助建立起完善的安全管理和安全组织体系。

2、集团骨干网络边界安全

主要考虑骨干网络中Internet出口处的安全，以及移动用户、远程拨号访问用户的安全。

3、集团骨干网络服务器安全

主要考虑骨干网络中网关服务器和集团内部的服务器，包括OA、财务、人事、内部WEB等内部信息系统服务器区和安全管理服务器区的安全。

4、集团内联网统一的病毒防护

主要考虑集团内联网中，包括总公司在内的所有公司的病毒防护。

5、统一的增强口令认证系统

由于系统管理员需要管理大量的主机和网络设备，如何确保口令安全称为一个重要的问题。

6、统一的安全管理平台

通过在集团内联网部署统一的安全管理平台，实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。

7、专业安全服务

过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度，全面评估企业网络中的信息资产及其面临的安全风险情况，在必要的情况下，进行主机加固和网络加固。

通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力，降低安全风险。

四、方案设计

骨干网边界安全

集团骨干网共有一个Internet出口，位置在总部，在Internet出口处部署LinkTrust Cyberwall-200F/006防火墙一台。

在Internet出口处部署一台LinkTrust Network Defender领信网络入侵检测系统，通过交换机端口镜像的方式，将进出Internet的流量镜像到入侵检测的监听端口，LinkTrust

Network Defender可以实时监控网络中的异常流量，防止恶意入侵。

在各个分公司中添加一个DMZ区，保证各公司的信息安全，内部网络(同一城市的各分公司)之间没有任何安全保障骨干网服务器安全

集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括OA、财务、人事、内部WEB等，以及专为此次项目配置的、用于安全产品管理的服务器的安全。

主要考虑为在服务器区配置千兆防火墙，实现服务器区与办公区的隔离，并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。

还考虑到在服务器区配置主机入侵检测系统，在网络中配置百兆网络入侵检测系统，实现主机及网络层面的主动防护。

漏洞扫描

了解自身安全状况，目前面临的安全威胁，存在的安全隐患，以及定期的了解存在那些安全漏洞，新出现的安全问题等，都要求信息系统自身和用户作好安全评估。

安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。

内联网病毒防护

病毒防范是网络安全的一个基本的、重要部分。

通过对病毒传播、感染的各种方式和途径进行分析，结合集团网络的特点，在网络安全的病毒防护方面应该采用“多级防范，集中管理，以防为主、防治结合”的动态防毒策略。

病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。

增强的身份认证系统

由于需要管理大量的主机和网络设备，如何确保口令安全也是一个非常重要的问题。

减小口令危险的最为有效的办法是采用双因素认证方式。

双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素，而且需要第二个要素，也即用户拥有的，通常是认证令牌，这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。

用户除了知道他的PIN号码外，还必须拥有一个认证令牌。

而且口令一般是一次性的，这样每次的口令是动态变化的，大大提高了安全性。

统一安全平台的建立

通过建立统一的安全管理平台(安全运行管理中心—SOC)，建立起集团的安全风险监控体系，利于从全局的角度发现网络中存在的安全问题，并及时归并相关人员处理。

这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等，同时开发有效的多种手段实时告警系统，定制高效的安全报表系统。