午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、密 級：秘 密文檔編號：項目代號：XXX通信網絡網管安全系統整體方案建議書Ver1.02025年3月目 錄1XXX通信省網管中心安全需求分析11.1XXX通信省網管中心及重要節點網絡現狀11.2XXX通信省網管中心及重要節點現有安全措施21.3XXX通信公司威脅來源分析21.4XXX通信省網管中心及重要節點網絡安全需求分析32XXX通信安全方案設計52.1設計理念及方法52.1.1覆蓋整個生命周期的完整體系ADDME5100%的風險管理體系6安全設計理念72.2設計原則72.3XXX通信網絡安全架構模型82.4安全漏洞掃描系統9網絡安全評估9部署建議10主機（系統）安全評估10部署建議11數據2、庫安全評估11部署建議12漏洞掃描系統部署示意圖132.5入侵檢測系統IDS15百兆NIDS網絡入侵檢測系統的部署建議17入侵檢測系統部署圖172.6方案總結182.7安全方案產品配置一覽201 XXX通信省網管中心安全需求分析 本需求分析建立在XXX通信省網管中心絡安全設備配置與投資規模所提供的XXX通信安全需求資料和XX公司前期調研的基礎上，旨在給出構建后文所述安全體系的充分理由。1.1 XXX通信省網管中心及重要節點網絡現狀隨著XXX通信數據業務的發展，用戶數量迅速增長，為了適應市場的競爭、提高整個XXX通信運營和管理效率，XXX通信在今年計劃實施網絡安全項目以保證省網管中心重要網段和服3、務器以及各個寬帶城域網結點Radius系統的安全。網絡現狀如下圖所示：圖1.1 XXX通信省網管中心網絡拓撲示意圖圖1.2 XXX通信牡丹江等節點網絡拓撲示意圖1.2 XXX通信省網管中心及重要節點現有安全措施XXX通信公司網絡中現有網絡掃描器（Internet Scanner）100個licence，對分布在網絡中的重要服務器、網絡設備等實施網絡層面的漏洞掃描。 另外，網絡中現有2臺NetScreen防火墻，1臺為城域網工程備件中的NS10，1臺為國家163骨干網工程中一臺閑置的NS100。但均未具體部署。采用雙機熱備措施保護計費和認證等重要服務器。1.3 XXX通信公司威脅來源分析 XXX4、通信省網管中心及各個寬帶城域網節點現階段面臨的主要風險如下：1.網絡與系統漏洞存在風險：由于TCP/IP網絡協議與操作系統和應用軟件自身的缺陷，漏洞必然存在于網絡業務系統中，漏洞是黑客進行攻擊的首選目標和有利條件，隨著業務系統功能和復雜性的增加，必須對各個層面的漏洞實施有效的管理和封堵。2.外部黑客風險：由于認證、計費、DNS等系統需要連接Internet、其他內部網絡和合作伙伴網絡等多個接口，因此必然存在不同級別的外部黑客入侵的風險，必須全面考慮各個系統接口，制定管理規范，高效地配置安全控制和檢測產品，降低外部黑客攻擊風險。3.拒絕服務攻擊風險：這種方式的攻擊，使得應用服務器在很短的時間內創5、建大量的到客戶端的Socket連接，直到耗盡系統資源，此時系統性能嚴重下降，正常業務無法維持，應用系統陷入癱瘓狀態。4.內部黑客和系統誤用風險：根據美國FBI/CSI的統計，企業由于其內部故意的濫用/欺詐和非故意的誤用產生的損失占其全部安全損失的93，盡管這部分攻擊僅占據36的安全事故。要降低內部黑客攻擊和系統誤用的風險首先需要對內部系統進行安全掃描和增強，然后增強監控和審計措施。5.病毒威脅風險：計算機病毒寄生于操作系統或一般的可執行程序上，傳播及發作的方式多種多樣，影響范圍廣，動輒修改、刪除文件甚至刪除整個文件系統，導致業務系統程序運行錯誤，死機甚至整個系統數據的丟失，目前病毒已成為計算機6、信息系統的重要威脅之一。1.4 XXX通信省網管中心及重要節點網絡安全需求分析根據XXX通信省網管中心及牡丹江等寬帶城域網重要節點網絡結構及業務特點，可以把網絡安全問題具體定位在以下三個層次上： 層次一：通訊和服務該層次的安全問題主要體現在網絡協議本身存在的一些漏洞。如Ping炸彈可使一臺主機宕機、無需口令通過Rlogin以root身份登錄到一臺主機等，都是利用了TCP/IP協議本身的漏洞。層次二：操作系統這一層次的安全問題來自內部網采用的各種操作系統，如運行各種UNIX的操作系統。包括操作系統本身的配置不安全和可能駐留在操作系統內部的黑客程序（木馬）等帶來的威脅。層次三：應用程序該層次的安全7、主要考慮重要業務系統應用服務的保護，如DNS等。在上述三個層面上，結合對XXX通信省網管中心可能受到的安全威脅分析中的需求說明，得出此次XXX通信省網管中心網絡安全工程需求主要體現在以下四個方面：1 在省網管中心的兩個重要網段（認證、網管）及7個寬帶城域網節點Radius服務器所在網段提供安全的、基于策略的網絡層訪問控制措施，部署防火墻系統；2 在省網管中心兩個重要網段（認證、網管）擴充基于網絡的實時入侵檢測系統，對黑客攻擊實施7x24小時的實時檢測、審計、響應和阻斷；3 增加對重要主機系統、數據庫系統和網絡設備的漏洞管理措施；4 對省IDC中心的托管服務器，在內容層面上提供基于策略的、可調度8、的病毒防范能力。2 XXX通信安全方案設計2.1 設計理念及方法2.1.1 覆蓋整個生命周期的完整體系ADDME為了降低風險和減少成本，根據信息安全的生命周期特征，ISS公司提出了一種按階段實施的可操作的模型ADDME。將信息安全的生命周期描述為下面各個階段：圖、ADDME立體示意圖Policy/Standards/Guidelines Phase策略/標準/指南制訂階段：制訂系統的安全目標；Assess Phase評估分析階段：實現需求分析、風險分析、安全功能分析和評估準則設計等，明確表述現時狀態和目標之間的差距；Design Phase方案設計階段：形成信息安全解決方案，為達到目標給出有效9、的方法和步驟；Deploy Phase工程實施階段：根據方案設計的框架，建設、調試并將整個系統投入使用。Manage&Support Phase管理和支持階段：在管理階段包括兩種情況正常狀態下的維護和管理（Management Status），以及異常狀態下的應急響應和異常處理（Emergency Response Status）。Educate Phase安全教育：是貫穿整個安全生命周期的工作，需要對企業的決策層、技術管理層、分析設計人員、工作執行人員等所有相關人員進行教育。ADDME模型將成為實現XXX通信公司網絡安全系統工程的實施過程指南。2.1.2 100%的風險管理體系信息安全工作歸10、根結底就是一個信息安全風險管理工作。風險管理主要由下面一些步驟組成：第一階段風險評估管理資產分類和評估漏洞和脆弱性識別威脅識別影響評估業務風險風險量化和評級第二階段風險控制管理評估現有安全控制評價新的控制方法制訂策略和流程實施和降低風險風險承受和轉嫁（給保險公司）通過上述風險管理過程，將XXX通信省網管中心可能面臨的所有安全風險全部進行評估和控制，并采取有效措施予以防范。對于經過控制后還具有的殘余風險，通過最后的承受和轉嫁給予解決。這樣XXX通信省網管中心100%的信息安全風險都有了解決辦法和對策。在BS7799中對可能遇到的信息安全風險，從管理的角度分為了10大類127個風險點。ISS公司可11、以在此標準的基礎之上，以服務形式為XXX通信公司省網管中心進行全面的風險評估和風險管理，協助構建100%的信息安全風險管理體系。注：100%的信息安全風險管理體系，并不是能夠保證100%的安全，而是指100%的風險都實施了有效的管理。2.1.3 安全設計理念安全問題并不是一個簡單的技術問題，而是一個多方面、多角度的、復雜的策略、管理和技術的融合問題。一個單項的技術并不能夠解決所有的安全問題，而反過來，如果過分依賴于技術來解決安全問題，由于配置錯誤、管理疏忽、口令丟失等問題，將更容易導致整個安全系統的失效。所以，我們在為XXX通信省網管中心設計安全體系的時候，必須有一套合理有效的安全理念的選擇和12、設計。ADDME安全模型為整個安全系統的建設，提供了工程實施的具體階段的定義和周期劃分，同時也為安全工程的建設提供了指導，當然也為XXX通信網絡安全工程的建設提供了依據；而100%風險管理模型依據的理論來源是先進流行的安全管理標準ISO17799/BS7799，它為風險評估、策略定制、管理控制選擇、業務可持續發展等，安全管理體系的建立提供了理論依據和指導，依據它，可以為企業構建一個良好的安全管理體系，提供一個良好的途徑和理論基礎。而在這一點上，建議根據ADDME生命周期模型來實施整個XXX通信省網管中心網絡安全工程建設，根據100%風險管理理念來構建整個XXX通信省網管中心的安全管理體系，將能13、夠保證XXX通信省網管中心實現的真正的安全目標，為XXX通信省網管中心用戶提供合理、恰當的、可持續的安全體系。2.2 設計原則針對XXX通信省網管中心及寬帶城域網節點網絡特點，本方案將嚴格遵循如下原則進行規劃和設計。l 體系化原則分析XXX通信省網管中心及寬帶城域網節點的層次關系，遵循先進的安全理念，提出科學的安全體系和安全框架，并根據安全體系分析存在的各種安全風險，從而最大限度地解決可能存在的安全問題。l 標準性原則方案設計以及具體產品的選擇實施依據國內或國際的相關標準進行，這些規范包括：ISO 17799 / BS7799ISO 13335ISO 15408 / GB18336l 系統性、14、綜合性設計原則從全系統出發，綜合考慮各種安全風險，采取相應的安全措施，并根據風險的大小，采取不同強度的安全措施，提供具有最優的性能價格比的安全解決方案。l 可控性原則采取的技術手段需要達到安全可控的目的，技術解決方案涉及的工程實施應具有可控性；l 最小影響原則基礎安全建設方案將本著對現有業務系統影響最小化考慮，盡量不影響現有業務的正常使用；l 動態和靜態原則基礎安全建設方案將從動態和靜態兩個方面考慮，充分考慮安全的動態性等特點。l 投資保護原則在方案設計過程中，將充分利用XXX通信省網管中心及寬帶城域網節點已經存在的設備，保護已有投資。2.3 XXX通信網絡安全架構模型XXX通信省網管中心及寬15、帶城域網節點的網絡安全系統將參照如下安全架構進行設計和建設：圖2.1整體安全架構示意圖物理安全將不在本方案中加以討論。2.4 安全漏洞掃描系統無論是做好一個安全項目的建設，還是在網絡系統的正常運作過程中，清晰的了解自身安全狀況，目前面臨的安全威脅，存在的安全隱患，以及定期的了解存在那些漏洞，新出現的安全問題等，都要求信息系統自身和用戶作好安全評估。ISS公司可為XXX通信提供詳細、全面的安全漏洞掃描解決方案：2.4.1 網絡安全評估Internet Scanner可以掃描網絡范圍內的所有支持TCP/IP協議的設備，掃描的對象包括NT/2000工作站/服務器、各種UNIX工作站/服務器、防火墻、16、路由器/交換機等等，通過模擬黑客攻擊手法，掃描目標對象存在的安全漏洞，與黑客攻擊不同的是不做任何破壞活動。目前Internet Scanner掃描的漏洞類型高達1067多種，是業界支持漏洞類型最多的網絡掃描器產品。在進行掃描時，可以從不同的網絡位置對網絡設備進行掃描，例如在防火墻的內側和外側的掃描效果不同，內側掃描的結果真實、準確，外側掃描可以用來檢測防火墻或網絡的耐攻擊程度。另外也可以根據不同的掃描對象選擇或定制不同的策略，如針對防火墻、UNIX服務器、NT服務器、Internet(WWW、DNS、MAIL)服務器、路由器交換機等等，掃描結束后生成詳細的安全評估報告。2.4.2 部署建議利用17、ISS公司的網絡安全評估產品Internet Scanner定期掃描XXX通信省網管中心網絡及7個核心節點中的路由器、服務器、工作站及防火墻等網絡設備，對網絡設備進行定期、不定期的掃描，進行安全漏洞檢測，找出安全隱患，并且在執行過程中實現基于策略的安全風險管理。原有的100個Internet Scanner IP License可以充分使用，再購買1年的升級和技術支持服務；另外，由于新增了很多網絡設備和主機設備，所以新增100個License以實現對全網所有重點設備和服務器的安全評估。2.4.3 主機（系統）安全評估System Scanner在系統層上通過依附于主機上的掃描器代理偵測主機內部18、的漏洞。在重要的服務器上安裝System Scanner的代理軟件（代理軟件支持NT/2000和各種UNIX操作系統），在一臺NT工作站上安裝System Scanner控制臺。系統掃描比較一個組織規定的安全策略和實際的主機配置來發現潛在的安全風險，包括缺少的安全補丁、詞典中可猜中的口令、不適當的用戶權限、不正確的系統登錄權限、操作系統內部是否有黑客程序駐留、不安全的服務配置等等。掃描結果可生成各級漏洞報告，可根據報告中詳述的內容修改操作系統中不安全的配置掃描器代理的安全策略可以通過系統掃描器控制臺進行集中管理和配置。系統掃描帶來了更強有力的針對基于主機的漏洞評估技術，它把快速的分析與可靠的建19、議結合起來，從而保護服務器上的應用程序、數據免受盜用、破壞或誤操作。同時可以制定一個系統基線，制定計劃和規則，讓系統掃描器在沒有任何監管的情況下自動運行，一旦發現漏洞立即報警。系統掃描器所實行的所有規則定義在每個代理的知識庫里，它允許用戶自己定義一個適合相應平臺的規則，同時還允許進行特殊定義，當網絡不通時代理也可以進行工作。2.4.4 部署建議在本項目中，建議可以考慮使用System Scanner對XXX通信省網管中心的重要服務器的操作系統定期進行安全漏洞掃描和風險評估，包括漫游認證、統計查詢、Billing server等。共配置5個License.同時System Scanner也可以采20、用風險評估服務的形式實施。2.4.5 數據庫安全評估ISS Database Scanner是世界上第一個針對數據庫管理系統的風險評估檢測工具，可以利用它建立數據庫的安全規則,通過運用審核程序來提供有關安全風險和位置的簡明報告。利用Database Scanner定期地通過網絡快速、方便地掃描數據庫，去檢查數據庫特有的安全漏洞，全面評估數據庫存在的認證、授權、完整性方面的問題。Database Scanner目前支持的數據庫類型有：MS SQL Server、Oracle和Sybase。不同的數據庫類型有相應的數據庫掃描器產品。對數據庫的掃描同樣生成詳細的安全評估報告。所有掃描器可以根據掃描的21、結果為技術人員、部門領導生成不同的安全評估報告，為技術人員的生成報告列舉了所有的安全漏洞，分高、中、低三個風險級別，每個漏洞給出了詳細的說明并附修補建議，某些漏洞需要打補丁的還給出了下載網址。為管理人員生成的報告給出了匯總信息，使管理者了解整體安全狀況，提供決策指導。利用Database Scanner定期的通過網絡快速、方便地掃描數據庫，檢查數據庫特有的安全漏洞，自動識別數據庫系統潛在的安全問題，全面評估數據庫存在的認證、授權、完整性方等方面的缺陷。Database Scanner目前支持的數據庫類型有：MS SQL Server、Oracle和Sybase。2.4.6 部署建議建議可以考慮22、新增一個Database Scanner License以實現對Billing Server主機上所運行的Oracle數據庫平臺進行數據庫安全評估。同時Database Scanner也可以采用風險評估服務的形式實施。各地節點漏洞掃描系統產品部署示意圖Cisco7513Cisco7513Cisco7513Cisco75136509650986108610NASRadius寬帶城域網省網2.4.7 漏洞掃描系統部署示意圖省網管中心漏洞掃描系統產品部署示意圖ISS ServerSUN SPARC20PrimaryDNSSUN E250Catalys8540HP VE5后臺維護工作站HP 6PCat23、alyst2800PIXBilling server 2Enterprise 4000RAID(DB)HABilling server 1Enterprise 4000AIWebState漫游認證SUN E3000節點GEPSTNAISB probeCatalys6506統計/查詢服務器SUN E3000FreeMailE3000ACESwitchLDAP ServerSUN E2FreeMailSUN E3000DiskVLAN3VLAN4Mail ServerSUN E3000DiskNMSHP C3000Backup ServerSUN U1SUN E450AINettrendSUN E24、3000AISerBaseVLAN1VLAN2省網管中心局域網結構圖PPPserverSUN E3000EMSserverSPARC20DSDS2.5 入侵檢測系統IDS防火墻的保護是必要的，但絕不是僅僅的保護手段，特別是在XXX通信這樣的運營商網絡，有著許多極其重要的應用系統，能否正常運行直接關系到相關業務能否正常開展。因此，網落還需要一種動態和主動的保護機制，時刻檢查和解析所有的訪問請求和內容，一旦發現可疑的行為，及時作出適當的響應，以保證將系統調整到“最安全”和“風險最低”的狀態。這種動態的保護機制就是入侵檢測系統。ISS公司的入侵檢測系統RealSecure是業界第一個集成了基于網絡和25、基于主機的入侵檢測系統。它可以最大限度地、全天候地監控企業級的安全問題。RealSecure 入侵檢測系統可以自動地監控分析網絡數據流、主機日志等，對可疑的事件作出響應，在主機和網絡遭受破壞之前阻止非法入侵，并能記載入侵過程。 RealSecure入侵檢測系統包含如下幾個部件： 網絡傳感器Network Sensor、服務器傳感器ServerSensor、桌面傳感器Desktop Protector和工作組管理器Workgroup Manager。網絡傳感器Network Sensor用來保護一個網絡。它靜靜地監視網絡上流過的所有數據包及其內容，能夠正確識別各種正在進行的攻擊特征，一旦發現入侵26、行為，便可根據預定義的策略作出響應，如阻斷入侵、發出警報、記錄事件、發SNMP陷阱事件和郵件、執行用戶自定義動作甚至修改防火墻策略。通常，Network Sensor由于需要獲取網絡數據流，需要安裝在網絡入口連接處，入口連接處如果使用共享式的HUB，Network Sensor直接連接在HUB上即可，如果使用交換機，則需對網絡數據流進行映射，通過配置交換機的調試口如Cisco的Port Monitor口或SPAN口來實現。為了進一步提高安全性，Network Sensor還可配置兩塊網卡，一塊無IP，監視網絡，這樣沒人能夠發現它的存在，另外一塊有IP，連接Console，用于管理。服務器傳感器27、：Server Sensor用來保護用戶重要的信息資產，是業界最強大的主機保護產品。Server Sensor融合了Network Sensor和X-Force組織的主機保護技術，它安裝在需要保護的服務器上，檢測所有進入該服務器的網絡數據包，同時也可以解析相關日志信息。Server Sensor處理速度極快，能夠直接用于千兆網卡的服務器，也可用于監視底層加密的數據流如IPsec，而通?；诰W絡的IDS產品不能識別加密的數據流。桌面傳感器桌面傳感器（RealSecure Desktop Protector，簡稱RDP）是企業和組織用來保護桌面機和移動電腦的最佳選擇。它創造性的結合了防火期、入侵檢28、測和應用程序保護的最先進技術，全面保護客戶個人電腦的安全。RDP的個人防火墻可以阻斷來自互聯網和內聯網到您的PC的各種未授權的通信。RDP入侵檢測組件采用和服務器傳感器相同的高速引擎，它分析系統行為和通信內容中的可疑活動，和防火墻組件自動聯動以阻止黑客的攻擊。應用程序保護組件可以監視系統上各種應用程序的行為和通信，保護用戶的電腦免受未知的程序破壞。Workgroup Manager：Workgroup Manager是RealSecure入侵檢測系統的中央管理器，集中、安全的為分布于企業各網段、關鍵服務器群組的網絡傳感器、主機傳感器提供集中管理、配置、報告及實時報警。工作組管理器運行在Wind29、ows NT、Windows 2000上。 RealSecure入侵檢測系統采用先進的三層分布式體系結構，把集中在一臺管理器的幾個主要功能分成四個部件執行，構成工作組管理器系統。三層分布式體系結構更加靈活，可伸縮性和可生存性更好。三層分布式結構的核心就是中間層的事件收集器。事件收集器是控制臺和傳感器的樞紐，它負責從傳感器收集事件數據并傳送給控制臺和企業數據庫。事件收集的工作由獨立的部件完成，大大減輕了控制臺工作負荷。安全事件的數據隨著監控的網絡規模的增大、安全事件的增多、安全審計的要求,數據量會成爆炸性增長，因此對數據庫軟件和硬件平臺的要求更高，數據存儲在中間層會增加安全性和提高性能，增加部署30、方案的靈活性。在三層分布式結構中各部件可以運行在一臺計算機上，也可以分布運行在多臺計算機上。各部件可以是一對多或者多對多的關系，例如,幾個控制臺可以共用一個資產數據庫; 一個事件收集器可以管理許多臺傳感器并向若干控制臺傳送數據。2.5.1 百兆NIDS網絡入侵檢測系統的部署建議為保證XXX通信省網管中心重要業務系統的安全可靠運行，同時節約投資、方便部署，建議依如下方式配置百兆網絡入侵檢測產品RealSecure Network Sensor，便于實現對網絡流量的入侵檢測：1 在網管設備所在的網段的網絡交換機上配置Port Mirror功能 ，將RealSecure Network Sensor31、直接與該交換機上的Destination (SPAN) Port相連，將與該交換機連接的防火墻Intranet端口所對應的交換機端口設置為Source (SPAN) Port，實現基于SPAN方式的網絡入侵檢測，所有由外網流入該網管網段的網絡流量和內容都得到有效的實時檢測。另外增加一臺高檔PC Server，用于安裝 RealSecure的Workgroup Manager入侵檢測系統中央控管平臺（包含事件收集器和管理控制臺，安全企業數據庫SQL2000等），實現對2臺RealSecure Network Sensor的集中管理，升級，策略定制，分析與報告等功能。省網管中心安全系統產品部署示意32、圖ISS ServerSUN SPARC20PrimaryDNSSUN E250Catalys8540HP VE5后臺維護工作站HP 6PCatalyst2800PIXBilling server 2Enterprise 4000RAID(DB)HABilling server 1Enterprise 4000AIWebState漫游認證SUN E3000哈爾濱節點GEPSTNAISB probeCatalys6506統計/查詢服務器SUN E3000FreeMailE3000ACESwitchLDAP ServerSUN E2FreeMailSUN E3000DiskVLAN3VLAN4Ma33、il ServerSUN E3000DiskNMSHP C3000Backup ServerSUN U1SUN E450AINettrendSUN E3000AISerBaseVLAN1VLAN2黑龍江省網管中心局域網結構圖PPPserverSUN E3000EMSserverSPARC20-IDS Workgroup Manager2.5.2 入侵檢測系統部署圖圖2.4 網絡入侵檢測部署示意圖2.6 方案總結本方案在充分考慮到XXX通信省網管中心和7個重要節點的安全需求及實際網絡結構，采用目前國際，國內領先的相關安全技術，在保證安全體系總體性價比的前提下，重點考慮了在本方案中所有子系統相互之34、間的聯系，力爭建立一個具有有機聯系的整體安全體系。本安全方案建議在充分理解用戶需求的前提下，綜合考慮了多方面的因素，符合如下的設計要求：先進性：所選產品都是業界最先進的產品線，同時也提供業界最先進和前沿的管理理念，使得客戶始終能夠和世界領先的技術和管理理念同步。充分的“兼容”：對現有用戶網絡的改造，只是添加安全設備，基本上不需要對業務系統和網絡結構做大的變動；服務的持續性：在進行安全建設和安全評估、實時入侵檢測的時候，不影響現有系統的正常運行，保證了正常業務的持續開展；良好的擴展性：在用戶網絡發生改變的時候，安全系統的改變最小，只是簡單通過添加授權KEY，和添加監控點，就可以完成整個安全系統的35、改造；自身的安全性：網絡傳感器（Network Sensor）的透明接入、加密通訊、備份控制臺等安全考慮，有效的保證了安全系統自身的安全；安全產品對網絡和主機的帶寬占用很小，不會影響到正常的網絡通訊和主機系統的資源使用；管理方便：方案提供的建議，對于安全管理員的負擔是很小的，實時的入侵檢測協助管理員，阻止入侵者對系統的侵犯企圖；主機代理提供的實時關鍵文件的恢復功能，可以為管理員提供充足的事件處理善后工作；綜合考慮了系統的安全，引入了先進的安全理念，為用戶網絡防止入侵行為提供了可靠的保障；充分考慮了作為一個整體的信息安全體系中不同子系統之間的配合關系，形成一個緊密合作的整體?？梢钥闯?，本方案不僅36、考慮到了針對XXX通信省網管中心及7個重要節點安全現狀而提出的安全技術建議，而且針對安全技術提出了在省網管中心上各重要業務系統中采用的各種無論在性能上，服務上在業界都非常優秀的產品，而且在這些產品中都存在著相互之間的合作關系，這種合作關系便形成了XXX通信省網管中心網絡及7個重要節點的深度防御體系。因為，依據本方案所建立的安全系統，并非簡單安全產品的堆砌，而是一個基于策略，以管理為核心的安全系統。2.7 安全方案產品配置一覽本方案中所涉及的安全產品匯總如下：項目產品名稱數量說明漏洞掃描系統網絡掃描器Internet Scanner操作系統掃描器System Scanner對漫游認證，統計查詢，37、計費等重要服務器的操作系統進行漏洞掃描。數據庫掃描器DB Scanner針對計費數據庫服務器進行漏洞掃描網絡入侵檢測系統百兆RealSecure Network Sensor部署百兆網絡入侵檢測系統，實時保護省中心的兩個關鍵網段（認證與網管）免受黑客攻擊。千兆RealSecure Gigabit Network Sensor部署千兆網絡入侵檢測系統，實時保護中心的關鍵網段免受黑客攻擊新增安全管理系統服務器漏洞掃描控制臺ISS Scanner Console安裝System Scanner Console,Internet Scanner,Database Scanner，安裝Windows2000 professional+sp2.入侵檢測系統中央控管平臺RealSecure Workgroup Manager安裝Console,Asset Database,Event Collector,Enterprise Database，安裝Windows2000 Server+sp2和SQL Server 2000