1、“.....骨干网络的带宽已达，国 际出口达到了，网络节点超过个大中城市可以向各种用户提供卫星 帧中继接入信息服务电话电子商 务等服务。年是金桥网建设大发展的年，骨干网带宽及国际出口带宽将进 步扩宽以满足用户的需要网络节点将大规模增加以增加网络的覆盖在已经 建设的网管中心维护中心的基础上，还将建设计费与结算中心客服中心认 证中心数据中心，使网络的规模业务与服务的水平都上到个新的台阶。 随着用户数量的不断扩大，应用水平的不断提高，个不容忽视的问题 网络安全越来越受到人们的关注，对网络安全体系的建立和全面解决方案的需求 迫在眉睫。于是，吉通通信有限责任公司作为金桥工程的业主提出招标，为金桥 网提供整套的安全解决方案。包括安全政策的制定体系结构的设计安全产 品的选择和集成，以及长期的合作和技术支持服务......”。

2、“.....实现对金桥网的全面安全管理。 将安全策略硬件及软件等方法结合起来，构成个统的防御系统，有 效阻止非法用户进入网络，减少网络的安全风险。 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时 具备很好的安全取证措施。 使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复 到破坏前的状态。最大限度地减少损失。 套完整的安全管理体系应能覆盖包括金桥网国际出口国内网间互联骨干 节点级节点，以及即将建设的二级节点在内的所有节点设备链路和业务服 务系统等，并且根据金桥网的网络结构，管理模式，业务划分，确定安全等级， 针对不同的安全等级，实施相应的安全策略。 金桥网安全总体需求 根据金桥网的特点......”。

3、“.....每个方面都需要结合相关的 安全产品，相应的安全政策，实施包括预防检测反映在内的全过程。 安全政策 包括安全管理制度的制定和安全策略的实施。 根据管理原则，管理对象，卖方应协助买方修改制定切实可行的安全管理 制度或规范，同时结合安全策略的实施，建立完善的安全管理体系。 网络安全 针对网络设备和链路的保护。由于金桥网网络结构的复杂性，不可能对全网 做到集中式的安全管理，可采取分布式，针对各地分公司节点的不同网段如 网管网段办公网段用户接入网段或根据提供的不同业务类别，实施不同级 别的安全管理措施。 系统安全 针对主机系统的安全，主要以和为主 针对业务系统的安全，包括网管系统计费系统和网络应用服务器系统例如 等。 数据库系统安全 目前金桥网上数据库以为主......”。

4、“.....数据的访问控制，数据的安全与备份等。 数据安全 管理对象主要是网络应用服务器中向用户提供信息服务的各类信息，以及计 划建设的数据中心等。 卖方应能够提出建设数据中心的安全解决方案建议。 防病毒 构造全网统的防病毒体系。主要面向服务器，以及办公网段的 服务器和机等。 第三章安全体系的实现技术 基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整 个企业的安全体系必须集成多种安全技术实现。如虚拟网技术防火墙技术，入 侵监控技术安全漏洞扫描技术加密技术认证和数字签名技术等。 虚拟网技术 虚拟网技术主要基于近年发展的局域网交换技术和以太网交换。交换 技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有 能力限制局域网通讯的范围而无需通过开销很大的路由器......”。

5、“.....因此防止了大部分基于网络监听的入侵手 段。 通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟 网内节点。 但是，虚拟网技术也带来了新的安全问题 执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。 基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。 基于的不能防止欺骗攻击。 以太网的链路安全 以太网从本质上基于广播机制，但应用了交换器和技术后，实际上转 变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入改变 问题。 但是，采用基于的划分将面临假冒地址的攻击。因此， 的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个 交换端口所在的网段机器均属于相同的。 网络层通讯可以跨越路由器，因此攻击可以从远方发起。协视模块，分别向管理服务器报告及上 传证据，提供跨平台的入侵监视解决方案......”。

6、“.....放置监视模块，分别向管理服务器报告 及上传证据，提供跨网络的入侵监视解决方案。 选择入侵监视系统的要点是 协议分析及检测能力。 解码效率速度。 自身安全的完备性。 精确度及完整度，防欺骗能力。 模式更新速度。 安全扫描技术 网络安全技术中，另类重要技术为安全扫描技术。安全扫描技术与防火墙 安全监控系统互相配合能够提供很高安全性的网络。 安全扫描工具源于在入侵网络系统时采用的工具。商品化的安全扫描 工具为网络安全漏洞的发现提供了强大的支持。 安全扫描工具通常也分为基于服务器和基于网络的扫描器。 基于服务器的扫描器主要扫描服务器相关的安全漏洞，如文件，目 录和文件权限，共享文件系统，敏感服务，软件，系统漏洞等，并给出相应的解 决办法建议。通常与相应的服务器操作系统紧密相关......”。

7、“.....并可设定模拟攻击，以测试系统的防御 能力。通常该类扫描器限制使用范围地址或路由器跳数。网络安全扫描的主要 性能应该考虑以下方面 速度。在网络内进行安全扫描非常耗时。 网络拓扑。通过的图形界面，可迭择步或些区域的设备。 能够发现的漏洞数量。 是否支持可定制的攻杰方法。通常提供强大的工具构造特定的攻击方法。 因为网络内服务器及其它设备对相同协议的实现存在差别，所以预制的扫 描方法肯定不能满足客户的需求。 报告，扫描器应该能够给出清楚的安全漏洞报告。 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升 级，并给出相应的改进建议。 安全扫描器不能实时监视网络上的入侵，但是能够测试和评价系统的安全性， 并及时发现安全漏洞。 认证和数宇签名技术 认证技术主要解决网络通讯过程中通讯双方的身份认可......”。

8、“.....同时数字签名还可用于通信过程中的不可抵赖要求 的实现。 认证技术将应用到企业网络中的以下方面 路由器认证，路由器和交换机之间的认证。 操作系统认证。操作系统对用户的认证。 网管系统对网管设备之间的认证。 网关设备之间的认证。 拨号访问服务器与客户间的认证。 应用服务器如与客户的认证。 电子邮件通讯双方的认证。 数字签名技术主要用于 基于认证体系的认证过程。 基于的电子邮件及交易通过进行的交易的不可抵赖记录。 认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密不对称 加密及两种加密方法的混合。 认证 该种认证方式是最常用的种认证方式，用于操作系统登录 等，但由于此种认证方式过程不加密，即容易被监听和解密。 使用摘要算法的认证 拨号认证协议路由协议等均使用共 享的，加上摘要算法进行认证，由于摘要算法是个不可逆的 过程......”。

9、“.....在认证过程中，由摘要信息不能计算出共享的，敏感信 息不在网络上传输。市场上主要采用的摘要算法有和。 基于的认证 使用公开密钥体系进行认证和加密。该种方法安全程度较高，综合采用了摘 要算法不对称加密对称加密数字签名等技术，很好地将安全性和高效率结 合起来。节描述了基于认证的基本原理。这种认证方法目前应用在电子邮 件应用服务器访问客户认证防火墙验证等领域。 该种认证方法安全程度很高，但是涉及到比较繁重的证书管理任务。 技术 企业对技术的需求 企业总部和各分支机构之间采用网络进行连接，由于为中国金 融系统的公用网络，因此，必须保证其安全性。我们将利用公共网络实现的私用 网络称为虚拟私用网。 因为利用了公共网络，所以其最大的弱点在于缺乏足够的安全性。企业 网络接入到，暴露出两个主要危险 来自的未经授权的对企业内部网的存取。 当企业通过进行通讯时......”。