1、“.....提高全体人员的安全意识及反黑技术。加强物理安全防护，特别是采取措施防止涉密的信息通过电磁辐射的方式泄露。利用防火墙实现内外网及不信任域之间的隔离与访问控制。通过入侵检测系统全面监视进出网络的所有访问行为，及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志。各节点应采用网络防病毒系统，并与客户端防病毒软件相结合，构建起套完整的全网防病毒体系，保证网络不被病毒的侵害。通过主机防火墙防病毒安全存储防辐射来保证个人主机或重要服务器的网络安全防护。第三章网络安全方案物理安全实施方案针对企业的物理安全设施情况我们特提出以下几点防盗防火放水网络核心设备放在专用的机房有防盗设备，报警设备，消防设备，禁止任何液体在任何时间进入机房小时有人值班机房环境机房要通风，干燥，温度保持在度以上度以下。物理访问控制方面对主机房及重要信息存储收发部门来说首先要保证重要地点的安全防范工作，如非工莫入出入记录录像监控门磁窗磁红外报警等......”。

2、“.....可以做到实时记录，方便查询等优点。另外，在机房内外安装摄像机实时记录机房内外的各种情况，便于今后查询。门磁窗磁红外报警等作为安全技术防范的辅助手段加以使用，可以获得优异的效果，可以通过门窗通道放置磁性红外报警装置，当报警装置被触动后，激发摄像机定位，以便实时记录并触发警报也可以当报警装置被触动后，激发摄像机定位，启动实时记录并触发警报。机房屏蔽对主机房及重要信息存储收发部门进行屏蔽处理即建设个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓，磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系连接中均要采取相应的隔离措施和设计，如信号线电话线空调消防控制线，以及通风波导，门的关起等。电源系统对主机房及重要信息存储收发等重要部门来说旦电源发生故障，就会造成信息的丢失，正常工作无法进行，给不法分子造成可乘之机。故电源系统应加以改造和优化。可以采用多路供电的方法......”。

3、“.....当市电故障后自动切换至动力电，动力电故障后自动切换至专有电网，专有电网故障后自动切换至供电。并且，当下级电源恢复后，应立即自动切换回去。这样，既保证了安全性，又降低了运行费用。另外，电源质量对用电设备的使用寿命安全等有重大影响。在电源系统中，存在尖峰浪涌等不洁净的情况，旦发生会使用电设备处于危险境地，轻则使用电设备断电重启，总则使用电设备烧毁无法使用，甚至造成火灾。在这种情况下，即便是有也无济于事。为避免因电源质量而造成不安全因素，可以采用电源净化系统。电源净化系统不但可以净化电源，保证良好的电源质量除去尖峰浪涌等，而且可以定程度上减少电磁污染，另外，也避免了用电设备的信息随电源电缆外泄的可能。传输屏蔽对本地网局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用了屏蔽布线和光缆传输的方式。该部分的设计可在布线中综合考虑。对终端设备辐射的防范计算机作为电子设备在工作时会产生电磁泄露和传导泄露，将计算机的显示信息携带出去......”。

4、“.....这是造成计算机信息泄露的个危险隐患。终端机尤其是显示器，由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集中采用屏蔽室的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃复。当前对付计算机信息泄露的办法有两种是采用屏蔽措施，将涉密计算机置于屏蔽室内，隔断电磁辐射泄露二是采取电磁加扰措施以干扰信号遮掩计算机辐射信息，以防窃收。但由于屏蔽方式投资大，灵活性小般很少使用。电磁加扰方式具有较高的性价比。干扰技术的发展是随着计算机技术和窃收手段的发展而不断深化的。以前有些干扰设备采用自噪声干扰，但随着相关检测解调技术的发展和手段实施，已经被认为是不安全的了。随后采用的点相关加扰技术，因不能适用粗线条，简单图形的干扰防护也只有定的适用范围。目前采用同步仿真干扰技术，以计算机场同步信号调制经定算法产生的干扰信号，至在相应的干扰频域上与计算机电磁辐射相仿真......”。

5、“.....又可以保证较好的电磁兼容指标。防火墙火墙实施方案防火墙参数要求防火墙应支持多种工作模式透明路由以及透明加路由的混合模式。防火墙访问控制策略能够基于源目地址，源目端口号和时间进行设置。支持与地址的绑定，可以扩展用户名密码同时绑定彻底防止盗用身份认证协议支持，具有多个认证方案，如口令方式数字证书等。防火墙应采用先进的状态检测技术或其它最新的防火墙技术。可支持动态静态双向的网络地址转换。具备完善的日志功能，能够提供日志自动导出功能，支持向日志服务器导出日志。能够与第三方安全产品进行联动，尤其是与产品的联动，注明联动协议，举例说明。支持分级带宽管理，可以利用防火墙对带宽进行精细的控制。应支持常见的动态路由协议，如,支持生成树协议并能参与生成树算法计算。防火墙应支持协议，同时提供相应的库文件，能通过第三方网管软件对防火墙进行监测和控制。可扩展支持功能。要求能够提供基于源地址和目的地址的路由功能。应支持等协议，不仅能够识别协议而且可以给做路由。支持电路......”。

6、“.....支持基于网络的负载均衡技术。支持基于数据库的长连接应用千兆防火墙技术性能要求要求提供个自适应千兆接口和个自适应百兆端口。最大并发连接数在,万条以上。吞吐量不低于平均无故障时间不低于小时。防火墙千兆口应可以扩展不少于个防火墙技术服务要求提供防火墙产品的售后安装升级培训服务。提供本地化的日常维护和技术支持服务。防火墙技术性能鉴定资质至少具备公安部颁发的计算机信息系统安全专用产口销售许可证国家信息安全测评认证中心颁发的国家信息安全认证产品型号证书防火墙部署拓扑图之所以这样部署防火墙是应为把服务器统在起便于管理，把服务器群与其他机完全通过防火墙隔离开，减少了服务器被攻击的可能行，增加了网络安全性，而且相对于第二套部署方案而言减少了防火墙的千兆端口数，也只需要套，降低了成本。而且不用再从计算中心机房铺设光纤到技术中心。防火墙部署拓扑图这样部署相对第套部署方案而言唯的好处就是不用搬动技术中心的服务器，保持原有网络结构，但是需要增加防火墙的端口数，增加设备......”。

7、“.....最主要的是不便于统管理，而且网络安全性不如第套方案。部署防火墙的好处将服务器区和办公网进行有效的安全隔离，防止来自办公网的攻击和非法访问。防火墙可以和联动，防止来自内部的攻击。保证了数据核心层的相对安全。对服务器的访问做到日志审计。千兆防火墙的高处理性，保证了对服务器访问的吞吐量，使得网络性能不会因为防火墙成为瓶颈。同时防火墙必须要做到对的支持，能够做到客户端对服务器的访问控制。鉴防火墙可以做到对应用层的控制，屏蔽掉应用层的攻击。防火墙具有良好的抗攻击的性能，能够对常见的端口扫描，攻击有效防范。可以采用多种用户认证的方式，保证用户的合法性。防火墙可以做到对文件的控制，保证了关键文件的安全。实施方案部署拓扑图部署的好处入侵检测系统能够对网络流量进行实时监控，能够准确有效地识别所有网络活动中的已知攻击未知攻击行为，旦发现攻击，立即报警，并采取响应措施。要求报警准确，避免漏报和误报。入侵监测系统具备分析采用躲避入侵检测技术的通信数据的能力，能够有效的检测针对进行的躲避行为......”。

8、“.....记录入侵的完整过程，为安全事件的调查提供证据。入侵检测能够实时分析网络中活动，发现入侵行为可以采取预先设定的动作响应报警切断网络连接记录日志等等。能够依据定制的过滤条件获取特定网络协议端口的原始报文数据并对等主要的网络协议通信进行内容恢复事件回放。入侵检测产品能够提供缺省策略，可以灵活通过自定义制定新的符合用户特征的策略，便于管理维护，并且可依据事件报警的概率分析对事件策略集进行动态调整。能够提供与其他网络嗅探器和扫描器等辅助工具的集成，可与防火墙漏洞扫描验证系统定位系统网管系统进行联动。便于查看当前网络状况，分析网络问题。能够提供完整的网络事件记录，对网络中发生的所有事件进行记录，生成完整的网络审计日志。并支持对大量审计日志的数据库存储和对日志的多种查询方式。能够实现背景流量过滤。对用户指定的端口协议地址和应用相关的高数据流自动免检。信息审计实施方案审计系统的部署主要涉及两个方面个是基于网络出口敏感有害机密黑客信息的审查，方面是对于行为的审计主要指......”。

9、“.....企业的信息审计主要位于审计系统在互联网出口网络中心的应用服务核心数据层。天融信日志审计系统能采集多种日志类型，包括各种操作系统日志，如系统的，系统的系统日志应用程序日志安全事件日志目录服务日志文件复制日志等。防火墙系统日志，如天融信的系列产品的系列防火墙产品的系列防火墙和免费防火墙等。入侵检测系统日志，如产生的日志。网络交换及路由设备的日志，如的系列交换机及路由器产品。各种服务和应用系统日志，如服务器日志服务器日志等服务器日志，各种服务器日志，服务器日志，器服务日志等。任何支持或协议的日志。对于任何新的设备和系统，只要它能支持和协议，日志审计系统都可以收集这种设备的日志信息。支持日志格式,是广泛采用的防火墙日志格信息系统还具有以下功能日志管理日志审计系统的日志管理包括内容多种日志格式的统管理。日志审计系统可以自动将其收集到的各种日志格式转换为统的日志格式，便于对各种复杂日志信息的统管理与处理基于定策略对日志数据进行分类筛选......”。