1、“.....还将建设计费与结算中心客服中心认 证中心数据中心，使网络的规模业务与服务的水平都上到个新的台阶。 随着用户数量的不断扩大，应用水平的不断提高，个不容忽视的问题 网络安全越来越受到人们的关注，对网络安全体系的建立和全面解决方案的需求 迫在眉睫。于是，吉通通信有限责任公司作为金桥工程的业主提出招标，为金桥 网提供整套的安全解决方案。包括安全政策的制定体系结构的设计安全产 品的选择和集成，以及长期的合作和技术支持服务。工程总体目标是在不影响金 桥网当前业务的前提下，实现对金桥网的全面安全管理。 将安全策略硬件及软件等方法结合起来，构成个统的防御系统，有 效阻止非法用户进入网络，减少网络的安全风险。 定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。 通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时 具备很好的安全取证措施......”。

2、“.....使系统重新恢复 到破坏前的状态。最大限度地减少损失。 套完整的安全管理体系应能覆盖包括金桥网国际出口国内网间互联骨干 节点级节点，以及即将建设的二级节点在内的所有节点设备链路和业务服 务系统等，并且根据金桥网的网络结构，管理模式，业务划分，确定安全等级， 针对不同的安全等级，实施相应的安全策略。 金桥网安全总体需求 根据金桥网的特点，全面的安全解决方案需要涉及到网络安全系统安全 数据库系统安全数据安全以及防病毒等多个方面。每个方面都需要结合相关的 安全产品，相应的安全政策，实施包括预防检测反映在内的全过程。 安全政策 包括安全管理制度的制定和安全策略的实施。 根据管理原则，管理对象，卖方应协助买方修改制定切实可行的安全管理 制度或规范，同时结合安全策略的实施，建立完善的安全管理体系。 网络安全 针对网络设备和链路的保护。由于金桥网网络结构的复杂性，不可能对全网 做到集中式的安全管理......”。

3、“.....针对各地分公司节点的不同网段如 网管网段办公网段用户接入网段或根据提供的不同业务类别，实施不同级 别的安全管理措施。 系统安全 针对主机系统的安全，主要以和为主 针对业务系统的安全，包括网管系统计费系统和网络应用服务器系统例如 等。 数据库系统安全 目前金桥网上数据库以为主，数据库的安全管理涉及到 用户的权限管理，数据的访问控制，数据的安全与备份等。 数据安全 管理对象主要是网络应用服务器中向用户提供信息服务的各类信息，以及计 划建设的数据中心等。 卖方应能够提出建设数据中心的安全解决方案建议。 防病毒 构造全网统的防病毒体系。主要面向服务器，以及办公网段的 服务器和机等。 第三章安全体系的实现技术 基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整 个企业的安全体系必须集成多种安全技术实现。如虚拟网技术防火墙技术，入 侵监控技术安全漏洞扫描技术加密技术认证和数字签名技术等......”。

4、“.....交换 技术将传统的基于广播的局域网技术发展为面向连接的技术。因此，网管系统有 能力限制局域网通讯的范围而无需通过开销很大的路由器。 由以上运行机制带来的网络安全的好处是显而易见的 信息只到达应该到达的地点。因此防止了大部分基于网络监听的入侵手 段。 通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟 网内节点。 但是，虚拟网技术也带来了新的安全问题 执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。 基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。 基于的不能防止欺骗攻击。 以太网的链路安全 以太网从本质上基于广播机制，但应用了交换器和技术后，实际上转 变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入改变 问题。 但是，采用基于的划分将面临假冒地址的攻击。因此， 的划分最好基于交换机端口......”。

5、“..... 网络层通讯可以跨越路由器，因此攻击可以从远方发起。协议族各厂家实 现的不完善，因此，在网络层发现的安全漏洞相对更多，如,出可能的网络结构等。 同时，新发现的针对实现的安全漏洞也开始发现，而 绝大多数的域名系统均存在类似的问题。如由于查询使用无连接的 协议，利用可预测的查询可欺骗域名服务器给出的主机名对应关系。 因此，在利用域名服务时，应该注意到以上的安全问题。主要的措施有 内部网和外部网使用不同的域名服务器，隐藏内部网络信息。 域名服务器及域名查找应用安装相应的安全补丁。 对付攻击，应设计备份域名服务器。 病毒防护 病毒历来是信息系统安全的主要问题之。由于网络的广泛互联，病毒的传 播途径和速度大大加快。 我们将病毒的途径分为 通过，电子邮件传播。 通过软盘光盘磁带传播。 通过游览传播，主要是恶意的控件网站。 通过群件系统传播。 病毒防护的主要技术如下 阻止病毒的传播......”。

6、“.....在桌面安装病毒监控软件。 检查和清除病毒。 使用防病毒软件检查和清除病毒。 病毒数据库的升级。 病毒数据库应不断更新，并下发到桌面系统。 在防火墙代理服务器及上安装及控制扫描软件，禁止 未经许可的控件下载和安装。 应用安全 是企业对外宣传开展业务的重要基地。由于其重要性，成为 攻击的首选目标之。 经常成为用户访问公司内部资源的通道之，如 通过中间件访问主机系统，通过数据库连接部件访问数据库，利用访问本地 文件系统或网络系统中其它资源。 但服务器越来越复杂，其被发现的安全漏洞越来越多。为了防止服 务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心 服务器置于防火墙保护之下。 在服务器上安装实时安全监控软件。 在通往服务器的网络路径上安装基于网络的实时入侵监控系统。 经常审查服务器配置情况及运行日志。 运行新的应用前，先进行安全测试。如新的应用。 认证过程采用加密通讯或使用证书模式。 小心设置服务器的访问控制表......”。

7、“.....由于电子邮件系统的复 杂性，其被发现的安全漏洞非常多，并且危害很大。 加强电子邮件系统的安全性，通常有如下办法 设置台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站 或利用防火墙的电子邮件中转功能。所有出入的电子邮件均通过该中转 站中转。 同样为该服务器安装实施监控系统。 该邮件服务器作为专门的应用服务器，不运行任何其它业务切断与内部 网的通讯。 升级到最新的安全版本。 操作系统安全 市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发 现的问题越多。对操作系统的安全，除了不断地增加安全补丁外，还需要 检查系统设置敏感数据的存放方式，访问控制，口令选择更新。 基于系统的安全监控系统。 应用系统安全 应用系统建立在应用平台之上，应用系统可利用应用平台提供的安全服务， 增强应用系统的安全。 应用系统安全要求 通讯双方的主体确认。 通讯过程的保密完整性......”。

8、“..... 应用系统通常有两种应用模式及点到点通讯。 上流行的均使用及完成认证和加密通讯。 认证和通讯原理 证书实际上是通讯主体的身份标识，通讯双方通过证书互相认证，并利用证 书中的信息完成电子签名和加密协商。 证书由的建议目录认证框架定义，采用描 述，传输过程中先做编码，然后编码。 证书中的内容有以下几项 持有者的，如，。 证书签发者的。 版本号由号开始，目前支持，该值为 序列号，该证书在证书库中的唯序列号。 该证书的有效起始日期，有效最后日期。 持有者的。 证书签发者的签名和签名算法。 证书是基于公开密钥体系的电子证书，由于在加密通 讯过程中只需传送公开密钥，而且如果没有，很难从加密结果中恢复 原文。这种不对称的加密算法由于可方便地交换公开密钥，解决了对称加密算法 体系密钥的分发难题，因而在领域得到广泛应用。 证书用于数据通讯，主要有三个基本用途 数字签名 发送方使用自身的对报文的加密。接收方使用发送方 的还原此......”。

9、“.....两者相同，则表示该 报文在传输过程中保持完整，并且，确实是传送方所发。 认证 证书包含了证书持有者的信息，该信息由通讯双方均信任的第三方机构 认可并作了签名，同时在交换证书时，双方均为自己的证书作了数字签名。双方 在接疏到对方的证书后，首先验证证书的数字签名，验证收到的是否是发 送方的证书，然后使用第三方机构的验证是否其证书的数字签 名。如果这两步都正确，通讯双方即可建立信任关系。 加密 信任的通讯双方各自使用对方的加密通讯报文，接收方使用自己的 还原报文。通常，由于加密算法的效率不高，加密仅用于通 讯双方协商加密算法及密钥，实际通讯时仍然使用对称加密。 用户名口令模式的工作流 图用户名口令模式的工作流 ④ 证书验证模式的工作流程 图证书验证模式的工作流程 是将以上数字签名认证加密等各种技术结合起来，在层上， 层下，提供于应用的加密层。 与不同，它不是会话过程......”。