对金桥网的全面安全管理。

将安全策略硬件及软件等方法结合起来，构成个统的防御系统，有效阻止非法用户进入网络，减少网络的安全风险。

定期进行漏洞扫描，审计跟踪，及时发现问题，解决问题。

通过入侵检测等方式实现实时安全监控，提供快速响应故障的手段，同时具备很好的安全取证措施。

使网络管理者能够很快重新组织被破坏了的文件或应用。

使系统重新恢复到破坏前的状态。

最大限度地减少损失。

套完整的安全管理体系应能覆盖包括金桥网国际出口国内网间互联骨干节点级节点，以及即将建设的二级节点在内的所有节点设备链路和业务服务系统等，并且根据金桥网的网络结构，管理模式，业务划分，确定安全等级，针对不同的安全等级，实施相应的安全策略。

金桥网安全总体需求根据金桥网的特点，全面的安全解决方案需要涉及到网络安全系统安全数据库系统安全数据安全以及防病毒等多个方面。

每个方面都需要结合相关的安全产品，相应的安全政策，实施包括预防检测反映在内的全过程。

安全政策包括安全管理制度的制定和安全策略的实施。

根据管理原则，管理对象，卖方应协助买方修改制定切实可行的安全管理制度或规范，同时结合安全策略的实施，建立完善的安全管理体系。

网络安全针对网络设备和链路的保护。

由于金桥网网络结构的复杂性，不可能对全网做到集中式的安全管理，可采取分布式，针对各地分公司节点的不同网段如网管网段办公网段用户接入网段或根据提供的不同业务类别，实施不同级别的安全管理措施。

系统安全针对主机系统的安全，主要以和为主针对业务系统的安全，包括网管系统计费系统和网络应用服务器系统例如等。

数据库系统安全目前金桥网上数据库以为主，数据库的安全管理涉及到用户的权限管理，数据的访问控制，数据的安全与备份等。

数据安全管理对象主要是网络应用服务器中向用户提供信息服务的各类信息，以及计划建设的数据中心等。

卖方应能够提出建设数据中心的安全解决方案建议。

防病毒构造全网统的防病毒体系。

主要面向服务器，以及办公网段的服务器和机等。

第三章安全体系的实现技术基于以上的分析，企业网络系统涉及到各方面的网络安全问题，我们认为整个企业的安全体系必须集成多种安全技术实现。

如虚拟网技术防火墙技术，入侵监控技术安全漏洞扫描技术加密技术认证和数字签名技术等。

虚拟网技术虚拟网技术主要基于近年发展的局域网交换技术和以太网交换。

交换技术将传统的基于广播的局域网技术发展为面向连接的技术。

因此，网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。

由以上运行机制带来的网络安全的好处是显而易见的信息只到达应该到达的地点。

因此防止了大部分基于网络监听的入侵手段。

通过虚拟网设置的访问控制，使在虚拟网外的网络节点不能直接访问虚拟网内节点。

但是，虚拟网技术也带来了新的安全问题执行虚拟网交换的设备越来越复杂，从而成为被攻击的对象。

基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。

基于的不能防止欺骗攻击。

以太网的链路安全以太网从本质上基于广播机制，但应用了交换器和技术后，实际上转变为点到点通讯，除非设置了监听口，信息交换也不会存在监听和插入改变问题。

但是，采用基于的划分将面临假冒地址的攻击。

因此，的划分最好基于交换机端口。

但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的。

网络层通讯可以跨越路由器，因此攻击可以从远方发起。

协议族各厂家实现的不完善，因此，在网络层发现的安全漏洞相对更多，如，攻击等。

防火墙枝术防火墙是近年发展起来的重要安全技术，其主要作用是在网络入口点检查网络通讯，根据客户设定的安全规则，在保护内部网络安全的前提下，提供内外网络通讯。

使用的益处保护脆弱的服务通过过滤不安全的服务，可以极大地提高网络安全和减少子网中主机的风险。

例如，可以禁止服务通过，同时可以拒绝源路由和重定向封包。

控制对系统的访问可以提供对系统的访问控制。

如允许从外部访问些主机，同时禁止访问另外的主机。

例如，允许外部访问特定的和。

集中的安全管理对企业内部网实现集中的安全管理，在定义的安全规则可以运用于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。

如在可以定义不同的认证方法，而不需在每台机器上分别安装特定的认证软件。

外部用户也只需要经过次认证即可访问内部网。

增强的保密性使用可以阻止攻击者获取攻击网络系统的有用信息，如和。

记录和统计网络利用数据以及非法使用数据可以记录和统计通过服务器越来越复杂，其被发现的安全漏洞越来越多。

为了防止服务器成为攻击的牺牲品或成为进入内部网络的跳板，我们需要给予更多的关心服务器置于防火墙保护之下。

在服务器上安装实时安全监控软件。

在通往服务器的网络路径上安装基于网络的实时入侵监控系统。

经常审查服务器配置情况及运行日志。

运行新的应用前，先进行安全测试。

如新的应用。

认证过程采用加密通讯或使用证书模式。

小心设置服务器的访问控制表。

电子邮件系统安全电子邮件系统也是网络与外部必须开放的服务系统。

由于电子邮件系统的复杂性，其被发现的安全漏洞非常多，并且危害很大。

加强电子邮件系统的安全性，通常有如下办法设置台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站或利用防火墙的电子邮件中转功能。

所有出入的电子邮件均通过该中转站中转。

同样为该服务器安装实施监控系统。

该邮件服务器作为专门的应用服务器，不运行任何其它业务切断与内部网的通讯。

升级到最新的安全版本。

操作系统安全市场上几乎所有的操作系统均已发现有安全漏洞，并且越流行的操作系统发现的问题越多。

对操作系统的安全，除了不断地增加安全补丁外，还需要检查系统设置敏感数据的存放方式，访问控制，口令选择更新。

基于系统的安全监控系统。

应用系统安全应用系统建立在应用平台之上，应用系统可利用应用平台提供的安全服务，增强应用系统的安全。

应用系统安全要求通讯双方的主体确认。

通讯过程的保密完整性。

交易过程的不可抵赖性。

应用系统通常有两种应用模式及点到点通讯。

上流行的均使用及完成认证和加密通讯。

认证和通讯原理证书实际上是通讯主体的身份标识，通讯双方通过证书互相认证，并利用证书中的信息完成电子签名和加密协商。

证书由的建议目录认证框架定义，采用描述，传输过程中先做编码，然后编码。

证书中的内容有以下几项持有者的，如，。

证书签发者的。

版本号由号开始，目前支持，该值为序列号，该证书在证书库中的唯序列号。

该证书的有效起始日期，有效最后日期。

持有者的。

证书签发者的签名和签名算法。

证书是基于公开密钥体系的电子证书，由于在加密通讯过程中只需传送公开密钥，而且如果没有，很难从加密结果中恢复原文。

这种不对称的加密算法由于可方便地交换公开密钥，解决了对称加密算法体系密钥的分发难题，因而在领域得到广泛应用。

证书用于数据通讯，主要有三个基本用途数字签名发送方使用自身的对报文的加密。

接收方使用发送方的还原此，同时计算报文的，两者相同，则表示该报文在传输过程中保持完整，并且，确实是传送方所发。

认证证书包含了证书持有者的信息，该信息由通讯双方均信任的第三方机构认可并作了签名，同时在交换证书时，双方均为自己的证书作了数字签名。

双方在接疏到对方的证书后，首先验证证书的数字签名，验证收到的是否是发送方的证书，然后使用第三方机构的验证是否其证书的数字签名。

如果这两步都正确，通讯双方即可建立信任关系。

加密信任的通讯双方各自使用对方的加密通讯报文，接收方使用自己的还原报文。

通常，由于加密算法的效率不高，加密仅用于通讯双方协商加密算法及密钥，实际通讯时仍然使用对称加密。

用户名口令模式的工作流图用户名口令模式的工作流④证书验证模式的工作流程图证书验证模式的工作流程是将以上数字签名认证加密等各种技术结合起来，在层上，层下，提供于应用的加密层。

与不同，它不是会话过程，只是简单地将发送的邮件内容用接收方的公开密钥加密，然后发送，当然可能会用自己的私有密钥作签名。

认证体系由前述的认证过程，需要有第三方的证书许可机构为通讯双方提供许可，来完成完整的认证体系。

同时，证书许可机构需要对证书服务进行管理，如接收请求核实请求发布回收更新等任务。

由于应用角度不同，通常在内，有种类型的证书证书证书表明证明该证书持有者有颁发证书的权利。

服务器证书服务器证书用于服务器与客户通讯时的认证和加密。

个人证书个人证书用于的服务器访问及。

程序证书用于给程序或对象发放证书。

体系可构成树型结构，认证时可选择继承对其上层的信任关系。

④图链中的确认过程上图中表示了个在链中的确认过程，实线表示验证过程中涉及的。

第四章安全产品的解决方案安全技术和产品近几年在市场上大量涌现，并开始成熟起来。

本章给出了采用的主要产品的特征，并分析了安全体系与网络系统及应用系统的集成。

本建议书推荐采用美国网络联盟公司提供的网络安全整体解决体系。

，网络联盟公司是世界上十大软件厂商之，也是全球最大的致力于提供网络信息安全和管理的专业厂商。

美国网络联盟公司拥有个以上的办事处，多名雇员，在全球六大洲运作，年的营业额达亿美元。

的产品在世界范围得到广泛的应用和好评。

其用户包括和等企业界的等美国国防部等。

国内的用户包括政府海关石油教育部队电信等行业。

安全体系采用的产品分析防火墙产品公司的网络安全产品涉及到网络安全的各个方面，从防火墙防病毒网络安全扫描到网络安全监测等各个方面提供了网络安全的全线产品。

公司的是使用另种技术原理的防火墙产品。

使用完全的代理服务方式提供广泛的协议支持以及高速的吞吐能力，很好的解决了安全性能及灵活性的协调。

作为基于应用层网关的防火墙，具有用户透明集成管理可控能力强内容安全和高吞吐量等特点，很好地解决了安全性能灵活性等方面的需求的协调的特性，广泛应用于企业内部网和远程访问，是目前在网络安全领域影响较大的防火墙产品，多次被评为最安全的防火墙。

以下是在第三方测试环境中，防火墙同其它防火墙的综合性能对比图安全威胁平台安全的需求网络的基本安全需求业务系统的安全需求服务平台的安全需求平台安全与平台性能和功能的关系采用适当的安全体系设计和管理计划，能够有效降低网络安全对网络性能的影响并降低管理费用。

平台安全的管理因素全方位的安全体系虚拟网技术以太网的链路安全防火墙枝术使用的益处设置的要素的基本分类建设的原则选择防火墙的要点入侵检测技术安