计划书的编写过程需要团队合作和沟通,确保各方的意见和需求得到充分考虑。下面是一些优秀计划书的实例,希望能给大家提供一些启示和思考。
网络安全中的入侵检测系统是近年来出现的新型网络安全技术,也是重要的网络安全工具。下面是有网络安全解决方案设计,欢迎参阅。
一、客户背景。
集团内联网主要以总部局域网为核心,采用广域网方式与外地子公司联网。集团广域网采用mpls-技术,用来为各个分公司提供骨干网络平台和接入,各个分公司可以在集团的骨干信息网络系统上建设各自的子系统,确保各类系统间的相互独立。
二、安全威胁。
某公司属于大型上市公司,在北京,上海、广州等地均有分公司。公司内部采用无纸化办公,oa系统成熟。每个局域网连接着该所有部门,所有的数据都从局域网中传递。同时,各分公司采用技术连接公司总部。该单位为了方便,将相当一部分业务放在了对外开放的网站上,网站也成为了既是对外形象窗口又是内部办公窗口。
由于网络设计部署上的缺陷,该单位局域网在建成后就不断出现网络拥堵、网速特别慢的情况,同时有些个别机器上的杀毒软件频频出现病毒报警,网络经常瘫痪,每次时间都持续几十分钟,网管简直成了救火队员,忙着清除病毒,重装系统。对外web网站同样也遭到黑客攻击,网页遭到非法篡改,有些网页甚至成了传播不良信息的平台,不仅影响到网站的正常运行,而且还对政府形象也造成不良影响。(安全威胁根据拓扑图分析)从网络安全威胁看,集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等信息安全现状:经过分析发现该公司信息安全基本上是空白,主要有以下问题:
公司没有制定信息安全政策,信息管理不健全。公司在建内网时与internet的连接没有防火墙。内部网络(同一城市的各分公司)之间没有任何安全保障为了让网络正常运行。
根据我国《信息安全等级保护管理办法》的信息安全要求,近期公司决定对该网络加强安全防护,解决目前网络出现的安全问题。
三、安全需求。
从安全性和实用性角度考虑,安全需求主要包括以下几个方面:
1、安全管理咨询。
安全建设应该遵照7分管理3分技术的原则,通过本次安全项目,可以发现集团现有安全问题,并且协助建立起完善的安全管理和安全组织体系。
2、集团骨干网络边界安全。
主要考虑骨干网络中internet出口处的安全,以及移动用户、远程拨号访问用户的安全。
3、集团骨干网络服务器安全。
主要考虑骨干网络中网关服务器和集团内部的服务器,包括oa、财务、人事、内部web等内部信息系统服务器区和安全管理服务器区的安全。
4、集团内联网统一的病毒防护。
主要考虑集团内联网中,包括总公司在内的所有公司的病毒防护。
5、统一的增强口令认证系统。
由于系统管理员需要管理大量的主机和网络设备,如何确保口令安全称为一个重要的问题。
6、统一的安全管理平台。
通过在集团内联网部署统一的安全管理平台,实现集团总部对全网安全状况的集中监测、安全策略的统一配置管理、统计分析各类安全事件、以及处理各种安全突发事件。
7、专业安全服务。
过专业安全服务建立全面的安全策略、管理组织体系及相关管理制度,全面评估企业网络中的信息资产及其面临的安全风险情况,在必要的情况下,进行主机加固和网络加固。通过专业紧急响应服务保证企业在面临紧急事件情况下的处理能力,降低安全风险。
骨干网边界安全。
集团骨干网共有一个internet出口,位置在总部,在internet出口处部署linktrustcyberwall-200f/006防火墙一台。
networkdefender可以实时监控网络中的异常流量,防止恶意入侵。
集团骨干网服务器主要指网络中的网关服务器和集团内部的应用服务器包括oa、财务、人事、内部web等,以及专为此次项目配置的、用于安全产品管理的服务器的安全。主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。
漏洞扫描。
了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。
内联网病毒防护。
病毒防范是网络安全的一个基本的、重要部分。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。
病毒防护体系主要由桌面网络防毒、服务器防毒和邮件防毒三个方面。
增强的身份认证系统。
由于需要管理大量的主机和网络设备,如何确保口令安全也是一个非常重要的问题。减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者pin的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的pin号码外,还必须拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性。
统一安全平台的建立。
通过建立统一的安全管理平台(安全运行管理中心—soc),建立起集团的安全风险监控体系,利于从全局的角度发现网络中存在的安全问题,并及时归并相关人员处理。这里的风险监控体系包括安全信息库、安全事件收集管理系统、安全工单系统等,同时开发有效的多种手段实时告警系统,定制高效的安全报表系统。
1.1安全系统建设目标。
本技术方案旨在为某市政府网络提供全面的网络系统安全解决方案,包括安全管理制度策略的制定、安全策略的实施体系结构的设计、安全产品的选择和部署实施,以及长期的合作和技术支持服务。系统建设目标是在不影响当前业务的前提下,实现对网络的全面安全管理。
2)通过部署不同类型的安全产品,实现对不同层次、不同类别网络安全问题的防护;。
3)使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态。最大限度地减少损失。
其次,对于通过对网络的流量进行实时监控,对重要服务器的运行状况进行全面监控。
1.1.1防火墙系统设计方案。
1.1.1.1防火墙对服务器的安全保护。
网络中应用的服务器,信息量大、处理能力强,往往是攻击的主要对象。另外,服务器提供的各种服务本身有可能成为"黑客"攻击的突破口,因此,在实施方案时要对服务器的安全进行一系列安全保护。
如果服务器没有加任何安全防护措施而直接放在公网上提供对外服务,就会面临着"黑客"各种方式的攻击,安全级别很低。因此当安装防火墙后,所有访问服务器的请求都要经过防火墙安全规则的详细检测。只有访问服务器的请求符合防火墙安全规则后,才能通过防火墙到达内部服务器。防火墙本身抵御了绝大部分对服务器的攻击,外界只能接触到防火墙上的特定服务,从而防止了绝大部分外界攻击。
1.1.1.2防火墙对内部非法用户的防范。
网络内部的环境比较复杂,而且各子网的分布地域广阔,网络用户、设备接入的可控性比较差,因此,内部网络用户的可靠性并不能得到完全的保证。特别是对于存放敏感数据的主机的攻击往往发自内部用户,如何对内部用户进行访问控制和安全防范就显得特别重要。为了保障内部网络运行的可靠性和安全性,我们必须要对它进行详尽的分析,尽可能防护到网络的每一节点。
全防范处理,整个系统的安全性容易受到内部用户攻击的威胁,安全等级不高。根据国际上流行的处理方法,我们把内部用户跨网段的访问分为两大类:其一,是内部网络用户之间的访问,即单机到单机访问。这一层次上的应用主要有用户共享文件的传输(netbios)应用;其次,是内部网络用户对内部服务器的访问,这一类应用主要发生在内部用户的业务处理时。一般内部用户对于网络安全防范的意识不高,如果内部人员发起攻击,内部网络主机将无法避免地遭到损害,特别是针对于netbios文件共享协议,已经有很多的漏洞在网上公开报道,如果网络主机保护不完善,就可能被内部用户利用"黑客"工具造成严重破坏。
1.1.2入侵检测系统。
利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险,但是入侵者可寻找防火墙背后可能敞开的后门,入侵者也可能就在防火墙内。
网络入侵检测系统位于有敏感数据需要保护的网络上,通过实时侦听网络数据流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规行为和未授权的网络访问时,网络监控系统能够根据系统安全策略做出反应,包括实时报警、事件登录,或执行用户自定义的安全策略等。网络监控系统可以部署在网络中有安全风险的地方,如局域网出入口、重点保护主机、远程接入服务器、内部网重点工作站组等。在重点保护区域,可以单独各部署一套网络监控系统(管理器+探测引擎),也可以在每个需要保护的地方单独部署一个探测引擎,在全网使用一个管理器,这种方式便于进行集中管理。
在内部应用网络中的重要网段,使用网络探测引擎,监视并记录该网段上的所有操作,在一定程度上防止非法操作和恶意攻击网络中的重要服务器和主机。同时,网络监视器还可以形象地重现操作的过程,可帮助安全管理员发现网络安全的隐患。
需要说明的是,ids是对防火墙的非常有必要的附加而不仅仅是简单的补充。
按照现阶段的网络及系统环境划分不同的网络安全风险区域,x市政府本期网络安全系统项目的需求为:
区域部署安全产品。
内网连接到internet的出口处安装两台互为双机热备的海信fw3010pf-4000型百兆防火墙;在主干交换机上安装海信千兆眼镜蛇入侵检测系统探测器;在主干交换机上安装nethawk网络安全监控与审计系统;在内部工作站上安装趋势防毒墙网络版防病毒软件;在各服务器上安装趋势防毒墙服务器版防病毒软件。
dmz区在服务器上安装趋势防毒墙服务器版防病毒软件;安装一台interscan。
viruswall防病毒网关;安装百兆眼镜蛇入侵检测系统探测器和nethawk网络安全监控与审计系统。
安全监控与备份中心安装fw3010-5000千兆防火墙,安装rj-itop榕基网络安全漏洞扫描器;安装眼镜蛇入侵检测系统控制台和百兆探测器;安装趋势防毒墙服务器版管理服务器,趋势防毒墙网络版管理服务器,对各防病毒软件进行集中管理。
网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。
网络系统安全具备的功能及配置原则。
1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。
3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。
4.加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
5.备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6.监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。
在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙,为“内部”网络(段)与“外部”网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的设备,在进行“内”外网络(段)的隔离的同时建立网络(段)之间的安全通道。
1.防火墙应具备如下功能:
使用nat把dmz区的服务器和内部端口影射到firewall的对外端口;。
允许dmz区内的工作站与应用服务器访问internet公网;。
允许内部网用户通过代理访问internet公网;。
禁止internet公网用户进入内部网络和非法访问dmz区应用服务器;。
禁止dmz区的公开服务器访问内部网络;。
防止来自internet的dos一类的攻击;。
能接受入侵检测的联动要求,可实现对实时入侵的策略响应;。
提供日志报表的自动生成功能,便于事件的分析;。
提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的ip、正在关闭的连接等信息),通信数据流量。提供连接查询和动态图表显示。
防火墙自身必须是有防黑客攻击的保护能力。
2.带防火墙功能的设备是在防火墙基本功能(隔离和访问控制)基础上,通过功能扩展,同时具有在ip层构建端到端的具有加密选项功能的esp隧道能力,这类设备也有s的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上“内部”局域网安全地连接起来,一般要求s应具有一下功能:
具有对连接两端的实体鉴别认证能力;。
支持移动用户远程的安全接入;。
支持ipesp隧道内传输数据的完整性和机密性保护;。
提供系统内密钥管理功能;。
s设备自身具有防黑客攻击以及网上设备认证的能力。
入侵检测与响应方案。
在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害“内部”网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在“内部”网与外部网的边界处形成保护体系。
入侵检测系统的基本功能如下:
通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵事件和可疑操作行为。
对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。
采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、syslog报警、snmptrap报警、windows日志报警、windows消息报警信息,并按照预设策略,根据提供的报警信息切断攻击连接。
与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。
全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。
可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员方便的提取信息。
入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。
漏洞扫描方案。
除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。
对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。
漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助,对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。
考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系:漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此,漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标,而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。
网络防病毒产品较为成熟,且有几种主流产品。本方案建议,网络防病毒系统应具备下列功能:
网络&单机防护—提供个人或家庭用户病毒防护;。
文件及存储服务器防护—提供服务器病毒防护;。
集中管理—为企业网络的防毒策略,提供了强大的集中控管能力。
关于安全设备之间的功能互补与协调运行。
各种网络安全设备(防火墙、入侵检测、漏洞扫描、防病毒产品等),都有自己独特的安全探测与安全保护能力,但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此,在安全设备选型和配置时,尽可能考虑到相关安全设备的功能互补与协调运行,对于提高网络平台的整体安全性具有重要意义。
防火墙是目前广泛用于隔离网络(段)边界并实施进/出信息流控制的大众型网络安全产品之一。作为不同网络(段)之间的逻辑隔离设备,防火墙将内部可信区域与外部危险区域有效隔离,将网络的安全策略制定和信息流动集中管理控制,为网络边界提供保护,是抵御入侵控制内外非法连接的。
但防火墙具有局限性。这种局限性并不说明防火墙功能有失缺,而且由于本身只应该承担这样的职能。因为防火墙是配置在网络连接边界的通道处的,这就决定了它的基本职能只应提供静态防御,其规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。这些控制规则只能是粗颗粒的,对一些协议细节无法做到完全解析。而且,防火墙无法自动调整策略设置以阻断正在进行的攻击,也无法防范基于协议的攻击。
为了弥补防火墙在实际应用中存在的局限,防火墙厂商主动提出了协调互动思想即联动问题。防火墙联动即将其它安全设备(组件)(例如ids)探测或处理的结果通过接口引入系统内调整防火墙的安全策略,增强防火墙的访问控制能力和范围,提高整体安全水平。
随着计算机技术、网络技术、通信技术的快速发展,基于网络的应用已无孔不入地渗透到了社会的每一个角落,信息网络技术是一把双刃剑,它在促进国民经济建设、丰富人民物质文化生活的同时,也对传统的国家安全体系、政府安全体系、企业安全体系提出了严峻的挑战,使得国家的机密、政府敏感信息、企业商业机密、企业生产运行等面临巨大的安全威胁。
政府各部门信息化基础设施相对完善,信息化建设总体上处于较高水平。由于政务网系统网络安全性与稳定性的特殊要求,建立电子政务网安全整体防护体系,制定恰当的安全策略,加强安全管理,提高电子政务网的安全保障能力,是当前迫在眉睫的大事。
本文以一个厅局级单位的网络为例,分析其面临的威胁,指出了部署安全防护的总体策略,探讨了安全防护的技术措施。
政府各部门的信息网络一般分为:涉密网、非涉密内网、外网,按照国家保密局要求,涉密网与外网物理断开。大部分单位建设有非涉密内网和外网。以某局级单位的内网为例,分析其潜在安全威胁如下:
局级政务网上与市政务网相联,下与区属局级单位相联;在本局大楼内,联接各处室、网络中心、业务窗口、行政服务中心等部门;对外还直接或间接地联到internet。由于网络结构比较复杂,连接的部门多,使用人员多,并且存在各种异构设备、多种应用系统,因此政务网络上存在的潜在安全威胁非常之大。
如果从威胁来源渠道的角度来看,有来自internet的安全威胁、来自内部的安全威胁,有有意的人为安全威胁、有无意的人为安全威胁。
如果从安全威胁种类的角度来看,有黑客攻击、病毒侵害、木马、恶意代码、拒绝服务、后门、信息外泄、信息丢失、信息篡改、资源占用等。
安全威胁种类示意图如下:
如果依据网络的理论模型进行分析,有物理安全风险、链路传输安全风险、网络互联安全风险、系统安全风险、应用安全风险、以及管理安全风险。
如下图所示:
信息系统安全体系覆盖通信平台、网络平台、系统平台、应用平台,覆盖网络的各个层面,覆盖各项安全功能,是一个多维度全方位的安全结构模型。安全体系的建立,应从设施、技术到管理整个经营运作体系进行通盘考虑,因此必须以系统工程的方法进行设计。
从目前安全技术的总体发展水平与诸种因素情况来看,绝对安全是不可能的,需要在系统的可用性和性能、投资以及安全保障程度之间形成一定的平衡,通过相应安全措施的实施把风险降低到可接受的程度。
厅局级单位的网络安全体系设计本着:适度集中,分散风险,突出重点,分级保护的总体策略。
根据中办发[2003]27号文件精神,政府部门安全防护的总体策略是:
2、建设和完善信息安全监控体系;。
3、建立信息安全应急响应机制;。
4、加快信息安全人才培养,增强公务人员信息安全意识;。
5、加强对信息安全保障工作的领导,建立健全信息安全管理责任制。
针对不同的安全风险种类,相应的技术措施如下表:
安全威胁种类。
相应的.技术措施。
传输安全:在传输线路上窃取数据。
vpn加密技术。
本方案针对局级政务内网和外网进行整体安全设计。政务外网主要提供对社会公众的信息发布平台,可以通过逻辑隔离设备联入互联网,政务内网主要运行政务网内部公文等oa系统,纵向与上级单位和下级单位网络相连,横向通过物理隔离设备与政务外网相连。
中小企业用户的局域网一般来说网络结构不太复杂,主机数量不太多,服务器提供的服务相对较少,这样的网络通常很少甚至没有专门的管理员来维护网络的安全。这就给和非法访问提供了可乘之机。这样的网络使用环境一般存在下列安全隐患和需求:
计算机病毒在企业内部网络传播。
内部网络可能被外部的攻击。
对外的服务器(如:www、ftp等)没有安全防护,容易被攻击。
远程、移动用户对公司内部网络的安全访问。
网络营销方案是指具有电子商务网络营销的专业知识,可以为传统企业或网络企业提供网络营销项目策划咨询、网络营销策略方法、电子商务实施步骤等服务建议和方案,或代为施行以求达到预期目的人进行的一种网络商务活动的计划书。
网络营销方案是指企业、组织、政府部门或机关、个人在以网络为工具的系统性的经营活动之前,根据自身的需求、目标定制的个性化的高性价比的网络营销方案。
网络营销方案可以包括的内容如下:
一、战略整体规划:市场分析、竞争分析、受众分析、品牌与产品分析、独特销售主张提炼、创意策略制定、整体运营步骤规划、投入和预期设定。
二、营销型网站:网站结构、视觉风格、网站栏目、页面布局、网站功能、关键字策划、网站seo、设计与开发。
三、传播内容规划:品牌形象文案策划、产品销售概念策划、产品销售文案策划、招商文案策划、产品口碑文案策划、新闻资讯内容策划、各种广告文字策划。
四、整合传播推广:seo排名优化、博客营销、微博营销、论坛营销、知识营销、口碑营销、新闻软文营销、视频营销、事件营销、公关活动等病毒传播方式。
五、数据监控运营:网站排名监控、传播数据分析、网站访问数量统计分析、访问人群分析、咨询统计分析、网页浏览深度统计分析、热门关键字访问统计分析。
网络营销方案的策划,首先是明确策划的出发点和依据,即明确企业的网络营销目标,以及在特定的网络营销环境下企业所面临的优势、机会和威胁(即swot分析)。然后在确定策划的出发点和依据的基础上,对网络市场进行细分,选择网络营销的目标市场,进行网络营销定位。最后对各种具体的网络营销策略进行设计和集成。
(一)明确组织任务和远景。
要设计网络营销方案,首先就要明确或界定企业的任务和远景。任务和远景对企业的决策行为和经营活动起着鼓舞和指导作用。
企业的任务是企业所特有的,也包括了公司的总体目标、经营范围以及关于未来管理行动的总的指导方针。区别于其他公司的基本目的,它通常以任务报告书的形式确定下来。
(二)确定组织的网络营销目标。
任务和远景界定了企业的基本目标,而网络营销目标和计划的制定将以这些基本目标为指导。表述合理的企业网络营销目标,应当对具体的营销目的进行陈诉,如"利润比上年增长12","品牌知名度达到50"等等。网络营销目标还应详细说明达到这些成就的时间期限。
(三)swot分析。
除了企业的任务、远景和目标之外,企业的资源和网络营销环境是影响网络营销策划的两大因素。作为一种战略策划工具,swot分析有助于公司经理以批评的眼光审时度势,正确评估公司完成其基本任务的可能性和现实性,而且有助于正确地设置网络营销目标并制定旨在充分利用网络营销机会、实现这些目标的网络营销计划。
(四)网络营销定位。
为了更好地满足网上消费者的需求,增加企业在网上市场的竞争优势和获利机会,从事网络营销的企业必须做好网络营销定位。网络营销定位是网络营销策划的战略制高点,营销定位失误,必然全盘皆输。只有抓准定位才有利于网络营销总体战略的制定。
(五)网络营销平台的设计。
所说的平台,是指由人、设备、程序和活动规则的相互作用形成的能够完成的一定功能的系统。完整的网络营销活动需要五种基本的平台:信息平台、制造平台、交易平台、物流平台和服务平台。
(六)网络营销组合策略。
这是网络营销策划中的主题部分,它包括4p策略——网上产品策略的设计;网上价格策略的设计;网上价格渠道的设计;网上促销策略的设计。以及开展网络公共关系。
1、确定目标:策划对象?策划目标?策划的意义作用?
2、分析思路:从目标客户、竞争对手、自身优劣势洞察来综合分析,确定策划的整体思路。
3、执行分解:将思路具体落地,需要分解为几个模块、几个步骤和环节,然后需要的人力、财力、物力的资源配合,最后将所有操作编制成一份甘特图,从时间、空间、任务、目标等落实到人。
这样基本上一份网络营销策划方案就完成了。需要注意的'是,在具体的网络营销策划方案执行过程中,不管前期考虑多周详,也一定有需要调整的细节。所以,前期策划、组织领导和执行监督控制。是一样都不能缺失,才能将网络营销工作越做越好。运筹帷幄,决胜网络。
网络营销方案作用表现有如下二点:
1.网络营销方案解决的就是企业主和网络公司疑惑和观望的问题,网络营销顾问公司打破了网络科技公司重技术轻营销的弊端,为企业提供全面的网络营销策划,为企业做针对性的网络市场调查研究,结合企业自身的发展特色做好网络规划,使企业最终走上健康的电子商务发展道路。
细计划,将网络营销战略和策略的实施从最初就结合起来,从策划到网站建设到项目整个的实施都从专业的角度去分析,去实施。
2.网络营销方案在很大程度上是决定了以后的营销方法,因此网络营销方案的提出起到一个重要的衔接作用,为此,网络营销顾问刘禹含提出了效益型网络营销方案,是按照效果付费的综合顾问型网络营销解决方案,本着公平、公正的态度,以科学的方式进行网络营销效果评测,针对企业原有网站的统计数据进行研究分析,以提出一整套有效的网络营销效果预估值,采用国内知名的第三方数据统计系统对网络营销效果进行跟踪监测。
网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署:网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备,并且在各个设备或系统之间,能够实现系统功能互补和协调动作。
1.网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离,并建立访问控制机制,将绝大多数攻击阻止在网络和服务的边界以外。
2.漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查,发现可能被攻击所利用的漏洞,并利用补丁或从管理上堵塞漏洞。
3.入侵检测与响应。通过对特定网络(段)、服务建立的入侵检测与响应体系,实时检测出攻击倾向和行为,并采取相应的行动(如断开网络连接和服务、记录攻击过程、加强审计等)。
4.加密保护。主动的加密通信,可使攻击者不能了解、修改敏感信息(如方式)或数据加密通信方式;对保密或敏感数据进行加密存储,可防止窃取或丢失。
5.备份和恢复。良好的备份和恢复机制,可在攻击造成损失时,尽快地恢复数据和系统服务。
6.监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录;另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。
在利用公共网络与外部进行连接的"内"外网络边界处使用防火墙,为"内部"网络(段)与"外部"网络(段)划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的设备,在进行"内"外网络(段)的隔离的同时建立网络(段)之间的安全通道。
1.防火墙应具备如下功能:
使用nat把dmz区的服务器和内部端口影射到firewall的对外端口;。
允许dmz区内的工作站与应用服务器访问internet公网;。
允许内部网用户通过代理访问internet公网;。
禁止internet公网用户进入内部网络和非法访问dmz区应用服务器;。
禁止dmz区的公开服务器访问内部网络;。
防止来自internet的dos一类的攻击;。
能接受入侵检测的联动要求,可实现对实时入侵的策略响应;。
提供日志报表的自动生成功能,便于事件的分析;。
提供实时的网络状态监控功能,能够实时的查看网络通信行为的连接状态(当前有那些连接、正在连接的ip、正在关闭的连接等信息),通信数据流量。提供连接查询和动态图表显示。
防火墙自身必须是有防黑客攻击的保护能力。
2.带防火墙功能的设备是在防火墙基本功能(隔离和访问控制)基础上,通过功能扩展,同时具有在ip层构建端到端的具有加密选项功能的esp隧道能力,这类设备也有s的,主要用于通过外部网络(公共通信基础网络)将两个或两个以上"内部"局域网安全地连接起来,一般要求s应具有一下功能:
具有对连接两端的实体鉴别认证能力;。
支持移动用户远程的安全接入;。
支持ipesp隧道内传输数据的完整性和机密性保护;。
提供系统内密钥管理功能;。
s设备自身具有防黑客攻击以及网上设备认证的能力。
入侵检测与响应方案。
在网络边界配置入侵检测设备,不仅是对防火墙功能的必要补充,而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析,可以检测出侵害"内部"网络或对外泄漏的网络行为和流量,与防火墙形成某种协调关系的互动,从而在"内部"网与外部网的边界处形成保护体系。
入侵检测系统的基本功能如下:
通过检测引擎对各种应用协议,操作系统,网络交换的数据进行分析,检测出网络入侵事件和可疑操作行为。
对自身的数据库进行自动维护,无需人工干预,并且不对网络的正常运行造成任何干扰。
采取多种报警方式实时报警、音响报警,信息记录到数据库,提供电子邮件报警、syslog报警、snmptrap报警、windows日志报警、windows消息报警信息,并按照预设策略,根据提供的报警信息切断攻击连接。
与防火墙建立协调联动,运行自定义的多种响应方式,及时阻隔或消除异常行为。
全面查看网络中发生的所有应用和连接,完整的显示当前网络连接状态。
可对网络中的攻击事件,访问记录进行适时查询,并可根据查询结果输出图文报表,能让管理人员方便的提取信息。
入侵检测系统犹如摄像头、监视器,在可疑行为发生前有预警,在攻击行为发生时有报警,在攻击事件发生后能记录,做到事前、事中、事后有据可查。
漏洞扫描方案。
除利用入侵检测设备检测对网络的入侵和异常流量外,还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞,并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。
对于漏洞扫描的结果,一般可以按扫描提示信息和建议,属外购标准产品问题的,应及时升级换代或安装补丁程序;属委托开发的.产品问题的,应与开发商协议修改程序或安装补丁程序;属于系统配置出现的问题,应建议系统管理员修改配置参数,或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。
漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助,对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。
考虑到漏洞扫描能检测出防火墙策略配置中的问题,能与入侵检测形成很好的互补关系:漏洞扫描与评估系统使系统管理员在事前掌握主动地位,在攻击事件发生前找出并关闭安全漏洞;而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此,漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标,而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品,不但可以简化管理,而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。
网络防病毒产品较为成熟,且有几种主流产品。本方案建议,网络防病毒系统应具备下列功能:
网络&单机防护—提供个人或家庭用户病毒防护;。
文件及存储服务器防护—提供服务器病毒防护;。
集中管理—为企业网络的防毒策略,提供了强大的集中控管能力。
关于安全设备之间的功能互补与协调运行。
各种网络安全设备(防火墙、入侵检测、漏洞扫描、防病毒产品等),都有自己独特的安全探测与安全保护能力,但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此,在安全设备选型和配置时,尽可能考虑到相关安全设备的功能互补与协调运行,对于提高网络平台的整体安全性具有重要意义。
防火墙是目前广泛用于隔离网络(段)边界并实施进/出信息流控制的大众型网络安全产品之一。作为不同网络(段)之间的逻辑隔离设备,防火墙将内部可信区域与外部危险区域有效隔离,将网络的安全策略制定和信息流动集中管理控制,为网络边界提供保护,是抵御入侵控制内外非法连接的。
但防火墙具有局限性。这种局限性并不说明防火墙功能有失缺,而且由于本身只应该承担这样的职能。因为防火墙是配置在网络连接边界的通道处的,这就决定了它的基本职能只应提供静态防御,其规则都必须事先设置,对于实时的攻击或异常的行为不能做出实时反应。这些控制规则只能是粗颗粒的,对一些协议细节无法做到完全解析。而且,防火墙无法自动调整策略设置以阻断正在进行的攻击,也无法防范基于协议的攻击。
为了弥补防火墙在实际应用中存在的局限,防火墙厂商主动提出了协调互动思想即联动问题。防火墙联动即将其它安全设备(组件)(例如ids)探测或处理的结果通过接口引入系统内调整防火墙的安全策略,增强防火墙的访问控制能力和范围,提高整体安全水平。
作为无线网络的发展,企业级的应用无疑起到了巨大的促进作用,面对越来越多的企业构建,使用无线网络,已经从简单的构建发展到越来越繁琐。无线环境的多样化,带来的问题也就日益增多。建立一个崭新的企业级无线网络解决方案是我们新一轮的讨论重点。
毫无疑问,互联网正在改变着人类社会,无数基于新模式的应用缔造了信息时代的空前繁荣。人越是离不开网络,传统的有线连接方式就越难满足需求。很自然地,摆脱了线缆束缚的无线以太网凭借自由、便捷等特性,受到越来越多用户的青睐,逐渐成为有线网络不可或缺的补充。甚至,在一些特殊的应用环境中,用户已经开始使用无线网络承载生产及业务环境,运行着关键业务或增值服务。如何做好无线网络解决方案的选型,已成为许多cio们关心的话题。
谈及无线,貌似必谈性能。但在理性的评估标准中,性能绝不是唯一重要的考察项目,架构理念才是最值得关注的评估内容,因为它直接决定了一套无线网络解决方案的扩展性、安全性和功能复杂度。此外,与高度整合的消费级或soho级产品不同,面向大中型企业或园区用户的无线解决方案必须面对更多的部署难题和非常复杂的应用需求。
既然全面离散是企业级无线解决方案不可接受的模式,那么全面集中是否又能满足需求呢?市场上确实存在一些“无线交换机+瘦ap”的解决方案,这类方案采用集中管理、业务集中处理的激进思路,将瘦ap定位成纯粹的分布式天线,由无线交换机负责剩下的一切,在逻辑上犹如一个超大的传统ap。
这确实能够解决传统方案在漫游切换(延迟抖动)和性能(吞吐量)方面存在的问题,但也有着天生的缺陷。由于所有数据都通过无线交换机进行集中转发处理,首先ap数量就受到约束;如果部署更多的无线交换机,网络的复杂度又变的难以控制。
此外,处于逻辑中央的无线交换机成为可靠性的黑洞,用户不得不为避免单点故障进行双倍投资。并且,随着802.11n规格的普及,链路带宽与无线交换机本身处理能力的瓶颈变得更加突出,使方案在成本与效果方面再打折扣。
针对以上问题,hpprocurve提出了新一代的自适应无线网络解决方案。这套方案坚持采用集中管理的方式,但不再强制进行业务的集中处理。通过强化ap自身的处理能力,可将数据加解密、qos、身份认证等特性在无线网络边缘实现,只有需要做进一步处理的数据流才会到达无线控制器,消除了对中央资源的依赖。
也就是说,在多数情况下,无线控制器与ap间可以只存在管理控制的数据流;ap间实现分布式转发,业务数据走的是直连路径,实现源到目的地的直通。这样一来,该方案在继承了集中管理控制的操作优势的同时,又有着更高的处理效率及性能,对时延敏感型应用有着很好的支持。分布式处理从另一个角度提高了方案的可靠性,至少在无线控制器出现故障时,ap依然可以继续工作,独立地转发数据。
为了验证hpprocurve企业无线网络解决方案的实际效果,我们在惠普公司的支持下,已经在实验室成功搭建起一套完整的环境。工程师们将会尽快对其进行全方位的测试,为读者朋友们带来精彩的连载报道。
__商场由一个乡镇小企业壮大为一个世界皆知的“零售帝国”。并逐步发展成为零售企业的龙头老大。
其足迹几乎遍布世界各地获得了消费者的一致好评,从一九__年在__开业现已有多家连锁超市也相继开业。现在__商场入驻__的第一家分店即将开业其具体活动安排如下:
二、活动目的。
1、基本目标:为庆祝本店开业及端午佳节到来之际以低价让利物美价廉的产品优质的服务来赢取顾客,扩散商场知名度树立良好的企业形象。
2、营销目标:通过各项活动扩大顾客的活动参与度拉动销售增加商场效益并通过娱乐营销的方式增加企业利润。
3、长期目标:提高销售额扩大市场占有率最终实现经济效益和社会效益的统一。
三、目前营销状况。
1、市场状况:选址在繁华商业区周围具有现实的__金博大等大型商场等竞争者并还有可能具有潜在竞争者。
2、产品状况:产品大多数以大众化消费品为主品种繁多价格差别不大商品种类齐全。
3、宏观环境状况:消费群体大多数为流动性人口人口密度较高客流量大消费者的现实需求和潜在需求都很大。
四、swot问题分析。
优势:__商场具有很强的.规模效应。在一定程度上具有很大的竞争力。而其本身不断进行技术更新并购买卫星打造强势供应链管理具有高度规范化经营理念科学化营运营销具有特色培训体系健全化等显著特点。
劣势:运营成本高规模巨大带来管理上的更大挑战在异地发展面临问题颇多。
机会:目前零售业的发展形势很好市场机率很高及对市场的把握分析有利于企业抓住机遇引领购物新高潮。
威胁:存在现实的和潜在竞争力市场风险因素较多。
五、价格策略。
1、以成本为基础以同类产品价格为参考并以“天天低价”的口号推出物美价廉的商品。
2、给予适当数量折扣鼓励多购。
六、促销策略。
1、综合运用产品组合策略价格组合策略销售渠道策略等市场营销策略以取得的经济效益。
2、保持本土化经营。
七、广告宣传。
1、“5m”原则:选择报纸和电视两媒介以告知顾客__商场在__开张并传递物美价廉的信息以及优美的购物环境引起顾客的购买欲望从而增加销售。
2、并附以街头发传单的形式并向顾客传递__商场的经营理念“天天低价”原则。
3、在刚开店期间广告预算投入多些在店开张热潮过后应立即削减广告量尽量减少不必要的广告开支以压缩广告量来压缩成本同时做到保持商品的低价。
4、注重卖点的广告宣传即pop广告。
八、公共关系。
1、建立和维持企业与消费者之间的正常的合作关系。
2、企业与供应商建立良好的协作关系以保证商品正常运转。
3、设立科普画廊利用图文实物文体等形式向人们讲述爱护资源保护环境的途径树立良好的社区关系。
4、赞助失学儿童多参加一些公益活动树立良好的企业形象。
5、邀请官员对企业参观考察出席新闻发布会等形式。
九、营业推广。
1、实施会员制促销:消费者成为会员后可享受各种特殊服务。
2、对消费者促销:赠送样品减价推销。
3、把握需求特征现在多以季节性商品和一般感性商品进行促销以刺激消费需求扩大销售额。
十、物流配送。
在物流管理上采用配送中心在营业区域内最合适的地点保障促销期间商品的正常运转。
十一、策划方案各项费用预算。
促销总费用:__。
广告费用:__。
营业打折费用:__。
根据来自国际计算机安全协会(简称icsa)的统计,现在全球有99%以上的病毒是通过smtp和http协议进入用户的计算机的,因此目前绝大部分的病毒来源于internet和外网,尤其是电子邮件和网页浏览,在,由此造成的损失就超过100亿美元,预计到全世界每年由于病毒所造成的损失将高到268亿美元。
中国教育和科研计算机网cernet始建于1994年,是由国家投资建设,教育部负责管理,清华大学等高等学校承担建设和运行的全国性学术计算机互联网络,是全国最大的公益性计算机互联网络。随着国家对教育投入的不断增加和高校作为科研第一战线的地位,cernet从建设之初,就具有了网络设备先进,网络带宽巨大,网络应用复杂且用户数量庞大。以一个典型的重点高校为例,已经普及了千兆光纤接入cernet,千兆光纤接入到各个院、系、所,百兆到桌面。
但是伴随巨大带宽带而来的一个问题就是网络安全问题严重,尤其体现在内容层面。由于校园网内,联网的计算机众多,不但有教学办公用机,还有学生通过宿舍或者wi-fi网络接入,这些都增加了对网络内容管理的复杂性。校园网内,病毒、垃圾邮件以及间谍软件的泛滥已经给正常的教学和科研活动带内极大的影响。
二、解决方案。
安维华(anchiva)科技有限公司成立于,是由十几位全球it界知名的华人专家创立的,分别在中国中关村和美国硅谷设立了研发中心,拥有自主知识产权的网络安全高科技企业。安维华系列内容安全网关基于asic芯片技术,致力于为用户提供高带宽时代的内容安全的整体防护方案。由于芯片技术的引入,安维华系列内容安全网关可以以比同类产品快3-4倍的速度扫描网络上深层包内容,对病毒、垃圾邮件及间谍软件等安全威胁进行防护。
安维华系列内容安全网关有四种型号,从anchiva500到anchivax。最高端的anchiva2000x可以支持千兆线速的包括病毒扫描在内的内容检查速度。针对一个典型高校校园网,一个应用全线安维华内容安全网关的拓扑图如下所示:。
上图是一个典型的高校校园网的综合防护示意图,
安维华的内容安全网关安装使用非常简洁方便,支持全透明模式运行,可以在不改动用户网络结构的情况下无缝的接入到现有的校园网络中。在上图中,安维华内容网关被部署在以下位置:。
1.在校园网与cernet和internet接口之间,使用两台anchiva2000x网关,提供千兆线速的内容防护。两台设备可以配置为active/passive或者负载均衡模式,确保网络服务的服务质量。这样整个学校可以被安全的被保护起来,不受来自互联网的病毒侵害。
2.学生上网的终端数量众多,而且上网的时间、广度和深度都很巨大。而伴随的病毒和垃圾邮件的数量也很庞大。为了给学生一个干净的上网空间,同时也防止学生计算机通过其它途径而感染的病毒传播影响到校园主干,也就是教学科研区的网络使用,在学生宿舍区和校园网主干之间部署一台anchiva2000x网关。
3.行政大楼是学校管理的中枢,校长办公室、党委,人事组织部门都在内办公。联网计算机数量众多,而对网络安全极为重视。为此,部署一台anchiva1000x网关。
4.教务处是教学的核心管理部门。学生的成绩,课程安排等都在教务处处理。如果计算机被感染病毒,或者间谍软件,敏感信息被泄露出去,造成的损失不可估量。使用一台anchiva1000网关可以有效的防护教务处。
5.对于其它部门,可以采用anchiva500网关来进行额外的防护。
三、应用优势。
安维华公司在业界率先推出的千兆级别的内容网关产品,是目前唯一可以部署在校园网千兆出口位置的网关产品。而丰富的产品线,可以对校园网络进行整体层次化的防护。对于校园网机器众多,管理难度极大的应用环境,在网关的关键位置进行防护,是最优的解决方案。
关键字:安全方案。
我国银行业已经普遍使用诸如商业银行的门柜系统、信贷系统、统计管理系统、电子联行,人民银行的信贷咨询管理系统等,使用的操作系统也有windows98、windowsnt、unix、os/2等,随着电子银行、自动柜员系统、综合业务系统等大量的投入使用,快速便捷的计算机网络给银行带来了新的商机,但同时也为病毒的迅速传播和爆发打开了方便之门,急需部署一套优秀的企业级反病毒软件进行防护,。图1银行网络示意图。
二、安全需求。
银行网络结构复杂,节点(包括跨地域网络)众多,病毒在其中的传播和爆发往往具有突发性强、范围广、影响大、危害深等特点,因此对安全性要求极高。同时,由于除专业计算机网络管理人员外,银行内部其它员工的计算机安全知识相对较薄弱,需要能提供统一的反病毒管理。三、解决方案图2解决方案示意图(1)统一管理。
各子网视具体情况部署升级服务器和系统中心,形成区域防护体系,接受管理中心统一指挥。
(2)智能升级。
各网络内客户端安装可根据本地网络系统环境采取web页面(activex)安装、远程控制安装、域脚本安装、光盘安装等方式。
(4)安全策略。
根据各部门、支行、营业网点等网络的用户实际安全需求,采取分组式策略部署,统一管理而又有针对性。
关键字:安全方案。
福州大学创办于一九五八年,是福建省唯一的一所以工为主,理、工、经、管、文、法、艺多学科协调发展的省属重点综合性大学,12月6日通过“211工程”部门预审,并经国家计委批准正式立项,列入国家重点建设项目,标志着学校进入加速发展的新时期。
福州大学的计算机网作为中国教育和科研计算机网(cernet)省级主节点,已于1995年11月与国家教科网及国际互联网internet联网。
一、网络结构决定防病毒需求。
福州大学的网络结构虽然不是十分复杂,但是已经有相当规模。整个网络由许多个校区子网构成,并且这些子网都是对等网。由于系统大量的网络通信及持续地扩展,电脑病毒极易感染整个系统,在网络环境大量使用电子邮件极易造成网络环境受到邮件及internet病毒的攻击,并且,一旦一台工作站到病毒感染,病毒可能迅速扩展到校园网中的每一台电脑。
目前全球每天有将近十五种新病毒出现,每个月有将近四百五十种新的病毒出现,这些病毒绝大部分可以借助网络在全球范围内迅速传播,因此,建立针对大学内部网络的病毒解决方案已刻不容缓。
福州大学的相关技术负责人对防病毒系统提出的具体需求如下:
1.全的网络解决方案,能实现集中控制和全网病毒代码同步更新,客户端也可以在脱离网络的情况下,独立杀毒。提供病毒防火墙功能,客户端需能进行实时在线病毒监控,尤其要对进出的e-mail进行监控。客户端占用资源少,不会对客户端的正常使用造成明显影响;提供多种便捷的客户端安装方式。
2.经授权的管理员可以在主控台对全网客户端进行监控和管理,可以直接对客户端下达查毒,杀毒等操作,主控台应能提供多种病毒报警功能。
3.提供多种技术支持,病毒代码升级的周期不得超过10天。
二、防病毒解决方案。
福州大学根据自身的网络结构与防病毒要求,在经过多种产品的比较之后,最终选择了瑞星公司提供的网络防病毒解决方案。
根据福州大学校园网络的现状,在充分考虑可行性的基础上,瑞星公司决定以该公司的网络版杀毒软件的分级管理、多重防护体系作为福州大学校园网络的防病毒管理架构。
在整体方案中,瑞星售前工程师建议福州大学采用瑞星防病毒软件网络版多级中心管理方式:一个主系统中心通过管理其余若干个分系统中心,达到对整个校园网络防病毒的管理。
目前福州大学校园网络结构中有40个左右的子网,每个子网络中有50~200个节点,总网络中只有4000个左右的节点,考虑到福州大学校园网络的扩充性,初期方案中,瑞星工程师建立了一个主系统中心和10个分系统中心。随着福州大学校园网网络的扩充,可以通过增加分系统中心达到对扩充网络的防病毒管理,最终能够方便有效地管理5000个客户端和50台服务器。
具体实施过程中,首先在福大网络中心安装一个主系统中心和一个主控制台;其次,在其余子网中根据各个子网客户端和服务器的具体数量划分分系统中心的管理范围,在每个范围内分别安装分系统中心和分控制台。主系统中心负责管理自己网络内客户端、分系统中心,自动到瑞星网站升级并分发升级程序;分系统中心负责管理本系统中内客户端的病毒防护和自动升级,并将病毒信息自动传递给主系统中心。
瑞星杀毒软件网络版的客户端具有如下功能:单机版的全部功能,能够确保在客户端脱离网络的情况下,独立杀毒;具有病毒防火墙功能,能够实时监控计算机病毒;对电子邮件提供双向监控,除在接收邮件时监控邮件的病毒状况外,在发送邮件时同样提供对病毒的监控,杜绝带毒邮件的对外发送;同时还可以拦截由于病毒行为导致的邮件自动发送和数据泄密。
智能安装。
瑞星杀毒软件网络版提供脚本登录安装、远程安装、共享文件安装等多种便捷的客户端安装方式。此次在福州大学的安装过程中,由瑞星公司技术支持人员安排相关培训及安装技术指导,双方密切配合装过程实施顺利。在服务器(或是安装windowsserver操作系统的pc)上安装瑞星网络版系统中心,这台防病毒服务器负责管理管理网络中的计算机的防病毒工作。在防病毒服务器上使用光盘安装的方式可以直接安装瑞星网络版的系统中心,光盘自动运行安装向导。
根据来自国际计算机安全协会(简称icsa)的统计,现在全球有99%以上的病毒是通过smtp和http协议进入用户的计算机的,因此目前绝大部分的病毒来源于internet和外网,尤其是电子邮件和网页浏览,在1999年,由此造成的损失就超过100亿美元,预计到2007年全世界每年由于病毒所造成的损失将高到268亿美元。
中国教育和科研计算机网cernet始建于1994年,是由国家投资建设,教育部负责管理,清华大学等高等学校承担建设和运行的全国性学术计算机互联网络,是全国最大的公益性计算机互联网络。随着国家对教育投入的不断增加和高校作为科研第一战线的地位,cernet从建设之初,就具有了网络设备先进,网络带宽巨大,网络应用复杂且用户数量庞大。以一个典型的重点高校为例,已经普及了千兆光纤接入cernet,千兆光纤接入到各个院、系、所,百兆到桌面。
但是伴随巨大带宽带而来的一个问题就是网络安全问题严重,尤其体现在内容层面。由于校园网内,联网的计算机众多,不但有教学办公用机,还有学生通过宿舍或者wi-fi网络接入,这些都增加了对网络内容管理的复杂性。校园网内,病毒、垃圾邮件以及间谍软件的泛滥已经给正常的教学和科研活动带内极大的影响。
二、解决方案。
安维华(anchiva)科技有限公司成立于2004年,是由十几位全球it界知名的华人专家创立的,分别在中国中关村和美国硅谷设立了研发中心,拥有自主知识产权的网络安全高科技企业。安维华系列内容安全网关基于asic芯片技术,致力于为用户提供高带宽时代的内容安全的整体防护方案。由于芯片技术的引入,安维华系列内容安全网关可以以比同类产品快3-4倍的速度扫描网络上深层包内容,对病毒、垃圾邮件及间谍软件等安全威胁进行防护。
安维华系列内容安全网关有四种型号,从anchiva500到anchiva2000x。最高端的anchiva2000x可以支持千兆线速的包括病毒扫描在内的内容检查速度。针对一个典型高校校园网,一个应用全线安维华内容安全网关的拓扑图如下所示:。
上图是一个典型的高校校园网的综合防护示意图,
安维华的内容安全网关安装使用非常简洁方便,支持全透明模式运行,可以在不改动用户网络结构的情况下无缝的接入到现有的校园网络中。在上图中,安维华内容网关被部署在以下位置:。
1.在校园网与cernet和internet接口之间,使用两台anchiva2000x网关,提供千兆线速的内容防护。两台设备可以配置为active/passive或者负载均衡模式,确保网络服务的服务质量。这样整个学校可以被安全的被保护起来,不受来自互联网的病毒侵害。
2.学生上网的终端数量众多,而且上网的时间、广度和深度都很巨大。而伴随的病毒和垃圾邮件的数量也很庞大。为了给学生一个干净的上网空间,同时也防止学生计算机通过其它途径而感染的病毒传播影响到校园主干,也就是教学科研区的网络使用,在学生宿舍区和校园网主干之间部署一台anchiva2000x网关。
3.行政大楼是学校管理的中枢,校长办公室、党委,人事组织部门都在内办公。联网计算机数量众多,而对网络安全极为重视。为此,部署一台anchiva1000x网关。
4.教务处是教学的核心管理部门。学生的成绩,课程安排等都在教务处处理。如果计算机被感染病毒,或者间谍软件,敏感信息被泄露出去,造成的损失不可估量。使用一台anchiva1000网关可以有效的防护教务处。
5.对于其它部门,可以采用anchiva500网关来进行额外的防护。
三、应用优势。
安维华公司在业界率先推出的千兆级别的内容网关产品,是目前唯一可以部署在校园网千兆出口位置的网关产品。而丰富的产品线,可以对校园网络进行整体层次化的防护。对于校园网机器众多,管理难度极大的应用环境,在网关的关键位置进行防护,是最优的解决方案。
关键字:安全方案。
将本文的word文档下载到电脑,方便收藏和打印。
1.背景始于1993年的校园网近年来发展迅速,目前我国绝大多数高校都建立了比较健全的校园网络系统。有条件的中、小学校在积极尝试建设自己的校园网络系统。中国教育和科研计算机网(cernet)也已经成为国内仅次于中国电信的第二大互联网络。
的限制。
将管理中心及控制台部署在服务器区域,管理员将通过其管理整个网络的防毒节点。
分级架构。
为每个子网部署系统中心,负责管理本子网的客户机,
级联升级。
在服务器区安装主升级服务器,从internet自动下载升级文件;各子网分别部署二级升级服务器,自动从主升级服务器获取升级文件并分发给本区域的客户机。
灵活部署。
办公行政子网的客户机都已加入域,对其采用域脚登录脚本安装以e―mail等方式发布安装链接,在其他客户机通过点击安装链接自动完成安装;以远程安装方式为所有服务器安装服务器端。
防护策略。
将各子网的学生机分别划入一个特别的组,对其进行严格的权限设置,防止其随意关闭及卸载客户端。
仰恩大学金山毒霸网络版应用实践所属行业:教育行业网络中心主任米老师表示:“以前网络维护的工作量大部分都是由于病毒破坏所带来的,我们不得不抽调其他老师及学生来处理这些问题。部署金山毒霸网络版使得整个网络趋于平静,在这个‘和平’的环境下,不再需要这么多网络维护人员,他们可以转而去开发和研究新的课题。”详细。
关键字:安全方案。
网络由于其系统方面漏洞导致的安全问题是企业的一大困扰,如何消除办企业网络的安全隐患成为企业管理中的的一大难题。各种网络安全技术的出现为企业的网络信息安全带来重要保障,为企业的发展奠定坚实的基础。
1.1防火墙技术。
防火墙技术主要作用是实现了网络之间访问的有效控制,对外部不明身份的对象采取隔离的方式禁止其进入企业内部网络,从而实现对企业信息的保护。
如果将公司比作人,公司防盗系统就如同人的皮肤一样,是阻挡外部异物的第一道屏障,其他一切防盗系统都是建立在防火墙的基础上。现在最常用也最管用的防盗系统就是防火墙,防火墙又可以细分为代理服务防火墙和包过滤技术防火墙。代理服务防火墙的作用一般是在双方进行电子商务交易时,作为中间人的角色,履行监督职责。包过滤技术防火墙就像是一个筛子,会选择性的让数据信息通过或隔离。
1.2加密技术。
加密技术是企业常用保护数据信息的一种便捷技术,主要是利用一些加密程序对企业一些重要的数据进行保护,避免被不法分子盗取利用。常用的加密方法主要有数据加密方法以及基于公钥的加密算法。数据加密方法主要是对重要的数据通过一定的规律进行变换,改变其原有特征,让外部人员无法直接观察其本质含义,这种加密技术具有简便性和有效性,但是存在一定的风险,一旦加密规律被别人知道后就很容易将其解除。基于公钥的加密算法指的是由对应的一对唯一性密钥(即公开密钥和私有密钥)组成的加密方法。这种加密方法具有较强的隐蔽性,外部人员如果想得到数据信息只有得到相关的只有得到唯一的私有密匙,因此具有较强的保密性。
1.3身份鉴定技术。
身份鉴定技术就是根据具体的特征对个人进行识别,根据识别的结果来判断识别对象是否符合具体条件,再由系统判断是否对来人开放权限。这种方式对于冒名顶替者十分有效,比如指纹或者后虹膜,一般情况下只有本人才有权限进行某些专属操作,也难以被模拟,安全性能比较可靠。这样的技术一般应用在企业高度机密信息的保密过程中,具有较强的实用性。
2.1控制网络访问。
对网络访问的控制是保障企业网络安全的重要手段,通过设置各种权限避免企业信息外流,保证企业在激烈的市场竞争中具有一定的竞争力。企业的网络设置按照面向对象的方式进行设置,针对个体对象按照网络协议进行访问权限设置,将网络进行细分,根据不同的功能对企业内部的工作人员进行权限管理。企业办公人员需要使用到的功能给予开通,其他与其工作不相关的内容即取消其访问权限。另外对于一些重要信息设置写保护或读保护,从根本上保障企业机密信息的安全。另外对网络的访问控制可以分时段进行,例如某文件只可以在相应日期的一段时间内打开。
企业网络设计过程中应该考虑到网络安全问题,因此在实际设计过程中应该对各种网络设备、网络系统等进行安全管理,例如对各种设备的接口以及设备间的信息传送方式进行科学管理,在保证其基本功能的基础上消除其他功能,利用当前安全性较高的网络系统,消除网络安全的脆弱性。
企业经营过程中由于业务需求常需要通过远端连线设备连接企业内部网络,远程连接过程中脆弱的网络系统极容易成为别人攻击的对象,因此在企业网络系统中应该加入安全性能较高的远程访问设备,提高远程网络访问的安全性。同时对网络系统重新设置,对登入身份信息进行加密处理,保证企业内部人员在操作过程中信息不被外人窃取,在数据传输过程中通过相应的网络技术对传输的数据审核,避免信息通过其他渠道外泄,提高信息传输的安全性。
2.2网络的安全传输。
电子商务时代的供应链建立在网络技术的基础上,供应链的各种信息都在企业内部网络以及与供应商之间的网络上进行传递,信息在传递过程中容易被不法分子盗取,给企业造成重大经济损失。为了避免信息被窃取,企业可以建设完善的网络系统,通过防火墙技术将身份无法识别的隔离在企业网络之外,保证企业信息在安全的网络环境下进行传输。另外可以通过相应的加密技术对传输的信息进行加密处理,技术一些黑客解除企业的防火墙,窃取到的信息也是难以理解的加密数据,加密过后的信息常常以乱码的形式存在。从理论上而言,加密的信息仍旧有被解除的可能性,但现行的数据加密方式都是利用复杂的密匙处理过的,即使是最先进的密码解除技术也要花费相当长的时间,等到数据被解除后该信息已经失去其时效性,成为一条无用的信息,对企业而言没有任何影响。
2.3网络攻击检测。
一些黑客通常会利用一些恶意程序攻击企业网络,并从中找到漏洞进入企业内部网络,对企业信息进行窃取或更改。为避免恶意网络攻击,企业可以引进入侵检测系统,并将其与控制网络访问结合起来,对企业信息实行双重保护。根据企业的网络结构,将入侵检测系统渗入到企业网络内部的各个环节,尤其是重要部门的机密信息需要重点监控。利用防火墙技术实现企业网络的第一道保护屏障,再配以检测技术以及相关加密技术,防火记录用户的身份信息,遇到无法识别的身份信息即将数据传输给管理员。后续的入侵检测技术将彻底阻挡黑客的攻击,并对黑客身份信息进行分析。即使黑客通过这些屏障得到的也是经过加密的数据,难以从中得到有效信息。通过这些网络安全技术的配合,全方位消除来自网络黑客的攻击,保障企业网络安全。
3结束语。
随着电子商务时代的到来,网络技术将会在未来一段时间内在企业的运转中发挥难以取代的作用,企业网络安全也将长期伴随企业经营管理,因此必须对企业网络实行动态管理,保证网络安全的先进性,为企业的发展建立安全的网络环境。