酒店网络安全解决方案网络拓扑及设计.docx

1、酒店网络安全解决方案网络拓扑及设计* 酒店网络安全建议书第一部分 简述 .2第一章 概述.2第二部分 技术方案.3第一章 信息安全风险分析.3第二章安全需求与目标.4第三章 全面的信息络安全体系设计.4第四章 *酒店安全网络设计.7第五章 防病毒产品设计方案.12第六章 内网管理产品设计方案第七章 整体网络应用拓扑图.32第八章 *酒店安全服务 - 33第九章 产品报价.36第一部分 简述 第一章 概述在当今的信息时代，互联网已经成为很多人生活中不可分割的一部分。人们越来越习惯于利用互联网进行相互沟通和商务活动。人们希望在任何地方、任何时候都可以通过网络方便、快速地获得所需要的信息，对于那些经

2、常出门在外的人，如果在暂住的酒店中能够随时访问互联网，对他们无疑将有着巨大的吸引力。为此，在酒店这个人员流动性非常大的公共场所为客人提供上网服务已成为现代酒店发展的必然趋势，这也是酒店提高自身服务水平的重要标志。通常酒店的网络有两部分：办公网络和客房网络，为节约成本往往两个网络通过一条Internet出口连接互联网，酒店网络管理员希望充分保障办公网络的安全，不受外部网络攻击及客房网络可能出现的病毒影响；客房用户上网随意性较大，需要带宽管理措施来限制占用带宽过高的用户，并保障办公网络的网速正常。酒店用户流动性很大，随身携带的移动电脑中经常带有病毒，一旦爆发将影响整个网络的正常，例如常见的ARP地

3、址欺骗病毒，当中毒电脑冒充网关地址时，整个网络的客户端都将受此影响而无法访问互联网，因此急需有效的防内部攻击措施来保障网络正常。针对*酒店计算机网络系统网络现状，我们从物理安全、链路安全、网络安全、系统安全、应用安全及管理安全方面对*酒店计算机网络系统络系统进行风险分析。基于以上的需求分析，我们将重点考虑：保护网络系统的可用性，保护网络系统服务的连续性，防范网络资源的非法访问及非授权访问，防范入侵者的恶意攻击与破坏，保护信息通过网上传输过程中的机密性、完整性，防范计算机病毒的侵害，实现系统快速恢复，实现网络的安全管理，建立相应的远程安全管理通道和管理平台，建立一套完整可行的网络安全与网络管理策

4、略。我们相信本建议书中的设计能较好地满足贵单位网络系统的需求，并希望与贵公司有关领导及具体负责人进一步进行深入的讨论。我们有决心积极参加贵单位此次网络安全建设项目，有信心圆满完成贵单位的网络安全建设工程。第二部分 技术方案第一章 信息安全风险分析随着Internet网络急剧扩大和上网用户迅速增加，风险变得更加严重和复杂。原来由单个计算机安全事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏安全控制机制和对Internet安全政策的认识不足，这些风险正日益严重。下面列出部分这类新风险因素：信息安全可以从以下几个方面来理解：1）网络物理是否安全；2）网络结构是否安全；3）系统是

5、否安全；4）应用是否安全；5）管理是否安全。1. 网络物理安全：地震、火灾、雷电等2. 网络安全：线路故障，路由、交换机设备损坏等3. 系统安全：应用服务器、操作系统、数据库故障等4. 应用安全：黑客攻击、非法入侵、病毒、恶意程序、应用软件故障、数据丢失泄密、帐号密码丢失、软件漏洞等5. 管理安全：内部攻击、误操作、设备的破坏、恶意行为等第二章 安全需求与安全目标 针对信息系统所面临的安全分析，通过可能造系统安全的五个部分，如何进行有效的防范，需从五方面进行：1. 针对管理级安全：须建立一套完整可行的信息安全管理制度，通过有效的系统管理工具，实现系统的安全运行管理与维护；2. 针对应用级安全：

6、须加强网络防病毒、防攻击、漏洞管理、数据备份、数据加密、身份认证等，通过一系列信息安全软硬件设备建设安全防护体系；3. 针对系统级安全：须加强对服务器、操作系统、数据库的运行监测，加强系统补丁的管理，通过双机（或两套系统）的形式保证核心系统运行，当发生故障时，能及时的提供备用系统和恢复；4. 针对网络级安全：须保证网络设备、网络线路的运行稳定，对核心层的网络设备和线路提供双路的冗余；5. 针对物理级安全：须保证数据的安全和系统的及时恢复，加强数据的远程异地备份和系统的异地容灾。第三章 全面的信息络安全体系设计要建立一套全面的信息安全系统，就要从自身的应用状况分析，分析可能存在安全漏洞，从重要性

7、、紧迫性出发，逐一提供建设参考。首先：区分内外网，加强内部网络的安全防护：找到网络的对外接口（互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络），在对外网络的接口处安装防火墙系统，通过防火墙实现内外网的隔离，保证内部网络的安全。通过防火墙实现访问控制，控制内部用户的上网行为；通过防火墙验证访问内部的用户身份、访问权限等；通过入侵防护检测访问者的访问行为；因为数据在网络上的传输都是明文的，为了保证数据传输的安全性须对数据进行加密，可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。目前，大部分防火墙的功能差异并不太大，性能成为选择防火墙的主要指标，市场上的防火墙根据

8、架构的不同，可分为三大类：ASIC芯片、NP架构、传统的X86架构，ASIC芯片级的防火墙把大部分处理通过芯片来完成，不再占用CPU资源，具有更好的处理性能。第二：建立多层次、全方面的防病毒系统1、 根据病毒寄存的环境，在所有服务器和客户机上安装网络版防毒系统2、 根据病毒传播的途径，在网关处安装网关防毒网关，在浏览网页、下载资料、收发邮件时进行有效的病毒防护3、 在内部交换层，通过硬件的网络防毒墙对网络中的数据包进行检测，有效的进行网络层病毒、蠕虫、恶意攻击行为的防护，保护内部网络的稳定与畅通。单机的问题并不能对网络造成严重的问题，网络中断或瘫痪造成的损失是巨大的第三：加强核心网络、核心应用

9、的安全防护核心网络、服务器群是一个网络的中心部分，应更加注重安全的防范，为了防止来自外部和内部的攻击，应在核心服务器群前安装防火墙及入侵防护系统。重点加强核心系统的安全防护；对操作系统及应用系统的漏洞及时的安装补丁为防止核心系统的运行出现固障，应对核心系统所在的网络线路进行冗余设计，并对交换机、路由器设备进行双路冗余。同时，把安装重要应用系统的服务器进行双机热备所有数据通过磁盘阵列或磁带机进行存储、备份对于网站系统,可以通过主页防篡改系统、防DOS攻击系统加强对网站的防护第四：加强数据备份数据资源是一个单位的最为重要资源,一但数据丢失所造成的损失是无法弥补的.因此必须加对数据的保存和备份。现在

10、一般常用的数据保存方式都是通过磁盘阵列来完成，但是，磁盘阵列的稳定性是不能保证的。一般情况，可以通过磁带机对磁盘阵列的数据进行再次备份也可以通过另一台磁盘阵列进行数据的相互备份通过专用的备份软件实现对数据库、文件资源、应用系统及整个的应用服务系统进行备份，并提供相应用恢复方案为防止地震、火灾、雷电等自然灾害，须将重要数据在异地进行备份，如果系统的运行不能中断，就需要在异地进行系统的容灾第五：加强应用系统的安全防护对于拥有独立邮件系统的网络需要加强垃圾邮件的过滤对于应用系统必须加强用户身份认证，通过身份认证控制用户的使用权限。身份认证可以通过应用系统中的用户管理系统实现，也可以通过专业的身份认证

11、系统，考虑到终端用户对帐号、密码的管理能力较差，建议可采用第三方生物识别设备实现终端用户的帐号、密码的管理。第六：加强网络管理信息系统的安全只靠以上的安全设备是不能解决问题的，三分技术七分管理，必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成，使信息系统管理人员对信息系统的运行状况一目了然。网络管理系统应该具备和实现1、 获取全网拓扑结构图，在网络线路、基础联接层面了解网络系统的运行状况2、 监控路由器、交换机、防火墙等网络设备的运行情况，监测控制网络流量，及时提供报警，并能方便的对网络设备进行系统配置和管理，3、 监控服务器、主机、磁盘阵列的运行状况、网络流量、资

12、源占用等，及时提供报警，并能方便的对主机设备进行配置和管理4、 监控应用系统的运行状况，对用户进行访问控制、记录访问及操作日志5、 管理网络中的所有终端设资源，方便进行远程的管理和操作控制6、 监测及控制终端用户对电脑软硬件资源的使用、应用程序的使用、上网行为等操作行为7、 实现系统补丁管理、补丁分发，对操作系统、应用系统进行及时的补丁更新8、 限制不安全的设备的接入以上为网络管理系统所须具备的功能，缺一不可，建议在选择产品时，作为重要的参考依据。第七：漏洞扫描、安全评估仅管如上所述，我们己经采取了众多的安全措施，但是，我们的信息系统是一个不断建设完善的系统，在系统的不断建设过程，仍然会出现一

13、些新的安全漏洞，安全系统的是否部署到位，我们的信息系统是否仍然存在安全隐患，作为信息系统的管理人员仍然需要进行定期的安全检查。漏洞扫描系统就是检查信息系统是否存在安全隐患的最佳工具，我们可以通过专用的漏洞扫描系统对网络设备、服务器、应用系统、网络终端进行全面的检测，通过模拟黑客的进攻方法，对被检系统进行攻击性的安全漏洞和隐患扫描，提交风险评估报告，并提供相应的整改措施。找出网络中存在的漏洞，防患于未然。第八：安全管理及培训1、 制定并实施信息安全制度2、 加强网络安全意识的教育和培养3、 加强网络安全知识的培训4、 定期进行终端安全产品的应用操作指导第四章 *酒店安全网络设计一、 *酒店需求分

14、析自2003年新实行的星级酒店国家标准将提供宽带上网服务列入了宾馆酒店评星的考核内容之一，短时间内星级宾馆酒店客房宽带上网服务将基本普及，不同档次的宾馆酒店的流动人口可以在网络上进行各种各样的网络活动，因此一系列的网络安全问题随即出现：宾馆酒店缺乏单位网络信息备案；缺乏对房客互联网的访问管理；缺乏对出现问题的信息源定位，导致线索跟踪的中断；缺乏对各类站点的分类管理；缺乏对上网信息的收集、统计与分析，导致这部分的公共网络信息管理处于真空状态。 根据国家规定，提供上网服务场所必须将上网日志保存，并以一定的技术手段进行管理；目前许多宾馆酒店都未有这种技术手段，在网络管理上存在着漏洞，达不到国家的要求

15、。主要网络安全威胁由于网络体系越来越复杂，应用系统越来越多，网络规模不断扩大，再加上与Internet的连接，网络用户也已经不单单是内部用户。由于内部网络直接与外部网络相连，对整个网络安全形成了巨大的威胁，因此整个网络承受着来自外部、内部、黑客、病毒等各方面威胁。具体分析，对网络安全构成威胁的主要因素有：（1） 黑客的攻击、入侵 内部网络和外部网络之间的连接为直接连接，外部用户不但可以访问对外服务的服务器，同时也容易地访问内部的网络服务器，这样，由于内部和外部没有隔离措施，内部系统较容易遭到攻击。 入侵服务器后，在服务器中增加黄色、反动站点 把服务器当作攻击其它网络（政府、金融）的跳板，攻击其

16、它服务器 把服务器当作检测扫描其它网络及数据处理的工具，造成大量网络流量（2） 病毒的侵害 通过网络传送的病毒和Internet的电子邮件夹带的病毒。 来自Internet 的Web浏览可能存在的恶意Java/ActiveX控件。 病毒、木马发送大量数据包，造成系统资源的消耗，以至系统停止服务 造成数据丢失，机器、网络系统瘫痪 必须断开网络逐一进行杀毒，增加网络工作量，影响正常工作（3） 内部的无限制访问 内部用户的恶意攻击、误操作 访问不健康的站点，获取有害信息 工作学习时间无限制上网，游戏、聊天等（4） 系统存在的漏洞缺乏一套完整的安全策略、政策，缺乏有效的手段监视、评估网络系统和操作系统

17、的安全性。目前流行的许多操作系统均存在网络安全漏洞，如UNIX服务器，NT服务器及Windows桌面PC。 1、 可能带来的严重后果 系统瘫痪或服务器停止工作造成重大损失 由于病毒的侵害，造成文件丢失/损坏、硬件设备损坏造成重大损失 由于病毒原因，造成系统修复、病毒清理等巨大的工作量 无限增加流量，造成重大经济损失 因服务器危害其它网络，而涉及相关责任 数据泄密、数据丢失2、 当前网络问题分析 虽然网络中部署了单机防病毒系统，但仍有很多客户机、移动笔记本由于没有安装防病毒系统，这些机器感染病毒后，对网络中发出大量病毒攻击包，造成网络速度下降，甚至网络瘫痪； 网络中大多数客户机都是WIN2000

18、WINXP系统，由于WIN2000WINXP系统存在大量的系统漏洞，没有能及时升级系统补丁，使得病毒、黑客有了可乘之机； 作为网络管理人员，无法及时的了解网络的运行情况，服务器、交换机等网络设备的工作情况，终端系统的操作应用情况等？3、 网络目前需求分析通过我们对*酒店结构、应用及安全威胁分析，可以看出其安全问题主要集中在对计算机病毒的防护、内网安全的管理上。因此，我们必须采取相应的安全措施杜绝安全隐患，其中应该做到： 加强病毒的防护，建立全面的防毒体系，防止病毒的攻击 实现计算机网络系统的网络安全管理针对*酒店系统的实际情况，在系统考虑如何解决上述安全问题的设计时应满足如下要求： 大幅度地提

19、高系统的安全性（重点是可用性和可控性）； 保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性，能透明接入，无需更改网络设置； 易于操作、维护，并便于自动化管理，而不增加或少增加附加操作； 尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展； 安全保密系统具有较好的性能价格比，一次性投资，可以长期使用；二、 安全系统整体设计方案（一） 系统设计原则本方案的设计遵循并体现了如下设计原则： 先进性：所采用的设备和技术应属世界、国内主流产品，在相关计算机、通信网络及数字视频技术方面处于国际或国内领先或领导地位。 一体系化设计原则本方案从物理层安全、系统层安全、网络层安全、应用层安全、安全

20、管理等层面充分分析信息网络的层次关系，提出科学的安全体系和安全框架，并根据安全体系分析存在的各种安全风险，从而最大限度地解决可能存在的安全问题。 可控性原则本次方案采取的技术手段达到安全可控的目的，技术解决方案涉及的工程实施应具有可控性； 系统性、均衡性、综合性设计原则从全系统出发，综合考虑各种安全风险，采取相应的安全措施，并根据风险的大小，采取不同强度的安全措施，提供具有最优的性能价格比的安全解决方案。 可靠性、稳定性原则设备及技术均已进入成熟期，应有类似的实际应用，系统运行稳定，在国内应用领域中占主导地位。采用安全系统之后，不会对南京中央商场的现有网络和应用系统有大的影响。在保证网络和应用

21、系统正常运转的前提下，提供最优安全保障。 标准性原则方案的设计、实施以及产品的选择以相关国际安全管理、安全控制、安全规程为参考依据。 投资保护原则本次方案的设计和已经存在的设备具有兼容性，可以对已有设备进行有效的利用，保护已有投资（二） 安全应对策略及建议在明确这些威胁与风险以后下一步需要做的就是在此基础上制定相应的安全策略，以求实现有效的平衡，即一方面需要保持可靠的信息安全，另一方面则要建立和易操作的有效安全系统。一个系统的安全强度实际等于它最薄弱环节的安全强度。即当一个网络系统存在一点薄弱环节时，其就有可能危及到整个网络系统的整体安全。电子业务安全关键基础之一就是构成企业总体信息安全方案的

22、综合策略。我公司根据贵单位网络现状分析，及工作业务的需求分析，从保护投资的角度考虑，提出了保证网络系统的高性能正常运行的建设建议：1、 建立多层次、全方面的防病毒系统 首先，根据病毒寄存的环境，在所有服务器和客户机上安装网络版防毒系统，通过趋势科技的Serverprotect加强服务器系统中的病毒防护，通过趋势科技的Officescan加强对网络中所有客户机的病毒防护。 其次，在内部交换层，通过硬件的网络防毒墙NVW对网络中的数据包进行检测，有效的进行网络层病毒、蠕虫、恶意攻击行为的防护，及时的清除和隔离网络层的病毒包，保护内部网络的稳定与畅通,防止ARP病毒的侵害。 另外，根据病毒传播的途径

23、，可以在网关处安装趋势防毒网关IWSA、IMSA，在浏览网页、下载资料、收发邮件时进行有效的病毒防护。 最后，通过趋势统一集中控制管理平台TMCM实现对所有系统的集中病毒防护、策略的实施和管理2、 加强网络管理信息系统的安全只靠安全设备是不能解决问题的，三分技术七分管理，必须加强对信息系统设备的管理以及用户应用的管理。可以通过网络管理软件配合完成，使信息系统管理人员对信息系统的运行状况一目了然。酒店客户的移动接入支持和安全的管理。需要酒店网络移动服务的大多是商务人士，他们需要酒店提供移动的支持、更主要的是安全性。 酒店是一个流动性很强的场所，所以这对网络的安全和管理是有很高的要求。例如：防止客

24、户对一些非法网站的访问而带给网络中其它用户的伤害，还有客户用BT等软件会对其他网络用户的网速有非常大的影响，同时一网双用，内部办公网络和客户使用网络并用一个网络，而又互相隔离。通过深信服AC设备实现：第五章 防病毒产品设计方案-南京联成科技为*酒店构建的整体防病毒安全体系的建立简述如下：1、区分内外网，加强内部网络的安全防护：找到网络的对外接口（互联网接口、上级门、下级单位、同级部门、第三方关联单位等其它非信任网络），在对外网络的接口处安装防火墙系统，通过防火墙实现内外网的隔离，保证内部网络的安全。通过防火墙实现访问控制，控制内部用户的上网行为；通过防火墙验证访问内部的用户身份、访问权限等；通

25、过入侵防护检测访问者的访问行为；因为数据在网络上的传输都是明文的，为了保证数据传输的安全性须对数据进行加密，可以通过防火墙的VPN模块或专用的VPN设备建立VPN通道。2、 防病毒产品的全面性，领先性：采用全方位，多层次防毒的方式，部署多层次病毒防线，具体来说就是在网关利用趋势科技的IMSS以及SPS, 实现在进行病毒过滤的同时，也防范垃圾邮件对企业网络资源的消耗与破坏。对整个*酒店网络中的客户端采用趋势科技防毒墙网络版Officescan，对整个*酒店网络中的服务器部署趋势科技防病毒墙服务器版Serverprotect。对于整个*酒店整体的防病毒系统的中央控管则可以通过趋势科技中央控管软件T

26、MCM来整体中央控管。3、 厂商和代理商全面的服务：趋势科技授权服务商和趋势科技，*酒店相关人员组成专门的防病毒以及安全小组，负责对*酒店的防病毒体系部署，防病毒安全规范的制定。趋势科技授权服务商相关人员将对*酒店的防病毒体系定期进行巡检，在*酒店的病毒爆发造成业务影响的紧急时刻，趋势科技授权服务商工程师将至*酒店现场服务。趋势科技防病毒体系显著优势：1. 厂商优势：趋势科技是目前业界唯一仅专注于防病毒和防病毒安全体系建立的厂商，相对其他的防病毒厂商，趋势科技的产品更具有技术的领先性。其设在菲律宾的，业界唯一获得ISO9002认证的TrendLab病毒实验室提供7*24小时、全年无休的专人专业

27、服务，包括从最早的防毒内容及范围的规划、企业防毒网的建立、人员的教育训练、病毒爆发时保证两小时提供解药的最高等级支持等。2. 高扩展性：由于专注于防病毒安全产品和解决方案，趋势科技有能力为*酒店提供全方位，多层次，具可扩展性的防病毒安全体系。除了提供用于客户机防病毒的officescan产品，用于服务器的ServerProtect产品，用于网关防病毒的IMSS产品和网关垃圾邮件防范的SPS，还可以在将来*酒店需要时提供专注于LotusNotes/Exchange的病毒防范软件 Scanmail,专注于Web防病毒的IWSS软件和提供所有在线用户的在线杀毒工具DCS等。全方位的产品和解决方案支持

28、使得趋势科技的防病毒安全体系的提供是具备高扩展性的。3. 防范和查杀病毒的自动化：针对像*酒店比较大型的网络，单纯的依靠*酒店的各级网络管理人员进行分散的人为管理不可能将防病毒工作做到完美无缺。趋势科技提供高度自动化的管理和病毒防范，查杀技术。 扫描在线用户是否已经安装趋势客户端软件，并且可以有选择性的强制用户进行安装； 扫描在线用户是否安装了微软操作系统的补丁，并且可以有选择性的强制用户进行安装； 中央控管软件定期自动进行全网络的病毒查杀，自动的更新病毒码和扫描引擎，自动的生成全网络的病毒日志，分析报表，并且通过日志查找网络中的病毒源头等。所有这一切都是通过位于中心的中央控管软件自动进行。4

29、. 业界独一无二的病毒预防范：针对目前病毒出现影响用户病毒库和防病毒代码的出现这一时间段的病毒最可能蔓延和爆发的“真空期”，趋势科技提供业界独一无二的“企业保护战略技术”EPS，其中央控管软件能够在防病毒代码出现之前，就自动的关闭客户端可能引起病毒蔓延的端口，并自动的隔离已经感染病毒的PC，文件夹等。第一时间的做到了病毒的预防范。本方案详尽描述了采用趋势科技公司的全线产品为*酒店构建的整体防病毒系统，该方案贯彻了如下整体防毒的基本思想：1. 防毒一定要实现全方位、多层次防毒。在*酒店的方案中，我们部署了多层次病毒防线，分别是网关防毒、应用服务器防毒和客户端防毒，保证斩断病毒可以传播、寄生的每一

30、个节点，实现病毒的全面防范；2. 网关防毒和防垃圾邮件是整体防毒的首要防线。在*酒店的方案中，我们将网关防毒和防垃圾邮件作为最重要的一道防线来部署，全面消除外来病毒的威胁，使得病毒，垃圾邮件不能再从外网传播进来，对内部网络资源和系统资源造成消耗。同时，全面防范垃圾邮件的侵扰以及内部机密数据的外泄，在整个防毒系统中起到事半功倍的效果。3. 网络层病毒直接清除：利用趋势科技网络病毒墙确保了病毒在网络设备之间传播的过程中就能够直接被清除，以避免对整个网络造成冲击。4. 没有集中管理的防毒系统是无效的防毒系统。在*酒店的方案中，趋势科技构建了跨子网，跨分支机构的集中管理系统，保证了整个防毒产品可以从管理系统中及时得到更新，同时又使得管理人员可以在任何时间、任何地点通过浏览器对整个防毒系统进行管理，使整个系统中任何一个节点都可以被管理人员随时管理，保证整个防毒系统有效、及时地拦截病毒。5. 服务是整体防毒系统中极为重要的一环。防病毒系统建立起来之后，能不能对病毒进行有效的防范，与病毒厂商能否提供及时、全面的服务有着极为重要的关系。这一方面要求厂商要有全球化的防毒体系为基础，另一方面也要求厂商以及本地趋势科技授权服务商能有足够的本地化