对于信息网所面临的安全风险涉及网络环境多方面，包括：

• 自然灾害——水灾、火灾、地震等；

• 电子化系统故障——系统硬件、电力系统故障等；

• 人员无意识行为——编码缺陷、系统配置漏洞、误操作及无意泄漏等；

• 人员蓄意行为——网络环境可用性破坏、恶意攻击等。

其中，前三个方面的风险能够通过增强对网络环境的抗自然灾害的能力、加强网络设备管理维护、系统操作管理等手段来加以完善，尽可能将风险降低到能够被控制和管理的程度。

而对于第四方面的安全风险，对整个信息网的安全环境所构成的危害最大，同时也是最难于管理与防范的。且不仅仅能够通过加强对网络环境及人员的安全管理所能够实现的，尽管安全管理非常重要。同时需要相应的安全技术手段辅助完成。这也是本安全方案所要详细阐述的。

对于在信息网环境中，采取何种安全技术手段且如何实现，就需要通过对前面提到第四方面的安全风险的分析的基础上，针对信息网安全需求来确定。

对于风险来说，它应包括那些可以被管理但又不能被清除的，以及那些能够中断网络工作流并对工作环境造成破坏性的威胁。其中，主要包括：

• 对于网络应用服务的非授权访问

• 信息交互的保密性

• 网络病毒的传播与渗入

• 网络黑客行为

通过对以上主要的网络威胁分析，使我们能够准确把握信息网的网络安全需求。

网络安全需求是保护网络不受破坏，确保网络服务的可用性。对于信息网络内部安全需求，包括：

• 能够满足信息网络内的授权用户对相关专用网络资源访问；

• 能够对于非授权用户的访问进行有效控制和报警；

• 能够坚决杜绝病毒和其他危险程序进入网络；

• 能够对于远程访问用户进行安全管理；

• 加强对于整个信息网络资源和人员的安全管理与培训。

如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，对于信息网来说就至关重要了。

安全管理主要包括两个方面：

• 内部安全管理

主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。

• 网络安全管理

在网络上设置防病毒安全检测系统后，必须保证防病毒系统的设置正确，且其配置不允许被随便修改。采用用户和口令认证机制加强对用户的管理，可以通过财务软件本身和一些网络层的管理工具来实现。

根据对信息网现阶段的安全需求分析，我们在设计本安全方案时，将采取一切有力的措施，来实现信息网现阶段的安全目标，考虑到现阶段对网络病毒的管理要求，本方案提出对网络病毒防范和管理控制建议，并提出了现阶段的网络安全管理方案。

信息网中，整个网络的安全首先要确保网络设备的安全，保证非授权用户不能访问网络任意的网络通讯设备（例如：路由器，集线器等）。对不同型号、厂家的网络设备，要防范的内容是一样的，但具体的配置方法须依照设备要求来实现。

对于服务器用户可以设置不同的用户权限，如“非特权”和“特权”两种访问权限，非特权访问权限允许用户在服务器上查询某些公众信息但无法对服务器进行配置；特权访问权限则允许用户对服务器进行完全的配置。

对服务器访问的控制建议使用以下的方式：

• 控制台访问控制

• 限制访问空闲时间

• 口令的保护

• 多级管理员权限

作为开放安全企业互联联盟 (OPSEC) 的组织和倡导者之一， CheckPoint 公司致力于企业级网络安全产品的研发，据 IDC 的最近统计，其 FireWall-1 防火墙在市场占有率上已超过 44% ，《财富》排名前 100 的大企业里近 80% 选用了 CheckPoint FireWall-1 防火墙。

CheckPoint FireWall-1 产品包括以下模块：

• 基本模块：

• 状态检测模块（ Inspection Module ）：提供访问控制、客户机认证、会话认证、地址翻译和审计功能；

• 防火墙模块（ FireWall Module ）：包含一个状态检测模块，另外提供用户认证、内容安全和多防火墙同步功能；

• 管理模块（ Management Module ）：对一个或多个安全策略执行点（安装了 FireWall-1 的某个模块，如状态检测模块、防火墙模块或路由器安全管理模块等的系统）提供集中的、图形化的安全管理功能；

• 可选模块

• 连接控制（ Connect Control ）：为提供相同服务的多个应用服务器提供负载平衡功能；

• 路由器安全管理模块（ Router Security Management ）：提供通过防火墙管理工作站配置、维护 3Com ， Cisco ， Bay 等路由器的安全规则；

• 其它模块，如加密模块等。

• 图形用户界面（ GUI ）：是管理模块功能的体现，包括

• 策略编辑器：维护管理对象、建立安全规则、把安全规则施加到安全策略执行点上去；

• 日志查看器：查看经过防火墙的连接，识别并阻断攻击；

• 系统状态查看器：查看所有被保护对象的状态。

FireWall-1 提供单网关和企业级两种产品组合。

• 单网关产品：只有防火墙模块（包含状态检测模块）、管理模块和图形用户界面各一个，且防火墙模块和管理模块必须安装在同一台机器上。

• 企业级产品：可以有若干基本模块和可选模块以及图形用户界面组成，特别是可能配置较多的防火墙模块和独立的状态检测模块。企业级产品的不同模块可以安装在不同的机器上。