时尚杂志联袂著名品牌推广活动方案及浙江广播电视集团网络安全解决方案

《XX》&十大品牌联袂推广活动招商方案《XX》杂志社目录PartⅠ活动背景PartⅡ活动内容PartⅢ活动传播目的及策略PartⅣ超值回报PartⅤ活动展望PartⅠ活动背景婚庆消费数字惊人：中国每年结婚的人数接近2000万，形成令人难以置信的超过2500亿元的市场商机。婚庆消费市场的消费总额在未来几年将以几何数字递增。潜在消费群巨大：。18-34岁的人群当中，未婚人士占56.6%，订婚人士占22.8%，已婚人士占20.6%。他们有着非常超前的消费观念和敏感的生活态度。他们不惜为他们的婚礼和新婚生活投入巨资，是当今中国最具潜力的消费群体。婚庆消费空间巨大：生活观念和消费观念的转变，让已婚夫妇的周年婚庆纪念活动成为时尚。每年用于纪念性的婚庆产品及礼品的消费，也正随着周年婚庆时尚的广泛流行而飞速增长。品牌消费深入人心：。目前，时尚消费和品牌消费的概念已经深入人心，在中国的新婚消费市场表现得尤为突出。很多国际品牌早就看好了这个巨大市场，正奋力抢滩。消费者需要引导：。虽然与婚庆相关的商品，数量和种类都越来越丰富，并且趋向名牌导向效应，但是每当面对为数过多、令人眼花缭乱的商品时，消费者难免盲从和信心不足。PartⅡ活动内容一.活动宗旨提高国内新婚群体的消费品位、引导新婚消费潮流扩大十大国际品牌在婚庆消费市场的影响有针对性地帮助参与品牌开发潜在的终端客户，同时也可借机再造新闻事件，强化宣传力度，吸引更多的市场关注。二.活动名称《XX》杂志将联合十大国际品牌发起全国酬宾活动——《XX》护照、品牌签证。《XX》护照将由《XX》杂志社统一策划设计。形象逼真，大小如同真的护照一样。《XX》护照首页是消费者的姓名、年龄等个人资料，其他内页分别是十大品牌的信息，各品牌均可安排一个跨页。跨页的右手页是品牌的形象广告，左手页则是消费者购买商品情况一览，各种信息不仅一目了然，更淋漓尽致地显示了品牌文化内涵。《XX》护照的封面、封一、封底都有特别的设计，时尚典雅，全国通用，是持有者区别于其他消费者、享受十大品牌最特别待遇的全国通行证。有针对性的开发潜在的终端客户，同时也可借机再造新闻事件，加强品牌软性宣传的力度，吸引更多的市场关注。三.活动时间2013年5月1日——10月30日四.活动描述活动主办：中国消费者协会《XX》杂志社活动协办：中国化妆品协会品牌支持：十大品牌活动内容：具有轰动效应的十大国际顶级品牌全国联合大酬宾活动五.活动规则(一)加入“十大品牌”的条件国际顶级品牌，有良好的品牌形象、广泛的知名度和美誉度全国性的销售网络，拥有时尚而经典的产品与婚庆相关的行业、在行业内有一定的代表性中国消费者协会认可（二）《XX》护照活动流程1.《XX》护照活动信贷消费业务流程图 ③印制、发放《XX》护照品牌品牌专卖店①②⑤④参确中持与认奖护确函返照认还购买《新娘》消费者《新娘》消费者③发放《XX》护照《XX》护照活动流程图2.流程图解：每个品牌须交纳联合推广费用人民币15万元。（此费用不包括《XX》护照的印制费等实际发生费用，《XX》护照的实际印量依品牌需求自行决定）。②《XX》杂志社向品牌发放资格确认函。③十大品牌向其专卖店发放印制精美的《XX》护照；《XX》杂志社通过自己的发行渠道和网络发放《XX》护照。④消费者执《XX》护照在十大品牌全国专卖店购买产品。⑤“十大品牌”在2013年11月份抽奖完毕后，通过专卖店向中奖者返还现金。（三）特别说明活动期间，消费者在购买十大品牌商品的同时，其专卖店或专柜须在《XX》护照上予以记录、确认，消费者必须保留购物小票。消费者必须是持《XX》护照购买十大品牌商品，并且在《XX》护照上已有记录的前提下，才能参加抽奖活动。抽奖时间初步定为：2013年11月。获奖概率为10%；奖品按照购买产品的价格，全额现金返还。2013年11月将举办抽奖晚会。中奖信息将在《XX》杂志、当地的报纸公布，各品牌的专卖店也将贴出海报，公布中奖者的名单以及相关信息。中奖者可在当地的专卖店凭《XX》护照和购物小票返还现金。抽奖晚会各品牌需委派一名品牌代言人暨影视明星、歌星到场。PartⅢ活动传播目的及策略一.传播目的填补传播缝隙，亲近目标群体,带动十大品牌产品的再次热销二.传播策略(一)DM方式，主动亲近目标人群制作精美的《XX》护照以DM，即直接投递信息到消费者手中的主动方式，在十大品牌的全国几千家专卖店和《XX》杂志的发行网络上发放。这使各品牌在以往大众媒体传播的基础上，与目标消费者进行再接触，填补传播缝隙，扩大消费群体。(二)大量平面广告的配合，稳固市场通过持续的平面广告的配合，强化消费者的意识，刺激购买欲望，加强他们对品牌的信心和忠诚度，稳固市场。(三)现金回馈，消费者参与度高，覆盖群体广泛购买产品的消费者必然聚集了拥有同一爱好的目标群体，利用现金回馈的回报方式，可以带动最广泛的人群参与，是进行品牌形象提升、拉动产品销售的最好方式。(四)强强联合、资源共享，缔造多赢局面十大国际顶级品牌在全国范围内，在同一时间、按照统一的模式进行联合酬宾，有史以来还是第一次，必将带来巨大的轰动效应。强强联合，吸引最多的眼球关注，资源共享、最科学的战术性营销方式，缔造多赢局面。PartⅣ超值回报一.活动规模空前（一）《XX》护照的大量投放——投放地点覆盖全国十大品牌在全国各地的几千家专卖店、专柜；《XX》杂志2013年7/8月号随刊赠送；《XX》杂志的专业发行渠道，如全国各地婚纱影楼、婚姻登记处、婚庆公司等。（二）平面广告和人际传播——受众人数空前受众人数分析如下：通过《XX》杂志到达的受众人数：《XX》杂志稳定的15万册发行量，平均11人/本的传阅率15万X11=165万人通过十大品牌到达的受众人数：按照一个品牌最低印量5万份来统计，十个品牌的印量为：5万份X10=50万份，通过十大品牌到达的受众人数为：50万通过纸媒体到达的受众人数：《XX》将在全国各大城市的发行量最大的纸媒体上用硬广告的投放来支持《XX》护照活动。在我们选择的24家媒体当中，发行量最大的是南京的《扬子晚报》，高达180万份；发行量最小的是沈阳的《时代商报》，为40万份。我们以平均发行量在80万份，平均传阅率在3人来计算，则：80万份X3人X24家=5760万人。通过电视、网络到达的受众人数：我们选择北京电视台和中央电视台收视率极高的栏目、选择新浪、千龙新闻网两个门户网站作为我们的媒体合作伙伴，粗略估计通过电视、网络两大强势媒体到达的受众人数为：500万人。保守估计，最终达到受众人数：165万+50万+5760万+500万=6475万（三）创意独到、具有排他性——参与品牌将成为同行业的“概念领袖”由于参与本次活动的品牌在每个行业只有一到两个，具有唯一性和排他性，通过本次活动，一方面在社会上影响绝大多数的消费者，另一方面，十大品牌在其行业内一定会成为同行业的“概念领袖”和行业典范。同时，又可建立合作伙伴的信心，培养终端消费者的忠诚度，进一步提升十大品牌的知名度和市场占有率。二.活动宣传（一）新闻发布会时间：2013年4月底地点：（北京）人民大会堂或五星级酒店或高档商务会所内容：发布关于《XX》护照的活动内容及参与该活动的品牌，以及该活动的意义等。将邀请京城及外埠各大城市主流报纸，电视台、网记者的到场，引发媒体的主动参与和关注。（邀请媒体参见附件）（二）广告的大量投放活动期间，《XX》杂志将与主流城市的媒体伙伴合作，以广告关注率和宣传效果均最佳的前10名媒体为主投放大量的硬广告。（广告投放媒体参见附件）（三）抽奖晚会及明星效应借助《XX》和十大品牌的号召力，各品牌该活动代言人——明星强大的影响力，在抽奖晚会现场感受各品牌的实力与文化，极具创意地运用各种时尚、前卫的流行元素；迷幻的灯光和音乐编排；热情狂野的舞蹈；以及各种展示产品的特别手段，使品牌形象变得更为清晰。（四）后续传播效果最佳获奖名单将在活动的后期在各媒体公布，使得本次活动在媒体上又有一次普遍的、大规模的亮相，关注率空前。大量的后续报道和该活动带来的巨大的社会反响，使活动的后续传播效果达到最佳，有望成为“中国2013年度，最具影响力的社会活动之一。”PartⅤ活动展望一.活动特色活动周期长，宣传范围广。1+1>2。通过活动，缩短巩固品牌的时间，以最快的速度推进各个品牌的产品在黄金时期抢占市场。借力拓渠，多赢共进。参与活动的每个品牌都是消费者熟识任知的品牌，以彼此为传播载体，用间接迂回的方式来占领消费者的心智空间，使各方的资源实现有效配置和优化结合。大家在互惠互利的前提下，各取所需，实现品牌的增值和资本的多赢。参与活动，投资较少，回报超值。巨大的宣传力度，必将带动十大品牌的又一次热销。二.各品牌参与活动成本及效果分析参与活动成本分析1.各品牌参与《XX》护照活动的成本大致如下：参与活动的品牌推广费用：15万元《XX》护照的设计、制作等费用：《XX》护照为尺寸为：64开，共32页，每本费用为：1元，则按照5万册的印量，《XX》护照印制费=1元X5万册=5万元品牌店内宣传费用：店内海报、易拉宝等，100元/店，以200个店/品牌来计，则：品牌店内宣传费用=100元X200个店/品牌=2万元则各品牌参与《XX》护照的成本为：15万元+5万元+2万元=22万元2.传播成本分析按照参与《XX》护照的成本22万元、受众数量6475万人考察传播成本：单人接触成本单人接触成本=22万元/6475万人=0.0034元/人千人成本千人成本=0.0034元/人X1000人=3.4元/千人千次接触频次成本最低平均接触频次：5次/月/人，那么按品牌推广费用22万元考察千次接触频次成本=[22万元/（6475万X5）]X1000=（22万元/3亿2千375万人）X1000=0.68元/人/月（二）传播效果分析由以上计算数字分析可见：十大品牌参与《XX》护照联袂推广活动的成本是超乎想象的低，而传播效果又将出乎意料的好，《XX》护照对于十大品牌来说，是一件绝对事半功倍的事！注：方案中计算公式和部分数字依据《广告媒体企划》（企业管理出版社，2013年版）附：新闻发布会邀请媒体名单（暂定）：一.电视北京电视台《魅力前线》栏目、中央电视台《综艺快报》栏目二.网络新浪网千龙新闻网三.报纸（一）北京地区（8家）：北京青年报京华时报购物导报北京娱乐信报北京晚报精品购物指南服装时报美容时尚报（二）上海地区（2家）：新民晚报申江服务导报（三）广州地区（2家）：新快报、南方都市报附：《XX》护照广告投放及获奖名单公布媒体名单（共14个地区，24家，暂定）：1.北京地区（3家）：北京晚报、北京青年报、北京娱乐信报2.上海地区（3家）：新民晚报、上海星期三、申江服务导报3.广州地区（2家）：南方都市报、新快报4.成都地区（1家）：华西都市报5.杭州地区（2家）：现代快报、都市快报6.南京地区（1家）：扬子晚报7.济南地区（2家）：济南时报、齐鲁周刊8.青岛地区（2家）：半岛都市报、青岛晚报9.沈阳地区（2家）：时代商报、辽沈晚报10.大连地区（2家）：大连晚报、半岛晨报11.天津地区（1家）：每日新报12.深圳地区（1家）：深圳商报13.长春地区（2家）：新文化报14.武汉地区（1家）：湖北青年报期待合作成功！《XX》杂志社 浙江广播电视集团网络安全解决方案内容摘要本文针对浙江广播电视集团网络，以及集团网络安全的建设、改造提出了相应的解决方案，并且从网络和网络安全两个主要方面进行了相关的阐述。首先，对在本方案中可能使用到的计算机网络、及网络安全的相关技术进行了阐述、分析和比较。然后，对集团中的计算机网络、以及网络安全的现状进行调查研究。其次，针对浙江广播电视集团的网络现状进行了详细的需求分析。最后，提出了一套针对浙江广播电视集团计算机网络、以及网络安全实际情况的网络、及网络安全的详细设计方案。实施本方案之后，有助于提高其计算机网络系统的可靠性、以及网络的安全性。关键词：网络系统，数据安全，网络安全，局域网

ABSTRACTThethesisbringsforwardtherelevantsolutionofthenetworkandtheInternetsecurityofZhejiangRadio&TelevisionGroupgivingelaborationonthetwoaspects.Firstofall,itexplainsandanalyzestherelatedtechniqueofthenetworkandtheInternetsecuritywillpossiblybeusedinthisproject.Then,itstudiesandresearchesthecomputernetworkandsecurityusedingroup.Thirdly,onthebasisofZRTGnetworkitsetsouttheconcretedemandinganalysis.Attheendofthethesis,itstatesthedetaileddesignprojectonInternetandthefactsofInternetsecurityofZRTG.TheprojectishelpfultoimprovethereliabilityofnetworkandthesafetyofInternet.KEYWORDS：networksystem，datasecurity,networksecurity，LAN

目录第一章引言 1第一节选题背景与意义 1第二节集团网络安全发展与现状 1第三节网络安全相关技术介绍 2第二章集团网络安全系统概况及风险分析 4第一节集团网络机房环境 4第二节网络应用数据备份 4第三节网络安全弱点分析 5第四节网络安全风险分析 6第三章集团网络安全需求与安全目标 7第一节网络安全需求分析 7第二节网络安全目标 7第四章集团网络安全解决方案设计 9第一节网络监控管理系统 9第二节电子邮件安全解决方案 9第三节远程数据传输的加密 10第四节服务器的安全防护 11第五节计算机病毒防护的加强 14第六节网络攻击及防护演示效果图 15第五章结束语 17参考文献 18致谢 19第一章引言第一节选题背景与意义随着互联网的普及度越来越高，全世界的计算机都能通过互联网连接到一起。各种网上活动的日益频繁，使得网络安全问题日益突出，信息安全成为了一个重要的课题。各种各样的网络攻击层出不穷，如何防止网络攻击，保障各项业务的顺利进行，为广大用户提供一个安全的网络环境变得尤为重要。本论文针对浙江广播电视集团的计算机网络、以及网络安全的实际解决方案。在实施了本方案之后，有助于提高集团计算机网络系统的可靠性、以及网络的安全性。认真分析网络面临的威胁，计算机网络系统的安全防范工作是一个极为复杂的系统工程，是一个安全管理和技术防范相结合的工程。首先是各计算机网络应用部门领导的重视，加强工作人员的责任心和防范意识，自觉执行各项安全制度，在此基础之上，再采用先进的技术和产品，构造全方位的防御机制，使系统在最理想的状态下运行。第二节集团网络安全发展与现状图1-1网络拓扑图浙江广播电视集团作为省级广电传媒集团，现有计算机网络于2002年10月建成，在集团的运作和管理中发挥着重要的作用。近年来随着集团业务的发展，网络应用的不断深入，应用领域较以前传统的、小型的业务系统逐渐向大型、关键业务系统方向扩展。大部分子系统已接入网络，远程数据传输、集团资料共享、动态数据查询、流媒体数据业务、集团网站运营等都在该网络上传输，整个网络的用户规模是原计算机网络规模的数十倍。随着网络规模的不断扩大、接入点数量的增多、内部网络中存在的安全隐患问题就会愈加突出，安全日益成为影响网络效能的重要问题，而互联网所具有的开放性、国际性和自由性在增加应用自由度的同时，对自身网络的安全性提出了更高的要求。虽然广电集团前期的网络建设有一定的安全措施，但因为网络复杂性的逐步提高，网络中存在隐患的可能性以及由此产生的危害性也大大提高，因此在网络系统的进一步建设过程中，及时查清网络隐患的必要性就体现了出来。第三节网络安全相关技术介绍要保证计算机网络系统的安全性，还要采用一些先进的技术和产品。目前主要采用的相关技术和产品有以下几种。一、防火墙技术为保证网络安全，防止外部网对内部网的非法入侵，在被保护的网络和外部公共网络之间设置一道屏障这就称为防火墙。它是一个或一组系统，该系统可以设定哪些内部服务可已被外界访问，外界的哪些人可以访问内部的哪些服务，以及哪些外部服务可以被内部人员访问。它可监测、限制、更改跨越防火墙的数据流，确认其来源及去处，检查数据的格式及内容，并依照用户的规则传送或阻止数据。其主要有：数据包过滤、监测型、代理服务器等几大类型。二、数据加密技术与防火墙配合使用的安全技术还有数据加密技术，是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破析所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。目前各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术四种。三、认证技术认证技术是防止主动攻击的重要手段，它对于开放环境中的各种信息的安全有重要作用。认证是指验证一个最终用户或设备的身份过程，即认证建立信息的发送者或接收者的身份。认证的主要目的有两个：第一，验证信息的发送者是真正的，而不是冒充的，这称为信号源识别；第二，验证信息的完整性，保证信息在传送过程中未被窜改或延迟等。目前使用的认证技术主要有：消息认证、身份认证、数字签名。四、虚拟专用网络（VPN）技术虚拟专用网(VPN)是企业网在因特网等公共网络上的延伸,通过一个私有的通道在公共网络上创建一个安全的私有连接。它通过安全的数据通道将远程用户、公司分支机构、公司业务伙伴等与公司的企业网连接起来，构成一个扩展的公司企业网。在该网中的主机将不会觉察到公共网络的存在，仿佛所有的机器都处于一个网络之中。公共网络似乎只由本网络在独占使用，而事实上并非如此。VPN技术主要提供在公网上的安全的双向通讯，采用透明的加密方案以保证数据的完整性和保密性。VPN技术的工作原理：VPN系统可使分布在不同地方的专用网络在不可信任的公共网络上实现安全通信，它采用复杂的算法来加密传输的信息，使得敏感的数据不会被窃听。五、计算机病毒的防范首先要加强工作人员防病毒的意识，其次是安装好的杀毒软件。合格的防病毒软件应该具备以下条件：（一）较强的查毒、杀毒能力。在当前全球计算机网络上流行的计算机病毒有4万多种，在各种操作系统中包括Windows、UNIX和Netware系统都有大量能够造成危害的计算机病毒，这就要求安装的防病毒软件能够查杀多种系统环境下的病毒，具有查毒、杀毒范围广、能力强的特点。（二）完善的升级服务。与其它软件相比，防病毒软件更需要不断地更新升级，以查杀层出不穷的计算机病毒。

第二章集团网络安全系统概况及风险分析第一节集团网络机房环境目前，浙江广播电视集团计算机网络绝大多数的设备都是安放在新大楼13楼机房内的，只有楼层交换机是分布在各楼层的设备机柜中。根据本文的现场勘察和了解，目前大多数信息机房在机房的装修、温度和湿度控制、消防、照明、防静电、防雷等方面已经作了很多的考虑，主要有如下方面:一、网络机房都作了可靠的防雷措施，建设有防雷接地网，其接地电阻小于1欧姆;大楼顶部建设有避雷针。二、所有从网络机房大楼外接入网络机房的数据信号，全部采用光纤接入。三、网络机房内大多配备UPS电源系统。四、机房内铺设防静电地板、吊顶，对墙面进行了无尘处理。五、安装机房防盗监控系统。六、配备机房消防系统和应急照明系统。七、所有楼层交换机的供电都是由机房内UPS通过专用的线路直接供电，与楼层内的其它电源系统没有任何连接。第二节网络应用数据备份在广电集团的计算机网络中大多己经有功能数据备份与恢复系统，它是一套基于磁带介质的备份与恢复系统，有2套文件备份的License和1套Oracle数据库备份的License，进行服务器的文件备份和Oracle数据库的实时备份和恢复。浙江广电集团网络中已经有了以下几个网络安全方面的考虑:一、病毒防护网络中使用了诺顿病毒防护系统，该病毒防御系统是基于网络的病毒防护系统，在网络内能够远程的安装网络客户端的病毒防护软件，进行病毒特征库的自动更新，集中控制和管理。但是，网络中的病毒防护系统没有集中控制和管理的控制台，不能实时了解网络中防病毒客户端程序的安装情况、病毒感染和爆发的情况。二、外网接入安全防护网络目前大多没有单独的外网接入点，没有自己的外网接入安全防护，使用统一的出口和安全策略。三、入侵检测系统在集团总部局域网与其他网络连接处采用的一套入侵检测系统具体部署如图2-1访问用户访问用户访问用户访问服务器路由器服务器路由器交换机交换机交换机交换机入侵检测系统互联网图2-1广电集团入侵检测系统示意图第三节网络安全弱点分析浙江广电集团网络系统安全弱点主要包括:一、硬件弱点:硬件隐患存在于服务器、终瑞、路由器、交换机和安全设备等设备中，一旦发生硬件的安全问题，将给主机和网络系统的可靠性、可控性、可用性和安全性等造成严重损害。二、操作系统弱点:由于操作系统自身的漏洞和缺陷可能构成安全隐患。操作系统是计算机应用程序执行的基本平台，一旦操作系统被渗透，就能够破坏所有安全措施。靠打补丁开发的操作系统不能够从根本上解决安全问题，动态连接给厂商提供开发空间的同时为黑客开启了方便之门。三、数据库系统弱点:由于数据库系统本身的漏洞和缺陷可能构成的安全隐患。四、网络系统弱点：TCP/IP协议本身的开放性导致网络存在安全隐患。如：TCP/IP数据通信协议集本身就存在着安全缺点，如：大多数底层协议采用广播方式，网上任何设备均可能窃听到情报；协议规程中缺乏可靠的对通信双方身份认证手段，无法确定信息包地址真伪导致身份“假冒”可能；由于TCP连接建立时服务器初始序号的可推测性，使得黑客可以由“后门”进入系统漏洞。五、通用软件系统弱点:如Web服务器等常用应用软件本身可能存在的安全弱点。六、业务系统弱点:节目视频业务系统等本身的“Bug”或缺陷可能构成弱点。七、安全设计的弱点:安全设计不周全可能构成系统防护的弱点，由于安全漏洞的动态性和安全威胁的增长性要求以及安全需求本身的限制，安全体系设计要求具有良好的可扩展性和动态自适应性。八、管理弱点:工具不多，技术水平不高，意识淡薄，人员不到位。第四节网络安全风险分析网络本身所固有的结构复杂、高度开放、边界脆弱和管理困难等特点，增加了广电集团网络系统的安全风险。由于网络自身的开放性和广电集团网络系统的特殊性使网络系统存在很大的安全风险性，主要有：一、人为因素：未经授权访问重要信息恶意破坏重要数据数据窃取、数据篡改利用网络设计和协议漏洞进行网络攻击假冒、伪造、欺骗、敲诈、勒索内部人员恶意泄露重要的信息管理员失职二、自然因素：设备的老化火灾、水灾(包括供水故障)爆炸、烟雾、灰尘通风供电中断电磁辐射、静电以上都可能引起设备的失效、损坏，造成线路拥塞和系统瘫痪等。

第三章集团网络安全需求与安全目标第一节网络安全需求分析为了确保广电集团网络系统的安全，其安全需求可以从安全管理层面、物理安全层面、系统安全层面、网络安全层面、应用安全层面等方面来分析。从安全管理要求来分析，要考虑政策、法规、制度、管理权限和级别划分、安全培训等，特别要考虑基层人员计算机水平不高，系统设计和培训等方面要周密考虑，制定切实有效的管理制度和运行维护机制。从物理安全要求来分析，要根据浙江广电集团实际情况，确定各物理实体的安全级别，建立相应的安全防护机制。从系统安全需求来分析，需要解决操作系统安全、数据库系统安全、TCP/IP等协议的安全、系统缺陷、病毒防范等问题。从网络安全需求来分析，要考虑系统扫描、入侵检测、设备监控和安全审计等，要防范黑客入侵、身份冒充、非法访问。要保证信息在公共传输通道上的机密性，拨号线路的保密性和身份鉴别。从应用安全和信息安全需求来分析，要解决重要终端用户数据的加密、数据的完整性、数据的访问控制和授权以及数据承载终端设备(各种计算机、笔记本电脑、无线WAP终端及其它终端设备)以及其中运行的操作系统的安全可靠。因此，广电集团网络系统安全要重点做好以下几方面的工作，同时也是本安全方案的设计需要解决的问题：一、解决内部外部系统间的入侵检测、信息过滤(防止有害信息的传播)、网络隔离问题；二、解决内部外部黑客针对网络基础设施、主机系统和应用服务的各种攻击所造成的网络或系统不可用、信息泄密、数据篡改等所带来的问题；三、解决重要信息的备份和系统的病毒防范等问题；四、建立系统安全运行所匹配的管理制度和各种规范条例；五、建立健全浙江广电集团网络系统安全培训制度及程序等方面的问题；六、解决浙江广电集团和其它相关单位部门网络信息交流带来的安全问题。第二节网络安全目标计算机网络的安全问题与单台计算机的安全在实际中存在着非常大的差别。网络不是分装在一个机箱内，存在着传输系统的地域分布问题。这些传输通信系统可以是有线的，也可以是无线的。这类传输可以在中途被截获，存在着“中间攻击”的问题。从攻击的手段来看，攻击种类和机制非常多。访问控制和鉴别也比单台计算机困难，网络安全要特别重视防截获，防泄露和信息加密的实施。目前所采用的网络防护方法也就是在进入计算机操作系统控制中的网络访问和网络协议上实施的。网络防护的基本服务:网络访问控制(MAC)、鉴别、数据保密性、数据完整性、行为的完整性、抗抵赖性、可用性等。网络安全的目的是保护在网络系统中存储、传输和处理的信息的安全，概括为确保信息的完整性、保密性、可用性和不可抵赖性。信息的保密性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的查看；信息的完整性指的是在计算机网络系统中存储、传输和处理的信息不被非授权的改变；信息的可用性和可靠性指的是在计算机网络系统中存储、传输和处理的信息为授权用户提供及时、方便、有效的服务；信息的不可抵赖性指的是内部人员对信息的操作不可抵赖。为了更加完整的执行上述网络信息安全的思想，防止来自集团内部局域网上的攻击，又由于浙江广电集团网络连接关系复杂、网络设备多，使用租用的国内的通信线路，存在着传输线搭接窃听或辐射接收窃听等环节。因此要做到以下几个要求：1)防止计算机病毒的蔓延集团网络众多的用户，可能由于内部管理上疏忽，装入未经杀毒处理的软件或是从因特网上下载了带病毒的文件。还可能来自外部黑客释放病毒、逻辑炸弹的攻击等，这些都对计算机网络系统安全构成严重威胁。病毒广泛地传播，将造成网络软硬件设备的损害以至于整个网络系统瘫痪。2)加强网络安全的动态防护网络黑客攻击手段、计算机病毒等都处于不断的发展和变化中，使用目前的安全保密技术和产品是难以构造一种绝对安全、无缝隙和一劳永逸的网络系统的。因此，安全的网络系统必须具有网络安全漏洞的检测和监控功能。通过安全检测、监控手段，及时发现网络安全漏洞和各种恶意的攻击手段，及时提供修补系统漏洞的建议并阻断来自内外的非法使用和攻击。3)保障集团内部业务系统的安全稳定由于涉及省台与各地方台的视频传输，不可避免的会遇上各种各样的问题，因此，在网络层对业务的安全要保障得力，并且要确认信息传输的安全稳定。

第四章集团网络安全解决方案设计第一节网络监控管理系统由于浙江广电集团的网络建设已有很多年的时间了，其很多网络设备都自带了监控及管理软件或工具，但是这些工具在问题发生之后很难解决问题。而网络监控管理系统的实时映射、网络瓶颈通知和设备失败通知却可以帮助用户快速隔离问题，并且在员工抱怨之前解决问题。这里对推荐的美国CA公司的网络监控管理系统(UnicenterNetwork&SystemManagement)所能够达到的功能简单地说明一下：通过TCP/IP协议，不需要专门的培训，用户就可以配置该网络监控管理系统，启动网络监视管理功能后，能够监控的网络设备包括工作站、服务器、主机、网桥、路由器、集线器、打印机等在内的几乎所有网络元件。当用户决定使用该网络监控管理系统软件时，首先可以通过该软件的网络探查功能，能够全面查看用户网络的底层构件，确认整个网络的体系结构，并以一种可描述可管理的模式定位所有的网络设备，并将这些设备存储起来，迅速绘出网络结构图，同时启动设备的监控，而这些过程都是自动生成的，非常简单易用，可操作性强，这对于网络设备非常多、而专业网络管理人员较少的企业来说就显得非常重要。在这个过程中，首先通过该网络监控管理系统24X7的全时设备轮询网络监视功能，迅速识别网络元件的任何问题，当监测到问题时，可以不同的颜色显示出来，并以通过手机、e-mail、声音警报通知管理人员，同时根据各网络元件相互之间的依赖关系，自动关闭与有问题网络元件之后的所有网络元件的连接，减少冗余数据数量，避免冗余通知。此外，还能对网络元件的潜在问题、网页的正确性、可用性、网络的性能以及系统资源进行有效的监控管理。当网络监控管理系统识别网络失效时，在向相关人员发送警报及通知时，该软件还可启动一个程序来定位网络失效。因此，当状况被隔离之后，一个特定的应用程序或者脚本程序就会被执行，或许是重启这个服务或许是重启计算机。这个进程是自动的，因此当相关人员收到设备失效的通知时，相应的措施已经采取了，管理人员不用回到办公室，因为当管理人员在收到通知时已经知道问题己经解决了。在这一系列监控与管理过程中，网络监控管理系统都能自动生成监控及管理日志，并对系统的使用情况与趋势形成报告，以便用户形成较为完善的系统化管理，提升工作效率。第二节电子邮件安全解决方案解决电子邮件安全问题，我们需要从三个方面来考虑如何应对：1)对带病毒邮件、垃圾邮件等恶意邮件的过滤和封堵；2)对进出邮件系统的所有邮件进行备份，用于监控和备查；3)对敏感的邮件内容进行加密传输，防备在传递路径上的恶意窥伺。对集团来讲，现实的方法是结合现有的成熟技术，组合出一个在经济上和技术上合理的解决方案，同时要保证长期的维保成本。邮件系统的安全解决方案包括如下三个部分：1、电子邮件安全网关技术方案通过邮件安全网关的部署，在病毒程序、垃圾邮件等不良信息进入集团邮件系统之前，便对其进行遏制、阻截，从而保证集团电子邮件系统的安全稳定运行，节省邮件系统存储空间，避免机密的泄漏。在邮件网关硬件系统上整合邮件反病毒引擎，对进入集团邮件系统的电子邮件进行病毒检测，采取邮件隔离、删除以及清除病毒等操作，减少病毒对邮件服务器的攻击。应根据互联网最新病毒发展趋势，定时升级邮件网关病毒库。2、邮件备份系统技术方案在集团现有邮件系统的基础上，实现对指定时间内(如最近一年)所有收发邮件的备份，并且管理员根据邮件信息摘要(例如：发件人、收件人、主题、日期、附件名称等)进行检索和查看邮件全部内容。3、邮件加密系统技术方案保护重要电子邮件不被泄密，防止内部人员未经许可将重要电子文档以邮件的方式泄密，防止电子邮件被截取而引起的泄密。保证工作效率，在尽量不改变使用者收发邮件操作习惯的基础上，保证电子邮件正常畅通使用。考虑到文件安全扩展的需求，除电子邮件之外，信息泄密还有多种途径。在保护邮件安全的基础上，要考虑到日后系统的扩展性。邮件安全管理系统综合动态加解密技术、访问权限控制技术、使用权限控制技术、期限控制技术、身份认证技术、操作日志管理技术、硬件绑定技术等多种技术对电子邮件进行保护。第三节远程数据传输的加密建立基于SSLVPN技术加密访问系统，使得从Internet到内部网络的访问使用SSLVPN数据加密通道，保证数据在传输过程中保密性。目前能够提供SSLVPN加密产品的厂家很多，但是本文认为在SSLVPN技术的先进性、加密传输的速率、以及厂家的技术服务等方面，Juniper的NetscreenSA1000具有相对的优势，是其它厂家无法比的。Juniper网络公司SSLVPN产品家族的Netscreen-SA1000系列，使企业可以部署经济高效的远程接入、外联网及内联网安全性。用户可从任何标准Web浏览器接入企业网络和应用。NetScreen-SA1000系列使用SSL作为安全接入传输机制，SSL是所有标准Web浏览器中使用的安全协议。使用SSL使客户无需部署客户端软件、无需更改内部服务器，也无需进行成本高昂的长期维护。NetScreen-SA1000产品提供先进的合作伙伴喀户外联网特性，以控制用户或用户组的网络访问，无需更改基础设施、无需部署DMZ、也无需软件代理。这项功能还允许公司安全接入企业内联网，使管理员可以根据不同员工、承包商和访问者所需的资源来限制他们的接入权限。NetScreen-SA1000系列解决方案的主要特性与优势如下:一、端到端分层安全性端点客户端、设备、数据和服务器的分层安全性控制，Juniper网络公司EndpointDefenseInitiative(端点防御计划)，用于提供最高的端点安全性可以根据用户组或角色、网络、设备及会话属性来规定基于用户身份的接入降低总拥有成本。不需要部署客户端软件或更改服务器，几乎不需要长期维护。从单一平台安全地远程接入内联网和外联网安全的外联网接入，无需构建DMZ、无需加固服务器、无需复制资源、或无需增加部署来添加应用或用户简化二、可管理性（一）集中管理选项提供统一管理（二）用户自助服务功能，可降低技术支持服务窗口的支持成本（三）细粒度的审计和日志记录（四）3种不同的接入方法，允许管理员根据具体目的来设置接入权限（五）基于角色分配管理任务三、高可用性群集对部署选项，可为整个LAN和WAN提供高可用性。第四节服务器的安全防护一、业务服务器的安全防护（一）防火墙的安装这里将在Catalyst4506交换机与服务器群的交换机之间安装一台高性能的防火墙，并根据服务器群中的每台服务器的应用系统的情况，在该防火墙上进行一对一的安全策略配置的工作。（二）入侵检测系统的安装这里将在服务器群的交换机上配置一个侦听端口，将流经该交换机所有端口的数据包都复制一份传送到侦听端口上；再把入侵检测系统连接到该侦听端口，接收该端口输出的所有数据包，并对这些数据包进行入侵分析、判断和记录。本文将负责完成入侵检测安装配置工作。二、涉及到的设备选择（一）防火墙的选择防火墙的类型主要有：数据包过滤、监测型、代理服务器等几大类型。1）包过滤型包过滤型防火墙是防火墙的较初级产品，其技术基于网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。如图4-1所示:数据源数据源判断数据的地址信息危险地址数据可信任地址数据拒绝通过FR允许通过FR图4-1包过滤型防火墙的工作原理包过滤技术的优点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。但包过滤技术的缺陷也是明显的。包过滤技术是一种完全基于网络层的安全技术只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒。有经验的黑客很容易伪造IP地址，骗过包过滤型防火墙。2）代理型代理型防火墙也能够被称为代理服务器，它的安全性要高过包过滤型产品，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器;而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到集团内部网络系统。如图4-2所示客户机访问客户机访问服务器访问代理服务器代理服务器服务器客户机图4-2代理型防火墙的工作原理代理型防火墙的优点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。它的缺点是对系统的整体性能有较大的影响，而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性。本文将选用业界性能较好的、可靠性较高的Juniper的NetScreen5200防火墙，该防火墙的技术参数如表4-1表4-1NetScreen5200防火墙技术参数表物性/功能NetScreen-5200接口数2个XFE1OGigE，或8个Mini-GBIC,或2个Mini-GBIC+2410/100最大吞吐量1OG防火墙5G3DES/AFSVPN最多会话数1,000,000最多VPN隧道数30,000最多策略数4000,000最多虚拟系统数5最多虚拟LAN数4000最多安全区域数默认设置为16个，最多增加1000个最多虚拟路由器数默认设置为3个，最多增加500个支持的高可用性模式主用/备用支持的路由协议OSPF,BGP,RIRV1/V2深层检测是集成/重新定向，Web过滤是/否（二）入侵检测系统的选择这里选用国内拥有领先安全技术水平的天融信千兆级入侵检测系统NGIDS-UF。其主要的技术指标如表4-2表4-2NGIDS-UF入侵检测系统技术指标表型号NGIDS-UF类别千兆IDS规格2U机架式网络接口1个10/100Base-TX:2个千兆光纤2wh10/100/1000Base-TX串口1个RS-232C第五节计算机病毒防护的加强一、在原有的病毒防护系统增加集中管理控制台新增一台服务器，在上面安装一套诺顿的病毒防护的集中管理控制台。这里将安装该服务器系统和诺顿的集中管理控制的软件系统。二、增加网络病毒防火墙在每个楼层交换机的上联端接入一台网络病毒防火墙，对局域网内的病毒进行区域控制：在二级单位广域网入口处安装一台网络病毒防火墙，保障二级单位的广域网线路不会受到病毒数据包的影响。涉及到的设备选择：(一)诺顿的防病毒集中管理控制台只有选用诺顿的集中管理控制软件才能控制和管理诺顿的网络防病毒系统的客户端软件。(二)网络病毒防火墙目前有趋势相关的硬件产品出售，并且该产品还能够与诺顿的网络防病毒客户端软件进行联动。所以本文选择部署趋势的NVW1200网路病毒防火墙。该网络病毒防火墙的主要功能如下:1.执行免代理的安全策略网络病毒墙对非兼容设备进行隔离修正，以确保所有设备在进入网络前都安装有最新的防病毒及关键的操作系统补丁。执行免代理的安全策略可减少管理负荷，并可同时降低被合作伙伴或VPN用户的非兼容设备感染的风险。2.漏洞隔离网络病毒墙根据TrendMicro的漏洞评估功能，隔离网络蠕虫可利用的潜在环节，使管理者有选择地隔离薄弱(未安装不定程序)的网络段或设施，避免病毒的爆发。网络病毒墙提供漏洞评估服务，并将该功能作为一个可选项。3.灵活的、集中式管理网络病毒墙包括趋势科技企业安全管控中心、及一个集中式、基于网络的管理控制台，它根据主机安装永久代理的需要实施安全更新部署。该服务可以自动部署、或点击管理控制台的选项进行手工部署。4.网络扫描及侦测网络病毒墙通过扫描网络流量查找蠕虫及漏洞利用，并基于趋势实验室提供的最新病毒码来自动清除感染的网络数据包。另外，网络病毒墙利用趋势科技先进的启发式技术对您的网络实施监控，并