为了全面提升中铝股份在国内外市场的竞争能力，降低运营成本，减少经营风险，加速资金周转，实现信息的实时共享和动态管理，为领导科学决策提供及时、准确、全面的经营信息，提高现代化管理水平，尽快与国际先进的管理模式接轨，将开展丰富的网络信息系统，实现信息流、物流、资金流和控制流的四流合一；同时，实现数据、音频、视频三网合一。中铝股份下属的分公司已经完成了分公司内部信息化建设，与北京总部的广域网连接正在项目实施中；各家分公司分别通过当地ISP接入Internet。中铝公司网络结构描述如下：　　

　　在进行网络系统安全方案设计、规划时，应遵循以下原则：

　　需求、风险、代价平衡分析的原则

　　对任一网络，绝对安全难以达到，也不一定是必要的。对一个网络要进行实际的研究(包括任务、性能、结构、可靠性、可维护性等)，并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析，然后制定规范和措施，确定系统的安全策略。

　　综合性、整体性原则

　　应运用系统工程的观点、方法，分析网络的安全及具体措施。安全措施主要包括：行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业技术措施(访问控制、加密技术、认证技术、攻出检测技术、容错、防病毒等)。一个较好的安全措施往往是多种方法适当综合的应用结果。

　　计算机网络的各个环节，包括个人(使用、维护、管理)、设备(含设施)、软件(含应用系统)、数据等，在网络安全中的地位和影响作用，也只有从系统整体的角度去看待、分析，才可能得到有效、可行的措施。不同的安全措施其代价、效果对不同网络并不完全相同。计算机网络安全应遵循整体安全性原则，根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。

　　易操作性原则

　　安全措施需要人去完成，如果措施过于复杂，对人的要求过高，本身就降低了安全性；其次，措施的采用不能影响系统的正常运行。

　　适应性及灵活性原则

　　安全措施必须能随着网络性能及安全需求的变化而变化，要容易适应、容易修改和升级。

　　多重保护原则

　　任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。

　　可评价性原则

　　如何预先评价一个安全设计并验证其网络的安全性，这需要通过国家有关网络信息安全测评认证机构的评估来实现。

　　通过以上的几个指导原则，根据具体需求，我们作如下部署：

　　防火墙HundWALL

　　两台M80双机热备是企业内的重点部分，因此安装一台防火墙加以防护。我们选用HundWALL-400，其流量可达到400M，系统带宽4.27G，内存带宽4.3G，完全可以满足大数据量的需要。另外HundWALL中还自带防病毒功能，可在网上自动更新病毒库。

　　入侵检测系统HundIDS

　　我们在整个网络中部署两台入侵检测系统—HundIDS：在整个网络出口处的HundIDS监测由外网到内网的入侵活动；服务器群前面的HundIDS不仅可以监测来自外网的入侵，还可以监测来自企业内部的非法操作及入侵。为了应对北京总部与8个分支机构间的大流量数据传递，这两台IDS系统均选用HundIDS-400，其流量可达到400M，系统带宽4.27G，内存带宽4.3G，完全可以满足整个网络的需要。HundIDS可以对流经的数据包进行数据分析，过滤掉含有攻击指令和操作的数据包，保护网络的安全。提供对内部攻击、外部攻击和误操作的实时保护。利用高效的智能检测算法，并配置过滤规则知识库，从而能够快速地对通过系统的信息包进行分析检测，在保障正常网络通信的同时能够有效地阻止黑客的攻击行为或用户的非法操作。入侵检测系统在发现入侵后，会及时做出响应，包括切断网络连接、记录事件、自动修改防火墙的配置和报警等。

　　漏洞扫描系统HundSCAN

　　网络安全应该防患于未然，在系统没有受到攻击之前及时的发现漏洞并进行修补。HundSCAN即可以扫描一般UNIX、Windows系列操作系统的安全漏洞和路由器等网络设备，防火墙和入侵检测系统（IDS）等安全设备的安全漏洞。

　　HundSCAN安装简单，建议使用一台操作系统为Win2000/NT的便携机安装HundSCAN系统，定期对各服务器及网络设备进行漏洞扫描。

　　上网行为管理HundNET

　　我们在整个网络的出口处部署一台HundNET，对流入、流出的数据包进行监控，并根据系统的设定采取相应的控制行为，记录相应的数据，并进行分析统计，生成相应的数据报表。这样对内部员工的上网行为可以进行良好的控制监督，而且不会影响网络的性能。

　　网络防病毒

　　我们的HundIDS与HundWALL中即带有网络防病毒功能，可在网上自动升级更新病毒库，为免费项目。

　　虚拟专用网HundVPN

　　当内部员工出差在外或者在家办公时，如果想访问企业内部的资源或者和企业进行数据交互只能是通过Internet在公网上传输，很容易造成数据的丢失和机密的泄露。现在为了解决这个问题，我们在企业内部的网络入口处架设一台神獒VPN网关（HundVPN），移动办公人员无论通过何种方式上网，均能通过神獒VPN客户端软件及USB认证加密卡登陆总部的神獒VPN网关，此时有如在移动办公人员和总部之间借助Internet架设了一条虚拟的专用隧道，在此隧道内传输的数据都是经过认证加密的。并且管理员可以为每个用户设定不同的访问权限，登陆的用户根据自己的访问策略访问相应的服务器及各种应用服务（不用考虑企业内部资源的IP地址是私网地址还是公网地址）。根据网络的现状，我们选用HundVPN-E200，最大并发数为120,000，完全可以满足用户的需要。神獒VPN的使用，方便了移动用户共享企业的内部资源，同时亦保证了数据传输的完整性、保密性和安全性，满足了企业移动办公的需要。

　　方案优势

　　巨龙公司网络安全整体解决方案的理念是“技术+策略+管理”的有机结合。全方位地考虑网络系统的各个层面：从静态的访问控制到动态的入侵检测；从事前的漏洞扫描和系统加固、事中的入侵检测以及响应报警到事后采取相应处理措施等，有效地排除网络中存在的种种隐患，提高网络的整体安全性能，最大限度地满足了客户对网络安全的需求。为客户提供了一个极高性能价格比的超级网络安全防御体系。

　　获得有关资质认证

　　取得了公安部销售许可证

　　国家密码管理委员会商密资质证书

　　中国软件评测中心评为“优秀产品”

　　《中国计算机报》2002年编辑选择奖

　　《信息安全与通信保密》推荐安全产品