cisco安全技术建议书

XXX网络安全技术建议书1. 基于用户身份的网络接入控制的网络资源动态分配31.1 基于802.1x的用户接入认证31.2 思科基于802.1x的扩展功能(IBNS)42网络的安全62.1 防火墙的配置及介绍62.1.1 防火墙的设置策略72.1.2 安全管理的重要性101）防火墙的配置122）防火墙的实现123）常用反黑策略134）主机和服务器网络安全保护145）网络准入服务156）网络整体安全设计183网络管理系统193.1 网络分析模块NAM193.2 CiscoWorks2000网管软件21总结241. 基于用户身份的网络接入控制的网络资源动态分配1.1 基于802.1x的用户接入认证对于网络用户的动态接入认证，本方案选用基于802.1x国际标准的网络接入层用户认证协议，并在此基础上进一步利用思科公司的扩展功能对用户的VLAN划分，带宽资源分配和访问限制等进行动态设置。从而实现用户可以在园区网内的任何位置用自己的用户名和密码登陆网络，并获得相应的网络访问权限和工作组划分。标准的802.1x协议的流程如下图：当用户的电脑通过网线连入接入交换机时，交换机会向用户的电脑发送认证请求。用户的用户名和密码等认证信息有交换机传送到网络中的思科认证服务器ACS进行用户认证，当用户的信息通过认证后，交换机才会开放用户所连接的网络设备端口，从而用户才可以获得对网络的访问许可。1.2 思科基于802.1x的扩展功能(IBNS)思科支持IEEE 802.1x标准，并且可以提供下述扩展功能以进一步增强基于802.1x的用户认证服务：l 基于802.1x的用户VLAN动态划分：Cisco IBNS可以提供这种功能使基于用户的身份动态地将VLAN分配给相应端口。采用标准的802.1 X方案，认证成功后的用户被置于预先配置好的VLAN中，该VLAN已经分配到某个端口。这种新的特性使得管理员可以维护RADIUS内从用户名到VLAN的数据库。在成功地完成802.1 X鉴别之后，RADIUS还可以将VLAN发送到用于特定用户的交换机，交换机就可以为指定的VLAN配置附加端口。这样，经过802.1 X认证的端口就可以将基于用户的身份指派到VLAN上。l 带端口安全性的802.1x这种特性可以在802.1x端口上配置端口安全性。如果端口上只有一个介质接入控制(MAC)地址能够实现端口安全性，那么只有该MAC地址才能够通过RADIUS服务器认证。所有其它MAC用户将被拒绝访问，这样就能够消除其它用户连接到某个集线器上以绕开认证的安全性风险。在多种认证模式中采用代端口安全性功能的802.1 X时，所有尝试通过交换机端口连接的主机都必需要求采用802.1 X进行认证。l 802.1x访客VLAN这种特性有助于让XXX提供访客级网络接入，如对于那些不支持802.1x的用户主机(Windows98, WindowsMe等)。在启用这种特性之后，那些没有802.1 X兼容主机的网络的用户将被置于访客VLAN中,他们可以获得Internet的访问权限或只可以访问XXX主页信息等。需要访问敏感资源的用户可以通过VPN连接来进行数据安全访问。l 带ACL分配的802.1 X基于身份的访问控制列表(ACL)使网络可以根据用户的802.1 X认证结果，动态地将访问控制策略分配到某个接口上。您可以使用这种特性来严格限制用户对网络中某些网段的访问，限制对敏感服务器的访问，甚至限制可能使用到的协议和应用。这样，不需损害用户的移动性或者造成管理损耗，就能够实现专门基于身份的安全性。l 基于802.1x的机器认证机器认证可以使用户对接入网络的终端设备进行安全控制，当PC在其董事会通过802.1x协议向ACS传送认证信息，只有通过认证的机器才可以接入网络中。机器的认证信息和认证密码由中心ACS设置和更新，机器的用户无法得到机器的认证密码或证书信息。机器人正可以与用户认证相结合提高系统的安全可靠性。2网络的安全对于企业内部网来说，建立了网络，必然会有人对它进行攻击，目前企业网络的安全主要受到两方面的威胁，一个是来自黑客的诸如DoS之类的攻击和黑客入侵，另外一个是有可能被病毒感染，例如2003年造成很多企业园区网络中心路由器瘫痪的sql蠕虫病毒等。对于前者，最有效的解决安全的方法是设置内外网间防火墙（firewall）和入侵检测系统。而保证网络不受各种病毒的侵害，保证网络的正常运行，后者则应该配置网络防病毒软件。2.1 防火墙的配置及介绍随着网络技术的普及化，网络安全已经成为网络建设中的一个重要环节，特别是XXX作为保证的重要机构，对于网络安全的防护就更为重要。防火墙作为网络防护的手段之一，对于网络入侵攻击形式，有比较理想的效果。2.1.1 防火墙的设置策略对网络的安全性建设，必须要考虑以下几点问题：1安全策略对于一个大型网络，必须要制定较好的安全策略，防患于未然。2网络设备，采用协议的安全性网络设备的集中控制，以及使用更为安全的协议3防火墙的设计安全控制与访问的自由性是一对矛盾体，安全性的增强必然导致应用互相访问的难度和复杂性，当安全性增至极点时，实际上成为各自独立封闭的部分，网络互联也就失去了意义。4接入网络的安全性因为接入网络不收内部管理和约束，有很大的安全隐患。l 网络安全策略我们为什么要强调安全性，主要有以下三个主要原因：u 策略的弱点u 配置的弱点u 技术的弱点很多人都希望利用这些弱点来对系统进行攻击。从上述三点可以看出，系统安全策略设计的好坏，直接关系到整个网络系统的效率。那么什么是安全策略呢，安全策略就是要获得访问系统某些特定资源的权利所必须遵守的一系列规则和程序。我们需要考虑：u 我们的信息资源处于什么地点u 什么信息需要保护u 我们的用户有那些u 他们有那些特权同时我们还要指定相应的策略级别：开放性的安全策略允许一切没有明确拒绝的限制性的安全策略特殊的许可与特殊的限制相结合封闭性的安全策略没有明确许可的全部拒绝在网络系统中，结合应用系统，主要有以下几点问题：公共信息应在网内流通一些重要信息信息有级别限制外界对内部网络的访问应有严格限制 确保网络设备不被非法访问与外部网络连接的限制对有外部不可信任网络，必须进行有效隔离，限制其只能访问某些外部资源。系统安全策略设计目标是一种需求与风险的平衡，一端是自由连接访问，另一端是种种安全机制甚至是物理隔离。我们的目标就是找到一个平衡点使得安全和可使用性并举，甚至有时还要为了安全牺牲性能、连接，便利等因素。l 网络设备、采用协议的安全性对于网络网络设备的访问，需要进行访问控制。这里有两点需要注意的问题：帐户和口令的设置和管理对于一般的网络设备帐户和口令的设置，由设备本身存储认证。对于这些口令应委派专人负责，加强管理，避免人为因素管理不善造成的损失。帐户和口令的认证方式帐户和口令的本地管理和认证方式，不利于口令的保密和设备的访问安全。思科所有网络设备具有集中认证能力（如支持TACACS，RADUIS等）。使得用户帐号和口令的认证全部集中在专用的认证服务器上，利于口令的设置与维护。加强了网络设备访问的安全性。我们在对内网防火墙的选择和设计时，坚持采用安全防范技术最好的、世界领先的产品为原则，它在整个网络系统中起着至管重要的作用。防火墙系统决定了那些内部服务可以被外界访问；外界的那些人可以访问内部的那些可以访问的服务，以及那些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往外部网络的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于渗透。增设防火墙之后，实现了以下功能： 实现了对外部网络和内部网络之间的访问的控制。 允许网络管理员定义一个中心“扼制点”来防止非法用户，如黑客、网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。 防火墙简化安全管理，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有主机上。 防火墙上提供了很方便的监视网络的安全性，并产生报警。应该注意的是：对一个内部网络已经连接到外部的机构来说，重要的问题并不是网络是否会受到攻击，而是何时会受到攻击。网络管理员及时审计并记录所有通过防火墙的重要信息，并及时响应报警、审查常规记录，从而知道防火墙受到攻击的情况。 防火墙是一种实现内部网络安全的方法，为此，防火墙的设计必须适合XXX所制定的安全策略。最简单和最可靠实现公共信息的发布并保护私有数据是建立分离的公网，或者与外部网络进行单一连接。在设计和实现防火墙时应考虑如下几点：风险级别在设计防火墙时，一个组织必须首先确定他所能承担的风险级别，一级防火墙如何保护内部不收外部攻击。简单就是最好使用简单的规则来控制数据的传输就是最好的，复杂的规则降低了网络性能且容易产生错误。维护一旦建立好了防火墙，不能将防火墙置于一边来期望它保护网络，不断的维护是必须的。2.1.2 安全管理的重要性虽然在网络中配置了防火墙，但是并不能认为这就安全，防火墙同样具有很多情况是无法进行有效防护： 防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护网络上有一个没有限制的拨出存在，内部网络上的用户就可以直接通SLIP或PPP连接进入Internet。院内用户可能会对需要附加认证的代理服务器感到厌烦，因而向ISP购买直接的SLIP或PPP连接，从而试图绕过由精心构造的防火墙系统提供的安全系统。这就为从后门攻击创造了极大的可能。这种类型连接对于一个有全面的安全保护系统来说是绝对不允许的。 防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。防火墙无法禁止变节者或公司内部存在的间谍将敏感数据拷贝到软盘或PCMCIA卡上，并将其带出公司。 防火墙也不能防范这样的攻击：伪装成超级用户，从而劝说没有防范心理的用户公开口令或授予其临时的网络访问权限。所以必须对用户进行培训和指导，让他们了解网络攻击的各种类型，并懂得保护自己的用户口令和周期性变换口令的必要性。 防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。2.1.3 网络安全方案1）防火墙的配置选用CISCO公司的最新推出的FWSM防火墙模块，配置在核心多层交换机6509上，6509的千兆广域网接口接在Internet 入口上，在6509上进行配置，使得所有的访问Internet服务器的数据流通过防火墙模块流向Internet服务器的端口，隔离内部网络和外部网络。为了能同时对黑客入侵的行为随时进行监控，在本方案中我们采用了第二代思科入侵检测系统（IDS）模块。与当今市场上的多数入侵检测系统（IDS），必须将设备放置在交换端口分析器（SPAN）端口上才能监控网络流量不同的Catalyst 6509 IDS模块是专门为交换环境设计的，它直接将IDS功能集成到交换机中，由于可以直接从交换机背板上获取流量，因而可以在同一机架中同时实现交换和安全功能。2）防火墙的实现在防火墙的设计中，主要考虑与外部网络连接的安全性，这一点主要通过Cisco 6905的FWSM防火墙模块来实现。该服务模块是一种高速的集成化的服务模块，可以提供业界最快的防火墙数据传输速率：5G的吞吐量，100000cps,以及一百万个并发连接。同时每个设备最高可以安装4个fwsm，因此每台设备最高可以提供20G的吞吐量。而对于内部不同网络间的访问控制，可以通过虚拟网的划分和Cartalyst 6509上的安全控制机制来实现。IDSM-2入侵检测系统则能够提供全天候XXX网络的监视。它能够分析网络内的分组数据流，搜索黑客袭击等非法行为，并允许用户对立即对安全隐患作出相应的联动反应。同时它可以通过被动的、综合的操作提供透明的操作。这种操作方式可以通过VACL获取功能和交换机端口分析工具/远程SPAN（RSPAN/SPAN）检测分组的复本，因为它并不位于核心交换机6509 到Internet的转发路径上，仅在旁路上进行检测，因而它不会导致网络性能降低或者中断。3）常用反黑策略针对一些常用的攻击方法，在网中我们可以采用如下的应对手段： 如果黑客利用源IP地址欺骗方式攻击（SowrceIP AddressSpoofing Attacks）网络，这种类型的攻击的特点是入侵者从外部传输一个假装是来自内部主机的数据包，即数据包中所包含的IP地址为内部网络上的IP地址。入侵者希望借助于一个假的源IP地址就能渗透到一个只使用了源地址安全功能的系统中。在这样的系统中，来自内部的信任主机的数据包被接受，而来自其它主机的数据包全部被丢弃。对于源IP地址欺骗式攻击，可以利用丢弃所有来自路由器外部端口的使用内部源地址的数据包的方法来挫败。 如果黑客利用源路由攻击（SourceRowingAttacks）方法破坏网络，这种类型的攻击的特点是源站点指定了数据包在Internet中所走的路线。这种类型的攻击是为了旁路安全措施并导致数据包循着一个对方不可预料的路径到达目的地。我们只需简单的丢弃所有包含源路由选项的数据包即可防范这种类型的攻击。 如果黑客以极小数据段式攻击（TinyFragmentAttacks）方法攻击网络，这种类型的攻击的特点是入侵者使用了IP分段的特性，创建极小的分段并强行将TCP头信息分成多个数据包段。这种攻击是为了绕过用户定义的过滤规则。黑客寄希望于过滤器路由器只检查第一个分段而允许其余的分段通过。对于这种类型的攻击，只要丢弃协议类型为TCP，IPFragmentOffset等于1的数据包就可安然无恙。4）主机和服务器网络安全保护在对网络系统进行保护的基础上，我们可以在未来进一步实施对主机及服务器的网络安全保护。新一代思科安全代理网络安全软件可以为服务器和台式机计算系统（也被称为“终端”）提供威胁防范功能。思科安全代理与传统的终端安全解决方案的不同之处在于，它可以在恶意行为发生之前发现和阻止它们，进而消除潜在的已知和未知安全风险，防止其威胁到企业网络和应用的安全。因为思科安全代理采用的是分析行为而不是特征匹配的方法，因而这个解决方案能够以较低的运营成本提供强大的保护。思科安全代理位于应用和内核之间，它可以在最大限度地减少对底层操作系统的稳定性和性能的影响的情况下，最大限度地提高应用的可见性。这种代理的独特架构可以阻截操作系统对文件、网络、注册表资源和动态运行时间资源（例如内存页、共享库模块和COM对象）的所有调用。思科安全代理能够利用独特的智能，根据某个特定应用或者所有应用的不当或者不可接受行为的规则，关联这些系统调用的行为。正是这种关联和在此基础上对应用行为的理解使得软件按照安全管理人员的指示可以防止新型的入侵。当某个应用试图执行某项操作时，思科安全代理将根据应用的安全策略检查操作，实时地做出是否允许或者拒绝这项操作的决策，并判断是否需要记录该请求。安全策略是IT和/或安全管理人员针对受保护的服务器和台式机或者对整个企业制定的一组规则。这些规则提供了对必要资源的安全应用访问。通过在缺省的服务器和台式机策略中集成采用了分布式防火墙、操作系统锁定、完整性保障、恶意移动代码防范和审核实践关联功能的安全策略，思科安全代理可以为存在对外连接的企业系统提供深层保护。因为保护建立在阻止恶意行为的基础上，所以缺省策略无需升级就可以防止已知的和未知的攻击。关联是在代理和管理中心控制台上进行的。基于代理的关联可以大幅度提高准确性，在不影响正常活动的情况下发现实际的攻击或者网络滥用行为；在管理中心进行的关联可以发现全局式攻击，例如网络蠕虫或者分布式扫描。5）网络准入服务思科网络准入控制（NAC）是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的端点设备（例如PC、服务器、PDA）接入网络，而不允许其它设备接入。在初始阶段，当端点设备进入网络时，NAC能够帮助思科路由器实施访问权限。此项决策可以根据端点设备的信息制定，例如设备的当前防病毒状况以及操作系统补丁等。网络将按照客户制定的策略实行相应的准入控制决策：允许、拒绝、隔离或限制。一开始，NAC将支持运行Microsoft Windows NT、XP和2000操作系统的端点设备。思科网络准入控制解决方案包括以下部件： 端点安全软件（AV，Cisco Security Agen）与 Cisco Trust Agent Cisco Trust Agent从多个安全软件客户端收集安全状态信息，例如防病毒客户机软件，然后将这些信息传送到相连的思科网络，在那里实施准入控制决策。应用和操作系统状态信息，例如防病毒软件和操作系统补丁等级或委托书，都可以用于制定相应的网络接入决策。思科和NAC合作商将把Cisco Trust Agent与自己的安全软件客户端集成在一起。 网络接入设备 实施准入控制的网络设备包括路由器、交换机、无线接入点和安全设施。这些设备接受主机委托，然后将信息传送到策略服务器，在那里实施网络准入控制决策。网络将按照客户制定的策略实施相应的准入控制决策：允许、拒绝、隔离或限制。 策略服务器策略服务器负责评估来自网络设备的端点安全信息，并决定应该使用哪种接入策略。Cisco Secure ACS服务器是一种认证、授权和计费RADIUS服务器，它构成了策略服务器系统的基础。它可以与NAC合作商的应用服务器配合使用，提供更强的委托审核功能，例如防病毒策略服务器。 管理服务器思科管理解决方案将提供相应的思科NAC组件，以及监控和报告操作工具。CiscoWorks VPN/安全管理解决方案（CiscoWorks VMS）和CiscoWorks安全信息管理器解决方案（CiscoWorks SIMS）形成了此功能的基础。思科的NAC合作商将为其端点安全软件提供管理解决方案。6）网络整体安全设计要想构建起来一个强大、安全的网络,一方面我们需要有强大的硬件平台作支撑,此外更重要的是我们要有严密合理的整体安全体系。首先我们要严格定义和分类XXX的各种信息资源有哪些，其重要程度如何，需要访问这些资源有哪些用户，不同的用户所拥有那个等级的权限，同时将这些规则严格落实到最后防火墙vlan访问控制列表，arp绑定等相应的规则的配置中去得以实现。对于从Internet过来的流量我们在6509上制定严密的限制性的安全策略采用特殊的许可与特殊的限制相结合，保证正常合法的流量的进入以及拒绝非法入侵。其次我们在本次网络建设中所采用的网络设备，都支持TACACS的认证，应用这项技术可以使得对网络设备的访问控制可以集中设置、管理、授权。最后基于网络安全管理的重要性和防火墙保护范围的限制，这要求我们各个管理部门进一步加强管理，制定相应的制度，加强防范，和防火墙一起配合，做到高度的安全。这样我们可以很好的应用性能最为强大的防火墙设备结合防火墙的应用策略，网络设备的安全型配置，安全管理各个方面构筑起一道强大的安全屏障来有效地保障网络的安全。3网络管理系统对于网络的管理人员来说，日益复杂的网络结构和网络应用于相对紧张的人力资源之间的矛盾越来越激烈，网管人员迫切需要一套好的网络管理软件和网络管理工具来实现对网络资源和网络环境的管理和维护。因此，我们选用了思科高性能网络分析模块和思科园区网管理软件CiscoWork 2000作为网络管理系统解决方案。3.1 网络分析模块NAM网络管理员依靠各种工具来提供有效的网络管理和监控。过去，局域网（LAN）交换机已提高了网络性能，但阻碍了网络管理员对交换流量进行监控。远程监控（RMON）在共享网络上最有效果，在那里，它可以看到所有流量。LAN交换机需要有力的监控，因为它们会过滤信息流量，以便这些信息只出现在与其发送设备和目的地设备相连的端口上。这种对不同网段的网络活动“不断提高的可视性”要求，使管理员很难调整网络性能，而且它也给交换网络中的纠错带来了不便。Cisco Catalyst 6500 NAM是Cisco端到端网络管理和监控解决方案的一部分。NAM是Cisco集成化语音、视频和数据体系结构（AVVID）的一个元件，在Cisco LAN网络中定义了强大的多服务交换。随着企业部署融合网络，管理员也需收集有关应用或视频应用的统计数据。NAM收集一直传输至应用层的数据和语音流的多层信息，有助于简化管理当今复杂多服务交换LAN的任务，这种LAN支持各种数据、语音和视频应用，其中包括H.323系列。Cisco Works 2000平台中的语音支持也即将出台。 NAM已包括全面监控所需的所有特性集。NAM可从数据和语音流收集统计信息，简化整体管理并降低开支成本。它使用交换端口分析器（SPAN）或远程SPAN（RSPAN）来接收来自物理端口、虚拟LAN（VLAN）、以太通道和Netflow数据输出帧的数据。它同时监控多个交换机端口或VLAN，为每个数据源提供独立RMON/RMON2统计数据。NAM为每个VLAN保持一套专用的RMON和RMON2 MLB组数据表。NAM使用简单网络管理协议（SNMP）将所收集的统计数据上载至基于图形化用户界面（GUI）的流量管理应用，如Cisco TrafficDirector等。NAM与所有符合IETF RFC的RMON/RMON2网络管理软件完全兼容。它提供了与管理应用间的可靠通信，即便是模块因CPU过载或缓存过度运行而丢弃了分组，其性能也不会受到影响。NAM由包括TrafficDirector综合网络流量监控和纠错在内的CiscoWorks 2000 LAN管理捆绑包全面支持。3.2 CiscoWorks2000网管软件CiscoWorks2000由RME、CWSI园区网、CiscoView组成，实现如下的功能：1） RME是一种适用于Cisco路由器、交换及接入服务器的功能强大、基于Web的网络管理解决方案。RME实现如下的功能：l 库存管理器Inventory Manager保持一个最新的硬件和软件库存l 变化审查业务Change Audix Service提供有关软件、硬件及配置变化的综合报告。l 设备配置管理器Device Configuration Manager进行路由器和交换机配置的及时归档。l 可用性管理器Availability Manager监控关键设备。l Syslog分析器查出网络故障情况，并给出故障原因及建议措施。l 软件版本管理器Software Image Manager简化并加速软件版本的规划和采用。l Netsys集成配置归档产生一个仅包含最近配置变化的“shadow”目录，该目录可用于Cisco的Netsys产品，进行模型建造、完整性检查并生成业务级别管理报告。l Cisco管理连接Cisco Management Connection提供一个工具包及后续程序，用于Internet的标准和技术进行网络管理应用程序集成。l 网络工具提供用于管理SMARTnet合同的合同连接，发出技术援助中心（TAC）申请的案例管理器及确定有效协议的连接工具。2） CWSI园区网承袭了CWSI的功能，是管理Catalyst和LightStream交换机的综合管理解决方案。它实现如下的管理：l 物理层和逻辑层的综合网络搜索和拓扑结构，智能性地显示多达500个设备l 通过一个图形接口的设备配置，易于进行设备管理l 使用RMON/RMON2收集的流量数据进行的性能监控和分析l 优化LAN和WAN性能的配置及分析工具l VLAN配置功能可以逻辑方式将网络分割成定义好的广播群l ATM和LAN仿真（LANE）配置及诊断工具l 用于诊断连接故障的终端用户站跟踪3） CiscoView用于图象显示所选设备，包括已安装的模块、配置状况，同时提供设备及端口状态的彩色编码图示，并在必要时进行改变。l Cisco路由器、交换机及所配置的模块的图象显示l 设备端口或接口状态及RMON数据的实时状态轮询l 实现简易配置或状态识别的可拆卸式配置菜单总结思科公司提供创建一个端到端应用网络所必需的所有产品从Internet的核心设备到WAN边缘设备，从城域网到局域网，以及宽带接入设备。思科公司的产品战略是不仅为您提供一整套可以稳定协作的网络产品系列，还确保每个思科公司产品都保持领先成为同类产品中的最佳产品。这种无缝的、集成化的网络系统主要是根据我们的大型企业和服务供应商客户的需求而设计的。他们意识到，完全由思科公司组建的网络比那些由多个不同厂商提供的产品所拼凑而成的网络更加便于管理，更加可靠，具有更好的性能，还可以提供更多先进的功能。因为很多思科公司产品都运行在同样的IOS网络操作系统中，所以完全由思科公司组建的网络可以通过网络实现最新的网络功能安全性，服务质量，网络管理，以及其他的先进功能，这些先进的网络功能可以带来巨大的价值，让您的网络基础设施真正地成为您的企业的竞争优势之一。思科公司已经发展成为一个庞大的企业，在全球拥有超过三万八千五百名员工，其中超过一万一千名工程师一直保持着我们在网络技术上的领先地位，而我们超过七千名的销售和技术支持人员一直与客户保持着密切的联系。思科公司的员工目前分布在67个国家，为我们在全球的客户提供支持，并致力于在全球建设Internet基础设施。思科系统公司在中国的服务与支持日臻完善。目前，除已建成北京技术支持中心（TAC）和北京、上海、广州、成都备件库外，还提供中文3W服务与支持，包括24小时全球电话热线服务和中文电子邮件服务以及各种技术培训。经验丰富的思科工程师不仅为用户解决各种问题带来了极大方便，更重要的是加强了思科系统（中国）网络技术有限公司代理商的技术能力，使其能更好地在第一线为用户提供直接的支持。思科一向重视与医疗卫生系统的合作，在2003年SAR过后，思科向中国卫生部捐赠价值人民币2150万元的网络设备、安装和三年技术支持服务，帮助中国建立国家、省、市、县四级防疫专网。总之，思科愿以自己的先进产品和服务帮助XXX建立适合自己系统应用的网络，从而使XXX的信息化建设迈上新的台阶，在医疗信息化大潮中立于不败之地，并借助网络的力量在竞争中脱颖而出！