1、天創(chuàng)半導(dǎo)體公司內(nèi)部網(wǎng)絡(luò)安全解決方案JISHUBU網(wǎng)絡(luò)安全重點圖書信利半導(dǎo)體公司內(nèi)網(wǎng)安全解決方案權(quán)威安全指導(dǎo)目錄TOC o 1-3 h z u HYPERLINK l _Toc465850078 天創(chuàng)半導(dǎo)導(dǎo)體公司司內(nèi)部網(wǎng)網(wǎng)絡(luò)安全全解決方方案 PAGEREF _Toc465850078 h 1 HYPERLINK l _Toc465850079 第一章引引言 PAGEREF _Toc465850079 h 2 HYPERLINK l _Toc465850080 第二章網(wǎng)網(wǎng)絡(luò)信息息安全概概況 PAGEREF _Toc465850080 h 2 HYPERLINK l _Toc465850081 (1

2、）網(wǎng)網(wǎng)絡(luò)安全全 PAGEREF _Toc465850081 h 2 HYPERLINK l _Toc465850082 (2）網(wǎng)網(wǎng)絡(luò)安全全的威脅脅來自哪哪些方面面？ PAGEREF _Toc465850082 h 3 HYPERLINK l _Toc465850083 (3）不不安全造造成的危危害有多多大？ PAGEREF _Toc465850083 h 33 HYPERLINK l _Toc465850084 (4）系系統(tǒng)的安安全應(yīng)具具備那些些功能？ PAGEREF _Toc465850084 h 4 HYPERLINK l _Toc465850085 (5）防防火墻系系統(tǒng)的安安全設(shè)置置問題

3、 PAGEREF _Toc465850085 h 55 HYPERLINK l _Toc465850086 （6）安安全隱患患 PAGEREF _Toc465850086 h 5 HYPERLINK l _Toc465850087 第三章網(wǎng)網(wǎng)絡(luò)安全全方案總總體設(shè)計計 PAGEREF _Toc465850087 h 6 HYPERLINK l _Toc465850088 （1）安安全方案案設(shè)計原原則 PAGEREF _Toc465850088 h 6 HYPERLINK l _Toc465850089 （2）安安全服務(wù)務(wù)、機制制與技術(shù)術(shù) PAGEREF _Toc465850089 h 7 HYP

4、ERLINK l _Toc465850090 （3）網(wǎng)網(wǎng)絡(luò)安全全體系結(jié)結(jié)構(gòu) PAGEREF _Toc465850090 h 7 HYPERLINK l _Toc465850091 第四章天天創(chuàng)半導(dǎo)導(dǎo)體公司司安全需需求 PAGEREF _Toc465850091 h 133 HYPERLINK l _Toc465850092 (1）當(dāng)當(dāng)前網(wǎng)絡(luò)絡(luò)現(xiàn)狀分分析 PAGEREF _Toc465850092 h 133 HYPERLINK l _Toc465850093 (2)客客戶需求求 PAGEREF _Toc465850093 h 13 HYPERLINK l _Toc465850094 （3）實實

5、施目標(biāo)標(biāo) PAGEREF _Toc465850094 h 14 HYPERLINK l _Toc465850095 第五章產(chǎn)產(chǎn)品綜述述 PAGEREF _Toc465850095 h 14 HYPERLINK l _Toc465850096 (1）安安氏LiinkTTrusstTMM CyyberrWalll防火火墻 PAGEREF _Toc465850096 h 144 HYPERLINK l _Toc465850097 (2）eeTruust入入侵檢測測系統(tǒng) PAGEREF _Toc465850097 h 115 HYPERLINK l _Toc465850098 （3）KKSG郵郵件過濾

6、濾網(wǎng)關(guān) PAGEREF _Toc465850098 h 118 HYPERLINK l _Toc465850099 第六章實實施方案案 PAGEREF _Toc465850099 h 24 HYPERLINK l _Toc465850100 （1）優(yōu)優(yōu)化方案案 PAGEREF _Toc465850100 h 24 HYPERLINK l _Toc465850101 （2）設(shè)設(shè)備安裝裝 PAGEREF _Toc465850101 h 26 HYPERLINK l _Toc465850102 （3）規(guī)規(guī)則配置置 PAGEREF _Toc465850102 h 27 HYPERLINK l _Toc

7、465850103 （4）網(wǎng)網(wǎng)絡(luò)安全全管理員員培訓(xùn) PAGEREF _Toc465850103 h 227 HYPERLINK l _Toc465850104 （5）網(wǎng)網(wǎng)絡(luò)安全全審核 PAGEREF _Toc465850104 h 227 HYPERLINK l _Toc465850105 第七章產(chǎn)產(chǎn)品類別別、報價價與售后后服務(wù) PAGEREF _Toc465850105 h 227 HYPERLINK l _Toc465850106 （1）產(chǎn)產(chǎn)品類別別 PAGEREF _Toc465850106 h 27天創(chuàng)半導(dǎo)導(dǎo)體公司司內(nèi)部網(wǎng)網(wǎng)絡(luò)安全全解決方方案目錄：第一章 引言二十一世世紀(jì)是信信息化世世

8、紀(jì)，隨隨著Innterrnett的迅猛猛發(fā)展,信息共共享的程程度進(jìn)一一步提高高,數(shù)字字信息越越來越深深入的影影響著社社會生活活的各個個方面，而而網(wǎng)絡(luò)上上的信息息安全問問題也日日益突出出。目前前政府部部門、金金融部門門、醫(yī)療療、企事事業(yè)單位位和個人人都日益益重視這這一重要要問題。大、中中型企業(yè)業(yè)如何保保護(hù)信息息安全和和網(wǎng)絡(luò)安安全，最最大限度度的減少少或避免免因信息息泄密、破壞等等安全問問題所造造成的經(jīng)經(jīng)濟(jì)損失失及對企企業(yè)形象象的影響響，是擺擺在我們們面前亟亟需妥善善解決的的一項具具有重大大戰(zhàn)略意意義的課課題。網(wǎng)絡(luò)的飛飛速發(fā)展展推動社社會的發(fā)發(fā)展，大大批用戶戶借助網(wǎng)網(wǎng)絡(luò)極大大地提高高了工作作效率，

9、創(chuàng)創(chuàng)造了一一些全新新的工作作方式，尤尤其是因因特網(wǎng)的的出現(xiàn)更更給用戶戶帶來了了巨大的的方便。但另一一方面，網(wǎng)網(wǎng)絡(luò)，特特別是因因特網(wǎng)存存在著極極大的安安全隱患患。近年年來，因因特網(wǎng)上上的安全全事故屢屢有發(fā)生生。連入入因特網(wǎng)網(wǎng)的用戶戶面臨諸諸多的安安全風(fēng)險險：拒絕絕服務(wù)、信息泄泄密、信信息篡改改、資源源盜用、聲譽損損害等等等。類似似的風(fēng)險險也存在在于其它它的互聯(lián)聯(lián)網(wǎng)絡(luò)中中。這些些安全風(fēng)風(fēng)險的存存在阻礙礙了計算算機網(wǎng)絡(luò)絡(luò)的應(yīng)用用與發(fā)展展。在網(wǎng)網(wǎng)絡(luò)化、信息化化的進(jìn)程程不可逆逆轉(zhuǎn)的形形勢下，建建立安全全可靠的的網(wǎng)絡(luò)信信息系統(tǒng)統(tǒng)是一種種必然選選擇。一個系統(tǒng)統(tǒng)的安全全性可從從三個層層次考慮慮：第一層是是存放

10、數(shù)數(shù)據(jù)資源源的服務(wù)務(wù)器組；第二層是是傳輸數(shù)數(shù)據(jù)的網(wǎng)網(wǎng)絡(luò)；第三層是是需要訪訪問數(shù)據(jù)據(jù)的客戶戶機。對于一個個與互聯(lián)聯(lián)網(wǎng)相連連的網(wǎng)絡(luò)絡(luò)，首先先要防止止來自外外部的惡惡意攻擊擊，同時時還要保保證系統(tǒng)統(tǒng)內(nèi)部所所有計算算機的不不受病毒毒侵?jǐn)_，能能夠數(shù)據(jù)據(jù)系統(tǒng)正正常應(yīng)用用。第二章 網(wǎng)絡(luò)信信息安全全概況(1）網(wǎng)網(wǎng)絡(luò)安全全計算機安安全事業(yè)業(yè)始于本本世紀(jì)660年代代末期，由于當(dāng)當(dāng)時計算算機的速速度和性性能較落落后，使使用的范范圍也不不廣，再再加上美美國政府府把它當(dāng)當(dāng)作敏感感問題而而施加控控制，因因此，有有關(guān)計算算機安全全的研究究一直局局限在比比較小的的范圍內(nèi)內(nèi)。進(jìn)入入80年年代后，計計算機的的性能得得到了成成百上

11、千千倍的提提高，應(yīng)應(yīng)用的范范圍也在在不斷擴擴大，計計算機已已遍及世世界各個個角落。并且，人人們利用用通信網(wǎng)網(wǎng)絡(luò)把孤孤立的單單機系統(tǒng)統(tǒng)連接起起來，相相互通信信和共享享資源。但是，隨隨之而來來并日益益嚴(yán)峻的的問題就就是計算算機信息息的安全全問題。由于計算算機信息息有共享享和易于于擴散等等特性，它它在處理理、存儲儲、傳輸輸和使用用上有著著嚴(yán)重的的脆弱性性，很容容易被干干擾、濫濫用、遺遺漏和丟丟失，甚甚至被泄泄露、竊竊取、篡篡改、冒冒充和破破壞，還還有可能能受到計計算機病病毒的感感染。計算機安安全的內(nèi)內(nèi)容應(yīng)包包括兩方方面：即即物理安安全和邏邏輯安全全。物理理安全指指系統(tǒng)設(shè)設(shè)備及相相關(guān)設(shè)施施受到物物理保

12、護(hù)護(hù)，免于于破壞、丟失等等。邏輯輯安全包包括信息息完整性性、保密密性和可可用性。一個系系統(tǒng)存在在的安全全問題可可能主要要來源于于兩方面面：或者者是安全全控制機機構(gòu)有故故障；或或者是系系統(tǒng)安全全定義有有缺陷。(2）網(wǎng)網(wǎng)絡(luò)安全全的威脅脅來自哪哪些方面面？由于大型型網(wǎng)絡(luò)系系統(tǒng)內(nèi)運運行多種種網(wǎng)絡(luò)協(xié)協(xié)議（TTCP/IP, IPPX/SSPX, NEETBEEUI），而而這些網(wǎng)網(wǎng)絡(luò)協(xié)議議并非專專為安全全通訊而而設(shè)計。所以，網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)網(wǎng)絡(luò)可可能存在在的安全全威脅來來自以下下方面：操作系統(tǒng)統(tǒng)的安全全性。目目前流行行的許多多操作系系統(tǒng)均存存在網(wǎng)絡(luò)絡(luò)安全漏漏洞，如如UNIIX服務(wù)務(wù)器，NNT服務(wù)務(wù)器及WWind

13、dowss桌面PPC。防火墻的的安全性性。防火火墻產(chǎn)品品自身是是否安全全，是否否設(shè)置錯錯誤，需需要經(jīng)過過檢驗。來自內(nèi)部部網(wǎng)用戶戶的安全全威脅。缺乏有有效的手手段監(jiān)視視、評估估網(wǎng)絡(luò)系系統(tǒng)的安安全性。采用的TTCP/IP協(xié)協(xié)議族軟軟件，本本身缺乏乏安全性性。未能能對來自自Intternnet的的電子郵郵件挾帶帶的病毒毒及Weeb瀏覽覽可能存存在的惡惡意Jaava/ActtiveeX控件件進(jìn)行有有效控制制。應(yīng)用服務(wù)務(wù)的安全全，許多多應(yīng)用服服務(wù)系統(tǒng)統(tǒng)在訪問問控制及及安全通通訊方面面考慮較較少，并并且，如如果系統(tǒng)統(tǒng)設(shè)置錯錯誤，很很容易造造成損失失。(3）不不安全造造成的危危害有多多大？根據(jù)美國國FBII

14、的調(diào)查查，美國國每年因因為網(wǎng)絡(luò)絡(luò)安全造造成的經(jīng)經(jīng)濟(jì)損失失超過11,700億美元元。755%的公公司報告告財政損損失是由由于計算算機系統(tǒng)統(tǒng)的安全全問題造造成的。超過550%的的安全威威脅來自自內(nèi)部；只有117%的的公司愿愿意報告告黑客入入侵，其其他的由由于擔(dān)心心負(fù)面影影響而未未聲張。59%的損失失可以定定量估算算。平均均每個組組織損失失USDD$4002,0000。 入侵的來來源：首首先是內(nèi)內(nèi)部心懷懷不滿的的員工；其次為為黑客；另外還還有競爭爭者。無無論是有有意的攻攻擊，還還是無意意的誤操操作，都都將會給給系統(tǒng)帶帶來不可可估量的的損失。攻擊者者可以竊竊聽網(wǎng)絡(luò)絡(luò)上的信信息，竊竊取用戶戶的口令令、應(yīng)

15、用用數(shù)據(jù)庫庫中的重要數(shù)數(shù)據(jù)；還還可以篡篡改數(shù)據(jù)據(jù)庫內(nèi)容容，偽造造用戶身身份，信信任自己己的簽名名。更有有甚者，攻攻擊者可可以刪除除數(shù)據(jù)庫庫內(nèi)容，摧摧毀網(wǎng)絡(luò)絡(luò)節(jié)點，釋釋放計算算機病毒毒等等。黑客的威威脅見諸諸報道的的已經(jīng)屢屢見不鮮鮮，象貴貴州省城城熱線、成都藝藝術(shù)節(jié)主主頁等都都報道有有黑客入入侵，他他們在主主頁上發(fā)發(fā)布反動動口號，或或?qū)⒅黜擁撔薷某沙牲S色畫畫面。受受到此類類攻擊對對于政府府部門，大大型企業(yè)業(yè)而言影影響是尤尤為惡劣劣的。前前段時間間美國微微軟公司司遭黑客客攻擊事事件就是是由于它它的內(nèi)外外網(wǎng)隔離離存在漏漏洞，使使得黑客客成功竊竊取它的的軟件源源代碼等等機密資資料，嚴(yán)嚴(yán)重威脅脅到企業(yè)業(yè)

16、的聲譽譽。這樣樣的例子子舉不勝勝舉，網(wǎng)網(wǎng)絡(luò)安全全建設(shè)已已經(jīng)迫在在眉睫了了。(4）系系統(tǒng)的安安全應(yīng)具具備那些些功能？與其它安安全體系系（如保保安系統(tǒng)統(tǒng)）類似似，網(wǎng)絡(luò)絡(luò)應(yīng)用系系統(tǒng)的安安全體系系應(yīng)包含含：訪問控制制通過對特特定網(wǎng)段段、服務(wù)務(wù)建立的的訪問控控制體系系，將絕絕大多數(shù)數(shù)攻擊阻阻止在到到達(dá)攻擊擊目標(biāo)之之前。檢查安全全漏洞通過對安安全漏洞洞的周期期檢查，即即使攻擊擊可到達(dá)達(dá)攻擊目目標(biāo)，也也可使絕絕大多數(shù)數(shù)攻擊無無效。攻擊監(jiān)控控通過對特特定網(wǎng)段段、服務(wù)務(wù)建立的的攻擊監(jiān)監(jiān)控體系系，可實實時檢測測出絕大大多數(shù)攻攻擊，并并采取相相應(yīng)的行行動（如如斷開網(wǎng)網(wǎng)絡(luò)連接接、記錄錄攻擊過過程、跟跟蹤攻擊擊源等）。

17、加密通訊訊主動的加加密通訊訊，可使使攻擊者者不能了了解、修修改敏感感信息。認(rèn)證良好的認(rèn)認(rèn)證體系系可防止止攻擊者者假冒合合法用戶戶。備份和恢恢復(fù)良好的備備份和恢恢復(fù)機制制，可在在攻擊造造成損失失時，盡盡快地恢恢復(fù)數(shù)據(jù)據(jù)和系統(tǒng)統(tǒng)服務(wù)。多層防御御攻擊者在在突破第第一道防防線后，延延緩或阻阻斷其到到達(dá)攻擊擊目標(biāo)。隱藏內(nèi)部部信息使攻擊者者不能了了解系統(tǒng)統(tǒng)內(nèi)的基基本情況況。(5）防防火墻系系統(tǒng)的安安全設(shè)置置問題近年來大大家如果果提到網(wǎng)網(wǎng)絡(luò)信息息安全，可可能最為為熟識的的可能就就是防火火墻系統(tǒng)統(tǒng)。它不不失為一一種在內(nèi)內(nèi)部網(wǎng)和和外部網(wǎng)網(wǎng)之間實實施的信信息安全全防范系系統(tǒng)，這這種計算算機網(wǎng)絡(luò)絡(luò)互聯(lián)環(huán)環(huán)境下的的訪

18、問控控制技術(shù)術(shù)，通過過監(jiān)測、限制、更改跨跨越防火火墻的數(shù)數(shù)據(jù)流，可可以有效效地對外外屏蔽被被保護(hù)網(wǎng)網(wǎng)絡(luò)的信信息，從從而對系系統(tǒng)結(jié)構(gòu)構(gòu)及其良良性運行行等實現(xiàn)現(xiàn)安全防防護(hù)。因因此，許許多管理理員認(rèn)為為，計算算機網(wǎng)絡(luò)絡(luò)裝上防防火墻，就就可以“高枕無無憂”、“萬事大大吉 ”了。其其實，這這是一種種片面的的錯誤認(rèn)認(rèn)識和十十分令人人擔(dān)心的的危險想想法。因因為防火火墻并不不是萬能能的，它它的技術(shù)術(shù)不可能能一勞永永逸和真真正達(dá)到到“萬無一一失”，它的的“權(quán)力 ”是有限限的，在在計算機機網(wǎng)絡(luò)上上，它也也有“管不著著”、“管不了了”的地方方，或者者說也有有許多“難言之之隱”。A防內(nèi)不不防外。現(xiàn)在在市市面上比比較流

19、行行的防火火墻大都都是邊界界防火墻墻，它們們在網(wǎng)絡(luò)絡(luò)的邊界界上進(jìn)行行外部網(wǎng)網(wǎng)絡(luò)和內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)的劃分分，并進(jìn)進(jìn)行一定定程度的的安全防防范。而而這些防防火墻一一般只對對來自外外部網(wǎng)絡(luò)絡(luò)進(jìn)行防防范。如如果入侵侵者繞過過了防火火墻或內(nèi)內(nèi)部攻擊擊者將能能在內(nèi)部部網(wǎng)絡(luò)暢暢行無阻阻，肆意意攻擊。B不能防防止數(shù)據(jù)據(jù)驅(qū)動式式攻擊防火墻不不能防止止數(shù)據(jù)驅(qū)驅(qū)動式的的攻擊。當(dāng)有些些表面看看起來無無害的數(shù)數(shù)據(jù)通過過郵寄或或拷貝到到內(nèi)部網(wǎng)網(wǎng)的主機機上并被被執(zhí)行時時，就會會發(fā)生數(shù)數(shù)據(jù)驅(qū)動動式的攻攻擊。C不能防防止非法法通道的的出現(xiàn)防火墻不不能防止止非法通通道的出出現(xiàn)，如如果在內(nèi)內(nèi)部網(wǎng)絡(luò)絡(luò)有人使使用貓或或其他設(shè)設(shè)備通過過其他

20、的的方法接接入互聯(lián)聯(lián)網(wǎng)，那那么防火火墻將不不能防止止此類問問題的出出現(xiàn)。D不能防防止DDD.o.S攻擊擊防火墻本本身就是是一種網(wǎng)網(wǎng)絡(luò)設(shè)備備，當(dāng)超超大流量量的數(shù)據(jù)據(jù)通過它它的時候候，它同同樣有可可能來不不及處理理各種數(shù)數(shù)據(jù)而造造成拒絕絕服務(wù)攻攻擊。而而且安全全策略越越多，造造成拒絕絕服務(wù)的的可能性性就越大大。E防火墻墻自身漏漏洞防火墻同同樣是一一種運行行在硬件件上的軟軟件產(chǎn)品品（不管管是硬件件防火墻墻還是軟軟件防火火墻），而而軟件就就一定不不可避免免的出現(xiàn)現(xiàn)一些問問題，也也會帶來來安全問問題。世世界上最最出名的的各種防防火墻本本身都出出現(xiàn)過安安全問題題。（6）安安全隱患患對于計算算數(shù)據(jù)而而言存在

21、在眾多的的隱患，如如病毒的的破壞，計計算機存存儲設(shè)備備損壞造造成的數(shù)數(shù)據(jù)丟失失，人為為操作造造成的誤誤刪除，外外來及內(nèi)內(nèi)部人員員的攻擊擊等；給給企業(yè)數(shù)數(shù)據(jù)信息息安全造造成了重重大的威威脅。第三章 網(wǎng)絡(luò)安安全方案案總體設(shè)設(shè)計（1）安安全方案案設(shè)計原原則在對這個個企業(yè)局局域網(wǎng)網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全方方案設(shè)計計、規(guī)劃劃時，應(yīng)應(yīng)遵循以以下原則則：綜合性、整體性性原則：應(yīng)用系系統(tǒng)工程程的觀點點、方法法，分析析網(wǎng)絡(luò)的的安全及及具體措措施。安安全措施施主要包包括：行行政法律律手段、各種管管理制度度（人員員審查、工作流流程、維維護(hù)保障障制度等等）以及及專業(yè)措措施（識識別技術(shù)術(shù)、存取取控制、密碼、低輻射射、容錯錯、防

22、病病毒、采采用高安安全產(chǎn)品品等）。一個較較好的安安全措施施往往是是多種方方法適當(dāng)當(dāng)綜合的的應(yīng)用結(jié)結(jié)果。一一個計算算機網(wǎng)絡(luò)絡(luò)，包括括個人、設(shè)備、軟件、數(shù)據(jù)等等。這些些環(huán)節(jié)在在網(wǎng)絡(luò)中中的地位位和影響響作用，也也只有從從系統(tǒng)綜綜合整體體的角度度去看待待、分析析，才能能取得有有效、可可行的措措施。即即計算機機網(wǎng)絡(luò)安安全應(yīng)遵遵循整體體安全性性原則，根根據(jù)規(guī)定定的安全全策略制制定出合合理的網(wǎng)網(wǎng)絡(luò)安全全體系結(jié)結(jié)構(gòu)。需求、風(fēng)風(fēng)險、代代價平衡衡的原則則：對任任一網(wǎng)絡(luò)絡(luò)，絕對對安全難難以達(dá)到到，也不不一定是是必要的的。對一一個網(wǎng)絡(luò)絡(luò)進(jìn)行實實際額研研究（包包括任務(wù)務(wù)、性能能、結(jié)構(gòu)構(gòu)、可靠靠性、可可維護(hù)性性等），并并

23、對網(wǎng)絡(luò)絡(luò)面臨的的威脅及及可能承承擔(dān)的風(fēng)風(fēng)險進(jìn)行行定性與與定量相相結(jié)合的的分析，然然后制定定規(guī)范和和措施，確確定本系系統(tǒng)的安安全策略略。一致性原原則：一一致性原原則主要要是指網(wǎng)網(wǎng)絡(luò)安全全問題應(yīng)應(yīng)與整個個網(wǎng)絡(luò)的的工作周周期（或或生命周周期）同同時存在在，制定定的安全全體系結(jié)結(jié)構(gòu)必須須與網(wǎng)絡(luò)絡(luò)的安全全需求相相一致。安全的的網(wǎng)絡(luò)系系統(tǒng)設(shè)計計（包括括初步或或詳細(xì)設(shè)設(shè)計）及及實施計計劃、網(wǎng)網(wǎng)絡(luò)驗證證、驗收收、運行行等，都都要有安安全的內(nèi)內(nèi)容光煥煥發(fā)及措措施，實實際上，在在網(wǎng)絡(luò)建建設(shè)的開開始就考考慮網(wǎng)絡(luò)絡(luò)安全對對策，比比在網(wǎng)絡(luò)絡(luò)建設(shè)好好后再考考慮安全全措施，不不但容易易，且花花費也小小得多。易操作性性原則：

24、安全措措施需要要人為去去完成，如如果措施施過于復(fù)復(fù)雜，對對人的要要求過高高，本身身就降低低了安全全性。其其次，措措施的采采用不能能影響系系統(tǒng)的正正常運行行。分步實施施原則：由于網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)及其應(yīng)應(yīng)用擴展展范圍廣廣闊，隨隨著網(wǎng)絡(luò)絡(luò)規(guī)模的的擴大及及應(yīng)用的的增加，網(wǎng)網(wǎng)絡(luò)脆弱弱性也會會不斷增增加。一一勞永逸逸地解決決網(wǎng)絡(luò)安安全問題題是不現(xiàn)現(xiàn)實的。同時由由于實施施信息安安全措施施需相當(dāng)當(dāng)?shù)馁M用用支出。因此分分步實施施，即可可滿足網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)及信息息安全的的基本需需求，亦亦可節(jié)省省費用開開支。多重保護(hù)護(hù)原則：任何安安全措施施都不是是絕對安安全的，都都可能被被攻破。但是建建立一個個多重保保護(hù)系統(tǒng)統(tǒng)，各層層保

25、護(hù)相相互補充充，當(dāng)一一層保護(hù)護(hù)被攻破破時，其其它層保保護(hù)仍可可保護(hù)信信息的安安全?？稍u價性性原則：如何預(yù)預(yù)先評價價一個安安全設(shè)計計并驗證證其網(wǎng)絡(luò)絡(luò)的安全全性，這這需要通通過國家家有關(guān)網(wǎng)網(wǎng)絡(luò)信息息安全測測評認(rèn)證證機構(gòu)的的評估來來實現(xiàn)。（2）安安全服務(wù)務(wù)、機制制與技術(shù)術(shù)安全服務(wù)務(wù)：安全全服務(wù)主主要有：控制服服務(wù)、對對象認(rèn)證證服務(wù)、可靠性性服務(wù)等等；安全機制制：訪問問控制機機制、認(rèn)認(rèn)證機制制等；安全技術(shù)術(shù)：防火火墻技術(shù)術(shù)、鑒別別技術(shù)、審計監(jiān)監(jiān)控技術(shù)術(shù)、病毒毒防治技技術(shù)等；在安全全的開放放環(huán)境中中，用戶戶可以使使用各種種安全應(yīng)應(yīng)用。安安全應(yīng)用用由一些些安全服服務(wù)來實實現(xiàn)；而而安全服服務(wù)又是是由各種種安

26、全機機制或安安全技術(shù)術(shù)來實現(xiàn)現(xiàn)的。應(yīng)應(yīng)當(dāng)指出出，同一一安全機機制有時時也可以以用于實實現(xiàn)不同同的安全全服務(wù)。（3）網(wǎng)網(wǎng)絡(luò)安全全體系結(jié)結(jié)構(gòu)通過對網(wǎng)網(wǎng)絡(luò)的全全面了解解，按照照安全策策略的要要求、風(fēng)風(fēng)險分析析的結(jié)果果及整個個網(wǎng)絡(luò)的的安全目目標(biāo)，整整個網(wǎng)絡(luò)絡(luò)措施應(yīng)應(yīng)按系統(tǒng)統(tǒng)體系建建立。具具體的安安全控制制系統(tǒng)由由以下幾幾個方面面組成：物理安安全、網(wǎng)網(wǎng)絡(luò)安全全、系統(tǒng)統(tǒng)安全、信息安安全、應(yīng)應(yīng)用安全全和安全全管理物理安全全保證計算算機信息息系統(tǒng)各各種設(shè)備備的物理理安全是是整個計計算機信信息系統(tǒng)統(tǒng)安全的的前提，物物理安全全是保護(hù)護(hù)計算機機網(wǎng)絡(luò)設(shè)設(shè)備、設(shè)設(shè)施以及及其它媒媒體免遭遭地震、水災(zāi)、火災(zāi)等等環(huán)境事事故以

27、及及人為操操作失誤誤或錯誤誤及各種種計算機機犯罪行行為導(dǎo)致致的破壞壞過程。它主要要包括三三個方面面：環(huán)境安全全對系統(tǒng)所所在環(huán)境境的安全全保護(hù)，如如區(qū)域保保護(hù)和災(zāi)災(zāi)難保護(hù)護(hù)；（參參見國家家標(biāo)準(zhǔn)GGB5001733933電子子計算機機機房設(shè)設(shè)計規(guī)范范、國國標(biāo)GBB28887889計計算站場場地技術(shù)術(shù)條件、GB993611888計算算站場地地安全要要求設(shè)備安全全主要包括括設(shè)備的的防盜、防毀、防電磁磁信息輻輻射泄漏漏、防止止線路截截獲、抗抗電磁干干擾及電電源保護(hù)護(hù)等；媒體安全全包括媒體體數(shù)據(jù)的的安全及及媒體本本身的安安全。在網(wǎng)絡(luò)的的安全方方面，主主要考慮慮兩個大大的層次次，一是是整個網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)成熟化

28、化，主要要是優(yōu)化化網(wǎng)絡(luò)結(jié)結(jié)構(gòu)，二二是整個個網(wǎng)絡(luò)系系統(tǒng)的安安全。網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)安全系統(tǒng)統(tǒng)是建立立在網(wǎng)絡(luò)絡(luò)系統(tǒng)之之上的，網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)的安全全是安全全系統(tǒng)成成功建立立的基礎(chǔ)礎(chǔ)。在整整個網(wǎng)絡(luò)絡(luò)結(jié)構(gòu)的的安全方方面，主主要考慮慮網(wǎng)絡(luò)結(jié)結(jié)構(gòu)、系系統(tǒng)和路路由的優(yōu)優(yōu)化。網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)的建立立要考慮慮環(huán)境、設(shè)備配配置與應(yīng)應(yīng)用情況況、遠(yuǎn)程程聯(lián)網(wǎng)方方式、通通信量的的估算、網(wǎng)絡(luò)維維護(hù)管理理、網(wǎng)絡(luò)絡(luò)應(yīng)用與與業(yè)務(wù)定定位等因因素。成成熟的網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)應(yīng)具有有開放性性、標(biāo)準(zhǔn)準(zhǔn)化、可可靠性、先進(jìn)性性和實用用性，并并且應(yīng)該該有結(jié)構(gòu)構(gòu)化的設(shè)設(shè)計，充充分利用用現(xiàn)有資資源，具具有運營營管理的的簡便性性，完善善的安全全保障體體系。網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)采用

29、分分層的體體系結(jié)構(gòu)構(gòu)，利于于維護(hù)管管理，利利于更高高的安全全控制和和業(yè)務(wù)發(fā)發(fā)展。網(wǎng)網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)的優(yōu)化化，在網(wǎng)網(wǎng)絡(luò)拓?fù)鋼渖现饕紤]到到冗余鏈鏈路；防防火墻的的設(shè)置和和入侵檢檢測的實實時監(jiān)控控等。網(wǎng)絡(luò)系統(tǒng)統(tǒng)安全訪問控制制及內(nèi)外外網(wǎng)的隔隔離訪問控制制訪問控制制可以通通過如下下幾個方方面來實實現(xiàn)：制制訂嚴(yán)格格的管理理制度:可制定定的相應(yīng)應(yīng)：用用戶授權(quán)權(quán)實施細(xì)細(xì)則、口令令字及帳帳戶管理理規(guī)范、權(quán)限限管理制制度。配備相應(yīng)應(yīng)的安全全設(shè)備在內(nèi)部網(wǎng)網(wǎng)與外部部網(wǎng)之間間，設(shè)置置防火墻墻實現(xiàn)內(nèi)內(nèi)外網(wǎng)的的隔離與與訪問控控制是保保護(hù)內(nèi)部部網(wǎng)安全全的最主主要、同同時也是是最有效效、最經(jīng)經(jīng)濟(jì)的措措施之一一。防火火墻設(shè)置置在不

30、同同網(wǎng)絡(luò)或或網(wǎng)絡(luò)安安全域之之間信息息的唯一一出入口口。防火墻主主要的種種類是包包過濾型型，包過過濾防火火墻一般般利用IIP和TTCP包包的頭信信息對進(jìn)進(jìn)出被保保護(hù)網(wǎng)絡(luò)絡(luò)的IPP包信息息進(jìn)行過過濾，能能根據(jù)企企業(yè)的安安全政策策來控制制（允許許、拒絕絕、監(jiān)測測）出入入網(wǎng)絡(luò)的的信息流流。同時時可實現(xiàn)現(xiàn)網(wǎng)絡(luò)地地址轉(zhuǎn)換換（NAAT）、審記與與實時告告警等功功能。由由于這種種防火墻墻安裝在在被保護(hù)護(hù)網(wǎng)絡(luò)與與路由器器之間的的通道上上，因此此也對被被保護(hù)網(wǎng)網(wǎng)絡(luò)和外外部網(wǎng)絡(luò)絡(luò)起到隔隔離作用用。防火墻具具有以下下五大基基本功能能：過濾濾進(jìn)、出出網(wǎng)絡(luò)的的數(shù)據(jù)；管理進(jìn)進(jìn)、出網(wǎng)網(wǎng)絡(luò)的訪訪問行為為；封堵堵某些禁禁止的業(yè)業(yè)

31、務(wù)；記記錄通過過防火墻墻的信息息內(nèi)容和和活動；對網(wǎng)絡(luò)絡(luò)攻擊的的檢測和和告警。內(nèi)部網(wǎng)不不同網(wǎng)絡(luò)絡(luò)安全域域的隔離離及訪問問控制在這里，主主要利用用VLAAN技術(shù)術(shù)來實現(xiàn)現(xiàn)對內(nèi)部部子網(wǎng)的的物理隔隔離。通通過在交交換機上上劃分VVLANN可以將將整個網(wǎng)網(wǎng)絡(luò)劃分分為幾個個不同的的廣播域域，實現(xiàn)現(xiàn)內(nèi)部一一個網(wǎng)段段與另一一個網(wǎng)段段的物理理隔離。這樣，就就能防止止影響一一個網(wǎng)段段的問題題穿過整整個網(wǎng)絡(luò)絡(luò)傳播。針對某某些網(wǎng)絡(luò)絡(luò)，在某某些情況況下，它它的一些些局域網(wǎng)網(wǎng)的某個個網(wǎng)段比比另一個個網(wǎng)段更更受信任任，或者者某個網(wǎng)網(wǎng)段比另另一個更更敏感。通過將將信任網(wǎng)網(wǎng)段與不不信任網(wǎng)網(wǎng)段劃分分在不同同的VLLAN段段內(nèi)，就

32、就可以限限制局部部網(wǎng)絡(luò)安安全問題題對全局局網(wǎng)絡(luò)造造成的影影響。網(wǎng)絡(luò)安全全檢測網(wǎng)絡(luò)系統(tǒng)統(tǒng)的安全全性取決決于網(wǎng)絡(luò)絡(luò)系統(tǒng)中中最薄弱弱的環(huán)節(jié)節(jié)。如何何及時發(fā)發(fā)現(xiàn)網(wǎng)絡(luò)絡(luò)系統(tǒng)中中最薄弱弱的環(huán)節(jié)節(jié)？如何何最大限限度地保保證網(wǎng)絡(luò)絡(luò)系統(tǒng)的的安全？最有效效的方法法是定期期對網(wǎng)絡(luò)絡(luò)系統(tǒng)進(jìn)進(jìn)行安全全性分析析，及時時發(fā)現(xiàn)并并修正存存在的弱弱點和漏漏洞。網(wǎng)絡(luò)安全全檢測工工具通常常是一個個網(wǎng)絡(luò)安安全性評評估分析析軟件，其其功能是是用實踐踐性的方方法掃描描分析網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)，檢查查報告系系統(tǒng)存在在的弱點點和漏洞洞，建議議補救措措施和安安全策略略，達(dá)到到增強網(wǎng)網(wǎng)絡(luò)安全全性的目目的。檢檢測工具具應(yīng)具備備以下功功能：具具備網(wǎng)絡(luò)絡(luò)監(jiān)控

33、、分析和和自動響響應(yīng)功能能找出經(jīng)經(jīng)常發(fā)生生問題的的根源所所在；建建立必要要的循環(huán)環(huán)過程確確保隱患患時刻被被糾正；控制各各種網(wǎng)絡(luò)絡(luò)安全危危險。漏洞分析析和響應(yīng)應(yīng)配置分析析和響應(yīng)應(yīng)漏洞形勢勢分析和和響應(yīng)認(rèn)證和趨趨勢分析析具體體現(xiàn)現(xiàn)在以下下方面：防火墻得得到合理理配置內(nèi)外WEEB站點點的安全全漏洞減減為最低低網(wǎng)絡(luò)體系系達(dá)到強強壯的耐耐攻擊性性各種服務(wù)務(wù)器操作作系統(tǒng)，如如E_MMIALL服務(wù)器器、WEEB服務(wù)務(wù)器、應(yīng)應(yīng)用服務(wù)務(wù)器、，將將受黑客客攻擊的的可能降降為最低低對網(wǎng)絡(luò)訪訪問做出出有效響響應(yīng)，保保護(hù)重要要應(yīng)用系系統(tǒng)（如如財務(wù)系系統(tǒng)）數(shù)數(shù)據(jù)安全全不受黑黑客攻擊擊和內(nèi)部部人員誤誤操作的的侵害審計與監(jiān)監(jiān)

34、控審計是記記錄用戶戶使用計計算機網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)進(jìn)行所所有活動動的過程程，它是是提高安安全性的的重要工工具。它它不僅能能夠識別別誰訪問問了系統(tǒng)統(tǒng)，還能能看出系系統(tǒng)正被被怎樣地地使用。對于確確定是否否有網(wǎng)絡(luò)絡(luò)攻擊的的情況，審審計信息息對于去去定問題題和攻擊擊源很重重要。同同時，系系統(tǒng)事件件的記錄錄能夠更更迅速和和系統(tǒng)地地識別問問題，并并且它是是后面階階段事故故處理的的重要依依據(jù)。另另外，通通過對安安全事件件的不斷斷收集與與積累并并且加以以分析，有有選擇性性地對其其中的某某些站點點或用戶戶進(jìn)行審審計跟蹤蹤，以便便對發(fā)現(xiàn)現(xiàn)或可能能產(chǎn)生的的破壞性性行為提提供有力力的證據(jù)據(jù)。因此，除除使用一一般的網(wǎng)網(wǎng)管軟件

35、件和系統(tǒng)統(tǒng)監(jiān)控管管理系統(tǒng)統(tǒng)外，還還應(yīng)使用用目前較較為成熟熟的網(wǎng)絡(luò)絡(luò)監(jiān)控設(shè)設(shè)備或?qū)崒崟r入侵侵檢測設(shè)設(shè)備，以以便對進(jìn)進(jìn)出各級級局域網(wǎng)網(wǎng)的常見見操作進(jìn)進(jìn)行實時時檢查、監(jiān)控、報警和和阻斷，從從而防止止針對網(wǎng)網(wǎng)絡(luò)的攻攻擊與犯犯罪行為為。網(wǎng)絡(luò)防病病毒由于在網(wǎng)網(wǎng)絡(luò)環(huán)境境下，計計算機病病毒有不不可估量量的威脅脅性和破破壞力，一一次計算算機病毒毒的防范范是網(wǎng)絡(luò)絡(luò)安全性性建設(shè)中中重要的的一環(huán)。網(wǎng)絡(luò)反病病毒技術(shù)術(shù)包括預(yù)預(yù)防病毒毒、檢測測病毒和和消毒三三種技術(shù)術(shù)：A預(yù)防病病毒技術(shù)術(shù)：它通通過自身身常駐系系統(tǒng)內(nèi)存存，優(yōu)先先獲得系系統(tǒng)的控控制權(quán)，監(jiān)監(jiān)視和判判斷系統(tǒng)統(tǒng)中是否否有病毒毒存在，進(jìn)進(jìn)而阻止止計算機機病毒進(jìn)進(jìn)入計算

36、算機系統(tǒng)統(tǒng)和對系系統(tǒng)進(jìn)行行破壞。這類技技術(shù)有，加加密可執(zhí)執(zhí)行程序序、引導(dǎo)導(dǎo)區(qū)保護(hù)護(hù)、系統(tǒng)統(tǒng)監(jiān)控與與讀寫控控制（如如防病毒毒軟件等等）。B檢測病病毒技術(shù)術(shù)：它是是通過對對計算機機病毒的的特征來來進(jìn)行判判斷的技技術(shù)，如如自身校校驗、關(guān)關(guān)鍵字、文件長長度的變變化等。C清除病病毒技術(shù)術(shù)：它通通過對計計算機病病毒的分分析，開開發(fā)出具具有刪除除病毒程程序并恢恢復(fù)原文文件的軟軟件。網(wǎng)絡(luò)反病病毒技術(shù)術(shù)的具體體實現(xiàn)方方法包括括對網(wǎng)絡(luò)絡(luò)服務(wù)器器中的文文件進(jìn)行行頻繁地地掃描和和監(jiān)測；在工作作站上用用防病毒毒芯片和和對網(wǎng)絡(luò)絡(luò)目錄及及文件設(shè)設(shè)置訪問問權(quán)限等等。所選的防防毒軟件件應(yīng)該構(gòu)構(gòu)造全網(wǎng)網(wǎng)統(tǒng)一的的防病毒毒體系。主要

37、面面向MAAIL、Webb服務(wù)器器，以及及辦公網(wǎng)網(wǎng)段的PPC服務(wù)務(wù)器和PPC機等等。支持持對網(wǎng)絡(luò)絡(luò)、服務(wù)務(wù)器、和和工作站站的實時時病毒監(jiān)監(jiān)控；能能夠在中中心控制制臺向多多個目標(biāo)標(biāo)分發(fā)新新版殺毒毒軟件，并并監(jiān)視多多個目標(biāo)標(biāo)的病毒毒防治情情況；支支持多種種平臺的的病毒防防范；能能夠識別別廣泛的的已知和和未知病病毒，包包括宏病病毒；支支持對IInteerneet/IIntrraneet服務(wù)務(wù)器的病病毒防治治，能夠夠阻止惡惡意的JJavaa或AcctivveX小小程序的的破壞；支持對對電子郵郵件附件件的病毒毒防治，包包括WOORD、EXCCEL中中的宏病病毒；支支持對壓壓縮文件件的病毒毒檢測；支持廣廣

38、泛的病病毒處理理選項，如如對染毒毒文件進(jìn)進(jìn)行實時時殺毒，移移出，重重新命名名等；支支持病毒毒隔離，當(dāng)當(dāng)客戶機機試圖上上載一個個染毒文文件時，服服務(wù)器可可自動關(guān)關(guān)閉對該該工作站站的連接接；提供供對病毒毒特征信信息和檢檢測引擎擎的定期期在線更更新服務(wù)務(wù)；支持持日志記記錄功能能；支持持多種方方式的告告警功能能（聲音音、圖像像、電子子郵件等等）等。網(wǎng)絡(luò)備份份系統(tǒng)備份系統(tǒng)統(tǒng)為一個個目的而而存在：盡可能能快地全全盤恢復(fù)復(fù)運行計計算機系系統(tǒng)所需需的數(shù)據(jù)據(jù)和系統(tǒng)統(tǒng)信息。根據(jù)系系統(tǒng)安全全需求可可選擇的的備份機機制有：場點內(nèi)內(nèi)高速度度、大容容量自動動的數(shù)據(jù)據(jù)存儲、備份與與恢復(fù)；場點外外的數(shù)據(jù)據(jù)存儲、備份與與恢復(fù)；

39、對系統(tǒng)統(tǒng)設(shè)備的的備份。備份不不僅在網(wǎng)網(wǎng)絡(luò)系統(tǒng)統(tǒng)硬件故故障或人人為失誤誤時起到到保護(hù)作作用，也也在入侵侵者非授授權(quán)訪問問或?qū)W(wǎng)網(wǎng)絡(luò)攻擊擊及破壞壞數(shù)據(jù)完完整性時時起到保保護(hù)作用用，同時時亦是系系統(tǒng)災(zāi)難難恢復(fù)的的前提之之一。在確定備備份的指指導(dǎo)思想想和備份份方案之之后，就就要選擇擇安全的的存儲媒媒介和技技術(shù)進(jìn)行行數(shù)據(jù)備備份，有有“冷備份份”和“熱備份份”兩種。熱備份份是指“在線”的備份份，即下下載備份份的數(shù)據(jù)據(jù)還在整整個計算算機系統(tǒng)統(tǒng)和網(wǎng)絡(luò)絡(luò)中，只只不過傳傳到令一一個非工工作的分分區(qū)或是是另一個個非實時時處理的的業(yè)務(wù)系系統(tǒng)中存存放。“冷備份份”是指“不在線線”的備份份，下載載的備份份存放到到安全的的

40、存儲媒媒介中，而而這種存存儲媒介介與正在在運行的的整個計計算機系系統(tǒng)和網(wǎng)網(wǎng)絡(luò)沒有有直接聯(lián)聯(lián)系，在在系統(tǒng)恢恢復(fù)時重重新安裝裝，有一一部分原原始的數(shù)數(shù)據(jù)長期期保存并并作為查查詢使用用。熱備備份的優(yōu)優(yōu)點是投投資大，但但調(diào)用快快，使用用方便，在在系統(tǒng)恢恢復(fù)中需需要反復(fù)復(fù)調(diào)試時時更顯優(yōu)優(yōu)勢。熱熱備份的的具體做做法是：可以在在主機系系統(tǒng)開辟辟一塊非非工作運運行空間間，專門門存放備備份數(shù)據(jù)據(jù)，即分分區(qū)備份份；另一一種方法法是，將將數(shù)據(jù)備備份到另另一個子子系統(tǒng)中中，通過過主機系系統(tǒng)與子子系統(tǒng)之之間的傳傳輸，同同樣具有有速度快快和調(diào)用用方便的的特點，但但投資比比較昂貴貴。冷備備份彌補補了熱備備份的一一些不足足，

41、二者者優(yōu)勢互互補，相相輔相成成，因為為冷備份份在回避避風(fēng)險中中還具有有便于保保管的特特殊優(yōu)點點。系統(tǒng)安全全系統(tǒng)的安安全主要要是指操操作系統(tǒng)統(tǒng)、應(yīng)用用系統(tǒng)的的安全性性以及網(wǎng)網(wǎng)絡(luò)硬件件平臺的的可靠性性。對于于操作系系統(tǒng)的安安全防范范可以采采取如下下策略：對操作系系統(tǒng)進(jìn)行行安全配配置，提提高系統(tǒng)統(tǒng)的安全全性；系系統(tǒng)內(nèi)部部調(diào)用不不對Innterrnett公開；關(guān)鍵性性信息不不直接公公開，盡盡可能采采用安全全性高的的操作系系統(tǒng)。應(yīng)用系統(tǒng)統(tǒng)在開發(fā)發(fā)時，采采用規(guī)范范化的開開發(fā)過程程，盡可可能的減減少應(yīng)用用系統(tǒng)的的漏洞；網(wǎng)絡(luò)上的的服務(wù)器器和網(wǎng)絡(luò)絡(luò)設(shè)備盡盡可能不不采取同同一家的的產(chǎn)品；通過專業(yè)業(yè)的安全全工具（安

42、安全檢測測系統(tǒng)）定定期對網(wǎng)網(wǎng)絡(luò)進(jìn)行行安全評評估。信息安全全在這個企企業(yè)的局局域網(wǎng)內(nèi)內(nèi)，信息息主要在在內(nèi)部傳傳遞，因因此信息息被竊聽聽、篡改改的可能能性很小小，是比比較安全全的。應(yīng)用安全全在應(yīng)用安安全上，主主要考慮慮通信的的授權(quán)，傳傳輸?shù)募蛹用芎蛯弻徲嬘涗涗?。這必必須加強強登錄過過程的認(rèn)認(rèn)證（特特別使在在到達(dá)服服務(wù)器主主機之前前的認(rèn)證證），確確保用戶戶的合法法性；其其次應(yīng)該該嚴(yán)格限限制登錄錄者的操操作權(quán)限限，將其其完成的的操作限限制在最最小的范范圍內(nèi)。另外，在在加強主主機的管管理上，除除了上面面談的訪訪問控制制和系統(tǒng)統(tǒng)漏洞檢檢測外，還還可以采采用訪問問存取控控制，對對權(quán)限進(jìn)進(jìn)行分割割和管理理。應(yīng)

43、用用安全平平臺要加加強資源源目錄管管理和授授權(quán)管理理、傳輸輸加密、審計記記錄和安安全管理理。對應(yīng)應(yīng)用安全全，主要要考慮確確定不同同服務(wù)的的應(yīng)用軟軟件并緊緊密注視視其Buug；對對掃描軟軟件不斷斷升級。安全管理理為了保護(hù)護(hù)網(wǎng)絡(luò)的的安全性性，除了了在網(wǎng)絡(luò)絡(luò)設(shè)計上上增加安安全服務(wù)務(wù)功能，完完善系統(tǒng)統(tǒng)的安全全保密措措施外，安安全管理理規(guī)范也也是網(wǎng)絡(luò)絡(luò)安全所所必須的的。安全全管理策策略一方方面從純純粹的管管理上即即安全管管理規(guī)范范來實現(xiàn)現(xiàn)，另一一方面從從技術(shù)上上建立高高效的管管理平臺臺（包括括網(wǎng)絡(luò)管管理和安安全管理理）。安安全管理理策略主主要有：定義完完善的安安全管理理模型；建立長長遠(yuǎn)的并并且可實實施的

44、安安全策略略；徹底底貫徹規(guī)規(guī)范的安安全防范范措施；建立恰恰當(dāng)?shù)陌舶踩u估估尺度，并并且進(jìn)行行經(jīng)常性性的規(guī)則則審核。當(dāng)然，還還需要建建立高效效的管理理平臺。安全管理理規(guī)范面對網(wǎng)絡(luò)絡(luò)安全的的脆弱性性，除了了在網(wǎng)絡(luò)絡(luò)設(shè)計上上增加安安全服務(wù)務(wù)功能，完完善系統(tǒng)統(tǒng)的安全全保密措措施外，還還必須花花大力氣氣加強網(wǎng)網(wǎng)絡(luò)安全全管理規(guī)規(guī)范的建建立，因因為諸多多的不安安全因素素恰恰反反映在組組織管理理和人員員錄用等等方面，而而這又是是計算機機網(wǎng)絡(luò)安安全所必必須考慮慮的基本本問題，所所以應(yīng)引引起各計計算機網(wǎng)網(wǎng)絡(luò)應(yīng)用用部門領(lǐng)領(lǐng)導(dǎo)的重重視。A安全管管理原則則網(wǎng)絡(luò)信息息系統(tǒng)的的安全管管理主要要基于三三個原則則。多人負(fù)責(zé)責(zé)原

45、則：每一項項與安全全有關(guān)的的活動，都都必須有有兩人或或多人在在場。這這些人應(yīng)應(yīng)是系統(tǒng)統(tǒng)主管領(lǐng)領(lǐng)導(dǎo)指派派的，他他們忠誠誠可靠，能能勝任此此項工作作；他們們應(yīng)該簽簽署工作作情況記記錄以證證明安全全工作已已得到保保障。具具體的活活動有：訪問控制制使用證證件的發(fā)發(fā)放與回回收；信息處理理系統(tǒng)使使用的媒媒介發(fā)放放與回收收；處理保密密信息；硬件和軟軟件的維維護(hù)；系統(tǒng)軟件件的設(shè)計計、實現(xiàn)現(xiàn)和修改改；重要程序序和數(shù)據(jù)據(jù)的刪除除和銷毀毀等；任期有限限原則：一般地地講，任任何人最最好不要要長期擔(dān)擔(dān)任與安安全有關(guān)關(guān)的職務(wù)務(wù)，以免免使他認(rèn)認(rèn)為這個個職務(wù)是是專有的的或永久久性的。為遵循循任期有有限原則則，工作作人員應(yīng)應(yīng)不

46、定期期地循環(huán)環(huán)任職，強強制實行行休假制制度，并并規(guī)定對對工作人人員進(jìn)行行輪流培培訓(xùn)，以以使任期期有限制制度切實實可行。職責(zé)分離離原則：在信息息處理系系統(tǒng)工作作的人員員不要打打聽、了了解或參參與職責(zé)責(zé)以外的的任何與與安全有有關(guān)的事事情，除除非系統(tǒng)統(tǒng)主管領(lǐng)領(lǐng)導(dǎo)批準(zhǔn)準(zhǔn)。出于于對安全全的考慮慮，下面面每組內(nèi)內(nèi)的兩項項信息處處理工作作應(yīng)當(dāng)分分開。計算機操操作與計計算機編編程；機密資料料的接收收和傳送送；安全管理理和系統(tǒng)統(tǒng)管理；應(yīng)用程序序和系統(tǒng)統(tǒng)程序的的編制；訪問證件件的管理理與其它它工作；計算機操操作與信信息處理理系統(tǒng)使使用媒介介的保管管等。B安全管管理的實實現(xiàn)信息系統(tǒng)統(tǒng)的安全全管理部部門應(yīng)根根據(jù)管理理

47、原則和和該系統(tǒng)統(tǒng)處理數(shù)數(shù)據(jù)的保保密性，制制定相應(yīng)應(yīng)的管理理制度或或采用相相應(yīng)的規(guī)規(guī)范。具具體工作作是：根據(jù)工作作的重要要程度，確確定該系系統(tǒng)的安安全等級級根據(jù)確定定的安全全等級，確確定安全全管理的的范圍制訂相應(yīng)應(yīng)的機房房出入管管理制度度對于安安全等級級要求較較高的系系統(tǒng)，要要實行分分區(qū)控制制，限制制工作人人員出入入與己無無關(guān)的區(qū)區(qū)域。出出入管理理可采用用證件識識別或安安裝自動動識別登登記系統(tǒng)統(tǒng)，采用用磁卡、身份卡卡等手段段，對人人員進(jìn)行行識別、登記管管理制訂嚴(yán)格格的操作作規(guī)程操作規(guī)程程要根據(jù)據(jù)職責(zé)分分離和多多人負(fù)責(zé)責(zé)的原則則，各負(fù)負(fù)其責(zé)，不不能超越越自己的的管轄范范圍。制訂完備備的系統(tǒng)統(tǒng)維護(hù)制

48、制度對系統(tǒng)進(jìn)進(jìn)行維護(hù)護(hù)時，應(yīng)應(yīng)采取數(shù)數(shù)據(jù)保護(hù)護(hù)措施，如如數(shù)據(jù)備備份等。維護(hù)時時要首先先經(jīng)主管管部門批批準(zhǔn)，并并有安全全管理人人員在場場，故障障的原因因、維護(hù)護(hù)內(nèi)容和和維護(hù)前前后的情情況要詳詳細(xì)記錄錄。制訂應(yīng)急急措施要制定系系統(tǒng)在緊緊急情況況下，如如何盡快快恢復(fù)的的應(yīng)急措措施，使使損失減減至最小小。建立立人員雇雇用和解解聘制度度，對工工作調(diào)動動和離職職人員要要及時調(diào)調(diào)整響應(yīng)應(yīng)的授權(quán)權(quán)。網(wǎng)絡(luò)管理理管理員可可以在管管理機器器上對整整個內(nèi)部部網(wǎng)絡(luò)上上的網(wǎng)絡(luò)絡(luò)設(shè)備、安全設(shè)設(shè)備、網(wǎng)網(wǎng)絡(luò)上的的防病毒毒軟件、入侵檢檢測探測測器進(jìn)行行綜合管管理，同同時利用用安全分分析軟件件可以從從不同角角度對所所有的設(shè)設(shè)備、服

49、服務(wù)器、工作站站進(jìn)行安安全掃描描，分析析他們的的安全漏漏洞，并并采取相相應(yīng)的措措施。安全管理理安全管理理的主要要功能指指對安全全設(shè)備的的管理；監(jiān)視網(wǎng)網(wǎng)絡(luò)危險險情況，對對危險進(jìn)進(jìn)行隔離離，并把把危險控控制在最最小范圍圍內(nèi)；身身份認(rèn)證證，權(quán)限限設(shè)置；對資源源的存取取權(quán)限的的管理；對資源源或用戶戶動態(tài)的的或靜態(tài)態(tài)的審計計；對違違規(guī)事件件，自動動生成報報警或生生成事件件消息；口令管管理（如如操作員員的口令令鑒權(quán)），對對無權(quán)操操作人員員進(jìn)行控控制；密密鑰管理理：對于于與密鑰鑰相關(guān)的的服務(wù)器器，應(yīng)對對其設(shè)置置密鑰生生命期、密鑰備備份等管管理功能能；冗余余備份：為增加加網(wǎng)絡(luò)的的安全系系數(shù)，對對于關(guān)鍵鍵的服務(wù)

50、務(wù)器應(yīng)冗冗余備份份。安全全管理應(yīng)應(yīng)該從管管理制度度和管理理平臺技技術(shù)實現(xiàn)現(xiàn)兩個方方面來實實現(xiàn)。安安全管理理產(chǎn)品盡盡可能的的支持統(tǒng)統(tǒng)一的中中心控制制平臺。第四章 天創(chuàng)半導(dǎo)導(dǎo)體公司司安全需需求(1）當(dāng)當(dāng)前網(wǎng)絡(luò)絡(luò)現(xiàn)狀分分析當(dāng)前天創(chuàng)創(chuàng)公司已已經(jīng)實施施了INNTERRNETT入口的的防火墻墻隔離，MMAILL服務(wù)器器通過DDMZ區(qū)區(qū)與內(nèi)網(wǎng)網(wǎng)隔離，但但由于單單位的網(wǎng)網(wǎng)絡(luò)需要要擴展問問題，存存在著防防火墻端端口不夠夠用的情情況，且且對于采采用低性性能的防防火墻于于網(wǎng)絡(luò)將將造成很很大的網(wǎng)網(wǎng)絡(luò)通信信瓶頸，為為此我們們決定使使用六端端口的千千兆型防防火墻來來解決這這個問題題。從上圖可可以看到到，由于于是暴露露在D

51、MMZ區(qū)，所所以MAAIL服服務(wù)器在在應(yīng)用層層安全問問題是沒沒有保證證的（垃垃圾郵件件、郵件件病毒隨隨時都可可以通過過防火墻墻傳入MMAILL服務(wù)器器）；目目前內(nèi)網(wǎng)網(wǎng)的拓?fù)鋼涫遣捎糜脤ν馊忾]但但對內(nèi)全全開放的的格局而而工作的的，換言言之對于于內(nèi)網(wǎng)的的攻擊是是完全沒沒有免疫疫功能的的。(2)客客戶需求求A需要有有六個端端口，支支持VPPN。B需要能能監(jiān)控員員工的上上網(wǎng)數(shù)據(jù)據(jù)。例如如，我為為某位員員工開880端口口讓其能能上網(wǎng)，他他能正常常瀏覽網(wǎng)網(wǎng)頁，但但不能下下載某些些特定格格式的文文件，如如：*.mp33,*.rm。C能夠防防止員工工使用PP2P軟軟件進(jìn)行行文件傳傳輸，能能監(jiān)控員員工發(fā)送送

52、的E-MAIIL。D因有MMAILL服務(wù)器器，防火火墻能自自動偵測測到某個個IP長長時間連連接MAAIL服服務(wù)器，而而自動禁禁止此IIP一段段時間后后自動恢恢復(fù)。時時間及規(guī)規(guī)則可由由用戶在在防火墻墻上設(shè)置置的。（3）實實施目標(biāo)標(biāo)啟用防火火墻的VVPN功功能通過過PPTTP對網(wǎng)網(wǎng)絡(luò)進(jìn)行行VPNN服務(wù)與與管理；在防火火墻處啟啟用URRL過濾濾，禁止止員工訪訪問（下下載）*.mpp3、*.rmm文件；通過相相關(guān)的包包過濾規(guī)規(guī)則防止止員工在在內(nèi)網(wǎng)使使用特定定的工具具進(jìn)行文文件傳輸輸；配置置過濾網(wǎng)網(wǎng)關(guān)的郵郵件處理理規(guī)則對對客戶端端進(jìn)行相相應(yīng)的管管理，達(dá)達(dá)到優(yōu)化化MAIIL服務(wù)務(wù)的效果果。第五章 產(chǎn)品綜綜

53、述(1）安安氏LiinkTTrusstTMM CyyberrWalll防火火墻安氏領(lǐng)信信防火墻墻是亞洲洲最大的的信息安安全實驗驗室“IS-Onee Seecurrityy Laab”成功推推出的最最新一代代防火墻墻，產(chǎn)品品迅速獲獲得國家家認(rèn)證，被被中國人人民銀行行評選為為金融系系統(tǒng)指定定防火墻墻產(chǎn)品之之一，并并且在第第21屆屆世界大大學(xué)生運運動會，上上海APPEC會會議上大大顯身手手。領(lǐng)信防火火墻的設(shè)設(shè)計理念念從“頂尖技技術(shù)+人人性化”出發(fā)，充充分考慮慮防火墻墻的五大大要素：功能、性能、管理能能力、易易用性和和配置，體體貼用戶戶的真正正安全需需求。領(lǐng)信防火火墻采用用專門設(shè)設(shè)計的安安全操作作系統(tǒng)

54、LLTOSS和專用用搭載平平臺，提提供高度度可靠性性和可用用性。利利用安氏氏安全實實驗室申申請專利利LinnkTrrustt Poolliing技技術(shù)，提提升防火火墻的吞吞吐速度度，達(dá)到到內(nèi)核級級安全代代理機制制，是國國內(nèi)唯一一在線速速狀態(tài)下下工作的的最新一一代防火火墻。安氏安全全實驗室室采用多多種先進(jìn)進(jìn)數(shù)據(jù)加加密算法法，最大大限度提提高VPPN吞吐吐量。領(lǐng)領(lǐng)信防火火墻具有有業(yè)界唯唯一的端端口流量量鏡像功功能，實實現(xiàn)與世世界最先先進(jìn)入侵侵檢測系系統(tǒng)互動動；并為為用戶提提供友好好Webb管理界界面、命命令行管管理界面面和LCCD界面面。領(lǐng)信防火火墻的特特色包括括：狀態(tài)態(tài)檢測包包過濾技技術(shù)；多多種

55、服務(wù)務(wù)的內(nèi)核核級安全全代理；全面的的網(wǎng)絡(luò)地地址翻譯譯（NAAT）；IPssec VPNN和撥號號VPNN；高可可靠性（HA）；支持流量管理；內(nèi)容安全過濾；多種用戶認(rèn)證方案；完整日志、審計，告警和統(tǒng)計模塊；抗DOS攻擊能力（支持SYN Proxy）；內(nèi)嵌入侵檢測能力；支持多個ISP接入的負(fù)載均衡解決方案；支持詭異木馬的抵御；對ICMP攻擊免疫，基于時間的對象訪問控制；支持按策略與IDS協(xié)作。SmarrtPrroteectoor的主主要功能能為：基基于協(xié)議議分析和和攻擊特特征分析析技術(shù)，檢測并阻斷防火墻無法防止的攻擊，與防火墻互動修改相應(yīng)的防火墻規(guī)則，同時通過控制臺報警。SmartProtecto

56、r可以檢測包括：拒絕服務(wù)、端口掃描、Web IIS、Web Apache、DNS、在內(nèi)的兩百多種攻擊。每個攻擊特征都符合CVE標(biāo)準(zhǔn)，并且支持在線升級。用戶還可以自定義檢測策略模板，緊密結(jié)合特有安全的領(lǐng)信操作系統(tǒng)LTOS，擁有超負(fù)載保護(hù)能力。用戶還可可以隨時時從安氏氏站點（）下載載最新的的攻擊特特征。 關(guān)于SmmarttProotecctorr的推出出，安氏公司司產(chǎn)品市市場總監(jiān)監(jiān)應(yīng)向榮榮強調(diào)：“SmmarttProotecctorr的產(chǎn)生生基于兩兩個層面面考慮，融融合安氏氏在入侵侵檢測（IIDS）技技術(shù)的多多年雄厚厚積累，為為LinnkTrrusttTM CCybeerWaall提提供增強強功能

57、模模塊。增加SSmarrtPrroteectoor功能能的領(lǐng)信信防火墻墻為特定定需求用用戶群提提供了業(yè)業(yè)界領(lǐng)先先的一站站式安全全防御系系統(tǒng)，特特別適合合企業(yè)上上網(wǎng)工程程，行業(yè)業(yè)網(wǎng)絡(luò)廣廣域連接接防護(hù)等等等應(yīng)用用。但流流探測器器SmaartPProttecttor不不能取代代專門的的入侵檢檢測系統(tǒng)統(tǒng)，它以以不犧牲牲防火墻墻和VPPN的性性能為前前提，檢檢測并響響應(yīng)“嚴(yán)重的的”攻擊手手法，配配合防火火墻以及及專門的的IDSS系統(tǒng)，為為企業(yè)提提供更加加強大的的防護(hù)體體系。用用戶在購購買LiinkTTrusstTMM CyyberrWalll時可可以選擇擇是否增增加SmmarttProotecctorr

58、功能”。“現(xiàn)在安安全問題題變得越越來越復(fù)復(fù)雜，攻攻擊手法法層出不不窮，而而且更新新很快，這這要求安安全管理理員作出出防范反反應(yīng)越來來越迅速速，在防防火墻上上增加入入侵檢測測模塊，就就是為了了增強響響應(yīng)時間間，特別別是在解解決類似似“紅色代代碼”，“尼姆達(dá)達(dá)”這類突突發(fā)性極極大的將將網(wǎng)絡(luò)蠕蠕蟲、計計算機病病毒、木木馬程序序合為一一體的攻攻擊手法法時，將將發(fā)揮相相當(dāng)大的的作用”。安氏氏公司防防火墻產(chǎn)產(chǎn)品經(jīng)理理張強進(jìn)進(jìn)一步解解釋，“當(dāng)SmmarttProotecctorr檢測到到攻擊時時，可以以阻斷并并且傳遞遞給領(lǐng)信信防火墻墻，修改改防火墻墻的安全全規(guī)則，同同時領(lǐng)信信防火墻墻阻斷已已經(jīng)建立立的攻擊擊

59、連接。通過一一個基于于WEBB的友好好、簡潔潔明了的的用戶界界面，安安全管理理員不僅僅可以配配置該SSmarrtPrroteectoor的攻攻擊特征征模板，還還可以通通過提供供的鏈接接，了解解到更多多關(guān)于攻攻擊的資資料以及及如何配配置相應(yīng)應(yīng)的系統(tǒng)統(tǒng)設(shè)備來來防御攻攻擊”。每個個檢測到到的攻擊擊，將會會通過日日志告警警與郵件件告警方方式通知知管理員員，同時時為SmmarttProotecctorr定制了了專門的的審計日日志數(shù)據(jù)據(jù)結(jié)構(gòu)包包含：攻攻擊時間間、源地地址、目目的地址址、源端端口、目目的端口口、攻擊擊名稱。(2）eeTruust入入侵檢測測系統(tǒng)解決方案案網(wǎng)絡(luò)絡(luò)入侵檢檢測(eeTruust I

60、nttrussionn Deetecctioon)網(wǎng)絡(luò)入侵侵檢測(eTrrustt Inntruusioon DDeteectiion)解決方方案通過過自動檢檢測網(wǎng)絡(luò)絡(luò)數(shù)據(jù)流流中潛在在入侵、攻擊和和濫用方方式，提提供了先先進(jìn)的網(wǎng)網(wǎng)絡(luò)保護(hù)護(hù)功能。例如，網(wǎng)網(wǎng)絡(luò)入侵侵檢測(eTrrustt Inntruusioon DDeteectiion)軟件可可以檢測測到拒拒絕服務(wù)務(wù)型攻攻擊，并并且在服服務(wù)器及及業(yè)務(wù)受受到影響響前按照照預(yù)先定定義的策策略采取取相應(yīng)的的行動。 網(wǎng)絡(luò)入侵侵檢測(eTrrustt Inntruusioon DDeteectiion)軟件還還可以大大大減少少管理和和保障網(wǎng)網(wǎng)絡(luò)安全全所需