前言：

這是一高檔網(wǎng)絡(luò)工程師為某大型公司寫一份局域網(wǎng)安全解決方案建議書。本來這是不應(yīng)當(dāng)公開，但是由于種種因素未能被采納，因此也沒什么大礙，當(dāng)前拿出來給人們當(dāng)作是一份參照資料，寫不好多多指教。文章是讓人們參照，不是讓人們翻錄

學(xué)會(huì)自己用自己思路去寫東西:)，做了某些修改，請(qǐng)人們見涼！

***********************************************************************（列表省略）***********************************************************************

第一章總則本方案為某大型局域網(wǎng)網(wǎng)絡(luò)安全解決方案，涉及原有網(wǎng)絡(luò)系統(tǒng)分析、安全需求分析、安全目的確立、安全體系構(gòu)造設(shè)計(jì)、等。本安全解決方案目的是在不影響某大型公司局域網(wǎng)當(dāng)前業(yè)務(wù)前提下，實(shí)現(xiàn)對(duì)她們局域網(wǎng)全面安全管理。1.將安全方略、硬件及軟件等辦法結(jié)合起來，構(gòu)成一種統(tǒng)一防御系統(tǒng)，有效制止非法顧客進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

2.定期進(jìn)行漏洞掃描，審計(jì)跟蹤，及時(shí)發(fā)現(xiàn)問題，解決問題。

3.通過入侵檢測等方式實(shí)現(xiàn)實(shí)時(shí)安全監(jiān)控，提供迅速響應(yīng)故障手段，同步具備較好安全取證辦法。

4.使網(wǎng)絡(luò)管理者可以不久重新組織被破壞了文獻(xiàn)或應(yīng)用。使系統(tǒng)重新恢復(fù)到破壞前狀態(tài)，最大限度地減少損失。

5.在工作站、服務(wù)器上安裝相應(yīng)防病毒軟件，由中央控制臺(tái)統(tǒng)一控制和管理，實(shí)現(xiàn)全網(wǎng)統(tǒng)一防病毒。

第二章網(wǎng)絡(luò)系統(tǒng)概況2.1網(wǎng)絡(luò)概況這個(gè)公司局域網(wǎng)是一種信息點(diǎn)較為密集千兆局域網(wǎng)絡(luò)系統(tǒng)，它所聯(lián)接既有上千個(gè)信息點(diǎn)為在整個(gè)公司內(nèi)辦公各部門提供了一種迅速、以便信息交流平臺(tái)。不但如此，通過專線與Internet連接，打通了一扇通向外部世界窗戶，各個(gè)部門可以直接與互聯(lián)網(wǎng)顧客進(jìn)行交流、查詢資料等。通過公開服務(wù)器，公司可以直接對(duì)外發(fā)布信息或者發(fā)送電子郵件。高速互換技術(shù)采用、靈活網(wǎng)絡(luò)互連方案設(shè)計(jì)為顧客提供迅速、以便、靈活通信平臺(tái)同步，也為網(wǎng)絡(luò)安全帶來了更大風(fēng)險(xiǎn)。因而，在原有網(wǎng)絡(luò)上實(shí)行一套完整、可操作安全解決方案不但是可行，并且是必須。2.1.1網(wǎng)絡(luò)概述這個(gè)公司局域網(wǎng)，物理跨度不大，通過千兆互換機(jī)在主干網(wǎng)絡(luò)上提供1000M獨(dú)享帶寬，通過下級(jí)互換機(jī)與各部門工作站和服務(wù)器連結(jié)，并為之提供100M獨(dú)享帶寬。運(yùn)用與中心互換機(jī)連結(jié)Cisco路由器，所有顧客可直接訪問Internet。2.1.2網(wǎng)絡(luò)構(gòu)造這個(gè)公司局域網(wǎng)按訪問區(qū)域可以劃分為三個(gè)重要區(qū)域：Internet區(qū)域、內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器區(qū)域。內(nèi)部網(wǎng)絡(luò)又可按照所屬部門、職能、安全重要限度分為許多子網(wǎng)，涉及：財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、辦公子網(wǎng)、市場部子網(wǎng)、中心服務(wù)器子網(wǎng)等。在安全方案設(shè)計(jì)中，咱們基于安全重要限度和要保護(hù)對(duì)象，可以在Catalyst型互換機(jī)上直接劃分四個(gè)虛擬局域網(wǎng)（VLAN），即：中心服務(wù)器子網(wǎng)、財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、其她子網(wǎng)。不同局域網(wǎng)分屬不同廣播域，由于財(cái)務(wù)子網(wǎng)、領(lǐng)導(dǎo)子網(wǎng)、中心服務(wù)器子網(wǎng)屬于重要網(wǎng)段，因而在中心互換機(jī)上將這些網(wǎng)段各自劃分為一種獨(dú)立廣播域，而將其她工作站劃分在一種相似網(wǎng)段。（圖省略）2.2網(wǎng)絡(luò)應(yīng)用這個(gè)公司局域網(wǎng)可覺得顧客提供如下重要應(yīng)用：

1．文獻(xiàn)共享、辦公自動(dòng)化、WWW服務(wù)、電子郵件服務(wù)；

2．文獻(xiàn)數(shù)據(jù)統(tǒng)一存儲(chǔ)；

3．針對(duì)特定應(yīng)用在數(shù)據(jù)庫服務(wù)器上進(jìn)行二次開發(fā)(例如財(cái)務(wù)系統(tǒng))；

4．提供與Internet訪問；

5．通過公開服務(wù)器對(duì)外發(fā)布公司信息、發(fā)送電子郵件等；2.3網(wǎng)絡(luò)構(gòu)造特點(diǎn)在分析這個(gè)公司局域網(wǎng)安全風(fēng)險(xiǎn)時(shí)，應(yīng)考慮到網(wǎng)絡(luò)如下幾種特點(diǎn)：1.網(wǎng)絡(luò)與Internet直接連結(jié)，因而在進(jìn)行安全方案設(shè)計(jì)時(shí)要考慮與Internet連結(jié)關(guān)于風(fēng)險(xiǎn)，涉及也許通過Internet傳播進(jìn)來病毒，黑客襲擊，來自Internet非授權(quán)訪問等。

。

2.網(wǎng)絡(luò)中存在公開服務(wù)器，由于公開服務(wù)器對(duì)外必要開放某些業(yè)務(wù)，因而在進(jìn)行安全方案設(shè)計(jì)時(shí)應(yīng)當(dāng)考慮采用安全服務(wù)器網(wǎng)絡(luò)，避免公開服務(wù)器安全風(fēng)險(xiǎn)擴(kuò)散到內(nèi)部。

3.內(nèi)部網(wǎng)絡(luò)中存在許多不同子網(wǎng)，不同子網(wǎng)有不同安全性，因而在進(jìn)行安全方案設(shè)計(jì)時(shí)，應(yīng)考慮將不同功能和安全級(jí)別網(wǎng)絡(luò)分割開，這可以通過互換機(jī)劃分VLAN來實(shí)現(xiàn)。

4.網(wǎng)絡(luò)中有二臺(tái)應(yīng)用服務(wù)器，在應(yīng)用程序開發(fā)時(shí)就應(yīng)考慮加強(qiáng)顧客登錄驗(yàn)證，防止非授權(quán)訪問。

綜上所述，在進(jìn)行網(wǎng)絡(luò)方案設(shè)計(jì)時(shí)，應(yīng)綜合考慮到這個(gè)公司局域網(wǎng)特點(diǎn)，依照產(chǎn)品性能、價(jià)格、潛在安全風(fēng)險(xiǎn)進(jìn)行綜合考慮。第三章網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)分析

隨著Internet網(wǎng)絡(luò)急劇擴(kuò)大和上網(wǎng)顧客迅速增長，風(fēng)險(xiǎn)變得更加嚴(yán)重和復(fù)雜。本來由單個(gè)計(jì)算機(jī)安全事故引起損害也許傳播到其她系統(tǒng)，引起大范疇癱瘓和損失；此外加上缺少安全控制機(jī)制和對(duì)Internet安全政策結(jié)識(shí)局限性，這些風(fēng)險(xiǎn)正日益嚴(yán)重。針對(duì)這個(gè)公司局域網(wǎng)中存在安全隱患，在進(jìn)行安全方案設(shè)計(jì)時(shí)，下述安全風(fēng)險(xiǎn)咱們必要要認(rèn)真考慮，并且要針對(duì)面臨風(fēng)險(xiǎn)，采用相應(yīng)安全辦法。下述風(fēng)險(xiǎn)由各種因素引起，與這個(gè)公司局域網(wǎng)構(gòu)造和系統(tǒng)應(yīng)用、局域網(wǎng)內(nèi)網(wǎng)絡(luò)服務(wù)器可靠性等因素密切有關(guān)。下面列出某些此類風(fēng)險(xiǎn)因素：網(wǎng)絡(luò)安全可以從如下三個(gè)方面來理解：1網(wǎng)絡(luò)物理與否安全；2網(wǎng)絡(luò)平臺(tái)與否安全；3系統(tǒng)與否安全；4應(yīng)用與否安全；5管理與否安全。針對(duì)每一類安全風(fēng)險(xiǎn)，結(jié)合這個(gè)公司局域網(wǎng)實(shí)際狀況，咱們將詳細(xì)分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。3.1物理安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)物理安全風(fēng)險(xiǎn)是各種各樣。

網(wǎng)絡(luò)物理安全重要是指地震、水災(zāi)、火災(zāi)等環(huán)境事故；電源故障；人為操作失誤或錯(cuò)誤；設(shè)備被盜、被毀；電磁干擾；線路截獲。以及高可用性硬件、雙機(jī)多冗余設(shè)計(jì)、機(jī)房環(huán)境及報(bào)警系統(tǒng)、安全意識(shí)等。它是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全前提，在這個(gè)公司區(qū)局域網(wǎng)內(nèi)，由于網(wǎng)絡(luò)物理跨度不大，，只要制定健全安全管理制度，做好備份，并且加強(qiáng)網(wǎng)絡(luò)設(shè)備和機(jī)房管理，這些風(fēng)險(xiǎn)是可以避免。3.2網(wǎng)絡(luò)平臺(tái)安全風(fēng)險(xiǎn)分析網(wǎng)絡(luò)構(gòu)造安全涉及到網(wǎng)絡(luò)拓?fù)錁?gòu)造、網(wǎng)絡(luò)路由狀況及網(wǎng)絡(luò)環(huán)境等。公開服務(wù)器面臨威脅這個(gè)公司局域網(wǎng)內(nèi)公開服務(wù)器區(qū)（WWW、EMAIL等服務(wù)器）作為公司信息發(fā)布平臺(tái)，一旦不能運(yùn)營后者受到襲擊，對(duì)公司名譽(yù)影響巨大。同步公開服務(wù)器自身要為外界服務(wù)，必要開放相應(yīng)服務(wù)；每天，黑客都在試圖闖入Internet節(jié)點(diǎn)，這些節(jié)點(diǎn)如果不保持警惕，也許連黑客怎么闖入都不懂得，甚至?xí)蔀楹诳腿肭制渌军c(diǎn)跳板。因而，規(guī)模比較大網(wǎng)絡(luò)管理人員對(duì)Internet安全事故做出有效反映變得十分重要。咱們有必要將公開服務(wù)器、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進(jìn)行隔離，避免網(wǎng)絡(luò)構(gòu)造信息外泄；同步還要對(duì)外網(wǎng)服務(wù)祈求加以過濾，只容許正常通信數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其她祈求服務(wù)在到達(dá)主機(jī)之前就應(yīng)當(dāng)遭到回絕。整個(gè)網(wǎng)絡(luò)構(gòu)造和路由狀況安全應(yīng)用往往是建立在網(wǎng)絡(luò)系統(tǒng)之上。網(wǎng)絡(luò)系統(tǒng)成熟與否直接影響安全系統(tǒng)成功建設(shè)。在這個(gè)公司局域網(wǎng)絡(luò)系統(tǒng)中，只使用了一臺(tái)路由器，用作與Internet連結(jié)邊界路由器，網(wǎng)絡(luò)構(gòu)造相對(duì)簡樸，詳細(xì)配備時(shí)可以考慮使用靜態(tài)路由，這就大大減少了因網(wǎng)絡(luò)構(gòu)造和網(wǎng)絡(luò)路由導(dǎo)致安全風(fēng)險(xiǎn)。3.3系統(tǒng)安全風(fēng)險(xiǎn)分析所謂系統(tǒng)安全顯而易見是指整個(gè)局域網(wǎng)網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)與否可靠且值得信任。網(wǎng)絡(luò)操作系統(tǒng)、網(wǎng)絡(luò)硬件平臺(tái)可靠性：對(duì)于中華人民共和國來說，恐怕沒有絕對(duì)安全操作系統(tǒng)可以選取，無論是MicrosoftWindowsNT或者其她任何商用UNIX操作系統(tǒng)，其開發(fā)廠商必然有其Back-Door。咱們可以這樣講：沒有完全安全操作系統(tǒng)。但是，咱們可以對(duì)既有操作平臺(tái)進(jìn)行安全配備、對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)安全性。因而，不但要選用盡量可靠操作系統(tǒng)和硬件平臺(tái)。并且，必要加強(qiáng)登錄過程認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前認(rèn)證），保證顧客合法性；另一方面應(yīng)當(dāng)嚴(yán)格限制登錄者操作權(quán)限，將其完畢操作限制在最小范疇內(nèi)。3.4應(yīng)用安全風(fēng)險(xiǎn)分析應(yīng)用系統(tǒng)安全跟詳細(xì)應(yīng)用關(guān)于，它涉及諸多方面。應(yīng)用系統(tǒng)安全是動(dòng)態(tài)、不斷變化。應(yīng)用安全性也涉及到信息安全性，它涉及諸多方面。

應(yīng)用系統(tǒng)安全動(dòng)態(tài)、不斷變化：應(yīng)用安全涉及面很廣，以當(dāng)前Internet上應(yīng)用最為廣泛E-mail系統(tǒng)來說，其解決方案有幾十種，但其系統(tǒng)內(nèi)部編碼甚至編譯器導(dǎo)致BUG是很少有人可以發(fā)現(xiàn)，因而一套詳盡測試軟件是相稱必要。但是應(yīng)用系統(tǒng)是不斷發(fā)展且應(yīng)用類型是不斷增長，其成果是安全漏洞也是不斷增長且隱藏越來越深。因而，保證應(yīng)用系統(tǒng)安全也是一種隨網(wǎng)絡(luò)發(fā)展不斷完善過程。

應(yīng)用安全性涉及到信息、數(shù)據(jù)安全性：信息安全性涉及到：機(jī)密信息泄露、未經(jīng)授權(quán)訪問、破壞信息完整性、假冒、破壞系統(tǒng)可用性等。由于這個(gè)公司局域網(wǎng)跨度不大，絕大某些重要信息都在內(nèi)部傳遞，因而信息機(jī)密性和完整性是可以保證。對(duì)于有些特別重要信息需要對(duì)內(nèi)部進(jìn)行保密（例如領(lǐng)導(dǎo)子網(wǎng)、財(cái)務(wù)系統(tǒng)傳遞重要信息）可以考慮在應(yīng)用級(jí)進(jìn)行加密，針對(duì)詳細(xì)應(yīng)用直接在應(yīng)用系統(tǒng)開發(fā)時(shí)進(jìn)行加密。

3.5管理安全風(fēng)險(xiǎn)分析管理是網(wǎng)絡(luò)安全中最重要某些

管理是網(wǎng)絡(luò)中安全最最重要某些。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺少可操作性等都也許引起管理安全風(fēng)險(xiǎn)。責(zé)權(quán)不明，管理混亂，使得某些員工或管理員隨便讓某些非本地員工甚至外來人員進(jìn)入機(jī)房重地，或者員工故意無意泄漏她們所懂得某些重要信息，而管理上卻沒有相應(yīng)制度來約束。

當(dāng)網(wǎng)絡(luò)浮現(xiàn)襲擊行為或網(wǎng)絡(luò)受到其他某些安全威脅時(shí)（如內(nèi)部人員違規(guī)操作等），無法進(jìn)行實(shí)時(shí)檢測、監(jiān)控、報(bào)告與預(yù)警。同步，當(dāng)事故發(fā)生后，也無法提供黑客襲擊行為追蹤線索及破案根據(jù)，即缺少對(duì)網(wǎng)絡(luò)可控性與可審查性。這就規(guī)定咱們必要對(duì)站點(diǎn)訪問活動(dòng)進(jìn)行多層次記錄，及時(shí)發(fā)現(xiàn)非法入侵行為。

建立全新網(wǎng)絡(luò)安全機(jī)制，必要深刻理解網(wǎng)絡(luò)并能提供直接解決方案，因而，最可行做法是管理制度和管理解決方案結(jié)合。3.6黑客襲擊黑客們襲擊行動(dòng)是無時(shí)無刻不在進(jìn)行，并且會(huì)運(yùn)用系統(tǒng)和管理上一切也許運(yùn)用漏洞。公開服務(wù)器存在漏洞一種典型例證，是黑客可以容易地騙過公開服務(wù)器軟件，得到Unix口令文獻(xiàn)并將之送回。黑客侵入U(xiǎn)NIX服務(wù)器后，有也許修改特權(quán)，從普通顧客變?yōu)楦邫n顧客，一旦成功，黑客可以直接進(jìn)入口令文獻(xiàn)。黑客還能開發(fā)欺騙程序，將其裝入U(xiǎn)NIX服務(wù)器中，用以監(jiān)聽登錄會(huì)話。當(dāng)它發(fā)既有顧客登錄時(shí)，便開始存儲(chǔ)一種文獻(xiàn)，這樣黑客就擁有了她人帳戶和口令。這時(shí)為了防止黑客，需要設(shè)立公開服務(wù)器，使得它不離開自己空間而進(jìn)入此外目錄。此外，還應(yīng)設(shè)立組特權(quán)，不容許任何使用公開服務(wù)器人訪問WWW頁面文獻(xiàn)以外東西。在這個(gè)公司局域網(wǎng)內(nèi)咱們可以綜合采用防火墻技術(shù)、Web頁面保護(hù)技術(shù)、入侵檢測技術(shù)、安全評(píng)估技術(shù)來保護(hù)網(wǎng)絡(luò)內(nèi)信息資源，防止黑客襲擊。3.7通用網(wǎng)關(guān)接口（CGI）漏洞有一類風(fēng)險(xiǎn)涉及通用網(wǎng)關(guān)接口（CGI）腳本。許多頁面文獻(xiàn)和指向其她頁面或站點(diǎn)超連接。然而有些站點(diǎn)用到這些超連接所指站點(diǎn)尋找特定信息。搜索引擎是通過CGI腳本執(zhí)行方式實(shí)現(xiàn)。黑客可以修改這些CGI腳本以執(zhí)行她們非法任務(wù)。普通，這些CGI腳本只能在這些所指WWW服務(wù)器中尋找，但如果進(jìn)行某些修改，她們就可以在WWW服務(wù)器之外進(jìn)行尋找。要防止此類問題發(fā)生，應(yīng)將這些CGI腳本設(shè)立為較低檔顧客特權(quán)。提高系統(tǒng)抗破壞能力，提高服務(wù)器備份與恢復(fù)能力，提高站點(diǎn)內(nèi)容防篡改與自動(dòng)修復(fù)能力。3.8惡意代碼惡意代碼不限于病毒，還涉及蠕蟲、特洛伊木馬、邏輯炸彈、和其她未經(jīng)批準(zhǔn)軟件。應(yīng)當(dāng)加強(qiáng)對(duì)惡意代碼檢測。3.9病毒襲擊計(jì)算機(jī)病毒始終是計(jì)算機(jī)安全重要威脅。能在Internet上傳播新型病毒，例如通過E-Mail傳播病毒，增長了這種威脅限度。病毒種類和傳染方式也在增長，國際空間病毒總數(shù)已達(dá)上萬甚至更多。固然，查看文檔、瀏覽圖像或在Web上填表都不用緊張病毒感染，然而，下載可執(zhí)行文獻(xiàn)和接受來歷不明E-Mail文獻(xiàn)需要特別警惕，否則很容易使系統(tǒng)導(dǎo)致嚴(yán)重破壞。典型“CIH”病毒就是一可怕例子。3.10不滿內(nèi)部員工不滿內(nèi)部員工也許在WWW站點(diǎn)上開些小玩笑，甚至破壞。無論如何，她們最熟悉服務(wù)器、小程序、腳本和系統(tǒng)弱點(diǎn)。對(duì)于已經(jīng)離職不滿員工，可以通過定期變化口令和刪除系統(tǒng)記錄以減少此類風(fēng)險(xiǎn)。但尚有心懷不滿在職工工，這些員工比已經(jīng)離開員工能導(dǎo)致更大損失，例如她們可以傳出至關(guān)重要信息、泄露安全重要信息、錯(cuò)誤地進(jìn)入數(shù)據(jù)庫、刪除數(shù)據(jù)等等。3.11網(wǎng)絡(luò)襲擊手段普通以為，當(dāng)前對(duì)網(wǎng)絡(luò)襲擊手段重要體當(dāng)前：

非授權(quán)訪問：沒有預(yù)先通過批準(zhǔn)，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如故意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。它重要有如下幾種形式：假冒、身份襲擊、非法顧客進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法顧客以未授權(quán)方式進(jìn)行操作等。

信息泄漏或丟失：指敏感數(shù)據(jù)在故意或無意中被泄漏出去或丟失，它普通涉及，信息在傳播中丟失或泄漏（如"黑客"們運(yùn)用電磁泄漏或搭線竊聽等方式可截獲機(jī)密信息，或通過對(duì)信息流向、流量、通信頻度和長度等參數(shù)分析，推出有用信息，如顧客口令、帳號(hào)等重要信息。），信息在存儲(chǔ)介質(zhì)中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。

破壞數(shù)據(jù)完整性：以非法手段竊得對(duì)數(shù)據(jù)使用權(quán)，刪除、修改、插入或重發(fā)某些重要信息，以獲得有益于襲擊者響應(yīng)；惡意添加，修改數(shù)據(jù)，以干擾顧客正常使用。

回絕服務(wù)襲擊：它不斷對(duì)網(wǎng)絡(luò)服務(wù)系統(tǒng)進(jìn)行干擾，變化其正常作業(yè)流程，執(zhí)行無關(guān)程序使系統(tǒng)響應(yīng)減慢甚至癱瘓，影響正慣顧客使用，甚至使合法顧客被排斥而不能進(jìn)入計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)或不能得到相應(yīng)服務(wù)。

運(yùn)用網(wǎng)絡(luò)傳播病毒：通過網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒，其破壞性大大高于單機(jī)系統(tǒng)，并且顧客很難防范。第四章安全需求與安全目的4.1安全需求分析通過前面咱們對(duì)這個(gè)公司局域網(wǎng)絡(luò)構(gòu)造、應(yīng)用及安全威脅分析，可以看出其安全問題重要集中在對(duì)服務(wù)器安全保護(hù)、防黑客和病毒、重要網(wǎng)段保護(hù)以及管理安全上。因而，咱們必要采用相應(yīng)安全辦法杜絕安全隱患，其中應(yīng)當(dāng)做到：公開服務(wù)器安全保護(hù)

防止黑客從外部襲擊

入侵檢測與監(jiān)控

信息審計(jì)與記錄

病毒防護(hù)

數(shù)據(jù)安全保護(hù)

數(shù)據(jù)備份與恢復(fù)

網(wǎng)絡(luò)安全管理針對(duì)這個(gè)公司局域網(wǎng)絡(luò)系統(tǒng)實(shí)際狀況，在系統(tǒng)考慮如何解決上述安全問題設(shè)計(jì)時(shí)應(yīng)滿足如下規(guī)定：1.大幅度地提高系統(tǒng)安全性（重點(diǎn)是可用性和可控性）；2.保持網(wǎng)絡(luò)原有能特點(diǎn)，即對(duì)網(wǎng)絡(luò)合同和傳播具備較好透明性，能透明接入，無需更改網(wǎng)絡(luò)設(shè)立；

3.易于操作、維護(hù)，并便于自動(dòng)化管理，而不增長或少增長附加操作；

4.盡量不影響原網(wǎng)絡(luò)拓?fù)錁?gòu)造，同步便于系統(tǒng)及系統(tǒng)功能擴(kuò)展；

5.安全保密系統(tǒng)具備較好性能價(jià)格比，一次性投資，可以長期使用；

6.安全產(chǎn)品具備合法性，及通過國家關(guān)于管理部門承認(rèn)或認(rèn)證；

7.分布實(shí)行。4.2網(wǎng)絡(luò)安全方略安全方略是指在一種特定環(huán)境里，為保證提供一定級(jí)別安全保護(hù)所必要遵守規(guī)則。該安全方略模型涉及了建立安全環(huán)境三個(gè)重要構(gòu)成某些，即：

威嚴(yán)法律：安全基石是社會(huì)法律、法規(guī)、與手段，這某些用于建立一套安全管理原則和辦法。即通過建立與信息安全有關(guān)法律、法規(guī)，使非法分子懾于法律，不敢輕舉妄動(dòng)。

先進(jìn)技術(shù)：先進(jìn)安全技術(shù)是信息安全主線保障，顧客對(duì)自身面臨威脅進(jìn)行風(fēng)險(xiǎn)評(píng)估，決定其需要安全服務(wù)種類，選取相應(yīng)安全機(jī)制，然后集成先進(jìn)安全技術(shù)。

嚴(yán)格管理：各網(wǎng)絡(luò)使用機(jī)構(gòu)、公司和單位應(yīng)建立相宜信息安全管理辦法，加強(qiáng)內(nèi)部管理，建立審計(jì)和跟蹤體系，提高整體信息安全意識(shí)。4.3系統(tǒng)安全目的基于以上分析，咱們以為這個(gè)局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全應(yīng)當(dāng)實(shí)現(xiàn)如下目的：

建立一套完整可行網(wǎng)絡(luò)安全與網(wǎng)絡(luò)管理方略

將內(nèi)部網(wǎng)絡(luò)、公開服務(wù)器網(wǎng)絡(luò)和外網(wǎng)進(jìn)行有效隔離，避免與外部網(wǎng)絡(luò)直接通信

建立網(wǎng)站各主機(jī)和服務(wù)器安全保護(hù)辦法，保證她們系統(tǒng)安全

對(duì)網(wǎng)上服務(wù)祈求內(nèi)容進(jìn)行控制，使非法訪問在到達(dá)主機(jī)前被回絕

加強(qiáng)合法顧客訪問認(rèn)證，同步將顧客訪問權(quán)限控制在最低限度

全面監(jiān)視對(duì)公開服務(wù)器訪問，及時(shí)發(fā)現(xiàn)和回絕不安全操作和黑客襲擊行為

加強(qiáng)對(duì)各種訪問審計(jì)工作，詳細(xì)記錄對(duì)網(wǎng)絡(luò)、公開服務(wù)器訪問行為，形成完整系統(tǒng)日記

備份與劫難恢復(fù)——強(qiáng)化系統(tǒng)備份，實(shí)現(xiàn)系統(tǒng)迅速恢復(fù)

加強(qiáng)網(wǎng)絡(luò)安全管理，提高系統(tǒng)全體人員網(wǎng)絡(luò)安全意識(shí)和防范技術(shù)

第五章網(wǎng)絡(luò)安全方案總體設(shè)計(jì)5.1安全方案設(shè)計(jì)原則在對(duì)這個(gè)公司局域網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全方案設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循如下原則：綜合性、整體性原則：應(yīng)用系統(tǒng)工程觀點(diǎn)、辦法，分析網(wǎng)絡(luò)安全及詳細(xì)辦法。安全辦法重要涉及：行政法律手段、各種管理制度（人員審查、工作流程、維護(hù)保障制度等）以及專業(yè)辦法（辨認(rèn)技術(shù)、存取控制、密碼、低輻射、容錯(cuò)、防病毒、采用高安全產(chǎn)品等）。一種較好安全辦法往往是各種辦法恰當(dāng)綜合應(yīng)用成果。一種計(jì)算機(jī)網(wǎng)絡(luò)，涉及個(gè)人、設(shè)備、軟件、數(shù)據(jù)等。這些環(huán)節(jié)在網(wǎng)絡(luò)中地位和影響作用，也只有從系統(tǒng)綜合整體角度去看待、分析，才干獲得有效、可行辦法。即計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)遵循整體安全性原則，依照規(guī)定安全方略制定出合理網(wǎng)絡(luò)安全體系構(gòu)造。需求、風(fēng)險(xiǎn)、代價(jià)平衡原則：對(duì)任一網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要。對(duì)一種網(wǎng)絡(luò)進(jìn)行實(shí)際額研究（涉及任務(wù)、性能、構(gòu)造、可靠性、可維護(hù)性等），并對(duì)網(wǎng)絡(luò)面臨威脅及也許承擔(dān)風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合分析，然后制定規(guī)范和辦法，擬定本系統(tǒng)安全方略。一致性原則：一致性原則重要是指網(wǎng)絡(luò)安全問題應(yīng)與整個(gè)網(wǎng)絡(luò)工作周期（或生命周期）同步存在，制定安全體系構(gòu)造必要與網(wǎng)絡(luò)安全需求相一致。安全網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)（涉及初步或詳細(xì)設(shè)計(jì)）及實(shí)行籌劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)營等，都要有安全內(nèi)容光煥發(fā)及辦法，事實(shí)上，在網(wǎng)絡(luò)建設(shè)開始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)好后再考慮安全辦法，不但容易，且耗費(fèi)也小得多。易操作性原則：安全辦法需要人為去完畢，如果辦法過于復(fù)雜，對(duì)人規(guī)定過高，自身就減少了安全性。另一方面，辦法采用不能影響系統(tǒng)正常運(yùn)營。分步實(shí)行原則：由于網(wǎng)絡(luò)系統(tǒng)及其應(yīng)用擴(kuò)展范疇遼闊，隨著網(wǎng)絡(luò)規(guī)模擴(kuò)大及應(yīng)用增長，網(wǎng)絡(luò)脆弱性也會(huì)不斷增長。一勞永逸地解決網(wǎng)絡(luò)安全問題是不現(xiàn)實(shí)。同步由于實(shí)行信息安全辦法需相稱費(fèi)用支出。因而分步實(shí)行，即可滿足網(wǎng)絡(luò)系統(tǒng)及信息安全基本需求，亦可節(jié)約費(fèi)用開支。多重保護(hù)原則：任何安全辦法都不是絕對(duì)安全，都也許被攻破。但是建立一種多重保護(hù)系統(tǒng)，各層保護(hù)互相補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其他層保護(hù)仍可保護(hù)信息安全。可評(píng)價(jià)性原則：如何預(yù)先評(píng)價(jià)一種安全設(shè)計(jì)并驗(yàn)證其網(wǎng)絡(luò)安全性，這需要通過國家關(guān)于網(wǎng)絡(luò)信息安全測評(píng)認(rèn)證機(jī)構(gòu)評(píng)估來實(shí)現(xiàn)。5.2安全服務(wù)、機(jī)制與技術(shù)安全服務(wù)：安全服務(wù)重要有：控制服務(wù)、對(duì)象認(rèn)證服務(wù)、可靠性服務(wù)等；安全機(jī)制：訪問控制機(jī)制、認(rèn)證機(jī)制等；安全技術(shù)：防火墻技術(shù)、鑒別技術(shù)、審計(jì)監(jiān)控技術(shù)、病毒防治技術(shù)等；在安全開放環(huán)境中，顧客可以使用各種安全應(yīng)用。安全應(yīng)用由某些安全服務(wù)來實(shí)現(xiàn)；而安全服務(wù)又是由各種安全機(jī)制或安全技術(shù)來實(shí)現(xiàn)。應(yīng)當(dāng)指出，同一安全機(jī)制有時(shí)也可以用于實(shí)現(xiàn)不同安全服務(wù)。第六章網(wǎng)絡(luò)安全體系構(gòu)造通過對(duì)網(wǎng)絡(luò)全面理解，按照安全方略規(guī)定、風(fēng)險(xiǎn)分析成果及整個(gè)網(wǎng)絡(luò)安全目的，整個(gè)網(wǎng)絡(luò)辦法應(yīng)按系統(tǒng)體系建立。詳細(xì)安全控制系統(tǒng)由如下幾種方面構(gòu)成：物理安全、網(wǎng)絡(luò)安全、系統(tǒng)安全、信息安全、應(yīng)用安全和安全管理6.1物理安全保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備物理安全是整個(gè)計(jì)算機(jī)信息系統(tǒng)安全前提，物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致破壞過程。它重要涉及三個(gè)方面：環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境安全保護(hù)，如區(qū)域保護(hù)和劫難保護(hù)；（參見國標(biāo)GB50173－93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國標(biāo)GB2887－89《計(jì)算站場地技術(shù)條件》、GB9361－88《計(jì)算站場地安全規(guī)定》

設(shè)備安全：重要涉及設(shè)備防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；

媒體安全：涉及媒體數(shù)據(jù)安全及媒體自身安全。在網(wǎng)絡(luò)安全面，重要考慮兩個(gè)大層次，一是整個(gè)網(wǎng)絡(luò)構(gòu)導(dǎo)致熟化，重要是優(yōu)化網(wǎng)絡(luò)構(gòu)造，二是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全。6.2.1網(wǎng)絡(luò)構(gòu)造安全系統(tǒng)是建立在網(wǎng)絡(luò)系統(tǒng)之上，網(wǎng)絡(luò)構(gòu)造安全是安全系統(tǒng)成功建立基本。在整個(gè)網(wǎng)絡(luò)構(gòu)造安全面，重要考慮網(wǎng)絡(luò)構(gòu)造、系統(tǒng)和路由優(yōu)化。

網(wǎng)絡(luò)構(gòu)造建立要考慮環(huán)境、設(shè)備配備與應(yīng)用狀況、遠(yuǎn)程聯(lián)網(wǎng)方式、通信量估算、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素。成熟網(wǎng)絡(luò)構(gòu)造應(yīng)具備開放性、原則化、可靠性、先進(jìn)性和實(shí)用性，并且應(yīng)當(dāng)有構(gòu)造化設(shè)計(jì)，充分運(yùn)用既有資源，具備運(yùn)營管理簡便性，完善安全保障體系。網(wǎng)絡(luò)構(gòu)造采用分層體系構(gòu)造，利于維護(hù)管理，利于更高安全控制和業(yè)務(wù)發(fā)展。

網(wǎng)絡(luò)構(gòu)造優(yōu)化，在網(wǎng)絡(luò)拓?fù)渖现匾紤]到冗余鏈路；防火墻設(shè)立和入侵檢測實(shí)時(shí)監(jiān)控等。6.2.2網(wǎng)絡(luò)系統(tǒng)安全訪問控制及內(nèi)外網(wǎng)隔離訪問控制

訪問控制可以通過如下幾種方面來實(shí)現(xiàn)：

1.制定嚴(yán)格管理制度:可制定相應(yīng)：《顧客授權(quán)實(shí)行細(xì)則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》。

2.配備相應(yīng)安全設(shè)備：在內(nèi)部網(wǎng)與外部網(wǎng)之間，設(shè)立防火墻實(shí)現(xiàn)內(nèi)外網(wǎng)隔離與訪問控制是保護(hù)內(nèi)部網(wǎng)安全最重要、同步也是最有效、最經(jīng)濟(jì)辦法之一。防火墻設(shè)立在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息唯一出入口。防火墻重要種類是包過濾型，包過濾防火墻普通運(yùn)用IP和TCP包頭信息對(duì)進(jìn)出被保護(hù)網(wǎng)絡(luò)IP包信息進(jìn)行過濾，能依照公司安全政策來控制（容許、回絕、監(jiān)測）出入網(wǎng)絡(luò)信息流。同步可實(shí)現(xiàn)網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、審記與實(shí)時(shí)告警等功能。由于這種防火墻安裝在被保護(hù)網(wǎng)絡(luò)與路由器之間通道上，因而也對(duì)被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)起到隔離作用。防火墻具備如下五大基本功能：過濾進(jìn)、出網(wǎng)絡(luò)數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)訪問行為；封堵某些禁止業(yè)務(wù)；記錄通過防火墻信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)襲擊檢測和告警。內(nèi)部網(wǎng)不同網(wǎng)絡(luò)安全域隔離及訪問控制在這里，重要運(yùn)用VLAN技術(shù)來實(shí)現(xiàn)對(duì)內(nèi)部子網(wǎng)物理隔離。通過在互換機(jī)上劃分VLAN可以將整個(gè)網(wǎng)絡(luò)劃分為幾種不同廣播域，實(shí)現(xiàn)內(nèi)部一種網(wǎng)段與另一種網(wǎng)段物理隔離。這樣，就能防止影響一種網(wǎng)段問題穿過整個(gè)網(wǎng)絡(luò)傳播。針對(duì)某些網(wǎng)絡(luò)，在某些狀況下，它某些局域網(wǎng)某個(gè)網(wǎng)段比另一種網(wǎng)段更受信任，或者某個(gè)網(wǎng)段比另一種更敏感。通過將信任網(wǎng)段與不信任網(wǎng)段劃分在不同VLAN段內(nèi)，就可以限制局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)導(dǎo)致影響。網(wǎng)絡(luò)安全檢測網(wǎng)絡(luò)系統(tǒng)安全性取決于網(wǎng)絡(luò)系統(tǒng)中最薄弱環(huán)節(jié)。如何及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱環(huán)節(jié)？如何最大限度地保證網(wǎng)絡(luò)系統(tǒng)安全？最有效辦法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在弱點(diǎn)和漏洞。

網(wǎng)絡(luò)安全檢測工具普通是一種網(wǎng)絡(luò)安全性評(píng)估分析軟件，其功能是用實(shí)踐性辦法掃描分析網(wǎng)絡(luò)系統(tǒng)，檢查報(bào)告系統(tǒng)存在弱點(diǎn)和漏洞，建議補(bǔ)救辦法和安全方略，達(dá)到增強(qiáng)網(wǎng)絡(luò)安全性目。檢測工具應(yīng)具備如下功能：具備網(wǎng)絡(luò)監(jiān)控、分析和自動(dòng)響應(yīng)功能找出經(jīng)常發(fā)生問題根源所在；

建立必要循環(huán)過程保證隱患時(shí)刻被糾正；控制各種網(wǎng)絡(luò)安全危險(xiǎn)。

漏洞分析和響應(yīng)

配備分析和響應(yīng)

漏洞形勢分析和響應(yīng)

認(rèn)證和趨勢分析詳細(xì)體當(dāng)前如下方面：防火墻得到合理配備

內(nèi)外WEB站點(diǎn)安全漏洞減為最低

網(wǎng)絡(luò)體系達(dá)到強(qiáng)健耐襲擊性

各種服務(wù)器操作系統(tǒng)，如E_MIAL服務(wù)器、WEB服務(wù)器、應(yīng)用服務(wù)器、，將受黑客襲擊也許降為最低

對(duì)網(wǎng)絡(luò)訪問做出有效響應(yīng)，保護(hù)重要應(yīng)用系統(tǒng)（如財(cái)務(wù)系統(tǒng)）數(shù)據(jù)安全不受黑客襲擊和內(nèi)部人員誤操作侵害審計(jì)與監(jiān)控審計(jì)是記錄顧客使用計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)進(jìn)行所有活動(dòng)過程，它是提高安全性重要工具。它不但可以辨認(rèn)誰訪問了系統(tǒng)，還能看出系統(tǒng)正被如何地使用。對(duì)于擬定與否有網(wǎng)絡(luò)襲擊狀況，審計(jì)信息對(duì)于去定問題和襲擊源很重要。同步，系統(tǒng)事件記錄可以更迅速和系統(tǒng)地辨認(rèn)問題，并且它是背面階段事故解決重要根據(jù)。此外，通過對(duì)安全事件不斷收集與積累并且加以分析，有選取性地對(duì)其中某些站點(diǎn)或顧客進(jìn)行審計(jì)跟蹤，以便對(duì)發(fā)現(xiàn)或也許產(chǎn)生破壞性行為提供有力證據(jù)。因而，除使用普通網(wǎng)管軟件和系統(tǒng)監(jiān)控管理系統(tǒng)外，還應(yīng)使用當(dāng)前較為成熟網(wǎng)絡(luò)監(jiān)控設(shè)備或?qū)崟r(shí)入侵檢測設(shè)備，以便對(duì)進(jìn)出各級(jí)局域網(wǎng)常用操作進(jìn)行實(shí)時(shí)檢查、監(jiān)控、報(bào)警和阻斷，從而防止針對(duì)網(wǎng)絡(luò)襲擊與犯罪行為。網(wǎng)絡(luò)防病毒由于在網(wǎng)絡(luò)環(huán)境下，計(jì)算機(jī)病毒有不可預(yù)計(jì)威脅性和破壞力，一次計(jì)算機(jī)病毒防范是網(wǎng)絡(luò)安全性建設(shè)中重要一環(huán)。

網(wǎng)絡(luò)反病毒技術(shù)涉及防止病毒、檢測病毒和消毒三種技術(shù)：

1.防止病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)控制權(quán)，監(jiān)視和判斷系統(tǒng)中與否有病毒存在，進(jìn)而制止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。此類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒軟件等）。

2.檢測病毒技術(shù)：它是通過對(duì)計(jì)算機(jī)病毒特性來進(jìn)行判斷技術(shù)，如自身校驗(yàn)、核心字、文獻(xiàn)長度變化等。

3.清除病毒技術(shù)：它通過對(duì)計(jì)算機(jī)病毒分析，開發(fā)出具備刪除病毒程序并恢復(fù)原文獻(xiàn)軟件。網(wǎng)絡(luò)反病毒技術(shù)詳細(xì)實(shí)現(xiàn)辦法涉及對(duì)網(wǎng)絡(luò)服務(wù)器中文獻(xiàn)進(jìn)行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片和對(duì)網(wǎng)絡(luò)目錄及文獻(xiàn)設(shè)立訪問權(quán)限等。所選防毒軟件應(yīng)當(dāng)構(gòu)造全網(wǎng)統(tǒng)一防病毒體系。重要面向MAIL、Web服務(wù)器，以及辦公網(wǎng)段PC服務(wù)器和PC機(jī)等。支持對(duì)網(wǎng)絡(luò)、服務(wù)器、和工作站實(shí)時(shí)病毒監(jiān)控；可以在中心控制臺(tái)向各種目的分發(fā)新版殺毒軟件，并監(jiān)視各種目的病毒防治狀況；支持各種平臺(tái)病毒防范；可以辨認(rèn)廣泛已知和未知病毒，涉及宏病毒；支持對(duì)Internet/Intranet服務(wù)器病毒防治，可以制止惡意Java或ActiveX小程序破壞；支持對(duì)電子郵件附件病毒防治，涉及WORD、EXCEL中宏病毒；支持對(duì)壓縮文獻(xiàn)病毒檢測；支持廣泛病毒解決選項(xiàng)，如對(duì)染毒文獻(xiàn)進(jìn)行實(shí)時(shí)殺毒，移出，重新命名等；支持病毒隔離，當(dāng)客戶機(jī)試圖上載一種染毒文獻(xiàn)時(shí)，服務(wù)器可自動(dòng)關(guān)閉對(duì)該工作站連接；提供對(duì)病毒特性信息和檢測引擎定期在線更新服務(wù)；支持日記記錄功能；支持各種方式告警功能（聲音、圖像、電子郵件等）等。網(wǎng)絡(luò)備份系統(tǒng)備份系統(tǒng)為一種目而存在：盡量快地全盤恢復(fù)運(yùn)營計(jì)算機(jī)系統(tǒng)所需數(shù)據(jù)和系統(tǒng)信息。依照系統(tǒng)安全需求可選取備份機(jī)制有：場點(diǎn)內(nèi)高速度、大容量自動(dòng)數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；場點(diǎn)外數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；對(duì)系統(tǒng)設(shè)備備份。備份不但在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)襲擊及破壞數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同步亦是系統(tǒng)劫難恢復(fù)前提之一。在擬定備份指引思想和備份方案之后，就要選取安全存儲(chǔ)媒介和技術(shù)進(jìn)行數(shù)據(jù)備份，有“冷備份”和“熱備份”兩種。熱備份是指“在線”備份，即下載備份數(shù)據(jù)還在整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中，只但是傳到令一種非工作分區(qū)或是另一種非實(shí)時(shí)解決業(yè)務(wù)系統(tǒng)中存儲(chǔ)。“冷備份”是指“不在線”備份，下載備份存儲(chǔ)到安全存儲(chǔ)媒介中，而這種存儲(chǔ)媒介與正在運(yùn)營整個(gè)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)沒有直接聯(lián)系，在系統(tǒng)恢復(fù)時(shí)重新安裝，有一某些原始數(shù)據(jù)長期保存并作為查詢使用。熱備份長處是投資大，但調(diào)用快，使用以便，在系統(tǒng)恢復(fù)中需要重復(fù)調(diào)試時(shí)更顯優(yōu)勢。熱備份詳細(xì)做法是：可以在主機(jī)系統(tǒng)開辟一塊非工作運(yùn)營空間，專門存儲(chǔ)備份數(shù)據(jù)，即分區(qū)備份；另一種辦法是，將數(shù)據(jù)備份到另一種子系統(tǒng)中，通過主機(jī)系統(tǒng)與子系統(tǒng)之間傳播，同樣具備速度快和調(diào)用以便特點(diǎn)，但投資比較昂貴。冷備份彌補(bǔ)了熱備份某些局限性，兩者優(yōu)勢互補(bǔ)，相輔相成，由于冷備份在回避風(fēng)險(xiǎn)中還具備便于保管特殊長處。6.3系統(tǒng)安全系統(tǒng)安全重要是指操作系統(tǒng)、應(yīng)用系統(tǒng)安全性以及網(wǎng)絡(luò)硬件平臺(tái)可靠性。對(duì)于操作系統(tǒng)安全防范可以采用如下方略：對(duì)操作系統(tǒng)進(jìn)行安全配備，提高系統(tǒng)安全性；系統(tǒng)內(nèi)部調(diào)用不對(duì)Internet公開；核心性信息不直接公開，盡量采用安全性高操作系統(tǒng)。

應(yīng)用系統(tǒng)在開發(fā)時(shí)，采用規(guī)范化開發(fā)過程，盡量減少應(yīng)用系統(tǒng)漏洞；

網(wǎng)絡(luò)上服務(wù)器和網(wǎng)絡(luò)設(shè)備盡量不采用同一家產(chǎn)品；

通過專業(yè)安全工具（安全檢測系統(tǒng)）定期對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估。6.4信息安全在這個(gè)公司局域網(wǎng)內(nèi)，信息重要在內(nèi)部傳遞，因而信息被竊聽、篡改也許性很小，是比較安全。6.5應(yīng)用安全在應(yīng)用安全上，重要考慮通信授權(quán)，傳播加密和審計(jì)記錄。這必要加強(qiáng)登錄過程認(rèn)證（特別使在到達(dá)服務(wù)器主機(jī)之前認(rèn)證），保證顧客合法性；另一方面應(yīng)當(dāng)嚴(yán)格限制登錄者操作權(quán)限，將其完畢操作限制在最小范疇內(nèi)。此外，在加強(qiáng)主機(jī)管理上，除了上面談訪問控制和系統(tǒng)漏洞檢測外，還可以采用訪問存取控制，對(duì)權(quán)限進(jìn)行分割和管理。應(yīng)用安全平臺(tái)要加強(qiáng)資源目錄管理和授權(quán)管理、傳播加密、審計(jì)記錄和安全管理。相應(yīng)用安全，重要考慮擬定不同服務(wù)應(yīng)用軟件并緊密注視其Bug；對(duì)掃描軟件不斷升級(jí)。6.6安全管理為了保護(hù)網(wǎng)絡(luò)安全性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增長安全服務(wù)功能，完善系統(tǒng)安全保密辦法外，安全管理規(guī)范也是網(wǎng)絡(luò)安全所必要。安全管理方略一方面從純粹管理上即安全管理規(guī)范來實(shí)現(xiàn)，另一方面從技術(shù)上建立高效管理平臺(tái)（涉及網(wǎng)絡(luò)管理和安全管理）。安全管理方略重要有：定義完善安全管理模型；建立長遠(yuǎn)并且可實(shí)行安全方略；徹底貫徹規(guī)范安全防范辦法；建立恰當(dāng)安全評(píng)估尺度，并且進(jìn)行經(jīng)常性規(guī)則審核。固然，還需要建立高效管理平臺(tái)。6.6.1安全管理規(guī)范面對(duì)網(wǎng)絡(luò)安全脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增長安全服務(wù)功能，完善系統(tǒng)安全保密辦法外，還必要花大力氣加強(qiáng)網(wǎng)絡(luò)安全管理規(guī)范建立，由于諸多不安全因素恰恰反映在組織管理和人員錄取等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必要考慮基本問題，因此應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門領(lǐng)導(dǎo)注重。1.安全管理原則網(wǎng)絡(luò)信息系統(tǒng)安全管理重要基于三個(gè)原則。

多人負(fù)責(zé)原則：每一