第一章

本方案為某大型局域網網絡安全葫芦娃黄色下载在线，包括原有網絡係統分析、安全需求分析、安全目標的確立、安全體係結構的設計等。本安全葫芦娃黄色下载在线的目標是在不影響某大型企業局域網當前業務的前提下，實現對他們局域網全麵的安全管理。 

1.將安全策略、硬件及軟件等方法結合起來，構成一個統一的防禦係統，有效阻止非法用戶進入網絡，減少網絡的安全風險。 

2.定期進行漏洞掃描，審計跟蹤，及時發現問題，解決問題。 

3.通過入侵檢測等方式實現實時安全監控，提供快速響應故障的手段，同時具備很好的安全取證措施。 

4.使網絡管理者能夠很快重新組織被破壞了的文件或應用。使係統重新恢複到破壞前的狀態，最大限度地減少損失。 

5.在工作站、葫芦娃成人网站下载上安裝相應的防病毒軟件，由中央控製台統一控製和管理，實現全網統一防病毒。 

第二章 網絡係統概況 

2.1 網絡概況 

這個企業的局域網是一個信息點較為密集的千兆局域網絡係統，它所聯接的現有上千個信息點為在整個企業內辦公的各部門提供了一個快速、方便的信息交流平台。不僅如此，通過專線與Internet的連接，打通了一扇通向外部世界的窗戶，各個部門可以直接與互聯網用戶進行交流、查詢資料等。通過公開葫芦娃成人网站下载，企業可以直接對外發布信息或者發送電子郵件。高速交換技術的采用、靈活的網絡互連方案設計為用戶提供快速、方便、靈活通信平台的同時，也為網絡的安全帶來了更大的風險。因此，在原有網絡上實施一套完整、可操作的安全葫芦娃黄色下载在线不僅是可行的，而且是必需的。 

2.1.1 網絡概述 

這個企業的局域網，物理跨度不大，通過千兆交換機在主幹網絡上提供1000M的獨享帶寬，通過下級交換機與各部門的工作站和葫芦娃成人网站下载連結，並為之提供100M的獨享帶寬。利用與中心交換機連結的Cisco 路由器，所有用戶可直接訪問Internet。 

2.1.2 網絡結構 

這個企業的局域網按訪問區域可以劃分為三個主要的區域：Internet區域、內部網絡、公開葫芦娃成人网站下载區域。內部網絡又可按照所屬的部門、職能、安全重要程度分為許多子網，包括：財務子網、領導子網、辦公子網、市場部子網、中心葫芦娃成人网站下载子網等。在安全方案設計中，葫芦娃看片在线观看基於安全的重要程度和要保護的對象，可以在Catalyst 型交換機上直接劃分四個虛擬局域網（VLAN），即：中心葫芦娃成人网站下载子網、財務子網、領導子網、其他子網。不同的局域網分屬不同的廣播域，由於財務子網、領導子網、中心葫芦娃成人网站下载子網屬於重要網段，因此在中心交換機上將這些網段各自劃分為一個獨立的廣播域，而將其他的工作站劃分在一個相同的網段。（圖省略） 

　　2.2 網絡應用 

這個企業的局域網可以為用戶提供如下主要應用： 

1．文件共享、辦公自動化、WWW服務、電子郵件服務； 

2．文件數據的統一存儲； 

3．針對特定的應用在數據庫葫芦娃成人网站下载上進行二次開發(比如財務係統)； 

4．提供與Internet的訪問； 

5．通過公開葫芦娃成人网站下载對外發布企業信息、發送電子郵件等； 

2.3 網絡結構的特點 

在分析這個企業局域網的安全風險時，應考慮到網絡的如下幾個特點： 

1.網絡與Internet直接連結，因此在進行安全方案設計時要考慮與Internet連結的有關風險，包括可能通過Internet傳播進來病毒，黑客攻擊，來自Internet的非授權訪問等。 

2.網絡中存在公開葫芦娃成人网站下载，由於公開葫芦娃成人网站下载對外必須開放部分業務，因此在進行安全方案設計時應該考慮采用安全葫芦娃成人网站下载網絡，避免公開葫芦娃成人网站下载的安全風險擴散到內部。 

3.內部網絡中存在許多不同的子網，不同的子網有不同的安全性，因此在進行安全方案設計時，應考慮將不同功能和安全級別的網絡分割開，這可以通過交換機劃分VLAN來實現。 

4.網絡中有二台應用葫芦娃成人网站下载，在應用程序開發時就應考慮加強用戶登錄驗證，防止非授權的訪問。 

總而言之，在進行網絡方案設計時，應綜合考慮到這個企業局域網的特點，根據產品的性能、價格、潛在的安全風險進行綜合考慮。 

第三章 網絡係統安全風險分析 

隨著Internet網絡急劇擴大和上網用戶迅速增加，風險變得更加嚴重和複雜。原來由單個計算機安全事故引起的損害可能傳播到其他係統，引起大範圍的癱瘓和損失；另外加上缺乏安全控製機製和對Internet安全政策的認識不足，這些風險正日益嚴重。 

針對這個企業局域網中存在的安全隱患，在進行安全方案設計時，下述安全風險葫芦娃看片在线观看必須要認真考慮，並且要針對麵臨的風險，采取相應的安全措施。下述風險由多種因素引起，與這個企業局域網結構和係統的應用、局域網內網絡葫芦娃成人网站下载的可靠性等因素密切相關。下麵列出部分這類風險因素： 

網絡安全可以從以下三個方麵來理解：1 網絡物理是否安全；2 網絡平台是否安全；3 係統是否安全；4 應用是否安全；5 管理是否安全。針對每一類安全風險，結合這個企業局域網的實際情況，葫芦娃看片在线观看將具體的分析網絡的安全風險。 

3.1物理安全風險分析 



網絡的物理安全的風險是多種多樣的。 

網絡的物理安全主要是指地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁幹擾；線路截獲。以及高可用性的硬件、雙機多冗餘的設計、機房環境及報警係統、安全意識等。它是整個網絡係統安全的前提，在這個企業區局域網內，由於網絡的物理跨度不大，，隻要製定健全的安全管理製度，做好備份，並且加強網絡設備和機房的管理，這些風險是可以避免的。 

3.2網絡平台的安全風險分析 

網絡結構的安全涉及到網絡拓撲結構、網絡路由狀況及網絡的環境等。 

公開葫芦娃成人网站下载麵臨的威脅 

這個企業局域網內公開葫芦娃成人网站下载區（WWW、EMAIL等葫芦娃成人网站下载）作為公司的信息發布平台，一旦不能運行後者受到攻擊，對企業的聲譽影響巨大。同時公開葫芦娃成人网站下载本身要為外界服務，必須開放相應的服務；每天，黑客都在試圖闖入Internet節點，這些節點如果不保持警惕，可能連黑客怎麽闖入的都不知道，甚至會成為黑客入侵其他站點的跳板。因此，規模比較大網絡的管理人員對Internet安全事故做出有效反應變得十分重要。葫芦娃看片在线观看有必要將公開葫芦娃成人网站下载、內部網絡與外部網絡進行隔離，避免網絡結構信息外泄；同時還要對外網的服務請求加以過濾，隻允許正常通信的數據包到達相應主機，其他的請求服務在到達主機之前就應該遭到拒絕。 

整個網絡結構和路由狀況 

安全的應用往往是建立在網絡係統之上的。網絡係統的成熟與否直接影響安全係統成功的建設。在這個企業局域網絡係統中，隻使用了一台路由器，用作與Internet連結的邊界路由器，網絡結構相對簡單，具體配置時可以考慮使用靜態路由，這就大大減少了因網絡結構和網絡路由造成的安全風險。 

3.3係統的安全風險分析 

所謂係統的安全顯而易見是指整個局域網網絡操作係統、網絡硬件平台是否可靠且值得信任。 

網絡操作係統、網絡硬件平台的可靠性：對於中國來說，恐怕沒有絕對安全的操作係統可以選擇，無論是Microsoft的Windows NT或者其他任何商用UNIX操作係統，其開發廠商必然有其Back-Door。葫芦娃看片在线观看可以這樣講：沒有完全安全的操作係統。但是，葫芦娃看片在线观看可以對現有的操作平台進行安全配置、對操作和訪問權限進行嚴格控製，提高係統的安全性。因此，不但要選用盡可能可靠的操作係統和硬件平台。而且，必須加強登錄過程的認證（特別是在到達葫芦娃成人网站下载主機之前的認證），確保用戶的合法性；其次應該嚴格限製登錄者的操作權限，將其完成的操作限製在最小的範圍內。

3.4應用的安全風險分析 

應用係統的安全跟具體的應用有關，它涉及很多方麵。應用係統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方麵。 

應用係統的安全動態的、不斷變化的：應用的安全涉及麵很廣，以目前Internet上應用最為廣泛的E-mail係統來說，其葫芦娃黄色下载在线有幾十種，但其係統內部的編碼甚至編譯器導致的BUG是很少有人能夠發現的，因此一套詳盡的測試軟件是相當必須的。但是應用係統是不斷發展且應用類型是不斷增加的，其結果是安全漏洞也是不斷增加且隱藏越來越深。因此，保證應用係統的安全也是一個隨網絡發展不斷完善的過程。 

應用的安全性涉及到信息、數據的安全性：信息的安全性涉及到：機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞係統的可用性等。由於這個企業局域網跨度不大，絕大部分重要信息都在內部傳遞，因此信息的機密性和完整性是可以保證的。對於有些特別重要的信息需要對內部進行保密的（比如領導子網、財務係統傳遞的重要信息）可以考慮在應用級進行加密，針對具體的應用直接在應用係統開發時進行加密。 

3.5管理的安全風險分析 

管理是網絡安全中最重要的部分 

管理是網絡中安全最最重要的部分。責權不明，管理混亂、安全管理製度不健全及缺乏可操作性等都可能引起管理安全的風險。責權不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無意泄漏他們所知道的一些重要信息，而管理上卻沒有相應製度來約束。 

當網絡出現攻擊行為或網絡受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網絡的可控性與可審查性。這就要求葫芦娃看片在线观看必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。 

建立全新網絡安全機製，必須深刻理解網絡並能提供直接的葫芦娃黄色下载在线，因此，最可行的做法是管理製度和管理葫芦娃黄色下载在线的結合。 

3.6黑客攻擊 

黑客們的攻擊行動是無時無刻不在進行的，而且會利用係統和管理上的一切可能利用的漏洞。公開葫芦娃成人网站下载存在漏洞的一個典型例證，是黑客可以輕易地騙過公開葫芦娃成人网站下载軟件，得到Unix的口令文件並將之送回。黑客侵入UNIX葫芦娃成人网站下载後，有可能修改特權，從普通用戶變為高級用戶，一旦成功，黑客可以直接進入口令文件。黑客還能開發欺騙程序，將其裝入UNIX葫芦娃成人网站下载中，用以監聽登錄會話。當它發現有用戶登錄時，便開始存儲一個文件，這樣黑客就擁有了他人的帳戶和口令。這時為了防止黑客，需要設置公開葫芦娃成人网站下载，使得它不離開自己的空間而進入另外的目錄。另外，還應設置組特權，不允許任何使用公開葫芦娃成人网站下载的人訪問WWW頁麵文件以外的東西。在這個企業的局域網內葫芦娃看片在线观看可以綜合采用防火牆技術、Web頁麵保護技術、入侵檢測技術、安全評估技術來保護網絡內的信息資源，防止黑客攻擊。 

3.7通用網關接口（CGI）漏洞 

有一類風險涉及通用網關接口（CGI）腳本。許多頁麵文件和指向其他頁麵或站點的超連接。然而有些站點用到這些超連接所指站點尋找特定信息。搜索引擎是通過CGI腳本執行的方式實現的。黑客可以修改這些CGI腳本以執行他們的非法任務。通常，這些CGI腳本隻能在這些所指WWW葫芦娃成人网站下载中尋找，但如果進行一些修改，他們就可以在WWW 葫芦娃成人网站下载之外進行尋找。要防止這類問題發生，應將這些CGI腳本設置為較低級用戶特權。提高係統的抗破壞能力，提高葫芦娃成人网站下载備份與恢複能力，提高站點內容的防篡改與自動修複能力。 

3.8惡意代碼 

惡意代碼不限於病毒，還包括蠕蟲、特洛伊木馬、邏輯炸彈、和其他未經同意的軟件。應該加強對惡意代碼的檢測。 

3.9病毒的攻擊 

計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒，例如通過E-Mail傳播的病毒，增加了這種威脅的程度。病毒的種類和傳染方式也在增加，國際空間的病毒總數已達上萬甚至更多。當然，查看文檔、瀏覽圖像或在Web上填表都不用擔心病毒感染，然而，下載可執行文件和接收來曆不明的E-Mail文件需要特別警惕，否則很容易使係統導致嚴重的破壞。典型的“CIH”病毒就是一可怕的例子。 

3.10不滿的內部員工 

不滿的內部員工可能在WWW站點上開些小玩笑，甚至破壞。不論如何，他們最熟悉葫芦娃成人网站下载、小程序、腳本和係統的弱點。對於已經離職的不滿員工，可以通過定期改變口令和刪除係統記錄以減少這類風險。但還有心懷不滿的在職員工，這些員工比已經離開的員工能造成更大的損失，例如他們可以傳出至關重要的信息、泄露安全重要信息、錯誤地進入數據庫、刪除數據等等。 

3.11網絡的攻擊手段 

一般認為，目前對網絡的攻擊手段主要表現在： 

非授權訪問：沒有預先經過同意，就使用網絡或計算機資源被看作非授權訪問，如有意避開係統訪問控製機製，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網絡係統進行違法操作、合法用戶以未授權方式進行操作等。 

信息泄漏或丟失：指敏感數據在有意或無意中被泄漏出去或丟失，它通常包括，信息在傳輸中丟失或泄漏（如"黑客"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或通過對信息流向、流量、通信頻度和長度等參數的分析，推出有用信息，如用戶口令、帳號等重要信息。），信息在存儲介質中丟失或泄漏，通過建立隱蔽隧道等竊取敏感信息等。 

破壞數據完整性：以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益於攻擊者的響應；惡意添加，修改數據，以幹擾用戶的正常使用。 

拒絕服務攻擊：它不斷對網絡服務係統進行幹擾，改變其正常的作業流程，執行無關程序使係統響應減慢甚至癱瘓，影響正常用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡係統或不能得到相應的服務。 

利用網絡傳播病毒：通過網絡傳播計算機病毒，其破壞性大大高於單機係統，而且用戶很難防範。

第四章 安全需求與安全目標 

4.1安全需求分析 

通過前麵葫芦娃看片在线观看對這個企業局域網絡結構、應用及安全威脅分析，可以看出其安全問題主要集中在對葫芦娃成人网站下载的安全保護、防黑客和病毒、重要網段的保護以及管理安全上。因此，葫芦娃看片在线观看必須采取相應的安全措施杜絕安全隱患，其中應該做到： 

公開葫芦娃成人网站下载的安全保護 

防止黑客從外部攻擊 

入侵檢測與監控 

信息審計與記錄 

病毒防護 

數據安全保護 

數據備份與恢複 

網絡的安全管理 

針對這個企業局域網絡係統的實際情況，在係統考慮如何解決上述安全問題的設計時應滿足如下要求： 

1.大幅度地提高係統的安全性（重點是可用性和可控性）； 

2.保持網絡原有的能特點，即對網絡的協議和傳輸具有很好的透明性，能透明接入，無需更改網絡設置； 

3.易於操作、維護，並便於自動化管理，而不增加或少增加附加操作； 

4.盡量不影響原網絡拓撲結構，同時便於係統及係統功能的擴展； 

5.安全保密係統具有較好的性能價格比，一次性投資，可以長期使用； 

6.安全產品具有合法性，及經過國家有關管理部門的認可或認證； 

7.分布實施。 

4.2網絡安全策略 



安全策略是指在一個特定的環境裏，為保證提供一定級別的安全保護所必須遵守的規則。該安全策略模型包括了建立安全環境的三個重要組成部分，即： 

威嚴的法律：安全的基石是社會法律、法規、與手段，這部分用於建立一套安全管理標準和方法。即通過建立與信息安全相關的法律、法規，使非法分子懾於法律，不敢輕舉妄動。 

先進的技術：先進的安全技術是信息安全的根本保障，用戶對自身麵臨的威脅進行風險評估，決定其需要的安全服務種類，選擇相應的安全機製，然後集成先進的安全技術。 

嚴格的管理：各網絡使用機構、企業和單位應建立相宜的信息安全管理辦法，加強內部管理，建立審計和跟蹤體係，提高整體信息安全意識。 

4.3係統安全目標 

基於以上的分析，葫芦娃看片在线观看認為這個局域網網絡係統安全應該實現以下目標： 

建立一套完整可行的網絡安全與網絡管理策略 

將內部網絡、公開葫芦娃成人网站下载網絡和外網進行有效隔離，避免與外部網絡的直接通信 

建立網站各主機和葫芦娃成人网站下载的安全保護措施，保證他們的係統安全 

對網上服務請求內容進行控製，使非法訪問在到達主機前被拒絕 

加強合法用戶的訪問認證，同時將用戶的訪問權限控製在最低限度 

全麵監視對公開葫芦娃成人网站下载的訪問，及時發現和拒絕不安全的操作和黑客攻擊行為 

加強對各種訪問的審計工作，詳細記錄對網絡、公開葫芦娃成人网站下载的訪問行為，形成完 整的係統日誌 

備份與災難恢複——強化係統備份，實現係統快速恢複 

加強網絡安全管理，提高係統全體人員的網絡安全意識和防範技術 

第五章 網絡安全方案總體設計 

5.1安全方案設計原則 

在對這個企業局域網網絡係統安全方案設計、規劃時，應遵循以下原則： 

綜合性、整體性原則：應用係統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各種管理製度（人員審查、工作流程、維護保障製度等）以及專業措施（識別技術、存取控製、密碼、低輻射、容錯、防病毒、采用高安全產品等）。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網絡，包括個人、設備、軟件、數據等。這些環節在網絡中的地位和影響作用，也隻有從係統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循整體安全性原則，根據規定的安全策略製定出合理的網絡安全體係結構。 

需求、風險、代價平衡的原則：對任一網絡，絕對安全難以達到，也不一定是必要的。對一個網絡進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），並對網絡麵臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然後製定規範和措施，確定本係統的安全策略。 

一致性原則：一致性原則主要是指網絡安全問題應與整個網絡的工作周期（或生命周期）同時存在，製定的安全體係結構必須與網絡的安全需求相一致。安全的網絡係統設計（包括初步或詳細設計）及實施計劃、網絡驗證、驗收、運行等，都要有安全的內容光煥發及措施，實際上，在網絡建設的開始就考慮網絡安全對策，比在網絡建設好後再考慮安全措施，不但容易，且花費也小得多。 

易操作性原則：安全措施需要人為去完成，如果措施過於複雜，對人的要求過高，本身就降低了安全性。其次，措施的采用不能影響係統的正常運行。 

分步實施原則：由於網絡係統及其應用擴展範圍廣闊，隨著網絡規模的擴大及應用的增加，網絡脆弱性也會不斷增加。一勞永逸地解決網絡安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網絡係統及信息安全的基本需求，亦可節省費用開支。 

多重保護原則：任何安全措施都不是絕對安全的，都可能被攻破。但是建立一個多重保護係統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。 

可評價性原則：如何預先評價一個安全設計並驗證其網絡的安全性，這需要通過國家有關網絡信息安全測評認證機構的評估來實現。 

5.2安全服務、機製與技術 

安全服務：安全服務主要有：控製服務、對象認證服務、可靠性服務等； 

安全機製：訪問控製機製、認證機製等； 

安全技術：防火牆技術、鑒別技術、審計監控技術、病毒防治技術等；在安全的開放環境中，用戶可以使用各種安全應用。安全應用由一些安全服務來實現；而安全服務又是由各種安全機製或安全技術來實現的。應當指出，同一安全機製有時也可以用於實現不同的安全服務。

第六章 網絡安全體係結構 

通過對網絡的全麵了解，按照安全策略的要求、風險分析的結果及整個網絡的安全目標，整個網絡措施應按係統體係建立。具體的安全控製係統由以下幾個方麵組成：物理安全、網絡安全、係統安全、信息安全、應用安全和安全管理 

6.1物理安全 

保證計算機信息係統各種設備的物理安全是整個計算機信息係統安全的前提，物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 它主要包括三個方麵： 

環境安全：對係統所在環境的安全保護，如區域保護和災難保護；（參見國家標準GB50173－93《電子計算機機房設計規範》、國標GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》 

設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁幹擾及電源保護等； 

媒體安全：包括媒體數據的安全及媒體本身的安全。 

在網絡的安全方麵，主要考慮兩個大的層次，一是整個網絡結構成熟化，主要是優化網絡結構，二是整個網絡係統的安全。 

6.2.1網絡結構 

安全係統是建立在網絡係統之上的，網絡結構的安全是安全係統成功建立的基礎。在整個網絡結構的安全方麵，主要考慮網絡結構、係統和路由的優化。 

網絡結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網絡維護管理、網絡應用與業務定位等因素。成熟的網絡結構應具有開放性、標準化、可靠性、先進性和實用性，並且應該有結構化的設計，充分利用現有資源，具有運營管理的簡便性，完善的安全保障體係。網絡結構采用分層的體係結構，利於維護管理，利於更高的安全控製和業務發展。 

網絡結構的優化，在網絡拓撲上主要考慮到冗餘鏈路；防火牆的設置和入侵檢測的實時監控等。 

6.2.2網絡係統安全 

6.2.2.1 訪問控製及內外網的隔離 

訪問控製 

訪問控製可以通過如下幾個方麵來實現： 

1.製訂嚴格的管理製度:可製定的相應：《用戶授權實施細則》、《口令字及帳戶管理規範》、《權限管理製度》。 

2.配備相應的安全設備：在內部網與外部網之間，設置防火牆實現內外網的隔離與訪問控製是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不同網絡或網絡安全域之間信息的唯一出入口。 

防火牆主要的種類是包過濾型，包過濾防火牆一般利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾，能根據企業的安全政策來控製（允許、拒絕、監測）出入網絡的信息流。同時可實現網絡地址轉換（NAT）、審記與實時告警等功能。由於這種防火牆安裝在被保護網絡與路由器之間的通道上，因此也對被保護網絡和外部網絡起到隔離作用。 

防火牆具有以下五大基本功能：過濾進、出網絡的數據；管理進、出網絡的訪問行為；封堵某些禁止的業務；記錄通過防火牆的信息內容和活動；對網絡攻擊的檢測和告警。 

6.2.2.2 內部網不同網絡安全域的隔離及訪問控製 

在這裏，主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網絡劃分為幾個不同的廣播域，實現內部一個網段與另一個網段的物理隔離。這樣，就能防止影響一個網段的問題穿過整個網絡傳播。針對某些網絡，在某些情況下，它的一些局域網的某個網段比另一個網段更受信任，或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的VLAN段內，就可以限製局部網絡安全問題對全局網絡造成的影響。 

6.2.2.3 網絡安全檢測 

網絡係統的安全性取決於網絡係統中最薄弱的環節。如何及時發現網絡係統中最薄弱的環節？如何最大限度地保證網絡係統的安全？最有效的方法是定期對網絡係統進行安全性分析，及時發現並修正存在的弱點和漏洞。 

網絡安全檢測工具通常是一個網絡安全性評估分析軟件，其功能是用實踐性的方法掃描分析網絡係統，檢查報告係統存在的弱點和漏洞，建議補救措施和安全策略，達到增強網絡安全性的目的。檢測工具應具備以下功能： 

具備網絡監控、分析和自動響應功能 

找出經常發生問題的根源所在； 

建立必要的循環過程確保隱患時刻被糾正；控製各種網絡安全危險。 

漏洞分析和響應 

配置分析和響應 

漏洞形勢分析和響應 

認證和趨勢分析 

具體體現在以下方麵： 

防火牆得到合理配置 

內外WEB站點的安全漏洞減為最低 

網絡體係達到強壯的耐攻擊性 

各種葫芦娃成人网站下载操作係統，如E_MIAL葫芦娃成人网站下载、WEB葫芦娃成人网站下载、應用葫芦娃成人网站下载、，將受黑客攻擊的可能降為最低 

對網絡訪問做出有效響應，保護重要應用係統（如財務係統）數據安全不受黑客攻擊和內部人　員誤操作的侵害 

6.2.2.4 審計與監控 

審計是記錄用戶使用計算機網絡係統進行所有活動的過程，它是提高安全性的重要工具。它不僅能夠識別誰訪問了係統，還能看出係統正被怎樣地使用。對於確定是否有網絡攻擊的情況，審計信息對於去定問題和攻擊源很重要。同時，係統事件的記錄能夠更迅速和係統地識別問題，並且它是後麵階段事故處理的重要依據。另外，通過對安全事件的不斷收集與積累並且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發現或可能產生的破壞性行為提供有力的證據。 

因此，除使用一般的網管軟件和係統監控管理係統外，還應使用目前較為成熟的網絡監控設備或實時入侵檢測設備，以便對進出各級局域網的常見操作進行實時檢查、監控、報警和阻斷，從而防止針對網絡的攻擊與犯罪行為。 

6.2.2.5 網絡防病毒 

由於在網絡環境下，計算機病毒有不可估量的威脅性和破壞力，一次計算機病毒的防範是網絡安全性建設中重要的一環。 

網絡反病毒技術包括預防病毒、檢測病毒和消毒三種技術： 

1.預防病毒技術：它通過自身常駐係統內存，優先獲得係統的控製權，監視和判斷係統中是否有病毒存在，進而阻止計算機病毒進入計算機係統和對係統進行破壞。這類技術有，加密可執行程序、引導區保護、係統監控與讀寫控製（如防病毒軟件等）。 

2.檢測病毒技術：它是通過對計算機病毒的特征來進行判斷的技術，如自身校驗、關鍵字、文件長度的變化等。 

3.清除病毒技術：它通過對計算機病毒的分析，開發出具有刪除病毒程序並恢複原文件的軟件。 

網絡反病毒技術的具體實現方法包括對網絡葫芦娃成人网站下载中的文件進行頻繁地掃描和監測；在工作站上用防病毒芯片和對網絡目錄及文件設置訪問權限等。 

所選的防毒軟件應該構造全網統一的防病毒體係。主要麵向MAIL 、Web葫芦娃成人网站下载，以及辦公網段的PC葫芦娃成人网站下载和PC機等。支持對網絡、葫芦娃成人网站下载、和工作站的實時病毒監控；能夠在中心控製台向多個目標分發新版殺毒軟件，並監視多個目標的病毒防治情況；支持多種平台的病毒防範；能夠識別廣泛的已知和未知病毒，包括宏病毒；支持對Internet/ Intranet葫芦娃成人网站下载的病毒防治，能夠阻止惡意的Java或ActiveX小程序的破壞；支持對電子郵件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持對壓縮文件的病毒檢測；支持廣泛的病毒處理選項，如對染毒文件進行實時殺毒，移出，重新命名等；支持病毒隔離，當客戶機試圖上載一個染毒文件時，葫芦娃成人网站下载可自動關閉對該工作站的連接；提供對病毒特征信息和檢測引擎的定期在線更新服務；支持日誌記錄功能；支持多種方式的告警功能（聲音、圖像、電子郵件等）等。

6.2.2.6 網絡備份係統 

備份係統為一個目的而存在：盡可能快地全盤恢複運行計算機係統所需的數據和係統信息。根據係統安全需求可選擇的備份機製有：場點內高速度、大容量自動的數據存儲、備份與恢複；場點外的數據存儲、備份與恢複；對係統設備的備份。備份不僅在網絡係統硬件故障或人為失誤時起到保護作用，也在入侵者非授權訪問或對網絡攻擊及破壞數據完整性時起到保護作用，同時亦是係統災難恢複的前提之一。 

在確定備份的指導思想和備份方案之後，就要選擇安全的存儲媒介和技術進行數據備份，有“冷備份”和“熱備份”兩種。熱備份是指“在線”的備份，即下載備份的數據還在整個計算機係統和網絡中，隻不過傳到令一個非工作的分區或是另一個非實時處理的業務係統中存放。“冷備份”是指“不在線”的備份，下載的備份存放到安全的存儲媒介中，而這種存儲媒介與正在運行的整個計算機係統和網絡沒有直接聯係，在係統恢複時重新安裝，有一部分原始的數據長期保存並作為查詢使用。熱備份的優點是投資大，但調用快，使用方便，在係統恢複中需要反複調試時更顯優勢。熱備份的具體做法是：可以在主機係統開辟一塊非工作運行空間，專門存放備份數據，即分區備份；另一種方法是，將數據備份到另一個子係統中，通過主機係統與子係統之間的傳輸，同樣具有速度快和調用方便的特點，但投資比較昂貴。冷備份彌補了熱備份的一些不足，二者優勢互補，相輔相成，因為冷備份在回避風險中還具有便於保管的特殊優點。 

6.3係統安全 

係統的安全主要是指操作係統、應用係統的安全性以及網絡硬件平台的可靠性。對於操作係統的安全防範可以采取如下策略： 

對操作係統進行安全配置，提高係統的安全性；係統內部調用不對Internet公開；關鍵性信息不直接公開，盡可能采用安全性高的操作係統。 

應用係統在開發時，采用規範化的開發過程，盡可能的減少應用係統的漏洞； 

網絡上的葫芦娃成人网站下载和網絡設備盡可能不采取同一家的產品； 

通過專業的安全工具（安全檢測係統）定期對網絡進行安全評估。 

6.4信息安全 

在這個企業的局域網內，信息主要在內部傳遞，因此信息被竊聽、篡改的可能性很小，是比較安全的。 

6.5應用安全 

在應用安全上，主要考慮通信的授權，傳輸的加密和審計記錄。這必須加強登錄過程的認證（特別使在到達葫芦娃成人网站下载主機之前的認證），確保用戶的合法性；其次應該嚴格限製登錄者的操作權限，將其完成的操作限製在最小的範圍內。另外，在加強主機的管理上，除了上麵談的訪問控製和係統漏洞檢測外，還可以采用訪問存取控製，對權限進行分割和管理。應用安全平台要加強資源目錄管理和授權管理、傳輸加密、審計記錄和安全管理。對應用安全，主要考慮確定不同服務的應用軟件並緊密注視其Bug ；對掃描軟件不斷升級。 

6.6安全管理 

為了保護網絡的安全性，除了在網絡設計上增加安全服務功能，完善係統的安全保密措施外，安全管理規範也是網絡安全所必須的。安全管理策略一方麵從純粹的管理上即安全管理規範來實現，另一方麵從技術上建立高效的管理平台（包括網絡管理和安全管理）。安全管理策略主要有：定義完善的安全管理模型；建立長遠的並且可實施的安全策略；徹底貫徹規範的安全防範措施；建立恰當的安全評估尺度，並且進行經常性的規則審核。當然，還需要建立高效的管理平台。 

6.6.1安全管理規範 

麵對網絡安全的脆弱性，除了在網絡設計上增加安全服務功能，完善係統的安全保密措施外，還必須花大力氣加強網絡安全管理規範的建立，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方麵，而這又是計算機網絡安全所必須考慮的基本問題，所以應引起各計算機網絡應用部門領導的重視。 

1.安全管理原則 

網絡信息係統的安全管理主要基於三個原則。 

多人負責原則：每一項與安全有關的活動，都必須有兩人或多人在場。這些人應是係統主管領導指派的，他們忠誠可靠，能勝任此項工作；他們應該簽署工作情況記錄以證明安全工作已得到保障。具體的活動有： 

訪問控製使用證件的發放與回收； 

信息處理係統使用的媒介發放與回收； 

處理保密信息； 

硬件和軟件的維護； 

係統軟件的設計、實現和修改； 

重要程序和數據的刪除和銷毀等； 

任期有限原則：一般地講，任何人最好不要長期擔任與安全有關的職務，以免使他認為這個職務是專有的或永久性的。為遵循任期有限原則，工作人員應不定期地循環任職，強製實行休假製度，並規定對工作人員進行輪流培訓，以使任期有限製度切實可行。 

職責分離原則：在信息處理係統工作的人員不要打聽、了解或參與職責以外的任何與安全有關的事情，除非係統主管領導批準。出於對安全的考慮，下麵每組內的兩項信息處理工作應當分開。 

計算機操作與計算機編程； 

機密資料的接收和傳送； 

安全管理和係統管理； 

應用程序和係統程序的編製； 

訪問證件的管理與其它工作； 

計算機操作與信息處理係統使用媒介的保管等。 

2.安全管理的實現 

信息係統的安全管理部門應根據管理原則和該係統處理數據的保密性，製定相應的管理製度或采用相應的規範。具體工作是： 

根據工作的重要程度，確定該係統的安全等級 

根據確定的安全等級，確定安全管理的範圍 

製訂相應的機房出入管理製度對於安全等級要求較高的係統，要實行分區控製，限製工作人員出入與己無關的區域。出入管理可采用證件識別或安裝自動識別登記係統，采用磁卡、身份卡等手段，對人員進行識別、登記管理。 

製訂嚴格的操作規程 

操作規程要根據職責分離和多人負責的原則，各負其責，不能超越自己的管轄範圍。 

製訂完備的係統維護製度 

對係統進行維護時，應采取數據保護措施，如數據備份等。維護時要首先經主管部門批準，並有安全管理人員在場，故障的原因、維護內容和維護前後的情況要詳細記錄。 

製訂應急措施 

要製定係統在緊急情況下，如何盡快恢複的應急措施，使損失減至最小。建立人員雇用和解聘製度，對工作調動和離職人員要及時調整響應的授權。 

6.6.2網絡管理 



管理員可以在管理機器上對整個內部網絡上的網絡設備、安全設備、網絡上的防病毒軟件、入侵檢測探測器進行綜合管理，同時利用安全分析軟件可以從不同角度對所有的設備、葫芦娃成人网站下载、工作站進行安全掃描，分析他們的安全漏洞，並采取相應的措施。 

6.6.3安全管理 

安全管理的主要功能指對安全設備的管理；監視網絡危險情況，對危險進行隔離，並把危險控製在最小範圍內；身份認證，權限設置；對資源的存取權限的管理；對資源或用戶動態的或靜態的審計；對違規事件，自動生成報警或生成事件消息；口令管理（如操作員的口令鑒權），對無權操作人員進行控製；密鑰管理：對於與密鑰相關的葫芦娃成人网站下载，應對其設置密鑰生命期、密鑰備份等管理功能；冗餘備份：為增加網絡的安全係數，對於關鍵的葫芦娃成人网站下载應冗餘備份。安全管理應該從管理製度和管理平台技術實現兩個方麵來實現。安全管理產品盡可能的支持統一的中心控製平台。