【正文】 全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采 取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)、波導(dǎo)，門的關(guān)起等。 系統(tǒng)安全 網(wǎng)絡(luò)結(jié)構(gòu)安全 網(wǎng)絡(luò)結(jié)構(gòu)的安全主要指，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理；線路是否有冗余；路由是否冗余，防止單點(diǎn)失敗等。 應(yīng)用系統(tǒng)安全 在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒(méi)有經(jīng)常用的協(xié)議及協(xié)議端口號(hào)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對(duì)用戶所訪問(wèn)的信息做記錄，為事后審查提供依據(jù)。通過(guò)虛擬子網(wǎng)的劃分 ,能夠?qū)嵼^粗略的訪問(wèn)控制。 通信保密 數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過(guò)配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文。通過(guò)兩端加密機(jī)的協(xié)商配合實(shí)現(xiàn)加密、解密過(guò)程。根據(jù)具體策略，來(lái)保護(hù)內(nèi)部敏感信息和企業(yè)秘密的機(jī)密性、真實(shí)性及完整性。經(jīng)過(guò)對(duì) VPN 的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過(guò)加密隧道，讓另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。 VPN 設(shè)備配置示意圖 由于 VPN 設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺(tái)。但是，網(wǎng)絡(luò)安全不可能完全依靠防火墻單一產(chǎn)品來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品，作為防火墻的必要補(bǔ)充。控制臺(tái)用作制定及管理所有探測(cè)器（網(wǎng)絡(luò)引擎）。 系統(tǒng)掃描系統(tǒng)可以對(duì)網(wǎng)絡(luò)系統(tǒng)中的所有操作系統(tǒng)進(jìn)行安全性掃描，檢測(cè)操作系統(tǒng)存在的安全漏洞，并產(chǎn)生報(bào)表，以供分析；還會(huì)針對(duì)具體安全漏洞提出補(bǔ)救措施。反病毒技術(shù)包括預(yù)防病毒、檢測(cè)病毒和殺毒三種技術(shù)： 預(yù)防病毒技術(shù) 預(yù)防病毒技術(shù)通過(guò)自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進(jìn)行頻繁地掃描和監(jiān)測(cè)。對(duì)有經(jīng)常交換信息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過(guò)口令的認(rèn)證才允許訪問(wèn)數(shù)據(jù)。通過(guò)網(wǎng)絡(luò)備份系統(tǒng)，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行遠(yuǎn)程備份存儲(chǔ)。在數(shù)字證書中有證書擁有者的甄別名稱（ DN， Distinguish Name），并且還有其公開密鑰，對(duì)應(yīng)于該公開密鑰的私有密鑰由證書的擁有者持有，這對(duì)密鑰的作用是用來(lái)進(jìn)行數(shù)字簽名和驗(yàn)證簽名，這樣就能夠保證通訊雙方的真實(shí)身份，同時(shí)采用數(shù)字簽名技術(shù)還很好地解決了不可否認(rèn)性的問(wèn)題。各政府機(jī)關(guān)單位可以根據(jù)自身的實(shí)際情況，制定如安全操作流程、安全事故的獎(jiǎng)罰制度以及對(duì)任命安全管理人員的考查等。 增強(qiáng)人員的安全防 范意識(shí) 政府機(jī)關(guān)單位應(yīng)該經(jīng)常對(duì)單位員工進(jìn)行網(wǎng)絡(luò)安全防范意識(shí)的培訓(xùn)，全面提高員工的整體網(wǎng)絡(luò)安全防范意識(shí)。構(gòu)建安全管理平臺(tái)從技術(shù)上如，組成安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件。隨著不斷發(fā)展及需求情況下，可以對(duì) CA 系統(tǒng)進(jìn)行擴(kuò)充與國(guó)家級(jí) CA 系統(tǒng)互聯(lián)，實(shí)現(xiàn)不同企業(yè)間的交叉認(rèn)證。具體實(shí)現(xiàn)的辦法是使用數(shù)字證書，通過(guò)數(shù)字證書，把證書持有者的公開密鑰（ Public Key）與用戶的身份信息緊密安全地結(jié)合起來(lái)，以實(shí)現(xiàn)身份確認(rèn)和不可否認(rèn)性。 信息存儲(chǔ) 對(duì)有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過(guò)程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。 應(yīng)用安全 內(nèi)部 OA 系統(tǒng)中資源 共享 嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用。 檢 測(cè)病毒技術(shù) 檢測(cè)病毒技術(shù)是通過(guò)對(duì)計(jì)算機(jī)病毒的特征來(lái)進(jìn)行判斷的技術(shù)（如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度的變化等），來(lái)確定病毒的類型。我們都知道，政府網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為 WINDOWS 系統(tǒng)，比較容易感染病毒。由于探測(cè)器采取的是監(jiān)聽不是過(guò)濾數(shù)據(jù)包，因此，入侵檢測(cè)系統(tǒng)的應(yīng)用不會(huì)對(duì)網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。從而防止針對(duì)網(wǎng)絡(luò)的攻擊與犯罪行為。鑒于 VPN 設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)企業(yè)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與公共網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配備 VPN 設(shè)備。設(shè)備配置見下圖。而 VPN 設(shè)備正是一種符合 IPsec 標(biāo)準(zhǔn)的 IP 協(xié)議加密設(shè)備。如果采用多種鏈路加密設(shè)備的設(shè)計(jì)方案則增加了系統(tǒng)投資費(fèi)用，同時(shí)為系統(tǒng)維護(hù)、升級(jí)、擴(kuò)展也帶來(lái)了相應(yīng)困難。 鏈路密碼機(jī)配備示意圖 鏈路加密機(jī)由于是在鏈路級(jí)，加密機(jī)制是采用點(diǎn)對(duì)點(diǎn)的加密、解密。防火墻通過(guò)制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問(wèn)控制。 隔離與訪問(wèn)控制 嚴(yán)格的管理制度 可制定的制度有：《用戶授權(quán)實(shí)施細(xì)則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》、《安全責(zé)任制度》等。還有就是加強(qiáng)登錄身份認(rèn)證。 操作系統(tǒng)安全 對(duì)于操作系統(tǒng)的安全防范可以采取如下策略：盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān) 閉一些起不常用卻存在安全隱患的應(yīng)用、對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件（如 UNIX 下： /.rhost、 etc/host、 passwd、 shadow、 group等； Windows NT 下的 LMHOST、 SAM 等）使用權(quán)限進(jìn)行嚴(yán)格限制；加強(qiáng)口令字的使用（增加口令復(fù)雜程度、不要使用與用戶身份有關(guān)的、容易猜測(cè)的信息作為口令），并及時(shí)給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開。 對(duì)終端設(shè)備輻射的防范。這對(duì)重要的政策、軍隊(duì)、金融機(jī)構(gòu)在興建信息中心時(shí)都將成為首要設(shè)置的條件。 媒體安全 包括媒體數(shù)據(jù)的安全及媒體本身的安全。具體的安全控制系統(tǒng)可以從以下幾個(gè)方面分述 : 物理安全、系統(tǒng)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、管理安全。具體而言，我們可以先對(duì)網(wǎng)絡(luò)做一 個(gè)比較全面的安全體系規(guī)劃，然后，根據(jù)我們網(wǎng)絡(luò)的實(shí)際應(yīng)用狀況，先建立一個(gè)基礎(chǔ)的安全防護(hù)