【正文】 仍會駐留在工作站的內(nèi)存中，非常容易被竊取。 系統(tǒng)組建 目前市場主流 終端架構(gòu)有獨立 PC 機、無盤工作站和虛擬化終端。內(nèi)網(wǎng)主要由 3 層交換機作為核心交換機，下面有兩臺 2 層交換機做接入。防火墻上做 NAT 轉(zhuǎn)換，分別給客戶機端的地址為 。 （ 2） 安全性高 (可有效降低在安全設(shè)備使用上的配置漏洞 )。防火墻 通過制定嚴格的安全策略實現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問控制。 （ 2） 信息存儲 對有涉及企業(yè)秘密信息的用戶主機，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。 （ 1） 內(nèi)部 OA 系統(tǒng)中資源享 嚴格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進行頻繁地掃描和監(jiān)測。反病毒技術(shù)包括預(yù)防病毒、檢測病毒和殺毒三種技術(shù) [4]： （ 1）預(yù)防病毒技術(shù) 預(yù)防病毒技術(shù)通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。鑒于 VPN 設(shè)備的突出優(yōu)點，應(yīng)根據(jù)企業(yè)具體需求，在各個網(wǎng)絡(luò)結(jié)點與公共網(wǎng)絡(luò)相連接的進出口處安裝配備 VPN 設(shè)備。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持 IPsec 標準。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立 IP 安全隧道，能夠保護子網(wǎng)間傳輸信息的機密性、完整性和真實性。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備（ VPN）， VPN 是網(wǎng)絡(luò)加密機，是實現(xiàn)端至端的加密，即一個網(wǎng)點只需配備一臺VPN 加密機。即在有相互訪問需求并且要求加密傳輸?shù)母骶W(wǎng)點的每條外線線路上都得配一臺鏈路加密機。 （ 4）生產(chǎn) VLAN4 和銷售 VLAN3 可以互訪。通過虛擬子網(wǎng)的劃分 ,能夠?qū)嵼^粗略的訪問控制 [2]。 網(wǎng)絡(luò)的設(shè)計 （ 1）物理位置選擇機房應(yīng) 選擇在具有防震、防風和防雨等能力的建筑內(nèi)；機房的承重要求應(yīng)滿足設(shè)計要求；機房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；機房場地應(yīng)當避開強電場、強磁場、強震動源、強噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)，易遭受雷擊的地區(qū)。 （ 4） 安全性和保密性。系統(tǒng)設(shè)計既要采用先進的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對成熟。系統(tǒng)支持遠程 PPTP 接入，外地員工可利用 INTERNET訪問。最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實現(xiàn)Web 應(yīng)用、接入互聯(lián)網(wǎng)、進行安全的廣域網(wǎng)訪問。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進行全面的監(jiān)控和管理。同時由于考慮到 Inteer 的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、 ARP 等。公司對網(wǎng)絡(luò)的依賴性很強，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。公司有一個局域網(wǎng)，約 100 臺計算機，服務(wù)器的操作系統(tǒng)是 Windows Server 2021,客戶機的操作系統(tǒng)是 Windows XP，在 工作組的模式下一人一機辦公。企業(yè)分為財務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。通過軟件或安全手段對客戶端的計算機 加以保護，記錄用戶對客戶端計算機中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對 用戶在客戶端計算機的使用情況進行追蹤，防范外來計算機的侵入而造成破壞。 （ 2） 通信服務(wù)功能。遠程 VPN 撥入訪問功能。 （ 2） 先進性和成熟性。在考慮技術(shù)先進性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達到最大的平均無故障時間， TPLINK 網(wǎng)絡(luò)作為國內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費用，提高網(wǎng)絡(luò)的易用性。 公司內(nèi)部網(wǎng)的設(shè)計 內(nèi)部辦公自動化網(wǎng)絡(luò)根 據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機來劃分虛擬子網(wǎng)（ VLAN），在沒有配置路的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問。 （ 3）市場 VLAN生產(chǎn) VLAN資源 VLAN6 都不能訪問經(jīng)理辦 VLAN財務(wù) VLAN5。 圖 鏈路密碼機配備示意圖 鏈路加密機由于是在鏈路級，加密機制是采用點對點的加密、解密。如果采用多種鏈路加密設(shè)備的設(shè)計方案則增加了系統(tǒng)投資費用，同時為系統(tǒng)維護、升級、擴展也帶來了相應(yīng)困難。而 VPN設(shè)備正是一種符 合 IPsec 標準的 IP 協(xié)議加密設(shè)備。設(shè)備配置見下圖。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)， VPN 設(shè)備可以使網(wǎng)絡(luò)在升級提速時具有很好的擴展性。因此計算機病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。 （ 3）殺毒技術(shù) 殺毒技術(shù)通過對計算機病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。簡言之，就是針對應(yīng)用程序或工具在使用過程中可能出現(xiàn)計算、傳輸數(shù)據(jù)的泄露和失竊，通過其他安全工具或策略來消除隱患。雖然說用戶名加口令的機 制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費相當長的時間。 配置防火墻 防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。 由于采用防火墻、 VPN 技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點： （ 1） 管理、維護簡單、方便 。 網(wǎng)絡(luò)結(jié)構(gòu) 網(wǎng)絡(luò)拓撲圖，如圖 所示 圖 公司網(wǎng)絡(luò)結(jié)構(gòu) 由于華城網(wǎng)絡(luò)公司是直接從電信接入 IP 為 ，直接經(jīng)由防火墻分為 DMZ 區(qū)域和普通區(qū)域。防火墻 DMZ 區(qū)的接口地址為 。安全系統(tǒng)設(shè)計的目標是設(shè)計出系統(tǒng)安全防御體系，設(shè)計和部署體系中各種安全機制從而形成自動的安全防御、監(jiān)察和反應(yīng)體系，忠實地貫徹系統(tǒng)安全策略。而瘦客戶機訪問虛擬桌面時采用的是統(tǒng)一架構(gòu)與協(xié)議，與瘦客戶機及后端服務(wù)器品牌及型號均無要求。 因此綜合如上因素： 我們推薦針對辦公計算機和試驗辦公計算機均采用虛擬化終端架構(gòu)。首先我們明確要對實驗計算機每日生成的機密實驗 數(shù)據(jù)需要進行集中存儲，而且要實現(xiàn)自動存儲。不過，只要企業(yè)數(shù)據(jù)量增加，就必須另外購買存儲設(shè)備與服務(wù)器，因為這些零散的服務(wù)器大大增加管理者的工作份量。 NAS 已經(jīng)是相當成熟且便利的解決方案，對于進行文件式的數(shù)據(jù)存取，也相當方便，不過，由于是透過 IP 網(wǎng)絡(luò)進行數(shù)據(jù)的存取，走的