【正文】 。4）適度安全性原則系統(tǒng)安全方案應(yīng)充分考慮保護(hù)對(duì)象的價(jià)值與保護(hù)成本之間的平衡性，在允許的風(fēng)險(xiǎn)范圍內(nèi)盡量減少安全服務(wù)的規(guī)模和復(fù)雜性，使之具有可操作性，避免超出用戶所能理解的范圍，變得很難執(zhí)行或無法執(zhí)行。7）系統(tǒng)可伸縮性原則XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)將隨著網(wǎng)絡(luò)和應(yīng)用技術(shù)的發(fā)展而發(fā)生變化，同時(shí)信息安全技術(shù)也在發(fā)展，因此安全系統(tǒng)的建設(shè)必須考慮系統(tǒng)可升級(jí)性和可伸縮性。由于許多重要的信息都通過網(wǎng)絡(luò)進(jìn)行交換， 網(wǎng)絡(luò)傳輸由于XXX企業(yè)中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為企業(yè)內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等；另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連?？稍诿考?jí)管理域內(nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。將對(duì)外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對(duì)外訪問、記錄日志。由于網(wǎng)絡(luò)安全的是一個(gè)綜合的系統(tǒng)工程，是由許多因素決定的，而不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對(duì)安全設(shè)備的管理就顯得尤為重要。 訪問控制由于XXX企業(yè)廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。作為必要的補(bǔ)充，入侵檢測(cè)系統(tǒng)（IDS）可與安全VPN系統(tǒng)形成互補(bǔ)?？刂婆_(tái)用作制定及管理所有探測(cè)器（網(wǎng)絡(luò)引擎）。入侵檢測(cè)儀在使用上是獨(dú)立網(wǎng)絡(luò)使用的，網(wǎng)絡(luò)數(shù)據(jù)全部通過VPN設(shè)備，而入侵檢測(cè)設(shè)備在網(wǎng)絡(luò)上進(jìn)行疹聽，監(jiān)控網(wǎng)絡(luò)狀況，一旦發(fā)現(xiàn)攻擊行為將通過報(bào)警、通知VPN設(shè)備中斷網(wǎng)絡(luò)（即IDS與VPN聯(lián)動(dòng)功能）等方式進(jìn)行控制（即安全設(shè)備自適應(yīng)機(jī)制），最后將攻擊行為進(jìn)行日志記錄以供以后審查。 其它對(duì)復(fù)雜或有特殊要求的網(wǎng)絡(luò)環(huán)境，在采取安全措施上應(yīng)當(dāng)特殊考慮，增加新的安全措施。一般用戶運(yùn)行在PC機(jī)上的NT平臺(tái)，在選擇性地用好NT安全機(jī)制的同時(shí)，應(yīng)加強(qiáng)監(jiān)控管理。在選擇這些應(yīng)用系統(tǒng)時(shí)，應(yīng)當(dāng)盡量選擇國內(nèi)軟件開發(fā)商進(jìn)行開發(fā)，系統(tǒng)類型也應(yīng)當(dāng)盡量采用國內(nèi)自主開發(fā)的應(yīng)用系統(tǒng)。病毒對(duì)信息系統(tǒng)的正常工作運(yùn)行產(chǎn)生很大影響，據(jù)統(tǒng)計(jì)，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。l 充分考慮XXX網(wǎng)絡(luò)的系統(tǒng)數(shù)據(jù)、文件的安全可靠性，所選產(chǎn)品與現(xiàn)系統(tǒng)具有良好的一致性和兼容性，以及最低的系統(tǒng)資源占用，保證不對(duì)現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響。l 應(yīng)用經(jīng)由ICSA（國際電腦安全協(xié)會(huì)）技術(shù)認(rèn)證的掃描引擎，保證對(duì)包括各種千面人病毒、變種病毒和黑客程序等具有最佳的病毒偵測(cè)率，除對(duì)已知病毒具備全面的偵防能力，對(duì)未知病毒亦有良好的偵測(cè)能力。l 具有良好的可擴(kuò)充性，充分保護(hù)用戶的現(xiàn)有投資，適應(yīng) XXX網(wǎng)絡(luò)系統(tǒng)的今后發(fā)展需要 產(chǎn)品應(yīng)用根據(jù)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的結(jié)構(gòu)和應(yīng)用特點(diǎn)，病毒防御可采取多種措施：l 網(wǎng)關(guān)防毒；l 服務(wù)器防毒；l 客戶端防毒；l 郵件防毒；應(yīng)用拓?fù)淙缦聢D：圖44病毒應(yīng)用拓?fù)鋱D在網(wǎng)絡(luò)骨干接入處，安裝防毒墻（即安裝有網(wǎng)關(guān)殺毒軟件的獨(dú)立網(wǎng)關(guān)設(shè)備），由防毒墻實(shí)現(xiàn)網(wǎng)絡(luò)接入處的病毒防護(hù)?？稍诜?wù)器上安裝客戶端防病毒產(chǎn)品（客戶端殺毒軟件的工作模式是服務(wù)器端、客戶端的方式）的服務(wù)器端，由客戶端通過網(wǎng)絡(luò)與服務(wù)器端連接后進(jìn)行網(wǎng)絡(luò)化安裝。 數(shù)據(jù)備份作為國家機(jī)關(guān)，XXX企業(yè)內(nèi)部存在大量的數(shù)據(jù)，而這里面又有許多重要的、機(jī)密的信息。l 數(shù)據(jù)安全即數(shù)據(jù)在備份前是真實(shí)數(shù)據(jù)，沒有經(jīng)過篡改或含有病毒。對(duì)重要備份數(shù)據(jù)的異地、多處備份（避免類似美國911事件為各公司產(chǎn)生的影響） 安全審計(jì)作為一個(gè)良好的安全系統(tǒng)，安全審計(jì)必不可少。 物理安全XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的物理安全要求是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)和雷擊等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程。 隔離卡工作方式 隔離卡上有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)接內(nèi)網(wǎng)，一個(gè)接外網(wǎng)；另外還有一個(gè)控制口，通過控制口連接一個(gè)控制器（只有火柴盒大?。?，放置于電腦旁邊。其中二樓6個(gè)，三樓12個(gè)，四樓2個(gè)。不少用戶為防止計(jì)算機(jī)及其局域網(wǎng)或廣域網(wǎng)遭雷擊，便簡(jiǎn)單地在與外部線路連接的調(diào)制解調(diào)器上安裝避雷器，但由于靜電感應(yīng)雷、防電磁感應(yīng)雷主要是通過供電線路破壞設(shè)備的，因此對(duì)計(jì)算機(jī)信息系統(tǒng)的防雷保護(hù)首先是合理地加裝電源避雷器，其次是加裝信號(hào)線路和天饋線避雷器。同時(shí)，計(jì)算機(jī)中心的MODEM、路由器、甚至HUB等都有線路出戶，這些出戶的線路都應(yīng)視為雷電引入通道，都應(yīng)加裝信號(hào)避雷器。根據(jù)網(wǎng)絡(luò)連接線路的類型和帶寬選擇相應(yīng)的避雷器。中心機(jī)房處理秘密級(jí)、機(jī)密級(jí)信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。組織機(jī)構(gòu)體系指是XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的組織保障系統(tǒng)，由機(jī)構(gòu)、崗位和人事三個(gè)模塊構(gòu)成一個(gè)體系。安全組織結(jié)構(gòu)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全管理機(jī)構(gòu)設(shè)置為三個(gè)層次：決策層、管理層和執(zhí)行層。崗位是XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全管理部門根據(jù)安全需要設(shè)定的負(fù)責(zé)某一個(gè)或某幾個(gè)安全事務(wù)的職位，崗位在系統(tǒng)內(nèi)部可以是具有垂直領(lǐng)導(dǎo)關(guān)系的若干層次的一個(gè)序列，一個(gè)人可以負(fù)責(zé)一個(gè)或幾個(gè)安全崗位，但一個(gè)人不得同時(shí)兼任安全崗位所對(duì)應(yīng)的系統(tǒng)管理或具體業(yè)務(wù)崗位。在XXX企業(yè)主管部門直接領(lǐng)導(dǎo)下，自上而下地構(gòu)建層次清楚、職責(zé)明確的安全組織體系。XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)安全管理組織根據(jù)國家、各省有關(guān)的法律、法規(guī)和政策，在安全領(lǐng)導(dǎo)組織的領(lǐng)導(dǎo)下制定具體的安全管理制度，并進(jìn)行培訓(xùn)。（3） 確保XXX企業(yè)中心網(wǎng)絡(luò)系統(tǒng)與平級(jí)機(jī)構(gòu)等網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)連接安全。包括防電磁泄露、數(shù)據(jù)備份、防火、防盜等。（10） 確保網(wǎng)絡(luò)系統(tǒng)的長(zhǎng)期安全。技術(shù)性原則（1） 安全設(shè)備必須具有自我系統(tǒng)保護(hù)能力。l 安全設(shè)備遇故障工作失效，系統(tǒng)應(yīng)自動(dòng)轉(zhuǎn)為缺省禁止?fàn)顟B(tài)。l 安全設(shè)備的機(jī)械、電氣及電磁輻射性能必須符合國家標(biāo)準(zhǔn)，且能滿足全天候運(yùn)行的可靠性要求。（4） 安全設(shè)備的使用必須簡(jiǎn)便、實(shí)用。由于網(wǎng)絡(luò)技術(shù)飛速發(fā)展，網(wǎng)絡(luò)應(yīng)用越來越廣泛，網(wǎng)絡(luò)安全的新的軟件、硬件、協(xié)議等漏洞不斷涌現(xiàn)，因此，對(duì)安全產(chǎn)品進(jìn)行升級(jí)是必不可少的。入侵檢測(cè)儀網(wǎng)絡(luò)入侵行為檢測(cè)，并對(duì)攻擊行為作出阻隔、記錄、報(bào)警。信號(hào)避雷器用于網(wǎng)絡(luò)防雷。 保障機(jī)制l 產(chǎn)品符合國家技術(shù)及管理要求，具有相應(yīng)資質(zhì)；l 企業(yè)具有相應(yīng)資質(zhì)；l 企業(yè)內(nèi)部人員安全審查制度；l 現(xiàn)場(chǎng)施工授權(quán)及用戶確認(rèn)制度；l 客戶響應(yīng)中心及用戶跟蹤服務(wù)制度；l 產(chǎn)品應(yīng)用備案制度，每臺(tái)產(chǎn)品檔案及用戶聯(lián)系信息等工程信息均報(bào)國家相關(guān)管理部門備案；l 故障處理規(guī)程，設(shè)備更換由用戶監(jiān)督進(jìn)行。技術(shù)人員將回答客戶提出的各種技術(shù)問題，并在客戶允許的情況下，進(jìn)行遠(yuǎn)程靜態(tài)診斷與維護(hù)。 性能分析川大能士將定期或應(yīng)客戶的要求，對(duì)客戶網(wǎng)絡(luò)信息系統(tǒng)檢測(cè)，分析各種影響系統(tǒng)安全的因素，提出預(yù)防性的意見和應(yīng)采取的措施，并就網(wǎng)絡(luò)安全出現(xiàn)的各種情況，找出原因并提出合理的解決方法。 網(wǎng)絡(luò)安全培訓(xùn)網(wǎng)絡(luò)信息安全的培訓(xùn)工作是網(wǎng)絡(luò)系統(tǒng)正常運(yùn)行至關(guān)重要的一環(huán)。 網(wǎng)絡(luò)安全管理培訓(xùn)工作的具體事宜待方案選定后，根據(jù)XXX企業(yè)網(wǎng)絡(luò)系統(tǒng)的具體情況進(jìn)行制定。 27 / 27