【正文】 導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失；l 設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；l 電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；l 報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故；網(wǎng)絡(luò)安全不僅是入侵者到企業(yè)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽(tīng)裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過(guò)一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性；以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。網(wǎng)絡(luò)防病毒體系應(yīng)包括：網(wǎng)關(guān)級(jí)的病毒防護(hù)、服務(wù)器級(jí)的病毒防護(hù)、群件級(jí)（主要指郵件系統(tǒng)）的病毒防護(hù)以及個(gè)人主機(jī)級(jí)別的病毒防護(hù)，所有的病毒防護(hù)組件均應(yīng)能集中控制，并具備很強(qiáng)的擴(kuò)展能力。我們都知道就目前的操作系統(tǒng)或應(yīng)用系統(tǒng)，無(wú)論是Windows，還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開(kāi)發(fā)的應(yīng)用系統(tǒng)都存在著B(niǎo)UG，據(jù)統(tǒng)計(jì)在一個(gè)1000行的程序里就將有一個(gè)BUG，而象Windows 2000這個(gè)約有三千五百萬(wàn)行至五千萬(wàn)行的操作系統(tǒng)，其中會(huì)存在多少BUG呢？而這些BUG都將存在重大安全隱患，可想而知其安全性如何。防火墻的訪問(wèn)控制功能能夠很好的對(duì)使用應(yīng)用服務(wù)的用戶(hù)進(jìn)行嚴(yán)格的控制，配合以入侵檢測(cè)系統(tǒng)就能安全的保護(hù)XX信息網(wǎng)的各種應(yīng)用系統(tǒng)。內(nèi)部網(wǎng)用戶(hù)能夠通過(guò)拔號(hào)或其它方式進(jìn)行電子郵件發(fā)送和接收這就存在被黑客跟蹤或收到一些特洛伊木馬、病毒程序等，由于許多用戶(hù)安全意識(shí)比較淡薄，對(duì)一些來(lái)歷不明的郵件，沒(méi)有警惕性，給入侵者提供機(jī)會(huì)，給系統(tǒng)帶來(lái)不安全因素。病毒程序可以通過(guò)網(wǎng)上下載、電子郵件、使用盜版光盤(pán)或軟盤(pán)、人為投放等傳播途徑潛入內(nèi)部網(wǎng)。另外，病毒還會(huì)將其自身附著到已存在磁盤(pán)上的程序備份上。機(jī)房重地卻是任何人都可以進(jìn)進(jìn)出出，來(lái)去自由。即除了從技術(shù)上下功夫外，還得依靠安全管理來(lái)實(shí)現(xiàn)。P2DR2F模型包含6個(gè)主要部分：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測(cè)）、Response（響應(yīng)）、Recovery（恢復(fù)）和Forensic（取證）。在檢測(cè)到安全漏洞和安全事件之后必須及時(shí)做出正確的響應(yīng)，從而把系統(tǒng)調(diào)整到安全狀態(tài)。 綜合性原則：網(wǎng)絡(luò)安全不單靠技術(shù)措施，必須結(jié)合管理，當(dāng)前我國(guó)發(fā)生的網(wǎng)絡(luò)安全問(wèn)題中，管理問(wèn)題占相當(dāng)大的比例，在建立網(wǎng)絡(luò)安全設(shè)施體系的同時(shí)必須建立相應(yīng)的制度和管理體系。 角色化原則：防火墻、入侵檢測(cè)和漏洞掃描產(chǎn)品在管理上面不僅在管理中心可以完全控制外，在地方節(jié)點(diǎn)還需要分配適當(dāng)?shù)慕巧沟胤娇梢栽谧约旱臋?quán)利下修改和查看防火墻和入侵檢測(cè)策略和審計(jì)。 性?xún)r(jià)比原則：整個(gè)系統(tǒng)應(yīng)具有較高的性能價(jià)格比并能夠很好地保護(hù)投資。完全可以幫助XX信息網(wǎng)建立一安全的計(jì)算機(jī)環(huán)境。關(guān)鍵主機(jī)的安全某些關(guān)鍵主機(jī)承載著XX至關(guān)重要的數(shù)據(jù)信息和業(yè)務(wù)系統(tǒng)，有時(shí)候可能關(guān)系到XX發(fā)展或生死存亡的命運(yùn)。整體安全系統(tǒng)設(shè)計(jì)如下：（此圖需要根據(jù)具體情況更改）主要考慮XX目前網(wǎng)絡(luò)的實(shí)際應(yīng)用情況、這次解決方案的設(shè)計(jì)，在保證XX整個(gè)局域網(wǎng)絡(luò)安全的情況下，對(duì)公網(wǎng)接入?yún)^(qū)、公網(wǎng)服務(wù)器區(qū)、內(nèi)網(wǎng)進(jìn)行重點(diǎn)保護(hù)。用于XX網(wǎng)絡(luò)與外部互聯(lián)網(wǎng)的相互訪問(wèn)，以確?？梢栽L問(wèn)網(wǎng)絡(luò)或網(wǎng)絡(luò)服務(wù)的用戶(hù)不會(huì)破壞這些網(wǎng)絡(luò)服務(wù)的安全，保證：l 在數(shù)據(jù)中心、遠(yuǎn)程撥號(hào)用戶(hù)、分支機(jī)構(gòu)或公用網(wǎng)之間要有合適的界面；l 控制用戶(hù)訪問(wèn)信息服務(wù)。同時(shí)在方正FS XX防火墻上設(shè)置雙向NAT轉(zhuǎn)換，使得內(nèi)網(wǎng)通過(guò)內(nèi)部IP地址訪問(wèn)Internet。● 完善的訪問(wèn)控制規(guī)則控制：通過(guò)方正FS XX防火墻提供的基于TCP/IP協(xié)議中各個(gè)環(huán)節(jié)進(jìn)行安全控制，生成完整安全的訪問(wèn)控制表，這個(gè)表包括：■ 外網(wǎng)（Internet）對(duì)內(nèi)部數(shù)據(jù)庫(kù)服務(wù)器、網(wǎng)絡(luò)功能服務(wù)器、業(yè)務(wù)服務(wù)器以及DMZ區(qū)服務(wù)器訪問(wèn)控制。同時(shí)內(nèi)部員工對(duì)DMZ區(qū)域服務(wù)器訪問(wèn)也必須做限制?！?IPMAC地址捆綁： IPMAC地址綁定，即在防火墻地址策略中將網(wǎng)絡(luò)中的某臺(tái)主機(jī)的IP地址以及賦予該地址的硬件地址捆綁，在防火墻的過(guò)濾策略機(jī)制中，該IP地址和其硬件地址被作為統(tǒng)一標(biāo)識(shí)，根據(jù)策略設(shè)置防火墻對(duì)此地址的會(huì)話(huà)請(qǐng)求或通過(guò)或拒絕或記錄。FSXX防火墻流量控制功能是對(duì)通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流量進(jìn)行帶寬的分配，最大限度的滿(mǎn)足各個(gè)用戶(hù)和不同應(yīng)用對(duì)流量的要求。復(fù)合型防火墻是在綜合動(dòng)態(tài)包過(guò)濾技術(shù)和代理技術(shù)的優(yōu)點(diǎn)的情況下采取的一種更加完善和安全的防火墻技術(shù)。 有關(guān)防火墻及安全產(chǎn)品的趨勢(shì)是安全性及速度。普通包過(guò)濾防火墻使用的過(guò)濾規(guī)則集是靜態(tài)的，除非用戶(hù)對(duì)其進(jìn)行重新配置，否則它的內(nèi)容是固定不變的。(a)內(nèi)容過(guò)濾內(nèi)容過(guò)濾能夠?qū)崿F(xiàn)對(duì)應(yīng)用層內(nèi)容的檢測(cè)，提高網(wǎng)絡(luò)的安全性。 刪除附件文件或SPAM文件和過(guò)大的文件252。 防止scriptJava，Perl，Visual Basic入侵。它有兩個(gè)特點(diǎn)：一是隱藏內(nèi)部網(wǎng)絡(luò)真實(shí)IP，使“黑客”無(wú)法直接攻擊內(nèi)部網(wǎng)絡(luò)；二是讓內(nèi)部網(wǎng)絡(luò)使用保留地址，通過(guò)NAT代理訪問(wèn)外網(wǎng)，這對(duì)那些IP地址不足的用戶(hù)非常有益。——支持多種加算法（DES、3DES、RCCAST12Blowfish、AES、Crypton等）——認(rèn)證算法有HMAC與MDSHAHAS160等——密鑰管理為IKE方式。如上圖所示，如不使用BZ端口，為了保護(hù)系統(tǒng)，用戶(hù)需要三個(gè)入侵檢測(cè)（NIDS）系統(tǒng)，即在內(nèi)網(wǎng)（PRIVATE）、外網(wǎng)（PUBLIC）、DMZ三個(gè)部分安裝入侵檢測(cè)系統(tǒng)，確保系統(tǒng)的安全，但如有BZ端口（BLACK ZONE PORT），安裝一個(gè)入侵檢測(cè)系統(tǒng)可以監(jiān)控內(nèi)網(wǎng)、外網(wǎng)（PUBLIC）、DMZ三個(gè)部分。 日志審計(jì)方正FSXX防火墻的日志審計(jì)工具Log Viewer主要功能有：對(duì)管理防火墻的各種管理事件進(jìn)行記錄，并生成審計(jì)日志。 全面的安全管理方正FS XX防火墻和 SecuwayClient 2000 在以數(shù)據(jù)庫(kù)為中心的安全功能方面處于領(lǐng)先地位。252。252。同時(shí)，記錄受到攻擊的過(guò)程，為網(wǎng)絡(luò)或系統(tǒng)的恢復(fù)和追查攻擊的來(lái)源提供基本數(shù)據(jù)。方正入侵檢測(cè)系統(tǒng)使用最新的技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)保持敏銳高效的實(shí)時(shí)監(jiān)視和日志記錄。它可以實(shí)時(shí)檢測(cè)、攔截并跟蹤黑客入侵行為?？梢曰谟?jì)算機(jī)、服務(wù)、時(shí)間、單個(gè)記錄/群體群體出報(bào)告。在網(wǎng)絡(luò)負(fù)荷實(shí)在太高的時(shí)候，方正入侵檢測(cè)系統(tǒng)為了保證系統(tǒng)工作的穩(wěn)定性，丟棄不太重要的UDP和ICMP協(xié)議包。方正入侵檢測(cè)系統(tǒng)非常注重用戶(hù)的需求并提供最新的規(guī)則配置來(lái)保護(hù)用戶(hù)的網(wǎng)絡(luò)。如果用戶(hù)的網(wǎng)絡(luò)規(guī)模很大，需要多個(gè)方正入侵檢測(cè)系統(tǒng)來(lái)進(jìn)行入侵檢測(cè)，這時(shí)需要安裝ESM（企業(yè)級(jí)安全管理平臺(tái)）來(lái)對(duì)多個(gè)方正入侵檢測(cè)系統(tǒng)進(jìn)行有效的管理。在方正入侵檢測(cè)系統(tǒng)的檢測(cè)界面中，系統(tǒng)顯示攻擊的各種信息，包括攻擊類(lèi)型的名稱(chēng)、攻擊的起始和結(jié)束時(shí)間、用戶(hù)網(wǎng)絡(luò)被攻擊的次數(shù)、攻擊者的IP地址、被攻擊者的IP地址以及實(shí)時(shí)監(jiān)控的網(wǎng)絡(luò)信息和入侵檢測(cè)信息。l 方正入侵檢測(cè)系統(tǒng)對(duì)于基于TCP連接的網(wǎng)絡(luò)行為的成功攔截率為95%以上，對(duì)于非基于TCP連接的網(wǎng)絡(luò)行為需要與防火墻聯(lián)動(dòng)進(jìn)行攔截。通過(guò)交互式的WEB控制臺(tái)，遠(yuǎn)程安全地管理它。最后，負(fù)載均衡功能還可以為企業(yè)提供額外的冗余防護(hù)。過(guò)濾規(guī)則根據(jù)預(yù)定義內(nèi)容目錄和管理員定義的白名單（允許）和黑名單（非授權(quán)）。10． 服務(wù)完善PAGD提供了每日病毒庫(kù)更新、7x24小時(shí)熱線技術(shù)支持、SOS24小時(shí)病毒響應(yīng)等標(biāo)準(zhǔn)服務(wù)，解除用戶(hù)的后顧之憂(yōu)。4) 熊貓衛(wèi)士安全網(wǎng)關(guān)的反垃圾郵件掃描作為其反惡意軟件掃描的補(bǔ)充，檢查由公司用戶(hù)按收的電子郵件，從而減少垃圾郵件的產(chǎn)生避免降低網(wǎng)絡(luò)性能。管理和配置熊貓衛(wèi)士安全網(wǎng)關(guān)的訪問(wèn)密碼，定義將被掃描的不同協(xié)議之端口；定義信任站點(diǎn)或機(jī)器，熊貓衛(wèi)士安全網(wǎng)關(guān)將不掃描它們的數(shù)據(jù)通信；定義內(nèi)容過(guò)濾，掃描延時(shí)和對(duì)不能被掃描文件所采取的動(dòng)作；配置電子郵件地址，SMTP服務(wù)器和將發(fā)送的警告和報(bào)告類(lèi)型，還可以利用自定義信息和警告類(lèi)型；配置軟件更新(不需用戶(hù)或管理員干涉，自動(dòng)執(zhí)行的防病毒更新)；查看和配置報(bào)告和事件，配置發(fā)往遠(yuǎn)程計(jì)算機(jī)的報(bào)告；重置驅(qū)動(dòng)程序和/或系統(tǒng)等的操作。同時(shí)，當(dāng)用戶(hù)發(fā)現(xiàn)網(wǎng)絡(luò)中存在可疑的未知病毒時(shí)，可將其發(fā)送給Panda本地的服務(wù)商或方正信息安全有限公司，以便進(jìn)行及時(shí)分析。 定期查看病毒日志和其它日志。同時(shí)，部署兩臺(tái)倉(cāng)儲(chǔ)服務(wù)器將為整個(gè)方病毒系統(tǒng)提供冗余和附在均衡功能。6． Domino服務(wù)器防病毒軟件XX信息中心網(wǎng)絡(luò)中的Domino服務(wù)器計(jì)算機(jī)將按照管理服務(wù)器的指令從倉(cāng)儲(chǔ)服務(wù)器獲得防病毒軟件DominoSecure，以及及時(shí)自動(dòng)的按照管理服務(wù)器的指令從倉(cāng)儲(chǔ)服務(wù)器更新病毒庫(kù)和升級(jí)防病毒軟件。13． Linux防病毒軟件對(duì)于Linux服務(wù)器自身文件的防護(hù)我們使用CommandlineSecure，設(shè)置自動(dòng)任務(wù)，定期的對(duì)Linux計(jì)算機(jī)的特定的文件系統(tǒng)進(jìn)行病毒掃貓，以對(duì)其進(jìn)行病毒防護(hù)。同時(shí)，該服務(wù)器及時(shí)自動(dòng)的按照管理服務(wù)器的指令從倉(cāng)儲(chǔ)服務(wù)器更新病毒庫(kù)和升級(jí)防病毒軟件。而ClientShield的病毒防護(hù)策略將接受管理服務(wù)器的控制和管理，并會(huì)將客戶(hù)端的病毒日志及時(shí)地傳送給管理服務(wù)器，供管理服務(wù)器存檔和統(tǒng)計(jì)，以及時(shí)地反映給管理員。本方案的總體架構(gòu)設(shè)計(jì)如下：1． 管理服務(wù)器在XX信息中心的網(wǎng)絡(luò)中利用AdminSecure部署一臺(tái)防病毒管理服務(wù)器。 定期檢查系統(tǒng)運(yùn)行狀況。如果熊貓衛(wèi)士安全網(wǎng)關(guān)發(fā)現(xiàn)了新的可更新元素，它將自動(dòng)進(jìn)行更新而無(wú)需人工干預(yù)。熊貓衛(wèi)士安全網(wǎng)關(guān)安裝完成之后，用戶(hù)可以通過(guò)網(wǎng)絡(luò)監(jiān)控的計(jì)算機(jī)，通過(guò)Internet Explorer，Netscape Navigator等瀏覽器，從Web控制臺(tái)對(duì)所有的熊貓防毒網(wǎng)關(guān)熊貓衛(wèi)士安全網(wǎng)關(guān)進(jìn)行遠(yuǎn)程監(jiān)控和管理。因此需要專(zhuān)門(mén)在兩種應(yīng)用前端進(jìn)行病毒防護(hù)。8． 每日自動(dòng)更新熊貓衛(wèi)士安全網(wǎng)關(guān)被設(shè)計(jì)成全自動(dòng)的每日智能更新，包括病毒特征文件和病毒掃描引擎，這使得它的病毒特征文件始終保持最新，以能夠有效的抵御最新的病毒。信息被掃描并且被劃分成垃圾或非垃圾，在未被請(qǐng)求的郵件到達(dá)用戶(hù)信箱之前進(jìn)行阻斷或修改這些信息的主題。負(fù)載均衡能夠使多個(gè)熊貓衛(wèi)士安全網(wǎng)關(guān)協(xié)同工作，共同為企業(yè)網(wǎng)絡(luò)邊界提供防護(hù)，以滿(mǎn)足較大網(wǎng)絡(luò)數(shù)據(jù)流量的情況。由于它可以被設(shè)置成一個(gè)網(wǎng)橋，直接檢測(cè)網(wǎng)絡(luò)中的信息包，熊貓衛(wèi)士安全網(wǎng)關(guān)（PAGD）可以對(duì)任何一種網(wǎng)絡(luò)配置及基于所有操作平臺(tái)的服務(wù)器和工作站實(shí)行保護(hù)。方正入侵檢測(cè)系統(tǒng)報(bào)表提供不同的報(bào)表種類(lèi)，可以提供一段時(shí)間內(nèi)基于攻擊方法的報(bào)告。這樣做可以保證規(guī)則設(shè)置的一致性。使用遠(yuǎn)程管理的PC機(jī)推薦安裝微軟的Windows 。方正入侵檢測(cè)系統(tǒng)的規(guī)則庫(kù)包含各種攻擊標(biāo)志，包括形成攻擊最短時(shí)間、形成攻擊最少次數(shù)和阻塞攻擊連接的時(shí)間等等。可以根據(jù)IP的流量進(jìn)行阻斷，可對(duì)IP的流量產(chǎn)生報(bào)警。這種策略方便用戶(hù)靈活的進(jìn)行調(diào)整。檢測(cè)規(guī)則不少于2500種。、內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)同時(shí)防護(hù)考慮到公網(wǎng)接入處的流量不是很大，所以將方正入侵檢測(cè)系統(tǒng)的一個(gè)監(jiān)控口接公網(wǎng)百兆防火墻的黑區(qū)，這個(gè)方案可以實(shí)現(xiàn)對(duì)外網(wǎng)、內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)三個(gè)區(qū)域的入侵檢測(cè)和安全監(jiān)控。本方案的設(shè)計(jì)目標(biāo)之一：通過(guò)在XXXX信息中心網(wǎng)絡(luò)的互聯(lián)網(wǎng)接入處部署網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品，監(jiān)視外部互聯(lián)網(wǎng)、政府內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)三者之間的網(wǎng)絡(luò)通信，從中發(fā)現(xiàn)網(wǎng)絡(luò)中是否有違反安全策略（包括泄密、反動(dòng)內(nèi)容與站點(diǎn)、黃色內(nèi)容與站點(diǎn)等）的行為和被攻擊的跡象，一旦發(fā)現(xiàn)攻擊能夠發(fā)出報(bào)警并采取相應(yīng)的措施，如阻斷、跟蹤和反擊等。這種模塊化結(jié)構(gòu)便于對(duì)主機(jī)進(jìn)行中央管理和遠(yuǎn)程管理。由于該系統(tǒng)是開(kāi)放式體系結(jié)構(gòu)、因此它與其它產(chǎn)品兼容、并且可以簡(jiǎn)便地進(jìn)行調(diào)整、適應(yīng)迅速變化的網(wǎng)絡(luò)環(huán)境需要。我們接受基于對(duì)象的集成安全管理中心、由單個(gè)管理員管理整個(gè)網(wǎng)絡(luò)。超級(jí)管理員可以對(duì)整個(gè)系統(tǒng)進(jìn)行存取管理。DMZ 端口從物理上以一種安全的方式將 Intranet 與外部網(wǎng)絡(luò)分隔開(kāi)來(lái)。其認(rèn)證方式有：口令、密碼；密鑰令牌（Key Token）。 其他Cookies，Internet Shortcut。方正FS XX防火墻可以防止內(nèi)部網(wǎng)絡(luò)受到假冒 IP 地址、ICMP 重定向、IP 來(lái)源路由、假冒 DNS 和 ICMP 等攻擊。 過(guò)濾發(fā)送者/收信者和郵件標(biāo)題。IP與MAC地址綁定IP與MAC地址綁定：防止防火墻廣播域內(nèi)，重要主機(jī)的IP 地址不被另一臺(tái)機(jī)器盜用。訪問(wèn)控制由于 Internet 是在全面開(kāi)放的基礎(chǔ)上發(fā)展起來(lái)的，因此訪問(wèn)控制在訪問(wèn)和保護(hù)限制信息方面發(fā)揮了非常重要的作用。它不僅可以保護(hù)物理設(shè)備和內(nèi)部安全信息、而且還提供了虛擬專(zhuān)用網(wǎng)絡(luò) (VPN)。它利用FSXX防火墻的雙機(jī)熱備協(xié)議實(shí)現(xiàn)防火墻策略和故障冗余，該協(xié)議提供了如下功能：l 故障切換算法根據(jù)系統(tǒng)運(yùn)行狀態(tài)確定哪個(gè)防火墻是主防火墻，另一防火墻處在備用狀態(tài)，隨時(shí)準(zhǔn)備切換運(yùn)行；l 進(jìn)行實(shí)時(shí)故障檢測(cè)，在不到2秒內(nèi)完成從主防火墻到備用防火墻的狀態(tài)切換，并能夠保留活動(dòng)會(huì)話(huà)和VPN隧道。具體轉(zhuǎn)換方式就是將內(nèi)部網(wǎng)絡(luò)和DMZ區(qū)域機(jī)器的地址全部轉(zhuǎn)換成防火墻外網(wǎng)卡地址。針對(duì)XX信息網(wǎng)系統(tǒng)中的網(wǎng)絡(luò)風(fēng)險(xiǎn)可以通過(guò)嚴(yán)格的訪問(wèn)控制表來(lái)進(jìn)行限制。對(duì)內(nèi)部數(shù)據(jù)庫(kù)服務(wù)器、網(wǎng)絡(luò)功能服務(wù)器、業(yè)務(wù)服務(wù)器的訪問(wèn)做嚴(yán)格的規(guī)劃和限制，防止惡意攻擊行為發(fā)生。利用方正FS XX防火墻特有的黑區(qū)設(shè)計(jì)，將方正入侵檢測(cè)系統(tǒng)的一個(gè)監(jiān)聽(tīng)網(wǎng)口部署在黑區(qū)，有效的監(jiān)控對(duì)數(shù)據(jù)中心網(wǎng)絡(luò)的訪問(wèn)。為了實(shí)現(xiàn)設(shè)計(jì)目標(biāo)，我們?cè)跀?shù)據(jù)中心與Internet廣域網(wǎng)接入處部署公網(wǎng)百兆防火墻。所有外部互聯(lián)網(wǎng)、內(nèi)網(wǎng)和公網(wǎng)服務(wù)器區(qū)的相互訪問(wèn)必須受到防火墻的訪問(wèn)控制。漏洞檢測(cè)和安全評(píng)估系統(tǒng)采用先進(jìn)的網(wǎng)絡(luò)掃描技術(shù)對(duì)各個(gè)網(wǎng)絡(luò)對(duì)象（路由器、防火墻、服務(wù)器、工作站等）進(jìn)行深入的檢測(cè)和分析，及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中存在的安全隱患或漏洞，為系統(tǒng)員提供詳細(xì)全面的第一手安全資料。網(wǎng)絡(luò)邊界的安全和管理內(nèi)部網(wǎng)和外部公用信息網(wǎng)的連接處為網(wǎng)絡(luò)邊界，通常情況下網(wǎng)絡(luò)邊界是最薄弱、最容易被攻擊的地方，所以企業(yè)最先考慮對(duì)該處的防護(hù)和管理。為此德國(guó)軍方前些時(shí)候甚至規(guī)定在所有牽涉到機(jī)密的計(jì)算機(jī)里，不得使用美國(guó)的操作系統(tǒng)。在這種情況下，就必須要求這些性質(zhì)的安全產(chǎn)品需要有雙機(jī)熱備的功能，從而保障網(wǎng)絡(luò)運(yùn)行的可靠性。 節(jié)約性原則：整體方案的設(shè)計(jì)應(yīng)該盡可能的不改變?cè)瓉?lái)網(wǎng)絡(luò)的設(shè)備和環(huán)境，以免資源的浪費(fèi)和重復(fù)投資。Forensic（取證）通過(guò)完善的信息審計(jì)系統(tǒng)、日志分析系統(tǒng)對(duì)攻擊過(guò)程、攻擊手段、攻擊來(lái)源等攻擊信息加以詳細(xì)的記錄、分析，幫助管理機(jī)構(gòu)進(jìn)行復(fù)雜的計(jì)算機(jī)犯罪取證工作，打擊日益猖獗的計(jì)算機(jī)犯罪行為。