【正文】 的物理安全，首先要保證系統(tǒng)滿足相應(yīng)的國(guó)家標(biāo)準(zhǔn)，同時(shí)對(duì)重要的網(wǎng)絡(luò)設(shè)備采用 UPS 不間斷穩(wěn)壓電源，對(duì)重要的設(shè)備如數(shù)據(jù)庫(kù)服務(wù)器、中心交換機(jī)等采用雙機(jī)熱備份，對(duì)安全計(jì)算機(jī)電磁泄漏發(fā)射距離不符合安全距離的應(yīng)采取電磁泄漏發(fā)射防護(hù)措施，對(duì)重要的通訊線路采用備份等等。下面對(duì) 中小型公司 的具體狀況從物理層安全、網(wǎng)絡(luò)層安全、系統(tǒng)層安全、數(shù)據(jù)傳輸安全、病毒的安全威脅 [4]及管理安全進(jìn)行分類描述網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)。據(jù)聯(lián)邦調(diào)查局 (FBI)統(tǒng)計(jì)， 70%的安全犯罪都是由內(nèi)部人員實(shí)施的。市場(chǎng)對(duì)于網(wǎng)絡(luò)支持居家辦公方式、分支機(jī)構(gòu)連通性、無線移動(dòng)性和新的企業(yè)到企業(yè)戰(zhàn)略的需求不斷增加，現(xiàn)代的網(wǎng)絡(luò)周邊環(huán)境的封閉性已經(jīng)被打破。目前，企業(yè)和政府領(lǐng)導(dǎo)者們都認(rèn)識(shí)到，對(duì)未來增長(zhǎng)和生產(chǎn)效率產(chǎn)生最大約束的因素就是網(wǎng)絡(luò)安全性和可用性。 本論文的主要工作簡(jiǎn)介 本文結(jié)合 中小型 網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的實(shí)例，重點(diǎn)研究計(jì)算機(jī)網(wǎng)絡(luò)的安全問題，對(duì)不同的網(wǎng)絡(luò)安全方案進(jìn)行優(yōu)化、集中和協(xié)同，從而盡可能的使本網(wǎng)絡(luò)安全系統(tǒng)保持可擴(kuò)展性、健壯性，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較 好的結(jié)果。 網(wǎng)絡(luò)安全策略 網(wǎng)絡(luò)安全策略目的是決定一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)的組織結(jié)構(gòu)怎樣來保護(hù)自己的網(wǎng)絡(luò)及其信息，一般來說，安全策略包括兩個(gè)部分 ： 一個(gè)總體的策略和具體的規(guī)則?？煽啃灾饕侵妇W(wǎng)絡(luò)系統(tǒng)硬件和軟件無故障運(yùn)行的性能。外部闖入是指未經(jīng)授權(quán)計(jì)算機(jī)系統(tǒng)用戶的入侵 。網(wǎng)絡(luò)安全基本上是一個(gè)實(shí)踐性的技術(shù)領(lǐng)域，它涉及到多種技術(shù)領(lǐng)域，網(wǎng)絡(luò)信息安全與保密主要是指保護(hù)網(wǎng)絡(luò)信息系統(tǒng)，使其沒有危險(xiǎn)、不受威脅、不出事故。面對(duì)信息安全的嚴(yán)峻形勢(shì)，我國(guó)的網(wǎng)絡(luò)安全系統(tǒng)在預(yù)測(cè)、反應(yīng)、防范和恢復(fù)能力方面存在許多薄弱環(huán)節(jié) [1]?？刂瓢踩珓t指身份認(rèn)證、不可否認(rèn)性、授權(quán)和訪問控制。 1． 1 本課題的研究意義 本課題的研究意 義在于研究企業(yè)網(wǎng)絡(luò)的安全解決方案以及實(shí)際的應(yīng)用方法，是整個(gè)企業(yè)網(wǎng)絡(luò)安全設(shè)計(jì)的指南，是為公司做出一套正確有效的網(wǎng)絡(luò)安全方案的重點(diǎn)。 某中小型企業(yè)網(wǎng)絡(luò)安全實(shí)現(xiàn) 4 摘 要 本文建設(shè)了一種中小型網(wǎng)絡(luò)的安全方案，重點(diǎn)研究在物理隔離的情況下計(jì)算機(jī)網(wǎng)絡(luò)的安全問題。目的是建立一個(gè)完整的、立體的網(wǎng)絡(luò)安全防御體系，使網(wǎng)絡(luò)安全系統(tǒng)真正獲得較好的效果。網(wǎng)絡(luò)安全已經(jīng)成為影響網(wǎng)絡(luò)效能重要的問題，而Inter 所具有的開放性、自由性和國(guó)際性在增加應(yīng)用自由度的時(shí)候，對(duì)安全提出了更高級(jí)的要求。 。近年來，隨著網(wǎng)絡(luò)安全事件的發(fā)生，人們?cè)絹碓角宄囊庾R(shí) 到，信息時(shí)代所引發(fā)的信息安全問題涉及到人們生活的方方面面。在這樣的形勢(shì)下，以保護(hù)網(wǎng)絡(luò)中的信息免受各種攻擊為根本目的網(wǎng)絡(luò)安全變得越來越重要。前者要求網(wǎng)絡(luò)向所有用戶有選擇地隨時(shí)提供各自應(yīng)得到的網(wǎng)絡(luò)服務(wù) ，后者則要求網(wǎng)絡(luò)保證信息資源的保密性、完整性、可用性和準(zhǔn)確性。 (4)完整性是指網(wǎng)絡(luò)信息未經(jīng)授權(quán)不能進(jìn)行改變的特性，即網(wǎng)絡(luò)信息在存儲(chǔ)和傳輸過程中不被刪除、修改、偽造、亂序、重放和插入等操作，保也稱做不可否認(rèn)性，主要用于網(wǎng)絡(luò)信息的交換過程，保證信息交換的參與者都不可能否認(rèn)或抵賴曾進(jìn)行的操作，類似于在發(fā)文或收文過程中的簽名和簽收的過程。(4)一切都被允許，當(dāng)然也包括那些本來被禁止的。 某中小型企業(yè)網(wǎng)絡(luò)安全實(shí)現(xiàn) 13 第二章 中小型公司網(wǎng)絡(luò)安全的威脅及需求 中小型 企業(yè) 網(wǎng)絡(luò)系統(tǒng)安全分析 早在 20 世紀(jì) 90 年代，如果企業(yè)和政府機(jī)構(gòu)希望能具有競(jìng)爭(zhēng)力，他們就必須對(duì)市場(chǎng)需求作出強(qiáng)有力的響應(yīng)。那時(shí)的安全性是取決于周邊環(huán)境的，因?yàn)榫W(wǎng)絡(luò)本身是一個(gè)靜態(tài)的環(huán)境。 泛濫成災(zāi)的互聯(lián)網(wǎng)攻擊 發(fā)動(dòng)毀滅性網(wǎng)絡(luò)攻擊并不困難。 HIPAA 就是 醫(yī)療保險(xiǎn)可移植性與可信度法案 ，到 2020 年 4 月，該法案中所規(guī)定的機(jī)構(gòu)都必須遵守隱私權(quán)法規(guī)。 。 網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)分析 ：中小型公司中小型公司 校園網(wǎng)絡(luò)與其他院校的遠(yuǎn)程傳輸安全的威脅來自如下兩個(gè)方面 ： 內(nèi)部業(yè)務(wù)數(shù)據(jù)明文傳送帶來的威脅 。所有的這些設(shè)備、軟件系統(tǒng)都多多少少地存在著各種各樣的漏洞，這些都是重大安全隱患。 數(shù)據(jù)傳輸?shù)陌踩L(fēng)險(xiǎn) 由于在 中小型公司 內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)傳輸線路之間存在被竊聽的威脅，同時(shí)局域網(wǎng)絡(luò)內(nèi)部也存在著內(nèi) 部攻擊行為，其中包括登錄密碼和一些敏感信息，可能被侵襲者搭線竊取和篡改，造成泄密。責(zé)任不清，使用相同的口令、用戶名，導(dǎo)致權(quán)限管理混亂，信息泄密。制定網(wǎng)絡(luò)系統(tǒng)的維護(hù)制度和應(yīng)急措施等。 中小型公司 網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 安全體系結(jié)構(gòu)網(wǎng)絡(luò) 安全體系結(jié)構(gòu)主要考慮安全機(jī)制和安全對(duì)象，安全對(duì)象主要有網(wǎng)絡(luò)安全、信息安全、設(shè)備安全、系統(tǒng)安全、數(shù)據(jù)庫(kù)安全、信息介質(zhì)安全和計(jì)算機(jī)病毒防治等。 。應(yīng)用系統(tǒng)的安 全與系統(tǒng)設(shè)計(jì)和實(shí)現(xiàn)關(guān)系密切。它們?cè)诰W(wǎng)絡(luò)安全中的地位和影響作用，只有從系統(tǒng)綜合的整體角度去看待和分析，才可能獲得有效、可行的措施。其次，采用的措施不會(huì)影響系統(tǒng)正常運(yùn)行。而應(yīng)基于“最低權(quán)限”和“相互監(jiān)督”的法則，減少保密信息的介入范圍，盡力消除使用者為使用資源不得不信任他人或被他人信任的問題，建立起完整的安全控制體系和保證體系。 安全管理的實(shí)現(xiàn)信息系統(tǒng)的安全管理部門應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相 應(yīng)的管理制度或采用相應(yīng)規(guī)范，其具體工作是 ： 確定該系統(tǒng)的安全等級(jí)。 制訂應(yīng)急措施。物理層安全涉及傳輸介質(zhì)的安全特性，抗干擾、防竊聽將是物理層安全措施制定的重點(diǎn)。第 3 章網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì) 如何保證安全性。同時(shí)為了有效、快捷地實(shí)施和管理整個(gè)網(wǎng)絡(luò)的防病毒體系，應(yīng)能實(shí)現(xiàn)遠(yuǎn)程安裝、智能升級(jí)、遠(yuǎn)程報(bào)警、集中管理、分布查殺病毒等多種功能。該產(chǎn)品作為網(wǎng)絡(luò)版的客戶端防毒系統(tǒng)，使管理者通過單點(diǎn)控制所有客戶機(jī)上的防毒模塊，并可以自動(dòng)對(duì)所有客戶端的防毒模塊進(jìn)行更新。 動(dòng)態(tài)口令身份認(rèn)證方案 動(dòng)態(tài)口令身份認(rèn)證具有隨機(jī)性、動(dòng)態(tài)性、一次性、不可逆等特點(diǎn)，不僅保留了靜態(tài)口令方便性的優(yōu)點(diǎn)，而且很好地彌補(bǔ)了靜態(tài)口令存在的各種缺陷。另外，由于每個(gè)用戶的密鑰都不相同 (在初始化時(shí)隨時(shí)生成 )，并且密鑰與同口令計(jì)算有關(guān)的信息存貯在動(dòng)態(tài) RAM 中，當(dāng)有人對(duì)其進(jìn)行 分析時(shí)，數(shù)據(jù)處理一旦掉電，這些密鑰將消失。我們對(duì)安全數(shù)據(jù)庫(kù)均進(jìn)行加密后存放在服務(wù)器上，絕對(duì)不以明碼的形式出現(xiàn)。 圖 動(dòng)態(tài)口令身份認(rèn)證系統(tǒng)部署方案圖 某中小型企業(yè)網(wǎng)絡(luò)安全實(shí)現(xiàn) 22 采用該方案后，在 中小型公司 的認(rèn)證系統(tǒng)中能夠?qū)崿F(xiàn) ： 密鑰 /時(shí)間雙因素的身份認(rèn)證機(jī)制 。防火墻主要用來執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問控制策略，它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。 中小型公司 安全網(wǎng)由 多個(gè)具有不同安全信任度的網(wǎng)絡(luò)部分構(gòu)成，在控制不可信連接、分辨非法訪問、辨別身份偽裝等方面存在著很大的缺陷，從而構(gòu)成了對(duì)網(wǎng)絡(luò)安全的重要隱患。標(biāo)準(zhǔn)配置三接口的防火墻，其最大并發(fā)連接數(shù)將近 60 萬個(gè)，其中兩個(gè)接口分別接某中小型企業(yè)網(wǎng)絡(luò)安全實(shí)現(xiàn) 23 外網(wǎng)和內(nèi) 網(wǎng)兩個(gè)網(wǎng)段，第三個(gè)口可以作為預(yù)留。對(duì)所有管理加密 (支持 SSL 和 SSH)，并進(jìn)行嚴(yán)格的審計(jì)，實(shí)現(xiàn)了真正的安全遠(yuǎn)程管理。防火墻要符合國(guó)家相關(guān)標(biāo)準(zhǔn)和規(guī)范。 通過在核心交換機(jī)和高性能服務(wù)器群之間及核心交換機(jī)和重要部門之間部署防火墻，防火墻將網(wǎng)絡(luò)內(nèi)部不同部門的網(wǎng)絡(luò)或關(guān)鍵服務(wù)器劃分為不同的網(wǎng)段，彼此隔離。入侵檢測(cè)系統(tǒng)是指能夠通過分析與系統(tǒng)安全相關(guān)的數(shù)據(jù)來檢測(cè)入侵活動(dòng)的系統(tǒng)，包括入侵檢測(cè)的軟件和硬件的組合 [20]。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)攻擊或未授權(quán)訪問時(shí)，入侵檢測(cè)可以進(jìn)行如下反應(yīng) ： (l)控制臺(tái)報(bào)警。攻擊者也從傳統(tǒng)上的黑客高手，變成初學(xué)者用自動(dòng)程序來完成攻擊，這些都導(dǎo)致黑客攻擊越來越容易實(shí)現(xiàn)，威脅程度越來越高。通 過部署多級(jí)聯(lián)動(dòng)型產(chǎn)品實(shí)現(xiàn)榕基分布式整體安全掃描，網(wǎng)絡(luò)管理人員可以方便的通過控制掃描器就可以實(shí)現(xiàn)對(duì)多級(jí)管轄區(qū)域的服務(wù)器進(jìn)行統(tǒng)一和及時(shí)管理，實(shí)現(xiàn)對(duì)管轄區(qū)域服務(wù)器，網(wǎng)絡(luò)設(shè)備等的安全性，以保證整體網(wǎng)絡(luò)的安全性，整體可控性、整體安全資源共享。同時(shí)提供了 Web 方式的遠(yuǎn)程管理，網(wǎng)管不需要改變?nèi)绾蔚木W(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和添加其他的應(yīng)用程序就可以輕輕松松的保證了網(wǎng)絡(luò)的安全性。信息系統(tǒng)的安全管理機(jī)構(gòu)，不隸屬于同級(jí)信息系統(tǒng)管理和業(yè)務(wù)機(jī)構(gòu)。對(duì)于中小型企業(yè)，主要采用目前比較流行的操作系統(tǒng)，如 Unix、 Linux、 windows server 以及 windows XP 等，而這些操作系統(tǒng)均存在網(wǎng)絡(luò)安全漏洞。 方案目標(biāo) 本方案主要從技術(shù)角度探討中小型企業(yè)的網(wǎng)絡(luò)安全綜合解決方案設(shè)計(jì)。中小型企業(yè)網(wǎng)絡(luò)是內(nèi)部局域網(wǎng)，服務(wù)器和客戶端需要不同的防病毒軟件，服務(wù)器上需要一個(gè)基于服務(wù)器操作系統(tǒng)平臺(tái)的防病毒軟件，客戶端需要針對(duì)單機(jī)操作系統(tǒng)的防病毒軟件。在中小型企業(yè)網(wǎng)絡(luò)的 WWW 服務(wù)器、郵件服務(wù)器、數(shù)據(jù)服務(wù)器等應(yīng)用服務(wù)器中使用網(wǎng)絡(luò)安全監(jiān)測(cè)系統(tǒng)，實(shí)時(shí)跟蹤、監(jiān)測(cè)網(wǎng)絡(luò)，建立保存相應(yīng)記錄的數(shù)據(jù)庫(kù)，及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容和不安全隱患，及時(shí)采取措施。面對(duì)網(wǎng)絡(luò)的復(fù)雜性和不斷變化的情況，僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安 全漏洞、做出風(fēng)險(xiǎn)評(píng)估，顯然是不現(xiàn)實(shí)的。 某中小型企業(yè)網(wǎng)絡(luò)安全實(shí)現(xiàn) 32 第六章 網(wǎng)絡(luò)安全技術(shù)的 發(fā)展趨勢(shì) 加強(qiáng)病毒監(jiān)控 隨著病毒技術(shù)的發(fā)展，病毒的宿主也越來越多，在上世紀(jì) 90 年代初的海灣戰(zhàn)爭(zhēng)中，美國(guó)中情局獲悉伊拉克從法國(guó)購(gòu)買了供防空系統(tǒng)使用的新型打印機(jī)，準(zhǔn)備通過約旦首都安曼偷運(yùn)到巴格達(dá)，美方即派特工在安曼機(jī)場(chǎng)用一塊固化病毒芯片與打印 機(jī)中的同類芯。在要求安全程度不高的情況下，可以利用各種黑客工具，對(duì)網(wǎng)絡(luò)進(jìn)行模擬攻擊，從而暴 露 出網(wǎng)絡(luò)的漏洞。對(duì)于中小型企業(yè)網(wǎng)絡(luò)，防火墻具有很好的保護(hù)作用，入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。如果在企業(yè)網(wǎng)絡(luò)內(nèi)部使用電子郵件系統(tǒng)實(shí)現(xiàn)信息傳遞，還需要在郵件服務(wù)器上安裝郵件防病毒軟件，用來識(shí)別隱藏在電子郵件和附件中的病毒。網(wǎng)絡(luò)安全技術(shù)是一門涉及某中小型企業(yè)網(wǎng)絡(luò)安全實(shí)現(xiàn) 29 計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、 數(shù)論、信息論等多學(xué)科的綜合性學(xué)科，對(duì)于構(gòu)建安全的中小型企業(yè)網(wǎng)絡(luò)需要具備密碼技術(shù)、訪問控制與防火墻技術(shù)、入侵檢測(cè)與安全審計(jì)技術(shù)、黑客與病毒防范技術(shù)、操作系統(tǒng)安全技術(shù)、數(shù)據(jù)庫(kù)系統(tǒng)安全技術(shù)、數(shù)據(jù)安全技術(shù)和 web 安全技術(shù)等多種技術(shù)，應(yīng)用這些技術(shù)，將中小型企業(yè)的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)成一個(gè)支持多部門、多級(jí)別的安全網(wǎng)絡(luò)。許多應(yīng)用服務(wù)系統(tǒng)在訪問控制及安全通訊方面考慮較少，而且如果系統(tǒng)設(shè)置錯(cuò)誤，就很容易造成損失。 能建設(shè) 遵照從上至下的垂直管理原則，即 ： 上級(jí)機(jī)關(guān)信息安全管理機(jī)構(gòu)指導(dǎo)下一級(jí)機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的工作原則 ： 下一級(jí)機(jī)關(guān)信息系統(tǒng)的安全管理機(jī)構(gòu)接受并執(zhí)行上一級(jí)機(jī)關(guān)信息系統(tǒng)安全管理機(jī)構(gòu)的安全策略 。移動(dòng)式掃描儀手持式設(shè)計(jì)，使用簡(jiǎn)單、靈活，攜帶方便。同時(shí)移動(dòng)式掃描儀可以跨越網(wǎng)段、穿透防火墻，實(shí)現(xiàn)分布式掃描，服務(wù)器和掃描儀都支持定時(shí)和多 IP 地址的自動(dòng)掃描，網(wǎng)管人員可 以很輕松的就可以進(jìn)行整個(gè)網(wǎng)絡(luò)的掃描，根據(jù)系統(tǒng)提供的掃描報(bào)告，配合我們提供的三級(jí)服務(wù)體系，大大的減輕了工作負(fù)擔(dān)，極大的提高了工作效率。采用網(wǎng)絡(luò)漏洞掃描器對(duì)存在的安全隱患進(jìn)行檢查，幫助管理員找出解決的方法。 (3)實(shí)時(shí)阻斷網(wǎng)絡(luò)連接?！叭肭謾z測(cè)”是一種網(wǎng)絡(luò)實(shí)時(shí)自動(dòng)攻擊 識(shí)別和響應(yīng)系統(tǒng)它通過多種途徑收集單位內(nèi)部網(wǎng)的主機(jī)和網(wǎng)絡(luò)信息，對(duì)這些信息加以分析，查看網(wǎng)絡(luò)安全體系結(jié)構(gòu)是否存在漏洞，主機(jī)系統(tǒng)和網(wǎng)絡(luò)上是否有入侵事件發(fā)生，如果發(fā)現(xiàn)有入侵事件，自動(dòng)對(duì)這些事件響應(yīng)，同時(shí)給出相應(yīng)提示。如果有人闖進(jìn)一個(gè)部門，或者如果病毒開始蔓延，網(wǎng)段能夠限制造成的損壞進(jìn)一步擴(kuò)大。深層日志及靈活、強(qiáng)大審計(jì)分析功能，提供豐富的日志信息，用戶可根據(jù)特定的需要進(jìn)行日志選項(xiàng) (不做日志、通信日志 (即傳統(tǒng)的日志 )、應(yīng)用層協(xié)議日志、應(yīng)用層內(nèi)容日志 )。提供面向?qū)ο蟮姆?wù)模板功能，可以方便的定制過濾規(guī)則。 核心交換機(jī)華為 6505 處配備一臺(tái)高性能天融信網(wǎng)絡(luò)衛(wèi)士防火墻 4000 系統(tǒng)，用于對(duì)內(nèi)部服務(wù)器群的訪問和聯(lián)動(dòng)保護(hù)。選購(gòu)防火墻主要應(yīng)從安全角度考慮，在這里效率不應(yīng)成瓶頸問題，應(yīng)該選購(gòu)業(yè)界大公司或資深信息安全研制單位的成熟產(chǎn)品。通過在網(wǎng)絡(luò)入口點(diǎn)檢查網(wǎng)絡(luò)通訊數(shù)據(jù)，根據(jù)預(yù)先設(shè)定的安全規(guī)則，提供一種安全的網(wǎng)間網(wǎng)數(shù)據(jù)通訊。 口令使用次數(shù)和時(shí)效自由控制，有效抵御重播攻擊行為 。因此不掌握系統(tǒng)密鑰的話，即使有機(jī)會(huì)接觸到服務(wù)器，也無法取得各用戶密鑰。 動(dòng)態(tài)口令系統(tǒng)的抗窮舉攻擊能力窮舉攻擊是破解口令時(shí)常用的攻擊手段之一。在此基礎(chǔ)上，采用先進(jìn)的身份認(rèn)證及加解密流程、先進(jìn)的密鑰管理方式，從整體上保證了系統(tǒng)的安全性 [17]。 ： 采用趨勢(shì)科技的 SacllMailforNoteS。 WindowS2020 服務(wù)器上安裝瑞星殺毒軟件網(wǎng)絡(luò)版的系統(tǒng)中心，負(fù)責(zé)管理 2020 多個(gè)學(xué)生 主機(jī)網(wǎng)點(diǎn)。 廣域網(wǎng)信息傳輸?shù)陌踩Ｃ苄?。在網(wǎng)絡(luò)層，可通過對(duì)路由器的路由表控制和對(duì)不同子網(wǎng)的定義來限制子網(wǎng)間 的接點(diǎn)通信，通過對(duì)主機(jī)路由表的控制來控制與之直接通信的節(jié)點(diǎn)。 建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授第 3 章網(wǎng)絡(luò)安全系統(tǒng)設(shè)計(jì)權(quán)。 制訂相應(yīng)的機(jī)房出入管理制度。 (2)技術(shù)策略技術(shù)策略要針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、 數(shù)據(jù)庫(kù)、信息共享授權(quán)提出具體的措施。 安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。實(shí)際上，在