【正文】 考慮安全對(duì)象和安全機(jī)制，安全對(duì)象主要有網(wǎng)絡(luò)安全、系統(tǒng)安全、數(shù)據(jù)庫安全、 信息安全、設(shè)備安全、信息介質(zhì)安全和計(jì)算機(jī)病毒防治等，其安全體系結(jié)構(gòu)如下圖所示： 安全體系設(shè)計(jì) 安全體系設(shè)計(jì)原則 在進(jìn)行計(jì)算機(jī)網(wǎng)絡(luò)安全設(shè)計(jì)、規(guī)劃時(shí)，應(yīng)遵循以下原則： （1） 需求、風(fēng)險(xiǎn)、代價(jià)平衡分析的原則 ： 對(duì)任一網(wǎng)絡(luò)來說，絕對(duì)安全難以達(dá)到，也不一定必要。 安全管理原則 計(jì)算機(jī)信息系統(tǒng)的安全管理主要基于三個(gè)原則。增強(qiáng)網(wǎng)絡(luò)互連的分割和過濾控制，也可以大大提高安全保密性。入侵檢測(cè)被認(rèn)為是防火墻之 后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)測(cè)，從而提供對(duì)內(nèi)部攻擊、外部攻擊和 誤操作的實(shí)時(shí)保護(hù)。能干的人，不在情緒上計(jì)較，只在做事上認(rèn)真；無能的人！不在做事上認(rèn)真，只在情緒上計(jì)較。 本系統(tǒng)也被列為國家863 重點(diǎn)項(xiàng)目。 在鏈路層，通過橋這一互連設(shè)備的監(jiān)視和控制作用，使我們可以建立一定程度的虛擬局域網(wǎng)，對(duì)物 理和邏輯網(wǎng)段進(jìn)行有效的分割和隔離，消除不同安全級(jí)別邏輯網(wǎng)段間的竊聽可能。 （6）多重保護(hù)原則 任何安全保護(hù)措施都不是絕對(duì)安全的，都可能被攻破。但是，由于多種原因，類似的追查工作往往難以進(jìn) 行，其中包括 ● 操作系統(tǒng)日志不健全，如 Windows95/98 不提供操作日志功能； ● 對(duì)于某些欺騙行為不能夠識(shí)別； ● 對(duì)于日志文件記錄的內(nèi)容無法進(jìn)行有效的分析； ● 缺乏對(duì)攻擊現(xiàn)場(chǎng)回放工具； ● 缺乏防御同樣攻擊的解決辦法。這些問題主要體現(xiàn)在安全威脅的第二和第三個(gè)層面上，具體包括： ● 網(wǎng)絡(luò)的實(shí)際結(jié)構(gòu)無法控制； ● 網(wǎng)管人員無法及時(shí)了解網(wǎng)絡(luò)的運(yùn)行狀況； ● 無法了解網(wǎng)絡(luò)的漏洞和可能發(fā)生的攻擊； ● 對(duì)于已經(jīng)或正在發(fā)生的攻擊缺乏有效的追查手段； 內(nèi)部網(wǎng)絡(luò)的安全涉及到技術(shù)、應(yīng)用以及管理等多方面的因素，只有及時(shí)發(fā)現(xiàn)問題，確定網(wǎng)絡(luò)安全威脅 的來源，才能制定全面的安全策略，有效的保證網(wǎng)絡(luò)安全。 第二層：內(nèi)部網(wǎng)絡(luò)連接，其中包括通過 DDN 專線連接的托管服務(wù)器網(wǎng)站與辦公自動(dòng)化網(wǎng)。 第三層：同一網(wǎng)段中不同部門間的連接 這里主要是指同一網(wǎng)段中，即連接在同一個(gè) HUB 或交換機(jī)上的不同部門的主機(jī)和工作站的安全問題。 A、網(wǎng)絡(luò)的實(shí)際結(jié)構(gòu)無法控制 計(jì)算機(jī)網(wǎng)絡(luò)上的用戶眾多，用戶的應(yīng)用水平差異較大，給管理帶來很多困難。 由此可見，為了能夠追查攻擊的來源，系統(tǒng)應(yīng)該具備有效的工具，記錄攻擊行為的全過程，為調(diào)查工 作提供依據(jù)，同時(shí)也是對(duì)非法入侵者的有效震懾。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ) 充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 在網(wǎng)絡(luò)層，可通過對(duì)不同子網(wǎng)的定義和對(duì)路由器的路由表控制來限制子網(wǎng)間的接點(diǎn)通信，通過對(duì)主機(jī) 路由表的控制來控制與之直接通信的節(jié)點(diǎn)。 目前，黑客煞星是我國第一個(gè)成功集成入侵檢測(cè)技術(shù)和防火墻技術(shù)于一體的網(wǎng)絡(luò)安全產(chǎn)品，其獨(dú)特 的遠(yuǎn)程管理功能，數(shù)據(jù)挖掘功能和用戶自定義功能等，讓您盡情享用更安全可靠的網(wǎng)絡(luò)信息資源。拼一個(gè)春夏秋冬！贏一個(gè)無悔人生！早安！—————獻(xiàn)給所有努力的人. 學(xué)習(xí)好幫手。它從計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息， 并分析這些信息，看看網(wǎng)絡(luò)中是否有違反安全策略的行為和遭到襲擊的跡象。對(duì)網(wǎng)絡(luò)進(jìn)行級(jí)別劃分與控制，網(wǎng)絡(luò)級(jí)別的劃分大致包括 Internet/ 企業(yè)網(wǎng)、骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)、部門網(wǎng)/工作組網(wǎng)等，其中 Internet/企業(yè)網(wǎng)的接口要采用專用 防火墻，骨干網(wǎng)/區(qū)域網(wǎng)、區(qū)域網(wǎng)/部門網(wǎng)的接口利用路由器的可控路由表、安全郵件服務(wù)器、安全撥號(hào)驗(yàn) 證服務(wù)器和安全級(jí)別較高的操作系統(tǒng)。 （2）技術(shù)策略 技術(shù)策略要針對(duì)網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、信息共享授權(quán)提出具體的措施。 因此，我們應(yīng)該從技術(shù)和管理等多種渠道加強(qiáng)管理和監(jiān)控，杜絕這個(gè)層面上的安全問題。 這些因素都會(huì)導(dǎo)致網(wǎng)絡(luò)結(jié)構(gòu)發(fā)生變化，網(wǎng)絡(luò)管理者如果不能及時(shí)發(fā)現(xiàn)，將其納入網(wǎng)絡(luò)安全的總體策略， 很可能發(fā)生網(wǎng)絡(luò)配置不當(dāng)，從而造成網(wǎng)絡(luò)性能的下降，更嚴(yán)