【文章內(nèi)容簡介】 恢復能力。主要采取的安全措施有：在布線方面充分考慮電磁輻射，同時重要部門的機房采用電磁屏蔽措施；重要計算機終端采用電磁屏蔽和加干擾器，避免電磁泄露；門窗保護：重要場地采用防盜門窗或帶身份識別功能的門鎖，對進入機房的人員和時間進行記錄和限制；報警監(jiān)控措施:在重要部位設監(jiān)控報警措施；專用保險機柜的保護:對于一些重要的密碼設備，采用專用安全機柜進行保護，避免偷竊和破壞行動的發(fā)生。系統(tǒng)安全系統(tǒng)安全主要是指操作系統(tǒng)、應用系統(tǒng)的安全性以及網(wǎng)絡硬件平臺的可靠性。操作系統(tǒng)安全，在市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。為了保證企業(yè)局域網(wǎng)操作系統(tǒng)的安全，除了需不斷地增加安全補丁外，還需進行如下要求:檢查系統(tǒng)設置（敏感數(shù)據(jù)的存放方式訪問控制口令選擇/更新）將系統(tǒng)的安全級別設置為最高級。應用系統(tǒng)安全，應用系統(tǒng)的安全性由支持應用系統(tǒng)的網(wǎng)絡、平臺、操作系統(tǒng)和數(shù)據(jù)庫的安全性所決定，因此，應用系統(tǒng)應充分利用系統(tǒng)的安全性。但由于各行業(yè)的應用系統(tǒng)千差萬別，故很難對應用系統(tǒng)的安全實現(xiàn)進行具體的規(guī)劃。網(wǎng)絡安全數(shù)據(jù)包在局域網(wǎng)中是采用廣播方式傳播，的在某個廣播域中可以偵聽到域內(nèi)所有的信息包，如果黑客對信息包進行分析，那么廣播域內(nèi)的信息傳遞都會暴露在黑客面前。因此，特對企業(yè)局域網(wǎng)作如下設計：網(wǎng)絡分段是保證安全的一項重要措施同時也是一項基本措施其指導思想，在于將非法用戶與網(wǎng)絡資源相互隔離，從而達到限制用戶非法訪問的目的。在企業(yè)局域網(wǎng)實際應用中可采取物理分段與邏輯分段相結(jié)合的方法來實現(xiàn)對網(wǎng)絡系統(tǒng)的安全性控制。內(nèi)部網(wǎng)不同網(wǎng)絡安全域的隔離及訪問控制：VLAN 技術(shù)主要基于近年發(fā)展的局域網(wǎng)交換技術(shù)。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。因此，網(wǎng)管系統(tǒng)有能力限制局域網(wǎng)通訊的范圍而無需通過開銷很大的路由器。網(wǎng)絡安全檢測：網(wǎng)絡安全檢測工具通常是一個網(wǎng)絡安全性評估分析軟件，其功能是用實踐性的方法掃描分析網(wǎng)絡系統(tǒng)檢查報告系統(tǒng)存在的弱點和漏洞提出建議補救措施和安全策略以達到增強網(wǎng)絡安全性的目的。應具備以下功能:具備網(wǎng)絡監(jiān)控分析和自動響應功能；找出經(jīng)常發(fā)生問題的根源所在；建立必要的循環(huán)過程確保隱患時刻被糾正控制各種網(wǎng)絡安全危險；漏洞分析和響應；配置分析和響應；漏洞形勢分析和響應；認證和趨勢分析；將各種服務器受黑客攻擊的可能降為最低；對網(wǎng)絡訪問做出有效響應保護重要應用系統(tǒng)數(shù)據(jù)安全不受黑客攻擊和內(nèi)部人員誤操作的侵害。網(wǎng)絡病毒防護：由于在網(wǎng)絡環(huán)境下計算機病毒有著不可估量的威脅性和破壞力因此計算機病毒的防范是網(wǎng)絡安全性設計中的重要一環(huán)。網(wǎng)絡反病毒技術(shù)包括預防病毒、檢測病毒和消毒三種技術(shù)：a、預防病毒技術(shù):它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術(shù)有:加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制。b、檢測病毒技術(shù):它是通過對計算機病毒的特征來進行判斷的技術(shù)，如自身校驗、關(guān)鍵詞、文件長度的變化等c、清除病毒技術(shù):它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復原文件的軟件。網(wǎng)絡反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡服務器中的文件進行頻繁地掃描和監(jiān)測；在工作站上用防病毒芯片對網(wǎng)絡目錄及文件設置訪問權(quán)限等。網(wǎng)絡備份系統(tǒng)備份系統(tǒng)為一個目的而存在，即盡可能快地全盤恢復運行計算機系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息。根據(jù)系統(tǒng)安全需求可選擇的備份機制有:場點內(nèi)高速度大容量自動的數(shù)據(jù)存儲備份與恢復；場點外的數(shù)據(jù)存儲備份與恢復；對系統(tǒng)設備的備份，備份不僅要在網(wǎng)絡系統(tǒng)硬件故障或人為失誤時起到保護作用，還可在入侵者非授權(quán)訪問或?qū)W(wǎng)絡攻擊及破壞數(shù)據(jù)完整性時起到保護作用，同時亦是系統(tǒng)災難恢復的前提之一。信息安全企業(yè)局域網(wǎng)網(wǎng)絡系統(tǒng)的業(yè)務信息可分為公共信息、內(nèi)部信息、秘密信息等。不同性質(zhì)的信息，其安全要求也不同。公共信息的完整性要求比較高，如那些可以向整個系統(tǒng)發(fā)布的Web 信息，不能被非法篡改；內(nèi)部信息除要具有普通的安全要求外，還要以有力的訪問控制手段來保證它只能在內(nèi)部被及時正確地使用；秘密信息的安全性要求最高，如何保證秘密信息的安全是整個安全系統(tǒng)建設的重中之重。秘密信息的安全性主要體現(xiàn)在它的保密性上，對秘密信息的防護除了要求高強度的訪問控制外，還需要有高強度的加密措施。安全管理面對網(wǎng)絡安全的脆弱性，除了在網(wǎng)絡設計上增加安全服務功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣建立網(wǎng)絡安全管理規(guī)范，因為諸多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是保證計算機網(wǎng)絡安全所必須考慮的基本問題，所以應引起各計算機網(wǎng)絡應用部門領(lǐng)導的重視。安全管理的主要功能指：a、對安全設備的管理；b、監(jiān)視網(wǎng)絡危險情況對危險進行隔離并把危險控制在最小范圍內(nèi)；c、身份認證權(quán)限設置；d、對資源的存取權(quán)限的管理；e、對資源或用戶動態(tài)的或靜態(tài)的審計；f、對違規(guī)事件自動生成報警或生成事件消息；g、口令管理如操作員的口令鑒權(quán):對無權(quán)操作人員進行控制；h、密鑰管理:對于與密鑰相關(guān)的服務器應對其設置密鑰生命期密鑰備份等管理功能；i、冗余備份:為增加網(wǎng)絡的安全系數(shù)對于關(guān)鍵的服務器應冗余備份。安全管理需通過管理制度和管理平臺技術(shù)實現(xiàn)兩個方面來完成安全管理產(chǎn)品應支持統(tǒng)一的中心控制平臺五、防火墻的選擇下面是Cisco ASA 5500系列防火墻介紹：圖43 Cisco ASA 5500系列防火墻（一）選擇的理由：值得信賴的防火墻和威脅防御VPN技術(shù)；Cisco ASA 5500 系列建立于值得信賴的Cisco PIX安全設備和Cisco VPN 3000系列集中器技術(shù)，ASA5500系列是第一個兼具市場領(lǐng)先的防火墻技術(shù)保護，同時提供SSL和IPsec VPN服務的解決方案；業(yè)內(nèi)領(lǐng)先的AntiX服務；將Trend Micro 在互聯(lián)網(wǎng)邊緣的威脅防御和內(nèi)容控制優(yōu)勢與切實可行的思科解決方案結(jié)合在一起，提供全面的防病毒、防間諜軟件、文件阻擋、防垃圾郵件、防誘騙、URL阻擋和過濾以及內(nèi)容過濾服務。 高級入侵防御服務；提供主動型全功能入侵防御服務，有效阻止各種威脅，包括蠕蟲、應用層攻擊、操作系統(tǒng)級攻擊、rootkit攻擊、間諜軟件、對等文件共享和即時消息傳送。豐富的管理和監(jiān)控服務；通過Cisco Adaptive Security Device Manager（ASDM）提供直觀的單設備管理和監(jiān)控服務，通過 Cisco Security Management Suite 提供企業(yè)級多設備集中管理服務。 降低部署和運作成本；由于Cisco ASA 5500系列提供與現(xiàn)有思科安全解決方案一致的設計和界面，因而能顯著降低初始安全部署成本和日常管理成本。（二）Cisco ASA 5500配置（1）配置主機名：Ciscoasa(config) hostname ASAFW（2）配置Ethernet 0/0 ASAFW (config) interface ethernet 0/0 ASAFW (c