【文章內容簡介】 污染，易發(fā)生火災、水災，易遭受雷擊的地區(qū)。 （ 2） 電力供應 機房供電應與其他市電供電分開；應設置穩(wěn)壓器和過電壓防護設備；應提供短期的備用電力供應（如 UPS 設備）；應建立備用供電系統(tǒng)（如備用發(fā)電機），以備常用供 電系統(tǒng)停電時啟用。 （ 3） 電磁防護要求 應采用接地方式防止外界電磁干擾和相關服務器寄生耦合干擾；電源線和通信線纜應隔離，避免互相干擾。 公司內部網(wǎng)的設計 內部辦公自動化網(wǎng)絡根 據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機來劃分虛擬子網(wǎng)（ VLAN），在沒有配置路的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問。通過虛擬子網(wǎng)的劃分 ,能夠實較粗略的訪問控制 [2]。 vlan 的劃分和地址的分配 經(jīng)理辦子網(wǎng) (vlan2): 子網(wǎng)掩碼 : 網(wǎng)關： 生產(chǎn)子網(wǎng) (vlan3)： 子網(wǎng)掩碼 : 網(wǎng)關： 市場子網(wǎng) (vlan4)： 子網(wǎng)掩碼 : 網(wǎng)關： 財務子網(wǎng) (vlan5)： 子網(wǎng)掩碼 : 網(wǎng)關： 資源子網(wǎng) (vlan6): 子網(wǎng)掩碼 : 網(wǎng)關： 訪問權限控制策略 （ 1） 經(jīng)理辦 VLAN2 可以訪問其余所有 VLAN。 （ 2） 財務 VLAN5 可以訪問生產(chǎn) VLAN市場 VLAN資源 VLAN6，不可以訪問經(jīng)理辦 VLAN2。 （ 3） 市場 VLAN生產(chǎn) VLAN資源 VLAN6 都不能訪問經(jīng)理辦 VLAN財務 VLAN5。 （ 4） 生產(chǎn) VLAN4 和銷售 VLAN3 可以互訪。 通信保密 數(shù)據(jù)的機密性與完整性，主要是為了保護在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過配備加密設備，使得在網(wǎng)上傳送 的數(shù)據(jù)是密文形式，而不是明文?？梢赃x擇以下幾種方重慶信息技術職業(yè)學院畢業(yè)設計 第 8 頁 式： （ 1）鏈路層加密 對于連接各涉密網(wǎng)節(jié)點的廣域網(wǎng)線路，根據(jù)線路種類不同可以采用相應的鏈路級加密設備，以保證各節(jié)點涉密網(wǎng)之間交換的數(shù)據(jù)都是加密傳送，以防止非授權用戶讀懂、篡改傳輸?shù)臄?shù)據(jù)，如圖 所示。 圖 鏈路加密機由于是在鏈路級，加密機制是采用點對點的 加密、解密。即在有相互訪問需求并且要求加密傳輸?shù)母骶W(wǎng)點的每條外線線路上都得配一臺鏈路加密機。通過兩端加密機的協(xié)商配合實現(xiàn)加密、解密過程。 (2)網(wǎng)絡層加密 鑒于網(wǎng)絡分布較廣，網(wǎng)點較多，而且可能采用 DDN、 FR 等多種通訊線路。如果采用多種鏈路加密設備的設計方案則增加了系統(tǒng)投資費用，同時為系統(tǒng)維護、升級、擴展也帶來了相應困難。因此在這種情況下我們建議采用網(wǎng)絡層加密設備（ VPN）， VPN 是網(wǎng)絡加密機，是實現(xiàn)端至端的加密，即一個網(wǎng)點只需配備一臺 VPN 加密機。根據(jù)具體策略，來保護內部敏感信息和企業(yè)秘密的機密性、真實性 及完整性 [3]。 IPsec 是在 TCP/IP體系中實現(xiàn)網(wǎng)絡安全服務的重要措施。而 VPN 設備正是一種符合 IPsec 標準的 IP 協(xié)議加密設備。它通過利用跨越不安全的公共網(wǎng)絡的線路建立 IP 安全隧道，能夠保護子網(wǎng)間傳輸信息的機密性、完整性和真實性。經(jīng)過對 VPN 的配置，可以讓網(wǎng)絡內的某些主機通過加密隧道，讓另一些主機仍以明文方式傳輸，以達到安全、傳輸效率的最佳平衡。一般來說， VPN 設備可以一對一和一對多地運行，并具有對數(shù)據(jù)完整性的保證功能，它安裝在被保護網(wǎng)絡和路由器之間的位置。設備配置見下圖。目前全球大部分廠商的網(wǎng)絡安全 產(chǎn)品都支持 IPsec 標準。如圖 所示。 圖 設備配置示意圖 重慶信息技術職業(yè)學院畢業(yè)設計 第 9 頁 由于 VPN 設備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡安全設備的投資；而另一方面，更重要的是它可以為上層的各種應用提供統(tǒng)一的網(wǎng)絡層安全基礎設施和可選的虛擬專用網(wǎng)服務平臺。對政府行業(yè)網(wǎng)絡系統(tǒng)這樣一種大型的網(wǎng)絡， VPN 設備可以使網(wǎng)絡在升級提速時具有很好的擴展性。鑒于 VPN 設備的突出優(yōu)點，應根據(jù)企業(yè)具體需求，在各個網(wǎng)絡結點與公共網(wǎng)絡相連接的進出口處安裝配備 VPN 設備。 病毒防護 由于在網(wǎng)絡環(huán)境下，計算機病毒有不可估量的威脅性和破壞力。我們都知道，公司網(wǎng)絡系統(tǒng)中使用的操作系統(tǒng)一般均為 WINDOWS 系統(tǒng)，比較容易感染病毒。因此計算機病毒的防范也是網(wǎng)絡安全建設中應該考濾的重要的環(huán)節(jié)之一。反病毒技術包括預防病毒、檢測病毒和殺毒三種技術 [4]： （ 1） 預防病毒技術 預防病毒技術通過自身常駐系統(tǒng)內存，優(yōu)先獲得系統(tǒng)的控制權 ，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進而阻止計算機病毒進入計算機系統(tǒng)和對系統(tǒng)進行破壞。這類技術有，加密可執(zhí)行程序、引導區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。 （ 2） 檢測病毒技術 檢測病毒技術是通過對計算機病毒的特征來進行判斷的技術（如自身校驗、關鍵字、文件長度的變化等），來確定病毒的類型。 （ 3） 殺毒技術 殺毒技術通過對計算機病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復原文件的軟件。反病毒技術的具體實現(xiàn)方法包括對網(wǎng)絡中服務器及工作站中的文件及電子郵件等進行頻繁地掃描和監(jiān)測。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的 病毒代碼，反病毒程序會采取相應處理措施（清除、更名或刪除），防止病毒進入網(wǎng)絡進行傳播擴散。 應用安全 應用安全，顧名思義就是保障應用程序使用過程和結果的安全。簡言之，就是針對應用程序或工具在使用過程中可能出現(xiàn)計算、傳輸數(shù)據(jù)的泄露和失竊，通過其他安全工具或策略來消除隱患。 （ 1） 內部 OA 系統(tǒng)中資源享 嚴格控制內部員工對網(wǎng)絡共享資源的使用。在內部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。對 有經(jīng)常交換信息需求的用戶，在共享時也必須加上必要的口令認證機制，即只有通過口令的認證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設得復雜些，也得花費相當長的時間。 （ 2） 信息存儲 重慶信息技術職業(yè)學院畢業(yè)設計 第 10 頁 對有涉及企業(yè)秘密信息的用戶主機，使用者在應用過程中應該做到盡量少開放一些不常用的網(wǎng)絡服務。對數(shù)據(jù)庫服務器中的數(shù)據(jù)庫必須做安全備份。通過網(wǎng)絡備份系統(tǒng)，可以 對數(shù)據(jù)庫進行遠程備份存儲。 配備防火墻 防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的安全措施之一。防火墻通過制定嚴格的安全策略實現(xiàn)內外網(wǎng)絡或內部網(wǎng)絡不同信任域之間的隔離與訪問控制。并且防火墻可以實現(xiàn)單向或雙向控制，對一些高層協(xié)議實現(xiàn)較細粒的訪問控制。 華城公司 網(wǎng)絡中使用的是神州數(shù)碼的 DCFW1800S UTM，里面包含了防火墻和 VPN 等功能。 由于采用防火墻、 VPN 技術融為一體的安全設備，并采取網(wǎng)絡化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點： （ 1） 管理、維護簡單、方便 。 （ 2） 安全性高 (可有效降低在安全設備使用上的配置漏洞 )。 （ 3） 硬件成本和維護成本低 。 （ 4） 網(wǎng)絡運行的穩(wěn)定性更高 由于是采用一體化設備，比之傳統(tǒng)解決方案中采用防火墻和加密機兩個設備而言，其穩(wěn)定性更高，故障率更低。 重慶信息技術