【正文】 ?！笮畔⑾到y(tǒng)基礎(chǔ)設(shè)施管理制度的要點(diǎn)應(yīng)該在網(wǎng)絡(luò)和計(jì)算機(jī)等基礎(chǔ)設(shè)施的應(yīng)用和管理上，例如可以制訂計(jì)算機(jī)管理制度、各部門(mén)的網(wǎng)絡(luò)使用的權(quán)限上的管理辦法等等?！笮畔⑾到y(tǒng)應(yīng)用系統(tǒng)管理制度應(yīng)重視應(yīng)用系統(tǒng)的操作和使用權(quán)限，例如應(yīng)該有專(zhuān)職人員操作，信息部門(mén)的對(duì)口人員等。在集團(tuán)網(wǎng)上銀行系統(tǒng)管理制度上應(yīng)該著重強(qiáng)調(diào)系統(tǒng)安全性方面的操作和維護(hù)等。◇信息化項(xiàng)目建設(shè)與開(kāi)發(fā)制度要把握項(xiàng)目申報(bào)和評(píng)估體系，著重流程上的控制?！笮畔踩贫壬峡梢圆捎脟?guó)際標(biāo)準(zhǔn)的安全管理制度，分模塊的落實(shí)到位?！笮畔⒒瘜徲?jì)制度的建立建議聘請(qǐng)專(zhuān)業(yè)的咨詢公司和專(zhuān)家，根據(jù)公司的具體情況出具具體實(shí)施方案，這樣比較公正和客觀。八、新建綜合辦公樓IT管理規(guī)劃信息化制度的建立當(dāng)然十分必要，為更重要的是采用什么樣的方式執(zhí)行。伴隨業(yè)務(wù)的發(fā)展，市場(chǎng)的變化，企業(yè)必須認(rèn)識(shí)到企業(yè)信息化戰(zhàn)略與企業(yè)經(jīng)營(yíng)發(fā)展戰(zhàn)略是一個(gè)有機(jī)的整體，是企業(yè)信息化最大的問(wèn)題。首先它保證了信息化投資能夠更好地創(chuàng)造價(jià)值，保證經(jīng)營(yíng)目標(biāo)的實(shí)現(xiàn)，避免信息化建設(shè)的盲目性，減少風(fēng)險(xiǎn)。其次，使信息化建設(shè)符合公司的整體經(jīng)營(yíng)戰(zhàn)略，變被動(dòng)為主動(dòng)適應(yīng)業(yè)務(wù)發(fā)展的要求。這不僅減少了建設(shè)中的阻力，能夠達(dá)成信息化建設(shè)共識(shí)，也保證了技術(shù)體系構(gòu)架的集成、可擴(kuò)展、完整、開(kāi)放、安全和高效。未完成企業(yè)信息化的建設(shè)，組建企業(yè)信息中心已經(jīng)變得越來(lái)越重要和迫切。企業(yè)園區(qū)樓宇網(wǎng)絡(luò)設(shè)計(jì)企業(yè)園區(qū)樓宇設(shè)計(jì)必須基于建筑物內(nèi)已有的或者可能設(shè)置的布線結(jié)構(gòu)進(jìn)行設(shè)計(jì)，同時(shí)要考慮每個(gè)樓宇內(nèi)信息資源中心的設(shè)置，局域網(wǎng)之間的數(shù)據(jù)通信類(lèi)型和可能通信量，局域網(wǎng)之間需要設(shè)置的安全訪問(wèn)控制策略，確定網(wǎng)絡(luò)互連模式和結(jié)構(gòu)。樓宇內(nèi)設(shè)計(jì)采用路由互連技術(shù)、ATM交換互連網(wǎng)技術(shù)和虛擬局域網(wǎng)組網(wǎng)技術(shù)。樓宇網(wǎng)絡(luò)設(shè)計(jì)需要考慮如下問(wèn)題： 樓宇內(nèi)部如果沒(méi)有干擾，而且傳輸距離在100米之內(nèi)，一般采用雙絞線作為網(wǎng)絡(luò)的傳輸媒體。如果樓宇內(nèi)部有電磁干擾，可以采用光纖作為傳輸媒體。如果樓宇內(nèi)部的傳輸距離大于100米，可以采用互連設(shè)備的級(jí)聯(lián)，也可以采用光纖作為傳輸媒體。 在采用同一局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時(shí)，如果可以共享帶寬，而且無(wú)安全控制需要，只是由于工作組網(wǎng)絡(luò)覆蓋的距離不夠，則可以采用級(jí)聯(lián)集線器的方式擴(kuò)展網(wǎng)絡(luò)。 在采用同一種局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時(shí)，如果各個(gè)工作組需要獨(dú)立的傳輸帶寬，則通過(guò)局域網(wǎng)交換機(jī)連接。 采用不同局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時(shí)，如果互連的工作組網(wǎng)絡(luò)較少，各個(gè)工作組之間無(wú)需提供安全訪問(wèn)控制，而且，各個(gè)工作組網(wǎng)絡(luò)之間需要提供快速連接，則采用支持多種局域網(wǎng)接口的交換機(jī)。 采用不同的局域網(wǎng)技術(shù)的工作組網(wǎng)絡(luò)互連時(shí)，如果互連的工作組網(wǎng)絡(luò)數(shù)量較多，各個(gè)工作組網(wǎng)絡(luò)內(nèi)部有較大的廣播報(bào)文，或工作組網(wǎng)絡(luò)之間需要有較為嚴(yán)格的安全訪問(wèn)控制，且在工作組之間沒(méi)有多媒體應(yīng)用，則采用路由器互連各個(gè)工作組網(wǎng)絡(luò)。 如果工作組站點(diǎn)的地理分布，與其它工作組網(wǎng)絡(luò)站點(diǎn)地理分布重復(fù)，則需要在同一地理區(qū)域采用同一局域網(wǎng)交換機(jī)連接不同工作組網(wǎng)絡(luò)站點(diǎn)，通過(guò)交換機(jī)構(gòu)成符合工作組劃分的虛擬網(wǎng)絡(luò)。 對(duì)于具有多媒體應(yīng)用的點(diǎn)到點(diǎn)站點(diǎn)網(wǎng)絡(luò)服務(wù)質(zhì)量保證的傳輸信道，采用ATM技術(shù)，到桌面采用25M ATM連接。服務(wù)器設(shè)備接入：采用光纖155M ATM接入或光纖100M以太網(wǎng)接入。重點(diǎn)終端用戶采用光纖接入核心交換機(jī)，實(shí)現(xiàn)安全傳輸。安全方案的制訂 根據(jù)安全框架制訂安全方案的具體思路如下：確定安全方案涉及的系統(tǒng)單元，明確安全方案系統(tǒng)單元；確定安全方案系統(tǒng)單元在各個(gè)層次結(jié)構(gòu)的安全特性。安全方案的組成如下：網(wǎng)絡(luò)平臺(tái)安全方案系統(tǒng)平臺(tái)安全方案應(yīng)用平臺(tái)安全方案物理環(huán)境安全安全管理方案防病毒的安全措施由于Internet的迅速發(fā)展，將文件附加在電子郵件中的能力不斷提高，使得病毒的擴(kuò)散速度急驟提高，范圍越來(lái)越廣。（1）多層病毒防衛(wèi)體系為了企業(yè)的財(cái)產(chǎn)免受損失，多數(shù)企業(yè)都選擇多層的病毒防衛(wèi)體系。多層病毒防衛(wèi)體系，是指在企業(yè)的每個(gè)臺(tái)式機(jī)上要安裝臺(tái)式機(jī)的反病毒軟件，在服務(wù)器上要安裝基于服務(wù)器的反病毒軟件，在INTERNET 網(wǎng)關(guān)上要安裝基于INTERNET網(wǎng)關(guān)的反病毒軟件。（2）市場(chǎng)反病毒產(chǎn)品目前市場(chǎng)上有各種反病毒軟件：第一種是高級(jí)桌面反病毒套裝軟件。第二種是服務(wù)器級(jí)反病毒套裝件。第三種Internet網(wǎng)的反病毒軟件。 防黑客的安全措施 （1）入侵檢測(cè)利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是，僅僅使用防火墻，網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠,這是因?yàn)椋喝肭终呖蓪ふ曳阑饓Ρ澈罂赡艹ㄩ_(kāi)的后門(mén)。入侵者可能就在防火墻內(nèi)。由于性能的限制，防火墻通常不能提供實(shí)時(shí)的入侵檢測(cè)能力。入侵檢測(cè)系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開(kāi)網(wǎng)絡(luò)連接等。實(shí)時(shí)入侵檢測(cè)不但能夠?qū)Ω秮?lái)自內(nèi)部網(wǎng)絡(luò)的攻擊，也能夠阻止黑客的入侵。入侵檢測(cè)系統(tǒng)可分為基于主機(jī)和基于網(wǎng)絡(luò)兩類(lèi)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)用于保護(hù)關(guān)鍵的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接，檢查系統(tǒng)日志和阻止非法訪問(wèn)的闖入，并且提供對(duì)典型應(yīng)用如WEB服務(wù)器應(yīng)用的監(jiān)視?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息?；谥鳈C(jī)及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常可配置為分布式模式，其要點(diǎn)如下： 在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊（Agent），分別向管理 服務(wù)器報(bào)告及上傳證據(jù)，提供跨平臺(tái)的入侵監(jiān)視解決方案。在需要監(jiān)視的網(wǎng)絡(luò)路徑上，放置監(jiān)視模塊（Sensor），分別向管理服務(wù)器報(bào)告及上傳證據(jù)，提供跨網(wǎng)絡(luò)的入侵監(jiān)視解決方案。（2）對(duì)關(guān)鍵服務(wù)器的保護(hù) 由于網(wǎng)絡(luò)的安全監(jiān)控系統(tǒng)自身的局限性，不可避免地出會(huì)現(xiàn)誤報(bào)、漏報(bào)等情況。因此，在提供關(guān)鍵服務(wù)的服務(wù)器上，安裝實(shí)時(shí)的安全監(jiān)控系統(tǒng)，能夠使整個(gè)網(wǎng)絡(luò)安全系統(tǒng)更加強(qiáng)健。 實(shí)時(shí)的安全監(jiān)控系統(tǒng)為關(guān)鍵服務(wù)器提供了實(shí)時(shí)的保護(hù)。通過(guò)監(jiān)視來(lái)自網(wǎng)絡(luò)的攻擊、非法的闖入和異常進(jìn)程，并作出切斷服務(wù)/重啟服務(wù)器進(jìn)程/發(fā)出警報(bào)/記錄入侵過(guò)程等動(dòng)作。 實(shí)時(shí)監(jiān)控也可配置為分布式模式，由安裝在每臺(tái)服務(wù)器上的監(jiān)視模塊進(jìn)行攻擊識(shí)別及動(dòng)作執(zhí)行， 服務(wù)器則完成管理和記錄工作。制定有效的管理制度必須制定一套安全管理制度才能保證系統(tǒng)的安全，應(yīng)該包括下列各種管理制度：密封安全管理應(yīng)急安全管理系統(tǒng)安全需求分析、設(shè)計(jì)、評(píng)估、安全管理應(yīng)用開(kāi)發(fā)安全管理數(shù)據(jù)安全管理系統(tǒng)運(yùn)行安全管理網(wǎng)絡(luò)安全管理軟、硬件安全管理技術(shù)文檔安全管理運(yùn)行環(huán)境安全管理人員安全管理