【正文】 網(wǎng)絡(luò)安全系統(tǒng)出謀劃策。隨著XX單位網(wǎng)絡(luò)化和信息化建設(shè)的發(fā)展，安全問題對(duì)于XX單位信息網(wǎng)絡(luò)的發(fā)展也越來越重要。安全問題已經(jīng)成為影響XX單位業(yè)務(wù)平臺(tái)的穩(wěn)定性和業(yè)務(wù)的正常提供的一個(gè)重大問題，所以提升XX單位自身的安全性已經(jīng)成為不可忽視的問題。XX單位的領(lǐng)導(dǎo)充分認(rèn)識(shí)到網(wǎng)絡(luò)安全建設(shè)的重要性，為了更好的開展、配合XX單位各方面工作，決定對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行網(wǎng)絡(luò)安全技術(shù)改造。本方案主要針對(duì)目前XX單位的最重要部分，即財(cái)務(wù)系統(tǒng)的安全進(jìn)行重點(diǎn)防護(hù)，提出我們的觀點(diǎn)和意見。二． 用戶現(xiàn)狀分析 1 用戶網(wǎng)絡(luò)現(xiàn)狀目前XX單位的網(wǎng)絡(luò)主要是一套星形交換網(wǎng)絡(luò)，辦公網(wǎng)對(duì)外出口為互聯(lián)網(wǎng)，辦公網(wǎng)通過部署的一臺(tái)核心交換機(jī)分別為辦公網(wǎng)絡(luò)和財(cái)務(wù)網(wǎng)絡(luò)兩個(gè)子網(wǎng), 具體如下圖所示： 系統(tǒng)資源分析XX單位網(wǎng)絡(luò)資產(chǎn)主要可以分為三大類： 物理資源； 軟件資源； 其他資源。物理資源：網(wǎng)絡(luò)基礎(chǔ)設(shè)施：包括連接網(wǎng)絡(luò)的光纜、各個(gè)資源內(nèi)網(wǎng)電纜、路由器、交換設(shè)備、數(shù)據(jù)存儲(chǔ)服務(wù)器、光電轉(zhuǎn)換設(shè)備、個(gè)人電腦等。系統(tǒng)運(yùn)營保障設(shè)施：包括供電設(shè)施、供水設(shè)施、機(jī)房、防火設(shè)備、UPS、加濕器、防靜電設(shè)備等。軟件資源：重要業(yè)務(wù)軟件，如業(yè)務(wù)應(yīng)用軟件以及其他基本的應(yīng)用辦公軟件； 計(jì)算機(jī)平臺(tái)軟件，包括操作系統(tǒng)、軟件開發(fā)平臺(tái)軟件、數(shù)據(jù)庫系統(tǒng)、WEB應(yīng)用軟件等；工具軟件，如殺毒軟件、OFFICE辦公軟件、硬件驅(qū)動(dòng)庫等。其他資源：XX單位網(wǎng)絡(luò)中還包括其他重要的資產(chǎn)，如文檔資料等。這些資源在構(gòu)建信息安全保障體系時(shí)也應(yīng)當(dāng)被考慮。安全風(fēng)險(xiǎn)分析XX單位信息系統(tǒng)的建設(shè)，給XX單位辦公帶來了極大的便利，利用此信息平臺(tái)，極大的提高了辦公的效率，提高了事件處理響應(yīng)速度，同時(shí)我們也看到，系統(tǒng)的建設(shè)帶來了許多安全風(fēng)險(xiǎn)，必然會(huì)受到來自外部或內(nèi)部的各種攻擊，包括信息竊取、病毒入侵和傳播等行為。針對(duì)內(nèi)部業(yè)務(wù)網(wǎng)和外部辦公網(wǎng)，要保證網(wǎng)絡(luò)的整體安全，就必須從分析攻擊的方式入手。攻擊行為一般包括偵聽、截獲、竊取、破譯等被動(dòng)攻擊和修改、偽造、破壞、冒充、病毒擴(kuò)散等主動(dòng)攻擊。針對(duì)主動(dòng)和被動(dòng)攻擊，通過對(duì)XX單位網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用系統(tǒng)分析，我們認(rèn)為，網(wǎng)絡(luò)面臨的主要安全威脅包括：物理層安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)、系統(tǒng)層安全風(fēng)險(xiǎn)、應(yīng)用層安全風(fēng)險(xiǎn)：（1）物理層安全風(fēng)險(xiǎn)我們所說的物理層指的是整個(gè)網(wǎng)絡(luò)中存在的所有的信息機(jī)房、通信線路、網(wǎng) 絡(luò)設(shè)備、安全設(shè)備等，保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè) 網(wǎng)絡(luò)系統(tǒng)安全的前提，然而，這些設(shè)備都面臨著地震、水災(zāi)、火災(zāi)等環(huán)境事 故以及人為操作失誤、錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過程，設(shè)備安 全威脅主要包括設(shè)備的被盜、惡意破壞、電磁信息輻射泄漏、線路截獲監(jiān)聽、電磁干擾、電源掉電、服務(wù)器宕機(jī)以及物理設(shè)備的損壞等等。這些都對(duì)整個(gè) 網(wǎng)絡(luò)的基礎(chǔ)設(shè)備及上層的各種應(yīng)用有著嚴(yán)重的安全威脅，這些事故一旦出現(xiàn)，就會(huì)使整個(gè)網(wǎng)絡(luò)不可用，給內(nèi)網(wǎng)平臺(tái)造成極大的損失。(A)信息機(jī)房周邊對(duì)設(shè)備運(yùn)行產(chǎn)生不良影響的環(huán)境條件，如：周邊環(huán)境溫度、空氣濕度等。(B)供電系統(tǒng)產(chǎn)生的安全威脅，UPS自身的安全性。(C)各種移動(dòng)存儲(chǔ)媒體(如軟盤、移動(dòng)硬盤、USB盤、光盤等)在應(yīng)用后得不到及時(shí)的處置，也會(huì)造成機(jī)密信息的外泄。(D)一些重要的數(shù)據(jù)庫服務(wù)器系統(tǒng)的存在著硬件平臺(tái)的物理損壞、老化等現(xiàn)象，導(dǎo)致數(shù)據(jù)的丟失。(E)網(wǎng)絡(luò)安全設(shè)備有直接暴露在非網(wǎng)絡(luò)管理人員或外來人員的面前，外來人有可能直接使安全設(shè)備喪失功能，為以后的侵入打下基礎(chǔ)，如：直接關(guān)掉入侵檢測系統(tǒng)的電源、關(guān)掉防病毒系統(tǒng)等。(F)外來人員及非網(wǎng)絡(luò)管理人員可以直接對(duì)一些設(shè)備進(jìn)行操作，更改通信設(shè)備(如交換機(jī)、路由器)、安全設(shè)備(如更改防火墻的安全策略配置)等。（2）網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)網(wǎng)絡(luò)層是網(wǎng)絡(luò)入侵者攻擊信息系統(tǒng)的渠道和通路。許多安全問題都集中體現(xiàn)在網(wǎng)絡(luò)的安全方面。大型網(wǎng)絡(luò)系統(tǒng)內(nèi)運(yùn)行的TCP/IP協(xié)議并非專為安全通訊而設(shè)計(jì)，所以網(wǎng)絡(luò)系統(tǒng)存在大量安全隱患和威脅。網(wǎng)絡(luò)入侵者一般采用預(yù)攻擊探測、竊聽等搜集信息，然后利用 IP欺騙、重放或重演、拒絕服務(wù)攻擊（SYN FLOOD，PING FLOOD等）、分布式拒絕服務(wù)攻擊、篡改、堆棧溢出等手段進(jìn)行攻擊。（A）網(wǎng)絡(luò)設(shè)備存在的風(fēng)險(xiǎn)在網(wǎng)絡(luò)中的重要的安全設(shè)備如路由器、交換機(jī)等有可能存在著以下的安全威脅：（以最常用的交換機(jī)為例）a)交換機(jī)缺省情況下只使用簡單的口令驗(yàn)證用戶的身份，并且遠(yuǎn)程TELNET 登錄時(shí)以明文傳輸口令。一旦口令泄密路由器將失去所有的保護(hù)能力。b)交換機(jī)口令的弱點(diǎn)是沒有計(jì)數(shù)器功能的，所有每個(gè)人都可以不限數(shù)的嘗 試登錄口令，在口令字典等工具的幫助下很容易破解登錄口令。c)每個(gè)管理員都可能使用相同的口令，因此，交換機(jī)對(duì)于誰曾經(jīng)作過什么 修改，系統(tǒng)沒有跟蹤審計(jì)能力。d)交換機(jī)實(shí)現(xiàn)的協(xié)議存在著一定的安全漏洞，有可能被惡意的攻擊者利用來破壞網(wǎng)絡(luò)的設(shè)置，達(dá)到破壞網(wǎng)絡(luò)或?yàn)楣糇鰷?zhǔn)備。（B）網(wǎng)絡(luò)訪問的合理性網(wǎng)絡(luò)的訪問策略是不是合理，訪問是不是有序，訪問的目標(biāo)資源是否受控等問題，都會(huì)直接影響到內(nèi)網(wǎng)平臺(tái)的穩(wěn)定與安全。如果存在網(wǎng)絡(luò)內(nèi)訪問混亂，外來人員也很容易接入網(wǎng)絡(luò)，地址被隨意使用等問題，將導(dǎo)致網(wǎng)絡(luò)難以管理，網(wǎng)絡(luò)工作效率下將，無法部署安全設(shè)備、對(duì)攻擊者也無法進(jìn)行追蹤審計(jì)。對(duì)于XX單位的網(wǎng)絡(luò)來講，嚴(yán)格地控制專網(wǎng)內(nèi)終端設(shè)備的操作及使用是非常必要的，例如，一位非法外聯(lián)的撥號(hào)用戶將會(huì)使在網(wǎng)絡(luò)邊界的防火墻設(shè)備的所有安全策略形同虛設(shè)。（C）TCP/IP網(wǎng)絡(luò)協(xié)議的缺陷TCP/IP協(xié)議是當(dāng)前網(wǎng)絡(luò)的主流通信協(xié)議，已成為網(wǎng)絡(luò)通信和應(yīng)用的實(shí)際標(biāo)準(zhǔn)。然而，基于數(shù)據(jù)流設(shè)計(jì)的TCP/IP協(xié)議自身存在著許多安全漏洞，在網(wǎng)絡(luò)發(fā)展的早期，由于應(yīng)用范圍和技術(shù)原因，沒有引起重視。但這些安全漏洞正日益成為黑客們的攻擊點(diǎn)。在網(wǎng)上辦公、網(wǎng)上文件審批、網(wǎng)上數(shù)據(jù)傳遞等活動(dòng)中，對(duì)TCP/IP網(wǎng)絡(luò)服務(wù)的任一環(huán)節(jié)的攻擊，都有可能威脅到用戶機(jī)密，都可能使重要的信息，比如重要數(shù)據(jù)、重要的口令在傳遞過程中遭到竊聽和篡改。因此，針對(duì)網(wǎng)絡(luò)層安全協(xié)議的攻擊將給網(wǎng)絡(luò)帶來嚴(yán)重的后果。（D）傳輸上存在的風(fēng)險(xiǎn)從網(wǎng)絡(luò)結(jié)構(gòu)的分析上，我們看到，現(xiàn)今網(wǎng)絡(luò)接入互聯(lián)網(wǎng)，網(wǎng)絡(luò)間只是通過交換機(jī)連接，完全透明，那么當(dāng)數(shù)據(jù)以明文的方式在這種不可信任網(wǎng)絡(luò)中進(jìn)行傳遞和交換時(shí)，就給數(shù)據(jù)的安全性、保密性帶來極大的挑戰(zhàn)，具體來講對(duì)數(shù)據(jù)傳輸安全造成威脅的主要行為有：竊聽、破譯傳輸信息：由于網(wǎng)絡(luò)間的完全透明，攻擊者能夠通過線路偵聽等 方式，獲取傳輸?shù)男畔?nèi)容，造成信息泄露；或通過開放環(huán)境中的路由或交 換設(shè)備，非法截取通信信息；篡改、刪減傳輸信息：攻擊者在得到報(bào)文內(nèi)容后，即可對(duì)報(bào)文內(nèi)容進(jìn)行修改，造成收信者的錯(cuò)誤理解。即使沒有破譯傳輸?shù)男畔?，也可以通過刪減信息內(nèi) 容等方式，造成對(duì)信息的破壞，比如將一份報(bào)文的后半部分去掉，造成時(shí)間、地點(diǎn)等重要內(nèi)容的缺失，導(dǎo)致信息的嚴(yán)重失真；重放攻擊：即使攻擊者無法破譯報(bào)文內(nèi)容，也無法對(duì)報(bào)文進(jìn)行篡改或刪減，但也可以通過重新發(fā)送收到的數(shù)據(jù)包的方式，進(jìn)行重放攻擊。對(duì)于一些業(yè)務(wù) 系統(tǒng)，特別是數(shù)據(jù)庫系統(tǒng)，這種重放攻擊會(huì)造成數(shù)據(jù)失真以及數(shù)據(jù)錯(cuò)誤； 偽裝成合法用戶：利用偽造用戶標(biāo)識(shí)，通過實(shí)時(shí)報(bào)文或請(qǐng)求文件傳輸?shù)靡赃M(jìn) 入通信信道，實(shí)現(xiàn)惡意目的。例如，偽裝成一個(gè)合法用戶，參與正常的通信 過程，造成數(shù)據(jù)泄密。網(wǎng)絡(luò)中病毒的威脅：由于網(wǎng)絡(luò)間都為透明模式，一旦有機(jī)器中病毒，就會(huì)在 整個(gè)網(wǎng)絡(luò)上大量傳播，造成整個(gè)網(wǎng)絡(luò)癱瘓，造成無法辦公。（3）應(yīng)用層安全操作系統(tǒng)安全即是主機(jī)安全。整個(gè)網(wǎng)絡(luò)是一個(gè)分布式交換的服務(wù)平臺(tái)，其最核心的和需要保護(hù)的是財(cái)務(wù)處網(wǎng)絡(luò)中的服務(wù)器，從操作系統(tǒng)本身來講，現(xiàn)在代碼的龐大和程序人員編碼的習(xí)慣等等都會(huì)給操作系統(tǒng)留下一些BUG，比如一些鮮為人知的如 WINGDOW 2000的338139等等漏洞，都會(huì)給財(cái)務(wù)處網(wǎng)絡(luò)帶來一定的風(fēng)險(xiǎn)。一旦通過其操作系統(tǒng)的問題而造成的網(wǎng)絡(luò)的崩潰，其后果是不可設(shè)想的。操作系統(tǒng)面臨的安全風(fēng)險(xiǎn)主要來自兩個(gè)方面，一方面來自操作系統(tǒng)本身的脆弱性，另一方面來自對(duì)系統(tǒng)的使用、配置和管理，主要有：l 操作系統(tǒng)是否安裝補(bǔ)丁和修正程序：由于技術(shù)開發(fā)原因，幾乎所有網(wǎng)絡(luò)中的操作系統(tǒng)在設(shè)計(jì)時(shí)就存在各種各樣的漏洞，大多數(shù)漏洞直接與系統(tǒng) 的安全有關(guān)，操作系統(tǒng)的開發(fā)公司發(fā)現(xiàn)后都安裝了補(bǔ)丁和修正程序，但這種補(bǔ)丁和修正程序不一定為用戶所知。l 操作系統(tǒng)的后門：對(duì)于中國來說，恐怕沒有絕對(duì)安全的操作系統(tǒng)可以選擇，無論是Microsoft的產(chǎn)品或者其他任何商用操作系統(tǒng)，其開發(fā)廠商必然有其BackDoor，這將成為潛在的安全隱患。l 系統(tǒng)配置：系統(tǒng)的安全程度與系統(tǒng)的應(yīng)用面及嚴(yán)格管理有很大關(guān)系，一個(gè)工作組的打印服務(wù)器和一個(gè)機(jī)要部門的數(shù)據(jù)庫服務(wù)器的選擇標(biāo)準(zhǔn)顯而易見是不可同日而與的，因此應(yīng)正確估價(jià)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)并根據(jù)自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)大小作出相應(yīng)的安全解決方案。不同的用戶應(yīng)從不同的方面對(duì)其網(wǎng)絡(luò)作詳盡的分析，以正確評(píng)定數(shù)據(jù)流向。比如,由于服務(wù)器需要進(jìn)行日常的維護(hù)與管理及內(nèi)容更新，這就要求系統(tǒng)管理員或服務(wù)提供者能登錄到服務(wù)器上。對(duì)此類訪問服務(wù)器不應(yīng)拒絕。在使用防火墻之前，服務(wù)器通過簡單靜態(tài)的口令字進(jìn)行身份鑒別（如使用服務(wù)器或數(shù)據(jù)庫的認(rèn)證機(jī)制），一旦身份鑒別通過，用戶即可訪問服務(wù)器。侵襲者可以通過以下幾種方式很容易地獲取口令字：u 一是內(nèi)部的管理人員因安全管理不當(dāng)而造成泄密； u 二是通過在公用網(wǎng)上搭線竊取口令字； u 三是通過假冒，植入嗅探程序，截獲口令字； u 四是采用字典攻擊方式，獲得口令字。侵襲者一旦掌握了某一用戶口令字，就有可能得到管理員的權(quán)限并可造成不可估量的損失。由于操作系統(tǒng)的配置牽涉到各個(gè)方面，上面運(yùn)行的服務(wù)也各種各樣，故在系統(tǒng)的配置上很容易出錯(cuò)，因此，我們認(rèn)為的系統(tǒng)的配置錯(cuò)誤地很難避免，但是，我們可以對(duì)現(xiàn)有的操作平臺(tái)進(jìn)行安全配置、對(duì)操作和訪問權(quán)限進(jìn)行嚴(yán)格控制，提高系統(tǒng)的安全性。因此，不但要選用盡可能可靠的操作系統(tǒng)和硬件平臺(tái)。而且，必須加強(qiáng)登錄過程的認(rèn)證（特別是在到達(dá)服務(wù)器主機(jī)之前的認(rèn)證），確保用戶的合法性；其次應(yīng)該嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。（4）應(yīng)用層安全數(shù)據(jù)庫安全也是整個(gè)財(cái)務(wù)處網(wǎng)絡(luò)最為重要的應(yīng)用，同時(shí)也是需要重點(diǎn)考慮的問題之一。整個(gè)網(wǎng)絡(luò)主要的業(yè)務(wù)就是信息的共享和數(shù)據(jù)交換的方便性。從應(yīng)用系統(tǒng)的角度，占據(jù)本網(wǎng)絡(luò)整個(gè)信息平臺(tái)的就是數(shù)據(jù)庫，如果在數(shù)據(jù)庫上不能保證安全，整個(gè)本網(wǎng)絡(luò)的信息中心基本上就是空設(shè)防地帶，數(shù)據(jù)庫管理系統(tǒng)面臨的安全風(fēng)險(xiǎn)有：u 系統(tǒng)認(rèn)證口令強(qiáng)度不夠，過期賬號(hào)，登錄攻擊的風(fēng)險(xiǎn)； u 系統(tǒng)授權(quán)。帳號(hào)權(quán)限，登錄時(shí)間超時(shí)的風(fēng)險(xiǎn)；u 系統(tǒng)完整性。如：Y2K兼容，特洛伊木馬，審核配置，補(bǔ)丁和修正程序； u 脆弱的帳號(hào)設(shè)置。在許多情況下，數(shù)據(jù)庫用戶往往缺乏足夠的安全設(shè)置，例如未禁用缺省用戶帳號(hào)和密碼，用戶口令設(shè)置存在脆弱性等。u 缺乏角色分離。傳統(tǒng)數(shù)據(jù)庫管理并沒有“安全管理員(Security Administrator)，這一角色，這就迫使數(shù)據(jù)庫管理員(DBA)既要負(fù)責(zé)帳號(hào)的維護(hù)管理，又要專門對(duì)數(shù)據(jù)庫執(zhí)行性能和操作行為進(jìn)行調(diào)試跟蹤，從而導(dǎo)致安全管理效率低下。u 缺乏審計(jì)跟蹤。數(shù)據(jù)庫審計(jì)經(jīng)常被DBA以提高性能或節(jié)省磁盤空間為由忽視或關(guān)閉，這大大降低了安全管理的效率。XX單位財(cái)務(wù)系統(tǒng)可能存在的風(fēng)險(xiǎn)和問題1)來自財(cái)務(wù)網(wǎng)絡(luò)外部的風(fēng)險(xiǎn)雖然財(cái)務(wù)網(wǎng)絡(luò)依托于XX單位的辦公網(wǎng)絡(luò)，但是財(cái)務(wù)網(wǎng)絡(luò)畢竟是獨(dú)立的網(wǎng)絡(luò)個(gè)體，如果沒有邊界防護(hù)將是危險(xiǎn)的。財(cái)務(wù)網(wǎng)絡(luò)很容易遭到來自于辦公網(wǎng)絡(luò)可能的入侵者的攻擊。如：入侵者通過Sniffer等嗅探程序來探測掃描網(wǎng)絡(luò)及操作系統(tǒng)存在的安全漏洞，如網(wǎng)絡(luò)IP地址、應(yīng)用操作系統(tǒng)的類型、開放哪些TCP端口號(hào)、系統(tǒng)保存用戶名和口令等安全信息的關(guān)鍵文件等，并通過相應(yīng)攻擊程序?qū)?nèi)網(wǎng)進(jìn)行攻擊。入侵者通過網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊：入侵者通過發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓?jiān)贗nternet上爆發(fā)網(wǎng)絡(luò)蠕蟲病毒的時(shí)候，如果內(nèi)網(wǎng)的邊界處沒有訪問控制設(shè)備對(duì)蠕蟲病毒在第一時(shí)間進(jìn)行隔離，那么蠕蟲的攻擊將會(huì)對(duì)網(wǎng)絡(luò)造成致命的影響。2)來自財(cái)務(wù)網(wǎng)絡(luò)外部的非授權(quán)訪問非授權(quán)訪問沒有預(yù)先經(jīng)過同意，就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源被看作非授權(quán)訪問，如有意避開系統(tǒng)訪問控制機(jī)制，對(duì)網(wǎng)絡(luò)設(shè)備及資源進(jìn)行非正常使用，或擅自擴(kuò)大權(quán)限，越權(quán)訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進(jìn)入網(wǎng)絡(luò)系統(tǒng)進(jìn)行違法操作、合法用戶以未授權(quán)方式進(jìn)行操作等。3)來自財(cái)務(wù)網(wǎng)絡(luò)內(nèi)部的風(fēng)險(xiǎn)目前財(cái)務(wù)網(wǎng)絡(luò)內(nèi)部的財(cái)務(wù)主服務(wù)器與財(cái)務(wù)辦公主機(jī)，混雜在一臺(tái)交換機(jī)上，這對(duì)于財(cái)務(wù)主服務(wù)器是完全不可取的，由于財(cái)務(wù)辦公主機(jī)的使用人員紛雜，計(jì)算機(jī)安全意識(shí)參差不齊，所以財(cái)務(wù)辦公主機(jī)的安全性和可靠性完全不能保證，而財(cái)務(wù)辦公主機(jī)與財(cái)務(wù)主服務(wù)器之間完全沒有任何防護(hù)手段。4)來自財(cái)務(wù)網(wǎng)絡(luò)內(nèi)部的非授權(quán)訪問對(duì)于財(cái)務(wù)處網(wǎng)絡(luò)向外部網(wǎng)絡(luò)的訪問沒有任何的限制，也是不可取的，針對(duì)不同用戶的不同訪問需求，應(yīng)給于不同的訪問權(quán)限。無限制的任由用戶使用現(xiàn)有的網(wǎng)絡(luò)資源，將會(huì)造成網(wǎng)絡(luò)品質(zhì)的整體下降。同時(shí)當(dāng)財(cái)務(wù)處網(wǎng)絡(luò)中的主機(jī)因蠕蟲原因大量向外發(fā)送數(shù)據(jù)包，沒有相應(yīng)安全防護(hù)設(shè)備，將造成包括辦公網(wǎng)絡(luò)的整個(gè)網(wǎng)絡(luò)的癱瘓。同時(shí)，沒有完善的日志能力，對(duì)于日后的責(zé)任認(rèn)定也造成了很大的麻煩。5)病毒的風(fēng)險(xiǎn)病毒的危險(xiǎn)是現(xiàn)在網(wǎng)絡(luò)最需要解決的問題，目前的病毒傳播途徑多樣化，傳播方式智能化，決定了使用單一的防病毒軟件是無法完全解決病毒問題的，在網(wǎng)絡(luò)的邊界處，部署網(wǎng)關(guān)防護(hù)設(shè)備，可以有效地抑制病毒的傳播，尤其是當(dāng)出現(xiàn)大規(guī)模爆發(fā)的蠕蟲病毒的時(shí)候，網(wǎng)關(guān)防護(hù)設(shè)備可以有效地把蠕蟲病毒抑制在小范圍之內(nèi)，而不至于繼續(xù)擴(kuò)散。6)沒有完善的日志系統(tǒng)財(cái)務(wù)處網(wǎng)絡(luò)中數(shù)據(jù)的完整性，可靠性，要求對(duì)于任何一次訪問，都要有明確的記錄，以便日后審查使用，而目前XX單位的財(cái)務(wù)網(wǎng)絡(luò)中沒有這樣的能力，這對(duì)日后的究責(zé)是非常不利的 三．整體方案的設(shè)計(jì)根據(jù)XX單位的現(xiàn)有網(wǎng)絡(luò)環(huán)境，分析可能存在的威脅和風(fēng)險(xiǎn)，考慮通過部署天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)來加固XX單位的信息網(wǎng)絡(luò)。采用千兆天融信防火墻系統(tǒng)，入侵防御系統(tǒng)及病毒過濾網(wǎng)關(guān)系統(tǒng)部署在互聯(lián) 網(wǎng)與XX單位辦公網(wǎng)接入處用于互聯(lián)網(wǎng)與XX單位辦公網(wǎng)的安全防護(hù)，百兆天融信防火墻系統(tǒng)，入侵防御系