【正文】 數(shù)據(jù)庫進(jìn)行遠(yuǎn)程備份存儲(chǔ)。（2）信息存儲(chǔ) 對(duì)有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對(duì)有經(jīng)常交換信息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。（1）內(nèi)部OA系統(tǒng)中資源享 嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用。應(yīng)用安全，顧名思義就是保障應(yīng)用程序使用過程和結(jié)果的安全。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對(duì)網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進(jìn)行頻繁地掃描和監(jiān)測。（2）檢測病毒技術(shù)檢測病毒技術(shù)是通過對(duì)計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)（如自身校驗(yàn)、關(guān)鍵字、文件長度的變化等），來確定病毒的類型。反病毒技術(shù)包括預(yù)防病毒、檢測病毒和殺毒三種技術(shù)[4]：（1）預(yù)防病毒技術(shù)　　預(yù)防病毒技術(shù)通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)進(jìn)行破壞。我們都知道，公司網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為WINDOWS系統(tǒng)，比較容易感染病毒。鑒于VPN設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)企業(yè)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與公共網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配備VPN設(shè)備。由于VPN設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺(tái)。設(shè)備配置見下圖。經(jīng)過對(duì)VPN的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過加密隧道，讓另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。而VPN設(shè)備正是一種符合IPsec標(biāo)準(zhǔn)的IP協(xié)議加密設(shè)備。根據(jù)具體策略，來保護(hù)內(nèi)部敏感信息和企業(yè)秘密的機(jī)密性、真實(shí)性及完整性[3]。如果采用多種鏈路加密設(shè)備的設(shè)計(jì)方案則增加了系統(tǒng)投資費(fèi)用，同時(shí)為系統(tǒng)維護(hù)、升級(jí)、擴(kuò)展也帶來了相應(yīng)困難。通過兩端加密機(jī)的協(xié)商配合實(shí)現(xiàn)加密、解密過程。 鏈路加密機(jī)由于是在鏈路級(jí)，加密機(jī)制是采用點(diǎn)對(duì)點(diǎn)的加密、解密。數(shù)據(jù)的機(jī)密性與完整性，主要是為了保護(hù)在網(wǎng)上傳送的涉及企業(yè)秘密的信息，經(jīng)過配備加密設(shè)備，使得在網(wǎng)上傳送的數(shù)據(jù)是密文形式，而不是明文。（3）市場VLAN生產(chǎn)VLAN資源VLAN6都不能訪問經(jīng)理辦VLAN財(cái)務(wù)VLAN5。訪問權(quán)限控制策略（1）經(jīng)理辦VLAN2可以訪問其余所有VLAN。 子網(wǎng)掩碼: 資源子網(wǎng)(vlan6): 網(wǎng)關(guān)： 子網(wǎng)掩碼: 網(wǎng)關(guān)： 財(cái)務(wù)子網(wǎng)(vlan5)： 子網(wǎng)掩碼: 網(wǎng)關(guān)： 子網(wǎng)掩碼: 網(wǎng)關(guān)：生產(chǎn)子網(wǎng)(vlan3)： 子網(wǎng)掩碼: 通過虛擬子網(wǎng)的劃分,能夠?qū)嵼^粗略的訪問控制[2]。（3）電磁防護(hù)要求應(yīng)采用接地方式防止外界電磁干擾和相關(guān)服務(wù)器寄生耦合干擾；電源線和通信線纜應(yīng)隔離，避免互相干擾。 （1）物理位置選擇機(jī)房應(yīng)選擇在具有防震、防風(fēng)和防雨等能力的建筑內(nèi)；機(jī)房的承重要求應(yīng)滿足設(shè)計(jì)要求；機(jī)房場地應(yīng)避免設(shè)在建筑物的高層或地下室，以及用水設(shè)備的下層或隔壁；機(jī)房場地應(yīng)當(dāng)避開強(qiáng)電場、強(qiáng)磁場、強(qiáng)震動(dòng)源、強(qiáng)噪聲源、重度環(huán)境污染，易發(fā)生火災(zāi)、水災(zāi)，易遭受雷擊的地區(qū)。 （5）可擴(kuò)展性和易維護(hù)性。 （4）安全性和保密性。 （3）可靠性和穩(wěn)定性。系統(tǒng)設(shè)計(jì)既要采用先進(jìn)的概念、技術(shù)和方法，又要注意結(jié)構(gòu)、設(shè)備、工具的相對(duì)成熟。系統(tǒng)建設(shè)應(yīng)始終貫徹面向應(yīng)用，注重實(shí)效的方針，堅(jiān)持實(shí)用、經(jīng)濟(jì)的原則，建設(shè)企業(yè)的網(wǎng)絡(luò)系統(tǒng)。系統(tǒng)支持遠(yuǎn)程PPTP接入，外地員工可利用INTERNET訪問。支持多媒體組播，具有卓越的服務(wù)質(zhì)量保證功能。最終用戶通過廣域網(wǎng)連接可以收發(fā)電子郵件、實(shí)現(xiàn)Web應(yīng)用、接入互聯(lián)網(wǎng)、進(jìn)行安全的廣域網(wǎng)訪問。網(wǎng)絡(luò)內(nèi)的各個(gè)桌面用戶可共享數(shù)據(jù)庫、共享打印機(jī)，實(shí)現(xiàn)辦公自動(dòng)化系統(tǒng)中的各項(xiàng)功能。內(nèi)網(wǎng)主要由3層交換機(jī)作為核心交換機(jī)，下面有兩臺(tái)2層交換機(jī)做接入。DMZ內(nèi)主要有各類的服務(wù)器， 。防火墻上做NAT轉(zhuǎn)換， 。因此需要（1）構(gòu)建良好的環(huán)境確保企業(yè)物理設(shè)備的安全（2）劃分VLAN控制內(nèi)網(wǎng)安全（3）安裝防火墻體系（4）建立VPN(虛擬專用網(wǎng)絡(luò))確保數(shù)據(jù)安全（5）安裝防病毒服務(wù)器（6）加強(qiáng)企業(yè)對(duì)網(wǎng)絡(luò)資源的管理 企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)華城公司網(wǎng)絡(luò)拓?fù)鋱D。通過軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來計(jì)算機(jī)的侵入而造成破壞。因此本企業(yè)的網(wǎng)絡(luò)安全構(gòu)架要求如下：（1）根據(jù)公司現(xiàn)有的網(wǎng)絡(luò)設(shè)備組網(wǎng)規(guī)劃（2）保護(hù)網(wǎng)絡(luò)系統(tǒng)的可用性（3）保護(hù)網(wǎng)絡(luò)系統(tǒng)服務(wù)的連續(xù)性（4）防范網(wǎng)絡(luò)資源的非法訪問及非授權(quán)訪問（5）防范入侵者的惡意攻擊與破壞（6）保護(hù)企業(yè)信息通過網(wǎng)上傳輸過程中的機(jī)密性、完整性（7）防范病毒的侵害（8）實(shí)現(xiàn)網(wǎng)絡(luò)的安全管理。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。隨著公司的發(fā)展現(xiàn)有的網(wǎng)絡(luò)安全已經(jīng)不能滿足公司的需要，因此構(gòu)建健全的網(wǎng)絡(luò)安全體系是當(dāng)前的重中之重。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Windows Server 2003,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過期帳戶和權(quán)限等方面的管理非常必要了。（5）文件設(shè)置只讀就可以避免感染病毒設(shè)置只讀只是調(diào)用系統(tǒng)的幾個(gè)命令，而病毒或黑客程序也可以做到這一點(diǎn)，設(shè)置只讀并不能有效防毒，不過在局域網(wǎng)中為了共享安全，放置誤刪除，還是比較有用的。（4）只要不上網(wǎng)就不會(huì)中毒雖然不少病毒是通過網(wǎng)頁傳播的，但像聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。網(wǎng)絡(luò)版殺毒軟件可以在一臺(tái)服務(wù)器上通過安全中心控制整個(gè)網(wǎng)絡(luò)的客戶端殺毒軟件同步病毒查殺、監(jiān)控整個(gè)網(wǎng)絡(luò)的病毒。（2）安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。但如果攻擊行為不經(jīng)過防火墻，或是將應(yīng)用層的攻擊程序隱藏在正常的封包內(nèi)，便力不從心了，許多防火墻只是工作在網(wǎng)絡(luò)層。防火墻是一種隔離控制技術(shù)，可 以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口。此外,微軟及各大安全公司不斷增強(qiáng)安全工具和補(bǔ)丁程序……似乎可以松口氣了,