【正文】 必要的隔離，避免網(wǎng)絡(luò)結(jié)構(gòu)信息外泄；同時(shí)還要對(duì)外網(wǎng)的服務(wù)請(qǐng)求加以過(guò)濾，只允許正常通信的數(shù)據(jù)包到達(dá)相應(yīng)主機(jī)，其它的請(qǐng)求服務(wù)在到達(dá)主機(jī)之前就應(yīng)該遭到拒絕；另外，還要對(duì)內(nèi)部用戶(hù)訪(fǎng)問(wèn)INTERNET而引入的安全風(fēng)險(xiǎn)加以防范，加強(qiáng)內(nèi)部的審計(jì)管理。如采用服務(wù)器災(zāi)難恢復(fù)系統(tǒng)，一旦服務(wù)器上的數(shù)據(jù)被非法修改，安全系統(tǒng)能夠迅速發(fā)現(xiàn)，并自動(dòng)地對(duì)數(shù)據(jù)進(jìn)行恢復(fù)。系統(tǒng)中的BUG，使得黑客可以遠(yuǎn)程對(duì)服務(wù)器發(fā)出指令，從而導(dǎo)致對(duì)系統(tǒng)進(jìn)行修改和損壞，包括無(wú)限制地向服務(wù)器發(fā)出大量指令，以至于服務(wù)器“拒絕服務(wù)”，最終引起整個(gè)系統(tǒng)的崩潰。為了加強(qiáng)操作系統(tǒng)的安全管理，要從物理安全、登錄安全、用戶(hù)安全、文件系統(tǒng)和打印機(jī)安全、注冊(cè)表安全、RAS安全、數(shù)據(jù)安全、各個(gè)應(yīng)用系統(tǒng)安全等方面制定強(qiáng)化安全的措施。2）操作系統(tǒng)安全管理操作系統(tǒng)因?yàn)樵O(shè)計(jì)和版本的問(wèn)題，存在許多的安全漏洞；同時(shí)因?yàn)樵谑褂弥邪踩O(shè)置不當(dāng)，也會(huì)增加安全漏洞，帶來(lái)安全隱患。典型的有：SUN Solaris、HP Unix、Windows NT Server、Windows 2000/2003 Server。目前的商用操作系統(tǒng)主要有IBM AIX、Linux、AS/400、OS/390、SUN Solaris、HP Unix、Windows、OS/NOVELL Netware等。VPN網(wǎng)關(guān)對(duì)流過(guò)的報(bào)文進(jìn)行動(dòng)態(tài)過(guò)濾分析，根據(jù)網(wǎng)絡(luò)安全審計(jì)策略，自動(dòng)調(diào)度審計(jì)進(jìn)程，進(jìn)行審計(jì)記錄，產(chǎn)生審計(jì)報(bào)告，并以多種方式，如語(yǔ)音、Email等方式對(duì)非法事件進(jìn)行實(shí)時(shí)告警，以便安全管理員在第一時(shí)間了解情況，做出正確的應(yīng)對(duì)措施，以盡可能的將非法事件造成的損失降低至最小。5） 支持遠(yuǎn)程分布式集中統(tǒng)一管理功能。在操作系統(tǒng)底層直接實(shí)現(xiàn)報(bào)文包過(guò)濾技術(shù)、IP地址偽裝技術(shù)（NAT），并與信息加密、認(rèn)證機(jī)制無(wú)縫結(jié)合。流過(guò)的IP報(bào)文在被加解密的同時(shí)，還要進(jìn)行認(rèn)證處理，由加密方在每個(gè)報(bào)文之后都自動(dòng)附有認(rèn)證碼，其他人無(wú)法偽造，在接收方對(duì)該認(rèn)證碼進(jìn)行驗(yàn)證，保證了信息的完整性和不可篡改性。2） 支持IPSEC/SSL VPN一體化的方式，適應(yīng)Lan to Lan 和End to Lan兩種不同應(yīng)用，SSL VPN必須支持網(wǎng)絡(luò)層以上的所有B/S和C/S應(yīng)用。網(wǎng)絡(luò)密碼機(jī)串聯(lián)在以太網(wǎng)中，凡是流經(jīng)的IP報(bào)文無(wú)一例外地都要受到它的分析和檢查，根據(jù)需要進(jìn)行加解密和認(rèn)證處理。l 數(shù)據(jù)傳輸安全建議為保證數(shù)據(jù)傳輸?shù)臋C(jī)密性和完整性，建議網(wǎng)絡(luò)中采用安全VPN系統(tǒng)。8） AAA方式配置：配置AAA方式來(lái)增加用戶(hù)訪(fǎng)問(wèn)安全性。6） VTY訪(fǎng)問(wèn)配置：配置VTY的訪(fǎng)問(wèn)方式，如SSH來(lái)增加系統(tǒng)訪(fǎng)問(wèn)的安全性。4） 超時(shí)配置：配置VTY，Console的超時(shí)來(lái)增加系統(tǒng)訪(fǎng)問(wèn)安全性。2） Enable secret配置：使用enable secret來(lái)加密secret口令。l 網(wǎng)絡(luò)設(shè)備安全增強(qiáng)技術(shù)建議在漏洞掃描與風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全性增強(qiáng)配置，下面以CISCO路由器的幾個(gè)安全增強(qiáng)配置為例說(shuō)明網(wǎng)絡(luò)設(shè)備的安全性也是不容忽視的。安全檢測(cè)策略可由用戶(hù)自行設(shè)定，對(duì)檢測(cè)強(qiáng)度和風(fēng)險(xiǎn)程度進(jìn)行等級(jí)管理，用戶(hù)可根據(jù)不同需求選擇相應(yīng)的檢測(cè)策略。檢測(cè)和掃描行為不能影響正常的網(wǎng)絡(luò)連接服務(wù)和網(wǎng)絡(luò)的效率。能夠支持大規(guī)模并行檢測(cè)，能夠方便地對(duì)大的網(wǎng)絡(luò)同時(shí)執(zhí)行多個(gè)檢測(cè)。能及時(shí)識(shí)別各種黑客攻擊行為，發(fā)現(xiàn)攻擊時(shí)，阻斷弱化攻擊行為、并能詳細(xì)記錄，生成入侵報(bào)告，及時(shí)向管理員報(bào)警。目前網(wǎng)絡(luò)入侵安全問(wèn)題主要采用網(wǎng)絡(luò)入侵防御系統(tǒng)等成熟產(chǎn)品和技術(shù)來(lái)解決。入侵防御目的是提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如發(fā)現(xiàn)違規(guī)訪(fǎng)問(wèn)、阻斷網(wǎng)絡(luò)連接、內(nèi)部越權(quán)訪(fǎng)問(wèn)等，發(fā)現(xiàn)更為隱蔽的攻擊。l 入侵防御安全技術(shù)建議利用防火墻技術(shù)，經(jīng)過(guò)仔細(xì)的配置，通常能夠在內(nèi)外網(wǎng)之間提供安全的網(wǎng)絡(luò)保護(hù)，降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這樣的布置不僅增加了各終端的安全保護(hù)級(jí)別，而且也類(lèi)似于一組獨(dú)立的物理防火墻，但是更加便于管理。虛擬防火墻可以將一臺(tái)硬件防火墻在邏輯上劃分成多臺(tái)虛擬的防火墻，每個(gè)虛擬防火墻系統(tǒng)都可以被看成是一臺(tái)完全獨(dú)立的防火墻設(shè)備，可擁有獨(dú)立的系統(tǒng)資源、管理員、安全策略、用戶(hù)認(rèn)證數(shù)據(jù)庫(kù)等，以此來(lái)實(shí)現(xiàn)對(duì)不同網(wǎng)段或不同設(shè)備的安全防護(hù)。另外，根據(jù)對(duì)外提供信息查詢(xún)等服務(wù)的要求，為了控制對(duì)關(guān)鍵服務(wù)器的授權(quán)訪(fǎng)問(wèn)控制，應(yīng)把對(duì)外公開(kāi)服務(wù)器集合起來(lái)劃分為一個(gè)專(zhuān)門(mén)的服務(wù)器子網(wǎng)，設(shè)置防火墻DMZ區(qū)來(lái)保護(hù)對(duì)它們的訪(fǎng)問(wèn)。5） 高性能：上述所有工作實(shí)時(shí)進(jìn)行，最大通過(guò)量和最小延時(shí)。3） 數(shù)據(jù)是靜態(tài)的：在交換數(shù)據(jù)過(guò)程中，數(shù)據(jù)是靜態(tài)的（被動(dòng)的），不能被執(zhí)行。l 隔離技術(shù)隔離技術(shù)要達(dá)到以下幾點(diǎn)關(guān)鍵技術(shù)：1） 物理隔斷。計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示技術(shù)給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害。 l 媒體安全包括媒體數(shù)據(jù)的安全及媒體本身的安全。為了將不同密級(jí)的網(wǎng)絡(luò)隔離開(kāi)，我們還要采用隔離技術(shù)將核心密和普通密兩個(gè)網(wǎng)絡(luò)在物理上隔離同時(shí)保證在邏輯上兩個(gè)網(wǎng)絡(luò)能夠連通。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。因此建議在本次項(xiàng)目中，應(yīng)對(duì)AD域的OU、用戶(hù)組等進(jìn)行一定的調(diào)整，使之與**組織架構(gòu)保持一致。目前**采用AD域進(jìn)行用戶(hù)認(rèn)證管理，今后需要將AD域的用戶(hù)管理與網(wǎng)絡(luò)準(zhǔn)入控制以及VPN等結(jié)合起來(lái)提供用戶(hù)的認(rèn)證、授權(quán)及審計(jì)。用戶(hù)分級(jí)管理一個(gè)機(jī)構(gòu)存在著很多職能部門(mén)，每個(gè)職能部門(mén)日常工作所涉及的信息資產(chǎn)都不同，因此從安全管理角度考慮，不同職能部門(mén)的用戶(hù)應(yīng)該擁有不同等級(jí)的訪(fǎng)問(wèn)權(quán)限。這種安全培訓(xùn)一年至少應(yīng)該進(jìn)行一次，目的是讓職員不但了解安全措施如何在自己的環(huán)境中運(yùn)行，而且知道為什么這樣做。每個(gè)聽(tīng)眾都應(yīng)該受到特定種類(lèi)的安全意識(shí)培訓(xùn)，從而保證每個(gè)團(tuán)體都了解自己特定的職責(zé)、義務(wù)和期望。應(yīng)該澄清職責(zé)和可以接受的行為，在違反規(guī)則的情況發(fā)生之前就要說(shuō)明這樣做的后果，可能是警告，也可能是開(kāi)除。公司薪資信息財(cái)務(wù)庫(kù)和顧客/訂單庫(kù)預(yù)發(fā)布產(chǎn)品信息長(zhǎng)期業(yè)務(wù)戰(zhàn)略計(jì)劃防火墻配置規(guī)則root/Administrator/DBA用戶(hù)/操作員密碼和PIN進(jìn)行安全意識(shí)培訓(xùn)一個(gè)機(jī)構(gòu)想要達(dá)到自己的安全計(jì)劃的預(yù)定目標(biāo)，就必須向自己的雇員說(shuō)明他們的安全計(jì)劃是什么，怎么實(shí)行安全計(jì)劃以及為什么要實(shí)行安全計(jì)劃。保護(hù)機(jī)制包括確保這些信息的副本都要進(jìn)行特別記錄，并在處理后加以銷(xiāo)毀。非公開(kāi)財(cái)務(wù)報(bào)表（如費(fèi)用中心報(bào)表）內(nèi)部審計(jì)報(bào)表材料成本、生產(chǎn)成本數(shù)據(jù)短期業(yè)務(wù)計(jì)劃對(duì)手競(jìng)爭(zhēng)力分析報(bào)告采購(gòu)合同和其他投標(biāo)信息自主產(chǎn)品軟件源代碼及相關(guān)文檔限制**認(rèn)為如果受到威脅后會(huì)對(duì)公司、顧客、供應(yīng)商、員工造成財(cái)務(wù)、法律、規(guī)章條例上的嚴(yán)重?fù)p失的信息。為實(shí)現(xiàn)保護(hù)和處理的目的，**內(nèi)部信息根據(jù)其中包含的最敏感數(shù)據(jù)或材料加以分級(jí)。信息安全分級(jí)參考示例分級(jí)級(jí)別分級(jí)定義示例公共**認(rèn)為可以對(duì)公眾清楚透露的信息，譬如通過(guò)網(wǎng)站、報(bào)紙、雜志等媒介和渠道對(duì)外發(fā)布的信息。前者可以幫助我們確定在資金有限的情況下，先保護(hù)什么，后者幫助我們對(duì)不同的信息實(shí)施不同級(jí)別的訪(fǎng)問(wèn)控制和保護(hù)。數(shù)據(jù)分級(jí)的主要目的就是為了表明各種信息所需的機(jī)密性、完整性和可用性的級(jí)別。規(guī)程應(yīng)該足夠詳細(xì)，以便不同人群都可以理解和使用它。規(guī)程說(shuō)明如何將策略應(yīng)用到操作環(huán)境中去。未經(jīng)授權(quán)傳播這些信息的后果將導(dǎo)致中止、結(jié)束合同或是承擔(dān)民事責(zé)任并受到嚴(yán)厲的經(jīng)濟(jì)犯罪處罰；所有接入公司網(wǎng)絡(luò)的計(jì)算機(jī)必須是可管理的，其網(wǎng)絡(luò)行為必須是可控的；任何第三方在進(jìn)入或參觀(guān)設(shè)備或者接收和討論機(jī)密的專(zhuān)有信息之前必須要簽訂一份保密協(xié)議；在接收公司以外的任何文檔、文件、附件或者應(yīng)用程序前必須先做病毒掃描來(lái)保護(hù)當(dāng)前信息；敏感的專(zhuān)有信息只能被授權(quán)用戶(hù)訪(fǎng)問(wèn)而且要受到嚴(yán)格的訪(fǎng)問(wèn)控制、審計(jì)和監(jiān)控；關(guān)鍵數(shù)據(jù)必須進(jìn)行災(zāi)備，為公司業(yè)務(wù)提供可持續(xù)保障；網(wǎng)絡(luò)環(huán)境應(yīng)該提供冗余，減少單點(diǎn)故障的出現(xiàn)；安全官員負(fù)責(zé)確保這個(gè)策略被完全執(zhí)行。實(shí)質(zhì)上是高層面上的非技術(shù)性策略，用于保護(hù)機(jī)構(gòu)的資產(chǎn)，確保保護(hù)資產(chǎn)的機(jī)密性、可用性和完整性的安全機(jī)制得以實(shí)施。**在網(wǎng)絡(luò)信息安全方面可能面臨的部分威脅和脆弱點(diǎn)：薄弱點(diǎn)利用該弱點(diǎn)的威脅成功可能性影響防火墻缺陷（產(chǎn)品漏洞、體系結(jié)構(gòu)、配置不合理）n DOS/DDOS攻擊n 對(duì)內(nèi)部資源的非授權(quán)訪(fǎng)問(wèn)n 數(shù)據(jù)操縱較高嚴(yán)重防病毒體系缺陷（覆蓋不完備、產(chǎn)品BUG、策略配置和部署不得當(dāng)）病毒（木馬、蠕蟲(chóng)、移動(dòng)代碼）高非常嚴(yán)重缺乏關(guān)鍵鏈路和設(shè)備的冗余考慮一切威脅（引起的單點(diǎn)故障）高非常嚴(yán)重缺乏專(zhuān)門(mén)的入侵防御措施各種攻擊/非授權(quán)訪(fǎng)問(wèn)較高非常嚴(yán)重缺乏完備的接入管理規(guī)范n 病毒、木馬n 信息偷竊高非常嚴(yán)重缺乏完善的分級(jí)加密措施n 網(wǎng)絡(luò)偵聽(tīng)n 信息竊取缺乏完備的賬號(hào)/口令策略入侵/非授權(quán)訪(fǎng)問(wèn)高非常嚴(yán)重缺乏完備的備份/恢復(fù)計(jì)劃一切威脅高非常嚴(yán)重缺乏完善的審計(jì)措施入侵/非授權(quán)訪(fǎng)問(wèn)高無(wú)法取證和調(diào)查缺乏完備的文件存取策略非授權(quán)訪(fǎng)問(wèn)/信息偷竊高非常嚴(yán)重缺乏應(yīng)急響應(yīng)機(jī)制和團(tuán)隊(duì)一切威脅較高非常嚴(yán)重缺乏定期的設(shè)備更新計(jì)劃設(shè)備老化高嚴(yán)重缺乏好的門(mén)禁控制體系社會(huì)工程/信息偷竊/人為破壞高非常嚴(yán)重對(duì)于這些風(fēng)險(xiǎn)威脅和脆弱點(diǎn)，應(yīng)該進(jìn)行識(shí)別、分門(mén)別類(lèi)，還應(yīng)該通過(guò)定量或定性的分析方法計(jì)算其潛在損失的實(shí)際危害程度，劃分出相應(yīng)等級(jí)，然后選擇減小、分擔(dān)或是接受風(fēng)險(xiǎn)。 注意風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)管理是識(shí)別、評(píng)估風(fēng)險(xiǎn)，并將這種風(fēng)險(xiǎn)減小到一個(gè)可接受的程度，并實(shí)行正確的機(jī)制以保持這種程度的風(fēng)險(xiǎn)的過(guò)程。制定安全管理計(jì)劃應(yīng)該采用自頂向下的方法，這就意味著創(chuàng)意、支持和指導(dǎo)都應(yīng)該從最高管理者中來(lái)，如果沒(méi)有得到管理層足夠的支持和指導(dǎo)，IT部門(mén)想制定安全計(jì)劃就可能遇到很多的阻力，最終導(dǎo)致計(jì)劃的失敗。這樣非法用戶(hù)通過(guò)網(wǎng)絡(luò)竊聽(tīng)，非法數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)，窮舉攻擊，重放攻擊等手段很容易得到這種靜態(tài)口令，然后，利用口令，可對(duì)資源非法訪(fǎng)問(wèn)和越權(quán)操作。即使采用代理服務(wù)器進(jìn)行網(wǎng)絡(luò)隔離，一旦代理服務(wù)器失控，內(nèi)部網(wǎng)絡(luò)將直接暴露在INTERNET上。公司網(wǎng)絡(luò)通常采用的操作系統(tǒng)(主要為WINDOWS)本身在安全方面有一定考慮，但服務(wù)器、數(shù)據(jù)庫(kù)的安全級(jí)別較低，存在一些安全隱患。例如，路由設(shè)備存在路由信息泄漏、交換機(jī)和路由器設(shè)備配置風(fēng)險(xiǎn)等。l 網(wǎng)絡(luò)設(shè)備的安全風(fēng)險(xiǎn)由于**網(wǎng)絡(luò)中使用大量的網(wǎng)絡(luò)設(shè)備，如交換機(jī)、路由器等。2） 入侵者通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶(hù)的用戶(hù)名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)的重要信息。存儲(chǔ)數(shù)據(jù)對(duì)于用戶(hù)來(lái)說(shuō)極為重要，如果由于通信線(xiàn)路的質(zhì)量原因或者人為的惡意篡改，都將導(dǎo)致難以想象的后果，這也是網(wǎng)絡(luò)犯罪的最大特征。2） 重要數(shù)據(jù)被破壞由于目前尚無(wú)安全的數(shù)據(jù)庫(kù)及個(gè)人終端安全保護(hù)措施，還不能抵御來(lái)自網(wǎng)絡(luò)上的各種對(duì)數(shù)據(jù)庫(kù)及個(gè)人終端的攻擊。如果沒(méi)有專(zhuān)門(mén)的軟件或硬件對(duì)數(shù)據(jù)進(jìn)行控制，所有的廣域網(wǎng)通信都將不受限制地進(jìn)行傳輸，因此任何一個(gè)對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信數(shù)據(jù)進(jìn)行截取。例如：設(shè)備被盜、被毀壞；設(shè)備老化、意外故障；計(jì)算機(jī)系統(tǒng)通過(guò)無(wú)線(xiàn)電輻射泄露秘密信息等。它是整個(gè)網(wǎng)絡(luò)安全的前提。建立全新網(wǎng)絡(luò)安全機(jī)制，必須深刻理解網(wǎng)絡(luò)并能提供直接的解決方案，因此，最可行的做法是管理制度和管理解決方案的結(jié)合。同時(shí)，當(dāng)事故發(fā)生后，也無(wú)法提供黑客攻擊行為的追蹤線(xiàn)索及破案依據(jù)，即缺乏對(duì)網(wǎng)絡(luò)的可控性與可審查性。責(zé)權(quán)不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來(lái)人員進(jìn)入計(jì)算機(jī)房重地，或者員工有意無(wú)意泄漏他們所知道的一些重要信息，而管理上卻沒(méi)有相應(yīng)制度來(lái)約束。**網(wǎng)絡(luò)系統(tǒng)應(yīng)按照國(guó)家關(guān)于計(jì)算機(jī)和網(wǎng)絡(luò)的一些安全管理?xiàng)l例，如《計(jì)算站場(chǎng)地安全要求》、《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等，制訂安全管理制度。 安全管理風(fēng)險(xiǎn)分析最安全的網(wǎng)絡(luò)設(shè)備離不開(kāi)人的管理，再好的安全策略最終要靠人來(lái)實(shí)現(xiàn)，因此管理是整個(gè)網(wǎng)絡(luò)安全中最為重要的一環(huán)，尤其是對(duì)于一個(gè)比較龐大和復(fù)雜的網(wǎng)絡(luò)，更是如此。為了便于分析網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和設(shè)計(jì)網(wǎng)絡(luò)安全解決方案，我們采取對(duì)網(wǎng)絡(luò)分層的方法，并且在每個(gè)層面上進(jìn)行細(xì)致的分析，根據(jù)風(fēng)險(xiǎn)分析的結(jié)果設(shè)計(jì)出符合具體實(shí)際的、可行的網(wǎng)絡(luò)安全整體解決方案。如：非授權(quán)訪(fǎng)問(wèn)、信息泄露、數(shù)據(jù)被篡改或丟失等。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 5）適應(yīng)性、靈活性原則 安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改。4) 易操作性原則 安全措施要由人來(lái)完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性。 3）一致性原則這主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期（或生命周期）同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致。一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)包括個(gè)人、設(shè)備、軟件、數(shù)據(jù)等環(huán)節(jié)。2） 綜合性、整體性原則運(yùn)用系統(tǒng)工程的觀(guān)點(diǎn)、方法，分析網(wǎng)絡(luò)的安全問(wèn)題，并制定具體措施。對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際分析，對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定規(guī)范和措施，確定本系統(tǒng)的安全策略。任何安全系統(tǒng)必須建立在技術(shù)、組織和制度這三個(gè)基礎(chǔ)之上。以“承認(rèn)漏洞、正視威脅、適度防護(hù)、加強(qiáng)檢測(cè)、落實(shí)反應(yīng)和建立威懾”為指導(dǎo)思想，以突出網(wǎng)絡(luò)級(jí)的安全監(jiān)控預(yù)警體系為重點(diǎn)，有效地提高企業(yè)對(duì)計(jì)算機(jī)信息系統(tǒng)自身安全漏洞和內(nèi)外部攻擊行為的檢測(cè)、管理、監(jiān)控和實(shí)時(shí)處理能力，要實(shí)現(xiàn)合理的評(píng)估信息系統(tǒng)安全事件、有效地實(shí)時(shí)阻斷非法和違規(guī)網(wǎng)絡(luò)活動(dòng)、準(zhǔn)確地提供違規(guī)行為的全部審計(jì)檔案的動(dòng)態(tài)適應(yīng)安全目標(biāo)。盡量不影響原網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，便于系統(tǒng)結(jié)構(gòu)及系統(tǒng)功能的擴(kuò)展。保持網(wǎng)絡(luò)原有的性能特點(diǎn)，即對(duì)網(wǎng)絡(luò)的協(xié)議和傳輸具有很好的透明性。 設(shè)計(jì)思想網(wǎng)絡(luò)安全是一個(gè)必須解決的重要問(wèn)題，同時(shí)也是一個(gè)極其復(fù)雜的問(wèn)題。如何構(gòu)建**安全可靠的網(wǎng)絡(luò)系統(tǒng)是本章內(nèi)容的目的。充分利用各種先進(jìn)的主機(jī)安全技術(shù)、身份認(rèn)證技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、密碼技術(shù)、防火墻技術(shù)、網(wǎng)