【正文】 性和兼容性，以及最低的系統(tǒng)資源占用，保證不對現(xiàn)有系統(tǒng)運(yùn)行產(chǎn)生不良影響。病毒對信息系統(tǒng)的正常工作運(yùn)行產(chǎn)生很大影響，據(jù)統(tǒng)計(jì)，信息系統(tǒng)的60%癱瘓是由于感染病毒引起的。具體而言，就是針對網(wǎng)絡(luò)中所有可能的病毒攻擊設(shè)置對應(yīng)的防毒軟件，通過全方位、多層次的防毒系統(tǒng)配置，使網(wǎng)絡(luò)沒有薄弱環(huán)節(jié)成為病毒入侵的缺口。對于xx，在選擇這些應(yīng)用系統(tǒng)時(shí)，應(yīng)當(dāng)盡量選擇國內(nèi)軟件開發(fā)商進(jìn)行開發(fā)，系統(tǒng)類型也應(yīng)當(dāng)盡量采用國內(nèi)自主開發(fā)的應(yīng)用系統(tǒng)。其中的用戶應(yīng)同時(shí)包括各級(jí)管理員用戶和各類業(yè)務(wù)用戶。一般用戶運(yùn)行在PC機(jī)上的NT平臺(tái)，在選擇性地用好NT安全機(jī)制的同時(shí)，應(yīng)加強(qiáng)監(jiān)控管理。由于目前主要的操作系統(tǒng)平臺(tái)是建立在國外產(chǎn)品的基礎(chǔ)上，因而存在很大的安全隱患。本方案中，采用漏洞掃描設(shè)備對網(wǎng)絡(luò)系統(tǒng)進(jìn)行定期掃描，對存在的系統(tǒng)漏洞、網(wǎng)絡(luò)漏洞、應(yīng)用程序漏洞、操作系統(tǒng)漏洞等進(jìn)行探測、掃描，發(fā)現(xiàn)相應(yīng)的漏洞并告警，自動(dòng)提出解決措施，或參考意見，提醒網(wǎng)絡(luò)安全管理員作好相應(yīng)調(diào)整。（四）漏洞掃描作為一個(gè)完善的通用安全系統(tǒng)，應(yīng)當(dāng)包含完善的安全措施，定期的安全評(píng)估及安全分析同樣相當(dāng)重要。入侵檢測系統(tǒng)的設(shè)置如下圖：從上圖可知，入侵檢測儀在網(wǎng)絡(luò)接如上與VPN設(shè)備并接使用。探測器(網(wǎng)絡(luò)引擎)用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺(tái)的指令執(zhí)行相應(yīng)行為。入侵檢測系統(tǒng)一般包括控制臺(tái)和探測器(網(wǎng)絡(luò)引擎)。入侵檢測系統(tǒng)是根據(jù)已有的、最新的和可預(yù)見的攻擊手段的信息代碼對進(jìn)出網(wǎng)絡(luò)的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送Email)。（三）入侵檢測網(wǎng)絡(luò)安全不可能完全依靠單一產(chǎn)品來實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品。由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個(gè)方面的優(yōu)點(diǎn)：1)管理、維護(hù)簡單、方便；2)安全性高(可有效降低在安全設(shè)備使用上的配置漏洞)；3)硬件成本和維護(hù)成本低；4)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定性更高。（二）訪問控制由于xx廣域網(wǎng)網(wǎng)絡(luò)部分通過公共網(wǎng)絡(luò)建立，其在網(wǎng)絡(luò)上必定會(huì)受到來自INTERNET上許多非法用戶的攻擊和訪問，如試圖進(jìn)入網(wǎng)絡(luò)系統(tǒng)、竊取敏感信息、破壞系統(tǒng)數(shù)據(jù)、設(shè)置惡意代碼、使系統(tǒng)服務(wù)嚴(yán)重降低或癱瘓等，因此，采取相應(yīng)的安全措施是必不可少的。而用戶的技術(shù)人員往往不可能都是專業(yè)的，因此，容易出現(xiàn)上述現(xiàn)象；同時(shí)，每個(gè)維護(hù)人員的水平也有差異，容易出現(xiàn)相互配置上的錯(cuò)誤使網(wǎng)絡(luò)中斷。由于網(wǎng)絡(luò)安全不是僅僅采用高檔的安全產(chǎn)品就能解決，因此對安全設(shè)備的管理就顯得尤為重要。下級(jí)單位的VPN設(shè)備放置如下圖所示：從上圖可知，下屬機(jī)構(gòu)的VPN設(shè)備放置于內(nèi)部網(wǎng)絡(luò)與路由器之間，其配置、管理由上級(jí)機(jī)構(gòu)通過網(wǎng)絡(luò)實(shí)現(xiàn)，下屬機(jī)構(gòu)不需要做任何的管理，僅需要檢查是否通電即可。將對外服務(wù)器放置于VPN設(shè)備的DMZ口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi)網(wǎng)的對外訪問、記錄日志。即在每一級(jí)的中心網(wǎng)絡(luò)安裝一臺(tái)VPN設(shè)備和一臺(tái)VPN認(rèn)證服務(wù)器(VPNCA)，在所屬的直屬單位的網(wǎng)絡(luò)接入處安裝一臺(tái)VPN設(shè)備，由上級(jí)的VPN認(rèn)證服務(wù)器通過網(wǎng)絡(luò)對下一級(jí)的VPN設(shè)備進(jìn)行集中統(tǒng)一的網(wǎng)絡(luò)化管理?？稍诿考?jí)管理域內(nèi)設(shè)置一套VPN設(shè)備，由VPN設(shè)備實(shí)現(xiàn)網(wǎng)絡(luò)傳輸?shù)募用鼙Ｗo(hù)。而INTERNET本身就缺乏有效的安全保護(hù)，如果不采取相應(yīng)的安全措施，易受到來自網(wǎng)絡(luò)上任意主機(jī)的監(jiān)聽而造成重要信息的泄密或非法篡改，產(chǎn)生嚴(yán)重的后果。（一） 網(wǎng)絡(luò)傳輸由于xx中心內(nèi)部網(wǎng)絡(luò)存在兩套網(wǎng)絡(luò)系統(tǒng)，其中一套為內(nèi)部網(wǎng)絡(luò)，主要運(yùn)行的是內(nèi)部辦公、業(yè)務(wù)系統(tǒng)等；另一套是與INTERNET相連，通過ADSL接入，并與企業(yè)系統(tǒng)內(nèi)部的上、下級(jí)機(jī)構(gòu)網(wǎng)絡(luò)相連。下圖是防護(hù)系統(tǒng)對一個(gè)完整的網(wǎng)絡(luò)攻擊及防護(hù)方法的演示效果圖：作為企業(yè)應(yīng)用業(yè)務(wù)系統(tǒng)的承載平臺(tái)，網(wǎng)絡(luò)系統(tǒng)的安全顯得尤為重要。采取以數(shù)據(jù)為核心，為數(shù)據(jù)訪問和數(shù)據(jù)處理采用整體防護(hù)解決方案也是系統(tǒng)必然的選擇。隨著信息的訪問方式多樣化,信息的處理速度和信息的交換量都成倍數(shù)的增長。通過將信任網(wǎng)段與不信任網(wǎng)段劃分在不同的VLAN段內(nèi)，就可以限制局部網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響。5) 安裝防火墻可以有效的防止黑客的攻擊。而對于那些用不到的服務(wù)應(yīng)該盡量關(guān)閉。2) 及時(shí)更新主機(jī)系統(tǒng)，防止因系統(tǒng)漏洞而遭到黑客或病毒的攻擊。根據(jù)xx網(wǎng)絡(luò)內(nèi)主機(jī)的安全防護(hù)現(xiàn)狀，我們制定了以下策略：1) 對主機(jī)用戶進(jìn)行分組管理，根據(jù)不同的安全級(jí)別將用戶分為若干等級(jí)，每一等級(jí)的用戶只能訪問與其等級(jí)相對應(yīng)的系統(tǒng)資源和數(shù)據(jù)。中心機(jī)房處理秘密級(jí)、機(jī)密級(jí)信息的系統(tǒng)均采用有效的電子門控系統(tǒng)等。 2) 設(shè)備安全：主要包括設(shè)備的防盜、防毀壞及電源保護(hù)等。其中二樓6個(gè)，三樓12個(gè)，四樓2個(gè)。這樣，可通過控制器進(jìn)行切換，使計(jì)算機(jī)分別接到兩個(gè)網(wǎng)絡(luò)上。隔離卡上有兩個(gè)網(wǎng)絡(luò)接口，一個(gè)接內(nèi)網(wǎng)，一個(gè)接外網(wǎng)；另外還有一個(gè)控制口，通過控制口連接一個(gè)控制器(只有火柴盒大小)，放置于電腦旁邊。而現(xiàn)在的實(shí)際使用是采用手工拔插網(wǎng)線的方式進(jìn)行切換，這使得使用中非常不方便。第二章 網(wǎng)絡(luò)安全解決方案對于xx存在的兩套網(wǎng)絡(luò)系統(tǒng)切換問題和重點(diǎn)信息點(diǎn)的保護(hù)問題，我們提出以下解決方案。怎么處理總部與分支機(jī)構(gòu)、移動(dòng)辦公人員的信息共享安全，既要保證信息的及時(shí)共享，又要防止機(jī)密的泄漏已經(jīng)成為不得不考慮的問題。內(nèi)部員工對自身企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉，自已攻擊或泄露重要信息內(nèi)外勾結(jié)，都將可能成為導(dǎo)致系統(tǒng)受攻擊的最致命安全威脅。據(jù)調(diào)查統(tǒng)計(jì)，在xx已發(fā)生的網(wǎng)絡(luò)安全事件中，70%的攻擊是來自內(nèi)部。包括來自Internet上的風(fēng)險(xiǎn)和下級(jí)單位的風(fēng)險(xiǎn)。這些都是xx內(nèi)部網(wǎng)絡(luò)中潛存的威脅。對于已經(jīng)離職的不滿員工，可以通過定期改變口令和刪除系統(tǒng)記錄以減少這類風(fēng)險(xiǎn)。不滿的內(nèi)部員工可能在WWW站點(diǎn)上開些小玩笑，甚至破壞。最新調(diào)查顯示， 60%以上的員工利用網(wǎng)絡(luò)處理私人事務(wù)。這些是對網(wǎng)絡(luò)自主運(yùn)行的控制權(quán)的巨大威脅，使得企業(yè)