【正文】 最小權(quán)限”原則，為各個用戶配置好恰當(dāng)?shù)挠脩魴?quán)限；同時對一些敏感數(shù)據(jù)進(jìn)行加密保護，對數(shù)據(jù)還可以進(jìn)行數(shù)字簽名措施；根據(jù)企業(yè)實際需要配置好相應(yīng)的數(shù)據(jù)策略，并按策略認(rèn)真執(zhí)行。在邊界安裝了防火墻、在桌面上安裝了防病毒和防間諜軟件工具、使用加密技術(shù)發(fā)送和保存數(shù)據(jù)。（1）安裝防火墻就安全了防火墻主要用來執(zhí)行 兩個網(wǎng)絡(luò)之間的訪問控制策略，它能限制被保護的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者 與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻主要工作都是控制存取與過濾封包，所以對DoS攻擊、非法存取與篡改封包等攻擊模式的防范極為有效，可以提供網(wǎng)絡(luò)周邊的安全防護。防火墻的原理是“防外不防內(nèi)”，對內(nèi)部網(wǎng)絡(luò)的訪問不進(jìn)行任何阻撓，而事實上，企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。（3）在每臺計算機上安裝單機版殺毒軟件和網(wǎng)絡(luò)版殺毒軟件等效網(wǎng)絡(luò)版殺毒軟件核心就是集中的網(wǎng)絡(luò)防毒系統(tǒng)管理。同時對于整個網(wǎng)絡(luò)，管理非常方便，對于單機版是不可能做到的。所以只要計算機開著，就要防范病毒。（6）網(wǎng)絡(luò)安全主要來自外部基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實施攻擊。第2章 華城公司網(wǎng)絡(luò)安全的需求分析 公司背景華城網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機應(yīng)用開發(fā)為主營項目的軟件企業(yè)。公司對網(wǎng)絡(luò)的依賴性很強，主要業(yè)務(wù)都要涉及互聯(lián)網(wǎng)以及內(nèi)部網(wǎng)絡(luò)。 公司網(wǎng)絡(luò)安全需求華城網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機。同時由于考慮到Inteneter的安全性，以及網(wǎng)絡(luò)安全等一些因素，如DDoS、ARP等。 需求分析通過了解華城網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實現(xiàn)華城網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運行的穩(wěn)定性，保證企業(yè)各種設(shè)計信息的安全性，避免圖紙、文檔的丟失和外泄。通過網(wǎng)絡(luò)的改造，使管理者更加便于對網(wǎng)絡(luò)中的服務(wù)器、客戶端、登陸用戶的權(quán)限以及應(yīng)用軟件的安裝進(jìn)行全面的監(jiān)控和管理。 ，直接經(jīng)由防火墻分為DMZ區(qū)域和普通區(qū)域。 。 。第3章 華城公司網(wǎng)絡(luò)安全的設(shè)計（1）資源共享功能。（2）通信服務(wù)功能。（3）多媒體功能。遠(yuǎn)程VPN撥入訪問功能。 （1）實用性和經(jīng)濟性。 （2）先進(jìn)性和成熟性。不但能反映當(dāng)今的先進(jìn)水平，而且具有發(fā)展?jié)摿?，能保證在未來若干年內(nèi)企業(yè)網(wǎng)絡(luò)仍占領(lǐng)先地位。在考慮技術(shù)先進(jìn)性和開放性的同時，還應(yīng)從系統(tǒng)結(jié)構(gòu)、技術(shù)措施、設(shè)備性能、系統(tǒng)管理、廠商技術(shù)支持及維修能力等方面著手，確保系統(tǒng)運行的可靠性和穩(wěn)定性，達(dá)到最大的平均無故障時間，TPLINK網(wǎng)絡(luò)作為國內(nèi)知名品牌，網(wǎng)絡(luò)領(lǐng)導(dǎo)廠商，其產(chǎn)品的可靠性和穩(wěn)定性是一流的。在系統(tǒng)設(shè)計中，既考慮信息資源的充分共享，更要注意信息的保護和隔離，因此系統(tǒng)應(yīng)分別針對不同的應(yīng)用和不同的網(wǎng)絡(luò)通信環(huán)境，采取不同的措施，包括系統(tǒng)安全機制、數(shù)據(jù)存取的權(quán)限控制等，TPLINK網(wǎng)絡(luò)充分考慮安全性，針對小型企業(yè)的各種應(yīng)用，有多種的保護機制，如劃分VLAN、MAC地址綁定、。為了適應(yīng)系統(tǒng)變化的要求，必須充分考慮以最簡便的方法、最低的投資，實現(xiàn)系統(tǒng)的擴展和維護，采用可網(wǎng)管產(chǎn)品，降低了人力資源的費用，提高網(wǎng)絡(luò)的易用性。（2）電力供應(yīng)機房供電應(yīng)與其他市電供電分開；應(yīng)設(shè)置穩(wěn)壓器和過電壓防護設(shè)備；應(yīng)提供短期的備用電力供應(yīng)（如UPS設(shè)備）；應(yīng)建立備用供電系統(tǒng)（如備用發(fā)電機），以備常用供電系統(tǒng)停電時啟用。內(nèi)部辦公自動化網(wǎng)絡(luò)根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機來劃分虛擬子網(wǎng)（VLAN），在沒有配置路的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問。vlan的劃分和地址的分配經(jīng)理辦子網(wǎng)(vlan2):市場子網(wǎng)(vlan4)： 網(wǎng)關(guān)：（2）財務(wù)VLAN5可以訪問生產(chǎn)VLAN市場VLAN資源VLAN6，不可以訪問經(jīng)理辦VLAN2。（4）生產(chǎn)VLAN4和銷售VLAN3可以互訪?？梢赃x擇以下幾種方式：（1）鏈路層加密對于連接各涉密網(wǎng)節(jié)點的廣域網(wǎng)線路，根據(jù)線路種類不同可以采用相應(yīng)的鏈路級加密設(shè)備，以保證各節(jié)點涉密網(wǎng)之間交換的數(shù)據(jù)都是加密傳送，以防止非授權(quán)用戶讀懂、篡改傳輸?shù)臄?shù)據(jù)。即在有相互訪問需求并且要求加密傳輸?shù)母骶W(wǎng)點的每條外線線路上都得配一臺鏈路加密機。(2)網(wǎng)絡(luò)層加密鑒于網(wǎng)絡(luò)分布較廣，網(wǎng)點較多，而且可能采用DDN、FR等多種通訊線路。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備（VPN），VPN是網(wǎng)絡(luò)加密機，是實現(xiàn)端至端的加密，即一個網(wǎng)點只需配備一臺VPN加密機。IPsec是在TCP/IP體系中實現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立IP安全隧道，能夠保護子網(wǎng)間傳輸信息的機密性、完整性和真實性。一般來說，VPN設(shè)備可以一對一和一對多地運行，并具有對數(shù)據(jù)完整性的保證功能，它安裝在被保護網(wǎng)絡(luò)和路由器之間的位置。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持IPsec標(biāo)準(zhǔn)。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)，VPN設(shè)備可以使網(wǎng)絡(luò)在升級提速時具有很好的擴展性。由于在網(wǎng)絡(luò)環(huán)境下，計算機病毒有不可估量的威脅性和破壞力。因此計算機病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。（3）殺毒技術(shù)殺毒技術(shù)通過對計算機病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的病毒代碼，反病毒程序會采取相應(yīng)處理措施（清除、更名或刪除），防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴散。簡言之，就是針對應(yīng)用程序或工具在使用過程中可能出現(xiàn)計算、傳輸數(shù)據(jù)的泄露和失竊，通過其他安全工具或策略來消除隱患。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因為疏忽而在與員工間交換信息時泄漏重要信息。雖然說用戶名加口令的機制不是很安全，但對一般用戶而言，還是起到一定的安全防護，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費相當(dāng)長的時間。對數(shù)據(jù)庫服務(wù)器中的數(shù)據(jù)庫必須做安全備份。防火墻是實現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟、最有效的安全措施之一。并且防火墻可以實現(xiàn)單向或雙向控制，對一些高層協(xié)議實現(xiàn)較細(xì)粒的訪問控制。　由于采用防火墻、VPN技術(shù)融為一體的安全設(shè)備，并采取網(wǎng)絡(luò)化的統(tǒng)一管理，因此具有以下幾個方面的優(yōu)點：　?。?） 管理、維護簡單、方便?！　。?） 硬件成本和維護成本低。第4章 華城公司網(wǎng)絡(luò)安全方案的實現(xiàn)華城公司網(wǎng)絡(luò)中保護網(wǎng)絡(luò)設(shè)備的物理安全是其整個計算機網(wǎng)絡(luò)系統(tǒng)安全的前提，物理安全是指保護計算機網(wǎng)絡(luò)設(shè)備、設(shè)施以及其他媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故、人為操作失誤