【正文】 提。它主要包括三個方面： 環(huán)境安全 對系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見國家標(biāo)準(zhǔn) GB50173－ 93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國標(biāo) GB2887－ 89《計(jì)算站場地技術(shù)條件》、 GB9361－ 88《計(jì)算站場地安全要求》 設(shè)備安全 設(shè)備安全主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等；設(shè)備冗余備份；通過嚴(yán)格管理及提高員工的整體安全意識來實(shí)現(xiàn)。顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。 正常的防范措施主要在三個方面： 對主機(jī)房及重要信息存儲、收發(fā)部門進(jìn)行屏蔽處理，即建設(shè)一個具有高效屏蔽效能的屏蔽室，用它來安裝運(yùn)行主要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號外泄。 對本地網(wǎng)、局域網(wǎng)傳輸線路傳導(dǎo)輻射的抑制，由于電纜傳輸輻射信息的不可避免性，現(xiàn)均采光纜傳輸?shù)姆绞?，大多?shù)均在 Modem 出來的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳輸。終端機(jī)尤其是 CRT 顯示器，由于上萬伏高壓電子流的作用，輻射有極強(qiáng)的信號外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來防止，故現(xiàn)在的要求除在訂購設(shè)備上盡量選取低輻射產(chǎn)品外，目前主要采取主動式的干擾設(shè)備如干擾機(jī)來破壞對應(yīng) 信息的竊取，個別重要的首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室，這種方法雖降低了部份屏蔽效能，但可大大改善工作環(huán)境，使人感到在普通機(jī)房內(nèi)一樣工作。工行網(wǎng)絡(luò)在設(shè)計(jì)時(shí)，比較好的考慮了這些因素，可以說網(wǎng)絡(luò)結(jié)構(gòu)是比較合理的、比較安全的。 通過配備操作系統(tǒng)安全掃描系統(tǒng)對操作系統(tǒng)進(jìn)行安全性掃描，發(fā)現(xiàn)其中存在的安全漏洞，并有針對性地進(jìn)行對網(wǎng)絡(luò)設(shè)備重新配置或升級。如文件服務(wù)、電子郵件服務(wù)器等應(yīng)用系統(tǒng)，可以關(guān)閉服務(wù)器上如 HTTP、 FTP、TELNET、 RLOGIN 等服務(wù)。確保用戶使用的合法性；并嚴(yán)格限制登錄者的操作權(quán)限，將其完成的操作限制在最小的范圍內(nèi)。 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全是整個安全解決方案的關(guān)鍵，從訪問控制、通信保密、入侵檢測、網(wǎng)絡(luò)安全掃描系 統(tǒng)、防病毒分別描述。 劃分虛擬子網(wǎng) (VLAN) 內(nèi)部辦公自動化網(wǎng)絡(luò)根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機(jī)來劃分虛擬子網(wǎng)（ VLAN），在沒有配置路的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問。 配備防火墻 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全 最基本、最經(jīng)濟(jì)、最有效的安全措施之一。并且防火墻可以實(shí)現(xiàn)單向或雙向控制，對一些高層協(xié)議實(shí)現(xiàn)較細(xì)粒的訪問控制?？梢赃x擇以下幾種方式： 鏈路層加密 對于連接各涉密網(wǎng)節(jié)點(diǎn)的廣域網(wǎng)線路，根據(jù)線路種類不同可以采用相應(yīng)的鏈路級加密設(shè)備，以保證各節(jié)點(diǎn)涉密網(wǎng)之 間交換的數(shù)據(jù)都是加密傳送，以防止非授權(quán)用戶讀懂、篡改傳輸?shù)臄?shù)據(jù)。即在有相互訪問需求并且要求加密傳輸?shù)母骶W(wǎng)點(diǎn)的每條外線線路上都得配一臺鏈路加密機(jī)。 網(wǎng)絡(luò)層加密 鑒于網(wǎng)絡(luò)分布較廣，網(wǎng)點(diǎn) 較多，而且可能采用 DDN、 FR 等多種通訊線路。因此在這種情況下我們建議采用網(wǎng)絡(luò)層加密設(shè)備（ VPN）， VPN是網(wǎng)絡(luò)加密機(jī)，是實(shí)現(xiàn)端至端的加密，即一個網(wǎng)點(diǎn)只需配備一臺 VPN 加密機(jī)。 IPsec 是在 TCP/IP 體系中實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立 IP 安全隧道，能夠保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實(shí)性。一般來說， VPN 設(shè)備可以一對一和一對多地運(yùn)行，并具有對數(shù)據(jù)完整性的保證功能，它安裝在被保護(hù)網(wǎng)絡(luò)和路由器之間的位置。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持 IPsec 標(biāo)準(zhǔn)。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)， VPN 設(shè)備可以使網(wǎng)絡(luò)在升級提速時(shí)具有很好的擴(kuò)展性。 入侵檢測 利用防火墻并經(jīng)過嚴(yán)格配置，可以阻止各種不安全訪問通過防火 墻，從而降低安全風(fēng)險(xiǎn)。入侵檢測系統(tǒng)就是最好的安全產(chǎn)品，入侵檢測系統(tǒng)是根據(jù)已有的、最新的攻擊手段的信息代碼對進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報(bào)警、發(fā)送 Email）。入侵檢測系統(tǒng)一般包括控制臺和探測器（網(wǎng)絡(luò)引擎）。探測器（網(wǎng)絡(luò)引擎）用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺的指令執(zhí)行相 應(yīng)行為。 掃描系統(tǒng) 網(wǎng)絡(luò)掃描系統(tǒng)可以對網(wǎng)絡(luò)中所有部件（ Web 站點(diǎn)，防火墻，路由器， TCP/IP 及相關(guān)協(xié)議服務(wù)）進(jìn)行攻擊性掃描、分析和評估，發(fā)現(xiàn)并報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，評估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施。 病毒防護(hù) 由于在網(wǎng)絡(luò)環(huán)境下，計(jì) 算機(jī)病毒有不可估量的威脅性和破壞力。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。 殺毒技術(shù) 殺毒技術(shù)通過對計(jì)算機(jī)病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的病毒代碼，反病毒程序會采取相應(yīng)處理措施（清除、更名或刪除），防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。雖然說用戶名加口令的機(jī)制不是很安全，但對一般用戶而言，還是起到一定的安全防護(hù)，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費(fèi)相當(dāng)長的時(shí)間。對數(shù)據(jù)庫服 務(wù)器中的數(shù)據(jù)庫必須做安全備份。 構(gòu)建 CA 體系 針對信息的安全性、完整性、正確性和不可否認(rèn)性等問題，目前國際上先進(jìn)的方法是采用信息加密技術(shù)、數(shù)字簽名技術(shù)。簽發(fā)數(shù)字證書的機(jī)構(gòu)即數(shù)字證書認(rèn)證中心（ CA， Certification Authority），數(shù)字證書認(rèn)證中心為用戶簽發(fā)數(shù)字證書，為用戶身份確 認(rèn)提供各種相應(yīng)的服務(wù)。根據(jù)機(jī)構(gòu)本身的特點(diǎn)，可以考濾先構(gòu)建一個本系統(tǒng)內(nèi)部的 CA 系統(tǒng)，即所有的證書只能限定在本系統(tǒng)內(nèi)部使用有效。 安全管 理 制定健全的安全管理體制 制定健全的安全管理體制將是網(wǎng)絡(luò)安全得以實(shí)現(xiàn)的重要保證。 構(gòu)建安全管理平臺 構(gòu)建安全管理平臺將會降彽很多因?yàn)闊o意的人為因素而造成的風(fēng)險(xiǎn)。通過安全管理平臺實(shí)現(xiàn)全網(wǎng)的安全管理。