网络构建方案

-PAGEPAGE3欢迎下载前言：这是一高级网络工程师为某大型企业写一份局域网平安解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 建议书。原来这是不应当公开的，但是由于种种缘由未能被接受，所以也没什么大碍，现在拿出来给大家产作是一份参考资料，写的不好多多指教。文章是让大家参考的，不是让大家翻录的学会自己用自己的思路去写东西:)，做了一些修改，请大家见凉！***********************************************************************（列表省略）***********************************************************************第一章总则本方案为某大型局域网网络平安解决方案，包括原有网络系统 分析 定性数据统计分析pdf销售业绩分析模板建筑结构震害分析销售进度分析表京东商城竞争战略分析 、平安需求分析、平安目标的确立、平安体系结构的 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 、等。本平安解决方案的目标是在不影响某大型企业局域网当前业务的前提下，实现对他们局域网全面的平安管理。1.将平安策略、硬件及软件等方法结合起来，构成一个统一的防备系统，有效阻挡非法用户进入网络，削减网络的平安风险。2.定期进行漏洞扫描，审计跟踪，准时发觉问题，解决问题。3.通过入侵检测等方式实现实时平安监控，供应快速响应故障的手段，同时具备很好的平安取证措施。4.使网络管理者能够很快重新组织被破坏了的文件或应用。使系统重新恢复到破坏前的状态，最大限度地削减损失。5.在工作站、服务器上安装相应的防病毒软件，由中心把握台统一把握和管理，实现全网统一防病毒。其次章网络系统概况2.1网络概况这个企业的局域网是一个信息点较为密集的千兆局域网络系统，它所联接的现有上千个信息点为在整个企业内办公的各部门供应了一个快速、便利的信息沟通平台。不仅如此，通过专线与Internet的连接，打通了一扇通向外部世界的窗户，各个部门可以直接与互联网用户进行沟通、查询资料等。通过公开服务器，企业可以直接对外发布信息或者发送电子邮件。高速交换技术的接受、机敏的网络互连方案设计为用户供应快速、便利、机敏通信平台的同时，也为网络的平安带来了更大的风险。因此，在原有网络上实施一套完整、可操作的平安解决方案不仅是可行的，而且是必需的。2.1.1网络概述这个企业的局域网，物理跨度不大，通过千兆交换机在主干网络上供应1000M的独享带宽，通过下级交换机与各部门的工作站和服务器连结，并为之供应100M的独享带宽。利用与中心交换机连结的Cisco路由器，全部用户可直接访问Internet。2.1.2网络结构这个企业的局域网按访问区域可以划分为三个主要的区域：Internet区域、内部网络、公开服务器区域。内部网络又可依据所属的部门、职能、平安重要程度分为很多子网，包括：财务子网、领导子网、办公子网、市场部子网、中心服务器子网等。在平安方案设计中，我们基于平安的重要程度和要爱护的对象，可以在Catalyst型交换机上直接划分四个虚拟局域网（VLAN），即：中心服务器子网、财务子网、领导子网、其他子网。不同的局域网分属不同的广播域，由于财务子网、领导子网、中心服务器子网属于重要网段，因此在中心交换机上将这些网段各自划分为一个独立的广播域，而将其他的工作站划分在一个相同的网段。（图省略）2.2网络应用这个企业的局域网可以为用户供应如下主要应用：1．文件共享、办公自动化、WWW服务、电子邮件服务；2．文件数据的统一存储；3．针对特定的应用在数据库服务器上进行二次开发(比如财务系统)；4．供应与Internet的访问；5．通过公开服务器对外发布企业信息、发送电子邮件等；2.3网络结构的特点在分析这个企业局域网的平安风险时，应考虑到网络的如下几个特点：1.网络与Internet直接连结，因此在进行平安方案设计时要考虑与Internet连结的有关风险，包括可能通过Internet传播进来病毒，黑客攻击，来自Internet的非授权访问等。。2.网络中存在公开服务器，由于公开服务器对外必需开放部分业务，因此在进行平安方案设计时应当考虑接受平安服务器网络，避开公开服务器的平安风险集中到内部。3.内部网络中存在很多不同的子网，不同的子网有不同的平安性，因此在进行平安方案设计时，应考虑将不同功能和平安级别的网络分割开，这可以通过交换机划分VLAN来实现。4.网络中有二台应用服务器，在应用程序开发时就应考虑加强用户登录验证，防止非授权的访问。总而言之，在进行网络方案设计时，应综合考虑到这个企业局域网的特点，依据产品的性能、价格、潜在的平安风险进行综合考虑。第三章网络系统平安风险分析随着Internet网络急剧扩大和上网用户快速增加，风险变得更加严峻和简单。原来由单个计算机平安事故引起的损害可能传播到其他系统，引起大范围的瘫痪和损失；另外加上缺乏平安把握机制和对Internet平安政策的生疏不足，这些风险正日益严峻。针对这个企业局域网中存在的平安隐患，在进行平安方案设计时，下述平安风险我们必需要认真考虑，并且要针对面临的风险，实行相应的平安措施。下述风险由多种因素引起，与这个企业局域网结构和系统的应用、局域网内网络服务器的牢靠性等因素亲密相关。下面列出部分这类风险因素：网络平安可以从以下三个方面来理解：1网络物理是否平安；2网络平台是否平安；3系统是否平安；4应用是否平安；5管理是否平安。针对每一类平安风险，结合这个企业局域网的实际状况，我们将具体的分析网络的平安风险。3.1物理平安风险分析网络的物理平安的风险是多种多样的。网络的物理平安主要是指地震、水灾、火灾等环境事故；电源故障；人为操作失误或错误；设备被盗、被毁；电磁干扰；线路截获。以及高可用性的硬件、双机多冗余的设计、机房环境及报警系统、平安意识等。它是整个网络系统平安的前提，在这个企业区局域网内，由于网络的物理跨度不大，，只要制定健全的平安管理制度，做好备份，并且加强网络设备和机房的管理，这些风险是可以避开的。3.2网络平台的平安风险分析网络结构的平安涉及到网络拓扑结构、网络路由状况及网络的环境等。公开服务器面临的威逼这个企业局域网内公开服务器区（WWW、EMAIL等服务器）作为公司的信息发布平台，一旦不能运行后者受到攻击，对企业的声誉影响巨大。同时公开服务器本身要为外界服务，必需开放相应的服务；每天，黑客都在试图闯入Internet节点，这些节点假如不保持警惕，可能连黑客怎么闯入的都不知道，甚至会成为黑客入侵其他站点的跳板。因此，规模比较大网络的管理人员对Internet平安事故做出有效反应变得格外重要。我们有必要将公开服务器、内部网络与外部网络进行隔离，避开网络结构信息外泄；同时还要对外网的服务恳求加以过滤，只允许正常通信的数据包到达相应主机，其他的恳求服务在到达主机之前就应当遭到拒绝。整个网络结构和路由状况平安的应用往往是建立在网络系统之上的。网络系统的成熟与否直接影响平安系统成功的建设。在这个企业局域网络系统中，只使用了一台路由器，用作与Internet连结的边界路由器，网络结构相对简洁，具体配置时可以考虑使用静态路由，这就大大削减了因网络结构和网络路由造成的平安风险。3.3系统的平安风险分析所谓系统的平安显而易见是指整个局域网网络操作系统、网络硬件平台是否牢靠且值得信任。网络操作系统、网络硬件平台的牢靠性：对于中国来说，生怕没有确定平安的操作系统可以选择，无论是Microsoft的WindowsNT或者其他任何商用UNIX操作系统，其开发厂商必定有其Back-Door。我们可以这样讲：没有完全平安的操作系统。但是，我们可以对现有的操作平台进行平安配置、对操作和访问权限进行严格把握，提高系统的平安性。因此，不但要选用完可能牢靠的操作系统和硬件平台。而且，必需加强登录过程的认证（特殊是在到达服务器主机之前的认证），确保用户的合法性；其次应当严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。3.4应用的平安风险分析应用系统的平安跟具体的应用有关，它涉及很多方面。应用系统的平安是动态的、不断变化的。应用的平安性也涉及到信息的平安性，它包括很多方面。应用系统的平安动态的、不断变化的：应用的平安涉及面很广，以目前Internet上应用最为广泛的E-mail系统来说，其解决方案有几十种，但其系统内部的编码甚至编译器导致的BUG是很少有人能够发觉的，因此一套详尽的测试软件是相当必需的。但是应用系统是不断进展且应用类型是不断增加的，其结果是平安漏洞也是不断增加且隐蔽越来越深。因此，保证应用系统的平安也是一个随网络进展不断完善的过程。应用的平安性涉及到信息、数据的平安性：信息的平安性涉及到：机密信息泄露、未经授权的访问、破坏信息完整性、假冒、破坏系统的可用性等。由于这个企业局域网跨度不大，绝大部分重要信息都在内部传递，因此信息的机密性和完整性是可以保证的。对于有些特殊重要的信息需要对内部进行保密的（比如领导子网、财务系统传递的重要信息）可以考虑在应用级进行加密，针对具体的应用直接在应用系统开发时进行加密。3.5管理的平安风险分析管理是网络平安中最重要的部分管理是网络中平安最最重要的部分。责权不明，管理混乱、平安管理制度不健全及缺乏可操作性等都可能引起管理平安的风险。责权不明，管理混乱，使得一些员工或管理员任凭让一些非本地员工甚至外来人员进入机房重地，或者员工有意无意泄漏他们所知道的一些重要信息，而管理上却没有相应制度来约束。当网络消灭攻击行为或网络受到其它一些平安威逼时（如内部人员的违规操作等），无法进行实时的检测、监控、报告与预警。同时，当事故发生后，也无法供应黑客攻击行为的追踪线索及破案依据，即缺乏对网络的可控性与可审查性。这就要求我们必需对站点的访问活动进行多层次的记录，准时发觉非法入侵行为。建立全新网络平安机制，必需深刻理解网络并能供应直接的解决方案，因此，最可行的做法是管理制度和管理解决方案的结合。3.6黑客攻击黑客们的攻击行动是无时无刻不在进行的，而且会利用系统和管理上的一切可能利用的漏洞。公开服务器存在漏洞的一个典型例证，是黑客可以轻易地骗过公开服务器软件，得到Unix的口令文件并将之送回。黑客侵入UNIX服务器后，有可能修改特权，从一般用户变为高级用户，一旦成功，黑客可以直接进入口令文件。黑客还能开发哄骗程序，将其装入UNIX服务器中，用以监听登录会话。当它发觉有用户登录时，便开头存储一个文件，这样黑客就拥有了他人的帐户和口令。这时为了防止黑客，需要设置公开服务器，使得它不离开自己的空间而进入另外的名目。另外，还应设置组特权，不允许任何使用公开服务器的人访问WWW页面文件以外的东西。在这个企业的局域网内我们可以综合接受防火墙技术、Web页面爱护技术、入侵检测技术、平安评估技术来爱护网络内的信息资源，防止黑客攻击。3.7通用网关接口（CGI）漏洞有一类风险涉及通用网关接口（CGI）脚本。很多页面文件和指向其他页面或站点的超连接。然而有些站点用到这些超连接所指站点查找特定信息。搜寻引擎是通过CGI脚本执行的方式实现的。黑客可以修改这些CGI脚本以执行他们的非法任务。通常，这些CGI脚本只能在这些所指WWW服务器中查找，但假如进行一些修改，他们就可以在WWW服务器之外进行查找。要防止这类问题发生，应将这些CGI脚本设置为较低级用户特权。提高系统的抗破坏力量，提高服务器备份与恢复力量，提高站点内容的防篡改与自动修复力量。3.8恶意代码恶意代码不限于病毒，还包括蠕虫、特洛伊木马、规律炸弹、和其他未经同意的软件。应当加强对恶意代码的检测。3.9病毒的攻击计算机病毒始终是计算机平安的主要威逼。能在Internet上传播的新型病毒，例如通过E-Mail传播的病毒，增加了这种威逼的程度。病毒的种类和传染方式也在增加，国际空间的病毒总数已达上万甚至更多。当然，查看文档、扫瞄图像或在Web上填表都不用担忧病毒感染，然而，下载可执行文件和接收来历不明的E-Mail文件需要特殊警惕，否则很简洁使系统导致严峻的破坏。典型的“CIH”病毒就是一可怕的例子。3.10不满的内部员工不满的内部员工可能在WWW站点上开些小玩笑，甚至破坏。不论如何，他们最生疏服务器、小程序、脚本和系统的弱点。对于已经离职的不满员工，可以通过定期转变口令和删除系统记录以削减这类风险。但还有心怀不满的在职员工，这些员工比已经离开的员工能造成更大的损失，例如他们可以传出至关重要的信息、泄露平安重要信息、错误地进入数据库、删除数据等等。3.11网络的攻击手段一般认为，目前对网络的攻击手段主要表现在：非授权访问：没有预先经过同意，就使用网络或计算机资源被看作非授权访问，如有意避开系统访问把握机制，对网络设备及资源进行非正常使用，或擅自扩大权限，越权访问信息。它主要有以下几种形式：假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。信息泄漏或丢失：指敏感数据在有意或无意中被泄漏出去或丢失，它通常包括，信息在传输中丢失或泄漏（如"黑客"们利用电磁泄漏或搭线窃听等方式可截获机密信息，或通过对信息流向、流量、通信频度和长度等参数的分析，推出有用信息，如用户口令、帐号等重要信息。），信息在存储介质中丢失或泄漏，通过建立隐蔽隧道等窃取敏感信息等。破坏数据完整性：以非法手段窃得对数据的使用权，删除、修改、插入或重发某些重要信息，以取得有益于攻击者的响应；恶意添加，修改数据，以干扰用户的正常使用。拒绝服务攻击：它不断对网络服务系统进行干扰，转变其正常的作业流程，执行无关程序使系统响应减慢甚至瘫痪，影响正常用户的使用，甚至使合法用户被排斥而不能进入计算机网络系统或不能得到相应的服务。利用网络传播病毒：通过网络传播计算机病毒，其破坏性大大高于单机系统，而且用户很难防范。第四章平安需求与平安目标4.1平安需求分析通过前面我们对这个企业局域网络结构、应用及平安威逼分析，可以看出其平安问题主要集中在对服务器的平安爱护、防黑客和病毒、重要网段的爱护以及管理平安上。因此，我们必需实行相应的平安措施杜绝平安隐患，其中应当做到：公开服务器的平安爱护防止黑客从外部攻击入侵检测与监控信息审计与记录病毒防护数据平安爱护数据备份与恢复网络的平安管理针对这个企业局域网络系统的实际状况，在系统考虑如何解决上述平安问题的设计时应满足如下要求：1.大幅度地提高系统的平安性（重点是可用性和可控性）；2.保持网络原有的能特点，即对网络的 协议 离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载 和传输具有很好的透亮     性，能透亮     接入，无需更改网络设置；3.易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；4.尽量不影响原网络拓扑结构，同时便于系统及系统功能的扩展；5.平安保密系统具有较好的性能价格比，一次性投资，可以长期使用；6.平安产品具有合法性，及经过国家有关管理部门的认可或认证；7.分布实施。4.2网络平安策略平安策略是指在一个特定的环境里，为保证供应肯定级别的平安爱护所必需遵守的规章。该平安策略模型包括了建立平安环境的三个重要组成部分，即：威猛的法律：平安的基石是社会法律、法规、与手段，这部分用于建立一套平安管理 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 和方法。即通过建立与信息平安相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。先进的技术：先进的平安技术是信息平安的根本保障，用户对自身面临的威逼进行风险评估，打算其需要的平安服务种类，选择相应的平安机制，然后集成先进的平安技术。严格的管理：各网络使用机构、企业和单位应建立适宜的信息平安管理方法，加强内部管理，建立审计和跟踪体系，提高整体信息平安意识。4.3系统平安目标基于以上的分析，我们认为这个局域网网络系统平安应当实现以下目标：建立一套完整可行的网络平安与网络管理策略将内部网络、公开服务器网络和外网进行有效隔离，避开与外部网络的直接通信建立网站各主机和服务器的平安爱护措施，保证他们的系统平安对网上服务恳求内容进行把握，使非法访问在到达主机前被拒绝加强合法用户的访问认证，同时将用户的访问权限把握在最低限度全面监视对公开服务器的访问，准时发觉和拒绝担忧全的操作和黑客攻击行为加强对各种访问的审计工作，具体记录对网络、公开服务器的访问行为，形成完整的系统日志备份与灾难恢复——强化系统备份，实现系统快速恢复加强网络平安管理，提高系统全体人员的网络平安意识和防范技术第五章网络平安方案总体设计5.1平安方案设计原则在对这个企业局域网网络系统平安方案设计、规划时，应遵循以下原则：综合性、整体性原则：应用系统工程的观点、方法，分析网络的平安及具体措施。平安措施主要包括：行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）以及专业措施（识别技术、存取把握、密码、低辐射、容错、防病毒、接受高平安产品等）。一个较好的平安措施往往是多种方法适当综合的应用结果。一个计算机网络，包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用，也只有从系统综合整体的角度去看待、分析，才能取得有效、可行的措施。即计算机网络平安应遵循整体平安性原则，依据规定的平安策略制定出合理的网络平安体系结构。需求、风险、代价平衡的原则：对任一网络，确定平安难以达到，也不肯定是必要的。对一个网络进行实际额争辩（包括任务、性能、结构、牢靠性、可维护性等），并对网络面临的威逼及可能担当的风险进行定性与定量相结合的分析，然后制定规范和措施，确定本系统的平安策略。全都性原则：全都性原则主要是指网络平安问题应与整个网络的工作周期（或生命周期）同时存在，制定的平安体系结构必需与网络的平安需求相全都。平安的网络系统设计（包括初步或具体设计）及实施方案、网络验证、验收、运行等，都要有平安的内容光焕发及措施，实际上，在网络建设的开头就考虑网络平安对策，比在网络建设好后再考虑平安措施，不但简洁，且花费也小得多。易操作性原则：平安措施需要人为去完成，假如措施过于简单，对人的要求过高，本身就降低了平安性。其次，措施的接受不能影响系统的正常运行。分步实施原则：由于网络系统及其应用扩展范围宽敞，随着网络规模的扩大及应用的增加，网络脆弱性也会不断增加。一劳永逸地解决网络平安问题是不现实的。同时由于实施信息平安措施需相当的费用支出。因此分步实施，即可满足网络系统及信息平安的基本需求，亦可节省费用开支。多重爱护原则：任何平安措施都不是确定平安的，都可能被攻破。但是建立一个多重爱护系统，各层爱护相互补充，当一层爱护被攻破时，其它层爱护仍可爱护信息的平安。可评价性原则：如何预先评价一个平安设计并验证其网络的平安性，这需要通过国家有关网络信息平安测评认证机构的评估来实现。5.2平安服务、机制与技术平安服务：平安服务主要有：把握服务、对象认证服务、牢靠性服务等；平安机制：访问把握机制、认证机制等；平安技术：防火墙技术、鉴别技术、审计监控技术、病毒防治技术等；在平安的开放环境中，用户可以使用各种平安应用。平安应用由一些平安服务来实现；而平安服务又是由各种平安机制或平安技术来实现的。应当指出，同一平安机制有时也可以用于实现不同的平安服务。第六章网络平安体系结构通过对网络的全面了解，依据平安策略的要求、风险分析的结果及整个网络的平安目标，整个网络措施应按系统体系建立。具体的平安把握系统由以下几个方面组成：物理平安、网络平安、系统平安、信息平安、应用平安和平安管理6.1物理平安保证计算机信息系统各种设备的物理平安是整个计算机信息系统平安的前提，物理平安是爱护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境平安：对系统所在环境的平安爱护，如区域爱护和灾难爱护；（参见国家标准GB50173－93《电子计算机机房设计规范》、国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地平安要求》设备平安：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源爱护等；媒体平安：包括媒体数据的平安及媒体本身的平安。在网络的平安方面，主要考虑两个大的层次，一是整个网络结构成熟化，主要是优化网络结构，二是整个网络系统的平安。6.2.1网络结构平安系统是建立在网络系统之上的，网络结构的平安是平安系统成功建立的基础。在整个网络结构的平安方面，主要考虑网络结构、系统和路由的优化。网络结构的建立要考虑环境、设备配置与应用状况、远程联网方式、通信量的估算、网络维护管理、网络应用与业务定位等因素。成熟的网络结构应具有开放性、标准化、牢靠性、先进性和有用性，并且应当有结构化的设计，充分利用现有资源，具有运营管理的简便性，完善的平安保障体系。网络结构接受分层的体系结构，利于维护管理，利于更高的平安把握和业务进展。网络结构的优化，在网络拓扑上主要考虑到冗余链路；防火墙的设置和入侵检测的实时监控等。6.2.2网络系统平安6.2.2.1访问把握及内外网的隔离访问把握访问把握可以通过如下几个方面来实现：1.制订严格的管理制度:可制定的相应：《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》。2.配备相应的平安设备：在内部网与外部网之间，设置防火墙实现内外网的隔离与访问把握是爱护内部网平安的最主要、同时也是最有效、最经济的措施之一。防火墙设置在不同网络或网络平安域之间信息的唯一出入口。防火墙主要的种类是包过滤型，包过滤防火墙一般利用IP和TCP包的头信息对进出被爱护网络的IP包信息进行过滤，能依据企业的平安政策来把握（允许、拒绝、监测）出入网络的信息流。同时可实现网络地址转换（NAT）、审记与实时告警等功能。由于这种防火墙安装在被爱护网络与路由器之间的通道上，因此也对被爱护网络和外部网络起到隔离作用。防火墙具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。6.2.2.2内部网不同网络平安域的隔离及访问把握在这里，主要利用VLAN技术来实现对内部子网的物理隔离。通过在交换机上划分VLAN可以将整个网络划分为几个不同的广播域，实现内部一个网段与另一个网段的物理隔离。这样，就能防止影响一个网段的问题穿过整个网络传播。针对某些网络，在某些状况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。通过将信任网段与不信任网段划分在不同的VLAN段内，就可以限制局部网络平安问题对全局网络造成的影响。6.2.2.3网络平安检测网络系统的平安性取决于网络系统中最薄弱的环节。如何准时发觉网络系统中最薄弱的环节？如何最大限度地保证网络系统的平安？最有效的方法是定期对网络系统进行平安性分析，准时发觉并修正存在的弱点和漏洞。网络平安检测工具通常是一个网络平安性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，建议补救措施和平安策略，达到增加网络平安性的目的。检测工具应具备以下功能：具备网络监控、分析和自动响应功能找出经常发生问题的根源所在；建立必要的循环过程确保隐患时刻被订正；把握各种网络平安危急。漏洞分析和响应配置分析和响应漏洞形势分析和响应认证和趋势分析具体体现在以下方面：防火墙得到合理配置内外WEB站点的平安漏洞减为最低网络体系达到强壮的耐攻击性各种服务器操作系统，如E_MIAL服务器、WEB服务器、应用服务器、，将受黑客攻击的可能降为最低对网络访问做出有效响应，爱护重要应用系统（如财务系统）数据平安不受黑客攻击和内部人员误操作的侵害6.2.2.4审计与监控审计是记录用户使用计算机网络系统进行全部活动的过程，它是提高平安性的重要工具。它不仅能够识别谁访问了系统，还能看出系统正被怎样地使用。对于确定是否有网络攻击的状况，审计信息对于去定问题和攻击源很重要。同时，系统大事的记录能够更快速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对平安大事的不断收集与积累并且加以分析，有选择性地对其中的某些站点或用户进行审计跟踪，以便对发觉或可能产生的破坏性行为供应有力的证据。因此，除使用一般的网管软件和系统监控管理系统外，还应使用目前较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。6.2.2.5网络防病毒由于在网络环境下，计算机病毒有不行估量的威逼性和破坏力，一次计算机病毒的防范是网络平安性建设中重要的一环。网络反病毒技术包括预防病毒、检测病毒和消毒三种技术：1.预防病毒技术：它通过自身常驻系统内存，优先获得系统的把握权，监视和推断系统中是否有病毒存在，进而阻挡计算机病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区爱护、系统监控与读写把握（如防病毒软件等）。2.检测病毒技术：它是通过对计算机病毒的特征来进行推断的技术，如自身校验、关键字、文件长度的变化等。3.清除病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络名目及文件设置访问权限等。所选的防毒软件应当构造全网统一的防病毒体系。主要面对MAIL、Web服务器，以及办公网段的PC服务器和PC机等。支持对网络、服务器、和工作站的实时病毒监控；能够在中心把握台向多个目标分发新版杀毒软件，并监视多个目标的病毒防治状况；支持多种平台的病毒防范；能够识别广泛的已知和未知病毒，包括宏病毒；支持对Internet/Intranet服务器的病毒防治，能够阻挡恶意的Java或ActiveX小程序的破坏；支持对电子邮件附件的病毒防治，包括WORD、EXCEL中的宏病毒；支持对压缩文件的病毒检测；支持广泛的病毒处理选项，如对染毒文件进行实时杀毒，移出，重新命名等；支持病毒隔离，当客户机试图上载一个染毒文件时，服务器可自动关闭对该工作站的连接；供应对病毒特征信息和检测引擎的定期在线更新服务；支持日志记录功能；支持多种方式的告警功能（声音、图像、电子邮件等）等。6.2.2.6网络备份系统备份系统为一个目的而存在：尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。依据系统平安需求可选择的备份机制有：场点内高速度、大容量自动的数据存储、备份与恢复；场点外的数据存储、备份与恢复；对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到爱护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到爱护作用，同时亦是系统灾难恢复的前提之一。在确定备份的指导思想和备份方案之后，就要选择平安的存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。热备份是指“在线”的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。“冷备份”是指“不在线”的备份，下载的备份存放到平安的存储媒介中，而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大，但调用快，使用便利，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开拓一块非工作运行空间，特地存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的传输，同样具有速度快和调用便利的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，由于冷备份在回避风险中还具有便于保管的特殊优点。6.3系统平安系统的平安主要是指操作系统、应用系统的平安性以及网络硬件平台的牢靠性。对于操作系统的平安防范可以实行如下策略：对操作系统进行平安配置，提高系统的平安性；系统内部调用不对Internet公开；关键性信息不直接公开，尽可能接受平安性高的操作系统。应用系统在开发时，接受规范化的开发过程，尽可能的削减应用系统的漏洞；网络上的服务器和网络设备尽可能不实行同一家的产品；通过专业的平安工具（平安检测系统）定期对网络进行平安评估。6.4信息平安在这个企业的局域网内，信息主要在内部传递，因此信息被窃听、篡改的可能性很小，是比较平安的。6.5应用平安在应用平安上，主要考虑通信的授权，传输的加密和审计记录。这必需加强登录过程的认证（特殊使在到达服务器主机之前的认证），确保用户的合法性；其次应当严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。另外，在加强主机的管理上，除了上面谈的访问把握和系统漏洞检测外，还可以接受访问存取把握，对权限进行分割和管理。应用平安平台要加强资源名目管理和授权管理、传输加密、审计记录和平安管理。对应用平安，主要考虑确定不同服务的应用软件并紧密凝视其Bug；对扫描软件不断升级。6.6平安管理为了爱护网络的平安性，除了在网络设计上增加平安服务功能，完善系统的平安保密措施外，平安管理规范也是网络平安所必需的。平安管理策略一方面从纯粹的管理上即平安管理规范来实现，另一方面从技术上建立高效的管理平台（包括网络管理和平安管理）。平安管理策略主要有：定义完善的平安管理模型；建立长远的并且可实施的平安策略；彻底贯彻规范的平安防范措施；建立恰当的平安评估尺度，并且进行经常性的规章审核。当然，还需要建立高效的管理平台。6.6.1平安管理规范面对网络平安的脆弱性，除了在网络设计上增加平安服务功能，完善系统的平安保密措施外，还必需花大力气加强网络平安管理规范的建立，由于诸多的担忧全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络平安所必需考虑的基本问题，所以应引起各计算机网络应用部门领导的重视。1.平安管理原则网络信息系统的平安管理主要基于三个原则。多人负责原则：每一项与平安有关的活动，都必需有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚牢靠，能胜任此项工作；他们应当签署工作状况记录以证明平安工作已得到保障。具体的活动有：访问把握使用证件的发放与回收；信息处理系统使用的媒介发放与回收；处理保密信息；硬件和软件的维护；系统软件的设计、实现和修改；重要程序和数据的删除和销毁等；任期有限原则：一般地讲，任何人最好不要长期担当与平安有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮番培训，以使任期有限制度切实可行。职责分别原则：在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与平安有关的事情，除非系统主管领导批准。出于对平安的考虑，下面每组内的两项信息处理工作应当分开。计算机操作与计算机编程；机密资料的接收和传送；平安管理和系统管理；应用程序和系统程序的编制；访问证件的管理与其它工作；计算机操作与信息处理系统使用媒介的保管等。2.平安管理的实现信息系统的平安管理部门应依据管理原则和该系统处理数据的保密性，制定相应的管理制度或接受相应的规范。具体工作是：依据工作的重要程度，确定该系统的平安等级依据确定的平安等级，确定平安管理的范围制订相应的机房出入管理制度对于平安等级要求较高的系统，要实行分区把握，限制工作人员出入与己无关的区域。出入管理可接受证件识别或安装自动识别登记系统，接受磁卡、身份卡等手段，对人员进行识别、登记管理。制订严格的操作规程操作规程要依据职责分别和多人负责的原则，各负其责，不能超越自己的管辖范围。制订完备的系统维护制度对系统进行维护时，应实行数据爱护措施，如数据备份等。维护时要首先经主管部门批准，并有平安管理人员在场，故障的缘由、维护内容和维护前后的状况要具体记录。制订应急措施要制定系统在紧急状况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作调动和离职人员要准时调整响应的授权。6.6.2网络管理管理员可以在管理机器上对整个内部网络上的网络设备、平安设备、网络上的防病毒软件、入侵检测探测器进行综合管理，同时利用平安分析软件可以从不同角度对全部的设备、服务器、工作站进行平安扫描，分析他们的平安漏洞，并实行相应的措施。6.6.3平安管理平安管理的主要功能指对平安设备的管理；监视网络危急状况，对危急进行隔离，并把危急把握在最小范围内；身份认证，权限设置；对资源的存取权限的管理；对资源或用户动态的或静态的审计；对违规大事，自动生成报警或生成大事消息；口令管理（如操作员的口令鉴权），对无权操作人员进行把握；密钥管理：对于与密钥相关的服务器，应对其设置密钥生命期、密钥备份等管理功能；冗余备份：为增加网络的平安系数，对于关键的服务器应冗余备份。平安管理应当从管理制度和管理平台技术实现两个方面来实现。平安管理产品尽可能的支持统一的中心把握平台。第七章平安解决配置方案以下省略主要涉及到一些东西，这篇文章的目的教你怎样去设计一个平安解决方案，所以具体的平安解决配置，我就不在叙述了，具体的思路已经写出来了，剩下的配置就要依据实际状况去做了。:)假如有什么不对的地方，请多指教，感谢！