計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)--構(gòu)建企業(yè)級(jí)網(wǎng)絡(luò)方案

1、<p><b>　　計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì)</b></p><p><b>　　設(shè)計(jì)說(shuō)明書(shū)</b></p><p><b>　　管理系</b></p><p>　　2010 年 6 月 30日</p><p>　題目：構(gòu)建企業(yè)級(jí)網(wǎng)絡(luò)方案</p><p&

2、gt;<b>　　課程設(shè)計(jì)任務(wù)書(shū)</b></p><p>　　2009—2010學(xué)年第二學(xué)期</p><p>　　課程設(shè)計(jì)名稱(chēng)： 計(jì)算機(jī)網(wǎng)絡(luò)課程設(shè)計(jì) </p><p>　　設(shè)計(jì)題目： 構(gòu)建企業(yè)級(jí)網(wǎng)絡(luò)方案 </p

3、><p>　　完成期限：自 2010 年 6 月 23 日至 2010 年 6 月 30 日共 1 周</p><p>　　設(shè)計(jì)依據(jù)、要求及主要內(nèi)容（可另加附頁(yè)）：</p><p>　　通過(guò)本課程設(shè)計(jì)，使學(xué)生可以了解計(jì)算機(jī)網(wǎng)絡(luò)工程設(shè)計(jì)的一般任務(wù)，明確計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)與建設(shè)的基本原則，熟悉計(jì)算機(jī)網(wǎng)絡(luò)需求分析的目標(biāo)、任務(wù)和方法，

4、掌握計(jì)算機(jī)網(wǎng)絡(luò)設(shè)計(jì)的通用方法，并能學(xué)會(huì)撰寫(xiě)規(guī)范的計(jì)算機(jī)網(wǎng)絡(luò)方案書(shū)。培養(yǎng)學(xué)生綜合利用所學(xué)的理論知識(shí)分析解決實(shí)際問(wèn)題的能力、利用和查閱資料的能力、獨(dú)立工作的能力以及計(jì)算機(jī)應(yīng)用能力。</p><p>　　選擇一家中小規(guī)模的企事業(yè)單位（也可以是某學(xué)校的校園網(wǎng)），該單位在近期具有組網(wǎng)或升級(jí)網(wǎng)絡(luò)的需求。然后通過(guò)實(shí)地調(diào)查、現(xiàn)場(chǎng)訪(fǎng)談、書(shū)面調(diào)查等形式了解企業(yè)的組織結(jié)構(gòu)、網(wǎng)絡(luò)建設(shè)的背景，明確網(wǎng)絡(luò)需求和網(wǎng)絡(luò)性能的評(píng)價(jià)標(biāo)準(zhǔn)。具體地，包括

5、網(wǎng)絡(luò)建設(shè)的目的與原則、投資規(guī)模、現(xiàn)有網(wǎng)絡(luò)的問(wèn)題與不足等；網(wǎng)絡(luò)系統(tǒng)中所包含的信息點(diǎn)的數(shù)量分布及信息流量、應(yīng)用程序的類(lèi)型、是否需要提供廣域網(wǎng)的接入和網(wǎng)絡(luò)安全上的考慮因素等。</p><p>　　根據(jù)需求分析，要求以層次化的網(wǎng)絡(luò)設(shè)計(jì)方法，選擇合適的網(wǎng)絡(luò)技術(shù)，設(shè)計(jì)一個(gè)性能價(jià)格比相對(duì)優(yōu)化的網(wǎng)絡(luò)解決方案，該網(wǎng)絡(luò)要提供盡可能高的先進(jìn)性、可靠性、有效性、可擴(kuò)展性和可管理性。</p><p>　　指導(dǎo)教師（

6、簽字）： 教研室主任（簽字）： </p><p>　　批準(zhǔn)日期： 年 月 日</p><p><b>　　目 錄</b></p><p>　　第一章 企業(yè)內(nèi)網(wǎng)現(xiàn)狀描述4</p><p>　　第二章 企業(yè)內(nèi)網(wǎng)安全需求分析4</p&g

7、t;<p>　　第三章 企業(yè)內(nèi)網(wǎng)安全方案設(shè)計(jì)原則5</p><p>　　3.1安全體系結(jié)構(gòu)5</p><p>　　3.2安全方案設(shè)計(jì)原則6</p><p>　　3.2.1需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則6</p><p>　　3.2.2 綜合性、整體性原則6</p><p>　　3.2.3一致性原則

8、6</p><p>　　3.2.4 易操作性原則6</p><p>　　3.2.5 適應(yīng)性、靈活性及多重保護(hù)原則6</p><p>　　第四章 內(nèi)網(wǎng)安全技術(shù)實(shí)現(xiàn)方案7</p><p><b>　　4.1物理安全7</b></p><p><b>　　4.2網(wǎng)絡(luò)安全8</b

9、></p><p>　　4.2.1 網(wǎng)絡(luò)結(jié)構(gòu)安全8</p><p>　　4.2.2訪(fǎng)問(wèn)控制9</p><p>　　4.2.3入侵檢測(cè)12</p><p>　　4.2.4病毒防護(hù)12</p><p>　　4.2.5數(shù)據(jù)備份與恢復(fù)12</p><p>　　4.3安全管理13<

10、/p><p>　　4.3.1.安全管理原則13</p><p>　　4.3.2.安全管理的實(shí)現(xiàn)14 </p><p>　　第五章 安全設(shè)備配置15</p><p>　　5.1企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D15</p><p>　　5.2企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備配置列表16</p><p><b&

11、gt;　　總結(jié)16</b></p><p><b>　　參考文獻(xiàn)17</b></p><p>　　第一章 企業(yè)內(nèi)網(wǎng)現(xiàn)狀描述</p><p>　　企業(yè)內(nèi)網(wǎng)由于網(wǎng)絡(luò)建設(shè)時(shí)間比較早，網(wǎng)絡(luò)設(shè)備比較老，很多現(xiàn)在先進(jìn)的網(wǎng)絡(luò)技術(shù)支持的不是很好，導(dǎo)致了結(jié)構(gòu)的劃分上不是很清晰，但大致可以分為六個(gè)組成部分，即；核心骨干區(qū)、內(nèi)網(wǎng)用戶(hù)區(qū)、數(shù)據(jù)庫(kù)服務(wù)器區(qū)

12、、應(yīng)用服務(wù)器區(qū)、WEB服務(wù)器區(qū)和軟件服務(wù)器區(qū)。核心骨干區(qū)由兩臺(tái)IBM8265三層交換機(jī)組成，其中一臺(tái)通過(guò)千兆光纖下聯(lián)到各種樓層交換機(jī)，形成了內(nèi)網(wǎng)用戶(hù)區(qū)；另外一臺(tái)通過(guò)155M光纖下聯(lián)到2810交換機(jī)，2810交換機(jī)通過(guò)100M以太接口與各類(lèi)軟件服務(wù)器相聯(lián)形成了軟件服務(wù)器區(qū)；2810交換機(jī)通過(guò)一條100M以太線(xiàn)路連接到Catalyst3550交換機(jī)，Catalyst3550通過(guò)100M以太接口與各類(lèi)WEB服務(wù)器相聯(lián)形成了WEB服務(wù)器區(qū)；IB

13、M8265通過(guò)一條100M以太線(xiàn)路連接到Catalyst3548交換機(jī)，Catalyst3548通過(guò)100M以太接口連接各類(lèi)數(shù)據(jù)庫(kù)服務(wù)器，形成了數(shù)據(jù)庫(kù)服務(wù)器區(qū)；另外IBM8265通過(guò)100M以太接口直接連接各類(lèi)應(yīng)用服務(wù)器，形成了應(yīng)用服務(wù)器區(qū)。所有的內(nèi)部數(shù)據(jù)都在核心層進(jìn)行快速的交換/路由，以保證整個(gè)企業(yè)內(nèi)網(wǎng)高效、快捷、安全的運(yùn)轉(zhuǎn)。</p><p>　　第二章 企業(yè)內(nèi)網(wǎng)安全需求分析</p><p&

14、gt;　　企業(yè)內(nèi)網(wǎng)為企業(yè)內(nèi)網(wǎng)系統(tǒng)業(yè)務(wù)的開(kāi)展帶來(lái)了極大的方便?但隨著網(wǎng)絡(luò)應(yīng)用的擴(kuò)大和網(wǎng)絡(luò)設(shè)備的老化，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)也變得更加嚴(yán)重和復(fù)雜，原來(lái)運(yùn)轉(zhuǎn)正常的網(wǎng)絡(luò)現(xiàn)在經(jīng)常發(fā)生網(wǎng)絡(luò)故障，嚴(yán)重影響了內(nèi)部業(yè)務(wù)的開(kāi)展?原來(lái)由單個(gè)計(jì)算機(jī)安全事故引起的損害可能傳播到其它系統(tǒng)和主機(jī)，引起大范圍的癱瘓和損失；另外，加上一些人缺乏安全控制機(jī)制和對(duì)網(wǎng)絡(luò)安全政策及防護(hù)意識(shí)的認(rèn)識(shí)不足，這些風(fēng)險(xiǎn)可謂日益加重?這些風(fēng)險(xiǎn)由多種因素引起，與網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)和系統(tǒng)的應(yīng)用等因素密切相關(guān)?

15、</p><p>　　在目前的網(wǎng)絡(luò)中已經(jīng)部署了一些安全產(chǎn)品，例如防病毒軟件、防火墻系統(tǒng)等?原來(lái)清華德實(shí)公司的四臺(tái)防火墻設(shè)備，在訪(fǎng)問(wèn)控制方面已經(jīng)有了基本的防護(hù)功能，但設(shè)備的部署不是很合理，沒(méi)有充分發(fā)揮防火墻的訪(fǎng)問(wèn)控制功能，只有小部分服務(wù)器得到了防火墻的保護(hù)，大部分服務(wù)器沒(méi)有任何防護(hù)措施，完全暴露在公開(kāi)網(wǎng)絡(luò)中，其安全度可想而知?我們根據(jù)業(yè)務(wù)的需求重新劃分了新的網(wǎng)絡(luò)安全域，在核心交換機(jī)和數(shù)據(jù)庫(kù)安全域之間沒(méi)有任何的安全防

16、護(hù)，而這些數(shù)據(jù)又是網(wǎng)絡(luò)中的核心，一旦數(shù)據(jù)發(fā)生問(wèn)題這個(gè)的業(yè)務(wù)都會(huì)受到影響，所以保護(hù)這些數(shù)據(jù)的安全是重中之重?因此為了保證企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)的安全、穩(wěn)定、高效的運(yùn)轉(zhuǎn)，有必要對(duì)其網(wǎng)絡(luò)安全進(jìn)行專(zhuān)門(mén)設(shè)計(jì)?</p><p>　　第三章 企業(yè)內(nèi)網(wǎng)安全方案設(shè)計(jì)原則</p><p><b>　　3.1安全體系結(jié)構(gòu)</b></p><p>　　網(wǎng)絡(luò)安全的總體設(shè)計(jì)思想

17、是圍繞MPDR2模型的，要實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全，就要從保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)及管理五個(gè)方面對(duì)縱向網(wǎng)信息系統(tǒng)建立一套全方位的信息保障體系。</p><p>　　P(Protection)：防護(hù) D(Detection)：掃描、檢測(cè) R(Response)：回應(yīng)</p><p>　　R(Recovery)：恢復(fù)/備份 M(Management)：管理</p>

18、<p>　　保護(hù)；安全保護(hù)技術(shù)包括訪(fǎng)問(wèn)控制技術(shù)、身份認(rèn)證技術(shù)、加密技術(shù)、數(shù)字簽名技術(shù)、系統(tǒng)備份等?信息系統(tǒng)的保護(hù)是安全策略的核心內(nèi)容?</p><p>　　檢測(cè)；檢測(cè)的含義是對(duì)信息傳輸內(nèi)容的可控性的檢測(cè)，包括對(duì)信息平臺(tái)訪(fǎng)問(wèn)過(guò)程的檢測(cè)，對(duì)違規(guī)與惡意攻擊的檢測(cè)，對(duì)系統(tǒng)與網(wǎng)絡(luò)弱點(diǎn)與漏洞的檢測(cè)等等?檢測(cè)使信息安全環(huán)境從單純的被動(dòng)防護(hù)演進(jìn)到積極防御，從概念化安全對(duì)策演變到在對(duì)整體安全狀態(tài)認(rèn)知基礎(chǔ)上的有針對(duì)性的對(duì)

19、策，并為進(jìn)行及時(shí)有效的安全響應(yīng)以及更加精確的安全評(píng)估奠定了基礎(chǔ)?</p><p>　　回應(yīng)；響應(yīng)是保證在任何時(shí)候信息平臺(tái)能高效正常運(yùn)行，要求安全體系提供有力的響應(yīng)機(jī)制?包括在遇到攻擊和緊急事件時(shí)及時(shí)采取措施，例如關(guān)閉受到攻擊的服務(wù)器；反擊進(jìn)行攻擊的網(wǎng)站；按系統(tǒng)的安全狀況加強(qiáng)和調(diào)整安全措施等等?</p><p>　　恢復(fù)；狹義的恢復(fù)指災(zāi)難恢復(fù)，在系統(tǒng)受到攻擊的時(shí)候，評(píng)估系統(tǒng)受到的危害與損失，

20、按緊急響應(yīng)預(yù)案進(jìn)行數(shù)據(jù)與系統(tǒng)恢復(fù)，啟動(dòng)備份系統(tǒng)恢復(fù)工作等?廣義的恢復(fù)還包括災(zāi)難生存等現(xiàn)代新興學(xué)科的研究?保證信息系統(tǒng)在惡劣的條件下，甚至在遭到惡意攻擊的條件下，仍能有效地發(fā)揮效能?</p><p>　　管理；管理是實(shí)現(xiàn)整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的重要保證，有了安全網(wǎng)絡(luò)環(huán)境，但缺乏有效的安全管理，安全就很難得以維持，只有建立嚴(yán)格安全管理制并強(qiáng)制執(zhí)行，才能適應(yīng)網(wǎng)絡(luò)安全的動(dòng)態(tài)性和整體性?</p><p>

21、　　網(wǎng)絡(luò)安全是一個(gè)整體目標(biāo)?如果全面的保護(hù)仍然不能確保安全，就需要檢測(cè)來(lái)為響應(yīng)創(chuàng)造條件；有效與充分地響應(yīng)安全事件?將大大減少對(duì)保護(hù)和恢復(fù)的依賴(lài)；恢復(fù)能力是在其它措施均失效的情形下的最后保障機(jī)制?因此，要在網(wǎng)絡(luò)上構(gòu)筑有效的安全保障體系，必須投入必要的資源，全面加強(qiáng)五個(gè)方面的技術(shù)與管理，實(shí)現(xiàn)整體網(wǎng)絡(luò)的安全目標(biāo)?</p><p>　　3.2安全方案設(shè)計(jì)原則</p><p>　　在對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行網(wǎng)

22、絡(luò)系統(tǒng)安全方案的設(shè)計(jì)和規(guī)劃時(shí)，我們遵循以下原則：</p><p>　　3.2.1需求、風(fēng)險(xiǎn)、代價(jià)平衡的原則</p><p>　　對(duì)任何一個(gè)網(wǎng)絡(luò)，絕對(duì)安全難以達(dá)到，也不一定是必要的?對(duì)一個(gè)網(wǎng)絡(luò)要進(jìn)行實(shí)際的研究(包括任務(wù)、性能、結(jié)構(gòu)、可靠性、可維護(hù)性等)，并對(duì)網(wǎng)絡(luò)面臨的威脅及可能承擔(dān)的風(fēng)險(xiǎn)進(jìn)行定性與定量相結(jié)合的分析，然后制定相應(yīng)的規(guī)范和措施，確定系統(tǒng)的安全策略?</p><

23、p>　　3.2.2 綜合性、整體性原則</p><p>　　應(yīng)運(yùn)用系統(tǒng)工程的觀(guān)點(diǎn)、方法，分析網(wǎng)絡(luò)的安全及具體措施?安全措施主要包括；行政法律手段、各種管理制度(人員審查、工作流程、維護(hù)保障制度等)以及專(zhuān)業(yè)技術(shù)措施(訪(fǎng)問(wèn)控制、加密技術(shù)、認(rèn)證技術(shù)、攻擊檢測(cè)技術(shù)、容錯(cuò)、防病毒等)?一個(gè)較好的安全措施往往是多種方法適當(dāng)綜合的應(yīng)用結(jié)果?</p><p>　　3.2.3一致性原則</p&g

24、t;<p>　　一致性原則主要是指網(wǎng)絡(luò)安全問(wèn)題應(yīng)與整個(gè)網(wǎng)絡(luò)的工作周期(或生命周期)同時(shí)存在，制定的安全體系結(jié)構(gòu)必須與網(wǎng)絡(luò)的安全需求相一致?安全的網(wǎng)絡(luò)系統(tǒng)設(shè)計(jì)(包括初步或詳細(xì)設(shè)計(jì))及實(shí)施計(jì)劃、網(wǎng)絡(luò)驗(yàn)證、驗(yàn)收、運(yùn)行等，都要有詳實(shí)的內(nèi)容及措施?實(shí)際上，在網(wǎng)絡(luò)建設(shè)的開(kāi)始就考慮網(wǎng)絡(luò)安全對(duì)策，比在網(wǎng)絡(luò)建設(shè)完成后再考慮安全措施，不但容易，而且花費(fèi)也少很多?</p><p>　　3.2.4 易操作性原則</p

25、><p>　　安全措施需要人去完成，如果措施過(guò)于復(fù)雜，對(duì)人的要求過(guò)高，本身就降低了安全性；其次，措施的采用不能影響系統(tǒng)的正常運(yùn)行?</p><p>　　3.2.5 適應(yīng)性、靈活性及多重保護(hù)原則</p><p>　　安全措施必須能隨著網(wǎng)絡(luò)性能及安全需求的變化而變化，要容易適應(yīng)、容易修改和升級(jí)。</p><p>　　任何安全措施都不是絕對(duì)安全的，都可

26、能被攻破?但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全?</p><p>　　網(wǎng)絡(luò)安全是整體的、動(dòng)態(tài)的?網(wǎng)絡(luò)安全的整體性是指一個(gè)安全系統(tǒng)的建立，即包括采用相應(yīng)的安全設(shè)備，又包括相應(yīng)的管理手段?安全設(shè)備不是指單一的某種安全設(shè)備，而是指幾種安全設(shè)備的綜合?網(wǎng)絡(luò)安全的動(dòng)態(tài)性是指，網(wǎng)絡(luò)安全是隨著環(huán)境、時(shí)間的變化而變化的，在一定環(huán)境下是安全的系統(tǒng)，環(huán)境發(fā)生變化了(如更換了某個(gè)

27、機(jī)器)，原來(lái)安全的系統(tǒng)就變的不安全了；在一段時(shí)間里安全的系統(tǒng)，時(shí)間發(fā)生變化了(如今天是安全的系統(tǒng)，可能因?yàn)楹诳桶l(fā)現(xiàn)了某種系統(tǒng)的漏洞，明天就會(huì)變的不安全了)，原來(lái)的系統(tǒng)就會(huì)變的不安全?所以，網(wǎng)絡(luò)安全不是一勞永逸的事情?</p><p>　　對(duì)于企業(yè)內(nèi)網(wǎng)的網(wǎng)絡(luò)建設(shè)，我們的方案采取以上的原則，先對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行整體的安全規(guī)劃，然后，根據(jù)實(shí)際狀況建立一個(gè)從防護(hù)—檢測(cè)—響應(yīng)的基礎(chǔ)的安全防護(hù)體系，保證整個(gè)網(wǎng)絡(luò)安全的最根本需要?

28、</p><p>　　第四章 內(nèi)網(wǎng)安全技術(shù)實(shí)現(xiàn)方案</p><p>　　通過(guò)對(duì)企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)應(yīng)用的全面了解，根據(jù)企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)的實(shí)際情況，按照安全風(fēng)險(xiǎn)、需求分析的結(jié)果以及網(wǎng)絡(luò)的安全目標(biāo)，我們從物理安全、網(wǎng)絡(luò)安全、管理安全等幾個(gè)方面對(duì)現(xiàn)有的網(wǎng)絡(luò)進(jìn)行分析。</p><p><b>　　4.1物理安全</b></p><p>　　

29、保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。它主要包括三個(gè)方面：</p><p>　　環(huán)境安全：對(duì)系統(tǒng)所在環(huán)境的安全保護(hù)，如區(qū)域保護(hù)和災(zāi)難保護(hù)；（參見(jiàn)國(guó)家標(biāo)準(zhǔn)GB50173-93《電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范》、國(guó)標(biāo)GB2887-89《計(jì)算站場(chǎng)地技術(shù)條件》、

30、GB9361-88《計(jì)算站場(chǎng)地安全要求》）</p><p>　　設(shè)備安全；主要包括設(shè)備的防盜、防毀、防電磁信息輻射泄漏、防止線(xiàn)路截獲、抗電磁干擾及電源保護(hù)等；通過(guò)嚴(yán)格管理及提高員工的整體安全意識(shí)來(lái)實(shí)現(xiàn)?</p><p>　　媒體安全；包括媒體數(shù)據(jù)的安全及媒體本身的安全?</p><p>　　顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場(chǎng)地、環(huán)境等要求之外，還要

31、防止系統(tǒng)信息在空間的擴(kuò)散?計(jì)算機(jī)系統(tǒng)通過(guò)電磁輻射使信息被截獲而失密的案例已經(jīng)很多，在理論和技術(shù)支持下的驗(yàn)證工作也證實(shí)這種截取距離在幾百甚至可達(dá)千米的復(fù)原顯示給計(jì)算機(jī)系統(tǒng)信息的保密工作帶來(lái)了極大的危害?為了防止系統(tǒng)中的信息在空間上的擴(kuò)散，通常是在物理上探取一定的防護(hù)措施，來(lái)減少或干擾擴(kuò)散出去的空間信號(hào)?政府、軍隊(duì)、金融機(jī)構(gòu)在建設(shè)信息中心時(shí)都將成為首要設(shè)置的條件?</p><p>　　正常的防范措施主要在三個(gè)方面；

32、</p><p>　　1、對(duì)主機(jī)房及重要信息存儲(chǔ)、收發(fā)部門(mén)進(jìn)行屏蔽處理， 即建設(shè)一個(gè)具有高效屏蔽效能的屏蔽室，用它來(lái)安裝運(yùn)行主要設(shè)備，以防止磁鼓、磁帶與高輻射設(shè)備等的信號(hào)外泄。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線(xiàn)、電話(huà)線(xiàn)、空調(diào)、消防控制線(xiàn)，以及通風(fēng)、波導(dǎo)，門(mén)的關(guān)起等?</p><p>　　2、對(duì)本地網(wǎng)、局域網(wǎng)傳輸線(xiàn)路傳導(dǎo)輻射的抑制，由于

33、電纜傳輸輻射信息的不可避免性，現(xiàn)均采光纜傳輸?shù)姆绞?，大多?shù)均在Modem出來(lái)的設(shè)備用光電轉(zhuǎn)換接口，用光纜接出屏蔽室外進(jìn)行傳輸?</p><p>　　3、對(duì)終端設(shè)備輻射的防范，終端機(jī)尤其是CRT顯示器，由于上萬(wàn)伏高壓電子流的作用，輻射有極強(qiáng)的信號(hào)外泄，但又因終端分散使用不宜集中采用屏蔽室的辦法來(lái)防止，故現(xiàn)在的要求除在訂購(gòu)設(shè)備上盡量選取低輻射產(chǎn)品外，目前主要采取主動(dòng)式的干擾設(shè)備如干擾機(jī)來(lái)破壞對(duì)應(yīng)信息的竊取，個(gè)別重要的

34、首腦或集中的終端也可考慮采用有窗子的裝飾性屏蔽室，這種方法雖降低了部份屏蔽效能，但可大大改善工作環(huán)境，使人感到在普通機(jī)房?jī)?nèi)一樣工作?</p><p>　　本方案暫不考慮這方面的安全?</p><p><b>　　4.2網(wǎng)絡(luò)安全</b></p><p>　　網(wǎng)絡(luò)安全主要涉及網(wǎng)絡(luò)結(jié)構(gòu)的安全和網(wǎng)絡(luò)系統(tǒng)的安全?網(wǎng)絡(luò)結(jié)構(gòu)安全涉及網(wǎng)絡(luò)結(jié)構(gòu)的合理性和可擴(kuò)展性

35、，網(wǎng)絡(luò)系統(tǒng)的安全涉及到很多內(nèi)容，根據(jù)用戶(hù)的實(shí)際情況本方案中只涉及了訪(fǎng)問(wèn)控制、入侵檢測(cè)、病毒防護(hù)、數(shù)據(jù)的備份等，由于用戶(hù)網(wǎng)絡(luò)中已經(jīng)有了病毒防護(hù)和數(shù)據(jù)的備份防護(hù)措施，所以下面的描述只涉及到了訪(fǎng)問(wèn)控制和入侵檢測(cè)技術(shù)?</p><p>　　4.2.1 網(wǎng)絡(luò)結(jié)構(gòu)安全</p><p>　　在網(wǎng)絡(luò)結(jié)構(gòu)的安全方面，主要考慮優(yōu)化網(wǎng)絡(luò)結(jié)構(gòu)、路由的優(yōu)化和可擴(kuò)展性?</p><p>　　網(wǎng)

36、絡(luò)結(jié)構(gòu)的建立要考慮地域環(huán)境、現(xiàn)有線(xiàn)路狀況、設(shè)備配置與應(yīng)用情況、通信量的估算、網(wǎng)絡(luò)維護(hù)管理、網(wǎng)絡(luò)應(yīng)用與業(yè)務(wù)定位等因素?成熟的網(wǎng)絡(luò)結(jié)構(gòu)應(yīng)具有開(kāi)放性、標(biāo)準(zhǔn)化、可靠性、先進(jìn)性和實(shí)用性，并且應(yīng)該有結(jié)構(gòu)化的設(shè)計(jì)，充分利用現(xiàn)有資源，具有運(yùn)營(yíng)維護(hù)管理的簡(jiǎn)便性，完善的安全保障體系?網(wǎng)絡(luò)結(jié)構(gòu)采用分層的體系結(jié)構(gòu)，利于維護(hù)管理，利于更高的安全控制和業(yè)務(wù)發(fā)展?</p><p>　　網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)化，在網(wǎng)絡(luò)拓?fù)渖现饕紤]冗余鏈路、冗余路由，動(dòng)

37、態(tài)路由協(xié)議的安全認(rèn)證，專(zhuān)用網(wǎng)管鏈路等；在企業(yè)網(wǎng)絡(luò)的建設(shè)中我們方案在核心采用2臺(tái)高端3層交換機(jī)，采用HSRP技術(shù)互為備份，實(shí)現(xiàn)備份與負(fù)載功能；采用VLAN技術(shù)，將網(wǎng)絡(luò)根據(jù)業(yè)務(wù)關(guān)系劃分為若干個(gè)強(qiáng)度不同安全域，減少網(wǎng)絡(luò)廣播數(shù)據(jù)包，減少數(shù)據(jù)沖突，提高帶寬利用率，保障網(wǎng)絡(luò)安全、穩(wěn)定運(yùn)轉(zhuǎn)；在接入層交換機(jī)到核心層交換機(jī)之間采用雙鏈路(STP技術(shù))，保障接入層到核心層的實(shí)時(shí)暢通；采用QOS技術(shù)來(lái)保障關(guān)鍵應(yīng)用有可靠的帶寬?</p><

38、p>　　路由的優(yōu)化，主要涉及到以下幾個(gè)方面；防止單點(diǎn)失敗；隔離路由波動(dòng)；消除循環(huán)路由；較小的時(shí)延；使用路由認(rèn)證，保證動(dòng)態(tài)路由的安全；在企業(yè)網(wǎng)絡(luò)的建設(shè)中我們方案采用浮動(dòng)靜態(tài)路由、動(dòng)態(tài)路由、策略路由的方式實(shí)現(xiàn)路由的冗余備份?</p><p>　　可擴(kuò)展性，網(wǎng)絡(luò)發(fā)展極為迅速，用戶(hù)需求也在不斷提高，當(dāng)為擴(kuò)展業(yè)務(wù)范圍而增加設(shè)備時(shí)，能夠方便、有效地接入，不至于因網(wǎng)絡(luò)結(jié)構(gòu)的局限性，而重新調(diào)整網(wǎng)絡(luò)設(shè)備，由此而帶來(lái)不安全因素

39、；在在企業(yè)網(wǎng)絡(luò)的安全建設(shè)中我們方案采用成熟的網(wǎng)絡(luò)技術(shù)來(lái)構(gòu)建這個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，例如采用802.3技術(shù)，也就是目前普遍使用的以太網(wǎng)技術(shù)?</p><p>　　根據(jù)網(wǎng)絡(luò)目前的實(shí)際情況，現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)仍然保持不變，在下一次網(wǎng)絡(luò)改造中主要遵循這個(gè)原則就可以了?</p><p><b>　　4.2.2訪(fǎng)問(wèn)控制</b></p><p>　　企業(yè)網(wǎng)絡(luò)系統(tǒng)的訪(fǎng)問(wèn)

40、控制可以通過(guò)配備訪(fǎng)問(wèn)控制設(shè)備來(lái)實(shí)現(xiàn)?</p><p>　　對(duì)于內(nèi)部網(wǎng)絡(luò)，根據(jù)用戶(hù)實(shí)際的業(yè)務(wù)數(shù)據(jù)流向和我們對(duì)網(wǎng)絡(luò)安全的理解與經(jīng)驗(yàn)，我們重新劃分了不同強(qiáng)度的網(wǎng)絡(luò)安全域?要實(shí)現(xiàn)不同安全域之間的訪(fǎng)問(wèn)控制，在實(shí)現(xiàn)高效的訪(fǎng)問(wèn)控制的同時(shí)，又要保證內(nèi)網(wǎng)中關(guān)鍵的業(yè)務(wù)數(shù)據(jù)可以正常通過(guò)防火墻設(shè)備?通過(guò)配置安全的訪(fǎng)問(wèn)控制策略可以過(guò)濾進(jìn)、出防火墻的數(shù)據(jù)包；管理進(jìn)、出網(wǎng)絡(luò)的訪(fǎng)問(wèn)行為；封堵某些禁止的訪(fǎng)問(wèn)；記錄通過(guò)防火墻的信息內(nèi)容和活動(dòng)；對(duì)網(wǎng)絡(luò)

41、攻擊的檢測(cè)和告警?</p><p>　　根據(jù)需要我們重新劃分了七個(gè)網(wǎng)絡(luò)安全域，在不同的安全域之間分別放置了防火墻設(shè)備，設(shè)備的部署情況描述如下：</p><p>　　1、根據(jù)內(nèi)網(wǎng)業(yè)務(wù)數(shù)據(jù)的實(shí)際情況，我們?cè)诤诵慕粨Q機(jī)和CATALYST3500之間部署一臺(tái)天融信公司的NGFW4000-E防火墻產(chǎn)品，以保障所有對(duì)安全域一中的數(shù)據(jù)庫(kù)進(jìn)行調(diào)用時(shí)長(zhǎng)連接的正常轉(zhuǎn)發(fā)，不會(huì)因?yàn)榉阑饓Φ脑蛟斐蓴?shù)據(jù)調(diào)用的失敗，

42、從而影響正常的業(yè)務(wù)應(yīng)用?</p><p>　　2、由于網(wǎng)絡(luò)視頻、視頻會(huì)議、網(wǎng)絡(luò)電話(huà)等應(yīng)用對(duì)防火墻的要求很高，不斷要求防火墻能夠?qū).323、MMS、RTSP、NETMeeting、SIP等協(xié)議有很好的支持，并且對(duì)防火墻的轉(zhuǎn)發(fā)率、對(duì)數(shù)據(jù)的延遲、丟包率以及對(duì)突發(fā)數(shù)據(jù)的處理能力都有嚴(yán)格的要求，因此在單獨(dú)部署了一臺(tái)清華德實(shí)公司的防火墻產(chǎn)品，以滿(mǎn)足業(yè)務(wù)對(duì)防火墻的這種高要求的需要?</p><p>　

43、　3、在安全域二和核心交換機(jī)之間部署一臺(tái)清華德實(shí)公司的防火墻，這樣不僅能夠保護(hù)原有的設(shè)備投資，也能夠滿(mǎn)足基本的訪(fǎng)問(wèn)控制的要求?</p><p>　　4、在安全域三中部署了很多常見(jiàn)應(yīng)用服務(wù)器，包括WEB服務(wù)器、郵件服務(wù)器、DNS服務(wù)器等，這些服務(wù)器對(duì)網(wǎng)絡(luò)的穩(wěn)定性、轉(zhuǎn)發(fā)速率和安全性有非常高的要求，一旦這些服務(wù)器出現(xiàn)問(wèn)題整個(gè)辦公系統(tǒng)將會(huì)癱瘓，嚴(yán)重影響辦公效率，因此在安全域三和核心交換機(jī)之間部署一臺(tái)天融信公司的NGFW4

44、000防火墻，并且在郵件服務(wù)器的前端部署冠群金辰公司的KSG防病毒過(guò)濾網(wǎng)關(guān)，以滿(mǎn)足基本的訪(fǎng)問(wèn)控制的要求和系統(tǒng)對(duì)網(wǎng)絡(luò)的穩(wěn)定性、轉(zhuǎn)發(fā)速率和安全性的高要求? 5、安全域四是內(nèi)部終端用戶(hù)區(qū)，分部在各個(gè)樓層，并且鏈路是光纖接口，如果部署防火墻系統(tǒng)，一是設(shè)備數(shù)量很多，二是光纖設(shè)備非常昂貴，這樣部署防火墻設(shè)備的造價(jià)很高，大量的投入也并不能提高網(wǎng)絡(luò)的安全狀況，但我們可以在連接終端用戶(hù)的三層交換機(jī)端口上進(jìn)行簡(jiǎn)單的訪(fǎng)問(wèn)控制，滿(mǎn)足基本的訪(fǎng)問(wèn)控制要求?

45、能否實(shí)現(xiàn)這個(gè)功能要看三層交換機(jī)的功能。</p><p>　　6、在安全域五和核心交換機(jī)之間部署一臺(tái)清華德實(shí)公司的防火墻，這樣不僅能夠保護(hù)原有的設(shè)備投資，也能夠滿(mǎn)足基本的訪(fǎng)問(wèn)控制的要求?</p><p>　　7、在安全域六和核心交換機(jī)之間部署一臺(tái)清華德實(shí)公司的防火墻，這樣不僅能夠保護(hù)原有的設(shè)備投資，也能夠滿(mǎn)足基本的訪(fǎng)問(wèn)控制的要求?</p><p>　　天融信防火墻NG

46、FW4000在保證高可用性和高可靠性的同時(shí)還在以下幾個(gè)方面起著重要的作用：</p><p>　　1. 通過(guò)防火墻的規(guī)則設(shè)置隔離了數(shù)據(jù)庫(kù)安全域與其它安全域，實(shí)現(xiàn)了保護(hù)關(guān)鍵業(yè)務(wù)的應(yīng)用、控制對(duì)服務(wù)器的訪(fǎng)問(wèn)、記錄和統(tǒng)計(jì)網(wǎng)絡(luò)利用數(shù)據(jù)以及非法使用數(shù)據(jù)和策略執(zhí)行等功能。到數(shù)據(jù)庫(kù)安全域的全部通信都受到防火墻的監(jiān)控，通過(guò)防護(hù)墻的策略可以設(shè)置成相應(yīng)的保護(hù)級(jí)別，以保證系統(tǒng)的安全?</p><p>　　2. 過(guò)濾

47、網(wǎng)絡(luò)中不必要傳輸?shù)臒o(wú)用數(shù)據(jù)?防火墻是一種網(wǎng)關(guān)型的設(shè)備，各個(gè)區(qū)域之間的通信，可以通過(guò)防火墻的添加規(guī)則策略保障，如果在防火墻上添加一些有關(guān)重要應(yīng)用的策略，就可以過(guò)濾掉部分無(wú)用的信息，只要網(wǎng)絡(luò)中傳輸必要的應(yīng)用數(shù)據(jù)，比如封閉目前常見(jiàn)的蠕蟲(chóng)病毒使用的端口?</p><p>　　3. 防火墻具有流量控制的特性，可以依據(jù)應(yīng)用來(lái)限制流量，來(lái)調(diào)整鏈路的帶寬利用，如：在網(wǎng)絡(luò)中，有數(shù)據(jù)庫(kù)調(diào)用應(yīng)用、域登陸應(yīng)用等等，可以在防火墻中直接加載

48、控制策略，使數(shù)據(jù)庫(kù)調(diào)用應(yīng)用、域登陸應(yīng)用按照預(yù)定的帶寬進(jìn)行數(shù)據(jù)交換?實(shí)現(xiàn)流量控制，調(diào)整鏈路帶寬利用的功能?</p><p>　　4. 在天融信防火墻上還可以防止惡意的內(nèi)部員工通過(guò)網(wǎng)絡(luò)對(duì)數(shù)據(jù)庫(kù)安全域的服務(wù)器TCP/UDP端口進(jìn)行非法掃描，消除系統(tǒng)安全的隱患?可防止惡意的內(nèi)部員工通過(guò)網(wǎng)絡(luò)對(duì)數(shù)據(jù)庫(kù)安全域的服務(wù)器進(jìn)行源路由攻擊、IP碎片包攻擊、DNS / RIP / ICMP攻擊、SYN攻擊、拒絕服務(wù)攻擊等多種攻擊?天融信

49、防火墻提供入侵檢測(cè)的功能，當(dāng)發(fā)現(xiàn)重要服務(wù)器被攻擊時(shí)，防火墻將自動(dòng)報(bào)警并根據(jù)策略進(jìn)行響應(yīng)?</p><p>　　5. 對(duì)于防火墻自身來(lái)說(shuō)，日志的導(dǎo)出、日志服務(wù)器的安裝，可使得通過(guò)防火墻的數(shù)據(jù)訪(fǎng)問(wèn)加以統(tǒng)計(jì)，為優(yōu)化網(wǎng)絡(luò)提供必要的數(shù)據(jù)，日志服務(wù)器可以完成，每個(gè)不同的源訪(fǎng)問(wèn)的流量統(tǒng)計(jì)，可以了解到每個(gè)源的流量是否在正常范圍內(nèi)，等等?這樣的數(shù)據(jù)對(duì)于網(wǎng)絡(luò)安全是十分重要的?</p><p>　　6. 防火墻

50、提供應(yīng)用級(jí)透明代理，可以對(duì)高層應(yīng)用(HTTP、FTP、SMTP、POP3、NNTP)做了更詳細(xì)控制，如HTTP命令(GET，POST，HEAD)及URL，F(xiàn)TP命令(GEI，PUT)及文件控制，也就是說(shuō)，在的網(wǎng)絡(luò)中當(dāng)通過(guò)防火墻對(duì)數(shù)據(jù)庫(kù)安全域進(jìn)行訪(fǎng)問(wèn)時(shí)，可在應(yīng)用層上做更詳細(xì)的訪(fǎng)問(wèn)控制?</p><p>　　7. 通過(guò)在數(shù)據(jù)庫(kù)安全域添加入侵檢測(cè)系統(tǒng)，保證入侵檢測(cè)系統(tǒng)與防火墻產(chǎn)生聯(lián)動(dòng)?當(dāng)網(wǎng)絡(luò)中發(fā)生攻擊時(shí)，向防火墻發(fā)送策

51、略，將攻擊行為進(jìn)行過(guò)濾，使攻擊行為的數(shù)據(jù)無(wú)法到達(dá)目的主機(jī)，實(shí)際上是斬?cái)嗔斯舻穆窂?如此往復(fù)，可以提供大量時(shí)間來(lái)追測(cè)攻擊源，采取相應(yīng)措施?全面的聯(lián)動(dòng)延長(zhǎng)了安全管理的觸角，增加了安全管理的手段，加大了安全管理的強(qiáng)度?</p><p>　　4.2.3入侵檢測(cè) </p><p>　　防火墻的主要功能是對(duì)進(jìn)出防火墻的數(shù)據(jù)進(jìn)行訪(fǎng)問(wèn)控制，防火墻無(wú)法阻止由于防火墻配置有誤或者繞過(guò)防火墻而進(jìn)入網(wǎng)絡(luò)的非法數(shù)

52、據(jù)?數(shù)據(jù)一旦通過(guò)防火墻進(jìn)入網(wǎng)絡(luò)后，如果操作系統(tǒng)或者應(yīng)用系統(tǒng)本身存在漏洞，由于防火墻系統(tǒng)是一個(gè)靜態(tài)、被動(dòng)的設(shè)備，這時(shí)候就無(wú)能為力了，入侵檢測(cè)系統(tǒng)作為防火墻的一個(gè)有益補(bǔ)充，完全可以勝任此工作?入侵檢測(cè)是根據(jù)已有的、最新的攻擊手段的信息代碼對(duì)進(jìn)出各個(gè)安區(qū)域的所有操作進(jìn)行主動(dòng)的實(shí)時(shí)監(jiān)控、審查，并按制定的策略實(shí)行響應(yīng)(阻斷、報(bào)警、發(fā)送E-mail)，同時(shí)進(jìn)行日志記錄，并且入侵檢測(cè)系統(tǒng)的動(dòng)態(tài)防御還能實(shí)現(xiàn)入侵檢測(cè)系統(tǒng)和防火墻及其它特定網(wǎng)絡(luò)安全系統(tǒng)之間

53、的互動(dòng)(如路由器)，動(dòng)態(tài)的保護(hù)網(wǎng)絡(luò)不受惡意的入侵及來(lái)自于內(nèi)部的攻擊?根據(jù)企業(yè)內(nèi)網(wǎng)的實(shí)際網(wǎng)絡(luò)環(huán)境以及應(yīng)用情況，我們方案目前只在數(shù)據(jù)庫(kù)安全域部署一套入侵檢測(cè)系統(tǒng)，以后可以根據(jù)業(yè)務(wù)的重要程度在需要的安全域添加入侵檢測(cè)系統(tǒng)，以實(shí)現(xiàn)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)的實(shí)時(shí)監(jiān)控、審查，以發(fā)現(xiàn)違規(guī)行為，并對(duì)違規(guī)行為進(jìn)行處理(報(bào)警、阻斷、與防火墻進(jìn)行聯(lián)動(dòng)等)?管理員也可以定期的生產(chǎn)各種報(bào)表，根據(jù)報(bào)表及時(shí)的調(diào)整安全策略，完善網(wǎng)絡(luò)中存在的安全問(wèn)題。</p>&l

54、t;p><b>　　4.2.4病毒防護(hù)</b></p><p>　　目前企業(yè)內(nèi)網(wǎng)已經(jīng)部署了一套完整的防病毒解決系統(tǒng)，包括客戶(hù)端防病毒、服務(wù)器防病毒、群件系統(tǒng)防病毒、網(wǎng)關(guān)防病毒系統(tǒng)以及統(tǒng)一的升級(jí)、管理、監(jiān)控，但面對(duì)日益猖狂的病毒，特別是蠕蟲(chóng)型的病毒，單靠一套完整的防病毒系統(tǒng)已經(jīng)難以解決問(wèn)題?一套優(yōu)秀的防病毒解決方案不但要有一套完整的技術(shù)解決方案，還要有一個(gè)勤奮努力的網(wǎng)絡(luò)管理員和嚴(yán)格的管理

55、制度?</p><p>　　4.2.5數(shù)據(jù)備份與恢復(fù)</p><p>　　備份系統(tǒng)為一個(gè)目的而存在：存檔備份；當(dāng)需要時(shí)，盡可能快地全盤(pán)恢復(fù)運(yùn)行計(jì)算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息?根據(jù)系統(tǒng)安全需求可選擇的備份機(jī)制有：場(chǎng)地內(nèi)高速、高容量自動(dòng)的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)，場(chǎng)地外的數(shù)據(jù)存儲(chǔ)、備份與恢復(fù)；對(duì)系統(tǒng)設(shè)備的備份?備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時(shí)起到保護(hù)作用，也在入侵者非授權(quán)訪(fǎng)問(wèn)或?qū)W(wǎng)絡(luò)攻擊破壞

56、數(shù)據(jù)完整性時(shí)起到保護(hù)作用，同時(shí)亦是系統(tǒng)災(zāi)難恢復(fù)的前提之一?</p><p>　　一般的數(shù)據(jù)備份操作有三種?一是全盤(pán)備份，即將所有文件寫(xiě)入備份介質(zhì)；二是增量備份，只備份那些上次備份之后更改過(guò)的文件，是最有效的備份方法；三是差量備份，備份上次全盤(pán)備份之后更改過(guò)的所有文件，其優(yōu)點(diǎn)是只需兩組磁帶就可恢復(fù)最后一次全盤(pán)備份的磁帶和最后一次差分備份的磁帶?</p><p>　　在進(jìn)行備份的過(guò)程中，常使用

57、備份軟件，它一般應(yīng)具有以下功能?備份數(shù)據(jù)的完整性，并具有對(duì)備份介質(zhì)的管理能力；支持多種備份方式，可以定時(shí)自動(dòng)備份，還可設(shè)置備份自動(dòng)啟動(dòng)和停止日期；支持多種文件格式的備份；支持多種校驗(yàn)手段(如字節(jié)校驗(yàn)、CRC循環(huán)冗余校驗(yàn)、快速磁帶掃描)，以保證備份的正確性；提供聯(lián)機(jī)數(shù)據(jù)備份功能；支持RAID容錯(cuò)技術(shù)和圖像備份功能?</p><p>　　在企業(yè)網(wǎng)絡(luò)系統(tǒng)中，已經(jīng)根據(jù)自己實(shí)際的業(yè)務(wù)需求建立了比較完善的備份及恢復(fù)系統(tǒng)。&l

58、t;/p><p><b>　　·4.3 安全管理</b></p><p>　　面對(duì)網(wǎng)絡(luò)安全的脆弱性，除了在網(wǎng)絡(luò)設(shè)計(jì)上增加安全服務(wù)功能，完善系統(tǒng)的安全保密措施外，還必須花大力氣加強(qiáng)網(wǎng)絡(luò)的安全管理規(guī)范的建立，因?yàn)橹T多的不安全因素恰恰反映在組織管理和人員錄用等方面，而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問(wèn)題，所以應(yīng)引起各計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用部門(mén)領(lǐng)導(dǎo)的重視?</p>

59、;<p>　　安全管理可以通過(guò)相應(yīng)的規(guī)章制度來(lái)實(shí)現(xiàn)?</p><p>　　制訂完善的管理制度，包括：機(jī)房安全管理制度，安全設(shè)施系統(tǒng)操作制度，網(wǎng)絡(luò)、系統(tǒng)安全操作規(guī)程，數(shù)據(jù)備份制度，普通用戶(hù)操作規(guī)范等?</p><p>　　4.3.1.安全管理原則</p><p>　　網(wǎng)絡(luò)信息系統(tǒng)的安全管理主要基于三個(gè)原則?</p><p><

60、;b>　　1、多人負(fù)責(zé)原則</b></p><p>　　每一項(xiàng)與安全有關(guān)的活動(dòng)，都必須有兩人或多人在場(chǎng)?這些人應(yīng)是系統(tǒng)主管領(lǐng)導(dǎo)指派的，他們忠誠(chéng)可靠，能勝任此項(xiàng)工作；他們應(yīng)該簽署工作情況記錄以證明安全工作已得到保障?</p><p>　　以下各項(xiàng)是與安全有關(guān)的活動(dòng)：</p><p>　?。?）訪(fǎng)問(wèn)控制使用證件的發(fā)放與回收；</p>&l

61、t;p>　?。?）信息處理系統(tǒng)使用的媒介發(fā)放與回收；</p><p>　?。?）處理保密信息；</p><p>　?。?）硬件和軟件的維護(hù)；</p><p>　?。?）系統(tǒng)軟件的設(shè)計(jì)、實(shí)現(xiàn)和修改；</p><p>　　（6）重要程序和數(shù)據(jù)的刪除和銷(xiāo)毀等；</p><p><b>　　2、任期有限原則&l

62、t;/b></p><p>　　一般地講，任何人最好不要長(zhǎng)期擔(dān)任與安全有關(guān)的職務(wù)，以免使他認(rèn)為這個(gè)職務(wù)是專(zhuān)有的或永久性的?為遵循任期有限原則，工作人員應(yīng)不定期地循環(huán)任職，強(qiáng)制實(shí)行休假制度，并規(guī)定對(duì)工作人員進(jìn)行輪流培訓(xùn)，以使任期有限制度切實(shí)可行?</p><p><b>　　3、職責(zé)分離原則</b></p><p>　　在信息處理系統(tǒng)工作的

63、人員不要打聽(tīng)、了解或參與職責(zé)以外的任何與安全有關(guān)的事情，除非系統(tǒng)主管領(lǐng)導(dǎo)批準(zhǔn)?</p><p>　　出于對(duì)安全的考慮，下面每組內(nèi)的兩項(xiàng)信息處理工作應(yīng)當(dāng)分開(kāi)?</p><p>　　計(jì)算機(jī)操作與計(jì)算機(jī)編程；</p><p>　　機(jī)密資料的接收和傳送；</p><p>　　安全管理和系統(tǒng)管理；</p><p>　　應(yīng)用程序和

64、系統(tǒng)程序的編制；</p><p>　　訪(fǎng)問(wèn)證件的管理與其它工作；</p><p>　　計(jì)算機(jī)操作與信息處理系統(tǒng)使用媒介的保管等?</p><p>　　4.3.2.安全管理的實(shí)現(xiàn)</p><p>　　信息系統(tǒng)的安全管理部門(mén)應(yīng)根據(jù)管理原則和該系統(tǒng)處理數(shù)據(jù)的保密性，制訂相應(yīng)的管理制度或采用相應(yīng)的規(guī)范?具體工作是；</p><p&

65、gt;　　1、根據(jù)工作的重要程度，確定該系統(tǒng)的安全等級(jí) ?</p><p>　　根據(jù)確定的安全等級(jí)，確定安全管理的范圍?</p><p>　　2、制訂相應(yīng)的機(jī)房出入管理制度</p><p>　　對(duì)于安全等級(jí)要求較高的系統(tǒng)，要實(shí)行分區(qū)控制，限制工作人員出入與己無(wú)關(guān)的區(qū)域。出入管理可采用證件識(shí)別或安裝自動(dòng)識(shí)別登記系統(tǒng)，采用磁卡、身份卡等手段，對(duì)人員進(jìn)行識(shí)別、登記管理?&

66、lt;/p><p>　　3、制訂嚴(yán)格的操作規(guī)程</p><p>　　操作規(guī)程要根據(jù)職責(zé)分離和多人負(fù)責(zé)的原則，各負(fù)其責(zé)，不能超越自己的管轄范圍?</p><p>　　4、制訂完備的系統(tǒng)維護(hù)制度</p><p>　　對(duì)系統(tǒng)進(jìn)行維護(hù)時(shí)，應(yīng)采取數(shù)據(jù)保護(hù)措施，如數(shù)據(jù)備份等?維護(hù)時(shí)要首先經(jīng)主管部門(mén)批準(zhǔn)，并有安全管理人員在場(chǎng)，故障的原因、維護(hù)內(nèi)容和維護(hù)前后的情

67、況要詳細(xì)記錄?</p><p><b>　　5、制訂應(yīng)急措施</b></p><p>　　要制訂系統(tǒng)在緊急情況下，如何盡快恢復(fù)的應(yīng)急措施，使損失減至最小?建立人員雇用和解聘制度，對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)?</p><p>　　第五章 安全設(shè)備配置</p><p>　　上面列出了我們對(duì)企業(yè)內(nèi)網(wǎng)系統(tǒng)網(wǎng)絡(luò)安全措

68、施的總體原則，下面結(jié)合具體網(wǎng)絡(luò)結(jié)構(gòu)情況，就安全設(shè)備的配置和相應(yīng)的安全策略做一描述?</p><p>　　5.1企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全拓?fù)鋱D</p><p><b>　　網(wǎng)絡(luò)連接見(jiàn)下圖：</b></p><p>　　圖5.1 企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備配置圖</p><p>　　5.2企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備配置列表</p>

69、<p>　　企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全設(shè)備配置見(jiàn)下表：</p><p>　　表5.1 企業(yè)內(nèi)網(wǎng)網(wǎng)絡(luò)安全配置表</p><p><b>　　總結(jié)</b></p><p>　　我們已經(jīng)踏入了飛速發(fā)展的信息工程時(shí)代，時(shí)代要求我們要加強(qiáng)自身的各項(xiàng)專(zhuān)業(yè)能力，以應(yīng)付我們即將踏入的社會(huì)所給予我們的考驗(yàn)和鍛煉。通過(guò)完成本次的課程設(shè)計(jì)，自身能力有所長(zhǎng)進(jìn)，很多學(xué)

70、習(xí)的理論知識(shí)終于有所實(shí)現(xiàn)，解決問(wèn)題思路也變得更加清晰了，面對(duì)問(wèn)題也更加有邏輯性了。在設(shè)計(jì)過(guò)程中，也遇到了很多的困難，要想將課程設(shè)計(jì)做得更加完善，還得真下上一番功夫。所鍛煉的不只是我們學(xué)到的知識(shí)和技能，更重要的是鍛煉了我們的實(shí)際動(dòng)手操作能力和應(yīng)付各種困難的應(yīng)變能力。</p><p>　　此外，在本次的課程設(shè)計(jì)中，對(duì)網(wǎng)絡(luò)中相關(guān)知識(shí)理論方面的理解也更進(jìn)一步的加深了，讓我懂得規(guī)劃一個(gè)企業(yè)網(wǎng)絡(luò)需要具備豐富的網(wǎng)絡(luò)知識(shí)和經(jīng)驗(yàn)，

71、使我初步了解了構(gòu)建一個(gè)企業(yè)網(wǎng)絡(luò)的設(shè)計(jì)流程與步驟，與此同時(shí)，在準(zhǔn)備此次的課程設(shè)計(jì)的過(guò)程中，也更好的拓展了自已的知識(shí)面，掌握了很多更好的學(xué)習(xí)方法，相信這便是此次課程設(shè)計(jì)中最大的收獲。</p><p><b>　　參考文獻(xiàn)</b></p><p>　　[1]謝希仁.計(jì)算機(jī)網(wǎng)絡(luò)教程.北京：人民郵電出版社，2006.</p><p>　　[2]Peter