大型企業局域網安全解決方案

大型企業局域網安全解決方案

第一章 總則

本方案爲大型局域網網絡安全解決方案，包括網絡系統分析、安全需求分析、安全目標的確立、安全體系結構的設計等。本安全解決方案的目標是在不影響局域網當前業務的前提下，實現對局域網全面的安全管理。

1.將安全策略、硬件及軟件等方法結合起來，構成一個統一的防護系統，有效阻止非法用戶進入網絡，減小網絡的安全風險。

2.按期進行漏洞掃描，審計跟蹤，及時發現問題，解決問題。

3.經過***檢測等方式實現實時安全監控，提供快速響應故障的手段，同時具有很好的安全取證措施。

4.使網絡管理者可以很快從新組織被破壞了的文件或應用。使系統從新恢復到破壞前的狀態，最大限度地減小損失。

5.在工做站、服務器上安裝相應的防病毒軟件，由中央控制檯統一控制和管理，實現全網統一防病毒。

第二章 網絡系統概況

2.1 網絡概況

常見大型企業局域網是一個信息點較爲密集的千兆局域網絡系統，它所聯接的現有上千個信息點爲在整個企業內辦公的各部門提供了一個快速、方便的信息交流平臺。不只如此，經過專線與Internet的鏈接，打通了一扇通向外部世界的窗戶，各個部門能夠直接與互聯網用戶進行交流、查詢資料等。經過公開服務器，企業能夠直接對外發布信息或者發送電子郵件。高速交換技術的採用、靈活的網絡互連方案設計爲用戶提供快速、方便、靈活通訊平臺的同時，也爲網絡的安全帶來了更大的風險。所以，在原有網絡上實施一套完整、可操做的安全解決方案不只是可行的，並且是必需的。

2.1.1 網絡概述

企業局域網經過千兆交換機在主幹網絡上提供1000M的獨享帶寬，經過二級交換機與各部門的工做站和服務器鏈接，併爲之提供100M的獨享帶寬。利用與中心交換機鏈接的路由器，全部用戶可直接訪問Internet。

2.1.2 網絡結構

常見大型企業的局域網按訪問區域能夠劃分爲三個主要的區域：Internet區域、內部網絡、公開服務器區域。內部網絡又可按照所屬的部門、職能、安全重要程度分爲許多子網，包括：財務子網、領導子網、辦公子網、市場部子網、中心服務器子網等。在安全方案設計中，基於安全的重要程度和要保護的對象，能夠在覈心交換機上直接劃分四個虛擬局域網（VLAN），即：中心服務器子網、財務子網、領導子網、其餘子網。不一樣的局域網分屬不一樣的廣播域，因爲財務子網、領導子網、中心服務器子網屬於重要網段，所以在中心交換機上將這些網段各自劃分爲一個獨立的廣播域，而將其餘的工做站劃分在一個相同的網段。

2.2 網絡應用

企業局域網通常會提供以下主要應用：

1．文件共享、辦公自動化、WWW服務、電子郵件服務；

2．文件數據的統一存儲；

3．針對特定的應用在數據庫服務器上進行二次開發(好比財務系統)；

4．提供與Internet的訪問；

5．經過公開服務器對外發布企業信息、發送電子郵件等；

2.3 網絡結構的特色

在分析企業局域網的安全風險時，應考慮到網絡的以下幾個特色：

1.網絡與Internet直接鏈接，所以在進行安全方案設計時要考慮與Internet鏈接的有關風險，包括可能經過Internet傳播進來病毒，******，來自Internet的非受權訪問等。

2.網絡中存在公開服務器，因爲公開服務器對外必須開放部分業務，所以在進行安全方案設計時應該考慮採用安全服務器網絡，避免公開服務器的安全風險擴散到內部。

3.內部網絡中存在許多不一樣的子網，不一樣的子網有不一樣的安全性，所以在進行安全方案設計時，應考慮將不一樣功能和安全級別的網絡分割開，這能夠經過交換機劃分VLAN來實現。

4.網絡中的應用服務器，在應用程序開發時就應考慮增強用戶登陸驗證，防止非受權的訪問。

總而言之，在進行網絡方案設計時，應綜合考慮到企業局域網的特色，根據產品的性能、價格、潛在的安全風險進行綜合考慮。

第三章 網絡系統安全風險分析

隨着Internet網絡急劇擴大和上網用戶迅速增長，風險變得更加嚴重和複雜。原來由單個計算機安全事故引發的損害可能傳播到其餘系統，引發大範圍的癱瘓和損失；另外加上缺少安全控制機制和對Internet安全政策的認識不足，這些風險正日益嚴重。

針對企業局域網中存在的安全隱患，在進行安全方案設計時，下述安全風險咱們必需要認真考慮，而且要針對面臨的風險，採起相應的安全措施。下述風險由多種因素引發，與企業局域網結構和系統的應用、局域網內網絡服務器的可靠性等因素密切相關。下面列出部分這類風險因素：

網絡安全能夠從如下五個方面來理解：1 網絡物理是否安全；2 網絡平臺是否安全；3 系統是否安全；4 應用是否安全；5 管理是否安全。針對每一類安全風險，結合企業局域網的實際狀況，具體分析網絡的安全風險。

3.1 物理安全風險分析
網絡的物理安全的風險是多種多樣的。網絡的物理安全主要是指地震、水災、火災等環境事故；電源故障；人爲操做失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲。以及高可用性的硬件、雙機多冗餘的設計、機房環境及報警系統、安全意識等。它是整個網絡系統安全的前提，在企業區局域網內，因爲網絡的物理跨度不大，，只要制定健全的安全管理制度，作好備份，而且增強網絡設備和機房的管理，這些風險是能夠避免的。

3.2 網絡平臺的安全風險分析

網絡結構的安全涉及到網絡拓撲結構、網絡路由情況及網絡的環境等。

3.2.1 公開服務器面臨的威脅

企業局域網內公開服務器區（WWW、EMAIL等服務器）做爲公司的信息發佈平臺，一旦不能運行或者受到***，對企業的聲譽影響巨大。同時公開服務器自己要爲外界服務，必須開放相應的服務；天天，***都在試圖闖入Internet節點，這些節點若是不保持警戒，可能連***怎麼闖入的都不知道，甚至會成爲******其餘站點的跳板。所以，規模比較大網絡的管理人員對Internet安全事故作出有效反應變得十分重要。咱們有必要將公開服務器、內部網絡與外部網絡進行隔離，避免網絡結構信息外泄；同時還要對外網的服務請求加以過濾，只容許正常通訊的數據包到達相應主機，其餘的請求服務在到達主機以前就應該遭到拒絕。

3.2.2 整個網絡結構和路由情況

安全的應用每每是創建在網絡系統之上的。網絡系統的成熟與否直接影響安全系統成功的建設。企業局域網絡系統中，通常只有一個Internet出口，使用一臺路由器，做爲與Internet鏈接的邊界路由器，網絡結構相對簡單，具體配置時能夠考慮使用靜態路由，這就大大減小了因網絡結構和網絡路由形成的安全風險。

3.3 系統的安全風險分析

所謂系統的安全顯而易見是指整個局域網網絡操做系統、網絡硬件平臺是否可靠且值得信任。

網絡操做系統、網絡硬件平臺的可靠性：對於中國來講，恐怕沒有絕對安全的操做系統能夠選擇，不管是Microsoft的Windows NT或者其餘任何商用UNIX操做系統，其開發廠商必然有其Back-Door。咱們能夠這樣講：沒有徹底安全的操做系統。可是，咱們能夠對現有的操做平臺進行安全配置、對操做和訪問權限進行嚴格控制，提升系統的安全性。所以，不但要選用盡量可靠的操做系統和硬件平臺。並且，必須增強登陸過程的認證（特別是在到達服務器主機以前的認證），確保用戶的合法性；其次應該嚴格限制登陸者的操做權限，將其完成的操做限制在最小的範圍內。

3.4 應用的安全風險分析

應用系統的安全跟具體的應用有關，它涉及不少方面。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括不少方面。以目前Internet上應用最爲普遍的E-mail系統來講，其解決方案有幾十種，但其系統內部的編碼甚至編譯器致使的BUG是不多有人可以發現的，所以一套詳盡的測試軟件是至關必須的。可是應用系統是不斷髮展且應用類型是不斷增長的，其結果是安全漏洞也是不斷增長且隱藏愈來愈深。所以，保證應用系統的安全也是一個隨網絡發展不斷完善的過程。

應用的安全性涉及到信息、數據的安全性。信息的安全性涉及到：機密信息泄露、未經受權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。因爲企業局域網跨度不大，絕大部分重要信息都在內部傳遞，所以信息的機密性和完整性是能夠保證的。對於有些特別重要的信息須要對內部進行保密的（好比領導子網、財務系統傳遞的重要信息）能夠考慮在應用級進行加密，針對具體的應用直接在應用系統開發時進行加密。

3.5 管理的安全風險分析

管理是網絡中安全最最重要的部分。責權不明，管理混亂、安全管理制度不健全及缺少可操做性等均可能引發管理安全的風險。責權不明，管理混亂，使得一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地，或者員工有意無心泄漏他們所知道的一些重要信息，而管理上卻沒有相應制度來約束。

當網絡出現***行爲或網絡受到其它一些安全威脅時（如內部人員的違規操做等），沒法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也沒法提供******行爲的追蹤線索及破案依據，即缺少對網絡的可控性與可審查性。這就要求咱們必須對站點的訪問活動進行多層次的記錄，及時發現非法***行爲。

創建全新網絡安全機制，必須深入理解網絡並能提供直接的解決方案，所以，最可行的作法是管理制度和管理解決方案的結合。

3.6 ******
***們的***行動是無時無刻不在進行的，並且會利用系統和管理上的一切可能利用的漏洞。公開服務器存在漏洞的一個典型例證，是***能夠輕易地騙過公開服務器軟件，獲得Unix的口令文件並將之送回。***侵入UNIX服務器後，有可能修改特權，從普通用戶變爲高級用戶，一旦成功，***能夠直接進入口令文件。***還能開發欺騙程序，將其裝入UNIX服務器中，用以監聽登陸會話。當它發現有用戶登陸時，便開始存儲一個文件，這樣***就擁有了他人的賬戶和口令。這時爲了防止***，須要設置公開服務器，使得它不離開本身的空間而進入另外的目錄。另外，還應設置組特權，不容許任何使用公開服務器的人訪問WWW頁面文件之外的東西。在企業的局域網內咱們能夠綜合採用防火牆技術、Web頁面保護技術、***檢測技術、安全評估技術來保護網絡內的信息資源，防止******。

3.7 通用網關接口（CGI）漏洞

有一類風險涉及通用網關接口（CGI）腳本。許多頁面文件和指向其餘頁面或站點的超鏈接。然而有些站點用到這些超鏈接所指站點尋找特定信息。搜索引擎是經過CGI腳本執行的方式實現的。***能夠修改這些CGI腳本以執行他們的非法任務。一般，這些CGI腳本只能在這些所指WWW服務器中尋找，但若是進行一些修改，他們就能夠在WWW服務器以外進行尋找。要防止這類問題發生，應將這些CGI腳本設置爲較低級用戶特權。提升系統的抗破壞能力，提升服務器備份與恢復能力，提升站點內容的防篡改與自動修復能力。

3.8 惡意代碼

惡意代碼不限於病毒，還包括蠕蟲、特洛伊***、邏輯×××、和其餘未經贊成的軟件。應該增強對惡意代碼的檢測。

3.9 病毒的***

計算機病毒一直是計算機安全的主要威脅。能在Internet上傳播的新型病毒，例如經過E-Mail傳播的病毒，增長了這種威脅的程度。病毒的種類和傳染方式也在增長，國際空間的病毒總數已達上萬甚至更多。固然，查看文檔、瀏覽圖像或在Web上填表都不用擔憂病毒感染，然而，下載可執行文件和接收來歷不明的E-Mail文件須要特別警戒，不然很容易使系統致使嚴重的破壞。典型的「CIH」病毒就是一可怕的例子。

3.10 不滿的內部員工

不滿的內部員工可能在WWW站點上開些小玩笑，甚至破壞。不論如何，他們最熟悉服務器、小程序、腳本和系統的弱點。對於已經離職的不滿員工，能夠經過按期改變口令和刪除系統記錄以減小這類風險。但還有心懷不滿的在職員工，這些員工比已經離開的員工能形成更大的損失，例如他們能夠傳出相當重要的信息、泄露安全重要信息、錯誤地進入數據庫、刪除數據等等。

3.11 網絡的***手段

通常認爲，目前對網絡的***手段主要表如今：

非受權訪問：沒有預先通過贊成，就使用網絡或計算機資源被看做非受權訪問，若有意避開系統訪問控制機制，對網絡設備及資源進行非正常使用，或擅自擴大權限，越權訪問信息。它主要有如下幾種形式：假冒、身份***、非法用戶進入網絡系統進行違法操做、合法用戶以未受權方式進行操做等。

信息泄漏或丟失：指敏感數據在有意或無心中被泄漏出去或丟失，它一般包括，信息在傳輸中丟失或泄漏（如"***"們利用電磁泄漏或搭線竊聽等方式可截獲機密信息，或經過對信息流向、流量、通訊頻度和長度等參數的分析，推出有用信息，如用戶口令、賬號等重要信息。），信息在存儲介質中丟失或泄漏，經過創建隱蔽隧道等竊取敏感信息等。

破壞數據完整性：以非法手段竊得對數據的使用權，刪除、修改、插入或重發某些重要信息，以取得有益於***者的響應；惡意添加，修改數據，以干擾用戶的正常使用。

拒絕服務***：它不斷對網絡服務系統進行干擾，改變其正常的做業流程，執行無關程序使系統響應減慢甚至癱瘓，影響正經常使用戶的使用，甚至使合法用戶被排斥而不能進入計算機網絡系統或不能獲得相應的服務。

利用網絡傳播病毒：經過網絡傳播計算機病毒，其破壞性大大高於單機系統，並且用戶很難防範。

第四章 安全需求與安全目標

4.1 安全需求分析

經過對企業局域網絡結構、應用及安全威脅分析，能夠看出其安全問題主要集中在對服務器的安全保護、防***和病毒、重要網段的保護以及管理安全上。所以，咱們必須採起相應的安全措施杜絕安全隱患，其中應該作到：

? 公開服務器的安全保護

? 防止***從外部***

? ***檢測與監控

? 信息審計與記錄

? 病毒防禦

? 數據安全保護

? 數據備份與恢復

? 網絡的安全管理

針對企業局域網絡系統的實際狀況，在系統考慮如何解決上述安全問題的設計時應知足以下要求：

1.大幅度地提升系統的安全性（重點是可用性和可控性）；

2.保持網絡原有的能特色，即對網絡的協議和傳輸具備很好的透明性，能透明接入，無需更改網絡設置；

3.易於操做、維護，並便於自動化管理，而不增長或少增長附加操做；
4.儘可能不影響原網絡拓撲結構，同時便於系統及系統功能的擴展；

5.安全保密系統具備較好的性能價格比，一次性投資，能夠長期使用；

6.安全產品具備合法性，及通過國家有關管理部門的承認或認證；

7.分佈實施。

4.2 網絡安全策略

安全策略是指在一個特定的環境裏，爲保證提供必定級別的安全保護所必須遵照的規則。該安全策略模型包括了創建安全環境的三個重要組成部分，即：

威嚴的法律：安全的基石是社會法律、法規、與手段，這部分用於創建一套安全管理標準和方法。即經過創建與信息安全相關的法律、法規，使非法分子懾於法律，不敢輕舉妄動。

先進的技術：先進的安全技術是信息安全的根本保障，用戶對自身面臨的威脅進行風險評估，決定其須要的安全服務種類，選擇相應的安全機制，而後集成先進的安全技術。

嚴格的管理：各網絡使用機構、企業和單位應創建相宜的信息安全管理辦法，增強內部管理，創建審計和跟蹤體系，提升總體信息安全意識。

4.3 系統安全目標

基於以上的分析，咱們認爲這個局域網網絡系統安全應該實現如下目標：

? 創建一套完整可行的網絡安全與網絡管理策略

? 將內部網絡、公開服務器網絡和外網進行有效隔離，避免與外部網絡的直接通訊

? 創建網站各主機和服務器的安全保護措施，保證他們的系統安全

? 對網上服務請求內容進行控制，使非法訪問在到達主機前被拒絕

? 增強合法用戶的訪問認證，同時將用戶的訪問權限控制在最低限度

? 全面監視對公開服務器的訪問，及時發現和拒毫不安全的操做和******行爲

? 增強對各類訪問的審計工做，詳細記錄對網絡、公開服務器的訪問行爲，造成完整的系統日誌

? 備份與災難恢復——強化系統備份，實現系統快速恢復

? 增強網絡安全管理，提升系統全體人員的網絡安全意識和防範技術

第五章 網絡安全方案整體設計

5.1 安全方案設計原則

在對這個企業局域網網絡系統安全方案設計、規劃時，應遵循如下原則：

綜合性、總體性原則：應用系統工程的觀點、方法，分析網絡的安全及具體措施。安全措施主要包括：行政法律手段、各類管理制度（人員審查、工做流程、維護保障制度等）以及專業措施（識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等）。一個較好的安全措施每每是多種方法適當綜合的應用結果。一個計算機網絡，包括我的、設備、軟件、數據等。這些環節在網絡中的地位和影響做用，也只有從系統綜合總體的角度去看待、分析，才能取得有效、可行的措施。即計算機網絡安全應遵循總體安全性原則，根據規定的安全策略制定出合理的網絡安全體系結構。

需求、風險、代價平衡的原則：對任一網絡，絕對安全難以達到，也不必定是必要的。對一個網絡進行實際額研究（包括任務、性能、結構、可靠性、可維護性等），並對網絡面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，而後制定規範和措施，肯定本系統的安全策略。

一致性原則：一致性原則主要是指網絡安全問題應與整個網絡的工做週期（或生命週期）同時存在，制定的安全體系結構必須與網絡的安全需求相一致。安全的網絡系統設計（包括初步或詳細設計）及實施計劃、網絡驗證、驗收、運行等，都要有安全的內容及措施，實際上，在網絡建設的開始就考慮網絡安全對策，比在網絡建設好後再考慮安全措施，不但容易，且花費也小得多。

易操做性原則：安全措施須要人爲去完成，若是措施過於複雜，對人的要求太高，自己就下降了安全性。其次，措施的採用不能影響系統的正常運行。

分步實施原則：因爲網絡系統及其應用擴展範圍廣闊，隨着網絡規模的擴大及應用的增長，網絡脆弱性也會不斷增長。一勞永逸地解決網絡安全問題是不現實的。同時因爲實施信息安全措施需至關的費用支出。所以分步實施，便可知足網絡系統及信息安全的基本需求，亦可節省費用開支。

多重保護原則：任何安全措施都不是絕對安全的，均可能被攻破。可是創建一個多重保護系統，各層保護相互補充，當一層保護被攻破時，其它層保護仍可保護信息的安全。

可評價性原則：如何預先評價一個安全設計並驗證其網絡的安全性，這須要經過國家有關網絡信息安全測評認證機構的評估來實現。

5.2 安全服務、機制與技術

安全服務：主要有控制服務、對象認證服務、可靠性服務等；

安全機制：訪問控制機制、認證機制等；

安全技術：防火牆技術、鑑別技術、審計監控技術、病毒防治技術等；在安全的開放環境中，用戶可使用各類安全應用。安全應用由一些安全服務來實現；而安全服務又是由各類安全機制或安全技術來實現的。應當指出，同一安全機制有時也能夠用於實現不一樣的安全服務。

第六章 網絡安全體系結構
經過對網絡的全面瞭解，按照安全策略的要求、風險分析的結果及整個網絡的安全目標，整個網絡措施應按系統體系創建。具體的安全控制系統由如下幾個方面組成：物理安全、網絡安全、系統安全、信息安全、應用安全和安全管理

6.1 物理安全

保證計算機信息系統各類設備的物理安全是整個計算機信息系統安全的前提，物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人爲操做失誤或錯誤及各類計算機犯罪行爲致使的破壞過程。它主要包括三個方面：

環境安全：對系統所在環境的安全保護，如區域保護和災難保護；（參見國家標準GB50173－93《電子計算機機房設計規範》、國標GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》

設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等；

媒體安全：包括媒體數據的安全及媒體自己的安全。

在網絡的安全方面，主要考慮兩個大的層次，一是整個網絡結構成熟化，主要是優化網絡結構，二是整個網絡系統的安全。

6.1.1 網絡結構

安全系統是創建在網絡系統之上的，網絡結構的安全是安全系統成功創建的基礎。在整個網絡結構的安全方面，主要考慮網絡結構、系統和路由的優化。

網絡結構的創建要考慮環境、設備配置與應用狀況、遠程聯網方式、通訊量的估算、網絡維護管理、網絡應用與業務定位等因素。成熟的網絡結構應具備開放性、標準化、可靠性、先進性和實用性，而且應該有結構化的設計，充分利用現有資源，具備運營管理的簡便性，完善的安全保障體系。網絡結構採用分層的體系結構，利於維護管理，利於更高的安全控制和業務發展。

網絡結構的優化，在網絡拓撲上主要考慮到冗餘鏈路；防火牆的設置和***檢測的實時監控等。

6.1.2 網絡系統安全

6.1.2.1 訪問控制及內外網的隔離

訪問控制能夠經過以下幾個方面來實現：

1.制訂嚴格的管理制度:可制定的相應：《用戶受權實施細則》、《口令字及賬戶管理規範》、《權限管理制度》。
2.配備相應的安全設備：在內部網與外部網之間，設置防火牆實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不一樣網絡或網絡安全域之間信息的惟一出入口。

防火牆主要的種類是包過濾型，包過濾防火牆通常利用IP和TCP包的頭信息對進出被保護網絡的IP包信息進行過濾，能根據企業的安全政策來控制（容許、拒絕、監測）出入網絡的信息流。同時可實現網絡地址轉換（NAT）、審記與實時告警等功能。因爲這種防火牆安裝在被保護網絡與路由器之間的通道上，所以也對被保護網絡和外部網絡起到隔離做用。

防火牆具備如下五大基本功能：過濾進、出網絡的數據；管理進、出網絡的訪問行爲；封堵某些禁止的業務；記錄經過防火牆的信息內容和活動；對網絡***的檢測和告警。

6.1.2.2 內部網不一樣網絡安全域的隔離及訪問控制

在這裏，主要利用VLAN技術來實現對內部子網的物理隔離。經過在交換機上劃分VLAN能夠將整個網絡劃分爲幾個不一樣的廣播域，實現內部一個網段與另外一個網段的物理隔離。這樣，就能防止影響一個網段的問題穿過整個網絡傳播。針對某些網絡，在某些狀況下，它的一些局域網的某個網段比另外一個網段更受信任，或者某個網段比另外一個更敏感。經過將信任網段與不信任網段劃分在不一樣的VLAN段內，就能夠限制局部網絡安全問題對全局網絡形成的影響。

6.1.2.3 網絡安全檢測

網絡系統的安全性取決於網絡系統中最薄弱的環節。如何及時發現網絡系統中最薄弱的環節？如何最大限度地保證網絡系統的安全？最有效的方法是按期對網絡系統進行安全性分析，及時發現並修正存在的弱點和漏洞。

網絡安全檢測工具一般是一個網絡安全性評估分析軟件，其功能是用實踐性的方法掃描分析網絡系統，檢查報告系統存在的弱點和漏洞，建議補救措施和安全策略，達到加強網絡安全性的目的。檢測工具應具有如下功能：

? 具有網絡監控、分析和自動響應功能

? 找出常常發生問題的根源所在；

? 創建必要的循環過程確保隱患時刻被糾正；控制各類網絡安全危險。

? 漏洞分析和響應

? 配置分析和響應

? 漏洞形勢分析和響應

? 認證和趨勢分析

具體體如今如下方面：

? 防火牆獲得合理配置

? 內外WEB站點的安全漏洞減爲最低

? 網絡體系達到強壯的耐***性

? 各類服務器操做系統，如E_MIAL服務器、WEB服務器、應用服務器、，將受******的可能降爲最低

? 對網絡訪問作出有效響應，保護重要應用系統（如財務系統）數據安全不受******和內部人 員誤操做的侵害

6.1.2.4 審計與監控
審計是記錄用戶使用計算機網絡系統進行全部活動的過程，它是提升安全性的重要工具。它不只可以識別誰訪問了系統，還能看出系統正被怎樣地使用。對於肯定是否有網絡***的狀況，審計信息對於去定問題和***源很重要。同時，系統事件的記錄可以更迅速和系統地識別問題，而且它是後面階段事故處理的重要依據。另外，經過對安全事件的不斷收集與積累而且加以分析，有選擇性地對其中的某些站點或用戶進行審計跟蹤，以便對發現或可能產生的破壞性行爲提供有力的證據。

所以，除使用通常的網管軟件和系統監控管理系統外，還應使用目前較爲成熟的網絡監控設備或實時***檢測設備，以便對進出各級局域網的常見操做進行實時檢查、監控、報警和阻斷，從而防止針對網絡的***與犯罪行爲。

6.1.2.5 網絡防病毒