第六章  计算机网络安全防御研究



                  二、企业计算机网络信息安全体系的构建

                  （一）划分不同安全级别的安全域
                  划分不同安全级别的安全域，建立安全边界防护，设置不同的安全访问控制
              策略，防止恶意攻击和非法访问。整个网络的纵向通过防火墙来实现服务器安全

              域与终端设备安全域的划分；在服务器与终端设备的安全域边界部署防火墙、入
              侵检测和防病毒墙等安全产品；通过防火墙，访问用户终端、被访问的服务器及
              应用端口的控制、入侵检测设备对访问行为的检测及网络安全设备（如防火墙、
              网络设备）的联动、防毒墙对传输中病毒过滤来加强服务器的保护，减少通过终

              端设备域给服务器域带来的攻击、病毒传递扩散等安全影响；整个网络的横向通
              过网络设备的 VLAN 来实现服务器间和终端设备间不同安全级别的划分，并通
              过网络设备的 ACL 控制技术来实现不同级别的服务器安全域和不同级别终端设
              备安全域间的控制，降低不同安全域间的相互影响，保证各自安全域的安全。

                  （二）以企业计算机网络中关键业务应用系统及重要数据保护为核心
                  加强用户访问服务器的合法性，统一合法用户和规范授权访问，确保重要信
              息不被非授权访问，保证关键业务应用系统及重要数据的信息安全。应用系统及
              数据的运行安全，可将应用服务与数据库分开部署，数据采取统一集中存储，统

              一备份的方式；重要数据采集在线（通过应用系统自身的备份机制，定期进行数
              据备份）、近线（通过备份软件工具定期对应用系统的数据库进行备份）、离线
              （将备份出来的数据定期写入磁带库中磁带后进行磁带取出存档备份）的三级备
              份要求。关键业务应用系统需要建立应用系统的自身备份系统，定期开展备份数

              据恢复测试工作。同时，通过安全 NAS 等安全产品的部署应用，对关键及重要
              数据进行加密保存。
                  （三）建立信息安全管理制度，健全信息管理人员配置
                  1. 计算机设备管理制度

                  第一，计算机出现重大故障时，应及时向信息管理技术部门报告，不允许私
              自处理或找非本单位技术人员进行维修及操作。
                  第二，业务部门的计算机开启审核功能，由信息终端维护人员定期导出系统
              审核日志。






                                                                                     163