經(jīng)過分析，辦公區(qū)內(nèi)設(shè)備被盜、被毀壞的可能性很小。在家屬區(qū)，我們選擇了有防盜門的樓門作為樓的主節(jié)點(diǎn)。其次，為防止計(jì)算機(jī)系統(tǒng)通過無線電輻射泄露秘密信息，我們采用家屬樓通過可屏蔽光纖直接進(jìn)辦公樓主機(jī)房，避免網(wǎng)絡(luò)骨干線路上數(shù)據(jù)傳輸時(shí)可能造成的電磁泄露． 

2、網(wǎng)絡(luò)層安全風(fēng)險(xiǎn)分析

根據(jù)新的網(wǎng)絡(luò)安全建設(shè)要適應(yīng)未來在高速寬帶ip網(wǎng)上傳輸數(shù)據(jù)、語音、視頻于一體的多媒體綜合業(yè)務(wù)，網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)層中會(huì)存在一定的安全風(fēng)險(xiǎn)，如數(shù)據(jù)傳輸、網(wǎng)絡(luò)邊界、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)服務(wù)等所引發(fā)的安全風(fēng)險(xiǎn)。 

(1)數(shù)據(jù)傳輸風(fēng)險(xiǎn)分析

這里提到的數(shù)據(jù)傳輸，包括兩部分： 

數(shù)據(jù)在辦公區(qū)內(nèi)之間傳輸； 
數(shù)據(jù)在辦公區(qū)與家屬區(qū)之間傳輸。 

無論以上哪種情況，數(shù)據(jù)在傳輸過程中，如果不采取保護(hù)措施，就有可能被竊聽、篡改和破壞，如采用搭線竊聽、在交換機(jī)或集線器上連接一個(gè)竊聽設(shè)備等。這樣，保障通過 internet傳遞的數(shù)據(jù)的機(jī)密性，完整性就無從談起。 

(2)網(wǎng)絡(luò)邊界風(fēng)險(xiǎn)分析

在實(shí)際情況中，如果在網(wǎng)絡(luò)邊界上沒有強(qiáng)有力的控制，則其外部黑客就可以隨意出入企業(yè)總部及各個(gè)分支機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)，從而獲取各種數(shù)據(jù)和信息，那么，泄露問題就無法避免． 

(3)網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)分析

由于在辦公區(qū)和家屬區(qū)網(wǎng)絡(luò)系統(tǒng)中使用大量的網(wǎng)絡(luò)設(shè)備，這些設(shè)備自身的安全性也是要考慮的問題之一，它直接關(guān)系到各種網(wǎng)絡(luò)應(yīng)用能否正常、高效地運(yùn)轉(zhuǎn)．

路由器設(shè)備的路由信息可能泄露，攻擊者可以根據(jù)路由信息把數(shù)據(jù)流向改為別的目標(biāo)主機(jī)，用戶以為發(fā)送正確的數(shù)據(jù)就落到了攻擊者手里；交換機(jī)和路由器設(shè)備存在如果配置不當(dāng)或者配置信息改動(dòng)，也會(huì)引起信息的泄露．網(wǎng)絡(luò)癱瘓等后果。 

(4)網(wǎng)絡(luò)服務(wù)風(fēng)險(xiǎn)分析

在辦公區(qū)網(wǎng)絡(luò)系統(tǒng)上，有大量的網(wǎng)絡(luò)服務(wù)存在，如oa服務(wù)、web服務(wù)、郵件服務(wù)、數(shù)據(jù)庫服務(wù)等。針對(duì)這些服務(wù)的各種攻擊可能造成的破壞．最常見的就是拒絕服務(wù)攻擊dos。其通過不停地向這些網(wǎng)絡(luò)設(shè)備及服務(wù)器發(fā)送大量的數(shù)據(jù)包．造成網(wǎng)絡(luò)的癱瘓，嚴(yán)重影響網(wǎng)絡(luò)的運(yùn)行。 
從某種程度上可以說，dos攻擊永遠(yuǎn)不會(huì)消失。而且從技術(shù)上來講，其利用的是tcp／ip協(xié)議自身的缺陷。 dos技術(shù)嚴(yán)格地說只是一種破壞網(wǎng)絡(luò)服務(wù)的技術(shù)方式，具體的實(shí)現(xiàn)多種多樣，但都有一個(gè)共同點(diǎn)，就是其根本目的是使受害主機(jī)或網(wǎng)絡(luò)失去及時(shí)接受處理外界請(qǐng)求，或無法及時(shí)回應(yīng)外界請(qǐng)求。 

3、系統(tǒng)層安全風(fēng)險(xiǎn)分析

系統(tǒng)層的安全風(fēng)險(xiǎn)分析主要針對(duì)局域網(wǎng)內(nèi)使用的操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及相關(guān)商用產(chǎn)品的安全漏洞和病毒威脅進(jìn)行分析。 
同時(shí)病毒也是系統(tǒng)安全的主要威脅，現(xiàn)在的病毒，大多利用了操作系統(tǒng)本身的漏洞，并通過網(wǎng)絡(luò)迅速傳播。所有這些都造成了整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的脆弱性。 

4、應(yīng)用層安全風(fēng)險(xiǎn)分析

在整個(gè)網(wǎng)絡(luò)系統(tǒng)環(huán)境中存在著大量的應(yīng)用服務(wù)，如web服務(wù)、郵件服務(wù)、oa服務(wù)、數(shù)據(jù)庫服務(wù)等。對(duì)于這些服務(wù)，不可避免地存在安全漏洞。這些漏洞可能是服務(wù)系統(tǒng)自身所有的．也可以是配置管理不當(dāng)造成的。 

5、電子郵件系統(tǒng)風(fēng)險(xiǎn)分析

在局域網(wǎng)中，用戶與外界進(jìn)行數(shù)據(jù)交換最常用的方式就是通過電子郵件，同時(shí)，通過電子郵件大規(guī)模傳播，散布病毒及黑客程序也成為可能． 

用戶進(jìn)行電子郵件發(fā)送和接收肘可能存在被黑客跟蹤或收到一些惡意程序(如特洛伊木馬．蠕蟲等)、病毒程序等，這里的黑客，有可能就是局域網(wǎng)內(nèi)的某個(gè)用戶，有意或出于好奇使用黑客軟件對(duì)郵件用戶進(jìn)行攻擊。由于許多用戶安全意識(shí)比較淡薄，對(duì)一些來歷不明的郵件，沒有警惕性，給入侵者提供機(jī)會(huì)。通過郵件，可以迅速把這些破壞性的程序在局域網(wǎng)系統(tǒng)中傳播，給系統(tǒng)帶來不安全因素。 

6、管理層安全風(fēng)險(xiǎn)分析

責(zé)權(quán)不明，管理混亂，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。 
當(dāng)網(wǎng)絡(luò)出現(xiàn)攻擊行為或網(wǎng)絡(luò)受到其他一些安全威脅時(shí) (如內(nèi)部人員的違規(guī)操作等)，要進(jìn)行實(shí)時(shí)的檢測(cè)、監(jiān)控。報(bào)告與預(yù)警。同時(shí)，當(dāng)事故發(fā)生后，能夠提供黑客攻擊行為的追蹤線索及破案依據(jù)。將管理制度和管理解決方案相結(jié)合，并輔之以相應(yīng)的安全管理工具。 

三，網(wǎng)絡(luò)安全措施 

我們采取了以下幾個(gè)方面解決措施： 

(1)制定合理的安全管理制度和策略，確保不因管理上的漏洞造成網(wǎng)絡(luò)運(yùn)行的安全問題； 
(2)采用專用的網(wǎng)絡(luò)加密機(jī)和主機(jī)數(shù)據(jù)加密設(shè)備，建立安全保密系統(tǒng)，對(duì)數(shù)據(jù)的傳輸、存儲(chǔ)進(jìn)行加解密處理，實(shí)現(xiàn)數(shù)據(jù)傳輸。處理、存儲(chǔ)過程中的機(jī)密性，完整性和可用性； 
(3)更換成有4個(gè)以太端口的東方龍馬wlmb-5007x防火墻系統(tǒng)，將辦公區(qū)與家屬區(qū)和dmz區(qū)隔離開，并對(duì)進(jìn)出的所有數(shù)據(jù)進(jìn)行柱查和訪問控制： 
(4)在辦公區(qū)端口處增加鷹眼網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，避免辦公區(qū)網(wǎng)絡(luò)中重要網(wǎng)段遭到攻擊和破壞； 
(5)采用新的瑞星企業(yè)級(jí)網(wǎng)絡(luò)版防病毒系統(tǒng),避免整個(gè)網(wǎng)絡(luò)遭到病毒的破壞； 
(6)采用主頁防篡改系統(tǒng)，避免辦公外網(wǎng)中的web站點(diǎn)被破壞； 
(7)采用全網(wǎng)統(tǒng)一的安全管理平臺(tái)系統(tǒng)，對(duì)網(wǎng)絡(luò)中涉及的各種安全工具和系統(tǒng)進(jìn)行集中統(tǒng)一的管理。 

我們這個(gè)網(wǎng)絡(luò)所面臨的安全問題是有共性的，我們的體會(huì)是應(yīng)該從實(shí)際出發(fā)，認(rèn)真分析自身的安全需求，面對(duì)林林總總的安全產(chǎn)品和解決方案選擇適用的安全產(chǎn)品和方案，才能達(dá)到事半功倍的效果。

多易