2017年第二学习阶段
《计算机安全技术》复习资料
试题：结合自身的工作，从技术、管理、法律等方面论述如何构筑完整的计算机安全体系。
f2017年第二学习阶段
如何构筑完整的计算机安全体系
一个全方位的计算机网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输、法律安全和管理安全等。
由于我国大量的网络基础设施尚处于发展阶段，这些大型计算机网络工程都由国内一些较大的系统集成商负责。有些集成商仍缺乏足够专业的安全支撑技术力量，同时一些负责网络安全的工程技术人员对许多潜在风险认识不足。缺乏必要的技术设施和相关处理经验，而对形势日益严峻的现状，很多时候都显得有些力不从心。也正是由于受技术条件的限制，很多人对网络安全的意识缺乏整体意识。
如何构建一个计算机安全体系，须从三个方面着手：
一、技术方面
1、防火墙部署。在I
ter
et与内网之间部署防火墙，成为内外网之间一道牢固的安全屏障。对外服务器连接在防火墙与内、外网间进行隔离，内网口连接网内网交换机，外网口通过路由器与I
ter
et连接。那么，通过I
ter
et进来的公众用户只能访问到对外公开的一些服务，既保护内网资源不被外部非授权用户非法访问或破坏，也可以阻止内部用户对外部不良资源的滥用，并能够对发生在网络中的安全事件进行跟踪和审计。在防火墙设置上我们按照以下原则配置来提高网络安全性：
1）根据网安全策略和安全目标，规划设置正确的安全过滤规则，规则审核IP数据包的内容包括：协议、端口、源地址、目的地址、流向等项目，严格禁止来自公网对内部网不必要的、非法的访问。总体上遵从“不被允许的服务就是被禁止”的原则。
2）将防火墙配置成过滤掉以内部网络地址进入路由器的IP包，这样可以防
计算机安全技术第1页共3页
f2017年第二学习阶段
范源地址假冒和源路由类型的攻击；过滤掉以非法IP地址离开内部网络的IP包，防止内部网络发起的对外攻击。
3）在防火墙上建立内网计算机的IP地址和MAC地址的对应表，防止IP地址被盗用。
4）定期查看防火墙访问日志，及时发现攻击行为和不良上网记录。
5）允许通过配置网卡对防火墙设置，提高防火墙管理安全性。
2、入侵检测系统部署。入侵检测能力是衡量一个防御体系是否完整有效的重要因素，强大完整的入侵检测体系可以弥补防火墙相对静态防御的不足。根据内网网络的特点，采用瑞星入侵检测系统，对来自外部网和网内部的各种行为进行实r