內(nèi)網(wǎng)安全設(shè)計(jì)方案（四）

臨時(shí)訪問(wèn)單位內(nèi)部網(wǎng)的安全要求：

在辦公網(wǎng)內(nèi)其他部門辦事，臨時(shí)需要訪問(wèn)本單位內(nèi)部網(wǎng)絡(luò)或服務(wù)器網(wǎng)段的需求，原則上我們不予支持,因?yàn)檫@條需求不符號(hào)安全策略的原則。如果需要互相訪問(wèn)，我們建議通過(guò)特定的公共服務(wù)器進(jìn)行。

同一單位，分布在不同地方的應(yīng)用安全要求：

同一單位，辦公地點(diǎn)不在同一個(gè)地理位置，需要互相訪問(wèn)時(shí)，通過(guò)遠(yuǎn)程撥號(hào)方案或者通過(guò)VPN技術(shù)予于滿足。

各單位特殊人員安全訪問(wèn)要求：

將要防護(hù)的內(nèi)部服務(wù)器分別放在內(nèi)部防火墻的保護(hù)區(qū)域內(nèi)，任何對(duì)于服務(wù)器的訪問(wèn)必須通過(guò)防火墻。建立不同的用戶組，給與不同權(quán)利。可以定義不同的用戶訪問(wèn)其中一臺(tái)，部分，或者全部主機(jī)。在同一時(shí)刻只有一個(gè)用戶名可以登陸到用于訪問(wèn)的PC上。在需要本地保護(hù)的PC上，安裝個(gè)人防護(hù)軟件（如：Security　Client），防止被作為宿主用來(lái)攻擊系統(tǒng)內(nèi)部服務(wù)器。

實(shí)施比較細(xì)致的策略可以達(dá)到用戶安全方面的要求。

可以進(jìn)行通訊加密技術(shù)，對(duì)于在內(nèi)部網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，防止系統(tǒng)內(nèi)部服務(wù)器信息失密。

部門之間的安全保護(hù)

部門之間的安全保護(hù)可以通過(guò)VLAN之間的隔離，目錄服務(wù)的隔離，認(rèn)證、授權(quán)及記帳的辦法來(lái)保證。這些方法有效地隔離了部門之間的互相訪問(wèn)，對(duì)于一些機(jī)要人員可以提供認(rèn)證、授權(quán)的辦法提供可訪問(wèn)性。

單位之間的安全保護(hù)

單位間存在遭受來(lái)自另外單位成員攻擊的可能性。單位間必須要有高安全性。我們建議設(shè)置訪問(wèn)控制、防火墻保護(hù)。

利用Cisco IOS訪問(wèn)控制、防火墻保護(hù)