系统部署方案

1、防火墙的部署
根据各个业务系统的特点和安全要求级别，划分相应的安全域和安全子域，在已划分好的安全域边界处部署防火墙产品。同时，要本着“一切未明确允许的访问都禁止”的原则，根据业务特点制定严格的访问控制策略。
2、入侵检测系统
入侵检测技术是当今一种非常重要的动态安全技术，与“传统”的静态防火墙技术共同使用，将可以大大提高系统的安全防护水平。
入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。从网络安全立体纵深、多层次防御的角度出发，入侵检测理应受到人们的高度重视。

3、漏洞扫描系统
安全扫描技术与防火墙、入侵检测系统（安全监控系统）互相配合能够提供很高安全性的网络。安全扫描工具源于“黑客”在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。在网络安全体系的建设中，安全扫描工具的运行相对独立，能较全面检测流行漏洞，检测最严重的安全问题，安装运行简单，可以大规模减少安全管理员的手工劳动，降低安全审计人员的劳动强度，有利于保持全网安全政策的统一和稳定。

4、防病毒系统
为了保证系统自身的安全性，防病毒系统必须建立统一的升级机制，以进行全系统的升级。
工作站直接面对用户，由于用户通常具有主机系统的直接控制权，可以对防病毒软件直接操作，因此，它也是防病毒系统中最难控制的范围。由于工作站物理位置分散，数目众多，必须要有一套高效的软件分发体系。企业级工作站防病毒软件一般为两层构架，即：中心服务器和客户端软件。务器防病毒系统必须重视集中的管理、监控和升级，提高管理效率。同时，因为服务器往往运行重要的应用服务，因此，必须注意防病毒软件对服务器性能、功能以及稳定性的影响。
企业级的服务器防病毒软件往往采用 Client/Server 构架，通过控制台对用户端（Agent软件安装在被保护服务器上，以管理员权限运行）进行管理，这种方式往往不利于服务器自身的安全。因此，服务器防病毒软件必须提供一套有效的安全保障措施。目前，邮件已经成为了病毒传播的最主要途径之一。因此，邮件系统的防护也非常重要。
5、安全审计系统
信息安全审计（简称安全审计）技术是实现信息安全整个过程中关键记录信息的监控统计，是信息安全体系中不可缺少的一部分，针对安全事故分析、追踪起到了关键性作用。
传统的安全审计系统局限于对主机的操作系统日志的收集和简单分析，缺乏对于多种平台、多种网络设备、重要服务器系统、应用系统以及数据库系统综合的安全审计功能。
随着网络规模的迅速扩大，集中单一式的安全审计技术逐步被分布式安全审计技术所代替，加上各类应用系统逐步增多，网络管理人员/运维人员工作量往往会成倍增加，使得关键信息得不到重点关注。大量事实表明，对于安全事件发生或关键数据遭到严重破坏之前完全可以预先通过日志异常行为告警方式通知管理人员，及时进行分析并采取相应措施进行有效阻止，从而大大降低安全事件的发生率。

6、抗拒绝服务攻击系统
对于重要的业务系统而言，可用性可能是至关重要的。因此，部署有效的抗拒绝服务攻击对于服务可用性提供了安全保障。

7、双因素身份认证系统
口令本身只能对真实性进行低级的认证。虽然一次性口令比可重用的静态口令强壮，但它们仍存在能被利用的弱点（需要更多的技巧），其中包括中间人攻击和竞争攻击。而且一次性口令依然是单因素认证，而不是强用户认证。因此静态口令是最不安全、最弱的一种识别与身份认证手段。
因为静态口令存在以上诸多的缺陷，任何听到或窃取到口令的人都会显得完全合法，因此有必要增加第二个物理认证因素，从而使认证的确定性按指数级递增。双因素身份认证就是这样一种强身份认证解决方案，它可确认网络访问的另一端是谁，提升企业网络资源保护的安全级别。

8、安全管理平台
ESP™ （企业安全计划）是绿盟科技在2001年提出的、应用于下一代企业安全管理的理论模型。该模型以实现企业信息系统最大程度的安全为目的，把安全管理作为企业信息安全建设的核心思想，从组织、管理、技术三个方面建立和实现企业的信息安全体系。