网络信息系统的安全技术体系通常是在安全策略指导下合理配置和部署：网络隔离与访问控制、入侵检测与响应、漏洞扫描、防病毒、数据加密、身份认证、安全监控与审计等技术设备，并且在各个设备或系统之间，能够实现系统功能互补和协调动作。

网络系统安全具备的功能及配置原则

　　1．网络隔离与访问控制。通过对特定网段、服务进行物理和逻辑隔离，并建立访问控制机制，将绝大多数攻击阻止在网络和服务的边界以外。

　　2．漏洞发现与堵塞。通过对网络和运行系统安全漏洞的周期检查，发现可能被攻击所利用的漏洞，并利用补丁或从管理上堵塞漏洞。

　　3．入侵检测与响应。通过对特定网络（段）、服务建立的入侵检测与响应体系，实时检测出攻击倾向和行为，并采取相应的行动（如断开网络连接和服务、记录攻击过程、加强审计等）。

　　4．加密保护。主动的加密通信，可使攻击者不能了解、修改敏感信息（如VPN方式）或数据加密通信方式；对保密或敏感数据进行加密存储，可防止窃取或丢失。

　　5．备份和恢复。良好的备份和恢复机制，可在攻击造成损失时，尽快地恢复数据和系统服务。

　　6．监控与审计。在办公网络和主要业务网络内配置集中管理、分布式控制的监控与审计系统。一方面以计算机终端为单元强化桌面计算的内外安全控制与日志记录；另一方面通过集中管理方式对内部所有计算机终端的安全态势予以掌控。

边界安全解决方案

　　在利用公共网络与外部进行连接的“内”外网络边界处使用防火墙，为“内部”网络（段）与“外部”网络（段）划定安全边界。在网络内部进行各种连接的地方使用带防火墙功能的VPN设备，在进行“内”外网络（段）的隔离的同时建立网络（段）之间的安全通道。

入侵检测与响应方案

　　在网络边界配置入侵检测设备，不仅是对防火墙功能的必要补充，而且可与防火墙一起构建网络边界的防御体系。通过入侵检测设备对网络行为和流量的特征分析，可以检测出侵害“内部”网络或对外泄漏的网络行为和流量，与防火墙形成某种协调关系的互动，从而在“内部”网与外部网的边界处形成保护体系。

漏洞扫描方案

　　除利用入侵检测设备检测对网络的入侵和异常流量外，还需要针对主机系统的漏洞采取检查和发现措施。目前常用的方法是配置漏洞扫描设备。主机漏洞扫描可以主动发现主机系统中存在的系统缺陷和可能的安全漏洞，并提醒系统管理员对该缺陷和漏洞进行修补或堵塞。

　　对于漏洞扫描的结果，一般可以按扫描提示信息和建议，属外购标准产品问题的，应及时升级换代或安装补丁程序；属委托开发的产品问题的，应与开发商协议修改程序或安装补丁程序；属于系统配置出现的问题，应建议系统管理员修改配置参数，或视情况关闭或卸载引发安全漏洞的程序模块或功能模块。

漏洞扫描功能是协助安全管理、掌握网络安全态势的必要辅助，对使用这一工具的安全管理员或系统管理员有较高的技术素质要求。

　　考虑到漏洞扫描能检测出防火墙策略配置中的问题，能与入侵检测形成很好的互补关系：漏洞扫描与评估系统使系统管理员在事前掌握主动地位，在攻击事件发生前找出并关闭安全漏洞；而入侵检测系统则对系统进行监测以期在系统被破坏之前阻止攻击得逞。因此，漏洞扫描与入侵检测在安全保护方面不但有共同的安全目标，而且关系密切。本方案建议采购将入侵检测、管理控制中心与漏洞扫描一体化集成的产品，不但可以简化管理，而且便于漏洞扫描、入侵检测和防火墙之间的协调动作。

网络防病毒方案

　　网络防病毒产品较为成熟，且有几种主流产品。网络防病毒系统应具备下列功能：

　　文件及存储服务器防护—提供服务器病毒防护；

　　邮件服务器防护—提供LotusNotes,MicrosoftExchange等病毒防护；

　　网关防护—在SMTP,HTTP,和FTPservergateway阻挡计算机病毒；

　　集中管理—为企业网络的防毒策略，提供了强大的集中控管能力。

　　关于安全设备之间的功能互补与协调运行

　　各种网络安全设备（防火墙、入侵检测、漏洞扫描、防病毒产品等），都有自己独特的安全探测与安全保护能力，但又有基于自身主要功能的扩展能力和与其它安全功能的对接能力或延续能力。因此，在安全设备选型和配置时，尽可能考虑到相关安全设备的功能互补与协调运行，对于提高网络平台的整体安全性具有重要意义。

　　内部网络监控与审计方案

　　上面的安全措施配置解决了网络边界的隔离与保护，网络与主机的健康（防病毒）运行，以及用户访问网络资源的身份认证和授权问题。