數據防線網路安全

A. 網路信息系統安全的第一道防線是什麼

第一道是信息系統自身的安全性（如漏洞缺陷），第二道是反病毒軟體和網路防火牆，第三道防線是信息系統的數據備份。

B. 關於影響網路安全的主要因素有哪些

影響網路安全的主要因素
1. 漏洞
漏洞是造成安全問題的重要隱患，絕大多數非法入侵、木馬、病毒都是通過漏洞來突破網路安全防線的。因此，防堵漏洞是提高系統及網路安全的關鍵之一。
當前的漏洞問題主要包括兩個方面：一是軟體系統的漏洞，如操作系統漏洞、IE 漏洞、Office 漏洞等，以及一些應用軟體、資料庫系統(如SQL Server)漏洞;二是硬體方面的漏洞，如防火牆、路由器等網路產品的漏洞。
2. 內部人員操作不規范
在日常故障統計中，工作人員使用不當而造成的問題占絕大多數，例如，有的工作人員在多台機器上使用U 盤、移動硬碟拷貝文件時，不注意殺毒;有的工作人員在計算機上隨意安裝軟體;還有人安全意識不強，用戶口令選擇不慎，將自己的賬號隨意轉借他人，甚至與別人共享賬號，這些也會給網路安全帶來威脅。
3. 病毒與非法入侵
單位用於正常辦公的計算機里通常保存了大量的文檔、業務資料、公文、檔案等重要數據和信息資料，如果被病毒破壞，被非法入侵者盜取或篡改，就可能造成數據信息丟失，甚至泄密，嚴重影響到正常辦公的順利進行。
計算機感染病毒以後，輕則系統運行速度明顯變慢，頻繁宕機，重則文件被刪除，硬碟分區表被破壞，甚至硬碟被非法格式化，還可能引發硬體的損壞。還有些病毒一旦感染主機，就會將系統中的防病毒程序關掉，讓防病毒防線整個崩潰。

網路安全的防範措施
1. 完善網路安全管理制度
加強安全管理，網路內的任何部門除了要嚴格遵守現有規章制度外，還要逐步完善網路系統的安全管理制度，加強內部管理。
完善的安全管理制度能約束用戶的操作規范，形成高度可操作的規范使用網路的管理體系。這是氣象信息網路安全問題得以解決的重要保證，也是防止內、外部攻擊的有效方法。
2. 病毒防範
根據日常業務辦公需求，經常需要進行文件傳送、資料共享等，這就給計算機病毒的傳播提供了途徑和可能性，必須有適合於區域網的全方位的防病毒產品。
同時，用戶在日常使用計算機時應養成良好的習慣，並掌握一些常用的殺毒技巧。一旦發現感染病毒，首先進行隔離，將其從聯網狀態中分離出來，然後殺毒。
3. 對網路系統進行合理配置
本級氣象部門內部網路不僅連接上下級單位的網路，而且和其他專網、互聯網都有連接，這些網路間都存在著不同程度的信息交換。由於不同網路的互信程度不同，安全級別不同，所以必須根據一定的安全策略來控制、允許或拒絕出入內部網路的信息流，剔除惡意的、帶有攻擊性質的信息流，保障內部網路的暢通與安全。
路由器通常部署在網路邊界處，是外部信息流進入內部網路的第一道關口。本文以Blaster 蠕蟲病毒為例，在博達路由器中運用訪問控制列表(ACL)，當病毒到達路由器時，這些數據都會被過濾掉，以此來阻止病毒傳播。
由於感染了該病毒的主機會通過TCP 4444 埠和UDP 69 埠向內部主機傳播病毒，使系統操作異常，不停重啟，甚至導致系統崩潰。我們在路由器外網介面的ACL 設置如下：
ip access-list extended rule1 deny tcp any any eq 4444 deny udp any any eq 69 permit ip any any ip access-group rule1 in
通過以上設置，也可以限制一些特殊UDP、TCP 埠，阻止入侵者攻擊，並避免某些埠由於流量過大而影響整個網路，從而確保氣象業務的順利進行。
4. 部署防火牆
通過路由器、防火牆等對有關網段的訪問進行控制：對不需要對外進行訪問的主機，將其封閉在固定的網段中;對需要對外進行有限訪問的主機，則設定單點路由，最大限度地阻止網路中的非法入侵者訪問內部的網路，防止其隨意更改、移動甚至刪除網路上的重要信息，確保重要的業務主機網段的安全。
5. 其他安全措施
(1)漏洞掃描
確定一種能查找漏洞、評估並提出修改建議的網路安全掃描工具，利用優化系統配置和打補丁等各種方式，最大可能地彌補最新的安全漏洞和消除安全隱患。
有很多病毒就是通過系統漏洞對計算機進行破壞的，很多非法入侵者也能夠通過系統漏洞入侵到目標計算機中，並對其進行破壞。因此，應及時安裝最新的系統補丁、資料庫補丁。
很多安全工具都有檢查系統漏洞的功能，可以藉助它們，對系統進行定期檢查，以便將漏洞所產生的危害降到最低。
(2)數據備份
為了防止無法預料的系統故障，或用戶不小心進行的非法操作，必須對系統進行安全備份。
除了對系統進行定時備份外，還應該對修改過的數據進行備份，應將修改過的重要系統文件存放在不同的伺服器上，以便系統崩潰時，可以及時地將系統恢復到正常狀態。
以自動站原始數據的備份為例，各地氣象台站對於自動站原始數據的備份，除了採用本地硬碟備份外，也採用專用的移動存儲設備定期轉移備份，或者利用網路進行雙機備份。最好用光碟刻錄機將數據刻錄在光碟中，確保信息的安全完整性。
(3)訪問控制
訪問許可權控制是實現安全防範和保護的重要措施之一，其主要任務是對用戶訪問網路資源的許可權進行嚴格的認證和控制，防止非法用戶進入系統及防止合法用戶對系統資源的非法使用。
例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權等。
通過訪問控制，可以有效保護內部網路的安全。
(4)加強維護力量
系統管理員應及時更新知識，了解最前沿的安全防範措施，及時更改網路系統的安全布防，確保網路的正常運行。

C. 如何對資料庫進行安全防護

我們可以從以下幾點進行保護：
1、使用安全的密碼策略
2、使用安全的帳號策略
3、加強資料庫日誌的記錄
4、管理擴展存儲過程
5、使用協議加密
6、不要讓人隨便探測到你的TCP/IP埠
7、修改TCP/IP使用的埠
8、拒絕來自1434埠的探測
9、對網路連接進行IP限制
10、安裝資料庫審計系統（例如：昂楷資料庫審計系統）

D. 數據安全防護措施有哪些呢

一、加強安全意識培訓

一系列企業泄密事件的發生，根本原因還在於安全意識的嚴重缺失，加強安全意識的培訓刻不容緩。

1、定期進行安全意識的宣導，強化員工對信息安全的認知，引導員工積極執行企業保密制度。

2、在信息安全培訓的同時，不定期進行安全制度考核，激勵員工積極關注企業數據安全。

二、建立文件保密制度

1、對企業文件實行分級管理，按照文件的重要性進行分類，將其限制在指定的管理層級范圍內，避免核心資料的隨意傳播。

2、與核心人員簽訂競業協議或保密協議，以合同的法律效應，有效防止核心機密的泄露。

3、與離職員工做好工作交接，按照制度流程，全面妥善接收工作資料，避免企業信息外泄。

4、嚴格控制便簽、筆記本、文件袋等辦公用品的擺放，及時清理和歸檔，避免因此造成的泄密。

5、加強對辦公設備的監管，必須設置登錄密碼並定期更換，離席必須鎖屏。

6、重視對過期文件的銷毀工作，最好進行粉碎處理，切不可隨意扔進垃圾桶完事。

7、推行無紙化辦公，盡量減少文件的列印，避免文件隨意列印造成的信息泄露。

8、設置防護措施，限制通過U盤、硬碟的拷貝行為及網路傳送行為，避免信息外泄。

9、定期進行信息安全檢查，全員參與查漏補缺，逐步完善企業保密制度。

三、彌補系統漏洞

定期全面檢查企業現行辦公系統和應用，發現漏洞後，及時進行系統修復，避免漏洞被黑客利用造成機密泄露。

1、辦公操作系統盡可能使用正版，並定期更新，安裝補丁程序。

2、資料庫系統需要經常排查潛在風險，依據評估預測，積極做好系統升級。

四、密切監管重點崗位的核心數據

企業日常的辦公數據數以億計，全面監控難度極大，對核心數據的監控切實可行且十分必要。

監控核心數據的同時，需要密切關注接觸這類數據的重點人員的操作行為是否符合制度規范。

五、部署文檔安全管理系統

如KernelSec等文檔安全管理系統。對企業計算機進行安全部署，確保數據在企業內已經得到加密，即使流傳到外部，在未授權的設備上無法進行操作，保證了數據的安全性。

(4)數據防線網路安全擴展閱讀：

威脅數據安全的因素有很多，主要有以下幾個比較常見：

1、硬碟驅動器損壞：一個硬碟驅動器的物理損壞意味著數據丟失。設備的運行損耗、存儲介質失效、運行環境以及人為的破壞等，都能造成硬碟驅動器設備造成影響。

2、人為錯誤：由於操作失誤，使用者可能會誤刪除系統的重要文件，或者修改影響系統運行的參數，以及沒有按照規定要求或操作不當導致的系統宕機。

3、黑客：入侵者藉助系統漏洞、監管不力等通過網路遠程入侵系統。

4、病毒：計算機感染病毒而招致破壞，甚至造成的重大經濟損失，計算機病毒的復制能力強，感染性強，特別是網路環境下，傳播性更快。

5、信息竊取：從計算機上復制、刪除信息或乾脆把計算機偷走。

E. 什麼是網路安全，為何要注重網路安全

沒有網路安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。要樹立正確的網路安全觀，加強信息基礎設施網路安全防護，加強網路安全信息統籌機制、手段、平台建設，加強網路安全事件應急指揮能力建設，積極發展網路安全產業，做到關口前移，防患於未然。
01 網路安全是什麼？
網路安全，是指通過採取必要措施，防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網路處於穩定可靠運行的狀態，以及保障網路數據的完整性、保密性、可用性的能力。

2020年4月《 第45次中國互聯網路發展狀況統計報告》顯示，我國網民規模突破9億
新華社發 勾建山 作
02 網路安全為何重要？
當今時代，網路安全和信息化對一個國家很多領域都是牽一發而動全身的，網路安全已是國家安全的重要組成部分。沒有網路安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。從世界范圍看，網路安全威脅和風險日益突出，並向政治、經濟、文化、社會、生態、國防等領域傳導滲透。網路安全已經成為我國面臨的最復雜、最現實、最嚴峻的非傳統安全問題之一。

03 當前我國網路安全總體形勢如何？
隨著網路信息技術與應用的不斷演進，互聯網已成為整個經濟社會發展升級的重要驅動，同時帶來的風險挑戰也不斷增大，網路空間威脅日益增多。通過依法開展網路空間治理，我國網路空間日漸清朗，網路安全頂層設計不斷完善，網路安全綜合治理能力水平不斷提升。當前，我國各類網路違法犯罪時有發生，數據安全和侵犯個人隱私問題、關鍵信息基礎設施安全防護問題日益凸顯，高強度網路攻擊愈加明顯。
《2019年我國互聯網網路安全態勢綜述》顯示，2019年我國網路安全比較突出的問題主要表現在：分布式拒絕服務攻擊高發頻發且攻擊組織性與目的性更加凸顯；高級持續性威脅攻擊逐步向各重要行業領域滲透；信息系統面臨的漏洞威脅形勢更加嚴峻；數據安全防護意識依然薄弱；「灰色」應用程序針對重要行業安全威脅更加明顯；網路黑產活動專業化、自動化程度不斷提升；新技術的應用給工業控制系統帶來安全新隱患。

5G 「新基建」 新華社 漫畫
04 如何認識安全與發展的關系？
安全與發展有機統一。發展利益與安全利益是國家核心利益的重要內容。一方面，發展是安全的保障，不可能離開發展談安全；另一方面，安全是發展的前提，不能為了發展罔顧安全，安全和發展要同步推進。古往今來，很多技術都是「雙刃劍」，既可以造福社會、造福人民，也可以被一些人用來損害社會公共利益和民眾利益，因而要正確處理安全和發展的關系。網路安全和信息化是相輔相成的，是一體之兩翼，驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。
05 如何樹立正確的網路安全觀？
正確樹立網路安全觀，認識當今的網路安全有幾個主要特點：
一是網路安全是整體的而不是割裂的。在信息時代，網路安全對國家安全牽一發而動全身，同許多其他方面的安全都有著密切關系。
二是網路安全是動態的而不是靜態的。網路變得高度關聯、相互依賴，網路安全的威脅來源和攻擊手段不斷變化，需要樹立動態、綜合的防護理念。
三是網路安全是開放的而不是封閉的。只有立足開放環境，加強對外交流、合作、互動、博弈，吸收先進技術，網路安全水平才會不斷提高。
四是網路安全是相對的而不是絕對的。沒有絕對安全，要立足基本國情保安全，避免不計成本追求絕對安全。
五是網路安全是共同的而不是孤立的。網路安全為人民，網路安全靠人民，維護網路安全是全社會共同責任，需要政府、企業、社會組織、廣大網民共同參與，共築網路安全防線。

F. 網路安全的定義，並指出包括哪些方面

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

• 保密性

  網路安全解決措施信息不泄露給非授權用戶、實體或過程，或供其利用的特性。

• 完整性
  

  數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

• 可用性

  可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊；

• 可控性

  對信息的傳播及內容具有控制能力。

• 可審查性

  出現安全問題時提供依據與手段

  從網路運行和管理者角度說，希望對本地網路信息的訪問、讀寫等操作受到保護和控制，避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅，制止和防禦網路黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。

  隨著計算機技術的迅速發展，在計算機上處理的業務也由基於單機的數學運算、文件處理，基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網（Intranet）、企業外部網（Extranet）、全球互聯網（Internet）的企業級計算機處理系統和世界范圍內的信息共享和業務處理。

  在系統處理能力提高的同時，系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時，基於網路連接的安全問題也日益突出，整體的網路安全主要表現在以下幾個方面：網路的物理安全、網路拓撲結構安全、網路系統安全、應用系統安全和網路管理的安全等。

  因此計算機安全問題，應該像每家每戶的防火防盜問題一樣，做到防範於未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現了，一旦發生，常常措手不及，造成極大的損失。

通常，系統安全與性能和功能是一對矛盾的關系。如果某個系統不向外界提供任何服務（斷開），外界是不可能構成安全威脅的。但是，企業接入國際互連網路，提供網上商店和電子商務等服務，等於將一個內部封閉的網路建成了一個開放的網路環境，各種安全包括系統級的安全問題也隨之產生。

構建網路安全系統，一方面由於要進行認證、加密、監聽，分析、記錄等工作，由此影響網路效率，並且降低客戶應用的靈活性；另一方面也增加了管理費用。

但是，來自網路的安全威脅是實際存在的，特別是在網路上運行關鍵業務時，網路安全是首先要解決的問題。

全方位的安全體系：

與其它安全體系（如保安系統）類似，企業應用系統的安全體系應包含：

訪問控制：通過對特定網段、服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前。

檢查安全漏洞：通過對安全漏洞的周期檢查，即使攻擊可到達攻擊目標，也可使絕大多數攻擊無效。

攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時檢測出絕大多數攻擊，並採取相應的行動（如斷開網路連接、記錄攻擊過程、跟蹤攻擊源等）。

加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息。

認證：良好的認證體系可防止攻擊者假冒合法用戶。

備份和恢復：良好的備份和恢復機制，可在攻擊造成損失時，盡快地恢復數據和系統服務。

多層防禦，攻擊者在突破第一道防線後，延緩或阻斷其到達攻擊目標。

隱藏內部信息，使攻擊者不能了解系統內的基本情況。

設立安全監控中心，為信息系統提供安全體系管理、監控，渠護及緊急情況服務。

G. 網路安全是什麼

1、網路安全是什麼？

網路安全，是指通過採取必要措施，防範對網路的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網路處於穩定可靠運行的狀態，以及保障網路數據的完整性、保密性、可用性的能力。

2、網路安全為何重要？

當今時代，網路安全和信息化對一個國家很多領域都是牽一發而動全身的，網路安全已是國家安全的重要組成部分。沒有網路安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。從世界范圍看，網路安全威脅和風險日益突出，並向政治、經濟、文化、社會、生態、國防等領域傳導滲透。網路安全已經成為我國面臨的最復雜、最現實、最嚴峻的非傳統安全問題之一。

3、如何樹立正確的網路安全觀？

正確樹立網路安全觀，認識當今的網路安全有以下幾個主要特點：

1
一是網路安全是整體的而不是割裂的。
在信息時代，網路安全對國家安全牽一發而動全身，同許多其他方面的安全都有著密切關系。

2
二是網路安全是動態的而不是靜態的。
網路變得高度關聯、相互依賴，網路安全的威脅來源和攻擊手段不斷變化，需要樹立動態、綜合的防護理念。

3
三是網路安全是開放的而不是封閉的。
只有立足開放環境，加強對外交流、合作、互動、博弈，吸收先進技術，網路安全水平才會不斷提高。

4
四是網路安全是相對的而不是絕對的。
沒有絕對安全，要立足基本國情保安全，避免不計成本追求絕對安全。

5
五是網路安全是共同的而不是孤立的。
網路安全為人民，網路安全靠人民，維護網路安全是全社會共同責任，需要政府、企業、社會組織、廣大網民共同參與，共築網路安全防線。

H. 網路安全機制包括些什麼

網路安全機制包括接入管理、安全監視和安全恢復三個方面。

接入管理主要處理好身份管理和接入控制，以控制信息資源的使用；安全監視主要功能有安全報警設置以及檢查跟蹤；安全恢復主要是及時恢復因網路故障而丟失的信息。

接入或訪問控制是保證網路安全的重要手段，它通過一組機制控制不同級別的主體對目標資源的不同授權訪問，在對主體認證之後實施網路資源的安全管理使用。

網路安全的類型

（1）系統安全

運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻，產生信息泄露，干擾他人或受他人干擾。

（2）網路信息安全

網路上系統信息的安全。包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。

（3）信息傳播安全

網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上自由傳輸的信息失控。

（4）信息內容安全

網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。

I. 如何提升網路信息安全保障能力

健全的網路與信息安全保障措施 隨著企業網路的普及和網路開放性，共享性，互連程度的擴大，網路的信息安全問題也越來越引起人們的重視。一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全，還要保護數據安全。網路安全風險分析 計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網路的潛在威脅。信息網路化使信息公開化、信息利用自由化，其結果是信息資源的共享和互動，任何人都可以在網上發布信息和獲取信息。這樣，網路信息安全問題就成為危害網路發展的核心問題，與外界的網際網路連接使信息受侵害的問題尤其嚴重。 目前企業網路信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。 計算機病毒是一種危害計算機系統和網路安全的破壞性程序。它可以直接破壞計算機數據信息，也可以大量佔用磁碟空間、搶占系統資源從而干擾了系統的正常運行。 隨著Internet技術的發展、企業網路環境的日趨成熟和企業網路應用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽，尤其是Internet環境和企業網路環境為病毒傳播、生存提供了環境。 黑客攻擊已經成為近年來經常發生的事情，網路中伺服器被攻擊的事件層出不窮。黑客利用計算機系統、網路協議及資料庫等方面的漏洞和缺陷，採用破解口令(password cracking)、天窗(trapdoor)、後門(backdoor)、特洛伊木馬(Trojan horse)等手段侵入計算機系統，進行信息破壞或佔用系統資源，使得用戶無法使用自己的機器。一般大型企業的網路都擁有Internet連接，同時對外提供的WWW和EMAIL等服務。因此企業內部網路通過Internet連接外部進行大量的信息交換，而其中大約80%信息是電子郵件，郵件中又有一半以上的郵件是垃圾郵件，這一比例還在逐年上升。 企業區域網內部的信息安全更是不容忽視的。網路內部各節點之間通過網路共享網路資源，就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下，因此造成信息泄漏；甚至存在內部人員編寫程序通過網路進行傳播，或者利用黑客程序入侵他人主機的現象。因此，網路安全不僅要防範外部網，同時更防範內部網。網路安全措施 由此可見，有眾多的網路安全風險需要考慮，因此，企業必須採取統一的安全策略來保證網路的安全性。一個完整的安全技術和產品包括：身份認證、訪問控制、流量監測、網路加密技術、防火牆、入侵檢測、防病毒、漏洞掃描等；而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。 1.外部入侵的防範措施 (1)網路加密(Ipsec) IP層是TCP/IP網路中最關鍵的一層，IP作為網路層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網路安全的核心。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全，所以能實現非常細致的安全控制。對於用戶來說，便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網路數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務，使得數據在通過公共網路傳輸時，不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密演算法、驗證演算法、封裝協議和一些特殊的安全保護機制來實現這些目的，而這些演算法及其參數是保存在進行IPSec通信兩端的SA(Security Association，安全聯盟)，當兩端的SA中的設置匹配時，兩端就可以進行IPSec通信了。 在虛擬專用網(VPN)中主要採用了IPSec技術。 (2)防火牆 防火牆是一種網路安全保障手段，是網路通信時執行的一種訪問控制尺度，其主要目標就是通過控制進、出一個網路的許可權，在內部和外部兩個網路之間建立一個安全控制點，對進、出內部網路的服務和訪問進行控制和審計，防止外部網路用戶以非法手段通過外部網路進入內部網路，訪問、干擾和破壞內部網路資源。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet之間的任何活動，保證了內部網路的安全。 防火牆有軟、硬體之分，實現防火牆功能的軟體，稱為軟體防火牆。軟體防火牆運行於特定的計算機上，它需要計算機操作系統的支持。基於專用的硬體平台的防火牆系統，稱為硬體防火牆。它們也是基於PC架構，運行一些經過裁剪和簡化的操作系統，承載防火牆軟體。 (3)入侵檢測 部署入侵檢測產品，並與防火牆聯動，以監視區域網外部繞過或透過防火牆的攻擊，並及時觸發聯動的防火牆及時關閉該連接；同時監視主伺服器網段的異常行為，以防止來自區域網內部的攻擊或無意的誤用及濫用行為。入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力。 2.內部非法活動的防範措施 (1)身份認證 網路安全身份認證是指登錄計算機網路時系統對用戶身份的確認技術。是網路安全的第一道防線，也是最重要的一道防線。用戶在訪問安全系統之前，首先經過身份認證系統識別身份，然後訪問監控器根據用戶的身份和授權資料庫決定用戶是否能夠訪問某個資源。授權資料庫由安全管理員按照需要進行配置。審計系統根據審計設置記錄用戶的請求和行為，同時入侵檢測系統實時或非實時地檢測是否有入侵行為。訪問控制和審計系統都要依賴於身份認證系統提供的用戶的身份。身份認證在安全系統中的地位極其重要，是最基本的安全服務，其它的安全服務都要依賴於它。一旦身份認證系統被攻破，那麼系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統，因此身份認證實在是網路安全的關鍵。 (2)訪問控制 訪問控制決定了用戶可以訪問的網路范圍、使用的協議、埠；能訪問系統的何種資源以及如何使用這些資源。在路由器上可以建立訪問控制列表，它是應用在路由器介面的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕，可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。建立訪問控制列表後，可以限制網路流量，提高網路性能，對通信流量起到控制的手段，這也是對網路訪問的基本安全手段。由於訪問控制列表ACL(Access Control List)的表項可以靈活地增加，所以可以把ACL當作一種網路控制的有力工具，用來過濾流入和?鞽雎酚善鶻涌詰氖蒞?在應用系統中，訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日誌和審計。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據，根據授予的許可權限制其對資源的利用范圍和程度。 (3)流量監測 目前有很多因素造成網路的流量異常，如拒絕服務攻擊(DoS)、網路蠕蟲病毒的傳播、一些網路掃描工具產生的大量TCP連接請求等，很容易使網路設備癱瘓。這些網路攻擊，都是利用系統服務的漏洞或利用網路資源的有限性，在短時間內發動大規模網路攻擊，消耗特定資源，造成網路或計算機系統癱瘓。因此監控網路的異常流量非常重要。流量監測技術主要有基於SNMP的流量監測和基於Netflow的流量監測。基於SNMP的流量信息採集，是通過提取網路設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變數。 基於SNMP收集的網路流量信息包括：輸入位元組數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出位元組數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。基於Netflow流量信息採集是基於網路設備提供的Netflow機制實現的網路流量信息採集，在此基礎上實現的流量信息採集效率和效果均能夠滿足網路流量異常監測的需求。基於以上的流量檢測技術，目前有很多流量監控管理軟體，此類軟體是判斷異常流量流向的有效工具，通過流量大小變化的監控，可以幫助網管人員發現異常流量，特別是大流量異常流量的流向，從而進一步查找異常流量的源、目的地址。處理異常流量最直接的解決辦法是切斷異常流量源設備的物理連接，也可以採用訪問控制列表進行包過濾或在路由器上進行流量限定的方法控制異常流量。 (4)漏洞掃描 對一個網路系統而言，存在不安全隱患，將是黑客攻擊得手的關鍵因素。就目前的網路系統來說，在硬體、軟體、協議的具體實現或系統安全策略方面都可能存在一定的安全缺陷即安全漏洞。及時檢測出網路中每個系統的安全漏洞是至關重要的。安全掃描是增強系統安全性的重要措施之一，它能夠有效地預先評估和分析系統中的安全問題。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序，按功能可分為：操作系統漏洞掃描、網路漏洞掃描和資料庫漏洞掃描。網路漏洞掃描系統，是指通過網路遠程檢測目標網路和主機系統漏洞的程序，它對網路系統和設備進行安全漏洞檢測和分析，從而發現可能被入侵者非法利用的漏洞。定期對網路系統進行漏洞掃描，可以主動發現安全問題並在第一時間完成有效防護，讓攻擊者無隙可鑽。 (5)防病毒 企業防病毒系統應該具有系統性與主動性的特點，能夠實現全方位多級防護。考慮到病毒在網路中存儲、傳播、感染的方式各異且途徑多種多樣，相應地在構建網路防病毒系統時，應利用全方位的企業防毒產品，實施集中控制、以防為主、防殺結合的策略。具體而言，就是針對網路中所有可能的病毒攻擊設置對應的防毒軟體，通過全方位、多層次的防毒系統配置，使網路沒有薄弱環節成為病毒入侵的缺口。實例分析 大慶石化區域網是企業網路，覆蓋大慶石化機關、各生產廠和其他的二級單位，網路上運行著各種信息管理系統，保存著大量的重要數據。為了保證網路的安全，針對計算機網路本身可能存在的安全問題，在網路安全管理上我們採取了以下技術措施： 1.利用PPPOE撥號上網的方式登錄區域網 我們對網路用戶實施了身份認證技術管理。用戶採用 PPPOE撥號方式上區域網，即用戶在網路物理線路連通的情況下，需要通過撥號獲得IP地址才能上區域網。我們選用華為ISN8850智能IP業務交換機作為寬頻接入伺服器(BAS)，RADIUS伺服器作用戶認證系統，每個用戶都以實名注冊，這樣我們就可以管理用戶的網上行為，實現了對乙太網接入用戶的管理。 2.設置訪問控制列表 在我們的網路中有幾十台路由交換機，在交換機上我們配置了訪問控制列表，根據信息流的源和目的 IP 地址或網段，使用允許或拒絕列表，更准確地控制流量方向，並確保 IP 網路免遭網路侵入。 3.劃分虛擬子網 在區域網中，我們把不同的單位劃分成不同的虛擬子網(VLAN)。對於網路安全要求特別高的應用，如醫療保險和財務等，劃分獨立的虛擬子網，並使其與區域網隔離，限制其他VLAN成員的訪問，確保了信息的保密安全。 4.在網路出口設置防火牆在區域網的出口，我們設置了防火牆設備，並對防火牆制定安全策略，對一些不安全的埠和協議進行限制，使所有的伺服器、工作站及網路設備都在防火牆的保護之下，同時配置一台日誌伺服器記錄、保存防火牆日誌，詳細記錄了進、出網路的活動。 5.部署Symantec防病毒系統 我們在大慶石化區域網內部署了Symantec防病毒系統。Symantec系統具有跨平台的技術及強大功能，系統中心是中央管理控制台。通過該管理控制台集中管理運行Symantec AntiVirus 企業版的伺服器和客戶端；可以啟動和調度掃描，以及設置實時防護，從而建立並實施病毒防護策略，管理病毒定義文件的更新，控制活動病毒，管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。 6.利用高效的網路管理軟體管理全網大慶石化區域網的網路環境比較復雜，含有多種cisco交換設備、華為交換設備、路由設備以及其他一些接入設備，為了能夠有效地網路，我們採用了BT_NM網路資源管理系統。 該系統基於SNMP管理協議，可以實現跨廠商、跨平台的管理。系統採用物理拓撲的方法來自動生成網路的拓撲圖，能夠准確和直觀地反映網路的實際連接情況，包括設備間的冗餘連接、備份連接、均衡負載連接等，對拓撲結構進行層次化管理。通過網路軟體的IP地址定位功能可以定位IP地址所在交換機的埠，有效解決了IP地址盜用、查找病毒主機網路黑客等問題。 通過網路軟體還可實現對網路故障的監視、流量檢測和管理，使網管人員能夠對故障預警，以便及時採取措施，保證了整個網路能夠堅持長時間的安全無故障運行。 7.建立了VPN系統 虛擬專用網是對企業內部網的擴展。它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，並保證數據的安全傳輸。虛擬專用網可用於實現企業網站之間安全通信的虛擬專用線路，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。為了滿足企業用戶遠程辦公需求，同時為了滿足網路安全的要求，我們在石化區域網中建立了VPN系統。VPN的核心設備為Cisco的3825路由器，遠端子公司採用Cisco的2621路由器，動態接入設備採用Cisco的1700路由器。 8.啟動應用伺服器的審計功能在區域網的各應用中我們都啟用了審計功能，對用戶的操作進行審核和記錄，保證了系統的安全。