內(nèi)網(wǎng)安全管理

1、內(nèi)網(wǎng)平安提起網(wǎng)絡(luò)平安，人們自然就會想到病毒破壞和黑客攻擊，其實不然。 常規(guī)平安防范理念往往局限在網(wǎng)關(guān)級別、網(wǎng)絡(luò)邊界（防火墻、漏洞掃描、 防病毒、IDS）等方面的防范，重要的平安設(shè)施大致集中于機房或網(wǎng)絡(luò)入口 處，在這些設(shè)施的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的平安威逼大大減小。相反， 來自網(wǎng)絡(luò)內(nèi)部的計算機客戶端的平安威逼卻是眾多平安管理人員所普遍反 映的問題。內(nèi)網(wǎng)平安當(dāng)今勢態(tài)互聯(lián)網(wǎng)的快速普及，網(wǎng)絡(luò)應(yīng)用已成為企業(yè)進展中必不行少的一局部。 然而，企業(yè)在感受網(wǎng)絡(luò)所帶來的便利的同時，也面臨著各種各樣的進攻和 威逼：機密泄漏、數(shù)據(jù)喪失、網(wǎng)絡(luò)濫用、身份冒用、非法入侵目前有 些企業(yè)建立了相應(yīng)的網(wǎng)絡(luò)平安系統(tǒng)，并制定了相應(yīng)

2、的網(wǎng)絡(luò)平安使用制度， 但在實際使用中，由于用戶對操作系統(tǒng)平安使用策略的配置及各種技術(shù)選 項意義不明確，各種平安工具得不到正確的使用，系統(tǒng)漏洞、違規(guī)軟件、 病毒、惡意代碼入侵等現(xiàn)象層出不窮，導(dǎo)致用戶計算機操作系統(tǒng)達(dá)不到等 級標(biāo)準(zhǔn)要求的平安等級。目前調(diào)查數(shù)據(jù)說明，我們我國有63. 6%的企業(yè)用戶處于“高度風(fēng)險”級 別，每年因網(wǎng)絡(luò)泄密導(dǎo)致的經(jīng)濟損失高達(dá)上百億。雖然大多數(shù)企業(yè)都特別 重視內(nèi)網(wǎng)平安管理問題，內(nèi)網(wǎng)安防投入也不斷增加，但是內(nèi)網(wǎng)平安問題卻 仍舊嚴(yán)峻。在我國出臺的信息平安等級保護管理方法中，就明確指出 了信息平安等級保護的重點在于內(nèi)網(wǎng)平安措施的建設(shè)和落實。事實說明， 有效保護企業(yè)內(nèi)部資源和網(wǎng)絡(luò)的

3、平安，需要建立全面的內(nèi)網(wǎng)平安體系。內(nèi)網(wǎng)平安首要任務(wù)始終以來，平安防范理念局限在常規(guī)的漏洞掃描、防火墻、平安審計、 防病毒、IDS等方面的防范，重要的平安設(shè)施大致集中于機房、網(wǎng)絡(luò)入口處， 在這些設(shè)施的嚴(yán)密監(jiān)控下，來自網(wǎng)絡(luò)外部的平安威逼大大減小。然而，來 自網(wǎng)絡(luò)內(nèi)部的平安威逼卻慢慢地突顯出來，網(wǎng)絡(luò)的內(nèi)部平安問題大于外部 問題，已經(jīng)成為業(yè)界共識。頻頻暴露出來的違規(guī)安裝軟件，私自撥號上網(wǎng)， 私自帶入其他設(shè)施接入等狀況使得內(nèi)網(wǎng)平安隱患重重，進行內(nèi)網(wǎng)系統(tǒng)平安 優(yōu)化建設(shè)已經(jīng)刻不容緩。然而要進行內(nèi)網(wǎng)平安建設(shè)，第一步首先要全面了 解系統(tǒng)，評估系統(tǒng)平安性，熟悉到自己的風(fēng)險所在，從而快速、精確 得解決內(nèi)網(wǎng)平安問題。

4、經(jīng)過多年的深化討論和技術(shù)積累，安天試驗室于2022年8月推出了多 維度智能主機平安檢查系統(tǒng)（TDS）,它是針對內(nèi)網(wǎng)計算機進行全面的平安 保密檢查及精準(zhǔn)的平安等級判定的軟件系統(tǒng)，并有著強有力的內(nèi)網(wǎng)平安檢 測分析力量和修復(fù)力量。如今企業(yè)或單位的網(wǎng)絡(luò)內(nèi)都存有眾多重要數(shù)據(jù), 而這些網(wǎng)絡(luò)交叉相連，操作系統(tǒng)混雜不一，主機型號多種多樣的，內(nèi)部網(wǎng) 絡(luò)規(guī)模浩大，應(yīng)用系統(tǒng)簡單，加上工作人員龐雜，給企業(yè)內(nèi)部信息平安管 理帶來了巨大壓力。TDS解決了這一問題，它可以對主機進行自動化檢查, 檢測內(nèi)網(wǎng)平安隱患，實時查明內(nèi)網(wǎng)節(jié)點平安漏洞。尤其是針對敏感部門、 重點機構(gòu)和信息化建設(shè)中的企事業(yè)單位。TDS的一鍵式運行操作，削減

5、了企 業(yè)部門在內(nèi)網(wǎng)平安方面投入的人員數(shù)量，減輕操作人員的工作強度。TDS無 需安裝軟件，檢測后不留痕跡的特點，適合政府機關(guān)、企業(yè)單位機密數(shù)據(jù) 的保密制度，防止機密泄漏、數(shù)據(jù)喪失的現(xiàn)象發(fā)生，保證了我國政府機關(guān)、 企業(yè)單位的信息平安。前一階段各企業(yè)為了保證內(nèi)網(wǎng)平安，紛紛購買了獨立的殺毒軟件，檢 測工具。然而，隨著經(jīng)濟進展所帶來的人員流淌性的不斷增加，由于這些 由不同廠商供應(yīng)，不同種類的網(wǎng)絡(luò)和平安設(shè)施之間，缺乏有效的信息整合， 很簡單形成信息孤島，從而被各個擊破。以往的檢查產(chǎn)品掃描過程漫長、 排查隱患不合理、問題定位不精確、掃描缺乏深度、平安結(jié)論模糊等一系 列業(yè)內(nèi)技術(shù)難題始終存在。TDS主機平安檢查

6、系統(tǒng)再一次突破以往的技術(shù)領(lǐng) 域，它具有高性能的檢測力量和多維度的檢測角度的特點，能全面分析檢 測內(nèi)網(wǎng)計算機保密平安性與系統(tǒng)脆弱性，對身份鑒別、平安標(biāo)記、訪問掌 握、平安審計、通訊保密性等進行全面檢查，提取近百個檢測點分析，還 具有漏洞掃描探測、操作系統(tǒng)信息采集與分析、日志分析、木馬檢查、平 安攻擊仿真、網(wǎng)絡(luò)合同分析、系統(tǒng)性能壓力、滲透測試、平安配置檢查、 進程查看分析、數(shù)據(jù)恢復(fù)取證（涉密定制）、網(wǎng)絡(luò)行為分析等多個方面評 判計算機平安性能的力量，TDS將會引領(lǐng)新一代的主機平安檢查潮流。2004年，通過網(wǎng)絡(luò)快速自動傳播的蠕蟲病毒顛覆了內(nèi)網(wǎng)平安的格 局，所造成的經(jīng)濟損失首次超過信息被竊所造成的損失，

7、躍居第一。為了 防止災(zāi)難再次發(fā)生，TDS主機平安檢查系統(tǒng)還供應(yīng)病毒掃描快速通道，通過 調(diào)用獲得科技部創(chuàng)新基金的安天AVL SDK可嵌入反病毒引擎，可以檢查系 統(tǒng)中各種病毒、后門、木馬、蠕蟲、黑客工具、惡意程序、關(guān)注文件等有 害數(shù)據(jù)和敏感程序，并能覺察私自訪問互聯(lián)網(wǎng)行為，全面保護內(nèi)網(wǎng)系統(tǒng)平 安不再受病毒的侵害。內(nèi)網(wǎng)平安管理自2003年來，以SQL蠕蟲、“沖擊波”、“震蕩波”等病毒的連續(xù)性 爆發(fā)為起點，到計算機文件泄密、硬件資產(chǎn)喪失、服務(wù)器系統(tǒng)癱瘓等諸多 客戶端平安大事在各地網(wǎng)絡(luò)頻繁中發(fā)生，讓政府機關(guān)和企業(yè)單位的網(wǎng)絡(luò)管 理人員頭痛不已?？偨Y(jié)起來，政府機關(guān)和企業(yè)單位的內(nèi)部網(wǎng)絡(luò)管理大致面 臨著以下一些

8、常見問題：?如何覺察客戶端設(shè)施的系統(tǒng)漏洞并自動分發(fā)補丁。?如何防范移動電腦和存儲設(shè)施隨便接入內(nèi)網(wǎng)。?如何防范內(nèi)網(wǎng)設(shè)施非法外聯(lián)。?如何管理客戶端資產(chǎn)，保障網(wǎng)絡(luò)設(shè)施正常運行。?如何在全網(wǎng)制訂統(tǒng)一的平安策略。?如何準(zhǔn)時覺察網(wǎng)絡(luò)中占用帶寬最大的客戶端。?如何點對點掌握特別客戶端的運行。?如何防范內(nèi)部涉密重要信息的泄露。?如何對原有客戶端應(yīng)用軟件進行統(tǒng)一監(jiān)控、管理。?如何快速有效的定位網(wǎng)絡(luò)中病毒、蠕蟲、黑客的引入點，準(zhǔn)時、精 確的切斷平安大事發(fā)生點和網(wǎng)絡(luò)。?如何構(gòu)架功能強大的統(tǒng)一網(wǎng)絡(luò)平安報警處置平臺，進行平安大事響 應(yīng)和大事查詢，全面管理網(wǎng)絡(luò)資源。這些常見的客戶端平安威逼隨時隨地都可能影響著用戶網(wǎng)絡(luò)的正

9、常運 行。在這些問題中，操作系統(tǒng)漏洞管理問題越來越凸現(xiàn)，消退漏洞的根本 方法就是安裝軟件補丁，每一次大規(guī)模蠕蟲病毒的爆發(fā)，都提示人們要居 安思危，打好補丁，做好防范工作一一補丁越來越成為平安管理的一個重 要環(huán)節(jié)。黑客技術(shù)的不斷變化和進展，留給管理員的時間將會越來越少， 在最短的時間內(nèi)安裝補丁將會極大地保護網(wǎng)絡(luò)和其所承載的機密，同時也 可以使更少的用戶免受蠕蟲的侵襲。對于機器眾多的用戶，繁雜的手工補 丁安裝已經(jīng)遠(yuǎn)遠(yuǎn)不能適應(yīng)大規(guī)模網(wǎng)絡(luò)的管理，必需依靠新的技術(shù)手段來實 現(xiàn)對操作系統(tǒng)的補丁自動修補。WinShield內(nèi)網(wǎng)平安管理軟件內(nèi)網(wǎng)平安解決管理隱患員工通過不受監(jiān)控的網(wǎng)絡(luò)通道將企業(yè)的商業(yè)機密泄漏出去

10、，給企業(yè)帶 來經(jīng)濟損失員工所使用的筆記本電腦等移動設(shè)施假設(shè)管理不善，很有可能攜帶有病 毒或木馬，一旦未經(jīng)審查就接入企業(yè)內(nèi)網(wǎng)，可能對內(nèi)網(wǎng)平安構(gòu)成巨大的威 逼。上網(wǎng)談天、網(wǎng)絡(luò)嬉戲，使用電驢等工具載電影、嬉戲、軟件等大型文 件，聽歌、看網(wǎng)絡(luò)電影、掃瞄與工作無關(guān)的網(wǎng)站。內(nèi)網(wǎng)資產(chǎn)（CPU、內(nèi)存、硬盤等）被隨便更換，計算機數(shù)量越來越多， 無法集中管理軟、硬件數(shù)量無法精確把握，盤點困難進入共享文檔服務(wù)器，竊取機密文件，通過存儲設(shè)施和通訊設(shè)施進行 外泄，比方：USB存儲；通過MAIL、FTP、BBS等途徑將單位內(nèi)部信息泄密 到外網(wǎng)。禁用設(shè)施：1、禁止使用USB（禁用，紀(jì)錄接入和禁用時間）2、允許使用公司指定的

11、USB（接入和移出都有紀(jì)錄）3、允許并監(jiān) 視USB（除接入移出USB都有紀(jì)錄外，還能夠紀(jì)錄USB文 件操作：拷進文件名、文件重命名、文件刪除、文件修改及其操作時間）4、重啟阻斷（一覺察接入USB,計算機就馬上重啟）.這四種策略能夠在 拔了網(wǎng)線離開網(wǎng)絡(luò)后仍舊生效。在禁用USB狀況下，能夠連續(xù)使用USB打 印機、鼠標(biāo)和鍵盤等5、同時也可以禁止修改IP地址。禁止應(yīng)用程序：可以對指定的程序進行禁止上網(wǎng)限制：1、可對指定的網(wǎng)站進行禁止，或者實行反選，對指定的網(wǎng)站外的網(wǎng)站 進行禁止。包括網(wǎng)站掃瞄限制、郵件收發(fā)限制、談天行為限制、流量限制、自定義限制、端口級掌握；2、全部的掌握都可針對3層對象（一個網(wǎng)絡(luò)、一

12、個分組、一個電腦），并可以定義時間規(guī)章，在指定的時間段內(nèi)進行指定的限制。屏幕快照并保存紀(jì)錄：1、可以看到網(wǎng)絡(luò)內(nèi)員工正在操作計算機的最新畫面；2、可以查看到網(wǎng)內(nèi)員工操作過的歷史畫面，并連續(xù)播放歷史畫面。3、完整地紀(jì)錄屏幕歷史，針對不同應(yīng)用程序采納不同的紀(jì)錄頻率談天內(nèi)容監(jiān)控：對msn、qq等談天工具的談天內(nèi)容進行監(jiān)控外來電腦接入管理：通過設(shè)置禁止外來電腦訪問內(nèi)部局域網(wǎng)共享資源、內(nèi)部重要的服務(wù)器。應(yīng)用程序報告：可分時間段查看某個員工翻開某個應(yīng)用程序的全部時間和活動的時間, 以及所占的百分比。A、應(yīng)用程序日志和統(tǒng)計1、紀(jì)錄應(yīng)用程序的啟動和退出2、紀(jì)錄窗口切換和標(biāo)題變化，跟蹤電腦使用過程3、分類統(tǒng)計應(yīng)用

13、程序的使用狀況，評估工作效率B、應(yīng)用程序掌握1、限制嬉戲、談天等程序的運行2、禁止惡意程序的運行資產(chǎn)管理：1、完整的軟硬件資產(chǎn)信息2、詳盡的資產(chǎn)變更紀(jì)錄3、增加自定義資產(chǎn)屬性進行幫助信息管理4、增加自定義資產(chǎn)對非電腦資產(chǎn)實現(xiàn)標(biāo)準(zhǔn)化管理遠(yuǎn)程維護：可以遠(yuǎn)程掌握、登陸、注銷、重啟計算機，支持鍵盤輸入和登錄快捷 鍵操作。A、實時維護實時查看客戶端上的運行信息遠(yuǎn)程分析客戶端的運行狀況和故障緣由B、遠(yuǎn)程掌握便于遠(yuǎn)程幫助或者進行操作示范C、遠(yuǎn)程文件傳送遠(yuǎn)程傳送文件，幫助更快速地更新文件和收集故障樣本網(wǎng)絡(luò)流量監(jiān)控：A、網(wǎng)絡(luò)流量統(tǒng)計按網(wǎng)絡(luò)地址以及類別統(tǒng)計和分析網(wǎng)絡(luò)流量按網(wǎng)絡(luò)端口以及合同統(tǒng)計和分析網(wǎng)絡(luò)流量分時段分

14、析網(wǎng)絡(luò)資源的使用狀況B、網(wǎng)絡(luò)流量掌握針對不同網(wǎng)絡(luò)地址和合同限制不同的通訊流量防止BT, P2P,網(wǎng)絡(luò)視聽或下載工具等占用大量帶寬資源大事日志：具體紀(jì)錄網(wǎng)內(nèi)計算機的操作窗口、報警紀(jì)錄、掌握臺發(fā)出的掌握信息、 掃瞄的網(wǎng)頁、啟動和關(guān)閉的應(yīng)用程序、軟件的添加與刪除、系統(tǒng)的啟動與 關(guān)閉、應(yīng)用程序的啟動與關(guān)閉、硬件的添加與刪除。IP-guard內(nèi)網(wǎng)平安管理系統(tǒng)信息化時代，對于一個企業(yè)來說，搞清晰內(nèi)網(wǎng)平安面臨的風(fēng)險，并充分評估這些 風(fēng)險可能帶來的危急，將是實施平安建設(shè)中必需首要解決的問題，也是制定平安策略 的基礎(chǔ)和依據(jù)。那么，企業(yè)的內(nèi)網(wǎng)平安主要有以下三個方面的威逼。一、信息：內(nèi)部機密文檔平安企業(yè)中與業(yè)務(wù)相關(guān)

15、的信息有九成左右都會以電子文檔的形式存在，這些內(nèi)部信息 往往涉及商業(yè)機密，甚至是企業(yè)的核心關(guān)鍵技術(shù)，保密性要求甚高，一旦泄密，極有 可能給企業(yè)帶來巨大的經(jīng)濟損失。解決方案：1、高強度的透亮 加密技術(shù)，對機密信息進行平安保護，使文件在用戶新建 后就自動被加密保護。加密后的文件即使被非法傳輸?shù)狡髽I(yè)外部也無法解密和應(yīng)用。2、依據(jù)不同的部門和級別，設(shè)置不同的內(nèi)部文檔訪問掌握權(quán)限，從而建立完整 的保密體系。3、解決組織內(nèi)部移動存儲設(shè)施應(yīng)用沖突，總體掌握計算機外部設(shè)施包括USB、 藍(lán)牙、光存儲設(shè)施使用權(quán)限的基礎(chǔ)上，分類法律規(guī)范網(wǎng)內(nèi)的移動存儲設(shè)施使用行為并 進行加密，輔之以全面的移動存儲審計，最終到達(dá)移動存

16、儲設(shè)施便攜性與平安性兼得 的目的。4、對外發(fā)文檔的權(quán)限進行管理。限制外發(fā)超過指定大小或包含指定關(guān)鍵字的文 檔，甚至徹底禁止外發(fā)文檔，保護重要的文檔不會通過即時通訊工具泄露出去。同時 完整紀(jì)錄用戶的談天內(nèi)容、發(fā)送的郵件內(nèi)容，便利管理者了解用戶在進行對話時是否 有意或無意地泄露公司重要信息。二、人：用戶桌面行為法律規(guī)范除了企業(yè)內(nèi)部的機密信息，對企業(yè)進展起到至關(guān)重要作用的就是員工的工作效率。 網(wǎng)絡(luò)的普及，無疑改善了員工的工作條件，提高了企業(yè)的整體效率。但是，企業(yè)內(nèi)部 可能存在局部員工沉迷于網(wǎng)絡(luò)或者桌面嬉戲，忽視專職工作，嚴(yán)峻影響企業(yè)進展。解決方案：1、過濾一切與工作無關(guān)的應(yīng)用程序，分時段或全天候阻擋

17、嬉戲、炒股、媒體播 放、即時通訊、BT等程序的運行。2、限制P2P軟件的使用，關(guān)心企業(yè)合理安排帶寬資源，力保網(wǎng)絡(luò)平穩(wěn)。3、用戶應(yīng)用程序和網(wǎng)頁掃瞄狀況的統(tǒng)計表，讓管理者對用戶的桌面行為一清二 楚。過濾黃色、暴力和惡意傳播病毒的網(wǎng)站。三、IT：系統(tǒng)維護、資產(chǎn)管理企業(yè)要健康進展，還離不開IT系統(tǒng)的正常運作。由于企業(yè)規(guī)模的擴大、實力的 增加，企業(yè)的辦公地點可能分布在不同樓層甚至不同地區(qū)，由此造成大量計算機系統(tǒng) 分布分散、企業(yè)內(nèi)部的資產(chǎn)統(tǒng)計工作特別繁瑣。解決方案：1、實時查看客戶端計算機的應(yīng)用程序、網(wǎng)絡(luò)連接、進程、系統(tǒng)信息等基本資料 和運行狀況，在單一掌握臺上就可以實現(xiàn)對整個網(wǎng)絡(luò)內(nèi)計算機運行信息的把握。

18、2、系統(tǒng)運行狀況分析，在系統(tǒng)發(fā)生異樣時準(zhǔn)時解決，預(yù)防系統(tǒng)故障的發(fā)生。3、遠(yuǎn)程掌握和操作任一計算機，可在掌握臺對需要關(guān)心的遠(yuǎn)程計算機進行操作， 實現(xiàn)遠(yuǎn)程桌面訪問、雙向文件傳輸。4、自動搜尋和整合企業(yè)網(wǎng)絡(luò)內(nèi)客戶端計算機的IT資產(chǎn)信息，并集中紀(jì)錄硬件型 號，節(jié)約人手統(tǒng)計的時間。5、自動統(tǒng)計軟硬件資產(chǎn)的變更，供應(yīng)一目了然的軟硬件資產(chǎn)變更列表。什么是內(nèi)網(wǎng)簡述內(nèi)網(wǎng)就是局域網(wǎng)，網(wǎng)吧、校內(nèi)網(wǎng)、單位辦公網(wǎng)都屬于此類。此外光纖到樓、 小區(qū)寬帶、教育網(wǎng)、有線電視Cable Modem上網(wǎng)雖然地域范圍比擬大但本質(zhì)上還是基 于以太網(wǎng)技術(shù)，所以仍舊屬于內(nèi)網(wǎng)。四、內(nèi)網(wǎng)的平安問題內(nèi)網(wǎng)存在的平安問題有以下幾方面一.局域網(wǎng)爆發(fā)病

19、毒，木馬泛濫的問題二.單位電腦中重要資料信息平安問題的解決三.電腦濫用的問題？四.互聯(lián)網(wǎng)訪問及上網(wǎng)權(quán)限管理五.域網(wǎng)內(nèi)電腦數(shù)量不斷增加，管理員已無法維護浩大的電腦六.軟硬件資產(chǎn)管理七.補丁自動升級管理八.非法外聯(lián)及非法IP地址管理九.帶寬、流量管理問題五、內(nèi)網(wǎng)平安防范策略下面給出了應(yīng)對企業(yè)內(nèi)網(wǎng)平安挑戰(zhàn)的10種策略。這10種策略即是內(nèi)網(wǎng)的防范策 略，同時也是一個提高大型企業(yè)網(wǎng)絡(luò)平安的策略。1、留意內(nèi)網(wǎng)平安與網(wǎng)絡(luò)邊界平安的不同內(nèi)網(wǎng)平安的威逼不同于網(wǎng)絡(luò)邊界的威逼。網(wǎng)絡(luò)邊界平安技術(shù)防范來自Internet 的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如 邊界防火墻系統(tǒng)

20、等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的 幾率。內(nèi)網(wǎng)平安威逼主要源于企業(yè)內(nèi)部。惡性的黑客攻擊大事一般都會先掌握局域網(wǎng)絡(luò) 內(nèi)部的一臺Server,然后以此為基地，對Internet上其他主機發(fā)起惡性攻擊。因此， 應(yīng)在邊界綻開黑客防護措施，同時建立并加強內(nèi)網(wǎng)防范策略。2、限制VPN的訪問虛擬專用網(wǎng)(VPN)用戶的訪問對內(nèi)網(wǎng)的平安造成了巨大的威逼。由于它們將弱化 的桌面操作系統(tǒng)置于企業(yè)防火墻的防護之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避開給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以采用登錄掌握權(quán)限 列表來限制VPN用戶的登錄權(quán)限的級別，即只需賜予他們所需要的訪問權(quán)限

21、級別即可, 如訪問郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。3、為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)平安問題的一大緣由。例如平安管理員雖然知道怎樣采 用實際技術(shù)來完固防火墻，保護MS6QL,但是Slammer蠕蟲仍能侵入內(nèi)網(wǎng)，這就是 由于企業(yè)給了他們的合作伙伴進入內(nèi)部資源的訪問權(quán)限。由此，既然不能掌握合作者 的網(wǎng)絡(luò)平安策略和活動，那么就應(yīng)當(dāng)為每一個合作企業(yè)創(chuàng)立一個DMZ,并將他們所需 要訪問的資源放置在相應(yīng)的DMZ中，不允許他們對內(nèi)網(wǎng)其他資源的訪問。4、自動跟蹤的平安策略智能的自動執(zhí)行實時跟蹤的平安策略是有效地實現(xiàn)網(wǎng)絡(luò)平安實踐的關(guān)鍵。它帶來 了商業(yè)活動中一大改革，極大的超過了手

22、動平安策略的功效。商業(yè)活動的現(xiàn)狀需要企 業(yè)采用一種自動檢測方法來探測商業(yè)活動中的各種變更，因此，平安策略也必需與相 適應(yīng)。例照實時跟蹤企業(yè)員工的雇傭和解雇、實時跟蹤網(wǎng)絡(luò)采用狀況并紀(jì)錄與該計算 機對話的文件服務(wù)器?？傊龅酱_保每天的全部的活動都遵循平安策略。5、關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器大型企業(yè)網(wǎng)可能同時支持四到五個服務(wù)器傳送e-mail,有的企業(yè)網(wǎng)還會消失幾十 個其他服務(wù)器監(jiān)視SMTP端口的狀況。這些主機中很可能有潛在的郵件服務(wù)器的攻擊 點。因此要逐個中斷網(wǎng)絡(luò)服務(wù)器來進行審查。假設(shè)一個程序（或程序中的規(guī)律單元）作為 一個window文件服務(wù)器在運行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享

23、合同。6、首先保護重要資源假設(shè)一個內(nèi)網(wǎng)上連了千萬臺（例如30000臺）機子，那么要期望保持每一臺主機都處 于鎖定狀態(tài)和補丁狀態(tài)是特別不現(xiàn)實的。大型企業(yè)網(wǎng)的平安考慮一般都有擇優(yōu)問題。 這樣，首先要對服務(wù)器做效益分析評估，然后對內(nèi)網(wǎng)的每一臺網(wǎng)絡(luò)服務(wù)器進行檢查、 分類、修補和強化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器（例照實時跟蹤客戶的服務(wù)器）并 對他們進行限制管理。這樣就能快速精確 地確定企業(yè)最重要的資產(chǎn)，并做好在 內(nèi)網(wǎng)的定位和權(quán)限限制工作。7、建立牢靠的無線訪問審查網(wǎng)絡(luò)，為實現(xiàn)無線訪問建立基礎(chǔ)。排解無意義的無線訪問點，確保無線網(wǎng)絡(luò) 訪問的強制性和可采用性，并供應(yīng)平安的無線訪問接口。將訪問點置于邊界防火墻之 外，并允許用戶通過VPN技術(shù)進行訪問。8、建立平安過客訪問對于過客不必賜予其公開訪問內(nèi)網(wǎng)的權(quán)限。很多平安技術(shù)人員執(zhí)行的內(nèi)部無 Internet訪問的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實時跟蹤的 困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊。9、創(chuàng)立虛擬邊界防護主機是被攻擊的主要對象。與其努力使全部主機不遭攻擊（這是不行能的），還不 如在如何使攻擊者無法通過受攻擊的主機來攻擊內(nèi)網(wǎng)方面努力。于是必需解決企業(yè)網(wǎng) 絡(luò)的使用和在企業(yè)經(jīng)營范圍建立虛擬邊界防護這個問題。這樣，假如一