建立專業網路安全力量

A. 如何構建計算機網路安全

區域網
首先，要統一IP地址並綁定MAC；其次，要在硬體防火牆設置IP規則及策略；再者，每一台電腦要安裝殺毒軟體並統一給員工進行培訓，伺服器上關閉駭客常用埠，並安裝蜜罐系統。
我們知道，駭客們攻擊網路之前要進行踩點偵查，所以，為了迷惑駭客我們將IP進行隱藏。
為了防止駭客監聽網路數據包，我們將數據包加密。
經常更新漏洞是關鍵，最好每個月進行一次入侵檢測。

B. 如何構建工業互聯網安全體系

2018年中國工業互聯網行業分析：萬億級市場規模，五大建議構建安全保障體系

工業互聯網安全問題日益凸現

工業互聯網無疑是這個寒冬中最熱的產業經濟話題。「BAT們」視之為「互聯網的下半場」，正在競相「+工業」「+製造業」而工業企業、製造業企業們也在積極「+互聯網」，希望藉助互聯網的科技力量，為工業、製造業的發展配備上全新引擎，從而打造「新工業」。

不難看出，工業互聯網正面臨著一個重要的高速發展期，預計至2020年將達萬億元規模。但與此同時，工業互聯網所面臨的安全問題日益凸現。在設備、控制、網路、平台、數據等工業互聯網主要環節，仍然存在傳統的安全防護技術不能適應當前的網路安全新形勢、安全人才不足等諸多問題。

工業互聯網萬億級市場模引發安全隱患

據前瞻產業研究院發布的《中國工業互聯網產業發展前景預測與投資戰略規劃分析報告》統計數據顯示，2017年中國工業互聯網直接產業規模約為5700億元，預計2017年到2019年，產業規模將以18%的年均增速高速增長，到2020年將達到萬億元規模。隨著國家出台相關工業互聯網利好政策，中國工業互聯網行業發展增速加快，截止到2018年3月，中國工業互聯網平台數量超250家。世界各國正加速布局工業互聯網，圍繞工業互聯網發展的國際競爭日趨激烈。

預計2020年我國工業互聯網產業規模將達到萬億元

數據來源：公開資料、前瞻產業研究院整理

一方面，加快工業互聯網發展是製造業轉型升級的必然要求;另一方面，工業互聯網是構築現代化經濟體系的必然趨勢。

工業互聯網是深化「互聯網+先進製造業」的重要基石，也是發展數字經濟的新動力。發展工業互聯網，實現互聯網與製造業深度融合，將催生更多新業態、新產業、新模式，創造更多新興經濟增長點。

伴隨著工業互聯網的發展，越來越多的工業控制系統及設備與互聯網連接，網路空間邊界和功能極大擴展，以及開放、互聯、跨域的製造環境，使得工業互聯網安全問題日益凸顯：

1、網路攻擊威脅向工業互聯網領域滲透。近年來，工業控制系統漏洞呈快速增長趨勢，相關數據顯示，2017年新增信息安全漏洞4798個，其中工控系統新增漏洞數351個，相比2016年同期，新增數量幾乎翻番，漏洞數量之大，使整個工業系統的生產網路面臨巨大安全威脅。

2、新技術的運用帶來新的安全威脅。大數據、雲計算、人工智慧、移動互聯網等新一代信息技術本身存在一定的安全問題，導致工業互聯網安全風險多樣化。

3、工業互聯網安全保障能力薄弱。目前，傳統的安全保障技術不足以解決工業互聯網的安全問題，同時，針對工業互聯網的安全防護資金投入較少，相應安全管理制度缺乏，責任體系不明確等，難以為工業互聯網安全提供有力支撐。

如何構建工業互聯網安全體系?

那麼，如何鑄造工業互聯網的安全基石，加快構建可信的工業互聯網安全保障體系呢?

1、突破關鍵核心技術。要緊跟工業互聯網最新發展趨勢，努力引領前沿技術和顛覆性技術發展。

2、推動工業互聯網安全技術標准落地實施。全面推廣技術合規性檢測，促進工業互聯網產業良性發展。

3、完善監管和評測體系。

4、切實推進工業互聯網安全技術發展。加強全生命周期安全管理，構建覆蓋系統建設各環節的安全防護體系。

5、聯合行業力量打造工業互聯網安全生態。

在工業互聯網的安全防護能力建議：

1、頂層設計：出台系列文件，形成頂層設計;

2、標准引導：構建工業互聯網安全標准體系框架，推進重點領域安全標準的研製;

3、技術保障：夯實基礎，強化技術實力;

4、系統布局：依託聯盟，打造產業促進平台;

5、產業應用：加強產業推進，推廣安全最佳實踐。

近年來，中國也陸續出台了《關於深化「互聯網+先進製造業」發展工業互聯網的指導意見》、《工業互聯網發展行動計劃(2018-2020年)》等文件，明確提出工業互聯網安全工作內容，從制度建立、標准研製、安全防護、數據保護、手段建設、安全產業發展、人員培養等方面，要求建立涵蓋設備安全、控制安全、網路安全、平台安全、數據安全的工業互聯網多層次安全保障體系。

在國家政策以及業界的一致努力下，相信我國工業互聯網在取得快速發展的同時在安全層面的保障也會更上一層樓。

C. 如何構建網路安全戰略體系

網路安全是確保信息的完整性、保密性和可用性的實踐。它代表防禦安全事故和從安全事故中恢復的能力。這些安全事故包括硬碟故障或斷電，以及來自競爭對手的網路攻擊等。後者包括腳本小子、黑客、有能力執行高級持續性威脅（APT）的犯罪團伙，以及其他可對企業構成嚴重威脅的人。業務連續性和災難恢復能力對於網路安全（例如應用安全和狹義的網路安全）至關重要。

安全應該成為整個企業的首要考慮因素，且得到高級管理層的授權。我們如今生活的信息世界的脆弱性也需要強大的網路安全控制戰略。管理人員應該明白，所有的系統都是按照一定的安全標准建立起來的，且員工都需要經過適當的培訓。例如，所有代碼都可能存在漏洞，其中一些漏洞還是關鍵的安全缺陷。畢竟，開發者也只是普通人而已難免出錯。

安全培訓

人往往是網路安全規劃中最薄弱的環節。培訓開發人員進行安全編碼，培訓操作人員優先考慮強大的安全狀況，培訓最終用戶識別網路釣魚郵件和社會工程攻擊——總而言之，網路安全始於意識。

然而，即便是有強大的網路安全控制措施，所有企業還是難逃遭遇某種網路攻擊的威脅。攻擊者總是利用最薄弱的環節，但是其實只要通過執行一些基本的安全任務——有時被稱為「網路衛生」，很多攻擊都是可以輕松防護的。外科醫生不洗手決不允許進入手術室。同樣地，企業也有責任執行維護網路安全的基本要求，例如保持強大的身份驗證實踐，以及不將敏感數據存儲在可以公開訪問的地方。

然而，一個好的網路安全戰略需要的卻不僅僅是這些基本實踐。技術精湛的黑客可以規避大多數的防禦措施和攻擊面——對於大多數企業而言，攻擊者入侵系統的方式或「向量」數正在不斷擴張。例如，隨著信息和現實世界的日益融合，犯罪分子和國家間諜組織正在威脅物理網路系統的ICA，如汽車、發電廠、醫療設備，甚至你的物聯網冰箱。同樣地，雲計算的普及應用趨勢，自帶設備辦公（BYOD）以及物聯網（IoT）的蓬勃發展也帶來了新的安全挑戰。對於這些系統的安全防禦工作變得尤為重要。

網路安全進一步復雜化的另一個突出表現是圍繞消費者隱私的監管環境。遵守像歐盟《通用數據保護條例》（GDPR）這樣嚴格的監管框架還要求賦予新的角色，以確保組織能夠滿足GDPR和其他法規對於隱私和安全的合規要求。

如此一來，對於網路安全專業人才的需求開始進一步增長，招聘經理們正在努力挑選合適的候選人來填補職位空缺。但是，對於目前這種供求失衡的現狀就需要組織能夠把重點放在風險最大的領域中。

網路安全類型

網路安全的范圍非常廣，但其核心領域主要如下所述，對於這些核心領域任何企業都需要予以高度的重視，將其考慮到自身的網路安全戰略之中：

1.關鍵基礎設施

關鍵基礎設施包括社會所依賴的物理網路系統，包括電網、凈水系統、交通信號燈以及醫院系統等。例如，發電廠聯網後就會很容易遭受網路攻擊。負責關鍵基礎設施的組織的解決方案是執行盡職調查，以確保了解這些漏洞並對其進行防範。其他所有人也都應該對他們所依賴的關鍵基礎設施，在遭遇網路攻擊後會對他們自身造成的影響進行評估，然後制定應急計劃。

2.網路安全（狹義）

網路安全要求能夠防範未經授權的入侵行為以及惡意的內部人員。確保網路安全通常需要權衡利弊。例如，訪問控制（如額外登錄）對於安全而言可能是必要的，但它同時也會降低生產力。

用於監控網路安全的工具會生成大量的數據，但是由於生成的數據量太多導致經常會忽略有效的告警。為了更好地管理網路安全監控，安全團隊越來越多地使用機器學習來標記異常流量，並實時生成威脅警告。

3.雲安全

越來越多的企業將數據遷移到雲中也會帶來新的安全挑戰。例如，2017年幾乎每周都會報道由於雲實例配置不當而導致的數據泄露事件。雲服務提供商正在創建新的安全工具，以幫助企業用戶能夠更好地保護他們的數據，但是需要提醒大家的是：對於網路安全而言，遷移到雲端並不是執行盡職調查的靈丹妙葯。

4.應用安全

應用程序安全（AppSec），尤其是Web應用程序安全已經成為最薄弱的攻擊技術點，但很少有組織能夠充分緩解所有的OWASP十大Web漏洞。應用程序安全應該從安全編碼實踐開始，並通過模糊和滲透測試來增強。

應用程序的快速開發和部署到雲端使得DevOps作為一門新興學科應運而生。DevOps團隊通常將業務需求置於安全之上，考慮到威脅的擴散，這個關注點可能會發生變化。

5.物聯網（IoT）安全

物聯網指的是各種關鍵和非關鍵的物理網路系統，例如家用電器、感測器、列印機以及安全攝像頭等。物聯網設備經常處於不安全的狀態，且幾乎不提供安全補丁，這樣一來不僅會威脅到用戶，還會威脅到互聯網上的其他人，因為這些設備經常會被惡意行為者用來構建僵屍網路。這為家庭用戶和社會帶來了獨特的安全挑戰。

網路威脅類型

常見的網路威脅主要包括以下三類：

保密性攻擊

很多網路攻擊都是從竊取或復制目標的個人信息開始的，包括各種各樣的犯罪攻擊活動，如信用卡欺詐、身份盜竊、或盜取比特幣錢包。國家間諜也將保密性攻擊作為其工作的重要部分，試圖獲取政治、軍事或經濟利益方面的機密信息。

完整性攻擊

一般來說，完整性攻擊是為了破壞、損壞、摧毀信息或系統，以及依賴這些信息或系統的人。完整性攻擊可以是微妙的——小范圍的篡改和破壞，也可以是災難性的——大規模的對目標進行破壞。攻擊者的范圍可以從腳本小子到國家間諜組織。

可用性攻擊

阻止目標訪問數據是如今勒索軟體和拒絕服務（DoS）攻擊最常見的形式。勒索軟體一般會加密目標設備的數據，並索要贖金進行解密。拒絕服務（DoS）攻擊（通常以分布式拒絕服務攻擊的形式）向目標發送大量的請求佔用網路資源，使網路資源不可用。

這些攻擊的實現方式：

1.社會工程學

如果攻擊者能夠直接從人類身上找到入口，就不能大費周章地入侵計算機設備了。社會工程惡意軟體通常用於傳播勒索軟體，是排名第一的攻擊手段（而不是緩沖區溢出、配置錯誤或高級漏洞利用）。通過社會工程手段能夠誘騙最終用戶運行木馬程序，這些程序通常來自他們信任的和經常訪問的網站。持續的用戶安全意識培訓是對抗此類攻擊的最佳措施。

2.網路釣魚攻擊

有時候盜取別人密碼最好的方法就是誘騙他們自己提供，這主要取決於網路釣魚攻擊的成功實踐。即便是在安全方面訓練有素的聰明用戶也可能遭受網路釣魚攻擊。這就是雙因素身份認證（2FA）成為最佳防護措施的原因——如果沒有第二個因素（如硬體安全令牌或用戶手機上的軟體令牌認證程序），那麼盜取到的密碼對攻擊者而言將毫無意義。

3.未修復的軟體

如果攻擊者對你發起零日漏洞攻擊，你可能很難去責怪企業，但是，如果企業沒有安裝補丁就好比其沒有執行盡職調查。如果漏洞已經披露了幾個月甚至幾年的時間，而企業仍舊沒有安裝安全補丁程序，那麼就難免會被指控疏忽。所以，記得補丁、補丁、補丁，重要的事說三遍！

4.社交媒體威脅

「Catfishing」一詞一般指在網路環境中對自己的情況有所隱瞞，通過精心編造一個優質的網路身份，目的是為了給他人留下深刻印象，尤其是為了吸引某人與其發展戀愛關系。不過，Catfishing可不只適用於約會場景。可信的「馬甲」賬戶能夠通過你的LinkedIn網路傳播蠕蟲。如果有人非常了解你的職業聯系方式，並發起與你工作有關的談話，您會覺得奇怪嗎?正所謂「口風不嚴戰艦沉」，希望無論是企業還是國家都應該加強重視社會媒體間諜活動。

5.高級持續性威脅（APT）

其實國家間諜可不只存在於國家以及政府組織之間，企業中也存在此類攻擊者。所以，如果有多個APT攻擊在你的公司網路上玩起「捉迷藏」的游戲，請不要感到驚訝。如果貴公司從事的是對任何人或任何地區具有持久利益的業務，那麼您就需要考慮自己公司的安全狀況，以及如何應對復雜的APT攻擊了。在科技領域，這種情況尤為顯著，這個充斥著各種寶貴知識產權的行業一直令很多犯罪分子和國家間諜垂涎欲滴。

網路安全職業

執行強大的網路安全戰略還需要有合適的人選。對於專業網路安全人員的需求從未像現在這樣高過，包括C級管理人員和一線安全工程師。雖然公司對於數據保護意識的提升，安全部門領導人已經開始躋身C級管理層和董事會。現在，首席安全官（CSO）或首席信息安全官（CISO）已經成為任何正規組織都必須具備的核心管理職位。

此外，角色也變得更加專業化。通用安全分析師的時代正在走向衰落。如今，滲透測試人員可能會將重點放在應用程序安全、網路安全或是強化網路釣魚用戶的安全防範意識等方面。事件響應也開始普及全天制（724小時）。以下是安全團隊中的一些基本角色：

1.首席信息安全官／首席安全官

首席信息安全官是C級管理人員，負責監督一個組織的IT安全部門和其他相關人員的操作行為。此外，首席信息安全官還負責指導和管理戰略、運營以及預算，以確保組織的信息資產安全。

2.安全分析師

安全分析師也被稱為網路安全分析師、數據安全分析師、信息系統安全分析師或IT安全分析師。這一角色通常具有以下職責:

計劃、實施和升級安全措施和控制措施；

保護數字文件和信息系統免受未經授權的訪問、修改或破壞；

維護數據和監控安全訪問；

執行內／外部安全審計；

管理網路、入侵檢測和防護系統；分析安全違規行為以確定其實現原理及根本原因；

定義、實施和維護企業安全策略；

與外部廠商協調安全計劃；

3.安全架構師

一個好的信息安全架構師需要能夠跨越業務和技術領域。雖然該角色在行業細節上會有所不同，但它也是一位高級職位，主要負責計劃、分析、設計、配置、測試、實施、維護和支持組織的計算機和網路安全基礎設施。這就需要安全架構師能夠全面了解企業的業務，及其技術和信息需求。

4.安全工程師

安全工程師的工作是保護公司資產免受威脅的第一線。這項工作需要具備強大的技術、組織和溝通能力。IT安全工程師是一個相對較新的職位，其重點在於IT基礎設施中的質量控制。這包括設計、構建和防護可擴展的、安全和強大的系統；運營數據中心系統和網路；幫助組織了解先進的網路威脅；並幫助企業制定網路安全戰略來保護這些網路。

D. 如何加強網路安全

1.物理安全

很多人一提到網路安全，都會想到技術、黑客，但是往往忽略了最應該注意到的方面。有的時候一個公司突然網路癱瘓，或者昨天還好好的，今天突然上不去網了，有可能就是你的網線插口掉了，或者被老鼠咬壞了。

所以，在搭建網路的時候，我們就要注意做好物理保護，要注意防火，要將電線和網路放在比較隱蔽的地方，要准備UPS來確保網路能夠以持續的電壓運行，要防蟲防鼠。

2.系統安全

我們經常看到電影或者電視劇里，信息盜竊者打開別人的電腦，拷去了所需要的信息，造成了巨大的損失。

所以，在生活中，我們一定要對電腦設置密碼，而且最好是數字、字母和標點符號的混合體，雖然並不能保證不被解開，但是至少可以拖延時間，減低風險。

而且，在重要的文檔或者程序上，我們也可以設置密碼，加強防護。

3.及時打補丁

現在很多企業使用的都是微軟的windows系統，由於並不像Linux那樣開源，所以windows的安全系數並不高，所以要養成定時檢查更新，及時對系統補丁進行更新，降低風險。

4.安裝殺毒軟體和防火牆

對於個人用戶來講，私人電腦如果沒有什麼重要文件的話，一般的免費殺毒軟體就夠用了。但是如果是公司的話，最好還是購買正版的殺毒軟體，像江民、卡巴斯基等都是很不錯的。

而且，我們一定要養成定時殺毒清理的習慣，保證電腦時刻保持安全。

5.代理伺服器

代理伺服器最先被利用的目的是可以加速訪問我們經常看的網站，因為代理伺服器都有緩沖的功能，在這里可以保留一些網站與IP地址的對應關系。

E. 如何構建一個安全的網路信息安全體系

網路信息安全體系

計算機網路信息安全的整體保障作用，主要體現在整個系統生命周期對風險進行整體的管理、應對和控制。網路信息安全體系如圖1所示。

圖1 網路信息安全體系

其中，網路信息系統安全風險評估是一個識別、控制、降低或消除可能影響系統安全風險的過程。是明確安全現狀、規劃安全工作、制訂安全策略，並形成安全解決方案的基礎，通過對網路系統的風險評估可以掌控各種潛在風險，並制定出相應的應對措施和應急預案。通過安全控制極大地降低風險，並對殘留風險進行及時監控和分析，應急預案及計劃可在突發事件發生時做出應急響應和災難恢復，以確保網路信息系統及業務數據的安全。

詳見 網路安全技術與實踐 高等教育出版社 賈鐵軍主編2014.8。

F. 如何做好網路安全工作

一、剋制自己的慾望：網路帶給我們的東西特別多，尤其是平時我們得不到卻十分想得到的東西，那麼我們的這個慾望就會被別人網路上給利用了，為了要實現自己的慾望，就會對網路上某些人的行為放鬆警惕，自然就會讓自己處於網路安全的隱患之中。

所以如果你剋制自己的慾望，能夠清晰地對待別人對你的各種誘惑，在網路上自己會不會就更加安全了呢？

現代人把大部分生活交給了網路，身份信息、銀行賬戶、家庭情況、身體狀況等等信息，網路上映射著另一個完完整整的自己，然而，在隱私信息盜竊泛濫的互聯網上，每個人都被裸體般暴露。

沒人能夠免受網路風險的影響，但你可以採取一些步驟來最大程度地減少發生意外的機會。

所以關於網路安全，你要有自己的態度和原則，學會一兩個自己安全不被危及的方法技巧，其實就可以輕輕鬆鬆地在網路上自由來往了。

最後呼籲，安全網路環境，全民共建！不法的請收手，不是今天不報，是時候未到，到頭來給你算總賬。全民提高自我保護意識，不讓不法見縫插針。

G. 互聯網安全是指哪些方面的要如何才能實現安全

1 .網路安全概述

隨著計算機技術的迅速發展，在計算機上處理的業務也由基於單機的數學運算、文件處理，基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網（Intranet）、企業外部網（Extranet）、全球互連網（Internet）的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在系統處理能力提高的同時，系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時，基於網路連接的安全問題也日益突出，整體的網路安全主要表現在以下幾個方面：網路的物理安全、網路拓撲結構安全、網路系統安全、應用系統安全和網路管理的安全等。

因此計算機安全問題，應該象每家每戶的防火防盜問題一樣，做到防範於未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現了，一旦發生，常常措手不及，造成極大的損失。

2 .物理安全分析

網路的物理安全是整個網路系統安全的前提。在校園網工程建設中，由於網路系統屬於弱電工程，耐壓值很低。因此，在網路工程的設計和施工中，必須優先考慮保護人和網路設備不受電、火災和雷擊的侵害；考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統，防雷系統不僅考慮建築物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有，地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬體；雙機多冗餘的設計；機房環境及報警系統、安全意識等，因此要盡量避免網路的物理安全風險。

3 .網路結構的安全分析

網路拓撲結構設計也直接影響到網路系統的安全性。假如在外部和內部網路進行通信時，內部網路的機器安全就會受到威脅，同時也影響在同一網路上的許多其他系統。透過網路傳播，還會影響到連上Internet/Intrant的其他的網路；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開伺服器（WEB、DNS、EMAIL等）和外網及內部其它業務網路進行必要的隔離，避免網路結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。

4 .系統的安全分析

所謂系統的安全是指整個網路操作系統和網路硬體平台是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統可以選擇，無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統，其開發廠商必然有其Back-Door。因此，我們可以得出如下結論：沒有完全安全的操作系統。不同的用戶應從不同的方面對其網路作詳盡的分析，選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬體平台，並對操作系統進行安全配置。而且，必須加強登錄過程的認證（特別是在到達伺服器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。

5 .應用系統的安全分析

應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。

--應用系統的安全是動態的、不斷變化的。

應用的安全涉及方面很多，以目前Internet上應用最為廣泛的E-mail系統來說，其解決方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上，主要考慮盡可能建立安全的系統平台，而且通過專業的安全工具不斷發現漏洞，修補漏洞，提高系統的安全性。

--應用的安全性涉及到信息、數據的安全性。

信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。因此，對用戶使用計算機必須進行身份認證，對於重要信息的通訊必須授權，傳輸必須加密。採用多層次的訪問控制與許可權控制手段，實現對數據的安全保護；採用加密技術，保證網上傳輸的信息（包括管理員口令與帳戶、上傳信息等）的機密性與完整性。

6 .管理的安全風險分析

管理是網路中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網路出現攻擊行為或網路受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。

建立全新網路安全機制，必須深刻理解網路並能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網路的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網路便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網路的損失都是難以估計的。因此，網路的安全建設是校園網建設過程中重要的一環。

7 .網路安全措施

--物理措施：例如，保護網路關鍵設備(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。

--訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權，等等。

--數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。

防止計算機網路病毒，安裝網路防病毒系統。

--其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來，圍繞網路安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權，從而保護網路資源。其他安全技術包括密鑰管理、數字簽名、認證技術、智能卡技術和訪問控制等等。

木馬」病毒首當其沖

據金山反病毒監測中心統計，2005年1月到10月，共截獲或監測到的病毒達到50179個，其中木馬、蠕蟲、黑客病毒占其中的91％。尤其是以盜取用戶有價賬號的木馬病毒（如網銀、QQ、網游）多達2000多種，如果算上變種則要超過萬種，平均下來每天有30個病毒出現。綜合2005年的病毒情況，具有以下的特徵：

●計算機病毒感染率首次下降

2005年我國計算機病毒感染率為80％，比去年的85.57％下降了5.57個百分點。這是自2001年以來，我國計算機病毒疫情首次呈下降趨勢。同期的間諜軟體感染率則大大高於去年，由2004年的30％激增到2005年的90％。2001年在感染病毒的用戶當中，感染次數超過3次的達到56.65％，而2005年降為54.7％。2005年病毒造成的危害主要是網路癱瘓，接近20％，而2003年和2004年病毒危害集中在系統崩潰，這表明蠕蟲病毒造成的網路問題越來越嚴重。2001年因計算機病毒造成損失的比例為43％，今年為51.27％，這表明計算機病毒造成的危害正在加劇。

●90％用戶遭受「間諜軟體」襲擊

據介紹，2005年，間諜軟體已經大面積闖入了我們的網路生活中。根據公安部發布的《2005年全國信息網路安全狀況暨計算機病毒疫情調查活動》公布的相關數據顯示，2005年中國有將近90％的用戶遭受間諜軟體的襲擊，比起2004年的30％提高了6成。就連大名鼎鼎的比爾蓋茨面對間諜軟體也無能為力，驚呼：「我的計算機從未被病毒入侵過，但卻居然被間諜軟體和廣告軟體騷擾。」

盡管隨著打擊力度的加強，2005年的間諜軟體有了更加明顯的改變，之前大多是流氓的推廣方式，比如通過網站下載插件、彈廣告、代碼的方式。用一些IE輔助工具可以有效攔截，但是這次最煩的表現形式是間諜軟體直接彈廣告，IE輔助工具根本無法攔截。需要可以徹底把間諜軟體清除才能減少廣告。雖然許多殺毒軟體廠商對間諜軟體的清除下了很大的力量，但是由於還沒有一款完全意義上的針對間諜軟體的安全工具，因此對於間諜軟體的徹底清除還遠遠沒有達到用戶的需求。

●「間諜軟體」成為互聯網最大的安全威脅

間諜軟體在2005年表現出傳播手段多樣化的特點，間諜軟體的製造者為了尋求利益的最大化，吸引更多的人成為監視的對象，採用了越來越復雜的傳播方式。根據調查顯示，針對間諜軟體的傳播方式，用戶最為反感的「間諜軟體」形式主要包括：彈廣告的間諜軟體、安裝不打招呼的軟體、控制項、不容易卸載的程序、容易引起系統不穩定的程序、盜取網銀網游賬號的木馬程序。

間諜軟體的危害不僅僅是花花綠綠的廣告的騷擾，往往背後還隱藏著更加嚴重的威脅：間諜軟體被黑客利用能夠記錄用戶在計算機上的任何活動，包括敲打了哪個鍵盤、密碼、發送和接收的電子郵件、網路聊天記錄和照片等等。2005年萬事達國際信用卡公司宣布，位於亞利桑那州土桑市的一家信用卡數據處理中心的計算機網路被侵入，4000萬張信用卡賬號和有效日期等信息被盜，盜竊者採用的手段正是在這家信用卡數據中心的計算機系統中植入了一個間諜軟體。

●中國「網路釣魚」名列全球第二

網路釣魚作為一個網路蛀蟲，自從2004年出現以後，迅速成為威脅互聯網安全的主要攻擊方式。進入2005年，網路釣魚已經從最初的為技術痴迷的Vxer（病毒愛好者），變成受利益誘惑的職業人。他們不斷地挖掘系統的漏洞、規則的失誤，利用病毒的行為、人們的好奇心，四處進行著「釣魚」、詐騙。

網路釣魚在2004年及以前，多以郵件方式投遞到用戶郵箱中，而僅這種方式已經不能滿足利益熏心的製造者。因此網路釣魚在2005年的傳播手段從單一的主動推送方法，增加「守株待兔」方法，以更加多樣化的傳播方式，這些方式包括：假冒網上銀行、網上證券網站；利用虛假電子商務進行詐騙；利用木馬和黑客技術等手段竊取用戶信息等等，實際上，2005年「網路釣魚」者在實施網路詐騙的犯罪活動過程中，經常採取以上幾種手法交織、配合進行，還有的通過手機簡訊、QQ、msn進行各種各樣的「網路釣魚」不法活動。

以今年5月份為例，「網路釣魚」案件比上月激增226％，創有史以來最高紀錄。隨後的幾個月內，網路釣魚的攻擊方式仍以平均每月73％的比例向上增加。據國家計算機病毒應急處理中心統計，目前中國的網路釣魚網站佔全球釣魚網站的13％，名列全球第二位。

●病毒傳播更多樣、更隱蔽

2005年，網頁瀏覽、電子郵件和網路下載是感染計算機病毒最常見的途徑，分別佔59％、50％和48％。計算機病毒通過網路下載、瀏覽和電子郵件進行傳播和破壞的比例分別比去年

上升了6％，而利用區域網傳播感染的情況與去年比較減少了7％，可以看到利用互聯網傳播已經成為了病毒傳播的一個發展趨勢。

同時，隨著各大門戶網站的即時通訊工具的推出，利用IM（即時通訊工具）作為傳播的重要途徑，而且已經漸漸追上了微軟漏洞，成為了網路間病毒傳播的首選方式，從年初的「MSN性感雞」到利用QQ傳播的「書蟲」、「QQRRober」、「QQTran」，以及可以通過多種IM平台進行傳播的「QQMsgTing」，它們都通過IM廣闊的交流空間大肆傳播著。每一個使用IM工具的人，至少會接到一次這類病毒的侵擾。同時，此類病毒在傳播過程都會根據生活中的熱點事件、新聞人物、或者黃色信息構造誘惑信息，誘使聊天好友打開地址或接收病毒文件。

據統計，通過IM工具傳播的病毒高達270萬次起，排在所有病毒之首。這也使得國內IM廠家高度重視，騰訊推出的QQ2005，就在業界率先與殺毒廠商合作，與金山公司合作推出了國際首創的「QQ安全中心」。

●漏洞病毒出現的時間間隔越來越短

根據行業人士試驗得到的反饋，在2005年，一台未打補丁的系統，接入互聯網，不到2分鍾就會被各種漏洞所攻擊，並導致電腦中毒。因此，今年雖然病毒的感染率呈現出下降的趨勢，但病毒仍然存在巨大的危害，並且利用漏洞的方法仍是病毒傳播的最重要手段。

據了解，目前普通用戶碰到的漏洞威脅，主要以微軟的操作系統漏洞居多。微軟被新發現的漏洞數量每年都在增長，僅2005年截至11月，微軟公司便對外公布漏洞51個，其中嚴重等級27個。眾所周知，微軟的Windows操作系統在個人電腦中有極高的市場佔有率，用戶群體非常龐大。利用微軟的系統漏洞傳播的病毒明顯具有傳播速度快、感染人群多、破壞嚴重的特點。03年的沖擊波、04年的震盪波以及05年的狙擊波便是很好的佐證。

利用漏洞的病毒越來越多。2005年8月15日凌晨，利用微軟漏洞攻擊電腦的病毒「狙擊波」，被稱為歷史上最快利用漏洞的一個病毒，距離該漏洞被公布時間僅有一周。

因此，國內有關反病毒工程師告訴用戶，2006年對於網路病毒的防護措施主要是以防護為主，但是除此之外，還要有相應的檢測、響應及隔離能力。在大規模網路病毒暴發的時候，能夠通過病毒源的隔離，把疫情降到最低，對於殘留在網路上的病毒，人們也要有相應的處理能力

H. 如何培養自己的網路安全防護能力

自己的個人信息一般不要在網上輸。

I. 網站策劃人馮志亮先生談如何建立網路安全體系的幾點問題

網路安全是指網路系統的硬體、軟體和系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞，更改、泄露，系統連續可靠正常地運行，網路服務不中斷。網路安全從本質上講就是網路信息安全，包括靜態的信息存儲安全和信息傳輸安全。下面介紹一下建立網路安全體系的幾點重要方面。
1.防火牆
防火牆是企業網路與互聯網之間的安全衛士，防火牆的主要目的是攔截不需要的流量，如准備感染帶有特定弱點的計算機的蠕蟲；另外很多硬體防火牆都提供其它服務，如電子郵件防病毒、反垃圾郵件過濾、內容過濾、安全無線接入點選項等等。
在沒有防火牆的環境中，網路安全性完全依賴主系統的安全性。在一定意義上，所有主系統必須通力協作來實現均勻一致的高級安全性。子網越大，把所有主系統保持在相同的安全性水平上的可管理能力就越小，隨著安全性的失策和失誤越來越普遍，入侵就時有發生。
防火牆有助於提高主系統總體安全性。 防火牆的基本思想——不是對每台主機系統進行保護，而是讓所有對系統的訪問通過某一點，並且保護這一點，並盡可能地對外界屏蔽保護網路的信息和結構。
防火牆是一種行之有效且應用廣泛的網路安全機制，防止Internet上的不安全因素蔓延到區域網內部。防火牆可以從通信協議的各個層次以及應用中獲取、存儲並管理相關的信息，以便實施系統的訪問安全決策控制。 防火牆的技術已經經歷了三個階段，即包過濾技術、代理技術和狀態監視技術。
2.網路病毒的防範
在網路環境下，病毒傳播擴散加快，僅用單機版殺毒軟體已經很難徹底清除網路病毒，必須有適合於區域網的全方位殺毒產品。如果在網路內部使用電子郵件進行信息交換，還需要一套基於郵件伺服器平台的郵件防病毒軟體。所以最好使用全方位的防病毒產品，針對網路中所有可能的病毒攻擊點設置對應的防病毒軟體，並且定期或不定期更新病毒庫，使網路免受病毒侵襲。
3.系統漏洞
解決網路層安全問題，首先要清楚網路中存在哪些安全隱患和弱點。面對大型我那個羅的復雜性和變化，僅僅依靠管理員的技術和經驗尋找安全漏洞和風險評估是不現實的。最好的方法就是使用安全掃描工具來查找漏洞並提出修改建議。另外實時給操作系統和軟體打補丁也可以彌補一部分漏洞和隱患。有經驗的管理員還可以利用黑客工具對網路進行模擬攻擊，從而尋找網路的薄弱點。
4.入侵檢測
入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現並報告系統中未授權或異常現象的技術，是一種用於檢測計算機網路中違反安全策略行為的技術。在入侵檢測系統中利用審計記錄，能識別出任何不希望有的行為，從而達到限制這些活動，保護系統安全的目的。
5.內網系統安全
對於網路外部的入侵可以通過安裝防火牆來解決，但是對於網路內部的入侵則無能為力。在這種情況下我們可以採用對各個子網做一個具有一定功能的審計文件，為管理員分析自己的網路運作狀態提供依據。設計一個子網專用的監聽程序監聽子網內計算機間互聯情況，為系統中各個伺服器的審計文件提供備份。
企業的信息安全需求主要體現在迫切需要適合自身情況的綜合解決方案。隨著時間的發展，中小企業所面臨的安全問題會進一步復雜化和深入化。而隨著越來越多的中小企業將自己的智力資產建構在其信息設施基礎之上，對於信息安全的需求也會迅速的成長。
總之，網路安全是一個系統工程，不能僅僅依靠防火牆等單個的系統，而需要仔細考慮系統的安全需求，並將各種安全技術結合在一起，與科學的網路管理結合在一起，才能生成一個高效、通用、安全的網路系統。