網路安全事件怎麼保障數據

⑴ 如何保障網路信息安全

保障網路安全的幾點做法
1、保障硬體安全
常見的硬體安全保障措施主要有使用UPS電源，以確保網路能夠以持續的電壓運行；防雷、防水、防火、防盜、防電磁干擾及對存儲媒體的安全防護。

2、保障系統安全
安裝防病毒軟體並及時對系統補丁進行更新，對於不必要的服務及許可權盡可能的關閉，對於外來的存儲介質一定要先進行病毒查殺後再使用。

3、防禦系統及備份恢復系統
利用防火牆可以對不同區域間的訪問實施訪問控制、身份鑒別和審計等安全功能。入侵檢測系統（IPS）是防火牆的合理補充，能幫助系統對付網路攻擊，提高了信息安全基礎結構的完整性。

4、安全審計與系統運維
對監控網路內容和已經授權的正常內部網路訪問行為，可以實時了解網內各客戶機及伺服器出現的情況，存在的異常進程及硬體的改變，系統漏洞補丁的修復情況等等。

5、人員管理與制度安全
加強計算機人員安全防範意識，提高人員的安全素質以及健全的規章制度和有效、易於操作的網路安全管理平台是做好網路安全工作的重要條件。

⑵ 在網路安全中一般採用什麼技術來保障網路安全

【熱心相助】

您好！

網路安全保障關鍵要素包括四個方面：網路安全策略、網路安全管理、網路安全技術和網路安全運作，如下圖所示。網路安全策略包括網路安全的戰略、政策和標准：網路安全管理是指機構的管理行為，主要包括法律法規、規章制度、安全意識、組織結構和審計監督等；網路安全技術是網路系統的行為，包括安全服務和安全基礎設施；網路安全運作是日常管理的行為，包括運作流程和對象管理。

在企業管理機制下，需要通過運作機制藉助技術手段才能實現網路安全。網路安全運作是在日常工作中，執行網路安全管理和網路安全技術手段，「七分管理，三分技術，運作貫穿始終」，管理是關鍵，技術是保障。

其中，常用的網路安全技術，可以歸納為三大類：

（1）預防保護類。主要包括身份認證、訪問管理、加密、防惡意代碼、防禦和加固。

（2）檢測跟蹤類。主體對客體的訪問行為需要進行監控和事件審計，防止在訪問過程中可能產生的安全事故的各種舉措，包括監控和審核跟蹤。

（3）響應恢復類。網路或數據一旦發生安全事件，應確保在最短的時間內對其事件進行應急響應和備份恢復，盡快將其影響降至最低。

拓展閱讀：清華大學出版社，網路安全實用技術，賈鐵軍教授主編

⑶ 在網路數據安全保障方面網路安全法規定網路運營者應該採取哪些措施

「網路運營者」的范圍極為廣泛，根據《網路安全法》第76條規定，網路運營者是指網路的所有者、管理者和網路服務提供者。即無論是網路的所有方、管理方還是在利用網路提供服務都包含在「網路運營者」的概念之下。
1.履行安全保護義務
根據《網路安全法》第21條規定，網路運營者應當按照網路安全等級保護制度的要求履行相應的安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄漏或者被竊取、篡改。具體義務包括：
制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；
採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；
採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；
採取數據分類、重要數據備份和加密等措施；
法律、行政法規規定的其他義務。
網路安全等級保護制度是網路安全領域的一項重要制度，涵蓋技術類安全要求和管理類安全要求兩大類。技術類安全要求主要從物理、環境、應用、數據等幾個方面進行強調，而管理類安全要求則是對安全管理的制度、機構、人員、系統建設及運維等幾個方面進行強調。
2.提供安全網路產品和服務的義務
提供安全可靠的網路產品或服務是網路運營者的基本義務。
根據《網路安全法》第22條規定，網路產品、服務應當符合相關國家標準的強制性要求，此外不得設置惡意程序，對於安全缺陷、漏洞等風險還應當及時採取補救措施並向主管部門報告；在約定或者規定的期限內不得終止提供安全維護。
根據《網路安全法》第27條規定，任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動；不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具；明知他人從事危害網路安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。
3.用戶身份實名審核義務
在特定情況下要求用戶提供真實身份信息是網路運營者的法定義務。
根據《網路安全法》第24條規定，網路運營者為用戶辦理網路接入、域名注冊服務，辦理固定電話、行動電話等入網手續，或者為用戶提供信息發布、即時通訊等服務，在與用戶簽訂協議或者確認提供服務時，應當要求用戶提供真實身份信息。用戶不提供真實身份信息的，網路運營者不得為其提供相關服務。
4.建立網路應急處置措施的義務

⑷ 如何保障網路信息安全

沒有絕對的安全，安全是相對的，要說如何解決信息安全問題，個人認為我們能做的就是從法規、制度和技術層面，去實現核心和重要信息的安全防護，來盡可能的規避信息泄漏風險。

一方面，從2017年6月1日正式施行的《中華人民共和國網路安全法》中對個人信息保護的明確要求，到2018年《信息安全技術個人信息安全規范》國家標準的發布，公民的個人信息安全已經逐步實現「有法可依，有規可循」。

另一方面，從技術手段來講，世平信息所倡導的是在數據治理的基礎上實現數據的安全防護，首先，對數據進行梳理，進行分級分類，這個過程能夠讓企業、組織更加明確的了解龐大的資料庫中哪些數據是核心數據，這些數據存儲在哪裡，用在哪裡，對數據做到「了如指掌」；其次，針對核心數據，進行重點的風險評估、審計監控、泄漏預警阻斷等一系列防護操作，並通過可視化的形式展現出來，達到有效保障數據的效果和目的。

⑸ 網路安全防範措施有哪些

大面積的部署國產信息化網路安全管理設備，如UniAccess終端安全管理、UniNAC網路准入控制、UniBDP數據防泄露這類網路安全管理監控系統，也成了重中之重的一件事。用這類管理系統，對各個終端的安全狀態，對重要級敏感數據的訪問行為、傳播進行有效監控，及時發現違反安全策略的事件並實時告警、記錄、進行安全事件定位分析，准確掌握網路系統的安全狀態，為我們的網路安全起著保駕護航的作用。

⑹ 中華人民共和國網路安全法規定國家實行網路安全什麼保護制度

等級保護制度。
法律依據如下:
網路安全法
第二十一條國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：
（一）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；

（二）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；

（三）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；

（四）採取數據分類、重要數據備份和加密等措施；

（五）法律、行政法規規定的其他義務。

⑺ 大數據安全怎麼保證

大數據安全怎麼保證

當前，我國亟須依據《關於促進大數據發展的行動綱要》，綜合採取戰略、政策、法律等多種工具，構建起包括法律、行政、技術、行業、社會等在內的大數據安全保護體系，加大大數據的安全保護力度，營造健康環保的大數據生態運營體系。

一是加強基礎保護技術的研發和推廣應用。推廣業務系統防攻擊防入侵通用保護技術的普及和應用，引入並推廣匿名技術、數據泄露保護模型技術等業已成熟的大數據安全保護專用技術。

二是加強基礎保護技術體系的建設和實施。制定並組織實施適用於大數據安全保護的行業標准、企業標准和聯盟規范指南，明確大數據安全保護的保護范疇、保護類型、保護級別、具體的技術保護要求和管理要求。

三是切實加強關鍵信息基礎設施安全防護。做好大數據平台及服務商的可靠性及安全性評測、應用安全評測、監測預警和風險評估；明確數據採集、傳輸、存儲、使用、開放等各環節保障網路安全的范圍邊界、責任主體和具體要求，切實加強對涉及國家利益、公共安全、商業秘密、個人隱私、軍工科研生產等信息的保護。

四是開展大數據安全流動的風險評估和安全認證活動。建立大數據安全評估體系，落實信息安全等級保護、風險評估等網路安全制度；制定發布大數據安全保護的行業規范指南，組織簽署大數據安全保護的行業自律公約，開展針對大數據交易平台數據安全保護狀況的風險評估和安全認證活動，根據風險評估和安全認證結果發布大數據安全保護綜合排名排序，督促行業企業做好大數據安全保護方面的自我約束工作。

五是採用安全可信產品和服務，提升基礎設施關鍵設備安全可靠水平。建設國家網路安全信息匯聚共享和關聯分析平台，促進網路安全相關數據融合和資源合理分配，提升重大網路安全事件應急處理能力；深化網路安全防護體系和態勢感知能力建設，增強網路空間安全防護和安全事件識別能力。

以上是小編為大家分享的關於大數據安全怎麼保證的相關內容，更多信息可以關注環球青藤分享更多干貨

⑻ 大數據時代,誰能保障互聯網安全

大數據時代,誰能保障互聯網安全

網路安全事件近期頻發，網路安全警鍾再次響起。互聯網企業應如何保護數據安全?

5月27日下午到夜間，很多用戶發現自己的支付軟體無法登陸，故障2.5個小時;28日，國內最大的旅遊在線預定網站也出了問題，故障時間長達12小時。兩家企業均是互聯網行業中的佼佼者，出現如此問題，顯示出網路安全和穩定遭遇嚴峻挑戰，在當下「互聯網+」熱潮中，網路安全和穩定更應該引起高度重視。隨著這幾年互聯網、移動互聯網的發展，我們每個人都實實在在的感受到了方便快捷的互聯網的服務，但是這幾天的事情告訴我們，在方便背後是黑色危機。

互聯網與生活

對大多數人而言，用手機查看賬單，看看水、煤、電繳費，看看信用卡還款情況，看看理財賬戶的收益，都是方便快捷的方式。而在數千里之外的一次施工，就可以讓一切中斷。隱私暫且不說，軟體託管的資金、理財都是真金白銀。網路出點問題也好，伺服器有點麻煩也罷，你的錢就會成為一筆糊塗賬，這是很可怕的。

同樣，現在很多人都依靠網上預訂行程。出行從訂機票、出發車輛送機場，到落地對方城市車輛接到酒店，再到酒店住宿，返程機票，車輛接送，幾乎擁有一整套服務。然而網路出現問題，很多預訂了行程的客人就會出現各種問題，因為網路或者伺服器的問題，機票沒出，車輛沒訂，酒店沒訂，或者時間拖延，出行者就會遇到大麻煩。

我們的生活已經與互聯網，移動互聯網緊緊聯系在了一起，互聯網就像空氣一樣必不可少。具有行業主導地位的互聯網公司對於個人的重要性不亞於銀行、電信這些關繫到國計民生的國企。他們出點問題，就會是社會性的大問題。

如果用一句話來總結：此次事件損失是慘重的，教訓是深刻的。如何對此類事件有所防範，成為各大互聯網企業與用戶共同面對的問題。有個生僻詞從今天開始就會成為熱門詞彙—災備。

什麼是災備?

一般來說，災備可以分為數據級、應用級和業務級三個級別，可能大多數人對這三種級別的災備都不是很了解，那麼下面我們就來具體的了解一下這三種災備。

數據級災備主要關注的就是數據，就是在災難發生之後，可以確保數據不受到損壞。對於級別較低的數據級災備來說，可以將需要備份的數據通過人工的方式保存到異地實現。如將備份的磁帶(盤或光碟)定時運送到異地保存就是方法之一。而較高級的數據災備方案則依靠基於網路的數據復制工具，實現生產中心不同備份設備之間或是生產中心與災備中心之間的非同步/同步的數據傳輸，如採用基於磁碟陣列的數據復制功能。

應用級災備是建立在數據級災備的基礎上的，對應用系統進行復制，也就是在異地災備中心再構建一套應用支撐系統。支撐系統包括數據備份系統、備用數據處理系統、備用網路系統等部分。應用級災備能提供應用系統接管能力，即在生產中心發生故障的情況下，災備中心便能夠接管應用，從而盡量減少系統停機時間，提高業務連續性。

業務級災備是最高級別的災備系統。它包括非IT系統，所以當發生大的災難時，用戶的辦公場所可能會被損壞，用戶除了需要原來的數據以外，還需要工作人員在一個備份的工作場所能夠正常地開展業務。

金融業的信息系統標准一直有明確的監管要求，而且嚴於其他行業。我國金融行業標准中的《銀行業信息系統災難恢復管理規范》對災難分級、恢復時間有詳細規定。中國銀監會印發的《商業銀行數據中心監管指引》也已經明確，總資產規模一千億元人民幣以上且跨省設立分支機構的法人商業銀行，以及省級農村信用聯合社，應設立異地模式災備中心。

選擇具有災備系統的互聯網公司

據記者采訪的多位網路安全技術專家介紹，目前，不少普通的互聯網企業並沒有災難備份，對用戶而言，選擇具有災備系統的互聯網公司顯得尤為重要。

江淮雲信易通公司則表示，通過雲計算技術可以低成本地實現多個數據備份及快速恢復，並進行更嚴格的雲上許可權管理。如果沒有完善的數據可靠性機制保障和安全防禦能力，對互聯網公司而言意味著致命性打擊。

據了解，信易通是一家數據公司，和中國金融電子化公司(中國人民銀行軟體開發中心)簽訂災備協議，為中小企業制定數據災備方案，所有的數據由中國人民銀行電子化公司備份傳輸到北京，提供數據級和業務級的災備，安全性很高。

以前，自建災備中心往往需要建設基礎設施和全部的應用系統的硬體軟體，覆蓋全部應用系統數據的實時數據傳輸，應用管理，這個建設周期很長，而且成本高、見效慢。

相比之下，信易通的雲災備中心基礎設施可以共享中小金融機構災備服務中心的機房，網路可以實時通信，網路安全設備監控設備共享，數據層面可以共享虛擬化雲存儲，應用層可以根據每個金融機構不同需求在平時的時候可以分配一定的計算資源、存儲資源。這樣對比下來，採用雲災備服務中心最明顯的特點就是投入成本更少而見效更快了。

以上是小編為大家分享的關於大數據時代,誰能保障互聯網安全的相關內容，更多信息可以關注環球青藤分享更多干貨

⑼ 如何保證網路安全

上網幾乎是天天都要做的事情，網路安全很重要，如何才能確保上網安全，與你分享幾招。

⑽ 如何提升網路信息安全保障能力

健全的網路與信息安全保障措施 隨著企業網路的普及和網路開放性，共享性，互連程度的擴大，網路的信息安全問題也越來越引起人們的重視。一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全，還要保護數據安全。網路安全風險分析 計算機系統本身的脆弱性和通信設施的脆弱性共同構成了計算機網路的潛在威脅。信息網路化使信息公開化、信息利用自由化，其結果是信息資源的共享和互動，任何人都可以在網上發布信息和獲取信息。這樣，網路信息安全問題就成為危害網路發展的核心問題，與外界的網際網路連接使信息受侵害的問題尤其嚴重。 目前企業網路信息的不安全因素來自病毒、黑客、木馬、垃圾郵件等幾個方面。 計算機病毒是一種危害計算機系統和網路安全的破壞性程序。它可以直接破壞計算機數據信息，也可以大量佔用磁碟空間、搶占系統資源從而干擾了系統的正常運行。 隨著Internet技術的發展、企業網路環境的日趨成熟和企業網路應用的增多，病毒的感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽，尤其是Internet環境和企業網路環境為病毒傳播、生存提供了環境。 黑客攻擊已經成為近年來經常發生的事情，網路中伺服器被攻擊的事件層出不窮。黑客利用計算機系統、網路協議及資料庫等方面的漏洞和缺陷，採用破解口令(password cracking)、天窗(trapdoor)、後門(backdoor)、特洛伊木馬(Trojan horse)等手段侵入計算機系統，進行信息破壞或佔用系統資源，使得用戶無法使用自己的機器。一般大型企業的網路都擁有Internet連接，同時對外提供的WWW和EMAIL等服務。因此企業內部網路通過Internet連接外部進行大量的信息交換，而其中大約80%信息是電子郵件，郵件中又有一半以上的郵件是垃圾郵件，這一比例還在逐年上升。 企業區域網內部的信息安全更是不容忽視的。網路內部各節點之間通過網路共享網路資源，就可能因無意中把重要的涉密信息或個人隱私信息存放在共享目錄下，因此造成信息泄漏；甚至存在內部人員編寫程序通過網路進行傳播，或者利用黑客程序入侵他人主機的現象。因此，網路安全不僅要防範外部網，同時更防範內部網。網路安全措施 由此可見，有眾多的網路安全風險需要考慮，因此，企業必須採取統一的安全策略來保證網路的安全性。一個完整的安全技術和產品包括：身份認證、訪問控制、流量監測、網路加密技術、防火牆、入侵檢測、防病毒、漏洞掃描等；而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。 1.外部入侵的防範措施 (1)網路加密(Ipsec) IP層是TCP/IP網路中最關鍵的一層，IP作為網路層協議，其安全機制可對其上層的各種應用服務提供透明的覆蓋式安全保護。因此，IP安全是整個TCP/IP安全的基礎，是網路安全的核心。IPSec是目前唯一一種能為任何形式的Internet通信提供安全保障的協議。IPSec允許提供逐個數據流或者逐個連接的安全，所以能實現非常細致的安全控制。對於用戶來說，便可以對於不同的需要定義不同級別地安全保護(即不同保護強度的IPSec通道)。IPSec為網路數據傳輸提供了數據機密性、數據完整性、數據來源認證、抗重播等安全服務，使得數據在通過公共網路傳輸時，不用擔心被監視、篡改和偽造。 IPSec是通過使用各種加密演算法、驗證演算法、封裝協議和一些特殊的安全保護機制來實現這些目的，而這些演算法及其參數是保存在進行IPSec通信兩端的SA(Security Association，安全聯盟)，當兩端的SA中的設置匹配時，兩端就可以進行IPSec通信了。 在虛擬專用網(VPN)中主要採用了IPSec技術。 (2)防火牆 防火牆是一種網路安全保障手段，是網路通信時執行的一種訪問控制尺度，其主要目標就是通過控制進、出一個網路的許可權，在內部和外部兩個網路之間建立一個安全控制點，對進、出內部網路的服務和訪問進行控制和審計，防止外部網路用戶以非法手段通過外部網路進入內部網路，訪問、干擾和破壞內部網路資源。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet之間的任何活動，保證了內部網路的安全。 防火牆有軟、硬體之分，實現防火牆功能的軟體，稱為軟體防火牆。軟體防火牆運行於特定的計算機上，它需要計算機操作系統的支持。基於專用的硬體平台的防火牆系統，稱為硬體防火牆。它們也是基於PC架構，運行一些經過裁剪和簡化的操作系統，承載防火牆軟體。 (3)入侵檢測 部署入侵檢測產品，並與防火牆聯動，以監視區域網外部繞過或透過防火牆的攻擊，並及時觸發聯動的防火牆及時關閉該連接；同時監視主伺服器網段的異常行為，以防止來自區域網內部的攻擊或無意的誤用及濫用行為。入侵檢測是防火牆的合理補充，幫助系統對付網路攻擊，擴展了系統管理員的安全管理能力。 2.內部非法活動的防範措施 (1)身份認證 網路安全身份認證是指登錄計算機網路時系統對用戶身份的確認技術。是網路安全的第一道防線，也是最重要的一道防線。用戶在訪問安全系統之前，首先經過身份認證系統識別身份，然後訪問監控器根據用戶的身份和授權資料庫決定用戶是否能夠訪問某個資源。授權資料庫由安全管理員按照需要進行配置。審計系統根據審計設置記錄用戶的請求和行為，同時入侵檢測系統實時或非實時地檢測是否有入侵行為。訪問控制和審計系統都要依賴於身份認證系統提供的用戶的身份。身份認證在安全系統中的地位極其重要，是最基本的安全服務，其它的安全服務都要依賴於它。一旦身份認證系統被攻破，那麼系統的所有安全措施將形同虛設。黑客攻擊的目標往往就是身份認證系統，因此身份認證實在是網路安全的關鍵。 (2)訪問控制 訪問控制決定了用戶可以訪問的網路范圍、使用的協議、埠；能訪問系統的何種資源以及如何使用這些資源。在路由器上可以建立訪問控制列表，它是應用在路由器介面的指令列表，這些指令列表用來告訴路由器哪些數據包可以接收、哪些數據包需要拒絕。至於數據包是被接收還是被拒絕，可以由類似於源地址、目的地址、埠號、協議等特定指示條件來決定。建立訪問控制列表後，可以限制網路流量，提高網路性能，對通信流量起到控制的手段，這也是對網路訪問的基本安全手段。由於訪問控制列表ACL(Access Control List)的表項可以靈活地增加，所以可以把ACL當作一種網路控制的有力工具，用來過濾流入和?鞽雎酚善鶻涌詰氖蒞?在應用系統中，訪問控制的手段包括用戶識別代碼、口令、登錄控制、資源授權(例如用戶配置文件、資源配置文件和控制列表)、授權核查、日誌和審計。適當的訪問控制能夠阻止未經允許的用戶有意或無意地獲取數據，根據授予的許可權限制其對資源的利用范圍和程度。 (3)流量監測 目前有很多因素造成網路的流量異常，如拒絕服務攻擊(DoS)、網路蠕蟲病毒的傳播、一些網路掃描工具產生的大量TCP連接請求等，很容易使網路設備癱瘓。這些網路攻擊，都是利用系統服務的漏洞或利用網路資源的有限性，在短時間內發動大規模網路攻擊，消耗特定資源，造成網路或計算機系統癱瘓。因此監控網路的異常流量非常重要。流量監測技術主要有基於SNMP的流量監測和基於Netflow的流量監測。基於SNMP的流量信息採集，是通過提取網路設備Agent提供的MIB(管理對象信息庫)中收集一些具體設備及流量信息有關的變數。 基於SNMP收集的網路流量信息包括：輸入位元組數、輸入非廣播包數、輸入廣播包數、輸入包丟棄數、輸入包錯誤數、輸入未知協議包數、輸出位元組數、輸出非廣播包數、輸出廣播包數、輸出包丟棄數、輸出包錯誤數、輸出隊長等。基於Netflow流量信息採集是基於網路設備提供的Netflow機制實現的網路流量信息採集，在此基礎上實現的流量信息採集效率和效果均能夠滿足網路流量異常監測的需求。基於以上的流量檢測技術，目前有很多流量監控管理軟體，此類軟體是判斷異常流量流向的有效工具，通過流量大小變化的監控，可以幫助網管人員發現異常流量，特別是大流量異常流量的流向，從而進一步查找異常流量的源、目的地址。處理異常流量最直接的解決辦法是切斷異常流量源設備的物理連接，也可以採用訪問控制列表進行包過濾或在路由器上進行流量限定的方法控制異常流量。 (4)漏洞掃描 對一個網路系統而言，存在不安全隱患，將是黑客攻擊得手的關鍵因素。就目前的網路系統來說，在硬體、軟體、協議的具體實現或系統安全策略方面都可能存在一定的安全缺陷即安全漏洞。及時檢測出網路中每個系統的安全漏洞是至關重要的。安全掃描是增強系統安全性的重要措施之一，它能夠有效地預先評估和分析系統中的安全問題。漏洞掃描系統是用來自動檢測遠程或本地主機安全漏洞的程序，按功能可分為：操作系統漏洞掃描、網路漏洞掃描和資料庫漏洞掃描。網路漏洞掃描系統，是指通過網路遠程檢測目標網路和主機系統漏洞的程序，它對網路系統和設備進行安全漏洞檢測和分析，從而發現可能被入侵者非法利用的漏洞。定期對網路系統進行漏洞掃描，可以主動發現安全問題並在第一時間完成有效防護，讓攻擊者無隙可鑽。 (5)防病毒 企業防病毒系統應該具有系統性與主動性的特點，能夠實現全方位多級防護。考慮到病毒在網路中存儲、傳播、感染的方式各異且途徑多種多樣，相應地在構建網路防病毒系統時，應利用全方位的企業防毒產品，實施集中控制、以防為主、防殺結合的策略。具體而言，就是針對網路中所有可能的病毒攻擊設置對應的防毒軟體，通過全方位、多層次的防毒系統配置，使網路沒有薄弱環節成為病毒入侵的缺口。實例分析 大慶石化區域網是企業網路，覆蓋大慶石化機關、各生產廠和其他的二級單位，網路上運行著各種信息管理系統，保存著大量的重要數據。為了保證網路的安全，針對計算機網路本身可能存在的安全問題，在網路安全管理上我們採取了以下技術措施： 1.利用PPPOE撥號上網的方式登錄區域網 我們對網路用戶實施了身份認證技術管理。用戶採用 PPPOE撥號方式上區域網，即用戶在網路物理線路連通的情況下，需要通過撥號獲得IP地址才能上區域網。我們選用華為ISN8850智能IP業務交換機作為寬頻接入伺服器(BAS)，RADIUS伺服器作用戶認證系統，每個用戶都以實名注冊，這樣我們就可以管理用戶的網上行為，實現了對乙太網接入用戶的管理。 2.設置訪問控制列表 在我們的網路中有幾十台路由交換機，在交換機上我們配置了訪問控制列表，根據信息流的源和目的 IP 地址或網段，使用允許或拒絕列表，更准確地控制流量方向，並確保 IP 網路免遭網路侵入。 3.劃分虛擬子網 在區域網中，我們把不同的單位劃分成不同的虛擬子網(VLAN)。對於網路安全要求特別高的應用，如醫療保險和財務等，劃分獨立的虛擬子網，並使其與區域網隔離，限制其他VLAN成員的訪問，確保了信息的保密安全。 4.在網路出口設置防火牆在區域網的出口，我們設置了防火牆設備，並對防火牆制定安全策略，對一些不安全的埠和協議進行限制，使所有的伺服器、工作站及網路設備都在防火牆的保護之下，同時配置一台日誌伺服器記錄、保存防火牆日誌，詳細記錄了進、出網路的活動。 5.部署Symantec防病毒系統 我們在大慶石化區域網內部署了Symantec防病毒系統。Symantec系統具有跨平台的技術及強大功能，系統中心是中央管理控制台。通過該管理控制台集中管理運行Symantec AntiVirus 企業版的伺服器和客戶端；可以啟動和調度掃描，以及設置實時防護，從而建立並實施病毒防護策略，管理病毒定義文件的更新，控制活動病毒，管理計算機組的病毒防護、查看掃描、病毒檢測和事件歷史記錄等功能。 6.利用高效的網路管理軟體管理全網大慶石化區域網的網路環境比較復雜，含有多種cisco交換設備、華為交換設備、路由設備以及其他一些接入設備，為了能夠有效地網路，我們採用了BT_NM網路資源管理系統。 該系統基於SNMP管理協議，可以實現跨廠商、跨平台的管理。系統採用物理拓撲的方法來自動生成網路的拓撲圖，能夠准確和直觀地反映網路的實際連接情況，包括設備間的冗餘連接、備份連接、均衡負載連接等，對拓撲結構進行層次化管理。通過網路軟體的IP地址定位功能可以定位IP地址所在交換機的埠，有效解決了IP地址盜用、查找病毒主機網路黑客等問題。 通過網路軟體還可實現對網路故障的監視、流量檢測和管理，使網管人員能夠對故障預警，以便及時採取措施，保證了整個網路能夠堅持長時間的安全無故障運行。 7.建立了VPN系統 虛擬專用網是對企業內部網的擴展。它可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接，並保證數據的安全傳輸。虛擬專用網可用於實現企業網站之間安全通信的虛擬專用線路，用於經濟有效地連接到商業夥伴和用戶的安全外聯網虛擬專用網。為了滿足企業用戶遠程辦公需求，同時為了滿足網路安全的要求，我們在石化區域網中建立了VPN系統。VPN的核心設備為Cisco的3825路由器，遠端子公司採用Cisco的2621路由器，動態接入設備採用Cisco的1700路由器。 8.啟動應用伺服器的審計功能在區域網的各應用中我們都啟用了審計功能，對用戶的操作進行審核和記錄，保證了系統的安全。