企業級網路安全與等保

A. 網路安全要學什麼

1.網路安全
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不因偶然的或者惡意的原因而遭受到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。 網路安全從其本質上來講就是網路上的信息安全。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論都是網路安全的研究領域。網路安全是一門涉及計算機科學、網路技術、通信技術、密碼技術、信息安全技術、應用數學、數論、資訊理論等多種學科的綜合性學科。
網路安全的具體含義會隨著「角度」的變化而變化。比如：從用戶（個人、企業等）的角度來說，他們希望涉及個人隱私或商業利益的信息在網路上傳輸時受到機密性、完整性和真實性的保護，避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。
網路安全應具有以下四個方面的特徵：
保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。
完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性：可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊；
可控性：對信息的傳播及內容具有控制能力。
從網路運行和管理者角度說，他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制，避免出現「陷門」、病毒、非法存取、拒絕服務和網路資源非法佔用和非法控制等威脅，制止和防禦網路黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態角度來講，網路上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。
隨著計算機技術的迅速發展，在計算機上處理的業務也由基於單機的數學運算、文件處理，基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網（Intranet）、企業外部網（Extranet）、全球互連網（Internet）的企業級計算機處理系統和世界范圍內的信息共享和業務處理。在系統處理能力提高的同時，系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時，基於網路連接的安全問題也日益突出，整體的網路安全主要表現在以下幾個方面：網路的物理安全、網路拓撲結構安全、網路系統安全、應用系統安全和網路管理的安全等。
因此計算機安全問題，應該象每家每戶的防火防盜問題一樣，做到防範於未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現了，一旦發生，常常措手不及，造成極大的損失。

2.網路安全分析
2.1.物理安全分析
網路的物理安全是整個網路系統安全的前提。在校園網工程建設中，由於網路系統屬於弱電工程，耐壓值很低。因此，在網路工程的設計和施工中，必須優先考慮保護人和網路設備不受電、火災和雷擊的侵害；考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離；考慮布線系統和絕緣線、裸體線以及接地與焊接的安全；必須建設防雷系統，防雷系統不僅考慮建築物防雷，還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有，地震、水災、火災等環境事故；電源故障；人為操作失誤或錯誤；設備被盜、被毀；電磁干擾；線路截獲；高可用性的硬體；雙機多冗餘的設計；機房環境及報警系統、安全意識等，因此要盡量避免網路的物理安全風險。
2.2.網路結構的安全分析
網路拓撲結構設計也直接影響到網路系統的安全性。假如在外部和內部網路進行通信時，內部網路的機器安全就會受到威脅，同時也影響在同一網路上的許多其他系統。透過網路傳播，還會影響到連上Internet/Intrant的其他的網路；影響所及，還可能涉及法律、金融等安全敏感領域。因此，我們在設計時有必要將公開伺服器（WEB、DNS、EMAIL等）和外網及內部其它業務網路進行必要的隔離，避免網路結構信息外泄；同時還要對外網的服務請求加以過濾，只允許正常通信的數據包到達相應主機，其它的請求服務在到達主機之前就應該遭到拒絕。
2.3.系統的安全分析
所謂系統的安全是指整個網路操作系統和網路硬體平台是否可靠且值得信任。目前恐怕沒有絕對安全的操作系統可以選擇，無論是Microsfot 的Windows NT或者其它任何商用UNIX操作系統，其開發廠商必然有其Back-Door。因此，我們可以得出如下結論：沒有完全安全的操作系統。不同的用戶應從不同的方面對其網路作詳盡的分析，選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬體平台，並對操作系統進行安全配置。而且，必須加強登錄過程的認證（特別是在到達伺服器主機之前的認證），確保用戶的合法性；其次應該嚴格限制登錄者的操作許可權，將其完成的操作限制在最小的范圍內。
2.4.應用系統的安全分析
應用系統的安全跟具體的應用有關，它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性，它包括很多方面。
——應用系統的安全是動態的、不斷變化的。
應用的安全涉及方面很多，以目前Internet上應用最為廣泛的E-mail系統來說，其解決方案有sendmail、Netscape Messaging Server、Software.Com Post.Office、Lotus Notes、Exchange Server、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上，主要考慮盡可能建立安全的系統平台，而且通過專業的安全工具不斷發現漏洞，修補漏洞，提高系統的安全性。
——應用的安全性涉及到信息、數據的安全性。

信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。因此，對用戶使用計算機必須進行身份認證，對於重要信息的通訊必須授權，傳輸必須加密。採用多層次的訪問控制與許可權控制手段，實現對數據的安全保護；採用加密技術，保證網上傳輸的信息（包括管理員口令與帳戶、上傳信息等）的機密性與完整性。
2.5.管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明，安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網路出現攻擊行為或網路受到其它一些安全威脅時（如內部人員的違規操作等），無法進行實時的檢測、監控、報告與預警。同時，當事故發生後，也無法提供黑客攻擊行為的追蹤線索及破案依據，即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄，及時發現非法入侵行為。
建立全新網路安全機制，必須深刻理解網路並能提供直接的解決方案，因此，最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網路的安全運行，使其成為一個具有良好的安全性、可擴充性和易管理性的信息網路便成為了首要任務。一旦上述的安全隱患成為事實，所造成的對整個網路的損失都是難以估計的。因此，網路的安全建設是校園網建設過程中重要的一環。

3.網路安全措施
3 .1.安全技術手段
——物理措施：例如，保護網路關鍵設備(如交換機、大型計算機等)，制定嚴格的網路安全規章制度，採取防輻射、防火以及安裝不間斷電源（UPS）等措施。
——訪問控制：對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的許可權，控制網路設備配置的許可權，等等。
——數據加密：加密是保護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。防止計算機網路病毒，安裝網路防病毒系統。
——其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來，圍繞網路安全問題提出了許多解決辦法，例如數據加密技術和防火牆技術等。數據加密是對網路中傳輸的數據進行加密，到達目的地後再解密還原為原始數據，目的是防止非法用戶截獲後盜用信息。防火牆技術是通過對網路的隔離和限制訪問等方法來控制網路的訪問許可權，從而保護網路資源。其他安全技術包括密鑰管理、數字簽名、認證技術、智能卡技術和訪問控制等等。
3 .2.安全防範意識
擁有網路安全意識是保證網路安全的重要前提。許多網路安全事件的發生都和缺乏安全防範意識有關。

4.網路安全案例
4 .1.概況
隨著計算機技術的飛速發展，信息網路已經成為社會發展的重要保證。信息網路涉及到國家的政府、軍事、文教等諸多領域。其中存貯、傳輸和處理的信息有許多是重要的政府宏觀調控決策、商業經濟信息、銀行資金轉帳、股票證券、能源資源數據、科研數據等重要信息。有很多是敏感信息，甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊（例如信息泄漏、信息竊取、數據篡改、數據刪添、計算機病毒等）。同時，網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
近年來，計算機犯罪案件也急劇上升，計算機犯罪已經成為普遍的國際性問題。據美國聯邦調查局的報告，計算機犯罪是商業犯罪中最大的犯罪類型之一，每筆犯罪的平均金額為45000美元，每年計算機犯罪造成的經濟損失高達50億美元。
計算機犯罪大都具有瞬時性、廣域性、專業性、時空分離性等特點。通常計算機罪犯很難留下犯罪證據，這大大刺激了計算機高技術犯罪案件的發生。
計算機犯罪案率的迅速增加，使各國的計算機系統特別是網路系統面臨著很大的威脅，並成為嚴重的社會問題之一。
4 .2.國外
1996年初，據美國舊金山的計算機安全協會與聯邦調查局的一次聯合調查統計，有53％的企業受到過計算機病毒的侵害，42％的企業的計算機系統在過去的12個月被非法使用過。而五角大樓的一個研究小組稱美國一年中遭受的攻擊就達25萬次之多。
1994年末，俄羅斯黑客弗拉基米爾?利文與其夥伴從聖彼得堡的一家小軟體公司的聯網計算機上，向美國CITYBANK銀行發動了一連串攻擊，通過電子轉帳方式，從CITYBANK銀行在紐約的計算機主機里竊取1100萬美元。
1996年8月17日，美國司法部的網路伺服器遭到黑客入侵，並將「 美國司法部」 的主頁改為「 美國不公正部」 ，將司法部部長的照片換成了阿道夫?希特勒，將司法部徽章換成了納粹黨徽，並加上一幅色情女郎的圖片作為所謂司法部部長的助手。此外還留下了很多攻擊美國司法政策的文字。
1996年9月18日，黑客又光顧美國中央情報局的網路伺服器，將其主頁由「中央情報局」 改為「 中央愚蠢局」 。
1996年12月29日，黑客侵入美國空軍的全球網網址並將其主頁肆意改動，其中有關空軍介紹、新聞發布等內容被替換成一段簡短的黃色錄象，且聲稱美國政府所說的一切都是謊言。迫使美國國防部一度關閉了其他80多個軍方網址。
4 .3.國內
1996年2月，剛開通不久的Chinanet受到攻擊，且攻擊得逞。
1997年初，北京某ISP被黑客成功侵入，並在清華大學「 水木清華」 BBS站的「 黑客與解密」 討論區張貼有關如何免費通過該ISP進入Internet的文章。
1997年4月23日，美國德克薩斯州內查德遜地區西南貝爾互聯網路公司的某個PPP用戶侵入中國互聯網路信息中心的伺服器，破譯該系統的shutdown帳戶，把中國互聯網信息中心的主頁換成了一個笑嘻嘻的骷髏頭。
1996年初CHINANET受到某高校的一個研究生的攻擊；96年秋，北京某ISP和它的用戶發生了一些矛盾，此用戶便攻擊該ISP的伺服器，致使服務中斷了數小時。

5.網路安全類型
運行系統安全，即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行，避免因為系統的崩潰和損壞而對系統存貯、處理和傳輸的信息造成破壞和損失，避免由於電磁泄漏，產生信息泄露，干擾他人，受他人干擾。
網路上系統信息的安全。包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計，安全問題跟蹤，計算機病毒防治，數據加密。
網路上信息傳播安全，即信息傳播後果的安全。包括信息過濾等。它側重於防止和控制非法、有害的信息進行傳播後的後果。避免公用網路上大量自由傳輸的信息失控。
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。本質上是保護用戶的利益和隱私。

6.網路安全特徵
網路安全應具有以下四個方面的特徵：
保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。
完整性：數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
可用性：可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊；
可控性：對信息的傳播及內容具有控制能力。

7.威脅網路安全因素
自然災害、意外事故；計算機犯罪； 人為行為，比如使用不當，安全意識差等；黑客」 行為：由於黑客的入侵或侵擾，比如非法訪問、拒絕服務計算機病毒、非法連接等；內部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等； 信息戰；網路協議中的缺陷，例如TCP/IP協議的安全問題等等。

8.網路安全的結構層次
8.1 物理安全
自然災害（如雷電、地震、火災等），物理損壞（如硬碟損壞、設備使用壽命到期等），設備故障（如停電、電磁干擾等），意外事故。解決方案是：防護措施，安全制度，數據備份等。
電磁泄漏，信息泄漏，干擾他人，受他人干擾，乘機而入（如進入安全進程後半途離開），痕跡泄露（如口令密鑰等保管不善）。解決方案是：輻射防護，屏幕口令，隱藏銷毀等。
操作失誤（如刪除文件，格式化硬碟，線路拆除等），意外疏漏。解決方案是：狀態檢測，報警確認，應急恢復等。
計算機系統機房環境的安全。特點是：可控性強，損失也大。解決方案：加強機房管理，運行管理，安全組織和人事管理。
8.2 安全控制
微機操作系統的安全控制。如用戶開機鍵入的口令（某些微機主板有「 萬能口令」 ），對文件的讀寫存取的控制（如Unix系統的文件屬性控制機制）。主要用於保護存貯在硬碟上的信息和數據。
網路介面模塊的安全控制。在網路環境下對來自其他機器的網路通信進程進行安全控制。主要包括：身份認證，客戶許可權設置與判別，審計日誌等。
網路互聯設備的安全控制。對整個子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制。主要通過網管軟體或路由器配置實現。
8.3 安全服務

對等實體認證服務
訪問控制服務
數據保密服務
數據完整性服務
數據源點認證服務
禁止否認服務
8.4 安全機制
加密機制
數字簽名機制
訪問控制機制
數據完整性機制
認證機制
信息流填充機制
路由控制機制
公證機制

9.網路加密方式
鏈路加密方式
節點對節點加密方式
端對端加密方式

10.TCP/IP協議的安全問題
TCP/IP協議數據流採用明文傳輸。
源地址欺騙（Source address spoofing）或IP欺騙（IP spoofing）。
源路由選擇欺騙（Source Routing spoofing）。
路由選擇信息協議攻擊（RIP Attacks）。
鑒別攻擊（Authentication Attacks）。
TCP序列號欺騙（TCP Sequence number spoofing）。
TCP序列號轟炸攻擊（TCP SYN Flooding Attack），簡稱SYN攻擊。
易欺騙性（Ease of spoofing）。

11.網路安全工具
掃描器：是自動檢測遠程或本地主機安全性弱點的 程序，一個好的掃描器相當於一千個口令的價值。
如何工作：TCP埠掃描器，選擇TCP/IP埠和服務(比如FTP)，並記錄目標的回答，可收集關於目標主機的有用信息(是否可匿名登錄，是否提供某種服務)。掃描器告訴我們什麼：能發現目標主機的內在弱點，這些弱點可能是破壞目標主機的關鍵因素。系統管理員使用掃描器，將有助於加強系統的安全性。黑客使用它，對網路的安全將不利。
掃描器的屬性：1、尋找一台機器或一個網路。2、一旦發現一台機器，可以找出機器上正在運行的服務。3、測試哪些服務具有漏洞。
目前流行的掃描器：1、NSS網路安全掃描器，2、stroke超級優化TCP埠檢測程序，可記錄指定機器的所有開放埠。3、SATAN安全管理員的網路分析工具。4、JAKAL。5、XSCAN。

12.黑客常用的信息收集工具
信息收集是突破網路系統的第一步。黑客可以使用下面幾種工具來收集所需信息：
SNMP協議，用來查閱非安全路由器的路由表，從而了解目標機構網路拓撲的內部細節。
TraceRoute程序，得出到達目標主機所經過的網路數和路由器數。
Whois協議，它是一種信息服務，能夠提供有關所有DNS域和負責各個域的系統管理員數據。（不過這些數據常常是過時的）。
DNS伺服器，可以訪問主機的IP地址表和它們對應的主機名。
Finger協議，能夠提供特定主機上用戶們的詳細信息（注冊名、電話號碼、最後一次注冊的時間等）。
Ping實用程序，可以用來確定一個指定的主機的位置並確定其是否可達。把這個簡單的工具用在掃描程序中，可以Ping網路上每個可能的主機地址，從而可以構造出實際駐留在網路上的主機清單。

13. Internet 防火牆
Internet防火牆是這樣的系統（或一組系統），它能增強機構內部網路的安全性。
防火牆系統決定了哪些內部服務可以被外界訪問；外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。要使一個防火牆有效，所有來自和去往Internet的信息都必須經過防火牆，接受防火牆的檢查。防火牆只允許授權的數據通過，並且防火牆本身也必須能夠免於滲透。
13.1 Internet防火牆與安全策略的關系
防火牆不僅僅是路由器、堡壘主機、或任何提供網路安全的設備的組合，防火牆是安全策略的一個部分。
安全策略建立全方位的防禦體系，甚至包括：告訴用戶應有的責任，公司規定的網路訪問、服務訪問、本地和遠地的用戶認證、撥入和撥出、磁碟和數據加密、病毒防護措施，以及雇員培訓等。所有可能受到攻擊的地方都必須以
同樣安全級別加以保護。
僅設立防火牆系統，而沒有全面的安全策略，那麼防火牆就形同虛設。
13.2 防火牆的好處
Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時，內部網路上的每個節點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定，並且安全性等同於其中最弱的系統。
13.3 Internet防火牆的作用
Internet防火牆允許網路管理員定義一個中心「 扼制點」 來防止非法用戶，比如防止黑客、網路破壞者等進入內部網路。禁止存在安全脆弱性的服務進出網路，並抗擊來自各種路線的攻擊。Internet防火牆能夠簡化安全管理，網路的安全性是在防火牆系統上得到加固，而不是分布在內部網路的所有主機上。
在防火牆上可以很方便的監視網路的安全性，並產生報警。（注意：對一個與Internet相聯的內部網路來說，重要的問題並不是網路是否會受到攻擊，而是何時受到攻擊？誰在攻擊？）網路管理員必須審計並記錄所有通過防火牆的重要信息。如果網路管理員不能及時響應報警並審查常規記錄，防火牆就形同虛設。在這種情況下，網路管理員永遠不會知道防火牆是否受到攻擊。
Internet防火牆可以作為部署NAT(Network Address Translator，網路地址變換）的邏輯地址。因此防火牆可以用來緩解地址空間短缺的問題，並消除機構在變換ISP時帶來的重新編址的麻煩。
Internet防火牆是審計和記錄Internet使用量的一個最佳地方。網路管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸的位置，並根據機構的核算模式提供部門級計費。
中國網路安全聯盟 http://www.nqsu.com/ 中國領先的IT信息與安全資訊門戶

14.Internet的安全隱患主要體現在下列幾方面：
1． Internet是一個開放的、無控制機構的網路，黑客（Hacker）經常會侵入網路中的計算機系統，或竊取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充分發揮直至癱瘓。
2． Internet的數據傳輸是基於TCP/IP通信協議進行的，這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。
3． Internet上的通信業務多數使用Unix操作系統來支持，Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。
4．在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協議中是憑著君子協定來維系的。
5．電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。
6．計算機病毒通過Internet的傳播給上網用戶帶來極大的危害，病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。

B. 網路設備維護.企業信息安全方案

了解網路設計

擁有豐富的網路設計知識，熟悉網路布線規范和施工規范，了解交換機、路由器、伺服器等網路設備，掌握區域網基本技術和相關技術，規劃設計包含路由的區域網絡和廣域網路，為中小型網路提供完全的解決方案。

●掌握網路施工

掌握充分的網路基本知識，深入了解TCP/IP網路協議，獨立完成路由器、交換機等網路設備的安裝、連接、配置和操作，搭建多層交換的企業網路，實現網路互聯和Internet連接。掌握網路軟體工具的使用，迅速診斷、定位和排除網路故障，正確使用、保養和維護硬體設備。

●熟悉網路安全

設計並實施完整的網路安全解決方案，以降低損失和攻擊風險。在Internet和區域網絡中，路由器、交換機和應用程序，乃至管理不嚴格的安全設備，都可能成為遭受攻擊的目標。網路必須全力以赴加強戒備，以防止來自黑客、外來者甚至心懷不滿的員工對信息安全、信息完整性以及日常業務操作的威脅。

●熟悉網路操作系統

熟悉Windows和Linux操作系統，具備使用高級的Windows和Linux平台，為企業提供成功的設計、實施和管理商業解決方案的能力。

●了解Web資料庫

了解Web資料庫的基本原理，能夠圍繞Web資料庫系統開展實施與管理工作，實現對企業數據的綜合應用。

網管的素質能力

一個真正的網管，應當對網路硬體和操作系統都有較為深入的了解。也就是說，作為網管，應當熟悉網路設備的性能、連接與配置，掌握網路服務的搭建、配置與管理，深入了解網路協議和網路安全，熟練使用網路診斷軟體工具，及時排除網路故障。

●自學能力

網管應當擁有強烈的求知慾和非常強的自學能力。第一，網路知識和網路技術不斷更新，需要繼續學習的內容非常多。第二，學校課本知識大多過於陳舊，並且脫離於網路管理實際，許多知識都要從頭學起。第三，網路設備和操作系統非常繁雜，各自擁有不同的優點，適用於不同的環境和需求，需要全面了解、重點掌握。

●英文閱讀能力

由於絕大多數新的理論和技術都是英文資料，網路設備和管理軟體說明書大多也是英文，所以，網管必須掌握大量的計算機專業詞彙，從而能夠流暢地閱讀原版的白皮書和技術資料。提高閱讀能力最簡單的方法，就是先選擇自己熟悉的技術，然後，登錄到廠商的官方網站，閱讀技術白皮書，從而了解技術文檔的表述方式。遇到生詞時，可以使用電子詞典在線翻譯。

●動手能力

作為網管，需要親自動手的時候非常多，如網路設備的連接、網路服務的搭建、交換機和路由器的設置、綜合布線的實施、伺服器擴容與升級，等等。所以，網管必須擁有一雙靈巧的手，具備很強的動手能力。當然，事先應認真閱讀技術手冊，並進行必要的理論准備。

●創造和應變能力

硬體設備、管理工具、應用軟體所提供的直接功能往往是有限的，而網路需求卻是無限的。利用有限的功能滿足無限的需要，就要求網管具有較強的應變能力，利用現有的功能、手段和技術，創造性的實現各種復雜的功能，滿足用戶各種需求。以訪問列表為例，利用對埠的限制，除了可以限制對網路服務的訪問外，還可用於限制蠕蟲病毒的傳播。

●觀察和分析判斷能力

具有敏銳的觀察能力和出色的分析判斷能力。出錯信息、日誌記錄、LED指示燈等，都會從不同側面提示可能導致故障的原因。對故障現象觀察的越細致、越全面，排除故障的機會也就越大。另外，通過經常、認真的觀察，還可以及時排除潛在的網路隱患。網路是一個完整的系統，故障與原因關系復雜，既可能是一因多果，也可能是一果多因。所以，網管必須用全面、動態和聯系的眼光分析問題，善於進行邏輯推理，從紛繁復雜的現象中發現事物的本質。

收入400到2200甚至更高，地區差異很大的

休息制度看網吧不定，有的工作一天一夜休息一天一夜。

網管必備之十問十答

今天,隨著計算機的廣泛應用和網路的流行,越來越多的單位和部門開始引入計算機網路管理,從而相應的需要更多的優秀網管.已有幾年「腦齡"的你是不是也有成為網管的雄心壯志?在你成為一名合格的網管前,你必須先把下面的十個問題弄清楚。如果連這些最基本的網管知識你都不具備的話,那你怎麼能不補這堂課呢?

★計算機網路是什麼?

這是首先必須解決的一個問題,絕對是核心概念.我們講的計算機網路,其實就是利用通訊設備和線路將地理位置不同的、功能獨立的多個計算機系統互連起來,以功能完善的網路軟體(即網路通信協議、信息交換方式及網路操作系統等)實現網路中資源共享和信息傳遞的系統。它的功能最主要的表現在兩個方面:一是實現資源共享(包括硬體資源和軟體資源的共享);二是在用戶之間交換信息。計算機網路的作用是:不僅使分散在網路各處的計算機能共享網上的所有資源,並且為用戶提供強有力的通信手段和盡可能完善的服務,從而極大的方便用戶。從網管的角度來講,說白了就是運用技術手段實現網路間的信息傳遞,同時為用戶提供服務。

★計算機網路由哪幾個部分組成?

計算機網路通常由三個部分組成,它們是資源子網、通信子網和通信協議.所謂通信子網就是計算機網路中負責數據通信的部分;資源子網是計算機網路中面向用戶的部分,負責全網路面向應用的數據處理工作;而通信雙方必須共同遵守的規則和約定就稱為通信協議,它的存在與否是計算機網路與一般計算機互連系統的根本區別。所以從這一點上來說,我們應該更能明白計算機網路為什麼是計算機技術和通信技術發展的產物了。

★計算機網路的種類怎麼劃分?

現在最常見的劃分方法是:按計算機網路覆蓋的地理范圍的大小,一般分為廣域網(WAN)和區域網(LAN)(也有的劃分再增加一個城域網(MAN))。顧名思義，所謂廣域網無非就是地理上距離較遠的網路連接形式,例如著名的Internet網,Chinanet網就是典型的廣域網。而一個區域網的范圍通常不超過10公里,並且經常限於一個單一的建築物或一組相距很近的建築物.Novell網是目前最流行的計算機區域網。

★計算機網路的體系結構是什麼?

在計算機網路技術中,網路的體系結構指的是通信系統的整體設計,它的目的是為網路硬體、軟體、協議、存取控制和拓撲提供標准.現在廣泛採用的是開放系統互連OSI(Open System Interconnection)的參考模型,它是用物理層、數據鏈路層、網路層、傳送層、對話層、表示層和應用層七個層次描述網路的結構.你應該注意的是,網路體系結構的優劣將直接影響匯流排、介面和網路的性能.而網路體系結構的關鍵要素恰恰就是協議和拓撲。目前最常見的網路體系結構有FDDI、乙太網、令牌環網和快速乙太網等。

★計算機網路的協議是什麼?

剛才說過網路體系結構的關鍵要素之一就是網路協議。而所謂協議(Protocol)就是對數據格式和計算機之間交換數據時必須遵守的規則的正式描述，它的作用和普通話的作用如出一轍。依據網路的不同通常使用Ethernet(乙太網)、NetBEUI、IPX/SPX以及TCP/IP協議。Ethernet是匯流排型協議中最常見的網路低層協議,安裝容易且造價便宜;而NetBEUI可以說是專為小型區域網設計的網路協議。對那些無需跨經路由器與大型主機通信的小型區域網,安裝NetBEUI協議就足夠了,但如果需要路由到另外的區域網,就必須安裝IPX/SPX或TCP/IP協議.前者幾乎成了Novell網的代名詞,而後者就被著名的Internet網所採用.特別是TCP/IP(傳輸控制協議/網間協議)就是開放系統互連協議中最早的協議之一,也是目前最完全和應用最廣的協議,能實現各種不同計算機平台之間的連接、交流和通信。

★計算機網路的拓撲結構是什麼?

計算機網路的拓撲結構是指網路中各個站點相互連接的形式,在區域網中明確一點講就是文件伺服器、工作站和電纜等的連接形式.現在最主要的拓撲結構有匯流排型拓撲、星型拓撲、環型拓撲以及它們的混合型。顧名思義,匯流排型其實就是將文件伺服器和工作站都連在稱為匯流排的一條公共電纜上,且匯流排兩端必須有終結器;星型拓撲則是以一台設備作為中央連接點,各工作站都與它直接相連形成星型;而環型拓撲就是將所有站點彼此串列連接,像鏈子一樣構成一個環形迴路;把這三種最基本的拓撲結構混合起來運用自然就是混合型了。

★計算機網路建設中涉及到哪些硬體?

計算機網路的硬體系統通常由五部分組成:文件伺服器、工作站(包括終端)、傳輸介質、網路連接硬體和外部設備。文件伺服器一般要求是配備了高性能CPU系統的微機,它充當網路的核心。除了管理整個網路上的事務外,它還必須提供各種資源和服務。而工作站可以說是一種智能型終端,它從文件伺服器取出程序和數據後,能在本站進行處理,一般有有盤和無盤之分。接下來談談傳輸介質,它是通信網路中發送方和接受方之間的物理通路,在區域網中就是用來連接伺服器和工作站的電纜線.目前常用的網路傳輸介質有雙絞線(多用於區域網)、同軸電纜和光纜等.常用的網路連接硬體有網路介面卡(NIC)、集線器(HUB)、中繼器(Repeater)以及數據機(Modem)等。而列印機、掃描儀、繪圖儀以及其它任何可為工作站共享的設備都能被稱為外部設備。

★計算機網路一般都裝哪些操作系統?

我們都知道,網路操作系統是整個網路的靈魂,同時也是分布式處理系統的重要體現,它決定了網路的功能並由此決定了不同網路的應用領域即方向。目前比較流行的網路操作系統主要有Unix、NetWare、Windows NT和新興流行的Linux.Unix歷史悠久,發展到今天已經相當成熟,尤其以安全可靠和應用廣泛著稱;相比之下,NetWare以文件服務及列印管理聞名,而且其目錄服務可以說是被業界公認的目錄管理傑作;Windows NT是能支持多種硬體平台的真正的32位操作系統,它保持了深受歡迎的Windows用戶界面,目前正被越來越多的網路所應用;而最新的Linux憑借其先進的設計思想和自由軟體的身分正躋身優秀網路操作系統的行列。

★計算機網路未來的發展趨勢如何?

未來網路的發展有三種基本的技術趨勢.一是朝著低成本微機所帶來的分布式計算和智能化方向發展,即Client/Server(客戶/伺服器)結構;二是向適應多媒體通信、移動通信結構發展;三是網路結構適應網路互連,擴大規模以至於建立全球網路。

★計算機網管的具體業務有哪些?

概括的說網管的業務內容有三個方面:網路建設、網路維護和網路服務。組建區域網(包括規劃拓撲結構、物理硬體實現和網路協議設置)、新增或升級網路設備以及規劃網路發展就是網路建設的具體內容;而一般的網路維護則包括網路故障檢測和維修(包括硬體和軟體),網路安全的防護和管理;至於網路服務則完全可以根據各種網路目的的不同而有所區別,但最常見的都有遠程登陸、文件傳輸、電子郵件和資源共享等,當然也可以側重一到幾個方面.另外,像網站中主頁的製作與更新,BBS站台的建設與管理等等也都可納入網管的業務范圍.總之,所謂"網管"顧名思義就是建設並管理網路的人員,他們的工作和任務就如同大酒店的員工一樣,通過經營好酒店來款待從四面八方來的朋友。

優秀的網管沒有不說網管這項工作苦的,但如果你肯花時間、下功夫,你說不定也能做得與華軍和高春輝一樣出色.不過,在你成為優秀的網管前,可千萬要把今天講的這十個問題弄清楚噢!

C. 目前企業級網路管理系統常用的都有哪些

最佳方案是：

1. 內網許可權管理用AD域。這樣可以用組策略來做很多限制，避免隨意安裝軟體導致區域網安全隱患。

2. 外網許可權用防火牆、上網行為管理。工作時段進行上網限制，否則只要有1-2個人進行P2P下載、看網路視頻，外網就基本上癱瘓了。

3. 沒有上網行為管理硬體的話，也可以部署上網行為管理軟體（比如「超級嗅探狗」、WFilter等）。可以通過旁路方式監控流量佔用、上網行為、禁止下載等，並且和域控結合。

D. 如何解決企業遠程辦公網路安全問題

企業遠程辦公的網路安全常見問題及建議

• 發表時間：2020-03-06 11:46:28

• 作者：寧宣鳳、吳涵等

• 來源：金杜研究院

• 分享到：微信新浪微博QQ空間

當前是新型冠狀病毒防控的關鍵期，舉國上下萬眾一心抗擊疫情。為增強防控，自二月初以來，北京、上海、廣州、杭州等各大城市政府公開表態或發布通告，企業通過信息技術開展遠程協作辦公、居家辦公［1］。2月19日，工信部發布《關於運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》，面對疫情對中小企業復工復產的嚴重影響，支持運用雲計算大力推動企業上雲，重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式［2］。

面對國家和各地政府的呼籲，全國企業積極響應號召。南方都市報在2月中旬發起的網路調查顯示，有47．55％的受訪者在家辦公或在線上課［3］。面對特殊時期龐大的遠程辦公需求，遠程協作平台也積極承擔社會擔當，早在1月底，即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平台軟體［4］。

通過信息技術實現遠程辦公，無論是網路層、系統層，還是業務數據，都將面臨更加復雜的網路安全環境，為平穩有效地實現安全復工復產，降低疫情對企業經營和發展的影響，企業應當結合實際情況，建立或者適當調整相適應的網路與信息安全策略。

一、遠程辦公系統的類型

隨著互聯網、雲計算和物聯網等技術的深入發展，各類企業，尤其是互聯網公司、律所等專業服務公司，一直在推動實現企業內部的遠程協作辦公，尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看，遠程辦公系統可分為以下幾類：［5］

綜合協作工具，即提供一套綜合性辦公解決方案，功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等，代表軟體企包括企業微信、釘釘、飛書等。

即時通信（即InstantMessaging或IM）和多方通信會議，允許兩人或以上通過網路實時傳遞文字、文件並進行語音、視頻通信的工具，代表軟體包括Webex、Zoom、Slack、Skype等。

文檔協作，可為多人提供文檔的雲存儲和在線共享、修改或審閱功能，代表軟體包括騰訊文檔、金山文檔、印象筆記等。

任務管理，可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化（即OfficeAutomation或OA）功能，代表軟體包括Trello、Tower、泛微等。

設計管理，可根據使用者要求，系統地進行設計方面的研究與開發管理活動，如素材、工具、圖庫的管理，代表軟體包括創客貼、Canvas等。

二、遠程辦公不同模式下的網路安全責任主體

《網路安全法》（「《網安法》」）的主要規制對象是網路運營者，即網路的所有者、管理者和網路服務提供者。網路運營者應當承擔《網安法》及其配套法規下的網路運行安全和網路信息安全的責任。

對於遠程辦公系統而言，不同的系統運營方式下，網路安全責任主體（即網路運營者）存在較大的差異。按照遠程辦公系統的運營方式劃分，企業遠程辦公系統大致可以分為自有系統、雲辦公系統和綜合型系統三大類。企業應明確區分其與平台運營方的責任界限，以明確判斷自身應採取的網路安全措施。

（1）自有系統

此類模式下，企業的遠程辦公系統部署在自有伺服器上，系統由企業自主研發、外包研發或使用第三方企業級軟體架構。此類系統開發成本相對較高，但因不存在數據流向第三方伺服器，安全風險則較低，常見的企業類型包括國企、銀行業等重要行業企業與機構，以及經濟能力較強且對安全與隱私有較高要求的大型企業。

無論是否為企業自研系統，由於系統架構完畢後由企業單獨所有並自主管理，因此企業構成相關辦公系統的網路運營者，承擔相應的網路安全責任。

（2）雲辦公系統

此類辦公系統通常為SaaS系統或APP，由平台運營方直接在其控制的伺服器上向企業提供注冊即用的系統遠程協作軟體平台或APP服務，供企業用戶與個人（員工）用戶使用。此類系統構建成本相對經濟，但往往只能解決企業的特定類型需求，企業通常沒有許可權對系統進行開發或修改，而且企業數據存儲在第三方伺服器。該模式的常見企業類型為相對靈活的中小企業。

由於雲辦公系統（SaaS或APP）的網路、資料庫、應用伺服器都由平台運營方運營和管理，因此，雲辦公系統的運營方構成網路運營者，通常對SaaS和APP的網路運行安全和信息安全負有責任。

實踐中，平台運營方會通過用戶協議等法律文本，將部分網路安全監管義務以合同約定方式轉移給企業用戶，如要求企業用戶嚴格遵守賬號使用規則，要求企業用戶對其及其員工上傳到平台的信息內容負責。

（3）綜合型系統

此類系統部署在企業自有伺服器和第三方伺服器上，綜合了自有系統和雲辦公，系統的運營不完全由企業控制，多用於有多地架設本地伺服器需求的跨國企業。

雲辦公系統的供應商和企業本身都可能構成網路運營者，應當以各自運營、管理的網路系統為邊界，對各自運營的網路承擔相應的網路安全責任。

對於企業而言，為明確其與平台運營方的責任邊界，企業應當首先確認哪些「網路」是企業單獨所有或管理的。在遠程辦公場景下，企業應當考慮多類因素綜合認定，分析包括但不限於以下：

辦公系統的伺服器、終端、網路設備是否都由企業及企業員工所有或管理；

企業對企業使用的辦公系統是否具有最高管理員許可權；

辦公系統運行過程中產生的數據是否存儲於企業所有或管理的伺服器；

企業與平台運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。

當然，考慮到系統構建的復雜性與多樣性，平台運營方和企業在遠程協作辦公的綜合系統中，可能不免共同管理同一網路系統，雙方均就該網路承擔作為網路運營者的安全責任。但企業仍應通過合同約定，盡可能固定網路系統中雙方各自的管理職責以及網路系統的歸屬。因此，對於共同管理、運營遠程協作辦公服務平台的情況下，企業和平台運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網路安全責任以及該平台的所有權歸屬。

三、遠程辦公涉及的網路安全問題及應對建議

下文中，我們將回顧近期遠程辦公相關的一些網路安全熱點事件，就涉及的網路安全問題進行簡要的風險評估，並為企業提出初步的應對建議。

1．用戶流量激增導致遠程辦公平台「短時間奔潰」，平台運營方是否需要承擔網路運行安全責任？

事件回顧：

2020年2月3日，作為春節假期之後的首個工作日，大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平台運營方均已經提前做好了應對預案，但是巨量的並發響應需求還是超出了各平台運營商的預期，多類在線辦公軟體均出現了短時間的「信息發送延遲」、「視頻卡頓」、「系統奔潰退出」等故障［6］。在出現故障後，平台運營方迅速採取了網路限流、伺服器擴容等措施，提高了平台的運載支撐能力和穩定性，同時故障的出現也產生一定程度的分流。最終，盡管各遠程辦公平台都在較短的時間內恢復了平台的正常運營，但還是遭到了不少用戶的吐槽。

風險評估：

依據《網路安全法》（以下簡稱《網安法》）第22條的規定，網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序；發現其網路產品、服務存在安全缺陷、漏洞等風險時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護；在規定或者當事人約定的期限內，不得終止提供安全維護。

遠程辦公平台的運營方，作為平台及相關網路的運營者，應當對網路的運行安全負責。對於短時間的系統故障，平台運營方是否需要承擔相應的法律責任或違約責任，需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。

對於上述事件而言，基於我們從公開渠道了解的信息，盡管多個雲辦公平台出現了響應故障問題，給用戶遠程辦公帶來了不便，但平台本身並未暴露出明顯的安全缺陷、漏洞等風險，也沒有出現網路數據泄露等實質的危害結果，因此，各平台很可能並不會因此而承擔網路安全的法律責任。

應對建議：

在疫情的特殊期間，主流的遠程辦公平台產品均免費開放，因此，各平台都會有大量的新增客戶。對於平台運營方而言，良好的應急預案和更好的用戶體驗，肯定更有利於平台在疫情結束之後留住這些新增的用戶群體。

為進一步降低平台運營方的風險，提高用戶體驗，我們建議平台運營方可以：

將用戶流量激增作為平台應急事件處理，制定相應的應急預案，例如，在應急預案中明確流量激增事件的觸發條件、伺服器擴容的條件、部署臨時備用伺服器等；

對用戶流量實現實時的監測，及時調配平台資源；

建立用戶通知機制和話術模板，及時告知用戶系統響應延遲的原因及預計恢復的時間等；

在用戶協議或與客戶簽署的其他法律文本中，嘗試明確該等系統延遲或奔潰事件的責任安排。

2．在遠程辦公環境下，以疫情為主題的釣魚攻擊頻發，企業如何降低外部網路攻擊風險？

事件回顧：

疫情期間，某網路安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟體發送，網路釣魚和欺詐活動。比如，黑客組織偽裝身份（如國家衛健委），以「疫情防控」相關信息為誘餌，發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源，郵件內容與廣大人民群眾關注的熱點事件密切相關，極具欺騙性。一旦用戶點擊，可能導致主機被控，重要信息、系統被竊取和破壞［7］。

風險評估：

依據《網安法》第21、25條的規定，網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：（1）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；（2）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；（3）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；（4）採取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。同時，網路運營者還應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

遠程辦公的實現，意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網路安全環境不一，無論是接入網路還是移動終端本身，都更容易成為網路攻擊的對象。一方面，公用WiFi、網路熱點等不可信的網路都可能作為員工的網路接入點，這些網路可能毫無安全防護，存在很多常見的容易被攻擊的網路漏洞，容易成為網路犯罪組織侵入企業內網的中轉站；另一方面，部分員工的移動終端設備可能會安裝設置惡意程序的APP或網路插件，員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件，嚴重威脅企業內部網路的安全。

在計算機病毒或外部網路攻擊等網路安全事件下，被攻擊的企業盡管也是受害者，但如果企業沒有按照《網安法》及相關法律規定的要求提前採取必要的技術防範措施和應急響應預案，導致網路數據泄露或者被竊取、篡改，給企業的用戶造成損失的，很可能依舊需要承擔相應的法律責任。

應對建議：

對於企業而言，為遵守《網安法》及相關法律規定的網路安全義務，我們建議，企業可以從網路安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網路的安全：

（1）企業應當根據其運營網路或平台的實際情況、員工整體的網路安全意識，制定相適應的網路安全事件管理機制，包括但不限於：

制定包括數據泄露在內的網路安全事件的應急預案；

建立應對網路安全事件的組織機構和技術措施；

實時監測最新的釣魚網站、勒索郵件事件；

建立有效的與全體員工的通知機制，包括但不限於郵件、企業微信等通告方式；

制定與員工情況相適應的信息安全培訓計劃；

設置適當的獎懲措施，要求員工嚴格遵守公司的信息安全策略。

（2）企業應當根據現有的信息資產情況，採取以下措施，進一步保障移動終端設備安全：

根據員工的許可權等級，制定不同的移動終端設備安全管理方案，例如，高級管理人員或具有較高資料庫許可權的人員僅能使用公司配置的辦公專用移動終端設備；

制定針對移動終端設備辦公的管理制度，對員工使用自帶設備進行辦公提出明確的管理要求；

定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描；

在終端設備上，對終端進行身份准入認證和安全防護；

重點監測遠程接入入口，採用更積極的安全分析策略，發現疑似的網路安全攻擊或病毒時，應當及時採取防範措施，並及時聯系企業的信息安全團隊；

就移動辦公的信息安全風險，對員工進行專項培訓。

（3）保障數據傳輸安全，企業可以採取的安全措施包括但不限於：

使用HTTPS等加密傳輸方式，保障數據傳輸安全。無論是移動終端與內網之間的數據交互，還是移動終端之間的數據交互，都宜對數據通信鏈路採取HTTPS等加密方式，防止數據在傳輸中出現泄漏。

部署虛擬專用網路（VPN），員工通過VPN實現內網連接。值得注意的是，在中國，VPN服務（尤其是跨境的VPN）是受到電信監管的，僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因，需要通過專線等方式跨境聯網時，應當向持有相應電信業務許可證的基礎運營商租用。

3．內部員工通過VPN進入公司內網，破壞資料庫。企業應當如何預防「內鬼」，保障數據安全？

事件回顧：

2月23日晚間，微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障，系統崩潰，生產環境和數據遭受嚴重破壞，導致上百萬的商戶的業務無法順利開展，遭受重大損失。根據微盟25日中午發出的聲明，此次事故系人為造成，微盟研發中心運維部核心運維人員賀某，於2月23日晚18點56分通過個人VPN登入公司內網跳板機，因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前，賀某被上海市寶山區公安局刑事拘留，並承認了犯罪事實［8］。由於資料庫遭到嚴重破壞，微盟長時間無法向合作商家提供電商支持服務，此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業，微盟的股價也在事故發生之後大幅下跌。

從微盟的公告可以看出，微盟員工刪庫事件的一個促成條件是「該員工作為運維部核心運維人員，通過個人VPN登錄到了公司內網跳板機，並具有刪庫的許可權」。該事件無論是對SaaS服務商而言，還是對普通的企業用戶而言，都值得反思和自省。

風險評估：

依據《網安法》第21、25條的規定，網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：（1）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；（2）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；（3）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；（4）採取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。同時，網路運營者還應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

內部員工泄密一直是企業數據泄露事故的主要原因之一，也是當前「侵犯公民個人信息犯罪」的典型行為模式。遠程辦公環境下，企業需要為大部分的員工提供連接內網及相關資料庫的訪問許可權，進一步增大數據泄露甚至被破壞的風險。

與用戶流量激增導致的系統「短時間崩潰」不同，「微盟刪庫」事件的發生可能與企業內部信息安全管理有直接的關系。如果平台內合作商戶產生直接經濟損失，不排除平台運營者可能需要承擔網路安全相關的法律責任。

應對建議：

為有效預防員工惡意破壞、泄露公司數據，保障企業的數據安全，我們建議企業可以採取以下預防措施：

制定遠程辦公或移動辦公的管理制度，區分辦公專用移動設備和員工自有移動設備，進行分類管理，包括但不限於嚴格管理辦公專用移動設備的讀寫許可權、員工自有移動設備的系統許可權，尤其是企業資料庫的管理許可權；

建立數據分級管理制度，例如，應當根據數據敏感程度，制定相適應的訪問、改寫許可權，對於核心資料庫的數據，應當禁止員工通過遠程登錄方式進行操作或處理；

根據員工工作需求，依據必要性原則，評估、審核與限制員工的數據訪問和處理許可權，例如，禁止員工下載數據到任何用戶自有的移動終端設備；

建立數據泄露的應急管理方案，包括安全事件的監測和上報機制，安全事件的響應預案；

制定遠程辦公的操作規范，使用文件和材料的管理規范、應用軟體安裝的審批流程等；

組建具備遠程安全服務能力的團隊，負責實時監控員工對核心資料庫或敏感數據的操作行為、資料庫的安全情況；

加強對員工遠程辦公安全意識教育。

4．疫情期間，為了公共利益，企業通過系統在線收集員工疫情相關的信息，是否需要取得員工授權？疫情結束之後，應當如何處理收集的員工健康信息？

場景示例：

在遠程辦公期間，為加強用工管理，確保企業辦公場所的健康安全和制定相關疫情防控措施，企業會持續地向員工收集各類疫情相關的信息，包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測，在必要時，向監管部門報告企業員工的整體情況。如發現疑似病例，企業也會及時向相關的疾病預防控制機構或者醫療機構報告。

風險評估：

2020年1月20日，新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病，並採取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定，任何單位和個人發現傳染病病人或者疑似傳染病病人時，應當及時向附近的疾病預防控制機構或者醫療機構報告。

2月9日，中央網信辦發布了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》（以下簡稱《通知》），各地方各部門要高度重視個人信息保護工作，除國務院衛生健康部門依據《中華人民共和國網路安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人信息。法律、行政法規另有規定的，按其規定執行。

各地也陸續出台了針對防疫的規范性文件，以北京為例，根據《北京市人民代表大會常務委員會關於依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》，本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作，建立健全防控工作責任制和管理制度，配備必要的防護物品、設施，加強對本單位人員的健康監測，督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察，發現異常情況按照要求及時報告並採取相應的防控措施。按照屬地人民政府的要求，積極組織人員參加疫情防控工作。

依據《通知》及上述法律法規和規范性文件的規定，我們理解，在疫情期間，如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權，企業在授權范圍內，應當可以收集本單位人員疫情相關的健康信息，而無需取得員工的授權同意。如果不能滿足上述例外情形，企業還是應當依照《網安法》的規定，在收集前獲得用戶的授權同意。

《通知》明確規定，為疫情防控、疾病防治收集的個人信息，不得用於其他用途。任何單位和個人未經被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息，但因聯防聯控工作需要，且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責，採取嚴格的管理和技術防護措施，防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦＜關於做好個人信息保護利用大數據支撐防疫聯控工作的通知＞》

應對建議：

在遠程期間，如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息，我們建議各企業應當：

制定隱私聲明或用戶授權告知文本，在員工初次提交相關信息前，獲得員工的授權同意；

遵循最小必要原則，制定信息收集的策略，包括收集的信息類型、頻率和顆粒度；

遵循目的限制原則，對收集的疫情防控相關的個人信息進行區分管理，避免與企業此前收集的員工信息進行融合；

在對外展示企業整體的健康情況時或者披露疑似病例時，對員工的相關信息進行脫敏處理；

制定信息刪除管理機制，在滿足防控目的之後，及時刪除相關的員工信息；

制定針對性的信息管理和保護機制，將收集的員工疫情相關的個人信息，作為個人敏感信息進行保護，嚴格控制員工的訪問許可權，防止數據泄露。

5．遠程辦公期間，為有效監督和管理員工，企業希望對員工進行適當的監測，如何才能做到合法合規？

場景示例：

遠程辦公期間，為了有效監督和管理員工，企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施，要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時，很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用於驗證員工的身份。

同時，在使用遠程OA系統或App時，辦公系統也會自動記錄員工的登錄日誌，記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外，如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟體開展工作，終端設備和虛擬機軟體中可能預裝了監測插件或軟體，在滿足特定條件的情況下，會記錄員工在終端設備的操作行為記錄、上網記錄等。

風險評估：

上述場景示例中，企業會通過1）員工主動提供和2）辦公軟體自動或觸發式收集兩種方式收集員工的個人信息，構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求，遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，並獲取員工的同意。

對於視頻監控以及系統監測軟體或插件的使用，如果操作不當，並且沒有事先取得員工的授權同意，很可能還會侵犯到員工的隱私，企業應當尤其注意。

應對建議：

遠程辦公期間，尤其在當前員工還在適應該等工作模式的情形下，企業根據自身情況採取適當的監督和管理措施，具有正當性。我們建議企業可以採取以下措施，以確保管理和監測行為的合法合規：

評估公司原有的員工合同或員工個人信息收集授權書，是否能夠滿足遠程辦公的監測要求，如果授權存在瑕疵，應當根據企業的實際情況，設計獲取補充授權的方式，包括授權告知文本的彈窗、郵件通告等；

根據收集場景，逐項評估收集員工個人信息的必要性。例如，是否存在重復收集信息的情況，是否有必要通過視頻監控工作狀態，監控的頻率是否恰當；

針對系統監測軟體和插件，設計單獨的信息收集策略，做好員工隱私保護與公司數據安全的平衡；

遵守目的限制原則，未經員工授權，不得將收集的員工數據用於工作監測以外的其他目的。

四、總結

此次疫情，以大數據、人工智慧、雲計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用，也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果，也代表了未來新的生產力和新的發展方向［9］。此次「突發性的全民遠程辦公熱潮」之後，遠程辦公、線上運營將愈發普及，線下辦公和線上辦公也將形成更好的統一，真正達到提升工作效率的目的。

加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署，強調要推進數字政府建設，加強數據共享，建立健全運用互聯網、大數據、人工智慧等技術手段進行行政管理的制度規則［10］。

為平穩加速推進數字化智能化發展，契合政府現代化治理的理念，企業務必需要全面梳理並完善現有的網路安全與數據合規策略，為迎接新的智能化管理時代做好准備。

E. 網路安全對企業的影響有多大

針對網路系統實際情況，解決網路的安全保密問題是當務之急，為此採取以下防範措施：（1）採用漏洞掃描技術，對重要網路設備進行風險評估，保證信息系統盡量在最優的狀況下運行。（2）採用各種安全技術，構築防禦系統，主要有：①防火牆技術：在網路的對外介面，採用防火牆技術，在網路層進行訪問控制。②NAT技術：隱藏內部網路信息。③VPN：虛擬專用網（VPN）是企業網在網際網路等公共網路上的延伸，通過一個私有的通道在公共網路上創建一個安全的私有連接。它通過安全的數據通道將遠程用戶、公司分支機構、公司業務夥伴等與公司的企業網連接起來，構成一個擴展的公司企業網。在該網中的主機將不會覺察到公共網路的存在，彷彿所有的機器都處於一個網路之中。公共網路似乎只由本網路在獨占使用，而事實上並非如此。④網路加密技術（Ipsec）：採用網路加密技術，對公網中傳輸的IP包進行加密和封裝，實現數據傳輸的保密性、完整性。它可解決網路在公網的數據傳輸安全性問題，也可解決遠程用戶訪問內網的安全問題。⑤認證：提供基於身份的認證，並在各種認證機制中可選擇使用。⑥多層次多級別的企業級的防病毒系統：採用多層次多級別的企業級的防病毒系統，對病毒實現全面的防護。⑦網路的實時監測：採用入侵檢測系統，對主機和網路進行監測和預警，進一步提高網路防禦外來攻擊的能力。

F. 如何獲得CDSP認證

這個你可以先 去學習，然 後 進行考 試 就可以獲得了 ，我比較推薦你去報名CDSP直播班 ，這 樣可以更好的為 這個認證做准備。希望我的回答能幫助到你，非常感謝！

G. 網路安全的內容是什麼

網路安全從其本質上講就是網路上的信息安全,指網路系統的硬體、軟體及數據受到保護。不遭受破壞、更改、泄露,系統可靠正常地運行,網路服務不中斷。從用戶的角度,他們希望涉及到個人和商業的信息在網路上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段對自己的利益和隱私造成損害和侵犯。從網路運營商和管理者的角度來說,他們希望對本地網路信息的訪問、讀寫等操作受到保護和控制,避免出現病毒、非法存取、拒絕服務和網路資源的非法佔用和非法控制等威脅,制止和防禦網路「黑客」的攻擊。網路安全根據其本質的界定,應具有以下基本特徵:(1)機密性。是指信息不泄露給非授權的個人、實體和過程,或供其使用的特性。在網路系統的各個層次上都有不同的機密性及相應的防範措施。在物理層,要保證系統實體不以電磁的方式向外泄露信息,在運行層面,要保障系統依據授權提供服務,使系統任何時候都不被非授權人使用,對黑客入侵、口令攻擊、用戶許可權非法提升、資源非法使用等;(2)完整性。是指信息未經授權不能被修改、不被破壞、不被插入、不延遲、不亂序和不丟失的特性;(3)可用性。是指合法用戶訪問並能按要求順序使用信息的特性,即保證合法用戶在需要時可以訪問到信息及相關資料。在物理層,要保證信息系統在惡劣的工作環境下能正常進行。在運行層面,要保證系統時刻能為授權人提供服務,保證系統的可用性,使得發布者無法否認所發布的信息內容。接受者無法否認所接收的信息內容,對數據抵賴採取數字簽名。

H. 網路安全技術措施

最佳的解決方案

1.安裝瑞星殺毒或卡巴斯基等殺毒軟體，實時清除電腦木馬病毒；

2.安裝個人硬體防火牆，簡單使用，實時監控且能100%防禦黑客攻擊，又不會影響電腦出現卡機等現象。

目前此類產品中阿爾敘個人硬體防火牆做比較專業，價格還算能接受

在設置一個網路時，無論它是一個區域網（LAN）、虛擬LAN（VLAN）還是廣域網（WAN），在剛開始時設置最基本的安全策略非常重要。安全策略是一些根據安全需求，以電子化的方式設計和存儲的規則，用於控制訪問許可權等領域。當然，安全策略也包括一個企業所執行的書面的或者口頭的規定。另外，企業必須決定由誰來實施和管理這些策略，以及怎樣通知員工這些規則。安全策略、設備和多設備管理的作用相當於一個中央安全控制室，安全人員在其中監控建築物或者園區的安全，進行巡邏或者發出警報。那什麼是安全策略呢？所實施的策略應當控制誰可以訪問網路的哪個部分，以及如何防止未經授權的用戶進入訪問受限的領域。例如，通常只有人力資源部門的成員有權查看員工的薪資歷史。密碼通常可以防止員工進入受限的領域。一些基本的書面策略，例如警告員工不要在工作場所張貼他們的密碼等，通常可以預先防止安全漏洞。可以訪問網路的某些部分的客戶或者供應商也必須受到策略的適當管理。誰又能來實施管理安全策略呢？制定策略和維護網路及其安全的個人或者群體必須有權訪問網路的每個部分。而且，網路策略管理部門應當獲得極為可靠，擁有所需要的技術能力的人員。如前所述，大部分網路安全漏洞都來自於內部，所以這個負責人或者群體必須確保其本身不是一個潛在的威脅。一旦被任命，網路管理人員就可以利用復雜的軟體工具，來幫助他們通過基於瀏覽器的界面，制定、分配、實施和審核安全策略。你想怎樣向員工傳達這個策略呢？如果相關各方都不知道和了解規則，那規則實際上沒有任何用處。為傳達現有的策略、策略的更改、新的策略以及對於即將到來的病毒或者攻擊的安全警報制定有效的機制是非常重要的。

I. 在osi層次基礎上 可以將網路安全體系分為四個級別 分別是

四個級別：網路級安全、系統級安全、應用級安全及企業級的安全。

網路安全需求應該是全方位的、整體的。在0SI七個層次的基礎上，將安全體系劃分為四個級別：網路級安全、系統級安全、應用級安全及企業級的安全管理。針對網路系統受到的威脅，安全體系結構提出了以下幾類安全服務：

1、身份認證：這種服務是在兩個開放系統同等層中的實體建立連接和數據傳送期間，為提供連接實體身份的鑒別而規定的一種服務。這種服務防止冒充或重傳以前的連接。這種鑒別服務可以是單向的，也可以是雙向的。

2、訪問控制：訪問控制服務可以防止未經授權的用戶非法使用系統資源。這種服務不僅可以提供給單個用戶，也可以提供給封閉的用戶組中的所有用戶。

3、數據保密：數據保密服務的目的是保護網路中各系統之間交換的數據，防止因數據被截獲而造成的泄密。

4、數據完整性：這種服務用來防止非法實體對用戶的主動攻擊（對正在交換數據進行修改、插入、使數據延時以及丟失數據等），以保證數據接受方收到的信息與發送方發送的信息完全一致。

(9)企業級網路安全與等保擴展閱讀

信息的安全性涉及到機密信息泄露、未經授權的訪問、破壞信息完整性、假冒、破壞系統的可用性等。在某些網路系統中，涉及到很多機密信息，如果一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴重的。

因此，對用戶使用計算機必須進行身份認證，對於重要信息的通訊必須授權，傳輸必須加密。採用多層次的訪問控制與許可權控制手段，實現對數據的安全保護；採用加密技術，保證網上傳輸的信息（包括管理員口令與賬戶、上傳信息等）的機密性與完整性。