專業網路安全整體解決方案

A. 網路安全技術的問題及解決方案

園網路技術安全問題解決方案

隨著網路的高速發展，網路的安全問題日益突出，近兩年間，黑客攻擊、網路病毒等屢屢曝光，國家相關部門也一再三令五申要求切實做好網路安全建設和管理工作。但是在高校網路建設的過程中，由於對技術的偏好和運營意識的不足，普遍都存在"重技術、輕安全、輕管理"的傾向，隨著網路規模的急劇膨脹，網路用戶的快速增長，關鍵性應用的普及和深入，校園網從早先教育、科研的試驗網的角色已經轉變成教育、科研和服務並重的帶有運營性質的網路，校園網在學校的信息化建設中已經在扮演了至關重要的角色，作為數字化信息的最重要傳輸載體，如何保證校園網路能正常的運行不受各種網路黑客的侵害就成為各個高校不可迴避的一個緊迫問題，解決網路安全問題刻不容緩。

字串8

一、目前校園網路中存在的安全問題

字串2

1、網路安全方面的投入嚴重不足，沒有系統的網路安全設施配備

字串5

大多數學校網路建設經費嚴重不足，所以就將有限的經費投在關鍵設備上，對於網路安全建設一直沒有比較系統的投入，致使校園網處在一個開放的狀態，沒有任何有效的安全預警手段和防範措施。 字串3

2、 學校的上網場所管理較混亂 字串7

由於缺乏統一的網路出口、網路管理軟體和網路監控、日誌系統，是學校的網路管理各自為政，缺乏上網的有效監控和日誌，上網用戶的身份無法唯一識別，存在極大的安全隱患。

字串1

3、 電子郵件系統極不完善，無任何安全管理和監控的手段

字串1

電子郵件既是互聯網必不可少的一個應用之一，同時也是病毒和垃圾的重要傳播手段。目前絕大多數校園網郵件系統依然採用互聯網上下載的免費版本的郵件系統，不能提供自身完善的安全防護，更沒有提供任何針對用戶來往信件過濾、監控和管理的手段，完全不符合國家對安全郵件系統的要求，出現問題時也無法及時有效的解決

字串4

4．網路病毒泛濫，造成網路性能急劇下降，很多重要數據丟失，損失不可估量。 字串2

網路病毒的肆虐傳播，極大的消耗了網路資源；造成網路性能下降，單純單機殺毒軟體已經不能滿足用戶的需求，迫切需要集中管理、統一升級、統一監控的針對網路的防病毒體系。

字串7

5.網路安全意識淡薄，沒有指定完善的網路安全管理制度 字串9

校園網路上的用戶安全意識淡薄，大量的非正常訪問導致網路資源的浪費，同時也為網路的安全帶來了極大的安全隱患。 字串5

綜上所述，校園網路安全的形勢非常嚴峻，為解決以上安全隱患和漏洞，結合校園網特點和現今網路安全的典型解決方案和技術，航天聯志公司根據多年對校園網路的深刻理解，提出了以下校園網路安全解決方案。 字串2

二、校園網路安全解決方案

字串9

1、規范出口的管理 字串4

實施校園網的整體安全架構，必須解決多出口的問題。對於出口進行規范統一的管理，使校園網路安全體系能夠得以實施。為校園網的安全提供最基礎的保障。

字串1

2、 配備完整的、系統的網路安全設備

字串4

在網內和網外介面處配置一定的統一網路安全控制和監管設備就可杜絕大部分的攻擊和破壞，一般包括：防火牆、入侵檢測系統、漏洞掃描系統、網路版的防病毒系統等。另外配置安全設備既要考慮到功能，同時也必須考慮性能和可擴展性，以避免成為網路的瓶頸。通過配置安全產品可以實現對校園網路進行系統的防護、預警和監控，對大量的非法訪問和不健康信息起到有效的阻斷作用，對網路的故障可以迅速定位並解決。

字串7

3、 解決用戶上網身份問題，建立全校統一的身份認證系統 字串7

校園網路必須要解決用戶上網身份問題，而身份認證系統是整個校園網路安全體系的基礎的基礎，否則即便發現了安全問題也大多隻能不了了之，只有建立了基於校園網路的全校統一身份認證系統，才能徹底的解決用戶上網身份問題，同時也為校園信息化的各項應用系統提供了安全可靠的保證。

字串6

4．嚴格規范上網場所的管理，集中進行監控和管理 字串1

上網用戶不但要通過統一的校級身份認證系統確認，而且，合法用戶上網的行為也要受到統一的監控，上網行為的日誌要集中保存在中心伺服器上，保證了這個記錄的法律性和准確性。 字串8

5． 改造電子郵件系統，提供多種安全監控和管理功能

字串9

針對目前郵件系統存在的安全隱患，航天聯志結合國內知名的郵件安全系統提供商美訊智推出了專門針對校園網的郵件安全系統。該系統具有強大的高准確率和低誤報率，使被垃圾郵件的准確率高達98%；而且獨特的策略模塊可以幫助用戶簡單輕松的視線郵件系統的管理與維護；全面防護針對傳輸層25埠的攻擊，防止郵件地址泄露，保障郵件系統的安全；通過直觀的圖標和多種查詢方式全面顯示郵件的應用情況並可以及時調整策略設定。這些優秀的功能為校園網的郵件安全帶來了堅實的防護。

字串2

6．根據相關部門的要求，配備專門的安全管理人員，出台網路安全管理制度

字串7

網路安全建設是"三分設備，七分管理"，沒有切實可行的安全保障體系和制度，網路安全就變成了空談。隨著網路技術的迅速發展和上網用戶對網路的了解程度越深，網路安全的形式就越嚴峻，這也從近幾年互聯網路安全問題頻頻出現得到印證。而網路安全的技術又是非常復雜和廣泛的，現狀還是"道高一尺，魔高一丈"，這樣，管理的工作就愈發重要和艱巨，必須要做到及時進行漏洞修補和定期詢檢，保證對網路的監控和管理。另外，學校必須頒布網路行為規范和具體處罰條例，這樣才能有效的控制和減少內部網路的隱患。

字串3

互聯網路的飛速發展，對校園網路中師生的生活和學習已經產生了深遠的影響，網路在我們的生活中已經無處不在。但在享受高科技帶來的便捷同時，我們需要清醒的認識到，網路安全問題的日益嚴重也越來越成為網路應用的巨大阻礙，校園網路安全已經到了必須要統一管理和徹底解決的地步，只有很好的解決了網路安全問題，校園網路的應用才能健康、高速的發展。

B. 網站網路安全解決方案

建站一段時間後總能聽得到什麼什麼網站被掛馬，什麼網站被黑。好像入侵掛馬似乎是件很簡單的事情。其實，入侵不簡單，簡單的是你的網站的必要安全措施並未做好。
有條件建議找專業做網站安全的sine安全來做安全維護。

一：掛馬預防措施：

1、建議用戶通過ftp來上傳、維護網頁，盡量不安裝asp的上傳程序。

2、對asp上傳程序的調用一定要進行身份認證，並只允許信任的人使用上傳程序。這其中包括各種新聞發布、商城及論壇程

序，只要可以上傳文件的asp都要進行身份認證!

3、asp程序管理員的用戶名和密碼要有一定復雜性，不能過於簡單，還要注意定期更換。

4、到正規網站下載asp程序，下載後要對其資料庫名稱和存放路徑進行修改，資料庫文件名稱也要有一定復雜性。

5、要盡量保持程序是最新版本。

6、不要在網頁上加註後台管理程序登陸頁面的鏈接。

7、為防止程序有未知漏洞，可以在維護後刪除後台管理程序的登陸頁面，下次維護時再通過ftp上傳即可。

8、要時常備份資料庫等重要文件。

9、日常要多維護，並注意空間中是否有來歷不明的asp文件。記住：一分汗水，換一分安全!

10、一旦發現被入侵，除非自己能識別出所有木馬文件，否則要刪除所有文件。

11、定期對網站進行安全的檢測，具體可以利用網上一些工具，如sinesafe網站掛馬檢測工具！

二：掛馬恢復措施：

1.修改帳號密碼

不管是商業或不是，初始密碼多半都是admin。因此你接到網站程序第一件事情就是「修改帳號密碼」。帳號

密碼就不要在使用以前你習慣的，換點特別的。盡量將字母數字及符號一起。此外密碼最好超過15位。尚若你使用

SQL的話應該使用特別點的帳號密碼，不要在使用什麼什麼admin之類，否則很容易被入侵。

2.創建一個robots.txt

Robots能夠有效的防範利用搜索引擎竊取信息的駭客。

3.修改後台文件

第一步：修改後台里的驗證文件的名稱。

第二步：修改conn.asp，防止非法下載，也可對資料庫加密後在修改conn.asp。

第三步：修改ACESS資料庫名稱，越復雜越好，可以的話將數據所在目錄的換一下。

4.限制登陸後台IP

此方法是最有效的，每位虛擬主機用戶應該都有個功能。你的IP不固定的話就麻煩點每次改一下咯，安全第一嘛。

5.自定義404頁面及自定義傳送ASP錯誤信息

404能夠讓駭客批量查找你的後台一些重要文件及檢查網頁是否存在注入漏洞。

ASP錯誤嘛，可能會向不明來意者傳送對方想要的信息。

6.慎重選擇網站程序

注意一下網站程序是否本身存在漏洞，好壞你我心裡該有把秤。

7.謹慎上傳漏洞

據悉，上傳漏洞往往是最簡單也是最嚴重的，能夠讓黑客或駭客們輕松控制你的網站。

可以禁止上傳或著限制上傳的文件類型。不懂的話可以找你的網站程序提供商。

8. cookie 保護

登陸時盡量不要去訪問其他站點，以防止 cookie 泄密。切記退出時要點退出在關閉所有瀏覽器。

9.目錄許可權

請管理員設置好一些重要的目錄許可權，防止非正常的訪問。如不要給上傳目錄執行腳本許可權及不要給非上傳目錄給於寫入權。

10.自我測試

如今在網上黑客工具一籮筐，不防找一些來測試下你的網站是否OK。

11.例行維護

a.定期備份數據。最好每日備份一次，下載了備份文件後應該及時刪除主機上的備份文件。

b.定期更改資料庫的名字及管理員帳密。

c.借WEB或FTP管理，查看所有目錄體積，最後修改時間以及文件數，檢查是文件是否有異常，以及查看是否有異常的賬號。

網站被掛馬一般都是網站程序存在漏洞或者伺服器安全性能不達標被不法黑客入侵攻擊而掛馬的。

網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。

您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因為不太了解網站技術的問題而耽誤了網站的運營，您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護吧。

C. 有關中小型區域網的網路安全解決方案

隨著區域網的規模不斷擴大，區域網的建設已經成為企事業單位以及政府機關信息化的重要組成部分，然而，區域網存在的安全隱患給信息化建設的進一步推進帶來了巨大的阻礙。因此，必須對於區域網存在的安全隱患提出科學有效的防治策略。
1 區域網存在的安全隱患
目前，一些區域網內部的計算機和互聯網相連，卻並未安裝相應的比較高級的殺毒軟體及防火牆，一些計算機系統或多或少都存在著各種的漏洞。區域網面臨著黑客攻擊、目錄共享導致信息的外泄、計算機操作人員的安全意識不足等安全隱患。
2 針對於區域網存在的安全隱患的防治策略
2.1 對區域網內部重要數據進行備份，做好網路安全協議的配置
區域網內部存在著非常重要的信息，必須及時對這些信息進行完整的備份，以便在出現問題的時候及時恢復。備份一方麵包括對區域網內部的重要數據的備份，另一方面，也包括對於核心設備和線路的備份。對於區域網內部的網頁伺服器，一定要安裝網頁防篡改系統，從而避免網頁被惡意篡改。對於區域網中的核心設備的系統配置必須進行定期和不定期的檢查和備份，從而在設備發生問題的時候，可以進行緊急恢復。對於區域網內部的核心線路，應該保持完備和做出適當的備份，從而在一些線路發生問題的時候，可以及時採用備份線路來維持整個區域網的正常工作。
TCP作為兩台計算機設備之間保證數據順序傳輸的協議，是面向連接的，它需要在連接雙方都同意的情況下才能進行通信。任何兩台設備之間欲建立TCP連接都需要一個雙方確認的起始過程，即「三次握手」。
2.2 建立區域網統一防病毒系統
傳統的單機防病毒形式已經不能滿足區域網安全的需要，必須建立區域網統一防病毒系統，利用全方位的防病毒產品，對於區域網內部各個可能的病毒攻擊點都進行對應的防病毒軟體的安裝，來實現全方位、多層次的病毒防治功能。與此同時，實現區域網統一防病毒系統的定期自動升級，更好的避免病毒的攻擊。
具體來說，區域網統一防病毒系統應該包括防病毒伺服器和客戶端這兩個模塊。防病毒伺服器是整個系統的控制中心，負責全面防治病毒。通過客戶端安裝或者網路分發的方式，可以在所有的工作站上分別安裝客戶端軟體，同時設置所有的工作站都必須接受伺服器的統一管理和部署。區域網管理員僅僅通過控制台軟體，就可以實現統一清除和防治區域網內部的所有計算機存在的病毒的目標，使整個區域網內部病毒的爆發和蔓延得到有效的控制。一旦出現新病毒庫，那麼，僅僅更新防病毒伺服器上的病毒庫就可以了，客戶端能夠自動在防病毒伺服器上下載並更新病毒庫。區域網統一防病毒系統的病毒庫能夠實現及時方便的更新，也可以實現統一徹底的病毒防殺，同時具備操作簡單快捷的特點，因此，是非常有利於區域網的病毒防治的。360安全衛士就是一個很好的區域網防病毒軟體。
2.3 合理安裝配置防火牆
防火牆是一種非常科學有效且應用廣泛的保證區域網安全的軟體，有利於避免計算機互聯網上的不安全因素擴散到區域網內部。通過合理安裝配置防火牆，可以在利用區域網進行通訊的時候執行一種訪問控制列表，允許合法的人和數據來訪問區域網，並且拒絕非法的用戶和數據對於區域網的訪問，從而使黑客對於區域網的攻擊行為得到最大限度的阻止，避免黑客對於區域網上的重要信息的隨意更改、移動甚至刪除。為了切實做好區域網的安全工作，必須按照區域網的安裝需求，嚴格配置防火牆內部的伺服器和客戶端的各種規則，PIX是一款實現對於區域網防火牆的科學有效的方案。PIX是CISCO公司開發的防火牆系列設備，主要起到策略過濾，隔離內外網，根據用戶實際需求設置DMZ（停火區）。
2.4 配備入侵檢測系統和漏洞掃描系統
入侵檢測系統是防火牆的必要補充部分，能夠實現更加全面的安全管理功能，有利於區域網更好的應對黑客攻擊。入侵檢測系統可以將內外網之間傳輸的數據進行實時的捕獲，通過內置的攻擊特徵庫，利用模式匹配和智能分析的方法，對於區域網內部可能出現的入侵行為和異常現象進行實時監測，同時進行記錄。另外，入侵檢測系統也能夠產生實時報警，從而有利於區域網管理員及時進行處理和應對。
另外，也要配備漏洞掃描系統。在計算機網路飛速發展的形勢下，區域網中也會不可避免的產生各種各樣的安全漏洞或者「後門」程序。為了進行有效的應對，必須配備現代化的漏洞掃描系統來對區域網工作站、伺服器等進行定期以及不定期的安全檢查，同時提供非常具體的安全性分析數據，對於區域網內部存在的各種安全漏洞都及時進行修復。
Microsoft基準安全分析器（Microsoft Baseline Security Analyzer，MBSA）是微軟公司整個安全部署方案中的一種，可以從微軟公司的官方網站http://technet.microsoft.com/zh-cn/security/default.aspx下載。MBSA將掃描基於Windows的計算機，並檢查操作系統和已安裝的其他組件（如IIS和SQL Server）,以發現安全方面的配置錯誤，並及時通過推薦的安全更新進行修補。
通過多種形式的安全產品的配備，可以有效防護、預警和監控區域網存在的各種安全隱患，有效阻斷黑客的非法訪問以及不健康的信息，並且也能夠及時發現和處理區域網中存在的故障。
2.5 運用VLAN技術
VLAN 的英文全稱是Virtual Local Area Network，也就是虛擬區域網，它是一種實現虛擬工作組的先進技術，能夠通過將區域網內的設備對於整個區域網進行邏輯分段，產生多個不同的網段。VLAN 技術的關鍵就是對區域網進行分段，將整個區域網劃分為多個不同的VLAN，它可以按照各種各樣的應用業務和對應的安全級別，通過劃分VLAN來實現隔離，也能夠進行相互間的訪問控制，對於限制非法用戶對於區域網的訪問起到非常巨大的作用。對於利用ATM或者以太交換方式的交換式區域網技術的區域網絡，能夠通過VLAN 技術的有效利用來切實加強對於內部網路的管理，從而更加有效的保障區域網安全。
2.6 運用訪問控制技術
通過訪問控制技術的運用，可以保證區域網內部的數據不被非法使用或者非法訪問。一般來說，用戶的入網訪問控制主要包括用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳戶的預設限制檢查等幾個方面。一旦用戶連接並且登陸區域網，區域網管理員就能夠自動授予該用戶適當的訪問控制許可權，用戶僅僅可以在它們自身的許可權范圍內進行數據的增加、修改、刪除等操作。因此，通過這種方式，區域網內部的數據只能夠被授權用戶進行訪問。當一個主體訪問一個客體時，必須符合各自的安全級別需求，應遵守如下兩個原則：
①Read Down:主體安全級別必須高於被讀取對象的原則。
②Write up:主體安全級別必須低於被寫入對象的級別。
應該注意的是，對於訪問控制許可權的設定一定要嚴格按照最小許可權原則，也就是說，用戶所擁有的許可權不能超過他實現某個操作所必須的許可權。只有明確用戶的操作，找出實現用戶操作的最小許可權集，根據這個最小許可權集，對用戶所擁有的許可權進行限制，才能實現最小許可權原則。
2.7 建立良好的人才隊伍，提高計算機操作人員的安全意識
為了保證區域網的安全，建立良好的人才隊伍是非常重要的。通過具備較高的專業水平、較好的業務能力、較強的工作責任心的人才隊伍，可以做好區域網的合理規劃與建設，切實保證區域網日常的維護及管理工作，利用最為先進的技術來防治區域網的各種安全隱患。
與此同時，也應該提高計算機操作人員的安全意識。可以加強有關區域網安全的教育培訓，建立健全科學合理的規章制度，切實提高所有人的安全意識。要求計算機操作人員必須規范操作各種區域網設備，合理設置設備以及軟體的密碼，特別是伺服器密碼，必須是系統管理員才能掌握。
3 結束語
針對於區域網存在的安全隱患的防治工作不是一勞永逸的，而是一項復雜艱巨的系統工程。在進行區域網的建設和管理過程中，一定要對於區域網中所存在的各種安全隱患進行及時分析，採取最有效的措施來保證區域網的正常工作，為單位的信息化建設提供強有力的支撐力量。

D. 網路安全綜合解決方案

隨著互聯網的發展，病毒問題越來越嚴重，以金錢和利益為直接目的的病毒呈現明顯上升趨勢，更是威脅企業的經濟利益。隨著病毒和黑客攻擊的融合，以及藉助於網路和即時通訊、U盤等多元化傳播手段，病毒威脅呈現的混合型、網路化、越來越快的趨勢。面對新形勢下的病毒威脅，傳統防病毒產品孤立的單點部署的防範模式已經不能適應反病毒的要求，反病毒技術迫切需要建立聯合各種技術手段和管理措施的統一戰線。另一方面，企業的分支機構和不同部門形成了具有一定規模的網路，需要建立機制來防範病毒在總部以及這些分支機構之間的傳播和泛濫。享受互聯網帶來的商業機會，但同時避免病毒攻擊等的侵擾成為企業的難題。

H3C綜合病毒防護解決方案從企業整體網路安全形度出發，建立一個全面立體的綜合病毒防護體系，為病毒防禦部署下天羅地網，全面提升企業的信息安全水平。通過部署H3C綜合病毒防護解決方案，企業可以避免病毒攻擊帶來的損失以及對業務流程的影響，從而降低企業的運營風險，並且可以減少為恢復需要的人力、時間等成本。

如有興趣可以到這里了解詳情

http://www.yishang-h3c.com/a_safejj05.aspx

E. 網路安全的措施有哪幾點

計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。

1、保護網路安全。

網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。

2、保護應用安全。

保護應用安全，主要是針對特定應用（如Web伺服器、網路支付專用軟體系統）所建立的安全防護措施，它獨立於網路的任何其他安全防護措施。

雖然有些防護措施可能是網路安全業務的一種替代或重疊，如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。

3、保護系統安全。

保護系統安全，是指從整體電子商務系統或網路支付系統的角度進行安全防護，它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。

(5)專業網路安全整體解決方案擴展閱讀：

安全隱患

1、 Internet是一個開放的、無控制機構的網路，黑客（Hacker）經常會侵入網路中的計算機系統，或竊取機密數據和盜用特權，或破壞重要數據，或使系統功能得不到充分發揮直至癱瘓。

2、 Internet的數據傳輸是基於TCP/IP通信協議進行的，這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。

3、 Internet上的通信業務多數使用Unix操作系統來支持，Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。

4、在計算機上存儲、傳輸和處理的電子信息，還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實，內容是否被改動，以及是否泄露等，在應用層支持的服務協議中是憑著君子協定來維系的。

5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。

6、計算機病毒通過Internet的傳播給上網用戶帶來極大的危害，病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。

F. 網路安全技術措施

最佳的解決方案

1.安裝瑞星殺毒或卡巴斯基等殺毒軟體，實時清除電腦木馬病毒；

2.安裝個人硬體防火牆，簡單使用，實時監控且能100%防禦黑客攻擊，又不會影響電腦出現卡機等現象。

目前此類產品中阿爾敘個人硬體防火牆做比較專業，價格還算能接受

在設置一個網路時，無論它是一個區域網（LAN）、虛擬LAN（VLAN）還是廣域網（WAN），在剛開始時設置最基本的安全策略非常重要。安全策略是一些根據安全需求，以電子化的方式設計和存儲的規則，用於控制訪問許可權等領域。當然，安全策略也包括一個企業所執行的書面的或者口頭的規定。另外，企業必須決定由誰來實施和管理這些策略，以及怎樣通知員工這些規則。安全策略、設備和多設備管理的作用相當於一個中央安全控制室，安全人員在其中監控建築物或者園區的安全，進行巡邏或者發出警報。那什麼是安全策略呢？所實施的策略應當控制誰可以訪問網路的哪個部分，以及如何防止未經授權的用戶進入訪問受限的領域。例如，通常只有人力資源部門的成員有權查看員工的薪資歷史。密碼通常可以防止員工進入受限的領域。一些基本的書面策略，例如警告員工不要在工作場所張貼他們的密碼等，通常可以預先防止安全漏洞。可以訪問網路的某些部分的客戶或者供應商也必須受到策略的適當管理。誰又能來實施管理安全策略呢？制定策略和維護網路及其安全的個人或者群體必須有權訪問網路的每個部分。而且，網路策略管理部門應當獲得極為可靠，擁有所需要的技術能力的人員。如前所述，大部分網路安全漏洞都來自於內部，所以這個負責人或者群體必須確保其本身不是一個潛在的威脅。一旦被任命，網路管理人員就可以利用復雜的軟體工具，來幫助他們通過基於瀏覽器的界面，制定、分配、實施和審核安全策略。你想怎樣向員工傳達這個策略呢？如果相關各方都不知道和了解規則，那規則實際上沒有任何用處。為傳達現有的策略、策略的更改、新的策略以及對於即將到來的病毒或者攻擊的安全警報制定有效的機制是非常重要的。

G. 網路安全的解決方案!急,滿意再給100!

談對網路安全的認識

近幾年來，網路越來越深入人心，它是人們工作、學習、生活的便捷工具和豐富資源。但是，我們不得不注意到，網路雖然功能強大，也有其脆弱易受到攻擊的一面。據美國FBI統計，美國每年因網路安全問題所造成的經濟損失高達75億美元，而全球平均每20秒鍾就發生一起Internet 計算機侵入事件。在我國，每年因黑客入侵、計算機病毒的破壞也造成了巨大的經濟損失。人們在利用網路的優越性的同時，對網路安全問題也決不能忽視。作為學校，如何建立比較安全的校園網路體系，值得我們關注研究。

建立校園網路安全體系，主要依賴三個方面：一是威嚴的法律；二是先進的技術；三是嚴格的管理。

從技術角度看，目前常用的安全手段有內外網隔離技術、加密技術、身份認證、訪問控制、安全路由、網路防病毒等，這些技術對防止非法入侵系統起到了一定的防禦作用。代理及防火牆作為一種將內外網隔離的技術，普遍運用於校園網安全建設中。

網路現狀

我校是一所市一級中學，目前有兩所網路教室、200多台教學辦公電腦，校園網一期工程為全校教教學教研建立了計算機信息網路，實現了校園內計算機聯網，信息資源共享並通過中國公用Internet網（CHINANET）與Internet互連，校園網結構是：校園內建築物之間的連接選用多模光纖，以網管中心為中心，輻射向其他建築物，樓內水平線纜採用超五類非屏雙絞線纜。3Com 4900交換機作為核心交換機；二級交換機為3Com 3300。

安全隱患

當時，校園網路存在的安全隱患和漏洞有：

1、校園網通過CHINANET與Internet相連，在享受Internet方便快捷的同時，也面臨著遭遇攻擊的風險。

2、校園網內部也存在很大的安全隱患，由於內部用戶對網路的結構和應用模式都比較了解，因此來自內部的安全威脅更大一些。現在，黑客攻擊工具在網上泛濫成災，而個別學生的心理特點決定了其利用這些工具進行攻擊的可能性。

3、目前使用的操作系統存在安全漏洞，對網路安全構成了威脅。我校的網路伺服器安裝的操作系統有Windows2000 Server，其普遍性和可操作性使得它也是最不安全的系統：本身系統的漏洞、瀏覽器的漏洞、IIS的漏洞，這些都對原有網路安全構成威脅。

4、隨著校園內計算機應用的大范圍普及，接入校園網節點日漸增多，而這些節點大部分都沒有採取一定的防護措施，隨時有可能造成病毒泛濫、信息丟失、數據損壞、網路被攻擊、系統癱瘓等嚴重後果。

由此可見，構築具有必要的信息安全防護體系，建立一套有效的網路安全機制顯得尤其重要。

措施及解決方案

根據我校校園網的結構特點及面臨的安全隱患，我們決定採用下面一些安全方案和措施。

一、安全代理部署

在Internet與校園網內網之間部署一台安全代理（ISA），並具防火牆等功能，形成內外網之間的安全屏障。其中WWW、MAIL、FTP、DNS對外伺服器連接在安全代理，與內、外網間進行隔離。那麼，通過Internet進來的公眾用戶只能訪問到對外公開的一些服務（如WWW、MAIL、FTP、DNS等），既保護內網資源不被外部非授權用戶非法訪問或破壞，也可以阻止內部用戶對外部不良資源的濫用，並能夠對發生在網路中的安全事件進行跟蹤和審計。在安全代理設置上可以按照以下原則配置來提高網路安全性：

1、據校園網安全策略和安全目標，規劃設置正確的安全過濾規則，規則審核IP數據包的內容包括：協議、埠、源地址、目的地址、流向等項目，嚴格禁止來自公網對校園內部網不必要的、非法的訪問。總體上遵從「關閉一切，只開有用」的原則。

2、安全代理配置成過濾掉以內部網路地址進入Internet的IP包，這樣可以防範源地址假冒和源路由類型的攻擊；過濾掉以非法IP地址離開內部網路的IP包，防止內部網路發起的對外攻擊。

3、安全代理上建立內網計算機的IP地址和MAC地址的對應表，防止IP地址被盜用。

4、定期查看安全代理訪問日誌，及時發現攻擊行為和不良上網記錄，並保留日誌90天。

5、允許通過配置網卡對安全代理設置，提高安全代理管理安全性。

二、入侵檢測系統部署

入侵檢測能力是衡量一個防禦體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火牆相對靜態防禦的不足。對來自外部網和校園網內部的各種行為進行實時檢測，及時發現各種可能的攻擊企圖，並採取相應的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網路管理和網路監視功能於一身，能實時捕獲內外網之間傳輸的所有數據，利用內置的攻擊特徵庫，使用模式匹配和智能分析的方法，檢測網路上發生的入侵行為和異常現象，並在資料庫中記錄有關事件，作為網路管理員事後分析的依據；如果情況嚴重，系統可以發出實時報警，使得學校管理員能夠及時採取應對措施。

三、漏洞掃描系統

採用目前最先進的漏洞掃描系統定期對工作站、伺服器、交換機等進行安全檢查，並根據檢查結果向系統管理員提供詳細可靠的安全性分析報告，為提高網路安全整體水平產生重要依據。

四、諾頓網路版殺毒產品部署

在該網路防病毒方案中，我們最終要達到一個目的就是：要在整個區域網內杜絕病毒的感染、傳播和發作，為了實現這一點，我們應該在整個網路內可能感染和傳播病毒的地方採取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網路的防病毒體系，應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

1、在學校網路中心配置一台高效的Windows2000伺服器安裝一個諾頓軟體網路版的系統中心，負責管理200多個主機網點的計算機。

2、在各行政、教學單位等200多台主機上分別安裝諾頓殺毒軟體網路版的客戶端。

3、安裝完諾頓殺毒軟體網路版後，在管理員控制台對網路中所有客戶端進行定時查殺毒的設置，保證所有客戶端即使在沒有聯網的時候也能夠定時進行對本機的查殺毒。

4、網管中心負責整個校園網的升級工作。為了安全和管理的方便起見，由網路中心的系統中心定期地、自動地到諾頓網站上獲取最新的升級文件（包括病毒定義碼、掃描引擎、程序文件等），然後自動將最新的升級文件分發到其它200多個主機網點的客戶端與伺服器端，並自動對諾頓殺毒軟體網路版進行更新，使全校的防毒病毒庫始終處於最新的狀態。

五、劃分內部虛擬專網（VLAN），針對內部有效VLAN設置合法地址池，針對不同VLAN開放相應埠，阻止廣播風暴發生。

六、實時升級Windows2000 Server、IE等各軟體補丁，減少漏洞；實行個人辦公電腦實名制。

七、安全管理

常言說：「三分技術，七分管理」，安全管理是保證網路安全的基礎，安全技術是配合安全管理的輔助措施。我們建立了一套校園網路安全管理模式，制定詳細的安全管理制度，如機房管理制度、病毒防範制度、上網規定等，同時要注意物理安全，防止設備器材的暴力損壞，防火、防雷、防潮、防塵、防盜等，並採取切實有效的措施保證制度的執行。

近幾年，通過對以上措施的逐步實施，我校校園網路能鴝安全正常運行，為學校教育教學工作的順利開展提供了有力輔助，並漸入佳境。

H. 現在網路安全的形式和解決方法

網路安全的攻擊形式主要有四種：中斷、截獲、修改和偽造。
中斷是以可用性作為攻擊目標，它毀壞系統資源，使網路不可用。
截獲是以保密性作為攻擊目標，非授權用戶通過某種手段獲得對系統資源的訪問。
修改是以完整性作為攻擊目標，非授權用戶不僅獲得訪問而且對數據進行修改。
偽造是以完整性作為攻擊目標，非授權用戶將偽造的數據插入到正常傳輸的數據中。

網路安全的解決方案：
一、入侵檢測系統部署
入侵檢測能力是衡量一個防禦體系是否完整有效的重要因素，強大完整的入侵檢測體系可以彌補防火牆相對靜態防禦的不足。對來自外部網和校園網內部的各種行為進行實時檢測，及時發現各種可能的攻擊企圖，並採取相應的措施。具體來講，就是將入侵檢測引擎接入中心交換機上。入侵檢測系統集入侵檢測、網路管理和網路監視功能於一身，能實時捕獲內外網之間傳輸的所有數據，利用內置的攻擊特徵庫，使用模式匹配和智能分析的方法，檢測網路上發生的入侵行為和異常現象，並在資料庫中記錄有關事件，作為網路管理員事後分析的依據；如果情況嚴重，系統可以發出實時報警，使得學校管理員能夠及時採取應對措施。
二、漏洞掃描系統
採用目前最先進的漏洞掃描系統定期對工作站、伺服器、交換機等進行安全檢查，並根據檢查結果向系統管理員提供詳細可靠的安全性分析報告，為提高網路安全整體水平產生重要依據。
三、網路版殺毒產品部署
在該網路防病毒方案中，我們最終要達到一個目的就是：要在整個區域網內杜絕病毒的感染、傳播和發作，為了實現這一點，我們應該在整個網路內可能感染和傳播病毒的地方採取相應的防病毒手段。同時為了有效、快捷地實施和管理整個網路的防病毒體系，應能實現遠程安裝、智能升級、遠程報警、集中管理、分布查殺等多種功能。

I. 企業網路安全解決方案論文

企業基於網路的計算機應用也在迅速增加，基於網路信息系統給企業的經營管理帶來了更大的經濟效益，但隨之而來的安全問題也在困擾著用戶，研究解決網路安全問題的方案顯得及其重要。下面是我帶來的關於企業網路安全解決方案論文的內容，歡迎閱讀參考!

淺談中小企業網路安全整體解決方案

摘要：隨著企業內部網路的日益龐大及與外部網路聯系的逐漸增多，一個安全可信的企業網路安全系統顯得十分重要。區域網企業信息安全系統是為了防範企業中計算機數據信息泄密而建立的一種管理系統，旨在對區域網中的信息安全提供一種實用、可靠的管理方案。

關鍵詞：網路安全 防病毒 防火牆 入侵檢測

一、網路安全的含義

網路安全從其本質上來講就是網路上的信息安全。它涉及的領域相當廣泛。這是因為在目前的公用通信網路中存在著各種各樣的安全漏洞和威脅。從廣義來說，凡是涉及到網路上信息的保密性、完整性、可用性、真實性和可控性的相關技術和理論，都是網路安全所要研究的領域。網路安全，通常定義為網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

二、中小企業網路安全方案的基本設計原則

(一)綜合性、整體性原則。應用系統工程的觀點、 方法 ，分析網路的安全及具體 措施 。安全措施主要包括：行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路，包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用，也只有從系統綜合整體的角度去看待、分析，才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則，根據規定的安全策略制定出合理的網路安全體系結構。

(二)需求、風險、代價平衡的原則。對任一網路，絕對安全難以達到，也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性可維護性等)，並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析，然後制定規范和措施，確定本系統的安全策略。

(三)分步實施原則。由於網路系統及其應用擴展范圍廣闊，隨著網路規模的擴大及應用的增加，網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施，即可滿足網路系統及信息安全的基本需要，亦可節省費用開支。

三、中小企業網路安全方案的具體設計

網路安全是一項動態的、整體的系統工程，從技術上來說，網路安全由安全的 操作系統 、應用系統、防病毒、防火牆、入侵檢測、網路監控、信息審計、通信加密、災難恢復、安全掃描等多個安全組件組成，一個單獨的組件是無法確保您信息網路的安全性。

該方案主要包括以下幾個方面：

(一)防病毒方面：應用防病毒技術，建立全面的網路防病毒體系。隨著Internet的不斷發展，信息技術已成為促進經濟發展、社會進步的巨大推動力：當今社會高度的計算機化信息資源對任何人無論在任何時候、任何地方都變得極有價值。不管是存儲在工作站中、伺服器里還是流通於Internet上的信息都已轉變成為一個關系事業成敗關鍵的策略點，這就使保證信息的安全變得格外重要。

(二)應用防火牆技術，控制訪問許可權，實現網路安全集中管理。防火牆技術是今年發展起來的重要網路安全技術，其主要作用是在網路入口處檢查網路通訊，根據客戶設定的安全規則，在保護內部網路安全的前提下，保障內外網路通訊。在網路出口處安裝防火牆後，內部網路與外部網路進行了有效的隔離，所有來自外部網路的訪問請求都要通過防火牆的檢查，內部網路的安全有了很大的提高。

防火牆可以完成以下具體任務：通過源地址過濾，拒絕外部非法IP地址，有效的避免了外部網路上與業務無關的主機的越權訪問;防火牆可以只保留有用的服務，將其他不需要的服務關閉，這樣可以將系統受攻擊的可能性降低到最小限度，使黑客無機可乘。

隨著網路的廣泛應用和普及，網路入侵行為、病毒破壞、垃圾郵件的處理和普遍存在的安全話題也成了人們日趨關注的焦點。防火牆作為網路邊界的第一道防線，由最初的路由器設備配置訪問策略進行安全防護，到形成專業獨立的產品，已經充斥了整個網路世界。在網路安全領域，隨著黑客應用技術的不斷「傻瓜化」，入侵檢測系統IDS的地位正在逐漸增加。一個網路中，只有有效實施了IDS，才能敏銳地察覺攻擊者的侵犯行為，才能防患於未然。

參考文獻：

[1]陳家琪.計算機網路安全.上海理工大學，電子教材，2005

[2]胡建斌.網路與信息安全概論.北京大學網路與信息安全研究室，電子教材，2005

淺談網路安全技術與企業網路安全解決方案

網路由於其系統方面漏洞導致的安全問題是企業的一大困擾，如何消除辦企業網路的安全隱患成為 企業管理 中的的一大難題。各種網路安全技術的出現為企業的網路信息安全帶來重要保障，為企業的發展奠定堅實的基礎。

1 網路安全技術

1.1 防火牆技術

防火牆技術主要作用是實現了網路之間訪問的有效控制，對外部不明身份的對象採取隔離的方式禁止其進入企業內部網路，從而實現對企業信息的保護。

如果將公司比作人，公司防盜系統就如同人的皮膚一樣，是阻擋外部異物的第一道屏障，其他一切防盜系統都是建立在防火牆的基礎上。現在最常用也最管用的防盜系統就是防火牆，防火牆又可以細分為代理服務防火牆和包過濾技術防火牆。代理服務防火牆的作用一般是在雙方進行電子商務交易時，作為中間人的角色，履行監督職責。包過濾技術防火牆就像是一個篩子，會選擇性的讓數據信息通過或隔離。

1.2 加密技術

加密技術是企業常用保護數據信息的一種便捷技術，主要是利用一些加密程序對企業一些重要的數據進行保護，避免被不法分子盜取利用。常用的加密方法主要有數據加密方法以及基於公鑰的加密演算法。數據加密方法主要是對重要的數據通過一定的規律進行變換，改變其原有特徵，讓外部人員無法直接觀察其本質含義，這種加密技術具有簡便性和有效性，但是存在一定的風險，一旦加密規律被別人知道後就很容易將其解除。基於公鑰的加密演算法指的是由對應的一對唯一性密鑰(即公開密鑰和私有密鑰)組成的加密方法。這種加密方法具有較強的隱蔽性，外部人員如果想得到數據信息只有得到相關的只有得到唯一的私有密匙，因此具有較強的保密性。

1.3 身份鑒定技術

身份鑒定技術就是根據具體的特徵對個人進行識別，根據識別的結果來判斷識別對象是否符合具體條件，再由系統判斷是否對來人開放許可權。這種方式對於冒名頂替者十分有效，比如指紋或者後虹膜， 一般情況下只有本人才有許可權進行某些專屬操作，也難以被模擬，安全性能比較可靠。這樣的技術一般應用在企業高度機密信息的保密過程中，具有較強的實用性。

2 企業網路安全體系解決方案

2.1 控制網路訪問

對網路訪問的控制是保障企業網路安全的重要手段，通過設置各種許可權避免企業信息外流，保證企業在激烈的市場競爭中具有一定的競爭力。企業的網路設置按照面向對象的方式進行設置，針對個體對象按照網路協議進行訪問許可權設置，將網路進行細分，根據不同的功能對企業內部的工作人員進行許可權管理。企業辦公人員需要使用到的功能給予開通，其他與其工作不相關的內容即取消其訪問許可權。另外對於一些重要信息設置防寫或讀保護，從根本上保障企業機密信息的安全。另外對網路的訪問控制可以分時段進行，例如某文件只可以在相應日期的一段時間內打開。

企業網路設計過程中應該考慮到網路安全問題，因此在實際設計過程中應該對各種網路設備、網路系統等進行安全管理，例如對各種設備的介面以及設備間的信息傳送方式進行科學管理，在保證其基本功能的基礎上消除其他功能，利用當前安全性較高的網路系統，消除網路安全的脆弱性。

企業經營過程中由於業務需求常需要通過遠端連線設備連接企業內部網路，遠程連接過程中脆弱的網路系統極容易成為別人攻擊的對象，因此在企業網路系統中應該加入安全性能較高的遠程訪問設備，提高遠程網路訪問的安全性。同時對網路系統重新設置，對登入身份信息進行加密處理，保證企業內部人員在操作過程中信息不被外人竊取，在數據傳輸過程中通過相應的 網路技術 對傳輸的數據審核，避免信息通過其他 渠道 外泄，提高信息傳輸的安全性。

2.2 網路的安全傳輸

電子商務時代的供應鏈建立在網路技術的基礎上，供應鏈的各種信息都在企業內部網路以及與供應商之間的網路上進行傳遞，信息在傳遞過程中容易被不法分子盜取，給企業造成重大經濟損失。為了避免信息被竊取，企業可以建設完善的網路系統，通過防火牆技術將身份無法識別的隔離在企業網路之外，保證企業信息在安全的網路環境下進行傳輸。另外可以通過相應的加密技術對傳輸的信息進行加密處理，技術一些黑客解除企業的防火牆，竊取到的信息也是難以理解的加密數據，加密過後的信息常常以亂碼的形式存在。從理論上而言，加密的信息仍舊有被解除的可能性，但現行的數據加密方式都是利用復雜的密匙處理過的，即使是最先進的密碼解除技術也要花費相當長的時間，等到數據被解除後該信息已經失去其時效性，成為一條無用的信息，對企業而言沒有任何影響。

2.3 網路攻擊檢測

一些黑客通常會利用一些惡意程序攻擊企業網路，並從中找到漏洞進入企業內部網路，對企業信息進行竊取或更改。為避免惡意網路攻擊，企業可以引進入侵檢測系統，並將其與控制網路訪問結合起來，對企業信息實行雙重保護。根據企業的網路結構，將入侵檢測系統滲入到企業網路內部的各個環節，尤其是重要部門的機密信息需要重點監控。利用防火牆技術實現企業網路的第一道保護屏障，再配以檢測技術以及相關加密技術，防火記錄用戶的身份信息，遇到無法識別的身份信息即將數據傳輸給管理員。後續的入侵檢測技術將徹底阻擋黑客的攻擊，並對黑客身份信息進行分析。即使黑客通過這些屏障得到的也是經過加密的數據，難以從中得到有效信息。通過這些網路安全技術的配合，全方位消除來自網路黑客的攻擊，保障企業網路安全。

3 結束語

隨著電子商務時代的到來，網路技術將會在未來一段時間內在企業的運轉中發揮難以取代的作用，企業網路安全也將長期伴隨企業經營管理，因此必須對企業網路實行動態管理，保證網路安全的先進性，為企業的發展建立安全的網路環境。

J. 網路安全整體解決方案是什麼

網路安全整體解決方案，指對網路進行綜合安全防護措施。採用比較全面的網路邊界安全設備、內網安全管理設備和措施，達到保障網路安全的目標。