網絡安全防護

訪問控制：對用户訪問網絡資源的權限進行嚴格的認證和控制。例如，進行用户身份認證，對口令加密、更新和鑑別，設置用户訪問目錄和文件的權限，控制網絡設備配置的權限，等等。數據加密防護：加密是防護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。

網絡隔離防護：網絡隔離有兩種方式，一種是採用隔離卡來實現的，一種是採用網絡安全隔離網閘實現的。

其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。

擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏安全防範意識有關。

要保證網絡安全，進行網絡安全建設，第一步首先要全面瞭解系統，評估系統安全性，認識到自己的風險所在，從而迅速、準確得解決內網安全問題。

人們有時候會忘記安全的根本，只是去追求某些耀人眼目的新技術，結果卻發現最終一無所得。而在如今的經濟環境下，有限的安全預算也容不得你置企業風險最高的區域於不顧而去追求什麼新技術。當然，這些高風險區域並非對所有人都相同，而且會時常發生變化。不良分子總是會充分利用這些高風險區域實施攻擊，而我們所看到的一些很流行的攻擊也早已不是我們幾年前所看到的攻擊類型了。寫作本文的目的，就是要看一看有哪些安全解決方案可以覆蓋到最廣的區域，可以防禦各種新型威脅的。從很多方面來看，這些解決方案都是些不假思索就能想到的辦法，但是你卻會驚訝地發現，有如此多的企業(無論是大企業還是小企業)卻並沒有將它們安放在應該放置的地方。很多時候它們只是一種擺設而已。

下面給出的5大基本安全方案，如果結合得當，將能夠有效地制止針對企業的數據、網絡和用户的攻擊，會比當今市場上任何5種安全技術的結合都要好。儘管市場上還有其他很多非常有用的安全解決方案，但如果要選出5個最有效和現成可用的方案，那麼我的選擇還是這5項：

這塊十多年來網絡防禦的基石，如今對於穩固的基礎安全來説，仍然十分需要。如果沒有防火牆屏蔽有害的流量，那麼企業保護自己網絡資產的工作就會成倍增加。防火牆必須部署在企業的外部邊界上，但是它也可以安置在企業網絡的內部，保護各網絡段的數據安全。在企業內部部署防火牆還是一種相對新鮮但卻很好的實踐。之所以會出現這種實踐，主要是因為可以區分可信任流量和有害流量的任何有形的、可靠的網絡邊界正在消失的緣故。舊有的所謂清晰的互聯網邊界的概念在現代網絡中已不復存在。最新的變化是，防火牆正變得越來越智能，顆粒度也更細，能夠在數據流中進行定義。如今，防火牆基於應用類型甚至應用的某個功能來控制數據流已很平常。舉例來説，防火牆可以根據來電號碼屏蔽一個SIP語音呼叫。

(FW、IPS、QoS、VPN)——路由器在大多數網絡中幾乎到處都有。按照慣例，它們只是被用來作為監控流量的交通警察而已。但是現代的路由器能夠做的事情比這多多了。路由器具備了完備的安全功能，有時候甚至要比防火牆的功能還全。大多數路由器都具備了健壯的防火牆功能，還有一些有用的IDS/IPS功能，健壯的QoS和流量管理工具，當然還有很強大的VPN數據加密功能。這樣的功能列表還可以列出很多。現代的路由器完全有能力為你的網絡增加安全性。而利用現代的VPN技術，它可以相當簡單地為企業WAN上的所有數據流進行加密，卻不必為此增加人手。有些人還可充分利用到它的一些非典型用途，比如防火牆功能和IPS功能。打開路由器，你就能看到安全狀況改善了很多。

無線WPA2

這5大方案中最省事的一種。如果你還沒有采用WPA2無線安全，那就請把你的安全方案停掉，做個計劃準備上WPA2吧。其他眾多的無線安全方法都不夠安全，數分鐘之內就能被破解。所以請從開始就改用帶AES加密的WPA2吧。

我們都知道郵件是最易受攻擊的對象。病毒、惡意軟件和蠕蟲都喜歡利用郵件作為其傳播渠道。郵件還是我們最容易泄露敏感數據的渠道。除了安全威脅和數據丟失之外，我們在郵件中還會遭遇到沒完沒了的垃圾郵件！

來自80端口和443端口的威脅比任何其他威脅都要迅猛。有鑑於基於Web的攻擊越來越複雜化，所以企業就必須部署一個健壯的Web安全解決方案。多年來，我們一直在使用簡單的URL過濾，這種辦法的確是Web安全的一項核心內容。但是Web安全還遠不止URL過濾這麼簡單，它還需要有注入AV掃描、惡意軟件掃描、IP信譽識別、動態URL分類技巧和數據泄密防範等功能。攻擊者們正在以驚人的速度侵襲着很多高知名度的網站，假如我們只依靠URL黑白名單來過濾的話，那我們可能就只剩下白名單的URL可供訪問了。任何Web安全解決方案都必須能夠動態地掃描Web流量，以便決定該流量是否合法。在此處所列舉的5大安全解決方案中，Web安全是處在安全技術發展最前沿的，也是需要花錢最多的。而其他解決方案則大多數已經相當成熟。Web安全應儘快去掉虛飾，迴歸真實，方能抵擋住黑客們發起的攻擊。　 ^[1] 

根據網絡安全現狀，以及各領域企業的網絡安全需求，能夠簡單、快捷地實現整個網絡的安全防禦架構。企業信息系統的安全防禦體系可以分為三個層次：安全評估，安全加固，網絡安全部署。

通過對企業網絡的系統安全檢測，web腳本安全檢測，以檢測報告的形式，及時地告知用户網站存在的安全問題。並針對具體項目，組建臨時項目腳本代碼安全審計小組，由資深網站程序員及網絡安全工程師共通審核網站程序的安全性。找出存在安全隱患程序並準備相關補救程序。

以網絡安全評估的檢測結果為依據，對網站應用程序存在的漏洞、頁面中存在的惡意代碼進行徹底清除，同時通過對網站相關的安全源代碼審計，找出源代碼問題所在，進行安全修復。安全加固作為一種積極主動地安全防護手段，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統受到危害之前攔截和響應入侵，加強系統自身的安全性。

在企業信息系統中進行安全產品的部署，可以對網絡系統起到更可靠的保護作用，提供更強的安全監測和防禦能力。 ^[2]