公司網路安全邊界

㈠ 目前網路安全區域劃分有哪些基本方法

計算機網路安全的主要因素有哪些 安全域實現方式以劃分()區域為主,明確邊界以對各安全域分別防護,並且進行域間邊界控制。

㈡ 如何解決企業遠程辦公網路安全問題

企業遠程辦公的網路安全常見問題及建議

• 發表時間：2020-03-06 11:46:28

• 作者：寧宣鳳、吳涵等

• 來源：金杜研究院

• 分享到：微信新浪微博QQ空間

當前是新型冠狀病毒防控的關鍵期，舉國上下萬眾一心抗擊疫情。為增強防控，自二月初以來，北京、上海、廣州、杭州等各大城市政府公開表態或發布通告，企業通過信息技術開展遠程協作辦公、居家辦公［1］。2月19日，工信部發布《關於運用新一代信息技術支撐服務疫情防控和復工復產工作的通知》，面對疫情對中小企業復工復產的嚴重影響，支持運用雲計算大力推動企業上雲，重點推行遠程辦公、居家辦公、視頻會議、網上培訓、協同研發和電子商務等在線工作方式［2］。

面對國家和各地政府的呼籲，全國企業積極響應號召。南方都市報在2月中旬發起的網路調查顯示，有47．55％的受訪者在家辦公或在線上課［3］。面對特殊時期龐大的遠程辦公需求，遠程協作平台也積極承擔社會擔當，早在1月底，即有17家企業的21款產品宣布對全社會用戶或特定機構免費開放其遠程寫作平台軟體［4］。

通過信息技術實現遠程辦公，無論是網路層、系統層，還是業務數據，都將面臨更加復雜的網路安全環境，為平穩有效地實現安全復工復產，降低疫情對企業經營和發展的影響，企業應當結合實際情況，建立或者適當調整相適應的網路與信息安全策略。

一、遠程辦公系統的類型

隨著互聯網、雲計算和物聯網等技術的深入發展，各類企業，尤其是互聯網公司、律所等專業服務公司，一直在推動實現企業內部的遠程協作辦公，尤其是遠程會議、文檔管理等基礎功能應用。從功能類型來看，遠程辦公系統可分為以下幾類：［5］

綜合協作工具，即提供一套綜合性辦公解決方案，功能包括即時通信和多方通信會議、文檔協作、任務管理、設計管理等，代表軟體企包括企業微信、釘釘、飛書等。

即時通信（即InstantMessaging或IM）和多方通信會議，允許兩人或以上通過網路實時傳遞文字、文件並進行語音、視頻通信的工具，代表軟體包括Webex、Zoom、Slack、Skype等。

文檔協作，可為多人提供文檔的雲存儲和在線共享、修改或審閱功能，代表軟體包括騰訊文檔、金山文檔、印象筆記等。

任務管理，可實現任務流程、考勤管理、人事管理、項目管理、合同管理等企業辦公自動化（即OfficeAutomation或OA）功能，代表軟體包括Trello、Tower、泛微等。

設計管理，可根據使用者要求，系統地進行設計方面的研究與開發管理活動，如素材、工具、圖庫的管理，代表軟體包括創客貼、Canvas等。

二、遠程辦公不同模式下的網路安全責任主體

《網路安全法》（「《網安法》」）的主要規制對象是網路運營者，即網路的所有者、管理者和網路服務提供者。網路運營者應當承擔《網安法》及其配套法規下的網路運行安全和網路信息安全的責任。

對於遠程辦公系統而言，不同的系統運營方式下，網路安全責任主體（即網路運營者）存在較大的差異。按照遠程辦公系統的運營方式劃分，企業遠程辦公系統大致可以分為自有系統、雲辦公系統和綜合型系統三大類。企業應明確區分其與平台運營方的責任界限，以明確判斷自身應採取的網路安全措施。

（1）自有系統

此類模式下，企業的遠程辦公系統部署在自有伺服器上，系統由企業自主研發、外包研發或使用第三方企業級軟體架構。此類系統開發成本相對較高，但因不存在數據流向第三方伺服器，安全風險則較低，常見的企業類型包括國企、銀行業等重要行業企業與機構，以及經濟能力較強且對安全與隱私有較高要求的大型企業。

無論是否為企業自研系統，由於系統架構完畢後由企業單獨所有並自主管理，因此企業構成相關辦公系統的網路運營者，承擔相應的網路安全責任。

（2）雲辦公系統

此類辦公系統通常為SaaS系統或APP，由平台運營方直接在其控制的伺服器上向企業提供注冊即用的系統遠程協作軟體平台或APP服務，供企業用戶與個人（員工）用戶使用。此類系統構建成本相對經濟，但往往只能解決企業的特定類型需求，企業通常沒有許可權對系統進行開發或修改，而且企業數據存儲在第三方伺服器。該模式的常見企業類型為相對靈活的中小企業。

由於雲辦公系統（SaaS或APP）的網路、資料庫、應用伺服器都由平台運營方運營和管理，因此，雲辦公系統的運營方構成網路運營者，通常對SaaS和APP的網路運行安全和信息安全負有責任。

實踐中，平台運營方會通過用戶協議等法律文本，將部分網路安全監管義務以合同約定方式轉移給企業用戶，如要求企業用戶嚴格遵守賬號使用規則，要求企業用戶對其及其員工上傳到平台的信息內容負責。

（3）綜合型系統

此類系統部署在企業自有伺服器和第三方伺服器上，綜合了自有系統和雲辦公，系統的運營不完全由企業控制，多用於有多地架設本地伺服器需求的跨國企業。

雲辦公系統的供應商和企業本身都可能構成網路運營者，應當以各自運營、管理的網路系統為邊界，對各自運營的網路承擔相應的網路安全責任。

對於企業而言，為明確其與平台運營方的責任邊界，企業應當首先確認哪些「網路」是企業單獨所有或管理的。在遠程辦公場景下，企業應當考慮多類因素綜合認定，分析包括但不限於以下：

辦公系統的伺服器、終端、網路設備是否都由企業及企業員工所有或管理；

企業對企業使用的辦公系統是否具有最高管理員許可權；

辦公系統運行過程中產生的數據是否存儲於企業所有或管理的伺服器；

企業與平台運營方是否就辦公系統或相關數據的權益、管理權有明確的協議約定等。

當然，考慮到系統構建的復雜性與多樣性，平台運營方和企業在遠程協作辦公的綜合系統中，可能不免共同管理同一網路系統，雙方均就該網路承擔作為網路運營者的安全責任。但企業仍應通過合同約定，盡可能固定網路系統中雙方各自的管理職責以及網路系統的歸屬。因此，對於共同管理、運營遠程協作辦公服務平台的情況下，企業和平台運營方應在用戶協議中明確雙方就該系統各自管理運營的系統模塊、各自對其管理的系統模塊的網路安全責任以及該平台的所有權歸屬。

三、遠程辦公涉及的網路安全問題及應對建議

下文中，我們將回顧近期遠程辦公相關的一些網路安全熱點事件，就涉及的網路安全問題進行簡要的風險評估，並為企業提出初步的應對建議。

1．用戶流量激增導致遠程辦公平台「短時間奔潰」，平台運營方是否需要承擔網路運行安全責任？

事件回顧：

2020年2月3日，作為春節假期之後的首個工作日，大部分的企業都要求員工在家辦公。盡管各遠程辦公系統的平台運營方均已經提前做好了應對預案，但是巨量的並發響應需求還是超出了各平台運營商的預期，多類在線辦公軟體均出現了短時間的「信息發送延遲」、「視頻卡頓」、「系統奔潰退出」等故障［6］。在出現故障後，平台運營方迅速採取了網路限流、伺服器擴容等措施，提高了平台的運載支撐能力和穩定性，同時故障的出現也產生一定程度的分流。最終，盡管各遠程辦公平台都在較短的時間內恢復了平台的正常運營，但還是遭到了不少用戶的吐槽。

風險評估：

依據《網路安全法》（以下簡稱《網安法》）第22條的規定，網路產品、服務應當符合相關國家標準的強制性要求。網路產品、服務的提供者不得設置惡意程序；發現其網路產品、服務存在安全缺陷、漏洞等風險時，應當立即採取補救措施，按照規定及時告知用戶並向有關主管部門報告。網路產品、服務的提供者應當為其產品、服務持續提供安全維護；在規定或者當事人約定的期限內，不得終止提供安全維護。

遠程辦公平台的運營方，作為平台及相關網路的運營者，應當對網路的運行安全負責。對於短時間的系統故障，平台運營方是否需要承擔相應的法律責任或違約責任，需要結合故障產生的原因、故障產生的危害結果、用戶協議中的責任約定等因素來綜合判斷。

對於上述事件而言，基於我們從公開渠道了解的信息，盡管多個雲辦公平台出現了響應故障問題，給用戶遠程辦公帶來了不便，但平台本身並未暴露出明顯的安全缺陷、漏洞等風險，也沒有出現網路數據泄露等實質的危害結果，因此，各平台很可能並不會因此而承擔網路安全的法律責任。

應對建議：

在疫情的特殊期間，主流的遠程辦公平台產品均免費開放，因此，各平台都會有大量的新增客戶。對於平台運營方而言，良好的應急預案和更好的用戶體驗，肯定更有利於平台在疫情結束之後留住這些新增的用戶群體。

為進一步降低平台運營方的風險，提高用戶體驗，我們建議平台運營方可以：

將用戶流量激增作為平台應急事件處理，制定相應的應急預案，例如，在應急預案中明確流量激增事件的觸發條件、伺服器擴容的條件、部署臨時備用伺服器等；

對用戶流量實現實時的監測，及時調配平台資源；

建立用戶通知機制和話術模板，及時告知用戶系統響應延遲的原因及預計恢復的時間等；

在用戶協議或與客戶簽署的其他法律文本中，嘗試明確該等系統延遲或奔潰事件的責任安排。

2．在遠程辦公環境下，以疫情為主題的釣魚攻擊頻發，企業如何降低外部網路攻擊風險？

事件回顧：

疫情期間，某網路安全公司發現部分境外的黑客組織使用冠狀病毒為主題的電子郵件進行惡意軟體發送，網路釣魚和欺詐活動。比如，黑客組織偽裝身份（如國家衛健委），以「疫情防控」相關信息為誘餌，發起釣魚攻擊。這些釣魚郵件攻擊冒充可信來源，郵件內容與廣大人民群眾關注的熱點事件密切相關，極具欺騙性。一旦用戶點擊，可能導致主機被控，重要信息、系統被竊取和破壞［7］。

風險評估：

依據《網安法》第21、25條的規定，網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：（1）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；（2）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；（3）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；（4）採取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。同時，網路運營者還應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

遠程辦公的實現，意味著企業內網需要響應員工移動終端的外網接入請求。員工所處的網路安全環境不一，無論是接入網路還是移動終端本身，都更容易成為網路攻擊的對象。一方面，公用WiFi、網路熱點等不可信的網路都可能作為員工的網路接入點，這些網路可能毫無安全防護，存在很多常見的容易被攻擊的網路漏洞，容易成為網路犯罪組織侵入企業內網的中轉站；另一方面，部分員工的移動終端設備可能會安裝設置惡意程序的APP或網路插件，員工在疏忽的情況下也可能點擊偽裝的釣魚攻擊郵件或勒索郵件，嚴重威脅企業內部網路的安全。

在計算機病毒或外部網路攻擊等網路安全事件下，被攻擊的企業盡管也是受害者，但如果企業沒有按照《網安法》及相關法律規定的要求提前採取必要的技術防範措施和應急響應預案，導致網路數據泄露或者被竊取、篡改，給企業的用戶造成損失的，很可能依舊需要承擔相應的法律責任。

應對建議：

對於企業而言，為遵守《網安法》及相關法律規定的網路安全義務，我們建議，企業可以從網路安全事件管理機制、移動終端設備安全、數據傳輸安全等層面審查和提升辦公網路的安全：

（1）企業應當根據其運營網路或平台的實際情況、員工整體的網路安全意識，制定相適應的網路安全事件管理機制，包括但不限於：

制定包括數據泄露在內的網路安全事件的應急預案；

建立應對網路安全事件的組織機構和技術措施；

實時監測最新的釣魚網站、勒索郵件事件；

建立有效的與全體員工的通知機制，包括但不限於郵件、企業微信等通告方式；

制定與員工情況相適應的信息安全培訓計劃；

設置適當的獎懲措施，要求員工嚴格遵守公司的信息安全策略。

（2）企業應當根據現有的信息資產情況，採取以下措施，進一步保障移動終端設備安全：

根據員工的許可權等級，制定不同的移動終端設備安全管理方案，例如，高級管理人員或具有較高資料庫許可權的人員僅能使用公司配置的辦公專用移動終端設備；

制定針對移動終端設備辦公的管理制度，對員工使用自帶設備進行辦公提出明確的管理要求；

定期對辦公專用的移動終端設備的系統進行更新、漏洞掃描；

在終端設備上，對終端進行身份准入認證和安全防護；

重點監測遠程接入入口，採用更積極的安全分析策略，發現疑似的網路安全攻擊或病毒時，應當及時採取防範措施，並及時聯系企業的信息安全團隊；

就移動辦公的信息安全風險，對員工進行專項培訓。

（3）保障數據傳輸安全，企業可以採取的安全措施包括但不限於：

使用HTTPS等加密傳輸方式，保障數據傳輸安全。無論是移動終端與內網之間的數據交互，還是移動終端之間的數據交互，都宜對數據通信鏈路採取HTTPS等加密方式，防止數據在傳輸中出現泄漏。

部署虛擬專用網路（VPN），員工通過VPN實現內網連接。值得注意的是，在中國，VPN服務（尤其是跨境的VPN）是受到電信監管的，僅有具有VPN服務資質的企業才可以提供VPN服務。外貿企業、跨國企業因辦公自用等原因，需要通過專線等方式跨境聯網時，應當向持有相應電信業務許可證的基礎運營商租用。

3．內部員工通過VPN進入公司內網，破壞資料庫。企業應當如何預防「內鬼」，保障數據安全？

事件回顧：

2月23日晚間，微信頭部服務提供商微盟集團旗下SaaS業務服務突發故障，系統崩潰，生產環境和數據遭受嚴重破壞，導致上百萬的商戶的業務無法順利開展，遭受重大損失。根據微盟25日中午發出的聲明，此次事故系人為造成，微盟研發中心運維部核心運維人員賀某，於2月23日晚18點56分通過個人VPN登入公司內網跳板機，因個人精神、生活等原因對微盟線上生產環境進行惡意破壞。目前，賀某被上海市寶山區公安局刑事拘留，並承認了犯罪事實［8］。由於資料庫遭到嚴重破壞，微盟長時間無法向合作商家提供電商支持服務，此處事故必然給合作商戶帶來直接的經濟損失。作為港股上市的企業，微盟的股價也在事故發生之後大幅下跌。

從微盟的公告可以看出，微盟員工刪庫事件的一個促成條件是「該員工作為運維部核心運維人員，通過個人VPN登錄到了公司內網跳板機，並具有刪庫的許可權」。該事件無論是對SaaS服務商而言，還是對普通的企業用戶而言，都值得反思和自省。

風險評估：

依據《網安法》第21、25條的規定，網路運營者應當按照網路安全等級保護制度的要求，履行下列安全保護義務，保障網路免受干擾、破壞或者未經授權的訪問，防止網路數據泄露或者被竊取、篡改：（1）制定內部安全管理制度和操作規程，確定網路安全負責人，落實網路安全保護責任；（2）採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施；（3）採取監測、記錄網路運行狀態、網路安全事件的技術措施，並按照規定留存相關的網路日誌不少於六個月；（4）採取數據分類、重要數據備份和加密等措施；（5）法律、行政法規規定的其他義務。同時，網路運營者還應當制定網路安全事件應急預案，及時處置系統漏洞、計算機病毒、網路攻擊、網路侵入等安全風險；在發生危害網路安全的事件時，立即啟動應急預案，採取相應的補救措施，並按照規定向有關主管部門報告。

內部員工泄密一直是企業數據泄露事故的主要原因之一，也是當前「侵犯公民個人信息犯罪」的典型行為模式。遠程辦公環境下，企業需要為大部分的員工提供連接內網及相關資料庫的訪問許可權，進一步增大數據泄露甚至被破壞的風險。

與用戶流量激增導致的系統「短時間崩潰」不同，「微盟刪庫」事件的發生可能與企業內部信息安全管理有直接的關系。如果平台內合作商戶產生直接經濟損失，不排除平台運營者可能需要承擔網路安全相關的法律責任。

應對建議：

為有效預防員工惡意破壞、泄露公司數據，保障企業的數據安全，我們建議企業可以採取以下預防措施：

制定遠程辦公或移動辦公的管理制度，區分辦公專用移動設備和員工自有移動設備，進行分類管理，包括但不限於嚴格管理辦公專用移動設備的讀寫許可權、員工自有移動設備的系統許可權，尤其是企業資料庫的管理許可權；

建立數據分級管理制度，例如，應當根據數據敏感程度，制定相適應的訪問、改寫許可權，對於核心資料庫的數據，應當禁止員工通過遠程登錄方式進行操作或處理；

根據員工工作需求，依據必要性原則，評估、審核與限制員工的數據訪問和處理許可權，例如，禁止員工下載數據到任何用戶自有的移動終端設備；

建立數據泄露的應急管理方案，包括安全事件的監測和上報機制，安全事件的響應預案；

制定遠程辦公的操作規范，使用文件和材料的管理規范、應用軟體安裝的審批流程等；

組建具備遠程安全服務能力的團隊，負責實時監控員工對核心資料庫或敏感數據的操作行為、資料庫的安全情況；

加強對員工遠程辦公安全意識教育。

4．疫情期間，為了公共利益，企業通過系統在線收集員工疫情相關的信息，是否需要取得員工授權？疫情結束之後，應當如何處理收集的員工健康信息？

場景示例：

在遠程辦公期間，為加強用工管理，確保企業辦公場所的健康安全和制定相關疫情防控措施，企業會持續地向員工收集各類疫情相關的信息，包括個人及家庭成員的健康狀況、近期所在地區、當前住址、所乘航班或火車班次等信息。收集方式包括郵件、OA系統上報、問卷調查等方式。企業會對收集的信息進行統計和監測，在必要時，向監管部門報告企業員工的整體情況。如發現疑似病例，企業也會及時向相關的疾病預防控制機構或者醫療機構報告。

風險評估：

2020年1月20日，新型冠狀病毒感染肺炎被國家衛健委納入《中華人民共和國傳染病防治法》規定的乙類傳染病，並採取甲類傳染病的預防、控制措施。《中華人民共和國傳染病防治法》第三十一條規定，任何單位和個人發現傳染病病人或者疑似傳染病病人時，應當及時向附近的疾病預防控制機構或者醫療機構報告。

2月9日，中央網信辦發布了《關於做好個人信息保護利用大數據支撐聯防聯控工作的通知》（以下簡稱《通知》），各地方各部門要高度重視個人信息保護工作，除國務院衛生健康部門依據《中華人民共和國網路安全法》、《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》授權的機構外，其他任何單位和個人不得以疫情防控、疾病防治為由，未經被收集者同意收集使用個人信息。法律、行政法規另有規定的，按其規定執行。

各地也陸續出台了針對防疫的規范性文件，以北京為例，根據《北京市人民代表大會常務委員會關於依法防控新型冠狀病毒感染肺炎疫情堅決打贏疫情防控阻擊戰的決定》，本市行政區域內的機關、企業事業單位、社會團體和其他組織應當依法做好本單位的疫情防控工作，建立健全防控工作責任制和管理制度，配備必要的防護物品、設施，加強對本單位人員的健康監測，督促從疫情嚴重地區回京人員按照政府有關規定進行醫學觀察或者居家觀察，發現異常情況按照要求及時報告並採取相應的防控措施。按照屬地人民政府的要求，積極組織人員參加疫情防控工作。

依據《通知》及上述法律法規和規范性文件的規定，我們理解，在疫情期間，如果企業依據《中華人民共和國傳染病防治法》、《突發公共衛生事件應急條例》獲得了國務院衛生健康部門的授權，企業在授權范圍內，應當可以收集本單位人員疫情相關的健康信息，而無需取得員工的授權同意。如果不能滿足上述例外情形，企業還是應當依照《網安法》的規定，在收集前獲得用戶的授權同意。

《通知》明確規定，為疫情防控、疾病防治收集的個人信息，不得用於其他用途。任何單位和個人未經被收集者同意，不得公開姓名、年齡、身份證號碼、電話號碼、家庭住址等個人信息，但因聯防聯控工作需要，且經過脫敏處理的除外。收集或掌握個人信息的機構要對個人信息的安全保護負責，採取嚴格的管理和技術防護措施，防止被竊取、被泄露。具體可參考我們近期的文章《解讀網信辦＜關於做好個人信息保護利用大數據支撐防疫聯控工作的通知＞》

應對建議：

在遠程期間，如果企業希望通過遠程辦公系統收集員工疫情相關的個人信息，我們建議各企業應當：

制定隱私聲明或用戶授權告知文本，在員工初次提交相關信息前，獲得員工的授權同意；

遵循最小必要原則，制定信息收集的策略，包括收集的信息類型、頻率和顆粒度；

遵循目的限制原則，對收集的疫情防控相關的個人信息進行區分管理，避免與企業此前收集的員工信息進行融合；

在對外展示企業整體的健康情況時或者披露疑似病例時，對員工的相關信息進行脫敏處理；

制定信息刪除管理機制，在滿足防控目的之後，及時刪除相關的員工信息；

制定針對性的信息管理和保護機制，將收集的員工疫情相關的個人信息，作為個人敏感信息進行保護，嚴格控制員工的訪問許可權，防止數據泄露。

5．遠程辦公期間，為有效監督和管理員工，企業希望對員工進行適當的監測，如何才能做到合法合規？

場景示例：

遠程辦公期間，為了有效監督和管理員工，企業根據自身情況制定了定時匯報、簽到打卡、視頻監控工作狀態等措施，要求員工主動配合達到遠程辦公的監測目的。員工通過系統完成匯報、簽到打卡時，很可能會反復提交自己的姓名、電話號碼、郵箱、所在城市等個人基本信息用於驗證員工的身份。

同時，在使用遠程OA系統或App時，辦公系統也會自動記錄員工的登錄日誌，記錄如IP地址、登錄地理位置、用戶基本信息、日常溝通信息等數據。此外，如果員工使用企業分配的辦公終端設備或遠程終端虛擬機軟體開展工作，終端設備和虛擬機軟體中可能預裝了監測插件或軟體，在滿足特定條件的情況下，會記錄員工在終端設備的操作行為記錄、上網記錄等。

風險評估：

上述場景示例中，企業會通過1）員工主動提供和2）辦公軟體自動或觸發式收集兩種方式收集員工的個人信息，構成《網安法》下的個人信息收集行為。企業應當根據《網安法》及相關法律法規的要求，遵循合法、正當、必要的原則，公開收集、使用規則，明示收集、使用信息的目的、方式和范圍，並獲取員工的同意。

對於視頻監控以及系統監測軟體或插件的使用，如果操作不當，並且沒有事先取得員工的授權同意，很可能還會侵犯到員工的隱私，企業應當尤其注意。

應對建議：

遠程辦公期間，尤其在當前員工還在適應該等工作模式的情形下，企業根據自身情況採取適當的監督和管理措施，具有正當性。我們建議企業可以採取以下措施，以確保管理和監測行為的合法合規：

評估公司原有的員工合同或員工個人信息收集授權書，是否能夠滿足遠程辦公的監測要求，如果授權存在瑕疵，應當根據企業的實際情況，設計獲取補充授權的方式，包括授權告知文本的彈窗、郵件通告等；

根據收集場景，逐項評估收集員工個人信息的必要性。例如，是否存在重復收集信息的情況，是否有必要通過視頻監控工作狀態，監控的頻率是否恰當；

針對系統監測軟體和插件，設計單獨的信息收集策略，做好員工隱私保護與公司數據安全的平衡；

遵守目的限制原則，未經員工授權，不得將收集的員工數據用於工作監測以外的其他目的。

四、總結

此次疫情，以大數據、人工智慧、雲計算、移動互聯網為代表的數字科技在疫情防控中發揮了重要作用，也進一步推動了遠程辦公、線上運營等業務模式的發展。這既是疫情倒逼加快數字化智能化轉型的結果，也代表了未來新的生產力和新的發展方向［9］。此次「突發性的全民遠程辦公熱潮」之後，遠程辦公、線上運營將愈發普及，線下辦公和線上辦公也將形成更好的統一，真正達到提升工作效率的目的。

加快數字化智能化升級也是推進國家治理體系和治理能力現代化的迫切需要。黨的十九屆四中全會對推進國家治理體系和治理能力現代化作出重大部署，強調要推進數字政府建設，加強數據共享，建立健全運用互聯網、大數據、人工智慧等技術手段進行行政管理的制度規則［10］。

為平穩加速推進數字化智能化發展，契合政府現代化治理的理念，企業務必需要全面梳理並完善現有的網路安全與數據合規策略，為迎接新的智能化管理時代做好准備。

㈢ 企業內網怎麼保證安全

1、注意內網安全與網路邊界安全的不同

內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立並加強內網防範策略。

2、限制VPN的訪問

虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件服 務器或其他可選擇的網路資源的許可權。

3、為合作企業網建立內網型的邊界防護

合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個 DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。

4、自動跟蹤的安全策略

智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。

5、關掉無用的網路伺服器

大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的，關掉該文件的共享協議。

6、首先保護重要資源

若一個內網上連了千萬台 (例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。

7、建立可靠的無線訪問

審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。

8、建立安全過客訪問

對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略，使得員工給客戶一些非法的訪問許可權，導致了內網實時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。

9、創建虛擬邊界防護

主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。

10、可靠的安全決策

網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作 者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。

另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

㈣ 企業內網安全的保障如何做到呢

1、注意內網安全與網路邊界安全的不同
內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立並加強內網防範策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件服 務器或其他可選擇的網路資源的許可權。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個 DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網路伺服器
大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的，關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台 (例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。
7、建立可靠的無線訪問
審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問
對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略，使得員工給客戶一些非法的訪問許可權，導致了內網實時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。
9、創建虛擬邊界防護
主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。
10、可靠的安全決策
網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作 者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。
另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

㈤ 如何做好網路安全工作

1、完善網路安全機制

制定《網路安全管理制度》，設立公司網路與信息化管理機構，負責網路設施和信息系統的運維管理。堅持做好網路與信息安全風險評估和定期巡查，制定網路安全應急預案，健全網路安全事件聯動機制，提高公司網路安全應急處理能力。

通過計算機入網申請登記表、網路密碼變更記錄、公司網路管理日誌等記錄，做好網路監控和安全服務，構建安全即服務的雙重縱深防禦模式，為公司管理保駕護航。

6、加強新媒體運營維護

做好公司微信、網站等的管理和維護，及時發布企業運行信息，構築全公司資源共享的信息平台，弘揚企業文化，提升企業形象，更好地服務於企業改革發展。

㈥ 怎麼才能保護企業內網安全

1、注意內網安全與網路邊界安全的不同
內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立並加強內網防範策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件服 務器或其他可選擇的網路資源的許可權。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個 DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網路伺服器
大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的，關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台 (例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。
7、建立可靠的無線訪問
審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問
對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略，使得員工給客戶一些非法的訪問許可權，導致了內網實時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。
9、創建虛擬邊界防護
主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。
10、可靠的安全決策
網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作 者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。
另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

㈦ 企業網路規劃中的安全防護規劃拜託了各位 謝謝

http://wenda.tianya.cn/wenda/thread?tid=77419da0770550c3 實現限制各個部門之間的通訊你可以做VLAN，就可以了 企業網路邊界安全防護規劃之網路防毒牆應用 防毒牆適用於各種復雜的網路拓撲環境，可以根據用戶的不同需要，具備針對HTTP、FTP、SMTP、POP3、IMAP以及MSN協議的內容檢查、清除病毒的能力，同時通過實施安全策略可以在網路環境中的內外網之間建立一道功能強大的防火牆體系，不但可以保護內部資源不受外部網路的侵犯，同時可以阻止內部用戶對外部不良資源的濫用。防毒牆從完整意義上解決了企業網路防護和網路邊緣殺毒的問題。 防毒牆是一款多功能、高性能的產品，它不但能夠在網路邊緣實現病毒檢測、攔截和清除的功能，同時，它還是一個高性能的防火牆，通過在總部、分支機構網路邊緣分別布置不同性能的防毒牆保護總部和分支機構內部網路和對外伺服器不受黑客的攻擊，同時通過VPN功能，為分支機構、遠程、移動用戶提供一個安全的遠程連接功能，是大型企業網路邊緣安全的首選產品。 防毒牆典型應用： 防毒牆通常部署在連接外部網路的路由器或交換機之前，利用一台硬體設備把網路病毒和黑客攻擊隔絕在網路之外，能夠滿足各類企業復雜網路的基本需求。和傳統的防病毒軟體相比，瑞星防毒牆不僅配置簡單，可以有效的減輕網路管理員的工作量，而且可以防止病毒肆意在網路中傳播，讓病毒無處藏身。防毒牆還可放置在企業內部，對一些特殊部門和重點伺服器進行保護。防毒牆的部署只要遵循把安全區域和非安全區域隔離的思想就可，防毒牆即插即用，無須重定向路由的流向. 企業不斷發展的同時其網路規模也在不斷的擴大，由於其自身業務的需要，公司在不同的地區建有分公司或分支機構，本地和分布在全國的Intranet之間形成一個龐大的網路。同樣，這樣復雜的網路在為企業提高競爭力的同時，也會面臨更多的安全問題。首先本地網路的安全需要保證，同時總部與分支機構、分支機構之間的機密信息傳輸問題，以及集團的設備管理問題，這樣的網路使用環境一般存在下列安全隱患和需求： 計算機病毒在企業內部網路傳播。 內部網路可能被外部黑客攻擊。 對外的伺服器（如：www、ftp、郵件伺服器等）沒有安全防護，容易被黑客攻擊。 內部某些重要的伺服器或網路被非法訪問，造成信息泄密。 內部網路用戶上網行為沒有有效的監控管理，影響日常工作效率，容易形成內部網路的安全隱患，大量的垃圾郵件佔用網路和系統資源，影響正常的工作。 分支機構網路和總部網路連接安全和之間數據交換的安全問題，遠程、移動用戶對公司內部網路的安全訪問。 面向對象的系統配置方式 對象是防毒牆管理配置中的一個基本概念，用來描述管理策略中的一個基本元素，例如地址、時間、服務以及應用協議等。瑞星防毒牆中的所有策略都直接由這些元素組合而成。用戶可以集中統一定義策略中需要的所有對象，而後使用的時候直接選擇即可。這樣避免了策略設置與策略中的基本元素設置的重疊性；另外，瑞星防毒牆還提供了對象組的概念用來管理同一類的多個對象，簡化了防毒牆的管理配置，提高了管理效率。 靈活的介面配置方式 在瑞星防毒牆中，用戶可以從兩方面來設定一個網口，一個是網口的工作模式；另一個是網口的工作區域。目前，瑞星防毒牆的網口支持透明、PPPoE、靜態IP、動態IP以及禁用等工作模式。而網口的工作區則可分為：WAN（外網）和LAN（內網）。 使用了最新的瑞星殺毒引擎 瑞星防毒牆使用擁有自主知識產權第八代VUE虛擬脫殼引擎，可以讓病毒在一個模擬的環境中執行，從而獲得它的行為，並對其進行識別。這使得瑞星反病毒引擎擁有更強大的脫殼能力、更准確的病毒識別率以及對於未知病毒更好的查殺效果。支持的病毒種類：引導區病毒、文件型病毒、宏病毒、蠕蟲病毒、特洛伊木馬、後門程序、惡意腳本、惡作劇程序、鍵盤記錄器、黑客工具、流氓軟體(間諜軟體、廣告軟體、瀏覽器劫持、行為記錄軟體、惡意共享軟體、自動撥號程序)、其它手段的病毒（遠程攻擊、網路釣魚、p2p方式傳播木馬、IM病毒）。 病毒庫升級 提供手動升級和自動升級兩種方式，每天都會進行病毒庫更新。如果網上爆發了某種惡意病毒，公司的病毒緊急處理小組會在最短的時間內發布病毒特徵碼。 全自動無縫升級 瑞星防毒牆的病毒庫和殺毒引擎採用了無縫升級技術。升級後，無需重新啟動防毒牆就可以使升級生效。 支持站點白名單 用戶可以向瑞星防毒牆中添加白名單，防毒牆將不再對其發送過來的數據包進行殺毒。 防毒策略 進行病毒查殺時，根據文件內容進行檢查，而不是根據文件擴展名進行查殺；支持所有壓縮包、復合文檔和自解壓文件的查殺，更加有效的防止病毒進入網路。 支持 HTTP / SMTP / FTP / POP3 / MSN / IMAP 協議的病毒查殺 除了支持傳統的HTTP / SMTP / FTP / POP3協議，瑞星防毒牆還支持MSN和IMAP協議的病毒查殺。 追問： 不用這些東西~自己在ISA上做一些策略做些群集什麼的有什麼好的建議嗎 現在有點弄不清楚在群集是只有在域控上可以做啊~還是在域成員機器上也可以做？ 而且感覺現在就算做的再好的防護但是畢竟還是有出站通信的~ 這樣的話可以用一些埠掃描軟體掃出來進行攻擊~~ 網路安全方面我也是剛涉及不久~希望多多指導~謝謝 回答： 你說的AD里加啊，可以這樣說吧不是一個AD里的是不能通信的，但是現在能很多小軟體，可以直接通信，不知道你們的電腦是不是都要上外網，如果不上外網你要是把IP地址給劃分一下，就不能通信了，你們那裡的人都會用掃描器嗎，要是那樣的話你只能是加防火牆，沒有法了，你看看那網址吧ISA的設置，要是用我的話說，打的字太多了，主要還不知道你們網路的環竟是什麼樣的， http://laowu2517.blog.51cto.com/1082855/241360

㈧ 怎樣解決網路邊界安全問題

邊界防護技術

從網路的誕生，就產生了網路的互聯，Cisco公司就是靠此而興起的。從沒有什麼安全功能的早期路由器，到防火牆的出現，網路邊界一直在重復著攻擊者與防護者的博弈，這么多年來，「道高一尺，魔高一丈」，好象防護技術總跟在攻擊技術的後邊，不停地打補丁。其實邊界的防護技術也在博弈中逐漸成熟：

1、防火牆技術

網路隔離最初的形式是網段的隔離，因為不同的網段之間的通訊是通過路由器連通的，要限制某些網段之間不互通，或有條件地互通，就出現了訪問控制技術，也就出現了防火牆，防火牆是不同網路互聯時最初的安全網關。


防火牆的安全設計原理來自於包過濾與應用代理技術，兩邊是連接不同網路的介面，中間是訪問控制列表ACL，數據流要經過ACL的過濾才能通過。ACL有些象海關的身份證檢查，檢查的是你是哪個國家的人，但你是間諜還是遊客就無法區分了，因為ACL控制的是網路的三層與四層，對於應用層是無法識別的。後來的防火牆增加了NAT/PAT技術，可以隱藏內網設備的IP地址，給內部網路蒙上面紗，成為外部「看不到」的灰盒子，給入侵增加了一定的難度。但是木馬技術可以讓內網的機器主動與外界建立聯系，從而「穿透」了NAT的「防護」，很多P2P應用也採用這種方式「攻破」了防火牆。

防火牆的作用就是建起了網路的「城門」，把住了進入網路的必經通道，所以在網路的邊界安全設計中，防火牆成為不可缺的一部分。

防火牆的缺點是：不能對應用層識別，面對隱藏在應用中的病毒、木馬都好無辦法。所以作為安全級別差異較大的網路互聯，防火牆的安全性就遠遠不夠了。

2、多重安全網關技術

既然一道防火牆不能解決各個層面的安全防護，就多上幾道安全網關，如用於應用層入侵的IPS、用於對付病毒的AV、用於對付DDOS攻擊的…此時UTM設備就誕生了，設計在一起是UTM，分開就是各種不同類型的安全網關。

多重安全網關就是在城門上多設幾個關卡，有了職能的分工，有驗證件的、有檢查行李的、有查毒品的、有查間諜的……

多重安全網關的安全性顯然比防火牆要好些，起碼對各種常見的入侵與病毒都可以抵禦。但是大多的多重安全網關都是通過特徵識別來確認入侵的，這種方式速度快，不會帶來明顯的網路延遲，但也有它本身的固有缺陷，首先，應用特徵的更新一般較快，目前最長也以周計算，所以網關要及時地「特徵庫升級」；其次，很多黑客的攻擊利用「正常」的通訊，分散迂迴進入，沒有明顯的特徵，安全網關對於這類攻擊能力很有限；最後，安全網關再多，也只是若干個檢查站，一旦「混入」，進入到大門內部，網關就沒有作用了。這也安全專家們對多重安全網關「信任不足」的原因吧。

3、網閘技術

網閘的安全思路來自於「不同時連接」。不同時連接兩個網路，通過一個中間緩沖區來「擺渡」業務數據，業務實現了互通，「不連接」原則上入侵的可能性就小多了。

網閘只是單純地擺渡數據，近似於人工的「U盤擺渡」方式。網閘的安全性來自於它擺渡的是「純數據」還是「灰數據」，通過的內容清晰可見，「水至清則無魚」，入侵與病毒沒有了藏身之地，網路就相對安全了。也就是說，城門只讓一種人通過，比如送菜的，間諜可混入的概率就大大降低了。但是，網閘作為網路的互聯邊界，必然要支持各種業務的連通，也就是某些通訊協議的通過，所以網閘上大多開通了協議的代理服務，就象城牆上開了一些特殊的通道，網閘的安全性就打了折扣，在對這些通道的安全檢查方面，網閘比多重安全網關的檢查功效不見得高明。

網閘的思想是先堵上，根據「城內」的需要再開一些小門，防火牆是先打開大門，對不希望的人再逐個禁止，兩個思路剛好相反。在入侵的識別技術上差不多，所以採用多重網關增加對應用層的識別與防護對兩者都是很好的補充。

後來網閘設計中出現了存儲通道技術、單向通道技術等等，但都不能保證數據的「單純性」，檢查技術由於沒有新的突破，所以網閘的安全性受到了專家們的質疑。

但是網閘給我們帶來了兩點啟示：

1、建立業務互通的緩沖區，既然連接有不安全的可能，單獨開辟一塊地區，縮小不安全的范圍也是好辦法。

2、協議代理，其實防火牆也有應用代理是思想，不讓來人進入到成內，你要什麼服務我安排自己的人給你提供服務，網路訪問的最終目的是業務的申請，我替你完成了，不也達到目的了嗎？黑客在網路的大門外邊，不進來，威脅就小多啦。

4、數據交換網技術

火牆到網閘，都是採用的關卡方式，「檢查」的技術各有不同，但對黑客的最新攻擊技術都不太好用，也沒有監控的手段，對付「人」的攻擊行為來說，只有人才是最好的對手。

數據交換網技術是基於緩沖區隔離的思想，把城門處修建了一個「數據交易市場」，形成兩個緩沖區的隔離，同時引進銀行系統對數據完整性保護的Clark-Wilson模型，在防止內部網路數據泄密的同時，保證數據的完整性，即沒有授權的人不能修改數據，防止授權用戶錯誤的修改，以及內外數據的一致性。

數據交換網技術給出了邊界防護的一種新思路，用網路的方式實現數據交換，也是一種用「土地換安全」的策略。在兩個網路間建立一個緩沖地，讓「貿易往來」處於可控的范圍之內。

數據交換網技術比其他邊界安全技術有顯著的優勢：

1、綜合了使用多重安全網關與網閘，採用多層次的安全「關卡」。

2、有了緩沖空間，可以增加安全監控與審計，用專家來對付黑客的入侵，邊界處於可控制的范圍內，任何蛛絲馬跡、風吹草動都逃不過監控者的眼睛。

3、業務的代理保證數據的完整性，業務代理也讓外來的訪問者止步於網路的交換區，所有的需求由服務人員提供，就象是來訪的人只能在固定的接待區洽談業務，不能進入到內部的辦公區。

數據交換網技術針對的是大數據互通的網路互聯，一般來說適合於下面的場合：

1、頻繁業務互通的要求：

要互通的業務數據量大，或有一定的實時性要求，人工方式肯定不夠用，網關方式的保護性又顯不足，比如銀行的銀聯系統、海關的報關系統、社保的管理系統、公安的出入境管理系統、大型企業的內部網路（運行ERP）與Internet之間、公眾圖書館系統等等。這些系統的突出特點都是其數據中心的重要性是不言而喻，但又與廣大百姓與企業息息相關，業務要求提供互聯網的訪問，在安全性與業務適應性的要求下，業務互聯需要用完整的安全技術來保障，選擇數據交換網方式是適合的。

2、高密級網路的對外互聯：

高密級網路一般涉及國家機密，信息不能泄密是第一要素，也就是絕對不允許非授權人員的入侵。然而出於對公眾信息的需求，或對大眾網路與信息的監管，必須與非安全網路互聯，若是監管之類的業務，業務流量也很大，並且實時性要求也高，在網路互聯上選擇數據交換網技術是適合的。

四、總結「魔高道高，道高魔高」。網路邊界是兩者長期博弈的「戰場」，然而安全技術在「不斷打補丁」的同時，也逐漸在向「主動防禦、立體防護」的思想上邁進，邊界防護的技術也在逐漸成熟，數據交換網技術就已經不再只是一個防護網關，而是一種邊界安全網路，綜合性的安全防護思路。也許安全的話題是永恆的，但未來的網路邊界一定是越來越安全的，網路的優勢就在於連通。

㈨ 如何才能保障企業內網安全

1、注意內網安全與網路邊界安全的不同

內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻 擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊 事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時 建立並加強內網防範策略。

2、限制VPN的訪問

虛擬專用網(VPN)用戶的 訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位 VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件服 務器或其他可選擇的網路資源的許可權。

3、為合作企業網建立內網型的邊界防護

合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入 內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個 DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。

4、自動跟蹤的安全策略

智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要 企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與 該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。

5、關掉無用的網路伺服器

大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件服 務器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用 的，關掉該文件的共享協議。

6、首先保護重要資源

若一個內網上連了千萬台 (例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對服 務器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行 限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。

7、建立可靠的無線訪問

審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。
8、建立安全過客訪問

對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略，使得員工給客戶一些非法的訪問許可權，導致了內網實時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。

9、創建虛擬邊界防護

主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企 業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此 要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間 的邊界防護。

10、可靠的安全決策

網路用戶也存在著安全隱患。有的用戶或 許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作 者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。

另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。

㈩ 企業如何保證企業內部網路安全不受侵擾

幾乎所有企業對於網路安全的重視程度一下子提高了，紛紛采購防火牆等設備希望堵住來自Internet的不安全因素。然而，Intranet內部的攻擊和入侵卻依然猖狂。事實證明，公司內部的不安全因素遠比外部的危害更恐怖。

大多企業重視提高企業網的邊界安全，暫且不提它們在這方面的投資多少，但是大多數企業網路的核心內網還是非常脆弱的。企業也對內部網路實施了相應保護措施，如:安裝動輒數萬甚至數十萬的網路防火牆、入侵檢測軟體等，並希望以此實現內網與Internet的安全隔離，然而，情況並非如此!企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網，而這些機器通常又置於企業內網中，這種情況的存在給企業網路帶來了巨大的潛在威脅，從某種意義來講，企業耗費巨資配備的防火牆已失去意義。這種接入方式的存在，極有可能使得黑客繞過防火牆而在企業毫不知情的情況下侵入內部網路，從而造成敏感數據泄密、傳播病毒等嚴重後果。實踐證明，很多成功防範企業網邊界安全的技術對保護企業內網卻沒有效用。於是網路維護者開始大規模致力於增強內網的防衛能力。

下面給出了應對企業內網安全挑戰的10種策略。這10種策略即是內網的防禦策略，同時也是一個提高大型企業網路安全的策略。

1、注意內網安全與網路邊界安全的不同

內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊事件一般都會先控制區域網絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立並加強內網防範策略。

2、限制VPN的訪問

虛擬專用網(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位VPN用戶訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別，即只需賦予他們所需要的訪問許可權級別即可，如訪問郵件伺服器或其他可選擇的網路資源的許可權。

3、為合作企業網建立內網型的邊界防護

合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問許可權。由此，既然不能控制合作者的網路安全策略和活動，那麼就應該為每一個合作企業創建一個 DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對內網其他資源的訪問。

4、自動跟蹤的安全策略

智能的自動執行實時跟蹤的安全策略是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全策略也必須與相適應。例如實時跟蹤企業員工的僱傭和解僱、實時跟蹤網路利用情況並記錄與該計算機對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全策略。

5、關掉無用的網路伺服器

大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件伺服器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在運行但是又不具有文件伺服器作用的，關掉該文件的共享協議。

6、首先保護重要資源

若一個內網上連了千萬台(例如30000台)機子，那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對伺服器做效益分析評估，然後對內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如實時跟蹤客戶的伺服器)並對他們進行限制管理。這樣就能迅速准確地確定企業最重要的資產，並做好在內網的定位和許可權限制工作。

7、建立可靠的無線訪問

審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。

8、建立安全過客訪問

對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的「內部無Internet訪問」的策略，使得員工給客戶一些非法的訪問許可權，導致了內網實時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。

9、創建虛擬邊界防護

主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企業網路的使用和在企業經營范圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問許可權控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間的邊界防護。

10、可靠的安全決策

網路用戶也存在著安全隱患。有的用戶或許對網路安全知識非常欠缺，例如不知道 RADIUS和TACACS之間的不同，或不知道代理網關和分組過濾防火牆之間的不同等等，但是他們作為公司的合作者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能引導他們自動的響應網路安全策略。

另外，在技術上，採用安全交換機、重要數據的備份、使用代理網關、確保操作系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少。