网络安全审计系统策略配置

① 信息网络安全的安全策略

信息网络运行部门的安全管理工作应首先研究确定信息网络安全策略，安全策略确定网络安全保护工作的目标和对象。信息网络安全策略涵盖面很多，如总体安全策略、网络安全策略、应用系统安全策略、部门安全策略、设备安全策略等。一个信息网络的总体安全策略，可以概括为“实体可信，行为可控，资源可管，事件可查，运行可靠”，总体安全策略为其它安全策略的制定提供总的依据。
1. 实体可信：实体指构成信息网络的基本要素，主要有网络基础设备，如防火墙、VPN等；软件系统，如Windows7/8系统、UniNAC网络准入系统等；及用户和数据。保证构建网络的基础设备和软件系统安全可信，没有预留后门或逻辑炸弹。保证接入网络的用户是可信的，防止恶意用户对系统的攻击破坏。保证在网络上传输、处理、存储的数据是可信的，防止搭线窃听，非授权访问或恶意篡改。
2. 行为可控：保证用户行为可控，即保证本地计算机的各种软硬件资源 ( 例如：内存、中断、 I / O 端口、硬盘等硬件设备，文件、目录、进程、系统调用等软件资源 ) 不被非授权使用或被用于危害本系统或其它系统的安全。保证网络接入可控，即保证用户接入网络应严格受控，用户上网必须得到申请登记并许可。保证网络行为可控，即保证网络上的通信行为受到监视和控制，防止滥用资源、非法外联、网络攻击、非法访问和传播有害信息等恶意事件的发生。
3. 资源可管：保证对路由器、交换机、服务器、邮件系统、目录系统、数据库、域名系统、安全设备、密码设备、密钥参数、交换机端口、 IP 地址、用户账号、服务端口等网络资源进行统一管理。
4. 事件可查：保证对网络上的各类违规事件进行监控记录，确保日志记录的完整性，为安全事件稽查、取证提供依据。
5. 运行可靠：保证网络节点在发生自然灾难或遭到硬摧毁时仍能不间断运行，具有容灾抗毁和备份恢复能力。保证能够有效防范病毒和黑客的攻击所引起的网络拥塞、系统崩溃和数据丢失，并具有较强的应急响应和灾难恢复能力。

② 网络安全策略

安全策略是指在某个安全区域内（通常是指属于某个组织的一系列处理和通信资源），用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的，并由安全控制机构来描述、实施或实现的。安全策略通常建立在授权的基础之上，未经适当授权的实体，信息资源不可以给予、不允许访问、不得使用。安全策略基于身份、规则、角色进行分类。

机房组建应按计算机运行特点及设备具体要求确定。机房一般宜由主机房区、基本工作区、辅助机房区等功能区域组成。

主机房区包括服务器机房区、网络通信区、前置机房区和介质库等。

基本工作区包括缓冲区、监控区和软件测试区等。

辅助机房区包括配电区、配线区、UPS 区、消防气瓶间和精密空调区等。

设备标识和鉴别：应对机房中设备的具体位置进行标识，以方便查找和明确责任。机房内关键设备部件应在其上设置标签，以防止随意更换或取走。

设备可靠性：应将主要设备放置在机房内，将设备或主要部件进行固定，并设置明显的不易除去的标记。应对关键的设备关键部件冗余配置，例如电源、主控板、网络接口等。

防静电：机房内设备上线前必须进行正常的接地、放电等操作，对来自静电放电的电磁干扰应有一定的抗扰度能力。机房的活动地板应有稳定的抗静电性能和承载能力，同时耐油、耐腐蚀、柔光、不起尘等。

电磁骚扰：机房内应对设备和部件产生的电磁辐射骚扰、电磁传导骚扰进行防护。

电磁抗扰：机房内设备对来自电磁辐射的电磁干扰和电源端口的感应传导的电磁干扰应有一定的抗扰度。

浪涌抗扰：机房内设备应对来自电源端口的浪涌（冲击）的电磁干扰应有一定的抗扰度。

电源适应能力：机房供电线路上设置稳压器和过电压防护设备。对于直流供电的系统设备，应能在直流电压标称值变化10%的条件下正常工作。

泄漏电流：机房内设备工作时对保护接地端的泄漏电流值不应超过5mA。

电源线：机房内设备应设置交流电源地线，应使用三芯电源线，其中地线应于设备的保护接地端连接牢固。

线缆：机房通信线缆应铺设在隐蔽处，可铺设在地下或管道中。

绝缘电阻：机房内设备的电源插头或电源引入端与设备外壳裸露金属部件之间的绝缘电阻应不小于5MΩ。

场地选择：机房场地选择应避开火灾危险程度高的区域，还应避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方。机房场地应避开强振动源、强噪声源和强电场干扰的地方。机房不应该选择在楼层的最高层或者最低层地方。

防火：机房应设置火灾自动报警系统，包括火灾自动探测器、区域报警器、集中报警器和控制器等，能对火灾发生的部位以声、光或电的形式发出报警信号，并启动自动灭火设备，切断电源、关闭空调设备等。机房采取区域隔离防火措施，布局要将脆弱区和危险区进行隔离，防止外部火灾进入机房，特别是重要设备地区，安装防火门、使用阻燃材料装修。机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。

电磁辐射防护：电源线和通信线缆应隔离铺设，避免互相干扰。应对关键设备和磁介质实施电磁屏蔽。通信线采取屏蔽措施，防止外部电磁场对机房内计算机及设备的干扰，同时也抑制电磁信息的泄漏。应采用屏蔽效能良好屏蔽电缆作为机房的引入线。机房的信号电缆线（输入／输出）端口和电源线的进、出端口应适当加装滤波器。电缆连接处应采取屏蔽措施，抑制电磁噪声干扰与电磁信息泄漏。

供电系统：应设置冗余或并行的电力电缆线路为计算机系统供电。应建立备用供电系统。机房供电电源设备的容量应具有一定的余量。机房供电系统应将信息系统设备供电线路与其它供电线路分开，应配备应急照明装置。机房应配置电源保护装置，加装浪涌保护器。机房电源系统的所有接点均应镀锡处理，并且冷压连接。

静电防护：主机房内绝缘体的静电电位不应大于1kV。主机房内的导体应与大地作可靠的连接，不应有对地绝缘的孤立导体。

防雷电：机房系统中所有的设备和部件应安装在有防雷保护的范围内。不得在建筑物屋顶上敷设电源或信号线路。必须敷设时，应穿金属管进行屏蔽防护，金属管应进行等电位连接。机房系统电源及系统输入/输出信号线，应分不同层次，采用多级雷电防护措施。

机房接地：对直流工作接地有特殊要求需单独设置接地装置的系统，接地电阻值及其它接地体之间的距离，应按照机房系统及有关规范的要求确定。

温湿度控制：机房应有较完备的空调系统，保证机房温度的变化在计算机设备运行所允许的范围。当机房采用专用空调设备并与其它系统共享时，应保证空调效果和采取防火措施。机房空气调节控制装置应满足计算机系统对温度、湿度以及防尘的要求。空调系统应支持网络监控管理，通过统一监控，反映系统工作状况。

机房防水：机房水管安装不得穿过屋顶和活动地板，穿过墙壁和楼板的水管应使用套管，并采取可靠的密封措施。机房应有有效的防止给水、排水、雨水通过屋顶和墙壁漫溢和渗漏的措施，应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。机房应安装漏水检测系统，并有报警装置。

入网访问控制是网络访问的第1层安全机制。它控制哪些用户能够登录到服务器并获准使用网络资源，控制准许用户入网的时间和位置。用户的入网访问控制通常分为三步执行：用户名的识别与验证；用户口令的识别与验证；用户账户的默认权限检查。三道控制关卡中只要任何一关未过，该用户便不能进入网络。

对网络用户的用户名和口令进行验证是防止非法访问的第一道关卡。用户登录时首先输入用户名和口令，服务器将验证所输入的用户名是否合法。用户的口令是用户入网的关键所在。口令最好是数字、字母和其他字符的组合，长度应不少于6个字符，必须经过加密。口令加密的方法很多，最常见的方法有基于单向函数的口令加密、基于测试模式的口令加密、基于公钥加密方案的口令加密、基于平方剩余的口令加密、基于多项式共享的口令加密、基于数字签名方案的口令加密等。经过各种方法加密的口令，即使是网络管理员也不能够得到。系统还可采用一次性用户口令，或使用如智能卡等便携式验证设施来验证用户的身份。

网络管理员应该可对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户名或用户账户是所有计算机系统中最基本的安全角式。用户账户应只有网络管理员才能建立。用户口令是用户访问网络所必须提交的准入证。用户应该可以修改自己的口令，网络管理员对口令的控制功能包括限制口令的最小长度、强制用户修改口令的时间间隔、口令的惟一性、口令过期失效后允许入网的宽限次数。针对用户登录时多次输入口令不正确的情况，系统应按照非法用户入侵对待并给出报警信息，同时应该能够对允许用户输入口令的次数给予限制。

用户名和口令通过验证之后，系统需要进一步对用户账户的默认权限进行检查。网络应能控制用户登录入网的位置、限制用户登录入网的时间、限制用户入网的主机数量。当交费网络的用户登录时，如果系统发现“资费”用尽，还应能对用户的操作进行限制。

操作权限控制是针对可能出现的网络非法操作而采取安全保护措施。用户和用户组被赋予一定的操作权限。网络管理员能够通过设置，指定用户和用户组可以访问网络中的哪些服务器和计算机，可以在服务器或计算机上操控哪些程序，访问哪些目录、子目录、文件和其他资源。网络管理员还应该可以根据访问权限将用户分为特殊用户、普通用户和审计用户，可以设定用户对可以访问的文件、目录、设备能够执行何种操作。特殊用户是指包括网络管理员的对网络、系统和应用软件服务有特权操作许可的用户；普通用户是指那些由网络管理员根据实际需要为其分配操作权限的用户；审计用户负责网络的安全控制与资源使用情况的审计。系统通常将操作权限控制策略，通过访问控制表来描述用户对网络资源的操作权限。

访问控制策略应该允许网络管理员控制用户对目录、文件、设备的操作。目录安全允许用户在目录一级的操作对目录中的所有文件和子目录都有效。用户还可进一步自行设置对目录下的子控制目录和文件的权限。对目录和文件的常规操作有：读取(Read)、写入(Write)、创建(Create)、删除(Delete)、修改(Modify)等。网络管理员应当为用户设置适当的操作权限，操作权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对网络资源的访问。

访问控制策略还应该允许网络管理员在系统一级对文件、目录等指定访问属性。属性安全控制策略允许将设定的访问属性与网络服务器的文件、目录和网络设备联系起来。属性安全策略在操作权限安全策略的基础上，提供更进一步的网络安全保障。网络上的资源都应预先标出一组安全属性，用户对网络资源的操作权限对应一张访问控制表，属性安全控制级别高于用户操作权限设置级别。属性设置经常控制的权限包括：向文件或目录写入、文件复制、目录或文件删除、查看目录或文件、执行文件、隐含文件、共享文件或目录等。允许网络管理员在系统一级控制文件或目录等的访问属性，可以保护网络系统中重要的目录和文件，维持系统对普通用户的控制权，防止用户对目录和文件的误删除等操作。

网络系统允许在服务器控制台上执行一系列操作。用户通过控制台可以加载和卸载系统模块，可以安装和删除软件。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改系统、删除重要信息或破坏数据。系统应该提供服务器登录限制、非法访问者检测等功能。

网络管理员应能够对网络实施监控。网络服务器应对用户访问网络资源的情况进行记录。对于非法的网络访问，服务器应以图形、文字或声音等形式报警，引起网络管理员的注意。对于不法分子试图进入网络的活动，网络服务器应能够自动记录这种活动的次数，当次数达到设定数值，该用户账户将被自动锁定。

防火墙是一种保护计算机网络安全的技术性措施，是用来阻止网络黑客进入企业内部网的屏障。防火墙分为专门设备构成的硬件防火墙和运行在服务器或计算机上的软件防火墙。无论哪一种，防火墙通常都安置在网络边界上，通过网络通信监控系统隔离内部网络和外部网络，以阻档来自外部网络的入侵。

域间安全策略用于控制域间流量的转发（此时称为转发策略），适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny）或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访（此时称为本地策略），按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny），允许或拒绝与设备本身的互访。

缺省情况下域内数据流动不受限制，如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，然后对流量进行安全检查。例如：市场部和财务部都属于内网所在的安全区域Trust，可以正常互访。但是财务部是企业重要数据所在的部门，需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测，阻断恶意员工的非法访问。

当接口未加入安全区域的情况下，通过接口包过滤控制接口接收和发送的IP报文，可以按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量并执行相应动作（permit/deny）。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧，可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作（permit/deny）。硬件包过滤是在特定的二层硬件接口卡上实现的，用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现，所以过滤速度更快。

信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。

信息加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，信息加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。

在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较着名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。

常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。

在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导出解密密钥。比较着名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。

公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此，随着现代电子技术和密码技术的发展，公钥密码算法将是一种很有前途的网络安全加密体制。

当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用，比如：利用DES或者IDEA来加密信息，而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类，可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组，每次处理一个组。

密码技术是网络安全最有效的技术之一。一个加密网络，不但可以防止非授权用户的搭线窃听和入网，而且也是对付恶意软件的有效方法之一。

应制定相应的机房管理制度，规范机房与各种设备的使用和管理，保障机房安全及设备的正常运行，至少包括日常管理、出入管理、设备管理、巡检（环境、设备状态、指示灯等进行检查并记录）等。重要区域应配置电子门禁系统，控制、鉴别和记录进入的人员。对机房内的各种介质应进行分类标识，重要介质存储在介质库或档案室中。

加强网络的安全管理，制定有关规章制度，对于确保系统的安全、可靠地运行，将起到十分有效的作用。网络的安全管理策略包括：确定安全管理等级和安全管理范围；制订有关网络操作使用规程和访问主机的管理制度；制订网络系统的维护制度和应急措施等。

③ 如何实现网络安全措施

网安措施
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面，各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
（一）保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下：
（1）全面规划网络平台的安全策略。
（2）制定网络安全的管理措施。
（3）使用防火墙。
（4）尽可能记录网络上的一切活动。
（5）注意对网络设备的物理保护。
（6）检验网络平台系统的脆弱性。
（7）建立可靠的识别和鉴别机制。
（二）保护应用安全。
保护应用安全，主要是针对特定应用（如Web服务器、网络支付专用软件系统）所建立的安全防护措施，它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠，如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密，都通过IP层加密，但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂，因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位，但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
（三）保护系统安全。
保护系统安全，是指从整体电子商务系统或网络支付系统的角度进行安全防护，它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施：
（1）在安装的软件中，如浏览器软件、电子钱包软件、支付网关软件等，检查和确认未知的安全漏洞。
（2）技术与管理相结合，使系统具有最小穿透风险性。如通过诸多认证才允许连通，对所有接入数据必须进行审计，对系统用户进行严格安全管理。
（3）建立详细的安全审计日志，以便检测并跟踪入侵攻击等。
商交措施
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题，在计算机网络安全的基础上，如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的，主要包括加密技术、认证技术和电子商务安全协议等。
（一）加密技术。
加密技术是电子商务采取的基本安全措施，交易双方可根据需要在信息交换的阶段使用。加密技术分为两类，即对称加密和非对称加密。
（1）对称加密。
对称加密又称私钥加密，即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露，那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
（2）非对称加密。
非对称加密又称公钥加密，使用一对密钥来分别完成加密和解密操作，其中一个公开发布（即公钥），另一个由用户自己秘密保存（即私钥）。信息交换的过程是：甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开，得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方，甲方再用自己保存的私钥对加密信息进行解密。
（二）认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术，即确认双方的身份信息在传送或存储过程中未被篡改过。
（1）数字签名。
数字签名也称电子签名，如同出示手写签名一样，能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来，发送方从报文文本中生成一个散列值，并用自己的私钥对这个散列值进行加密，形成发送方的数字签名；然后，将这个数字签名作为报文的附件和报文一起发送给报文的接收方；报文的接收方首先从接收到的原始报文中计算出散列值，接着再用发送方的公开密钥来对报文附加的数字签名进行解密；如果这两个散列值相同，那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法，以解决伪造、抵赖、冒充、篡改等问题。
（2）数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥，加上密钥所有者的用户身份标识符，以及被信任的第三方签名第三方一般是用户信任的证书权威机构（CA），如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书，然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书，并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据，提供了一种验证各自身份的方式，用户可以用它来识别对方的身份。
（三）电子商务的安全协议。
除上文提到的各种安全技术之外，电子商务的运行还有一套完整的安全协议。比较成熟的协议有SET、SSL等。
（1）安全套接层协议SSL。
SSL协议位于传输层和应用层之间，由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC，然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。
（2）安全电子交易协议SET。
SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系，给定交易信息传送流程标准。SET主要由三个文件组成，分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。
SET协议是专为电子商务系统设计的。它位于应用层，其认证体系十分完善，能实现多方认证。在SET的实现中，消费者帐户信息对商家来说是保密的。但是SET协议十分复杂，交易数据需进行多次验证，用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外，还有发卡行、收单行、认证中心、支付网关等其它参与者。
加密方式
链路加密方式
安全技术手段
物理措施：例如，保护网络关键设备(如交换机、大型计算机等)，制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电源（UPS）等措施。
访问控制：对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访问目录和文件的权限，控制网络设备配置的权限等等。
数据加密：加密是保护数据安全的重要手段。加密的作用是保障信息被人截获后不能读懂其含义。防止计算机网络病毒，安装网络防病毒系统。
网络隔离：网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。
隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。
其他措施：其他措施包括信息过滤、容错、数据镜像、数据备份和审计等。围绕网络安全问题提出了许多解决办法，例如数据加密技术和防火墙技术等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。
安全防范意识
拥有网络安全意识是保证网络安全的重要前提。许多网络安全事件的发生都和缺乏安全防范意识有关。
主机安全检查
要保证网络安全，进行网络安全建设，第一步首先要全面了解系统，评估系统安全性，认识到自己的风险所在，从而迅速、准确得解决内网安全问题。由安天实验室自主研发的国内首款创新型自动主机安全检查工具，彻底颠覆传统系统保密检查和系统风险评测工具操作的繁冗性，一键操作即可对内网计算机进行全面的安全保密检查及精准的安全等级判定，并对评测系统进行强有力的分析处置和修复。
主机物理安全
服务器运行的物理安全环境是很重要的，很多人忽略了这点。物理环境主要是指服务器托管机房的设施状况，包括通风系统、电源系统、防雷防火系统以及机房的温度、湿度条件等。这些因素会影响到服务器的寿命和所有数据的安全。我不想在这里讨论这些因素，因为在选择IDC时你自己会作出决策。
在这里着重强调的是，有些机房提供专门的机柜存放服务器，而有些机房只提供机架。所谓机柜，就是类似于家里的橱柜那样的铁柜子，前后有门，里面有放服务器的拖架和电源、风扇等，服务器放进去后即把门锁上，只有机房的管理人员才有钥匙打开。而机架就是一个个铁架子，开放式的，服务器上架时只要把它插到拖架里去即可。这两种环境对服务器的物理安全来说有着很大差别，显而易见，放在机柜里的服务器要安全得多。
如果你的服务器放在开放式机架上，那就意味着，任何人都可以接触到这些服务器。别人如果能轻松接触到你的硬件，还有什么安全性可言?
如果你的服务器只能放在开放式机架的机房，那么你可以这样做：
（1)将电源用胶带绑定在插槽上，这样避免别人无意中碰动你的电源；
（2)安装完系统后，重启服务器，在重启的过程中把键盘和鼠标拔掉，这样在系统启动后，普通的键盘和鼠标接上去以后不会起作用(USB鼠标键盘除外)
（3)跟机房值班人员搞好关系，不要得罪机房里其他公司的维护人员。这样做后，你的服务器至少会安全一些。

④ 网络安全审计产品是什么网站公安局备案要的！

网络安全审计系统针对互联网行为提供有效的行为审计、内容审计、行为报警、行为控制及相关审计功能。从管理层面提供互联网的有效监督，预防、制止数据泄密；

满足用户对互联网行为审计备案及安全保护措施的要求，提供完整的上网记录，便于信息追踪、设备定位、系统安全管理和风险防范。

目前，市场上有成熟的网络安全审计产品方案解决供应商，产品用于监控用户信息，为顾客提供安全网络防护和帮助公安部门更好、更快捷的进行安全监管。

要求：

• 记录并留存用户登陆和退出时间、主叫号码、账号、互联网地址和域名、系统维护日志；

• 记录留存用户注册信息并向公安部门公共信息网络安全报警处置中心上传数据；

• 在公共信息服务中发现、停止传输违法信息，并保留相关记录；

• 具有至少60天记录备份功能等。

要做备案的话，安装能够实现上述要求的安全产品即可。

⑤ 网络安全审计的实施

为了确保审计实施的可用性和正确性，需要在保护和审查审计数据的同时，做好计划分步实施。审计应该根据具体安全事件情况的需要进行定期审查或自动实时审查。系统管理员应该根据计算机安全管理的要求确定需要维护审计数据的内容、类型、范围和时间等，其中包括系统内保存的和归档保存的数据。具体实施主要包括：保护审查审计数据及审计步骤。 1）保护审计数据
应当严格限制在线访问审计日志。除了系统管理员用于检查访问之外，其他任何人员都无权访问审计日志，更应严禁非法修改审计日志以确保审计跟踪数据的完整性。
审计数据保护的常用方法是使用数据签名和只读设备存储数据。采用强访问控制是保护审计跟踪记录免受非法访问的有效举措。黑客为掩人耳目清楚痕迹，常设法修改审计跟踪记录，因此，必须设法严格保护审计跟踪文件。
审计跟踪信息的保密性也应进行严格保护，利用强访问控制和加密技术十分有效，审计跟踪所记录的用户信息非常重要，通常包含用户及交易记录等机密信息。
2）审查审计数据
审计跟踪的审查与分析可分为事后检查、定期检查和实时检查3种。审查人员应清楚如何发现异常活动。通过用户识别码、终端识别码、应用程序名、日期时间等参数来检索审计跟踪记录并生成所需的审计报告，是简化审计数据跟踪检查的有效方法。 审计是一个连续不断改进提高的过程。审计的重点是评估企业现行的安全政策、策略、机制和系统监控情况。审计实施的主要步骤：
（1）确定安全审计。申请审计工作主要包括：审计原因、内容、范围、重点、必要的升级与纠正、支持数据和审计所需人才物等，并上报审批。
（2）做好审计计划。一个详细完备的审计计划是实施有效审计的关键。包括审计内容的详细描述、关键时间、参与人员和独立机构等。
（3）查阅审计历史。审计中应查阅以前的审计记录，有助于通过对比查找安全漏洞隐患和规程，更好地采取安全防范措施。同时保管好审计相关资源和规章制度等。
（4）实施安全风险评估。审计小组制定好审计计划，着手开始审计核心即风险评估。
（5）划定审计范畴。审计范围划定对审计的开展很关键，范围之间要有一些联系，如数据中心局域网，或是商业相关的一些财务报表等。审计范畴的划定有利于集中注意力在资产、规程和政策方面的审计。
（6）确定审计重点和步骤。各类机构都应将主要精力放在审计的重点上。并确定具体的审计步骤和区域，避免审计的延缓或不完全，以免得出令人难以信服的结果。
（7）提出改进意见。安全审计最后应提出相应的提高安全防范的建议，便于实施。

⑥ windows8本地安全策略设置大全

本教程为大家介绍在windows8中本地安全策略的一些设置问题，下面一起来看看吧。
怎么打开“Windows本地安全策略”啊?
答：“搜索”键入“secpol.msc”后回车。
如何防止黑客或恶意程序暴力破解我的系统密码?
答：众所周知，暴力破解Windows密码实质上是通过穷举算法来实现，尤其是密码过于简单的系统，暴力破解的方法还是比较实用的。有一点需要我们注意，这个问题的关键在于Windows是否允许远程客户端或恶意程序来进行用户名和密码的穷举，如果不允许，恶意程序企图通过枚举获得管理员权限这条路就是个死胡同。那么，如何不允许?
确保被选行处于“已启用”后，这条路就基本上被堵死了，不放心的话，你还可以将它下面那行“不允许SAM账户和共享的匿名枚举”也设置为“已启用”状态。
此外，将“本地策略”——“安全选项”中：“网络访问：可匿名访问的共享”、“网络访问：可远程访问的注册表路径”、“网络访问：可远程访问的注册表路径和子路径”、“网络访问：可匿名访问的命名管道”这四项包含的值全部删除，亦可进一步提升系统的安全性。
Windows自带的防火墙好用吗?
答：有相当一部分朋友在选择琳琅满目的第三方防火墙产品时，忽略了Windows自带的防火墙，甚至从未点开过。“Windows防火墙”隶属于本地安全策略的子功能，我个人认为，只要熟练配置该功能，对于个人应用甚至企业需求，其易用性和安全性均属上乘之作。
进入方法有两种：
1、如下图地址栏所示进入程序界面：
然后点击左侧“高级设置”出现如下所示：
使用该方法进入后可浏览已有规则并可创建新规则。
2、直接在“本地安全策略”中进入程序界面：
右侧空白一片，并未列出已有规则，但可以创建新规则。
举个例子，禁止Adobe Photoshop CS访问网络，右击空白处或在右侧栏点击“新建规则”，在“新建出站规则向导”中选择第一项“程序”(控制程序连接的规则)，下一步选择好photoshop所在路径，如下图所示：
下一步选择“阻止连接”，之后会询问您“何时应用该规则”，大家可按照实际需求勾选，默认选中“域、专用、公用”三项。如下图所示：
之后再为它起个名字(任意)，规则创建好了，从此Photoshop.exe使尽浑身解数也无法再访问网络。此外，可以在“连接安全规则”中创建更高级的规则，如下图所示：
这个界面不看不知道，功能如此强大，基本上您想到和想不到的需求，这里全都实现了，例如封锁任意您看着不爽的IP或IP段，封闭ping，或指定任意端口、程序名称或服务名称的操作权限等等，易用程度和可靠性不次于任何第三方防火墙。
我能通过安全策略禁止某个程序的运行吗?
答：答案是肯定的，轮斗不仅能，还能防止某程序被改名、改路径、改后缀、改壳后再运行，这个功能叫做“AppLocker”，要比您在组策略中禁止某程序运行更严格、更强大。程序界面如下图所示：
右击左侧“可执行规则”——“创建新规则”，在出现的向导界面中不仅可限定用户组(如Guest账户)，还可枚举各种限定条件，如下图所示：
如果选择“发布者”，那么被禁用的程序、及其所有它的升降级版、改版都无法运行(该条件可进一步详细设置)，例如QQ、迅雷、酷狗等，它们的官方版及定制版统悔举统无法运行，很智能吧。该功能还可以应用到隔离病毒操作，如果系统内有无法清除的病毒或木马，无论被感染者是程序、脚本、动态链接库、还是批处理，统统无法再作恶。单从这一点来说，目前主流的杀毒软件，在病毒隔离功能方面普遍没它详细。剩下两项通过字面意思完全容易理解，尤其是第三项“文件哈希”，相当实用。
这个功能还可以和“软件限制策略”配合使用，
(如未出现右侧所示内容，左侧栏右击创建软件限制策略即可)
此外，通过“全局对象访问审核”还可限制各组别对于整个或局部注册表甚至文件系统的访问权限，如下图所示：
当您踏破铁鞋在网上寻找这方面功能的第三方软件时，是否应先翻翻Windows自带的家当呢?呵呵。如果您对PowerShell有所了解的话，还可进一步简化AppLocker规则的创建和管理，限于篇幅不详细举例了。
最后再补充两个关于“本地安全策略”故障的常见问题：
1、我怎么访问不了本地安全策略啊?
答：这个问题一般会显示为“创建管理单元腊前磨失败”或CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}，出现的原因多见于某些软件在安装或卸载时替换、删除该部分数据，解决办法是先确保你的环境变量path是否包含：“%systemroot%system32;%systemroot%;%systemroot%system32wbem”，没有的话自己添进去。
然后在注册表中定位到HKEY_CURRENT_USER——Software——Policies——Microsoft——MMC，为RestrictToPermittedSnapins赋值为0，
2、我的IP安全策略怎么设置不了啊?
答：确保IPsec Policy Agent服务处于启用状态就行了。

⑦ 在等保1.0的要求中,网络设备

在茄改等保1.0的要求中，网络设备安全计算环境。

网络安全设备包括IP协议密码机、安全路由器、线路密码机、防火墙等，广义的信息安全设备除了包括上述设备外，还包括密码芯片、加密卡、身份识别卡、电话密码机、传真密码机、异步数据密码机、安全服务器、公开密钥基础设施（PKI)系统、授权证书（CA)系统、安全操作猛模系统、防病毒软件、网络/系统扫描系统、入侵检测系统、网络安全预警与审计系统等。

如果有邮件服务器，则应该根据邮件服务器的软件配置安装相应的防病毒软件。服务器防病毒一般根据其操作平台（如NT、UNIX、LINUX、NetWare等）进行定制安装，并进行安全配置；服务器应用范围不同也需要不同配置策略，如WEB SITE、DNS、NOTES服务器、数据库中间层处理服务器和其他商业应用服务器等。网络中的每台主机也应该安装防病毒软件。

⑧ 计算机网络安全防范策略有哪些

1、防火墙

安装必要的防火墙，阻止各种扫描工具的试探和信息收集，甚至可以根据一些安全报告来阻止来自某些特定猛核IP地址范围的机器连接，给服务器增加一个防护层，同时需要对防火墙内的网络环境进行调整，消除内部网络的安全隐患。

2、漏洞扫描

使用商用或免费的漏洞扫描和风险评估工具定期对服务器进行扫描，来发现潜在的安全问题，并确保由于升级或修改配置等正常的维护工作不会带来安全问题。

3、安全配置

关闭不必要的服务，最好是只提供所需服务，安装操作系统的最新补丁，将服务升级到最新版本并安装所有补丁，对根据服务提供者的安全建议进行配置等，这些措施将极大提供服务器本身的安全。

4、优化代码

优化网站代码，避免sql注入等攻击手段。检查网站漏洞，查找代码中可能出现的危险，经常对代码进行测试维护。

5、入侵检测系统

利用入侵检测系统的实时监控能力，发现正在进行的攻击行为及攻击前的试探行为，记录黑客的来源及攻击步骤和方法。

计算机网络安全性问题关系枝迟掘到未来网络应用的深入发展，它涉及安全策略、移动代码、指令保护、密码学、操作系统、软件工程和网络安全管理等内容。一般专用的内部网与公用的互联网的隔离主要使用“防火墙”技术。

与“防火墙”配合使用的安全技术还有数据加密技旦碰术。数据加密技术是为提高信息系统及数据的安全性和保密性，防止秘密数据被外部破坏所采用的主要技术手段之一。随着信息技术的发展，网络安全与信息保密日益引起人们的关注。

各国除了从法律上、管理上加强数据的安全保护外，从技术上分别在软件和硬件两方面采取措施，推动着数据加密技术和物理防范技术的不断发展。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术4种。