在網路上，有很多人對安全意識不到或者不知道這裡面的危險性，都覺得只要使用了一層安全系統保護就萬事大吉了，其實一層根本擋不住病毒和駭客的侵襲。那麼現在我們就來談談關於網路安全的幾點做法和管理方法吧！

第一、物理安全

除了要保證要有電腦鎖之外，我們更多的要注意防火，要將電線和網路放在比較隱蔽的地方。我們還要準備UPS，以確保網路能夠以持續的電壓執行，在電子學中，峰值電壓是一個非常重要的概念，峰值電壓高的時候可以燒壞電器，迫使網路癱瘓，峰值電壓最小的時候，網路根本不能執行。使用UPS可以排除這些意外。另外我們要做好防老鼠咬壞網線。

第二、系統安全（口令安全）

我們要儘量使用大小寫字母和數字以及特殊符號混合的密碼，但是自己要記住，我也見過很多這樣的網管，他的密碼設定的的確是複雜也安全，但是經常自己都記不來，每次都要翻看筆記本。另外我們最好不要使用空口令或者是帶有空格的，這樣很容易被一些駭客識破。

我們也可以在屏保、重要的應用程式上新增密碼，以確保雙重安全。

第三、打補丁

我們要及時的對系統補丁進行更新，大多數病毒和駭客都是透過系統漏洞進來的，例如今年五一風靡全球臭名昭著的振盪波就是利用了微軟的漏洞ms04-011進來的。還有一直殺不掉的SQLSERVER上的病毒slammer也是透過SQL的漏洞進來的。所以我們要及時對系統和應用程式打上最新的補丁，例如IE、OUTLOOK、SQL、OFFICE等應用程式。

另外我們要把那些不需要的服務關閉，例如TELNET，還有關閉Guset帳號等。

第四、安裝防病毒軟體

病毒掃描就是對機器中的所有檔案和郵件內容以及帶有.exe的可執行檔案進行掃描，掃描的結果包括清除病毒，刪除被感染檔案，或將被感染檔案和病毒放在一臺隔離資料夾裡面。所以我們要對全網的機器從網站伺服器到郵件伺服器到檔案伺服器知道客戶機都要安裝防毒軟體，並保持最新的病毒定義碼。我們知道病毒一旦進入電腦，他會瘋狂的自我複製，遍佈全網，造成的危害巨大，甚至可以使得系統崩潰，丟失所有的重要資料。所以我們要至少每週一次對全網的電腦進行集中防毒，並定期的清除隔離病毒的資料夾。

現在有很多防火牆等閘道器產品都帶有反病毒功能，例如netscreenQuattroporte謝青旗下的美國飛塔Fortigate防火牆就是，她具有防病毒的功能。

第五、應用程式

我們都知道病毒有超過一半都是透過電子郵件進來的，所以除了在郵件伺服器上安裝防病毒軟體之外，還要對PC機上的outlook防護，我們要提高警惕性，當收到那些無標題的郵件，或是你不認識的人發過來的，或是全是英語例如什麼happy99，money，然後又帶有一個附件的郵件，建議您最好直接刪除，不要去點選附件，因為百分之九十以上是病毒。我前段時間就在一個政府部門碰到這樣的情況，他們單位有三個人一直收到郵件，一個小時竟然奇蹟般的收到了2000多封郵件，致使最後郵箱爆破，起初他們懷疑是駭客進入了他們的網路，最後當問到這幾個人他們都說收到了一封郵件，一個附件，當去開啟附件的時候，便不斷的收到郵件了，直至最後郵箱撐破。最後查出還是病毒惹的禍。

除了不去檢視這些郵件之外，我們還要利用一下outlook中帶有的黑名單功能和郵件過慮的功能。

很多駭客都是透過你訪問網頁的時候進來的，你是否經常碰到這種情況，當你開啟一個網頁的時候，會不斷的跳出非常多視窗，你關都關不掉，這就是駭客已經進入了你的電腦，並試圖控制你的電腦。

第六、代理伺服器

代理伺服器最先被利用的目的是可以加速訪問我們經常看的網站，因為代理伺服器都有緩衝的功能，在這裡可以保留一些網站與IP地址的對應關係。

要想了解代理伺服器，首先要了解它的工作原理：

環境：局域網裡面有一臺機器裝有雙網絡卡，充當代理伺服器，其餘電腦透過它來訪問網路。

1、內網一臺機器要訪問新浪，於是將請求傳送給代理伺服器。

2、代理伺服器對發來的請求進行檢查，包括題頭和內容，然後去掉不必要的或違反約定的內容。

3、代理伺服器重新整合資料包，然後將請求傳送給下一級閘道器。

4、新浪網回覆請求，找到對應的IP地址。

5、代理伺服器依然檢查題頭和內容是否合法，去掉不適當的內容。

6、重新整合請求，然後將結果傳送給內網的那臺機器。

由此可以看出，代理伺服器的優點是可以隱藏內網的機器，這樣可以防止駭客的直接攻擊，另外可以節省公網IP。缺點就是每次都要經由伺服器，這樣訪問速度會變慢。另外當代理伺服器被攻擊或者是損壞的時候，其餘電腦將不能訪問網路。

第七、防火牆

提到防火牆，顧名思義，就是防火的一道牆。防火牆的最根本工作原理就是資料包過濾。實際上在資料包過濾的提出之前，都已經出現了防火牆。

資料包過濾，就是透過檢視題頭的資料包是否含有非法的資料，我們將此遮蔽。

舉個簡單的例子，假如體育中心有一場劉德華演唱會，檢票員坐鎮門口，他首先檢查你的票是否對應，是否今天的，然後撕下右邊的一條，將剩餘的給你，然後告訴你演唱會現場在哪裡，告訴你怎麼走。這個基本上就是資料包過濾的工作流程吧。

你也許經常聽到你們老闆說：要增加一臺機器它可以禁止我們不想要的網站，可以禁止一些郵件它經常給我們傳送垃圾郵件和病毒等，但是沒有一個老闆會說：要增加一臺機器它可以禁止我們不願意訪問的資料包。實際意思就是這樣。接下來我們推薦幾個常用的資料包過濾工具。

最常見的資料包過濾工具是路由器。

另外系統中帶有資料包過濾工具，例如Linux TCP/IP中帶有的ipchain等

windows 2000帶有的TCP/IP Filtering篩選器等，透過這些我們就可以過濾掉我們不想要的資料包。

防火牆也許是使用最多的資料包過濾工具了，現在的軟體防火牆和硬體防火牆都有資料包過濾的功能。接下來我們會重點介紹防火牆的。

防火牆透過一下方面來加強網路的安全：

1、策略的設定

策略的設定包括允許與禁止。允許例如允許我們的客戶機收發電子郵件，允許他們訪問一些必要的網站等。例如防火牆經常這麼設定，允許內網的機器訪問網站、收發電子郵件、從FTP下載資料等。這樣我們就要開啟80、25、110、21埠，開HTTP、SMTP、POP3、FTP等。

禁止就是禁止我們的客戶機去訪問哪些服務。例如我們禁止郵件客戶來訪問網站，於是我們就給他開啟25、110，關閉80。

2、NAT

NAT，即網路地址轉換，當我們內網的機器在沒有公網IP地址的情況下要訪問網站，這就要用到NAT。工作過程就是這樣，內網一臺機器192.168.0.10要訪問新浪，當到達防火牆時，防火牆給它轉變成一個公網IP地址出去。一般我們為每個工作站分配一個公網IP地址。

防火牆中要用到以上提到的資料包過濾和代理伺服器，兩者各有優缺點，資料包過濾僅僅檢查題頭的內容，而代理伺服器除了檢查標題之外還要檢查內容。當資料包過濾工具癱瘓的時候，資料包就都會進入內網，而當代理伺服器癱瘓的時候內網的機器將不能訪問網路。

另外，防火牆還提供了加密、身份驗證等功能。還可以提供對外部使用者VPN的功能。

第八、DMZ

DMZ本來是北韓的南北大戰的時候，提出的停火帶。但是在我們網路安全裡面，DMZ來放置例如網站伺服器、郵件伺服器、DNS伺服器、FTP伺服器等。

我們可以透過DMZ出去，這樣就為駭客進來提供了通道，所以我們有必要新增第二臺防火牆，來加強我們的網路安全。

這樣帶來的麻煩就是從網上下載，首先要來驗證安全性，下載的時候要等一會。

第九、IDS

我們使用了防火牆和防病毒之後，使用IDS來預防駭客攻擊。

IDS，就是分析攻擊事件以及攻擊的目標與攻擊源，我們利用這些可以來抵禦攻擊，以將損壞降低到最低限度。

目前IDS還沒有象防火牆那樣用的普遍，但是這個也將是未來幾年的趨勢，現在一些政府已經開始使用。

國內著名的IDS廠家例如金諾網安、中聯綠盟、啟明星辰。

第十、VPN

以前我們都是透過電話和郵件來和外地的分公司聯絡。分公司從總公司找一些檔案都是透過撥號上網，即使用點對點協議，這樣安全，但是花費很高。VPN可以解決這一點。

第十一、分析時間日誌與記錄

我們要經常的來檢視防火牆日誌、入侵檢測的日誌以及檢視防病毒軟體的更新元件是否最新等。

1.資訊系統邊界

資訊系統邊界是企業資訊系統和外界資料互動的邊界區域,是保障資料安全的第一道屏障。為了保障資訊系統邊界的資料安全,需要部署如下安全裝置和措施:一要設定高效、安全的防火牆裝置,透過訪問策略和阻斷策略對透過邊界的雙向流量進行網路側過濾,阻止不明身份駭客對資訊系統的訪問。二要部署先進的IPS主動防攻擊裝置,透過配置網路常見攻擊匹配包對雙向流量進行應用層的檢測,可以有效地降低病毒、蠕蟲和木馬等攻擊風險。三要配備主流的流量控制裝置,透過檢查異常流量,保護邊界出口頻寬的正常使用。四要部署邊界裝置審計系統和日誌分析系統,定期採集網路裝置和安全裝置的操作日誌和執行日誌,出具日誌報告。透過對日誌報告的分析,資訊保安管理人員可以對資訊系統遭受的攻擊、網路邊界的規則效用以及裝置執行狀況進行評估,從而制定下一步相應的安全規劃。

2.桌面終端域

桌面終端域由員工桌面工作終端構成,是涉密資訊保安事件的溫床。桌面終端域安全防護是安全防禦的第二道屏障,主要包括以下三方面:

一是桌面終端作業系統安全。公司大部分PC所使用的作業系統是微軟公司的Windows XP或者Windows Vista,針對駭客攻擊行為,微軟公司會定期釋出系統安全補丁包。資訊內網路應各部署一套微軟WSUS補丁伺服器,定期統一下載作業系統安全補丁。

二是系統防病毒策略。計算機病毒是電腦系統癱瘓的元兇。防病毒策略由部署在資訊內網路的防病毒伺服器來實現。在資訊內網路各部署一套防病毒伺服器,資訊內網路PC裝置安裝防病毒客戶端,定期自動從防病毒伺服器更新防病毒庫。

三是移動儲存介質安全。缺乏有效保護的移動介質是傳播病毒的有效載體,是洩露公司機密和國家機密的罪魁禍首。公司應部署安全移動儲存系統,對隨身碟進行加密處理。所有員工均使用安全隨身碟,規避移動介質風險。

3.應用系統域

應用系統域由執行企業應用系統的伺服器和儲存企業應用資料的資料庫組成。應用系統域安全防護是安全防禦的第三道屏障。應用系統域和系統邊界以及桌面終端之間需要部署防火牆裝置,不同安全防護等級的應用系統域之間也需要部署防火牆裝置。應用系統維護人員需要認真統計系統的應用情況,提供詳實的埠應用情況,制定實用的訪問和阻斷策略。