加強網(wǎng)絡安全的防范措施

　　對多數(shù)企業(yè)來說，互聯(lián)網(wǎng)不僅帶來了豐富的網(wǎng)上資源，也把信息化帶進了企業(yè)，使得企業(yè)傳統(tǒng)運作方式迎來了深刻的變革?；ヂ?lián)網(wǎng)極大地陳低了組織的運營和溝通成本，利用互聯(lián)網(wǎng)，大多數(shù)員工可以更高效率的完成工作。下面是學習啦小編為大家整理的加強網(wǎng)絡安全的防范措施，希望大家能夠從中有所收獲!

　　加強網(wǎng)絡安全的防范措施：

　　作為一把“雙刃劍”，互聯(lián)網(wǎng)也給組織和企業(yè)帶來前所未有的威脅。全天候24小時在網(wǎng)絡上流動的內(nèi)容當中，存在著太多的風險：垃圾郵件、惡意網(wǎng)站、網(wǎng)上欺詐、網(wǎng)絡病毒等無時無刻不在困擾著互聯(lián)網(wǎng)用戶，而另外一方面，網(wǎng)絡濫用行為，包括惡意的P2P下載、網(wǎng)絡游戲、IM等娛樂應用擠占了組織有限的業(yè)務帶寬，同樣導致網(wǎng)絡應用效率低下。

　　那么，如何繞開這些互聯(lián)網(wǎng)弊端，充分享受互聯(lián)網(wǎng)給組織帶來的方便與高效，從而全方位打造安全高效的上網(wǎng)環(huán)境呢?

　　一、提升邊界防御

　　防火墻、IDS、IPS，是解決網(wǎng)絡安全問題的基礎設備，他們所具備的過濾、安全功能能夠抵抗大多數(shù)來自外網(wǎng)的攻擊。配備這些傳統(tǒng)的網(wǎng)絡防護設備，實現(xiàn)面向網(wǎng)絡層的訪問控制，是企業(yè)安全上網(wǎng)的前提。然而，在應用內(nèi)容及其格式以爆炸速度增長的今天，許多互聯(lián)網(wǎng)危害隱患存在于應用層中，僅僅依照第三層信息決定其是否準入，根本無法滿足安全的要求，我們還需要細粒度的應用層策略控制。

　　IDC的調(diào)查報告顯示，至2006年，有超過90%的病毒將互聯(lián)網(wǎng)作為其傳播入口，通過電子郵件和網(wǎng)絡進行病毒傳播的比例正逐步攀升，在網(wǎng)絡入口處把住病毒入侵的關口成了當務之急，因此，除了上述的防火墻、IDS、IPS等基礎安全設備，你還需要部署一個有效的網(wǎng)關級殺毒引擎。

　　二、上網(wǎng)終端管理

　　網(wǎng)絡邊緣的外圍設備再先進也無法保護內(nèi)部網(wǎng)絡，來自局域網(wǎng)內(nèi)部的濫用、破壞也是威脅上網(wǎng)安全的重要因素。比如，客戶端的安全級別往往難以保證，這對于內(nèi)網(wǎng)用戶數(shù)量眾多的組織更為如此——缺乏安全措施的單機，比如使用陳舊的操作系統(tǒng)、長時間不更新個人防火墻和殺毒軟件、應用具有潛在安全漏洞的軟件，都將成為局域網(wǎng)安全中一顆顆隱藏的定時炸彈。

　　為上網(wǎng)終端配置網(wǎng)絡準入規(guī)則，通過對單點的安全評估和訪問策略列表是實現(xiàn)客戶端全方位安全防護的最佳手段。對終端的安全策略列表應該包括操作系統(tǒng)、運行程序、系統(tǒng)進程、注冊表等。

　　三、有害內(nèi)容過濾

　　互聯(lián)網(wǎng)是一個不可控的黑洞，無數(shù)不懷好意的網(wǎng)站使你上網(wǎng)沖浪時如履薄冰：隱藏蠕蟲病毒、木馬插件的非法網(wǎng)站，各類層出不窮的釣魚網(wǎng)站……都會讓組織在分享互聯(lián)網(wǎng)便利的同時帶來巨大的隱患。

　　針對這些有害內(nèi)容，URL庫過濾技術近年來得到廣泛采納，采用該技術將包含潛在威脅的網(wǎng)站攔截在外是保障上網(wǎng)安全的有效方式之一，當然，還應該考慮到一些釣魚網(wǎng)站采用的是SSL加密頁面，所以還需要結(jié)合證書驗證、鏈接黑白名單等措施。對文件下載傳輸行為進行規(guī)范也是必要的，將關鍵字、文件類型、網(wǎng)絡服務與IP地址組進行關聯(lián)，規(guī)范下載策略，可以控制大部分由主動下載造成的損害。

　　四、垃圾郵件過濾

　　還有一些不那么“有害”的信息——垃圾郵件，雖然未必會造成安全隱患，但卻能導致帶寬利用率，更重要的是工作效率的低下。

　　為了最大程度的減少這些影響帶寬利用率及工作效率的無用信息，必須找到一種區(qū)分垃圾郵件、正常郵件、可疑郵件的有效手段，比如垃圾郵件指紋識別技術，減少誤判的隨機特征碼智能應答技術等。

　　五、優(yōu)化帶寬資源

　　不管采取什么方式上網(wǎng)，帶寬終究是有限的，在無法改變帶寬的前提下，如何優(yōu)化帶寬資源，使其效率最高，是必須解決的問題。但現(xiàn)實的問題是，網(wǎng)管員對自己單位內(nèi)部的帶寬有效利用情況無從獲知，就更談不上改善了。

　　要做到優(yōu)化帶寬資源，首先要考察內(nèi)網(wǎng)網(wǎng)絡使用情況，并形成可供決策的報表，有些廠商提供的數(shù)據(jù)中心就已經(jīng)可以提供豐富的報表分析功能。另外，針對網(wǎng)內(nèi)一些重要的網(wǎng)絡服務，也有必要啟用QOS技術，從而保證重要的服務先行，避免垃圾流量擠占重要服務的帶寬。

　　六、全面應用管理

　　全球每天有120億條消息通過即時通訊工具(Instant Messaging，IM)被發(fā)送，這些IM應用也許是員工在和同事、客戶討論工作，但更多的聊天對象卻是家人、朋友甚至是陌生人。此外，網(wǎng)絡上還有其它大量的和工作無關網(wǎng)絡應用存在，包括網(wǎng)絡游戲、在線炒股、P2P下載等，這些工作時間內(nèi)的“豐富應用”造成了組織生產(chǎn)效率的巨大浪費。有些組織靠封端口、封服務器地址等方法在一定程度上有效，但由于服務器地址和端口會經(jīng)常變換，這導致封服務器地址和端口成為一項持續(xù)的高成本工作，只能是治標不治本。

　　在全面應用管理上更有效的封堵方法主要有兩種，一種是基于應用協(xié)議和數(shù)據(jù)包的智能分析，另一種是針對流量進行檢測。前者是通過分析IP數(shù)據(jù)包首部的服務類型、協(xié)議、源地址、目的地址以及數(shù)據(jù)包的數(shù)據(jù)部分，能夠更好的發(fā)現(xiàn)特定服務。后者則可以針對特定用戶的網(wǎng)絡連接情況進行分析，當網(wǎng)絡流量和網(wǎng)絡連接超出規(guī)定的閥值時，用戶的行為將被限制流量。

　　互聯(lián)網(wǎng)對企業(yè)還有一個重要的危害是信息的過度流動。由于它是一個開放系統(tǒng)，只要使用者輕點鼠標，企業(yè)與組織的機密信息就能瞬間以光的速度到達競爭對手那里。而一些攻擊性、侮辱性的網(wǎng)絡漫罵/謠言，則可能會導致組織不必要的內(nèi)部糾紛。另外，內(nèi)部員工通過組織網(wǎng)絡隨意發(fā)表的言論，也可能給組織帶來法律上的風險。

　　要防范這些風險，應該從IM、HTTP、FTP、EMAIL等各個可能的出口，對外發(fā)信息進行審計和監(jiān)控。所采取的措施應該包括記錄與保存，對關鍵字的審計，甚至對一些關鍵的信息進行延遲審計。

　　七、應用權限設置

　　對網(wǎng)絡用戶進行權限設置是一種很好的分級管理的措施。就流量優(yōu)化而言，傳統(tǒng)的帶寬管理只能對特定服務分配相應的百分比帶寬，屬于“一刀切”行為。更具效力的網(wǎng)絡流量優(yōu)化方式是基于用戶的流量控制技術，再結(jié)合各種不同應用的角色分配，可以有更好效果。具體說來，在廣域網(wǎng)的訪問中，有些部門的特殊應用是應該而且必須獲得獨占性資源的，例如總部的管理層同各分公司主管召開的視頻會議，而有些部門的非工作相關服務則不應獲得那么高的帶寬，例如采購部門的P2P下載。通過分組流量控制,你可以對不同用戶組使用的服務進行精細的帶寬分配，保障重要部門的重要服務得到足夠帶寬。

　　除了服務管理，時間計劃也是網(wǎng)絡管理中的重要手段，這包括微觀時間管理和宏觀時間管理，前者包括將一周中每一天的時間進行劃分，在特定時間允許特定部門進行特定活動，后者包括為各個部門的員工設置一周內(nèi)每天的總上網(wǎng)時間，這是保證網(wǎng)絡利用效率最大化的好手段。

　　長期以來，組織管理者為了營造一個安全高效的網(wǎng)絡應用環(huán)境采取的是傳統(tǒng)管理方式，如規(guī)章制度、使用守則、獎懲措施等。實際上，解鈴還需系鈴人，信息技術帶來的負面影響最終還是要靠信息技術來解決。好的上網(wǎng)環(huán)境的建設是一個周密的系統(tǒng)工程，以上8種手段給我們打造安全高效的上網(wǎng)環(huán)境提供了一個開闊的思路。