如何做好网络安全管理？

第一、物理安全\x0d\\x0d\ 除了要保证要有电脑锁之外，我们更多的要注意防火，要将电线和网络放在比较隐蔽的地方。我们还要准备UPS，以确保网络能够以持续的电压运行，在电子学中，峰值电压是一个非常重要的概念，峰值电压高的时候可以烧坏电器，迫使网络瘫痪，峰值电压最小的时候，网络根本不能运行。使用UPS可以排除这些意外。另外我们要做好防老鼠咬坏网线。\x0d\\x0d\ 第二、系统安全（口令安全）\x0d\\x0d\ 我们要尽量使用大小写字母和数字以及特殊符号混合的密码，但是自己要记住，我也见过很多这样的网管，他的密码设置的的确是复杂也安全，但是经常自己都记不来，每次都要翻看笔记本。另外我们最好不要使用空口令或者是带有空格的，这样很容易被一些黑客识破。\x0d\\x0d\ 我们也可以在屏保、重要的应用程序上添加密码，以确保双重安全。\x0d\\x0d\ 第三、打补丁\x0d\\x0d\ 我们要及时的对系统补丁进行更新，大多数病毒和黑客都是通过系统漏洞进来的，例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以我们要及时对系统和应用程序打上最新的补丁，例如IE、OUTLOOK、SQL、OFFICE等应用程序。\x0d\\x0d\ 另外我们要把那些不需要的服务关闭，例如TELNET，还有关闭Guset帐号等。\x0d\\x0d\ 第四、安装防病毒软件\x0d\\x0d\ 病毒扫描就是对机器中的所有文件和邮件内容以及带有exe的可执行文件进行扫描，扫描的结果包括清除病毒，删除被感染文件，或将被感染文件和病毒放在一台隔离文件夹里面。所以我们要对全网的机器从网站服务器到邮件服务器到文件服务器知道客户机都要安装杀毒软件，并保持最新的病毒定义码。我们知道病毒一旦进入电脑，他会疯狂的自我复制，遍布全网，造成的危害巨大，甚至可以使得系统崩溃，丢失所有的重要资料。所以我们要至少每周一次对全网的电脑进行集中杀毒，并定期的清除隔离病毒的文件夹。\x0d\\x0d\ 现在有很多防火墙等网关产品都带有反病毒功能，例如netscreen总裁谢青旗下的美国飞塔Fortigate防火墙就是，她具有防病毒的功能。\x0d\\x0d\ 第五、应用程序\x0d\\x0d\ 我们都知道病毒有超过一半都是通过电子邮件进来的，所以除了在邮件服务器上安装防病毒软件之外，还要对PC机上的outlook防护，我们要提高警惕性，当收到那些无标题的邮件，或是你不认识的人发过来的，或是全是英语例如什么happy99，money，然后又带有一个附件的邮件，建议您最好直接删除，不要去点击附件，因为百分之九十以上是病毒。我前段时间就在一个政府部门碰到这样的情况，他们单位有三个人一直收到邮件，一个小时竟然奇迹般的收到了2000多封邮件，致使最后邮箱爆破，起初他们怀疑是黑客进入了他们的网络，最后当问到这几个人他们都说收到了一封邮件，一个附件，当去打开附件的时候，便不断的收到邮件了，直至最后邮箱撑破。最后查出还是病毒惹的祸。\x0d\\x0d\ 除了不去查看这些邮件之外，我们还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。\x0d\\x0d\ 很多黑客都是通过你访问网页的时候进来的，你是否经常碰到这种情况，当你打开一个网页的时候，会不断的跳出非常多窗口，你关都关不掉，这就是黑客已经进入了你的电脑，并试图控制你的电脑。\x0d\\x0d\ 所以我们要将IE的安全性调高一点，经常删除一些cookies和脱机文件，还有就是禁用那些Active X的控件。\x0d\\x0d\ 第六、代理服务器\x0d\\x0d\ 代理服务器最先被利用的目的是可以加速访问我们经常看的网站，因为代理服务器都有缓冲的功能，在这里可以保留一些网站与IP地址的对应关系。\x0d\\x0d\ 要想了解代理服务器，首先要了解它的工作原理：\x0d\\x0d\ 环境：局域网里面有一台机器装有双网卡，充当代理服务器，其余电脑通过它来访问网络。\x0d\\x0d\ 1、内网一台机器要访问新浪，于是将请求发送给代理服务器。\x0d\\x0d\ 2、代理服务器对发来的请求进行检查，包括题头和内容，然后去掉不必要的或违反约定的内容。\x0d\\x0d\ 3、代理服务器重新整合数据包，然后将请求发送给下一级网关。\x0d\\x0d\ 4、新浪网回复请求，找到对应的IP地址。\x0d\\x0d\ 5、代理服务器依然检查题头和内容是否合法，去掉不适当的内容。\x0d\\x0d\ 6、重新整合请求，然后将结果发送给内网的那台机器。\x0d\\x0d\ 由此可以看出，代理服务器的优点是可以隐藏内网的机器，这样可以防止黑客的直接攻击，另外可以节省公网IP。缺点就是每次都要经由服务器，这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候，其余电脑将不能访问网络。\x0d\\x0d\ 第七、防火墙\x0d\\x0d\ 提到防火墙，顾名思义，就是防火的一道墙。防火墙的最根本工作原理就是数据包过滤。实际上在数据包过滤的提出之前，都已经出现了防火墙。\x0d\\x0d\ 数据包过滤，就是通过查看题头的数据包是否含有非法的数据，我们将此屏蔽。\x0d\\x0d\ 举个简单的例子，假如体育中心有一场刘德华演唱会，检票员坐镇门口，他首先检查你的票是否对应，是否今天的，然后撕下右边的一条，将剩余的给你，然后告诉你演唱会现场在哪里，告诉你怎么走。这个基本上就是数据包过滤的工作流程吧。\x0d\\x0d\ 你也许经常听到你们老板说：要增加一台机器它可以禁止我们不想要的网站，可以禁止一些邮件它经常给我们发送垃圾邮件和病毒等，但是没有一个老板会说：要增加一台机器它可以禁止我们不愿意访问的数据包。实际意思就是这样。接下来我们推荐几个常用的数据包过滤工具。

第一、物理安全

除了要保证要有电脑锁之外，我们更多的要注意防火，要将电线和网络放在比较隐蔽的地方。我们还要准备UPS，以确保网络能够以持续的电压运行，在电子学中，峰值电压是一个非常重要的概念，峰值电压高的时候可以烧坏电器，迫使网络瘫痪，峰值电压最小的时候，网络根本不能运行。使用UPS可以排除这些意外。另外我们要做好防老鼠咬坏网线。

第二、系统安全（口令安全）

我们要尽量使用大小写字母和数字以及特殊符号混合的密码，但是自己要记住，我也见过很多这样的网管，他的密码设置的的确是复杂也安全，但是经常自己都记不来，每次都要翻看笔记本。另外我们最好不要使用空口令或者是带有空格的，这样很容易被一些黑客识破。

我们也可以在屏保、重要的应用程序上添加密码，以确保双重安全。

第三、打补丁

我们要及时的对系统补丁进行更新，大多数病毒和黑客都是通过系统漏洞进来的，例如今年五一风靡全球臭名昭著的振荡波就是利用了微软的漏洞ms04-011进来的。还有一直杀不掉的SQLSERVER上的病毒slammer也是通过SQL的漏洞进来的。所以我们要及时对系统和应用程序打上最新的补丁，例如IE、OUTLOOK、SQL、OFFICE等应用程序。

另外我们要把那些不需要的服务关闭，例如TELNET，还有关闭Guset帐号等。

第四、安装防病毒软件

病毒扫描就是对机器中的所有文件和邮件内容以及带有exe的可执行文件进行扫描，扫描的结果包括清除病毒，删除被感染文件，或将被感染文件和病毒放在一台隔离文件夹里面。所以我们要对全网的机器从网站服务器到邮件服务器到文件服务器知道客户机都要安装杀毒软件，并保持最新的病毒定义码。我们知道病毒一旦进入电脑，他会疯狂的自我复制，遍布全网，造成的危害巨大，甚至可以使得系统崩溃，丢失所有的重要资料。所以我们要至少每周一次对全网的电脑进行集中杀毒，并定期的清除隔离病毒的文件夹。

现在有很多防火墙等网关产品都带有反病毒功能，例如netscreen总裁谢青旗下的美国飞塔Fortigate防火墙就是，她具有防病毒的功能。

第五、应用程序

我们都知道病毒有超过一半都是通过电子邮件进来的，所以除了在邮件服务器上安装防病毒软件之外，还要对PC机上的outlook防护，我们要提高警惕性，当收到那些无标题的邮件，或是你不认识的人发过来的，或是全是英语例如什么happy99，money，然后又带有一个附件的邮件，建议您最好直接删除，不要去点击附件，因为百分之九十以上是病毒。我前段时间就在一个政府部门碰到这样的情况，他们单位有三个人一直收到邮件，一个小时竟然奇迹般的收到了2000多封邮件，致使最后邮箱爆破，起初他们怀疑是黑客进入了他们的网络，最后当问到这几个人他们都说收到了一封邮件，一个附件，当去打开附件的时候，便不断的收到邮件了，直至最后邮箱撑破。最后查出还是病毒惹的祸。

除了不去查看这些邮件之外，我们还要利用一下outlook中带有的黑名单功能和邮件过虑的功能。

很多黑客都是通过你访问网页的时候进来的，你是否经常碰到这种情况，当你打开一个网页的时候，会不断的跳出非常多窗口，你关都关不掉，这就是黑客已经进入了你的电脑，并试图控制你的电脑。

所以我们要将IE的安全性调高一点，经常删除一些cookies和脱机文件，还有就是禁用那些ActiveX的控件。

第六、代理服务器

代理服务器最先被利用的目的是可以加速访问我们经常看的网站，因为代理服务器都有缓冲的功能，在这里可以保留一些网站与IP地址的对应关系。

要想了解代理服务器，首先要了解它的工作原理：

环境：局域网里面有一台机器装有双网卡，充当代理服务器，其余电脑通过它来访问网络。

1、内网一台机器要访问新浪，于是将请求发送给代理服务器。

2、代理服务器对发来的请求进行检查，包括题头和内容，然后去掉不必要的或违反约定的内容。

3、代理服务器重新整合数据包，然后将请求发送给下一级网关。

4、新浪网回复请求，找到对应的IP地址。

5、代理服务器依然检查题头和内容是否合法，去掉不适当的内容。

6、重新整合请求，然后将结果发送给内网的那台机器。

由此可以看出，代理服务器的优点是可以隐藏内网的机器，这样可以防止黑客的直接攻击，另外可以节省公网IP。缺点就是每次都要经由服务器，这样访问速度会变慢。另外当代理服务器被攻击或者是损坏的时候，其余电脑将不能访问网络。

第七、防火墙

提到防火墙，顾名思义，就是防火的一道墙。防火墙的最根本工作原理就是数据包过滤。实际上在数据包过滤的提出之前，都已经出现了防火墙。

数据包过滤，就是通过查看题头的数据包是否含有非法的数据，我们将此屏蔽。

举个简单的例子，假如体育中心有一场刘德华演唱会，检票员坐镇门口，他首先检查你的票是否对应，是否今天的，然后撕下右边的一条，将剩余的给你，然后告诉你演唱会现场在哪里，告诉你怎么走。这个基本上就是数据包过滤的工作流程吧。

你也许经常听到你们老板说：要增加一台机器它可以禁止我们不想要的网站，可以禁止一些邮件它经常给我们发送垃圾邮件和病毒等，但是没有一个老板会说：要增加一台机器它可以禁止我们不愿意访问的数据包。实际意思就是这样。接下来我们推荐几个常用的数据包过滤工具。

如何有效构建信息安全保障体系？

通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。

构建第一步 确定信息安全管理体系建设具体目标

信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分，通过信息安全治理来达到具体的建设目标。

信息安全的组织体系：是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构，其中包括：决策、管理、执行和监管机构四部分组成。

信息安全的策略体系：是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次：

第一层 策略总纲

策略总纲是该团体组织内信息安全方面的基本制度，是组织内任何部门和人不能违反的，说明了信息安全工作的总体要求。

第二层 技术指南和管理规定

遵循策略总纲的原则，结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分：

技术指南：从技术角度提出要求和方法；

管理规定：侧重组织和管理，明确职责和要求，并提供考核依据。

第三层 *** 作手册、工作细则、实施流程

遵循策略总纲的原则和技术指南和管理规定，结合实际工作，针对具体系统，对第二层的技术指南和管理规定进行细化，形成可指导和规范具体工作的 *** 作手册及工作流程，保证安全工作的制度化、日常化。

构建第二步 确定适合的信息安全建设方法论

太极多年信息安全建设积累的信息安全保障体系建设方法论，也称“1-5-4-3-4”。即：运用1个基础理论，参照5个标准，围绕4个体系，形成3道防线，最终实现4个目标。

一、风险管理基础理论

信息系统风险管理方法论就是建立统一安全保障体系，建立有效的应用控制机制，实现应用系统与安全系统全面集成，形成完备的信息系统流程控制体系，确保信息系统的效率与效果。

二、遵循五个相关国内国际标准

在信息安全保障体系的建立过程中我们充分遵循国内国际的相关标准:

ISO 27001标准

等级保护建设

分级保护建设

IT流程控制管理（COBIT）

IT流程与服务管理（ITIL/ISO20000）

三、建立四个信息安全保障体系

信息安全组织保障体系：建立信息安全决策、管理、执行以及监管的机构，明确各级机构的角色与职责，完善信息安全管理与控制的流程。

信息安全管理保障体系：是信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定。

信息安全技术保障体系：综合利用各种成熟的信息安全技术与产品，实现不同层次的身份鉴别、访问控制、数据完整性、数据保密性和抗抵赖等安全功能。

信息安全运维保障体系：在信息安全管理体系规范和指导下，通过安全运行管理，规范运行管理、安全监控、事件处理、变更管理过程，及时、准确、快速地处理安全问题，保障业务平台系统和应用系统的稳定可靠运行。

四、三道防线

第一道防线：由管理体系、组织体系、技术保系构成完备的安全管理体制与基础安全设施，形成对安全苗头进行事前防范的第一道防线，为业务运行安全打下良好的基础。

第二道防线：由技术体系、运维体系构成事中控制的第二道防线。通过周密的生产调度、安全运维管理、安全监测预警，及时排除安全隐患，确保业务系统持续、可靠地运行。

第三道防线：由技术体系构成事后控制的第三道防线。针对各种突发灾难事件，对重要信息系统建立灾备系统，定期进行应急演练，形成快速响应、快速恢复的机制，将灾难造成的损失降到组织可以接受的程度。

五、四大保障目标

信息安全：保护政府或企业业务数据和信息的机密性、完整性和可用性。

系统安全：确保政府或企业网络系统、主机 *** 作系统、中间件系统、数据库系统及应用系统的安全。

物理安全：使业务和管理信息系统相关的环境安全、设备安全及存储介质安全的需要得到必要的保证。

运行安全：确保业务和管理信息系统的各种运行 *** 作、日常监控、变更维护符合规范 *** 作的要求，保证系统运行稳定可靠。

构建第三步 充分的现状调研和风险评估过程

在现状调研阶段，我们要充分了解政府或企业的组织架构、业务环境、信息系统流程等实际情况。只有了解政府或企业的组织架构和性质，才能确定该组织信息安 全保障体系所遵循的标准，另外，还要充分了解政府或企业的文化，保证管理体系与相关文化的融合性，以便于后期的推广、宣贯和实施。在调研时，采用“假设为 导向，事实为基础”的方法，假定该政府或企业满足相关标准的所有控制要求，那么将通过人工访谈、调查问卷等等各种方式和手段去收集信息，证明或者证伪该组 织的控制措施符合所有标准的要求，然后在此基础上，对比现状和标准要求进行差距分析。

在风险评估阶段，首先对于信息系统的风险评估．其中涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性，资产的属性是资产价值；威胁的属性

可以是威胁主体、影响对象、出现频率、动机等；脆弱性的属性是资产弱点的严重程度。风险分析的主要内容为：

对资产进行识别，并对资产的价值进行赋值；

对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；

对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；

根据威胁及威胁利用弱点的难易程度判断安全事件发生的可能性；

根据脆弱性的严重程度及安全事件所作用资产的价值计算安全事件的损失；

根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。

其次，进行信息系统流程的风险评估。根据“国际知名咨询机构Gartner的调查结果”以及我们在实践中证实发现，要减少信息系统故障最有效的方式之 一，就是进行有效的流程管理。因此需要在保证“静态资产”安全的基础上，对IT相关业务流程进行有效管理，以保护业务流程这类“动态资产”的安全。

构建第四步 设计建立信息安全保障体系总体框架

在充分进行现状调研、风险分析与评估的基础上，建立组织的信息安全保障体系总纲，总纲将全面覆盖该组织的信息安全方针、策略、框架、计划、执行、检查和 改进所有环节，并对未来3-5年信息安全建设提出了明确的安全目标和规范。信息安全体系框架设计在综合了现状调研、风险评估、组织架构和信息安全总纲后， 还需要综合考虑了风险管理、监管机构的法律法规、国内国际相关标准的符合性。为确保信息安全建设目标的实现，导出该组织未来信息安全任务，信息安全保障体 系总体框架设计文件（一级文件）将包括：

信息安全保障体系总体框架设计报告；

信息安全保障体系建设规划报告；

信息安全保障体系将依据信息安全保障体系模型，从安全组织、安全管理、安全技术和安全运维四个方面展开而得到。对展开的四个方面再做进一步的分解和比较详细的规定将得到整个政府部门或企业信息安全保障体系的二级文件。具体二级文件包括：

信息安全组织体系：组织架构、角色责任、教育与培训、合作与沟通

信息安全管理体系：信息资产管理；人力资源安全；物理与环境安全；通信与 *** 作管理；访问控制；信息系统获取与维护；业务连续性管理；符合性；

信息安全技术体系：物理层、网络层、系统层、应用层、终端层技术规范；

信息安全运维体系：日常运维层面的相关工作方式、流程、管理等。包括：事件管理、问题管理、配置管理、变更管理、发布管理，服务台。

构建第五步 设计建立信息安全保障体系组织架构

信息安全组织体系是信息安全管理工作的保障，以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。我们根据该组织的信息安全总体框架结合实际情况，确定该组织信息安全管理组织架构。

信息安全组织架构：针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果。

信息安全角色和职责：主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责。

安全教育与培训：主要包括对安全意识与认知，安全技能培训，安全专业教育等几个方面的要求。

合作与沟通：与上级监管部门，同级兄弟单位，本单位内部，供应商，安全业界专家等各方的沟通与合作

构建第六步 设计建立信息安全保障体系管理体系

根据信息安全总体框架设计，结合风险评估的结果以及该组织的信息系统建设的实际情况，参照相关标准建立信息安全管理体系的三、四级文件，具体包括：

资产管理：信息系统敏感性分类与标识实施规范与对应表单、信息系统分类控制实规范与对应表单

人力资源安全：内部员工信息安全守则、第三方人员安全管理规范与对应表单、保密协议

物理与环境安全：物理安全区域划分与标识规范以及对应表单、机房安全管理规范与对应表单、门禁系统安全管理规范与对应表单

访问控制：用户访问管理规范及对应表单、网络访问控制规范与对应表单、

*** 作系统访问控制规范及对应表单、应用及信息访问规；通信与 *** 作管理：网络安全管理规范与对应表单、In；信息系统获取与维护：信息安全项目立项管理规范及对；业务连续性管理：业务连续性管理过程规范及对应表单；符合性：行业适用法律法规跟踪管理规范及对应表单；最终形成整体的信息安全管理体系，务必要符合整个组；

*** 作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单

通信与 *** 作管理：网络安全管理规范与对应表单、Internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单

信息系统获取与维护：信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单、软件系统漏洞管理规范及对应表单

业务连续性管理：业务连续性管理过程规范及对应表单、业务影响分析规范及对应表单

符合性：行业适用法律法规跟踪管理规范及对应表单

最终形成整体的信息安全管理体系，务必要符合整个组织的战略目标、远景、组织文化和实际情况并做相应融合，在整个实施过程还需要进行全程的贯穿性培训． 将整体信息安全保障体系建设的意义传递给组织的每个角落，提高整体的信息安全意识。这样几方面的结合才能使建设更有效。

希望可以帮到您，谢谢！

1、规范化管理

企业制定网络安全管理规范制度，企业员工必须遵守，对于网站平台的不同管理人员分配不同的管理权限、角色要求、严格划分管理人员，避免管理权限由同一人掌管，引起安全隐患。

2、部署安全设备、加强网络安全教育

部署安全设备，安全设备中包含杀毒软件，杀毒软件大多采用病毒预防、病毒检测和杀毒技术，能及时发现病毒并阻止传播。定期在企业内部开展网络安全知识、计算机应用 *** 作知识培训，提高企业人员的网络安全意识。

3、增加密码复杂度

据统计，因密码设置简单而发生的网络安全事件屡见不鲜，造成账户受到损害。建议设置密码为8位以上，由数字、大小写字母、特殊字符组成且90天内更换。以保证企业账户和网站的安全，另外，避免多个网站账户密码设置同一个，这样一个账户被破解，意味着其他网站账户也面临着威胁。