二、安全管理措施

　　综合以上对于网络安全问题的初步认识，有线中心采取如下的措施：

　　（一）针对与外网的一些安全问题

　　对于外网造成的安全问题，使用防火墙技术来实现二者的隔离和访问控制。

　　防火墙是实现网络安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制（允许、禁止、报警）。

　　防火墙可以监视、控制和更改在内部和外部网络之间流动的网络通信；用来加强网络之间访问控制，防止外部网络用户以非法手段通过外部网络进入内部网络，访问内部网络资源，从而保护内部网络操作环境。所以，安装防火墙对于网络安全来说具有很多优点：（1）集中的网络安全；（2）可作为中心“扼制点”；（3）产生安全报警；（4）监视并记录Internet的使用；（5）NAT的位置；（6）WWW和FTP服务器的理想位置。

　　但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击。为此，中心选用了RealSecureSystemAgent和NetworkEngine。其中，RealSecureSystemAgent是一种基于主机的实时入侵检测产品，一旦发现对主机的入侵，RealSecure可以中断用户进程和挂起用户账号来阻止进一步入侵，同时它还会发出警报、记录事件等以及执行用户自定义动作。RealSecureSystemAgent还具有伪装功能，可以将服务器不开放的端口进行伪装，进一步迷惑可能的入侵者，提高系统的防护时间。Re?鄄alSecureNetworkEngin是基于网络的实时入侵检测产品，在网络中分析可疑的数据而不会影响数据在网络上的传输。网络入侵检测RealSecureNetworkEngine在检测到网络入侵后，除了可以及时切断攻击行为之外，还可以动态地调整防火墙的防护策略，使得防火墙成为一个动态的、智能的防护体系。

　　通过部署入侵检测系统，我们实现了以下功能：

　　对于WWW服务器，配置主页的自动恢复功能，即如果WWW服务器被攻破、主页被纂改，系统能够自动识别并把它恢复至事先设定的页面。

　　入侵检测系统与防火墙进行“互动”，即当入侵检测系统检测到网络攻击后，通知防火墙，由防火墙对攻击进行阻断。

　　（二）针对网络物理层的稳定

　　网络物理层的稳定主要包括设备的电源保护，抗电磁干扰和防雷击。

　　本中心采用二路供电的措施，并且在配电箱后面接上稳压器和不间断电源。所有的网络设备都放在机箱中，所有的机箱都必须有接地的设计，在机房安装的时候必须按照接地的规定做工程；对于供电设备，也必须做好接地的工作。这样就可以防止静电对设备的破坏，保证了网内硬件的安全。

　　（三）针对病毒感染的问题

　　病毒程序可以通过电子邮件、使用盗版光盘等传播途径潜入内部网。网络中一旦有一台主机受病毒感染，则病毒程序就完全可能在极短的时间内迅速扩散，传播到网络上的所有主机，可能造成信息泄漏、文件丢失、机器死机等不安全因素。防病毒解决方案体系结构中用于降低或消除恶意代码；广告软件和间谍软件带来的风险的相关技术。中心使用企业网络版杀毒软件，（例如：SymantecAntivirus等）并控制写入服务器的客户端，网管可以随时升级并杀毒，保证写入数据的安全性，服务器的安全性，以及在客户端安装由奇虎安全卫士之类来防止广告软件和间谍软件。

　　（四）针对应用系统的安全

　　应用系统的安全主要面对的是服务器的安全，对于服务器来说，安全的配置是首要的。对于本中心来说主要需要2个方面的配置：服务器的操作系统（Windows20xx）的安

　　全配置和数据库（SQLServer20xx）的安全配置。

　　1．操作系统（Windows20xx）的安全配置

　　（1）系统升级、打操作系统补丁，尤其是IIS6.0补丁。

　　（2）禁止默认共享。

　　（3）打开管理工具-本地安全策略，在本地策略-安全选项中，开启不显示上次的登录用户名。

　　（4）禁用TCP/IP上的NetBIOS。

　　（5）停掉Guest帐号，并给guest加一个异常复杂的'密码。

　　（6）关闭不必要的端口。

　　（7）启用WIN20xx的自身带的网络防火墙，并进行端口的改变。

　　（8）打开审核策略，这个也非常重要，必须开启。