网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

　　文件共享只能对文件设置访问权限，不能对更细级别的访问权限进行控制，而基于数据库的管理信息系统能够进行记录级甚至数据项级的访问权限控制，能够更好地 控制知密范围，例如办公自动化软件和企业资源规划软件;基于产品数据管理软件的文档管理系统可以根据文档的技术状态动态地进行文档权限的控制，例如定义文 档设计状态、校对状态、审核状态、发放状态以及工程变更状态的不同访问权限，因此也能够较好地控制文档的知密范围。同时，这些系统可以和Windows系 统的活动目录实现集成，实现统一的系统登录和认证，确保一次登录，四处通行。因此，做好企业的信息化建设工作，不仅可以提高企业的工作效率和管理水平，还 可以提高涉密信息系统安全保密的水平。

　　网络安全的技术防范

　　国内涉密信息系统要求和互联网实现完全的物理隔离，因此国内涉密信息系统受到外来攻击的可能性比较小，网络安全主要是控制用户网络访问的范围，并预防员工 从内部发起网络攻击。

　　目前国内网络安全产品在技术上比较成熟，而且品种也比较多。这里建议企业按部门或工作组来进行子网的划分，并禁止各子网相互访问来控 制网络的访问范围;配置公共服务器子网，将企业公共的服务器放人公共服务器子网，例如邮件服务器、即时通讯服务器、主页服务器、办公自动化服务器、数据库 服务器、企业资源规划服务器和产品数据管理服务器等，并允许其他子网的计算机访问公共服务器子网的服务器，从而实现企业内部跨部门或工作组的信息共享和交 换通过网络交换机的配置来控制其他子网计算机只能访Iral各公共服务器指定的网络服务端口，从而较好地保护公共服务器的安全在企业核心网络交换机上配置 人侵侦测系统，来侦测跨部门或工作组的网络攻击行为;通过MAC地址和网络端口绑定Windows活动目录和网络交换机Radius认证的集成来防止非法 的网络接人。

　　桌面安全的技术防范

　　桌面计算机输入输出控制是企业涉密信息系统安全保密工作技术防范的关键，桌面计算机输人输出控制不严会大大增加安全保密的风险，导致企业涉密信息系统安全 保密技术防范措施千疮百孔，因此企业必须切实控制好桌面计算机的输人输出。目前国内控制桌面计算机输人输出行为的成功案例是统一集中的输人输出方案，可按 建筑物或部门设置统一集中的输人输出机房，并配置专人负责管理;规定所有的打印输出必须到指定的输人输出机房进标每台计算机上都安装网络版的主机监控审计 软件客户端[2][3)，并在主机监控审计软件服务器配置主机监控和审计策略，禁用用户的各类输入输出端口，例如禁止使用USB端口的移动存储介质、调制 解调器、各类光驱、红外端口、SCSI端口和打印端口等，只允许输人输出机房的计算机能够使用输人输出端口。但由于国内的主机监控审计软件容易被突破，因 此桌面安全做得较好的企业会联合采用物理措施封堵计算机的输人输出端口，例如更换专门的安全保密机箱并将机箱上锁。或用粘胶、封条等方式封堵计算机的输人 输出端口。同时为了防止病毒的人侵，避免用户随意安装软件和操作系统，确保整个涉密信息系统的安全，桌面安全做得较好的企业也会拆除计算机的只读光驱。

　　如果手工进行所有桌面计算机的安全配置和漏洞封堵，将大大增加系统管理员的工作量，而且也难以做到位。因此，这里建议采用软件自动配置的方式来完成桌面计 算机的安全配置和漏洞封堵，可采用Windows活动目录组策略的配置来控制所有域内计算机的安全配置，例如域帐户密码的长度和复杂性要求、锁屏策略等; 采用Windows的软件分发服务来自动实现系统补丁的分发，可定期从国际互联网上下载系统补丁包，由软件分发服务器来实现系统补丁的分发。目前国内个别 先进的主机监控审计软件也能够实现桌面计算机安全配置和漏洞封堵的自动化。

　　其它类型防范方法

　　一、VLAN(虚拟局域网)技术

　　选择VLAN技术可较好地从链路层实施网络安全保障。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络，它依*用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网，划分的依据可以是设备所连端口、用户节点的MAC地址等。该技术能有效地控制网络流量、防止广播风暴，还可利用MAC层的数据包过滤技术，对安全性要求高的VLAN端口实施MAC帧过滤。而且，即使黑客攻破某一虚拟子网，也无法得到整个网络的信息。

　　二、网络分段