[133期] 保障企業(yè)核心機(jī)密——與專(zhuān)家對(duì)話(huà)內(nèi)網(wǎng)安全

作者：技術(shù)門(mén)診 2009-10-26 10:42:43

無(wú)數(shù)個(gè)地方引用了這樣一句話(huà)：“85%以上的安全事件出自?xún)?nèi)網(wǎng)”；可口可樂(lè)也有一句話(huà)“保住了秘密就保住了市場(chǎng)”；“力拓案”、“彩票門(mén)”引起了全國(guó)上下公眾和政府的關(guān)注……

無(wú)數(shù)個(gè)地方引用了這樣一句話(huà)："85%以上的安全事件出自?xún)?nèi)網(wǎng)"；可口可樂(lè)也有一句話(huà)"保住了秘密就保住了市場(chǎng)"；"力拓案"、"彩票門(mén)"引起了全國(guó)上下公眾和政府的關(guān)注……

買(mǎi)了防火墻、防病毒、入侵檢測(cè)就可以高枕無(wú)憂(yōu)？

無(wú)論是政府還是企業(yè)，相對(duì)于門(mén)戶(hù)網(wǎng)站被篡改等而"形象工程"被抹黑，"內(nèi)鬼"造成的損失往往更大：U盤(pán)拷貝機(jī)密文檔、文件打印測(cè)試報(bào)告、管理員對(duì)服務(wù)器的文件任意操作、數(shù)據(jù)庫(kù)被非法復(fù)制、涉及單位核心機(jī)密的信息資產(chǎn)消失于無(wú)形，卻無(wú)處追蹤。。。。。。

技術(shù)門(mén)診是51CTO社區(qū)品牌欄目，每周邀請(qǐng)一位客座專(zhuān)家，為廣大技術(shù)網(wǎng)友解答疑問(wèn)。從熱門(mén)技術(shù)到前沿知識(shí)，從技術(shù)答疑到職業(yè)規(guī)劃。每期一個(gè)主題，站在最新最熱的技術(shù)前沿為你引航！

本期技術(shù)門(mén)診我們邀請(qǐng)到網(wǎng)絡(luò)安全專(zhuān)家、資深安全顧問(wèn)張百川專(zhuān)家,以?xún)?nèi)網(wǎng)安全建設(shè)為討論點(diǎn)，和大家討論交流內(nèi)網(wǎng)安全管理中遇到的問(wèn)題及相應(yīng)的解決方案。希望本次門(mén)診能引起大家對(duì)內(nèi)網(wǎng)安全的關(guān)注，共同為保護(hù)企業(yè)核心資產(chǎn)而努力！

本期專(zhuān)家：張百川

擅長(zhǎng)領(lǐng)域：網(wǎng)絡(luò)安全

專(zhuān)家簡(jiǎn)介：陜西電信實(shí)業(yè)公司資深安全顧問(wèn)，曾任漢邦軟科集團(tuán)西北大區(qū)技術(shù)經(jīng)理。MCSE、MCDBA、Linux網(wǎng)絡(luò)管理工程師，多年信息與網(wǎng)絡(luò)安全從業(yè)經(jīng)驗(yàn)，對(duì)涉密網(wǎng)建設(shè)有深刻理解和認(rèn)識(shí)，參與或主持了超過(guò)50個(gè)涉密網(wǎng)項(xiàng)目，客戶(hù)遍及政府、航空、航天、兵器、電子等行業(yè)，具有豐富的安全理論和實(shí)踐經(jīng)驗(yàn)。對(duì)桌面終端安全、漏洞掃描與評(píng)估、WEB安全、數(shù)據(jù)庫(kù)安全、運(yùn)維操作管理等有深入研究。以"A："為名在《黑客防線(xiàn)》《黑客X檔案》《電腦安全專(zhuān)家》等專(zhuān)業(yè)安全雜志發(fā)表文章30余篇。

查看本期門(mén)診精彩實(shí)錄：http://doctor.51cto.com/develop-146.html

參與最新技術(shù)門(mén)診：http://doctor.51cto.com/

精選本期網(wǎng)友提問(wèn)與專(zhuān)家解答，以供網(wǎng)友學(xué)習(xí)參考。

Q：張老師，您好!很高興有機(jī)會(huì)向您討教。先簡(jiǎn)單敘述一下目前我所在公司的現(xiàn)實(shí)環(huán)境：

公司分有五個(gè)主要的部門(mén)，各部門(mén)網(wǎng)絡(luò)環(huán)境相對(duì)獨(dú)立，內(nèi)網(wǎng)外網(wǎng)相結(jié)合，除了每臺(tái)機(jī)器裝有單機(jī)版的殺毒軟件沒(méi)有其他任何安全保護(hù)。對(duì)于所謂的保護(hù)公司核心機(jī)密，主要是采取限制一小部分USB接口。也許管理層應(yīng)了這句話(huà)：用人不疑，疑人不用。

用幾個(gè)字概括一下：很險(xiǎn)很開(kāi)放。各部門(mén)文件共享主要是工作組形式，現(xiàn)在已經(jīng)暴露出很多的問(wèn)題。但是禁用USB員工說(shuō)輸出文件不方便，采取域管理或許能稍微緩解。員工行為管理及相關(guān)知識(shí)培訓(xùn)做過(guò)，并且每期的公司內(nèi)刊都刊登了相應(yīng)文章，但是效果不明顯?？煞裾?qǐng)問(wèn)老師：我需要從哪方面下手？或者著重解決哪方面？謝謝！

A：看您單位所處的行業(yè)和對(duì)敏感資料的重視程度，每個(gè)單位的實(shí)際情況都不同，因此不可能有一個(gè)通用方案適合所有的單位。另外安全性和便捷性總是有些相悖的，關(guān)鍵看信息資產(chǎn)的重要程度，如果十分重要，則老板看中，員工也都看重。內(nèi)訓(xùn)是要做的，但是盡量采用現(xiàn)場(chǎng)操作的方式，畢竟影像比嘴說(shuō)更有效果。個(gè)人建議評(píng)估下資產(chǎn)重要性，按照重要性進(jìn)行安全防護(hù)，如果有興趣，可以搜一下"等級(jí)保護(hù)"，網(wǎng)上相關(guān)資料很多。常見(jiàn)內(nèi)網(wǎng)控制手段：主機(jī)審計(jì)、介質(zhì)管理、文檔加密、分發(fā)控制。

Q：當(dāng)企業(yè)內(nèi)部都部署來(lái)防火墻、防病毒、入侵檢測(cè)等設(shè)備之后，還是存在等一些內(nèi)部資料外漏的情況，我們需要怎么來(lái)解決這類(lèi)情況呢。

A：企業(yè)部署了fw、av、ids，雖然可以阻止、檢測(cè)一些攻擊行為和惡意代碼，但對(duì)于主機(jī)而言，usb端口、紅外、藍(lán)牙端口無(wú)任何防范措施，U盤(pán)、移動(dòng)硬盤(pán)、智能手機(jī)還是可以隨時(shí)使用，因此依然不安全。現(xiàn)在內(nèi)網(wǎng)安全的幾個(gè)熱門(mén)產(chǎn)品是：終端安全管理系統(tǒng)、移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)、計(jì)算機(jī)端口控制系統(tǒng)、文檔加密系統(tǒng)、文檔權(quán)限分發(fā)控制系統(tǒng)，另外，針對(duì)通過(guò)網(wǎng)頁(yè)提交、電子郵件發(fā)送、Telnet、FTP方式的信息丟失，可以通過(guò)上網(wǎng)行為管理系統(tǒng)、網(wǎng)絡(luò)審計(jì)系統(tǒng)來(lái)實(shí)現(xiàn)。

Q：小型企業(yè)必需具備的安全設(shè)備有哪些呢？

A：規(guī)模、應(yīng)用、需求，這幾個(gè)都得知道。因?yàn)槲也恢滥f(shuō)的小型企業(yè)具體規(guī)模多大，10臺(tái)？100臺(tái)？500臺(tái)？另外也和行業(yè)有關(guān)，不同的行業(yè)有不同的業(yè)務(wù)（應(yīng)用）系統(tǒng)和實(shí)際需求。不過(guò)防火墻、防病毒是必須的。內(nèi)網(wǎng)如果擔(dān)心核心資料外泄，那么數(shù)據(jù)防泄漏產(chǎn)品也是需要的。

Q：windows2003WRM要怎么去部署來(lái)保證郵件的安全？（內(nèi)網(wǎng)數(shù)據(jù)安全）

WRM我們一般都部署來(lái)對(duì)OFFCIE文檔的權(quán)限進(jìn)行設(shè)置，比如只充許域中某個(gè)用戶(hù)只有只讀，而對(duì)文檔沒(méi)有復(fù)制的權(quán)限，它也可以用EXCHANGE。通常我們內(nèi)網(wǎng)中郵件傳輸是不加密的，通過(guò)一些手段可以獲取得到。通過(guò)WRM我們可以對(duì)郵件及附件進(jìn)行加密和權(quán)限設(shè)置。它與證書(shū)加密有什么區(qū)別，具體要怎么去部署？

A：據(jù)我所知，WRM可以利用Windows自己架設(shè)的CA實(shí)現(xiàn)郵件安全，而現(xiàn)在《中華人民共和國(guó)電子簽名法》認(rèn)可了第三方數(shù)字證書(shū)，當(dāng)然這個(gè)有個(gè)名單。有個(gè)資料可以參考：http://www.borg.com.tw/Starter/Portals/57ad7180-c5e7-49f5-b282-c6475cdb7ee7/IRM_DRM.pdf

Q：如果用IPSEC對(duì)內(nèi)網(wǎng)傳輸進(jìn)行加密的話(huà)，傳輸效率有多大影響？

A：加密后效率為正常的70-80%，但是如果采用加速方案，效果好一些。如思科、深信服的產(chǎn)品，有加速效果。

Q：如果用ISA2006做為內(nèi)網(wǎng)的防火墻，一般要怎么樣來(lái)配置比較好？（策略配置多了，影響效率，少了就不安全了。所以感覺(jué)很矛盾）

A：安全產(chǎn)品的配置應(yīng)遵循"最小授權(quán)"原則，安全和效率、易用性總是不成正比的。由于ISA基于Windows，因此系統(tǒng)自身的安全性也對(duì)其有影響，如果可能盡量采用有國(guó)家相關(guān)資質(zhì)的硬件防火墻。安全總是相對(duì)的，可以根據(jù)具體的業(yè)務(wù)，適當(dāng)調(diào)整策略。

Q：我想問(wèn)我要禁止公司的人上某些網(wǎng)站，例如開(kāi)心網(wǎng)，但如果里面的人會(huì)用代理去登陸，那我的ACL就起不了作用了，而且代理的網(wǎng)站那么多，我不可能全部手動(dòng)封完，請(qǐng)問(wèn)有什么好方法?

A：禁用代理，這個(gè)上網(wǎng)行為管理系統(tǒng)可以實(shí)現(xiàn)，并且比用ACL強(qiáng)大的多。您可以在百度或Google搜下，百度首頁(yè)都幾乎全部是推廣的了。呵呵

Q：對(duì)于內(nèi)網(wǎng)安全這塊，如何選擇實(shí)用的網(wǎng)管軟件？請(qǐng)專(zhuān)家推薦幾個(gè)（像聚生網(wǎng)管這類(lèi)通過(guò)ARP欺騙的不要）

A：您提到了聚生網(wǎng)管，應(yīng)該是上網(wǎng)行為管理、流量控制之類(lèi)的了。軟件用的相對(duì)少一些，要做的更徹底，建議選用硬件產(chǎn)品：網(wǎng)康、深信服、AceNet、L7都是不錯(cuò)的選擇，不但可以對(duì)單個(gè)用戶(hù)進(jìn)行流量限定，亦可對(duì)某種應(yīng)用限速，如對(duì)迅雷限速，或者給某個(gè)用戶(hù)限定多少次請(qǐng)求，或每個(gè)用戶(hù)每天能有多少流量可用。對(duì)各種迅雷、電驢等有良好的效果。你可以搜一下我說(shuō)的這幾個(gè)產(chǎn)品。

Q：我的環(huán)境是有一臺(tái)ISA服務(wù)器，一臺(tái)DC，安裝了IAS服務(wù)。在ISA啟用了WEB代理，并且啟用了RAIDUS身份驗(yàn)證。但身份驗(yàn)證都沒(méi)成功，DC上的日志如下：

事件類(lèi)型:警告

事件來(lái)源:IAS

事件種類(lèi):無(wú)

事件ID:2

日期:2009-10-16

事件:16:31:26

用戶(hù):N/A

計(jì)算機(jī):SHDC

描述:

用戶(hù)shixun\administrator被拒絕訪(fǎng)問(wèn)。

Fully-Qualified-User-Name=SHIXUN\administrator

NAS-IP-Address=10.0.1.254

NAS-Identifier=<不存在>

Called-Station-Identifier=<不存在>

Calling-Station-Identifier=<不存在>

Client-Friendly-Name=ISA

Client-IP-Address=10.0.1.254

NAS-Port-Type=<不存在>

NAS-Port=443

Proxy-Policy-Name=對(duì)所有用戶(hù)使用

Authentication-Provider=Windows

Authentication-Server=<未確定>

Policy-Name=<未確定>

Authentication-Type=PAP

EAP-Type=<未確定>

Reason-Code=16

Reason=由于未知的用戶(hù)名或錯(cuò)誤密碼，身份驗(yàn)證失敗。

有關(guān)更多信息，請(qǐng)參閱在http://go.microsoft.com/fwlink/events.asp的幫助和支持中心。

而ISA上有遠(yuǎn)程撥入VPN也是啟用RADIUS身份驗(yàn)證，但可以正常撥入。為什么WEB代理就出現(xiàn)這樣情況，期望專(zhuān)家為我解答一下？

A：日志最后面：Reason=由于未知的用戶(hù)名或錯(cuò)誤密碼，身份驗(yàn)證失敗。ISA和DC互通過(guò)程中身份驗(yàn)證方式的問(wèn)題，請(qǐng)檢查。您可以參考下這個(gè)帖子：http://topic.csdn.net/t/20031103/18/2423209.html

Q：內(nèi)網(wǎng)安全，是不是要求管理層面的力度比技術(shù)層面的力度要大些哪?

A：一般說(shuō)"七分管理，三分技術(shù)"，特別是內(nèi)部網(wǎng)絡(luò)的安全。如WEB安全，做好技術(shù)上的就問(wèn)題不大，但是內(nèi)網(wǎng)很多人都能接觸到別人的計(jì)算機(jī)，所以更重要的是管理。我遇到很多單位實(shí)施內(nèi)網(wǎng)安全產(chǎn)品，往往被技術(shù)部門(mén)的員工把客戶(hù)端卸載或破壞，出現(xiàn)這樣的就必須用管理手段了，因?yàn)闆](méi)有一款產(chǎn)品能做到100%的自身安全，哪怕通過(guò)了相關(guān)部門(mén)的測(cè)試。我經(jīng)常舉例子給他們，說(shuō)：安全產(chǎn)品就是單位買(mǎi)的門(mén)和鎖，誰(shuí)弄壞了，誰(shuí)就賠，就要罰款！用Windows的域管理，要相對(duì)好一點(diǎn)。

Q：內(nèi)網(wǎng)中，入侵檢測(cè)系統(tǒng)怎樣部署，才能檢測(cè)到具體是哪一個(gè)端口、哪一臺(tái)PC有問(wèn)題？

A：IDS為旁路設(shè)備，如果設(shè)備有報(bào)警，都會(huì)有IP地址的，這樣可以定位到出問(wèn)題的主機(jī)。當(dāng)然IDS的誤報(bào)比較多，這個(gè)要注意甄別。如，有的IDS默認(rèn)對(duì)ping都報(bào)警，或?qū)RP的解析也有信息，量就很大了?？梢詫?duì)掃描設(shè)置一個(gè)閾值，超標(biāo)則報(bào)警。

Q：如果公司經(jīng)費(fèi)緊張，而且屬于生產(chǎn)制造企業(yè)，請(qǐng)問(wèn)對(duì)于保障企業(yè)核心機(jī)密應(yīng)該從哪里開(kāi)始著手能夠達(dá)到性?xún)r(jià)比最高？請(qǐng)說(shuō)明一下先后次序。（生產(chǎn)制造企業(yè)一般來(lái)說(shuō)經(jīng)費(fèi)考慮信息部門(mén)的不多，更不要說(shuō)經(jīng)營(yíng)緊張的了）

A：1、操作審計(jì)；2、端口控制；3、文檔加密；4、文檔權(quán)限控制?，F(xiàn)在1和2可以做到一起，3和4一般做在一起。當(dāng)然現(xiàn)在四者做到一起的也有，個(gè)人一起用，因?yàn)楝F(xiàn)在一些數(shù)據(jù)防泄漏廠(chǎng)家都可以把四者做到一起，用的時(shí)候也簡(jiǎn)單。如果資金緊張，建議做文檔加密。這樣即使傳出去，也不會(huì)被別人破解。

Q：我們已經(jīng)部署了趨勢(shì)網(wǎng)絡(luò)版的，現(xiàn)在局域網(wǎng)的病毒特別的嚴(yán)重，如何才能有效的防護(hù)？如何可以檢測(cè)到哪一臺(tái)PC又問(wèn)題？

A：據(jù)我所知，所有的網(wǎng)絡(luò)版都可以看到是哪一臺(tái)計(jì)算機(jī)中毒了，您可以仔細(xì)看看去是網(wǎng)絡(luò)版的說(shuō)明書(shū)。另外，局域網(wǎng)病毒嚴(yán)重很多是由于USB傳播，如很多ARP類(lèi)都可以通過(guò)U盤(pán)傳播，另外建議安裝360安全衛(wèi)士，開(kāi)啟防護(hù)。如果購(gòu)買(mǎi)了趨勢(shì)的產(chǎn)品，可以要求廠(chǎng)家或代理商提供一定的技術(shù)支持。另外，Windows系統(tǒng)常打補(bǔ)丁，并最好不要用管理員帳號(hào)。

Q：如果我想在公司里做一個(gè)非常簡(jiǎn)單的數(shù)據(jù)備份，用一般的PC做服務(wù)器就夠了，系統(tǒng)是Windows2003，如何設(shè)置既方便又安全的實(shí)現(xiàn)如下幾點(diǎn)。（因?yàn)橐郧坝羞^(guò)這種情況，由于硬盤(pán)問(wèn)題導(dǎo)致數(shù)據(jù)丟失，一些重要的文檔無(wú)法恢復(fù)）

1、每個(gè)人有自己的空間，不要多，只要10M到50M，放一些最重要的文檔

2、每個(gè)人只能看自己的文件夾，其他人的文件下對(duì)自己透明，自己的文件夾對(duì)別人也是透明。

A：如果擔(dān)心硬盤(pán)損壞，可以用RAID，或者采用專(zhuān)業(yè)存儲(chǔ)解決方案。你說(shuō)的限定用戶(hù)的空間，可以用Windows的磁盤(pán)配額功能實(shí)現(xiàn)；通過(guò)NTFS設(shè)置權(quán)限，實(shí)現(xiàn)每個(gè)用戶(hù)只能管理自己的文件夾，對(duì)別人的目錄無(wú)法讀取。

Q：專(zhuān)家你好，我這兩天正在為局域網(wǎng)安全犯愁呢。

你說(shuō)到了三分技術(shù)，7分管理。但是我7分管理在我這里行不通，所以需要技術(shù)來(lái)解決。

公司是屬于軟件開(kāi)發(fā)類(lèi)型的，每個(gè)員工機(jī)器上都有部分代碼，害怕員工把自己機(jī)器上的代碼偷走。環(huán)境是AD，所有的機(jī)箱和USB都封鎖了。主要還有交叉線(xiàn)對(duì)聯(lián)的安全漏洞和外部筆記本接入的問(wèn)題。雖然交換機(jī)開(kāi)啟了端口安全，但是畢竟自己?jiǎn)T工，可以搞到對(duì)應(yīng)端口的MAC地址，所以我想請(qǐng)問(wèn)還有沒(méi)有其他方法呢？盡量不要使用硬件，預(yù)算部足。謝謝!

A：現(xiàn)在基于802。1x的非法接入控制方案是無(wú)法滿(mǎn)足雙機(jī)直接拷貝的問(wèn)題的，但是可以解決外部筆記本接入的問(wèn)題。有廠(chǎng)家出的"可信域"產(chǎn)品可以解決這個(gè)問(wèn)題，實(shí)現(xiàn)方式：在所有計(jì)算機(jī)安裝Agent，如果對(duì)方?jīng)]有，則不與對(duì)方通信。并且可以劃分"可信"和"不可信"域，這樣外部計(jì)算機(jī)即使裝上了Agent，由于沒(méi)有管理員授權(quán)也無(wú)法和內(nèi)部計(jì)算機(jī)通信。

Q：AD+ISA進(jìn)行內(nèi)網(wǎng)管理，安全性還應(yīng)該注意哪些方面？

A：USB、紅外、藍(lán)牙，甚至串并口。操作系統(tǒng)下面，用戶(hù)A拷貝了文件給B，B發(fā)送給C、D，權(quán)限是不好控制的……另外打印行為也要注意。

Q：我想請(qǐng)問(wèn)專(zhuān)家的是，對(duì)于一個(gè)中小企業(yè)，對(duì)IT方面的投入不是很大，一般用路由器作為防火墻，除了內(nèi)網(wǎng)的病毒更新、服務(wù)器的補(bǔ)丁更新之外，還應(yīng)該注意些什么？謝謝！

A：傳統(tǒng)的三件寶：防火墻、入侵檢測(cè)、防病毒，不過(guò)現(xiàn)在很多用入侵防御系統(tǒng)替代防火墻和入侵檢測(cè)，如果有文檔需要保密，則需要數(shù)據(jù)防泄漏。用路由器做防火墻也沒(méi)有太大的問(wèn)題，就多數(shù)客戶(hù)的情況來(lái)看，注意終端數(shù)據(jù)安全即可。

Q：我自己是覺(jué)得集成的好用，所以采用的安全方案是ISA(加了功能組件，可以做到病毒防火墻的功能)+AD+RMS+公司行政支持。專(zhuān)家認(rèn)為還需要注意哪些問(wèn)題?

A：內(nèi)部網(wǎng)絡(luò)的攻擊行為檢測(cè)，網(wǎng)絡(luò)審計(jì)、主機(jī)行為操作審計(jì)、終端防病毒，如U盤(pán)病毒，以及ARP欺騙等……有可執(zhí)行的、針對(duì)內(nèi)部業(yè)務(wù)的AD策略，有RMS，信息失竊的可能不大。能有公司強(qiáng)有力的行政支持，這一點(diǎn)很難得。

Q：我內(nèi)網(wǎng)單位有較多的數(shù)據(jù)庫(kù)，除了安裝好軟硬件防火墻及單機(jī)的殺病毒軟件，還有哪些手段可以防止相關(guān)的攻擊和病毒。如SQL注入等等?

A：如果不放心WEB和數(shù)據(jù)庫(kù)安全，可以考慮IPS和WEB應(yīng)用防火墻，和數(shù)據(jù)庫(kù)審計(jì)。建議用專(zhuān)業(yè)的WEB和數(shù)據(jù)庫(kù)評(píng)估產(chǎn)品進(jìn)行評(píng)估，SQL注入的問(wèn)題可以通過(guò)上面說(shuō)的WEB應(yīng)用防火墻、IPS實(shí)現(xiàn)，當(dāng)然最徹底的辦法：用WEB評(píng)估工具掃描漏洞，進(jìn)行漏洞的修復(fù)。病毒用防毒墻和客戶(hù)端防病毒就差不多了。

Q：電子閱覽室機(jī)器比較多，有沒(méi)比較有效的管理軟件可以限制個(gè)機(jī)的上網(wǎng)流量控制，特別是針對(duì)眾多學(xué)生在線(xiàn)看電影，P2P下載等等，以及有計(jì)時(shí)功能?

A：上網(wǎng)行為管理系統(tǒng)，有軟件的，也有硬件的。如果只是純粹的限速，可網(wǎng)管交換機(jī)一般都能實(shí)現(xiàn)。用上網(wǎng)行為管理系統(tǒng)，好一點(diǎn)的，可以直接禁用P2P、電影網(wǎng)站，效果比較好。

Q：我現(xiàn)在所工作的企業(yè)內(nèi)網(wǎng)已經(jīng)劃分出來(lái)了內(nèi)網(wǎng)與DMZ區(qū)，請(qǐng)問(wèn)專(zhuān)家，我需要不需要在內(nèi)網(wǎng)和DMZ區(qū)各加一臺(tái)防火墻？如果需要加，是做成背靠背好還是其他的方式？

A：現(xiàn)在防火墻1臺(tái)即可通過(guò)配置端口實(shí)現(xiàn)DMZ和內(nèi)網(wǎng)并設(shè)定策略，因此多數(shù)單位不需要再增加防火墻。但是很多要求較高的單位往往在DMZ和內(nèi)網(wǎng)，甚至內(nèi)網(wǎng)的不同網(wǎng)段之間繼續(xù)部署不同于網(wǎng)關(guān)防火墻品牌的防火墻，或IDS，部署方式?jīng)]那么嚴(yán)格，適應(yīng)自身業(yè)務(wù)需求即可。

Q：張老師，在內(nèi)網(wǎng)中，對(duì)于非法終端接入有什么好的解決方案？MAC綁定，終端注冊(cè)接入都有缺點(diǎn)，我希望非法終端（windows或非windows系統(tǒng)）一接入網(wǎng)絡(luò)就能報(bào)警并阻斷其聯(lián)入網(wǎng)絡(luò)，可能嗎？

A：IP、MAC、端口，三綁定，實(shí)施最節(jié)約，后期麻煩一些。并且不能阻斷外部帶入筆記本直接雙機(jī)互連拷貝的情況。常見(jiàn)的802。1x方案也無(wú)法解決這個(gè)問(wèn)題，建議采用某些廠(chǎng)家的可信域管理軟件，必須在計(jì)算機(jī)安裝agent，基于分布式防火墻做的，能智能判斷對(duì)方是否和自己屬于一個(gè)可信域，如不在一個(gè)可信域則隔離訪(fǎng)問(wèn)，能做到外面進(jìn)不來(lái)（必須有客戶(hù)端，且管理員驗(yàn)證通過(guò)，還必須在一個(gè)可信域或一個(gè)安全策略下），里面的出去也無(wú)法聯(lián)網(wǎng)。

Q：張老師你好，請(qǐng)問(wèn)現(xiàn)在在大中型企業(yè)流行什么加密軟件或加密方式？PGP在大中型企業(yè)流行嗎？為什么呢？

A：現(xiàn)在大中企業(yè)一般選用兩類(lèi)：1為用戶(hù)主動(dòng)加密；2為用戶(hù)被動(dòng)加密。前者表現(xiàn)為保存到單獨(dú)的某個(gè)文件夾、郵件加密、數(shù)字證書(shū)加密；后者表現(xiàn)為現(xiàn)在常見(jiàn)的透明加解密。個(gè)人更傾向于后者，并且現(xiàn)在一些文檔權(quán)限控制系統(tǒng)一般都有加密+分發(fā)+審計(jì)功能。我遇到的用戶(hù)里面PGP用的少--雖然教科書(shū)里面常用，但是我遇到一般只是安全公司的人用的多。企業(yè)一般都購(gòu)買(mǎi)國(guó)內(nèi)的商業(yè)產(chǎn)品，加密類(lèi)產(chǎn)品由于政策限制，國(guó)外的商業(yè)公司滲透難度較大。

Q：我想請(qǐng)教下張老師，在NAP，打印控制和U盤(pán)寫(xiě)保護(hù)下怎么做到客戶(hù)端和server，switch之間的穩(wěn)定。謝謝您！

A：和NAP相關(guān)的一些技術(shù)：AD、802。1x、動(dòng)態(tài)VLAN、DNS、DHCP……，正是因?yàn)槠鋸?fù)雜性，我遇到的一些客戶(hù)就因?yàn)榇嬖趩?wèn)題而未選用這樣的解決方案。數(shù)據(jù)和策略的同步，往往是個(gè)問(wèn)題，如同在AD下面，有時(shí)候用戶(hù)需要20分鐘才能登錄到系統(tǒng)，刪掉賬戶(hù)重建一個(gè)就OK了，這樣的問(wèn)題在多家用戶(hù)的實(shí)際應(yīng)用中都遇到過(guò)，因此一些用戶(hù)選擇了第三方解決方案。有時(shí)候一些問(wèn)題讓人惱火，正如比爾蓋茨演示XP的時(shí)候死機(jī)一樣……

Q：您好！張專(zhuān)家，向您請(qǐng)教幾個(gè)問(wèn)題：

（1）眾所周知，真正最大的威脅是來(lái)自于內(nèi)網(wǎng)，而不是外網(wǎng)，那么您認(rèn)為要想確保內(nèi)網(wǎng)的相對(duì)安全應(yīng)當(dāng)具體從哪些方面入手

（2）您能向我們推薦企業(yè)比較實(shí)用的IDS以及殺毒軟件

（3）要想確保數(shù)據(jù)只能在局域網(wǎng)內(nèi)部使用（用U盤(pán)或其他可移動(dòng)存儲(chǔ)設(shè)備拷貝出去使用不可用）

除了使用防拷貝軟件，在技術(shù)上有沒(méi)有其他好的辦法來(lái)實(shí)現(xiàn)，如果只能通過(guò)防拷貝軟件來(lái)實(shí)現(xiàn)，那么選擇哪一種軟件比較好！謝謝！祝張專(zhuān)家周末愉快！

A：1、內(nèi)網(wǎng)安全，管理為重。案例培訓(xùn)等，讓員工有危機(jī)意識(shí)。這一點(diǎn)政府、軍工企業(yè)做的比較好；

2、企業(yè)用的IDS：?jiǎn)⒚餍浅?、綠盟、安氏、天融信、華為（H3），殺毒推薦McAfee、Kaspersky、Symantec、TrendMicro；

3、介質(zhì)管理（外面U盤(pán)進(jìn)不來(lái)，企業(yè)U盤(pán)出不去，U盤(pán)拷貝加密）、文檔加密（推薦透明加解密）、文檔權(quán)限管理（在文檔加密的基礎(chǔ)上，實(shí)現(xiàn)文檔分發(fā)的權(quán)限控制功能）。從資金投入上來(lái)說(shuō)，介質(zhì)管理、文檔加密、文檔權(quán)限管理依次增加，但是安全性更好。這個(gè)可以根據(jù)企業(yè)自身需求進(jìn)行調(diào)研。

Q：個(gè)人理解在企業(yè)的管理層面上加強(qiáng)安全性，得到的實(shí)際效果比單純的從技術(shù)角度注重安全要大，企業(yè)還是應(yīng)該實(shí)現(xiàn)安全的管理制度化，希望老師能給點(diǎn)建議。

A：看到一本書(shū)上說(shuō)過(guò)，說(shuō)企業(yè)實(shí)施安全策略，如果獲得了高層支持，則已經(jīng)成功了一半。僅憑信息中心的幾個(gè)人，即使累死，也不可能管理所有人，但是如果有總裁的一紙內(nèi)部紅頭文件，則一切問(wèn)題都不再是問(wèn)題。對(duì)企業(yè)而言，安全管理大于技術(shù)實(shí)現(xiàn)。并且就純技術(shù)而言，有矛，就有盾，而從管理上下手，員工都是遵從的。

Q：目前內(nèi)網(wǎng)安全的產(chǎn)品很多，都需要客戶(hù)端程序。絕大多數(shù)的產(chǎn)品都會(huì)出現(xiàn)不兼容現(xiàn)象，更有不成熟的內(nèi)網(wǎng)產(chǎn)品裝上之后，PC運(yùn)行極慢，請(qǐng)問(wèn)下，那家的客戶(hù)端比較好些?

A：我在這里說(shuō)哪一家好必然有廣告的嫌疑，呵呵。我建議您可以參考下產(chǎn)品的客戶(hù)群體，最好是高端用戶(hù)、分布式實(shí)施的用戶(hù)，測(cè)試的時(shí)候裝30臺(tái)機(jī)子，運(yùn)行一個(gè)月看看。否則這個(gè)很容易出問(wèn)題。另外實(shí)施內(nèi)網(wǎng)安全產(chǎn)品，注意一定不要片面追求功能，如果大部分功能砍掉，只要自己需要的功能模塊，出問(wèn)題幾率就小多了。

Q：就剛才備份的問(wèn)題。個(gè)人電腦做RAID太奢侈了。另外一個(gè)個(gè)增加訪(fǎng)問(wèn)權(quán)限在用戶(hù)管理里面添加用戶(hù)太麻煩了，因?yàn)橹辽僖紤]200+的用戶(hù)，有沒(méi)什么更加簡(jiǎn)便的方式？

A：從命令行鍵入：FOR/L%iin(1，1，500)DONETUSERMyUser%i/ADD結(jié)果將創(chuàng)建500個(gè)新用戶(hù)，分別命名為MyUser1、MyUser2。。。，依此類(lèi)推。如果不想用RAID，就在增加一臺(tái)PC做備份吧。呵呵

Q：內(nèi)網(wǎng)的安全，除了文件的拷貝，密碼的外泄之外，會(huì)不會(huì)出現(xiàn)病毒之類(lèi)的攻擊??？

A：內(nèi)網(wǎng)莫名其妙出現(xiàn)病毒的情況不大，除非企業(yè)里面高人多，可以自己寫(xiě)，或網(wǎng)上下載了哪來(lái)修改。不夠用木馬的可能性倒是比較大……曾經(jīng)有多個(gè)朋友問(wèn)我，如何給同事中木馬的問(wèn)題……不過(guò)一律拒絕。

Q：我想問(wèn)一下專(zhuān)家為了內(nèi)網(wǎng)的安全是否安裝了隔離卡就一定安全，還有就是公司一臺(tái)arp服務(wù)器經(jīng)常有報(bào)攻擊，但是主管安全的領(lǐng)導(dǎo)說(shuō)大部分情況屬于誤報(bào)，請(qǐng)問(wèn)專(zhuān)家是否有這種可能性。

A：隔離卡只能從物理上保障內(nèi)外網(wǎng)的隔離，如果你用U盤(pán)把內(nèi)網(wǎng)從文件拷貝到外網(wǎng)，還是無(wú)法實(shí)現(xiàn)安全性。ARP服務(wù)器？輸錯(cuò)了？網(wǎng)上多數(shù)的免費(fèi)ARP防火墻做的還是不錯(cuò)的，如果不放心可以裝一個(gè)上去。

Q：關(guān)于網(wǎng)絡(luò)安全！不知道防火墻對(duì)企業(yè)的重要性！我個(gè)人覺(jué)得網(wǎng)絡(luò)安全可能大多數(shù)時(shí)候可能最重要的是管理好防火墻！對(duì)防火墻應(yīng)該更好的管理！同時(shí)請(qǐng)專(zhuān)家介紹幾個(gè)起到很關(guān)鍵性作用的網(wǎng)管軟硬件（適用又不太貴~`_~本單位經(jīng)費(fèi)有限）

A：如果嚴(yán)格執(zhí)行企業(yè)網(wǎng)絡(luò)在規(guī)劃階段的安全策略，實(shí)際上防火墻的作用是相當(dāng)大的，而實(shí)際上很多防火墻要么在當(dāng)路由器用，要么設(shè)置的策略完全是不符合公司現(xiàn)有業(yè)務(wù)需求，這個(gè)很重要。網(wǎng)管產(chǎn)品，我不知道說(shuō)的是上網(wǎng)行為管理還是網(wǎng)絡(luò)設(shè)備管理。上網(wǎng)行為管理的話(huà)，國(guó)內(nèi)：網(wǎng)康、深信服、網(wǎng)際思安、金盾……都行，這個(gè)搜索引擎搜一下很多，到時(shí)候測(cè)試下就可以了。難點(diǎn)在于WEB迅雷和跑80端口的封堵，這個(gè)少數(shù)設(shè)備做的比較好。網(wǎng)絡(luò)設(shè)備管理的話(huà)，國(guó)內(nèi)幾大家：游龍、北塔、網(wǎng)強(qiáng)、摩卡。上網(wǎng)行為管理的還有幾個(gè)軟件的，也可以用。呵呵

Q：內(nèi)部網(wǎng)絡(luò)如何做日常的漏洞巡檢，有沒(méi)有比較好的免費(fèi)工具推薦？?jī)?nèi)部網(wǎng)做了VLAN網(wǎng)絡(luò)隔離，如何掃描到每個(gè)主機(jī)MAC，并對(duì)密碼的強(qiáng)弱進(jìn)行判定？

A：制定切實(shí)可行的安全策略，做好審計(jì)日志及相關(guān)工作，漏洞檢測(cè)盡量不要做包括破壞性的測(cè)試，以免影響業(yè)務(wù)系統(tǒng)。免費(fèi)工具推薦Nessus和NMAP。內(nèi)網(wǎng)做VLAN并不影響掃描到主機(jī)的MAC，前提是掃描MAC的主機(jī)應(yīng)該在被允許訪(fǎng)問(wèn)的VLAN內(nèi)，如服務(wù)器的VLAN、公共訪(fǎng)問(wèn)VLAN。密碼強(qiáng)弱最好依靠策略判定，如域策略，否則如果靠掃描，大型網(wǎng)絡(luò)里面耗費(fèi)時(shí)間很多，也不可靠。

Q：您好，關(guān)于內(nèi)網(wǎng)安全，一般怎么可以提升內(nèi)網(wǎng)安全?如何實(shí)現(xiàn)內(nèi)網(wǎng)安全管理和安全控制?

A：相比公共訪(fǎng)問(wèn)區(qū)的安全，內(nèi)網(wǎng)安全更傾向于安全管理。內(nèi)關(guān)于實(shí)現(xiàn)內(nèi)網(wǎng)安全管理、安全控制，建議看下等級(jí)保護(hù)的相關(guān)文檔，如《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》。這幾個(gè)文檔是寫(xiě)的相當(dāng)不錯(cuò)的，網(wǎng)上可以下載到。因?yàn)樘?，所以很難在幾句話(huà)之內(nèi)說(shuō)清。

Q：看到大家都很踴躍提問(wèn)，我本來(lái)是提不出什么問(wèn)題來(lái)。重在參與。也提一個(gè)。大家問(wèn)的問(wèn)題五花八門(mén)，一下子弄全面、系統(tǒng)還真的不容易。

請(qǐng)教下專(zhuān)家，一個(gè)目前最好的內(nèi)網(wǎng)安全解決方案有嗎？最好具體化、細(xì)節(jié)化。

空洞的理論也很重要，但是企業(yè)的員工并不懂，我們也不太懂。

A：最好的內(nèi)網(wǎng)安全解決方案并不存在，只有適合的才是最好的。就像每一個(gè)安全產(chǎn)品廠(chǎng)家都聲稱(chēng)自己的方案最好、產(chǎn)品最好，實(shí)際上大家都知道這是商業(yè)策略。滿(mǎn)足需求、成本合適，就是最好的。就像很多10-30人的小企業(yè)，按照等級(jí)保護(hù)的要求去做的話(huà)，可能公司1年的利潤(rùn)還不夠買(mǎi)防火墻、IPS和審計(jì)、加密產(chǎn)品的，還是那句話(huà)：適合的就是最好的。理論上的東西您可以搜下，圈子里面的牛人吳魯加寫(xiě)的一個(gè)PPT"20080319_企業(yè)內(nèi)網(wǎng)安全實(shí)踐與思考。ppt"，以事例將安全，做的很好。

Q：您好！公司有一些比較機(jī)密的文件放在一臺(tái)文件服務(wù)器上但是經(jīng)常聽(tīng)到有關(guān)部門(mén)的人反映文件丟失和泄漏，想問(wèn)下怎么防止公司文件被員工用U盤(pán)拷貝，用郵件聊天軟件發(fā)出。（但公司一些有需要的人要可以正常使用）

A：防止拷貝文件泄密可以用移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)，也可以用終端安全管理系統(tǒng)（桌面管理），不但可以對(duì)U盤(pán)、移動(dòng)硬盤(pán)進(jìn)行允許/禁用，也可以進(jìn)行授權(quán)，也可以對(duì)文件操作進(jìn)行記錄。防止用郵件聊天軟件發(fā)出則用上網(wǎng)行為管理系統(tǒng)，可以控制，也可以記錄。這個(gè)在設(shè)備上面做下權(quán)限分配即可。不過(guò)直接用文檔加密亦可。

Q：這邊已經(jīng)在交換機(jī)上做了IP-MAC綁定，限定一個(gè)交換機(jī)端口只能連一臺(tái)電腦，有高人弄個(gè)小路由聯(lián)整個(gè)辦公室上網(wǎng)，你說(shuō)愁人不？咋整？

A：這個(gè)問(wèn)題：小路由模擬成綁定的MAC就能上網(wǎng)了。最簡(jiǎn)單的方式：在防火墻上限定每個(gè)用戶(hù)的并發(fā)連接數(shù)，這樣如果幾個(gè)人上就經(jīng)常超過(guò)限制，打不開(kāi)了……當(dāng)然，不治本。電信一般用網(wǎng)絡(luò)尖兵之類(lèi)的軟件探測(cè)，不過(guò)企業(yè)自己購(gòu)買(mǎi)可能性不大。

Q：我們現(xiàn)在所做的上網(wǎng)行為管理，等等是解決不了絕對(duì)安全的，，比如可以打印出來(lái)帶走，，或者是機(jī)密文件帶走后，公司才能發(fā)現(xiàn)，，請(qǐng)問(wèn)專(zhuān)家什么意見(jiàn)？

A：主機(jī)審計(jì)和監(jiān)控系統(tǒng)（桌面管理、終端安全管理系統(tǒng)）可以做到這個(gè)。如：文件的創(chuàng)建、寫(xiě)入、拷貝、讀取、刪除，包括網(wǎng)上鄰居對(duì)文件的操作；誰(shuí)、什么時(shí)候、通過(guò)什么軟件打印了什么文件？文件名是什么？甚至可以記錄被打印文件的正文；控制各種端口，如USB、紅外、藍(lán)牙、1394。

Q：公司有臺(tái)數(shù)據(jù)庫(kù)，請(qǐng)問(wèn)專(zhuān)家：是做raid好還是做集群呀，等待回復(fù)/謝謝

A：二者用途不一樣。您的應(yīng)用主要是為了安全吧？那么RAID好一些，集群主要為了應(yīng)對(duì)大規(guī)模的網(wǎng)絡(luò)環(huán)境而設(shè)計(jì)。

Q：一個(gè)關(guān)于vpn的問(wèn)題：如果我在公司用win2003搭建一個(gè)vpn服務(wù)器。怎么才能讓家里的電腦能連上呢。想不明白，但是我在虛擬機(jī)上不同網(wǎng)段的pc可以實(shí)現(xiàn)，但是真實(shí)的情況就……請(qǐng)問(wèn)專(zhuān)家能否實(shí)現(xiàn)？

A：服務(wù)器的操作系統(tǒng)有公網(wǎng)地址沒(méi)有？你在家的時(shí)候，連接不上提示什么錯(cuò)誤？既然在虛擬機(jī)可以實(shí)現(xiàn)，從家里到公司也不應(yīng)該有問(wèn)題。沒(méi)有策略限制吧？

Q：公司中一病毒，在病毒瘋狂在內(nèi)網(wǎng)的近千臺(tái)客戶(hù)端內(nèi)傳播，而殺毒軟體和補(bǔ)丁無(wú)法起作用，可否針對(duì)病毒的特征設(shè)置策略，禁止該客戶(hù)端訪(fǎng)問(wèn)內(nèi)網(wǎng)資源。

A：首先確認(rèn)是什么類(lèi)的病毒，文件傳播？U盤(pán)傳播？網(wǎng)絡(luò)傳播？ARP欺騙類(lèi)？然后制定相應(yīng)的解決方案。您可以看看TrendMicro、Symantec、McAfee的安全解決方案，如果中毒或沒(méi)有實(shí)施企業(yè)的安全策略（如補(bǔ)丁策略等）則無(wú)法訪(fǎng)問(wèn)網(wǎng)絡(luò)資源，都是可以做到的。另外如果您仔細(xì)分析了病毒，參考下相關(guān)資料，可以發(fā)現(xiàn)一些通過(guò)網(wǎng)絡(luò)傳播的病毒可以通過(guò)防火墻或智能交換機(jī)阻斷。

Q：A網(wǎng)中有大量監(jiān)控視頻頭（一個(gè)視頻頭使用一個(gè)IP），想在不同網(wǎng)段的B網(wǎng)（可用IP較少）中查看并可控制視頻頭，中間路由相聯(lián)，使用NAT會(huì)不會(huì)存在問(wèn)題？我想到的是，能不能使用B網(wǎng)IP+固定端口對(duì)應(yīng)A網(wǎng)固定IP方式。如能對(duì)性能影響不大，有上千臺(tái)設(shè)備。另還有沒(méi)有其它方法，讓B網(wǎng)使用A網(wǎng)時(shí)，A網(wǎng)地址都是B網(wǎng)段地址？

A：您最后一句話(huà)我沒(méi)看明白，我對(duì)您說(shuō)法的理解：B網(wǎng)訪(fǎng)問(wèn)A網(wǎng)的時(shí)候用端口，并實(shí)現(xiàn)安全性。用NAT是沒(méi)問(wèn)題的，不過(guò)用路由器設(shè)置上千臺(tái)設(shè)備從IP到IP+端口的訪(fǎng)問(wèn)，工作量大一點(diǎn)，制定一個(gè)ACL，可以做到。

Q：我想問(wèn)一下關(guān)于windows2003PKI軟件限制策略怎么用來(lái)提高安全性

A：軟件限制策略提供了一種由策略驅(qū)動(dòng)的方法，以識(shí)別軟件并控制其運(yùn)行能力。管理員將定義規(guī)則來(lái)控制允許軟件運(yùn)行的時(shí)間。這些規(guī)則包含在組策略中，這樣即可在站點(diǎn)、域或組織單位(OU)上設(shè)置這些規(guī)則。

軟件限制策略中包含用于決定軟件是否應(yīng)被允許運(yùn)行的默認(rèn)規(guī)則及默認(rèn)規(guī)則的例外情況。它允許管理員定義一個(gè)用于指定是否所有軟件都運(yùn)行的策略。例如：某個(gè)默認(rèn)選項(xiàng)是除指定的程序組之外所有軟件都可以運(yùn)行。而另一個(gè)默認(rèn)選項(xiàng)則是除指定的程序組之外所有軟件都不能運(yùn)行。請(qǐng)參考微軟網(wǎng)站的文章：http://www.microsoft.com/china/technet/prodtechnol/winxppro/plan/pkienh.mspx

Q：張老師，現(xiàn)在有一個(gè)棘手的問(wèn)題。我有600多臺(tái)的客戶(hù)端機(jī)器。配置為雙核CPU+80G硬盤(pán)+2g內(nèi)存+還原卡+有盤(pán)系統(tǒng)XP，目前確定中病毒了。病毒特征為，無(wú)法刪除、重命名文件夾。目前知道只要?jiǎng)h除兩個(gè)dll病毒文件就可以了。只有周日才有時(shí)間大批量維護(hù)，您有什么好的意見(jiàn)嗎？

A：您的計(jì)算機(jī)安裝了還原卡，我不知道是在裝卡前中毒還是裝了卡之后中毒？你說(shuō)的2個(gè)dll文件是什么名稱(chēng)？您可以搜一下相關(guān)資料。我知道能穿透還原卡的病毒只有機(jī)器狗，但是機(jī)器狗是通過(guò)pcihdd。sys進(jìn)行破壞，并不是你說(shuō)的。dll，加之也不知道您的計(jì)算機(jī)是在安裝還原卡之前已經(jīng)中毒，還是之后，因此無(wú)法判斷實(shí)際情況。我在根據(jù)您說(shuō)的情況搜了下，也沒(méi)找到相關(guān)信息，建議找個(gè)周末維護(hù)吧。

Q：一個(gè)企業(yè)網(wǎng)絡(luò)，用的是網(wǎng)件的防火墻和飛魚(yú)星行為管理路由，想用路由劃分兩個(gè)子網(wǎng)，需要在防火墻里面怎么設(shè)置，不設(shè)置就上不了網(wǎng)，但將路由接到主交換機(jī)可以正常上網(wǎng)

A：不同品牌，甚至同品牌不同型號(hào)的產(chǎn)品配置往往不同，因此我也無(wú)法判斷應(yīng)該如何設(shè)置。建議聯(lián)系防火墻廠(chǎng)家尋求技術(shù)支持。

Q：請(qǐng)問(wèn)下，現(xiàn)在企業(yè)對(duì)于安全的要求上，一般都認(rèn)為是硬件的好，我十分不明白這些對(duì)于軟件來(lái)說(shuō)都是可以做到的，那么為什么我們還要去購(gòu)買(mǎi)防火墻?

A：現(xiàn)在很多軟件是基于Windows的，其安全性一直為人所詬病，因此，開(kāi)源的、精簡(jiǎn)的、優(yōu)化了性能的、提升了安全性的Linux往往是首選，另外由于Windows服務(wù)器在企業(yè)里面往往也被用作別的用途，而硬件的網(wǎng)絡(luò)設(shè)備卻一般無(wú)法挪作它用，因此穩(wěn)定性相對(duì)而言要好的多，且一般都是定制開(kāi)發(fā)的硬件平臺(tái)，這樣的話(huà)穩(wěn)定性、安全性、執(zhí)行效率都要比軟件的好一些。

Q：張老師，請(qǐng)你解釋下大中型企業(yè)如何進(jìn)行郵件加密。還有你說(shuō)"企業(yè)一般都購(gòu)買(mǎi)國(guó)內(nèi)的商業(yè)產(chǎn)品"，我看過(guò)國(guó)內(nèi)很多商業(yè)產(chǎn)品都很垃圾，國(guó)內(nèi)有什么很好的加密軟件嗎？比PGP還安全嗎？事實(shí)上我覺(jué)得PGP最適合筆記本用戶(hù)，因?yàn)橐坏┕P記本丟失，用PGP加密過(guò)的磁盤(pán)即使進(jìn)入pe也無(wú)法查看！非常安全，網(wǎng)上我還沒(méi)找到可以破解PGP的軟件或方法！

A：郵件加密，商業(yè)公司一般采用第三方數(shù)字證書(shū)進(jìn)行加密，主要是中華人民共和國(guó)電子簽名法認(rèn)可數(shù)字證書(shū)，并公布了一批名單，一般命名為XX省CA。受法律保護(hù)。加密軟件我推薦TrueCrypt，免費(fèi)，且使用簡(jiǎn)單，加密強(qiáng)悍。支持多種加密方式和加密算法。

Q：請(qǐng)問(wèn)，2003server的服務(wù)器要不要打補(bǔ)丁呢？用windows自帶的更新補(bǔ)丁速度太慢，忍受不了，用一些輔助工具把，又不放心。

服務(wù)器真的有必要要打補(bǔ)丁么？打補(bǔ)丁真的能有效果么？

A：毫無(wú)疑問(wèn)，補(bǔ)丁是必須的。如果自帶的慢，可以用360安全衛(wèi)士的，稍微快一些。

Q：張老師你好！我是一個(gè)網(wǎng)絡(luò)安全的初學(xué)者不知道現(xiàn)在可以看哪些書(shū)籍來(lái)學(xué)習(xí)網(wǎng)絡(luò)安全的知識(shí)及提高這方面的能力了？

A：建議去www。china-pub。com看看，計(jì)算機(jī)類(lèi)的書(shū)蠻多的。另外操作系統(tǒng)是必須要學(xué)的，這個(gè)是基礎(chǔ)，建議WindowsServer和Linux都看看。如果經(jīng)濟(jì)條件允許，不妨看看微軟、思科、紅帽認(rèn)證的一些教材。

Q：在內(nèi)網(wǎng)中，如何防止U盤(pán)拷貝文件?

A：1、在bios中封掉

2、修改注冊(cè)表

3、通過(guò)策略，可以是本地策略或與策略

4、內(nèi)網(wǎng)安全管理軟件控制

5、移動(dòng)存儲(chǔ)介質(zhì)管理系統(tǒng)控制

Q：請(qǐng)問(wèn)無(wú)線(xiàn)網(wǎng)環(huán)境如何防止接入，ip物理地址綁定后，如何防止修改xp網(wǎng)絡(luò)高級(jí)屬性的物理地址從而上網(wǎng)？

A：選擇強(qiáng)加密方式，增加復(fù)雜密碼。如果擔(dān)心修改MAC入網(wǎng)，建議使用數(shù)字證書(shū)，上網(wǎng)的時(shí)候必須有數(shù)字證書(shū)才能使用網(wǎng)絡(luò)。

Q：專(zhuān)家您好，想咨詢(xún)一下是否可推薦幾本LINUX網(wǎng)絡(luò)安全管理方面的書(shū)籍，小D想進(jìn)行系統(tǒng)的學(xué)習(xí)一下Linux網(wǎng)絡(luò)管理，謝謝。

A：個(gè)人的閱讀習(xí)慣不一樣，我喜歡的不一定喜歡你。不過(guò)推薦個(gè)：http://www.china-pub.com/37429您也可以看看這個(gè)頁(yè)面http://www.china-pub.com/s/?&displaytype=1&key1=linux+%b0%b2%c8%ab&type=&pz=1&ordertype=4

建議看看書(shū)的目錄和評(píng)論。

Q：我公司是單域，現(xiàn)有有個(gè)安全問(wèn)題，怎么做才可以實(shí)現(xiàn)服務(wù)器上的資料只可以打開(kāi)修改，不可以拷貝到本機(jī)或上傳到網(wǎng)盤(pán)呢?

A：實(shí)際上在打開(kāi)的過(guò)程中，已經(jīng)讀入到本機(jī)內(nèi)存了……因此總是有辦法拷貝出來(lái)的。到是有產(chǎn)品可以強(qiáng)制保存到服務(wù)器，而本機(jī)禁止再拷貝，且實(shí)現(xiàn)了加密功能。打開(kāi)的人獲取不到未加密的文件，因此也就不存在泄露的可能了?；蛘呓ㄗh簡(jiǎn)單一點(diǎn)，直接透明加密或按照權(quán)限分發(fā)，這樣在本機(jī)和在服務(wù)器都一樣，即使外發(fā)，也不會(huì)造成損失。

Q：請(qǐng)問(wèn)如何防治arp攻擊？雖然目前360能起到一定的作用，但是效果也不是太好！謝謝！

A：IP、MAC、Port三綁定，主機(jī)安裝ARP防火墻或用arp-s。另外有廠(chǎng)家現(xiàn)在推出了安全交換機(jī)（有些路由器、防火墻也是可以的），可以有效檢測(cè)ARP病毒，一旦檢測(cè)出來(lái)則自動(dòng)關(guān)閉端口10分鐘（可以自己設(shè)置阻斷時(shí)間）。

Q：你好專(zhuān)家!我想問(wèn)問(wèn)現(xiàn)在企業(yè)中的機(jī)密信息如何保護(hù)以及使用哪些技術(shù)手段進(jìn)行保護(hù)？謝謝!

A：如果說(shuō)最重要的，還是得從保密意識(shí)上做起。畢竟最重要的知識(shí)產(chǎn)權(quán)永遠(yuǎn)在人的大腦而不是在計(jì)算機(jī)上?？床煌袠I(yè)、不同需求。一般從網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)幾方面考慮。最簡(jiǎn)單的來(lái)說(shuō)：端口控制、介質(zhì)保護(hù)、文檔加密。

Q：內(nèi)網(wǎng)安全除在核心層做好安全防御處，對(duì)單機(jī)用戶(hù)如何做好防御？采用什么方法來(lái)做比較好？

A：?jiǎn)螜C(jī)，一般從端口、介質(zhì)進(jìn)行管理，另外包括系統(tǒng)的身份認(rèn)證、操作行為審計(jì)。也有在使用單機(jī)的文件保險(xiǎn)柜。

Q：您能否對(duì)市場(chǎng)上常見(jiàn)的內(nèi)網(wǎng)安全產(chǎn)品做個(gè)對(duì)比和分析，以幫助我們?cè)谶x擇時(shí)，能夠做到有的方矢，謝謝！

A：內(nèi)網(wǎng)安全產(chǎn)品分身份認(rèn)證、安全審計(jì)、文檔加密等很多種，身份認(rèn)證有衛(wèi)士通、格爾等；安全審計(jì)有北信源、漢邦等；文檔加密有億賽通、前沿等。

【編輯推薦】