政府网络安全

政府网络安全
一、网络信息安全现状
随着政府上网、海关上网、电子商务等一系列网络应用的蓬勃发展，Internet正在逐渐融入到社会的各个方面。一方面，网络用户成分越来越多样化，出于各种目的的网络入侵和攻击越来越频繁；另一方面，网络应用越来越深地渗透到金融、商务、国防等等关键要害领域。换言之，Internet网的安全，包括其中的信息数据安全和网络设备服务的运行安全，日益成为与国家、政府、企业的利益休戚相关的"大事情"。 安全保障能力是新世纪一个国家综合国力、经济竞争实力和生存能力的重要组成部分。不夸张地说，它在下个世纪里完全可以与核武器对一个国家的重要性相提并论。这个问题解决不好，将全方位地危及我国的政治、军事、经济、文化、社会生活的各个方面，使国家处于信息战和高度经济金融风险的威胁之中。
在政府网络中，内部网络上有着大量高度机密的数据和信息，网络安全是放在首位的。如果网络安全得不到保证，那么将会给国家、社会及网络用户带来严重威胁，可能造成政治、经济等各方面的巨大损失。在政府工作不断地实现信息化、高效便捷的同时，安全保护成了亟待解决的问题。
面对网络安全的威胁，现在常用的安全防护方法主要有：
◆ 软件解决方案
◆ 法规和行政命令
◆ 物理隔离方案
现在正在广泛应用的是许多复杂的软件及部分硬件技术，如用防火墙、代理服务器、入侵探测器、通道控制等手段来降低来自Internet的危险。但是，任何此类基于软件的保护都是一种逻辑机制，用预先设置的规则来检测和拒绝可能有害的操作或信息。但这些防护都可能被破解，在美丽莎事件中，软件基础上的安全工具面对完全陌生的病毒无计可施。从这一角度来说，软件技术可以保障网络的正常运作和常规安全保障，但并不能满足一个高度机密部门的内部涉密网的万全的安全要求。
法规和行政命令对安全工作是绝对必须的，严格的工作纪律是安全防护的重要保证。但是同样不能排除在工作中的稍稍疏忽，可能会破坏行政规则，泄露机密信息。况且我们不能排除故意泄密或破坏的存在。
采用硬件物理隔离方案，即将内部涉密网与外部网彻底地物理隔离开，没有任何线路连接。这样可以保证网上黑客无法连接内部涉密网，具有极高的安全性。普通的物理隔离方法虽然安全。但也造成了工作不便、数据交流困难、设备场地增加和维护费用加大等负面影响。
在组建政府网络系统时，一定要充分考虑网络系统的安全建设。那么，怎样才能使网络安全建设卓有成效呢？本文分析了网络安全建设需要考虑的重要问题。

二、全面分析网络安全漏洞
　　政府网络系统的安全隐患除了来自外联网络系统之外，还有网络系统本身的，包括操作系统、数据库系统、网络通信协议等。具体来讲，网络系统存在以下几项安全隐患。
　　1．传输信道：不管是内部网络系统，还是外联系统，子网之间的连接总得通过相关传输信道。一般来讲，目前的网络传输主要通过宽带IP、DDN、X.25和PSTN信道。就其传输信道本身来看，存在诸如电磁泄露、信号泄露、监听/干扰、假冒通信和信息假冒等问题。而这些现象又无一例外地要对企业网络构成安全威胁。它们或是因为传输距离太远，或者传输线路质量较差，引起数据传输中的“丢包”现象，从而降低网络传输速度，甚至使远程子网间无法通信。
　　2．操作系统：毫不夸张地说，大多数网络入侵是因为操作系统的漏洞。像主数据库服务器上运行的Unix、Web和OA等辅助服务器上运行的Windows NT或Novell等，无一例外都有漏洞。另外，在大
部分网络操作系统中，为用户提供的方便的通信功能和共享设置，也为黑客攻击和病毒感染留下了“可乘之机”，如Unix系统的远程用户登录、NT系统中基于 Netbios的文件共享和打印机共享等功能等。
　　3．数据库系统：任何企业网络的数据库中都存放着企业的关键数据和重要资料，一旦因管理员管理不善而造成数据库口令被盗用，就会使貌似安全稳定的企业网络核心机构变得相当脆弱。
　　4．网络通信协议：目前大多数企业网络系统所采用的网络通信协议是TCP/IP、Http、 Ftp、Smtp、Telnet等，这些协议大多先天不足和带有安全漏洞。例如，在TCP/IP协议的近期版本中，
最大的安全问题是缺乏有效的身份认证和鉴别机制，通信的双方很难确定对方的确切身份及通信时的物理位置等，网络攻击者们往往利用这些安全漏洞来对企业网络进行频繁攻击。
　　5．Web服务器：WWW服务器是内外部网络连接的纽带和堡垒，因而最容易成为黑客主动攻击的对象。 　　6．病毒方面：成千上万的网络病毒肆虐在网络环境中，其危害程度甚至高于黑客的恶意攻击。
　　7．数据的安全存放：由于网络中心，特别是主数据库存放着企业网络全局的所有重要数据，这些数据和信息甚至就是企业的生命，像电信、移动、寻呼等通信企业的数据中心系统所保存的就是所有通信用户的基本信息资料和通信计费数据，如果这样的数据中心遭到毁坏，其后果将使企业遭到灭顶之灾。
　　8．桌面PC设置：网管员通常都将安全防范的重点集中在服务器上，忽略了客户机和桌面PC的相关设置。特别是某些网管员在安装软件时，为了方便而将客户机或桌面PC设置为完全共享。而某些工作人员又习惯于将一些自己处理过的企业机密文件存放在自己的文档中，或在自己的硬盘上留有备份，这就有可能使得某些重要文件在内部网上随意地流传，为网络系统留下了安全隐患。
　　9．关注后院起火：网络内部人员，由于对自己的网络非常熟悉，又位于防火墙后端，也就有可能给网络安全带来威胁。网络中可能存在一些绕过网络出口的通道，例如某些子网擅自和一些外部单位连接、某些PC采用拨号方式上网、某些非内部人员外部拨号进入等等，这些都是极大的安全隐患。
　　10．信息的认证和传输：大型企业在组建网络时，典型的方式是企业各部门所建的子网和计算中心子网建立在同一个局域网内，尤其是管理机构位于同一栋大楼中时。这种建制虽然方便了网络的建设与管理，但也使得从网上窃取信息变得更容易。而像电信、移动、银行、税务等单位，是上有省公司（局），下有区、县分公司的大中型企业网络，内部用户较多，可阅览的机密要件的权限也各不相同，这就需要建立一个安全的身份认证和存取控制机制。尤其值得注意的是，传统的印章制度在一定范围内无法发挥作用，这就要求安全系统能提供这方面的保障，使得信息在传输、存储、共享过程中，既不被非法篡改，也无法进行抵赖。
　　因此，一个网络所受到的安全威胁，既有技术方面的，也有管理方面的；既有来自网络内部的，也有来自网络外部的；既有人为恶意攻击的，也有无意造成的。所以，网络安全是一个系统的、多层面的和全方位的系统工程。

三、整体落实网络安全策略
1．内部网络系统防范措施
　　① 病毒防护：有针对性地选择性能优秀的专业网络防病毒软件，是网络系统免遭病毒侵扰的重要保证。从病毒发展趋势来看，现在的病毒已经由单一传播、单种行为，变成依赖互联网传播，集电子邮件、文件传染等多种传播方式，融黑客、木马等多种攻击手段为一身的广义的“新病毒”。计算机病毒更多的呈现出如下的特点：与Internet和Intranet更加紧密地结合，利用一切可以利用的方式(如邮件、局域网、远程管理、即时
通信工具等)进行传播；所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序的特点于一身，破坏性大大增强；因为其扩散极快，不再追求隐藏性，而更加注重欺骗性；利用系统漏洞将成为病毒有力的传播方式。因此，在内网考虑防病毒时选择产品需要重点考虑以下几点：防杀毒方式需要全面地与互联网结合，不仅有传统的手动查杀与文件监控，还必须对网络层、邮件客户端进行实时监控，防止病毒入侵；产品应有完善的在线升级服
务，使用户随时拥有最新的防病毒能力；对病毒经常攻击的应用程序提供重点保护；产品厂商应具备快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案；厂商能提供完整、即时的反病毒咨询，提高用户的反病毒意识与警觉性，尽快地让用户了解到新病毒的特点和解决方案。
　　② 信道传输的安全：有些可以要求信道提供商通过改造线路质量来完善，另外一些则可以由网络系统自己完善。例如，在大中型企业中，技术力量相对较强，大部分数据库信息的采集和处理都需要自已二次开发，这样，就可以注入信道传输方面的安全措施。比如可采用对应用程序加密、对通信线路（主要是DDN）加密，或采用VPN虚拟专用网络等较好的数据安全传输方案，完善网络安全防范体系。
由于内网的信息传输采用广播技术，数据包在广播域中很容易受到监听和截获，因此需要使用安全交换机，利用网络分段及VLAN的方法从物理上或逻辑上隔离网络资源，以加强内网的安全性。
　　③ 内部网络安全审计：如果说防火墙是一道保卫内部网络的重要关卡，那么网络安全审计则是一支在网络内部值勤的网上巡警。网络安全审计能够帮助对网络进行动态实时监控，可通过寻找入侵和违规行为，记录网络上发生的一切，为用户提供取证手段。网络安全审计不但能够监视和控制来自外部的入侵，还能够监视来自内部人员的违规和破坏行动，它是评判一个系统是否真正安全的重要尺度。例如，复旦光华S-Audit审计系统，只要安置在大中型企业网络中心数据库服务器所在的网段上，就可保证信息的收集、分析、统计、存储、报警等顺利进行。 
　　④ 内网IP地址与MAC地址绑定：为了从物理上保证网络的安全性，特别是防止外部恶意攻击、破坏、盗取、更改企业网络系统的重要数据与资料，完全可以将企业内部网络中所分配的IP地址与电脑网卡上的MAC地址绑定起来，使网络安全系统在侦别内部信息节点时具有物理上的惟一性。显然，对于诸如电信、移动、银行、证券、税务等单位，因其网络系统完善、信息点广泛、人手一台PC、每人的口令各自保管，为MAC地址与IP地址捆绑创造了条件。
　　⑤ 操作系统：从终端用户的程序到服务器应用服务、以巴绨踩暮芏嗉际酰际窃诵性诓僮飨低成系模虼耍Ｖげ僮飨低车陌踩钦霭踩低车母尽３瞬欢显黾影踩苟≈猓剐枰⒁惶锥韵低车募嗫叵低
常⒔⒑褪凳┯行У挠没Э诹詈头梦士刂频戎贫取@@@@　　
　　⑥ 主要数据库服务器采用小型机：计算机病毒一般都是针对具有统一、标准、广泛应用的网络环境，所以，现代网络病毒大都是针对Windows系列和应用广泛的数据库系统的。有许多事关用户权益的企业，像电信、移动、银行、证券、税务等单位组建的网络系统，其主要数据库服务器不仅硬件必须采用小型机，操作系统也要采用由小型机厂商自己开发的专用产品，数据库也必须是专门为这类小型机开发的。这种专用系统，因其硬件和软件的专用性而无法普及，因而也就不为一般病毒制造者所看好，更谈不上去为此系统专门制造病毒了。
　　⑦信息保密防范 ：为了保障网络的安全，也可以利用网络操作系统所提供的保密措施。以Windows为例，进行用户名登录注册，设置登录密码，设置目录和文件访问权限和密码，以控制用户只能操作什么样的目录和文件，或设置用户级访问控制，以及通过主机访问Internet等。
同时，可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性，数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的数据以可读的形式存储其中，所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径，电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道，如电磁泄露、非法终端、搭线窃取、介质的剩磁效应等，也可以采取相应的保密措施。
　　⑧ 数据备份及恢复系统：大中型企业网络系统，其系统各子网不可能都在同一座大楼内，有许多子网分布在离网络中心几公里甚至几十公里之外的下属单位。一般来讲，可将网络系统的重要数据集中在企业网络中心管理，但有的企业因其业务发展的需要，下面的子网系统也有自己独立的数据库系统，像电信系统，不仅省公司有计费业务系统，地市公司也有计费业务系统，就是县公司也有计费业务系统，这些系统既有上下级之间的关联控制，又有相对的独立性，所以必须建立数据异地备份中心。如采用以太网方式的磁带库备份系统来处理数据的备份等。
在内网系统中数据对用户的重要性越来越大，实际上引起电脑数据流失或被损坏、篡改的因素已经远超出了可知的病毒或恶意的攻击，用户的一次错误操作，系统的一次意外断电以及其他一些更有针对性的灾难可能对用户造成的损失比直接的病毒和黑客攻击还要大。
为了维护内网的安全，必须对重要资料进行备份，以防止因为各种软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃，进而蒙受重大损失。
对数据的保护来说，选择功能完善、使用灵活的备份软件是必不可少的。目前应用中的备份软件是比较多的，配合各种灾难恢复软件，可以较为全面地保护数据的安全。
⑨ 其他网络防护手段：网络的安全防范并非仅仅针对黑客和病毒，还应包括系统自身的物理安全防范，除了采用应有的如双电源双风扇、磁盘镜像、服务器主备结构等设备冗余外，还应采用必要的防雷、防静电、防电磁干扰以
及磁盘消磁等安全防护手段。

2．外联网系统防范措施
　　① 安装防火墙：在企业内部网络与外部网络之间安装防火墙，隔离内外部网络，并将防火墙设置为使所有进出内部网络的信息全部经由防火墙，而外部用户通过网络防火墙时，只能访问事先设置的由内部网数据库系统所指定的端口，并指出WWW服务器的Http协议以及匿名Ftp协议，其他权利一概禁止。
防火墙的选择应该适当，对于微小型的企业网络，可从Norton Internet Security 、 PCcillin 、天网个人防火墙等产品中选择适合于微小型企业的个人防火墙。
而对于具有内部网络的企业来说，则可选择在路由器上进行相关的设置或者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言，都可以通过内置的防火墙防范部分的攻击，而硬件防火墙的应用，可以使安全性得到进一步加强。

　　② 安装隔离服务器：像电信、移动等行业系统，从提高生产效率、方便客户以及自身业务发展的需要出发，开办了许多由个人代办或由银行代收的营销与收费系统。虽然这些代办系统中只有几台终端，但这些终端在收取话费或办理客户入网手续时，必须访问本企业网络的数据中心。为了企业网络的安全，一般的方法是专门安装一台前置隔离服务器，使这台隔离服务器作为内部数据与外部数据交换的中间环节，从而达到确保中心数据库安全的目的。
使用代理网关的好处在于，网络数据包的交换不会直接在内外网络之间进行。内部计算机必须通过代理网关，进而才能访问到Internet ，这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外部网
络进行限制。在代理服务器两端采用不同协议标准，也可以阻止外界非法访问的入侵。还有，代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。

③ 安装电子申报服务器：必须接入Internet的企业网，为了保证企业网络中心的数据安全，可安装WWW数据传输的电子申报服务器，并对WWW信息进行角色身份的分级管理，保证信息的真实、完整和加密，这同样
是非常必要的安全手段之一。例如在青鸟网关防火墙JB- FW上，直接增加角色认证就是一种比较方便的电子申报服务器方式，该套系统主要由防火墙、安全客户端和密钥管理中心三个部分组成，具有较强的安全防护作用。
　　④ 外部用户访问内部信息安全措施：根据传统网络管理经验，外部用户访问内部信息比较安全的方法主要有两种: 一是可以对政府部门或公众开放的相关信息，如上报报表、企业黄页和产品简介等信息，放在防火墙之外
的专用服务器上; 二是在外部用户有必要访问内部信息时，如与电信和移动签订了收费或营销代办协议的代办站点或企业，可专门为其设置数据库访问专用端口，或授予仅仅支持WWW服务的Http协议和匿名的Ftp协议的权限，使外部用户在访问内部信息时，必须通过地址转换才能访问，其他则一律禁止。

⑤密钥管理 在现实中，入侵者攻击Intranet目标的时候，90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例，先用“ finger远端主机名”找出主机上的用户账号，然后用字
典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。
如果这种方法不能奏效，入侵者就会仔细地寻找目标的薄弱环节和漏洞，伺机夺取目标中存放口令的文件 shadow或者passwd 。然后用专用的破解DES加密算法的程序来解析口令。
在内网中系统管理员必须要注意所有密码的管理，如口令的位数尽可能的要长；不要选取显而易见的信息做口令；不要在不同系统上使用同一口令；输入口令时应在无人的情况下进行；口令中最好要有大小写字母、字符、数字；定期改变自己的口令；定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。

⑥从攻击角度入手
目前，计算机网络系统的安全威胁有很大一部分来自拒绝服务(DoS)攻击和计算机病毒攻击。为了保护网络安全，也可以从这几个方面进行。
对付“拒绝服务”攻击有效的方法，是只允许跟整个Web站台有关的网络流量进入，就可以预防此类的黑客攻击，尤其对于ICMP封包，包括ping指令等，应当进行阻绝处理。
通过安装非法入侵侦测系统，可以提升防火墙的性能，达到监控网络、执行立即拦截动作以及分析过滤封包和内容的动作，当窃取者入侵时可以立刻有效终止服务，以便有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问，规定具有IP地址的工作站对本地网络设备的访问权限，以防止从外界对网络设备配置的非法修改。

⑦密钥管理 在现实中，入侵者攻击Intranet目标的时候，90%会把破译普通用户的口令作为第一步。以Unix系统或Linux 系统为例，先用“ finger远端主机名”找出主机上的用户账号，然后用字典穷举法进行攻击。这个破译过程是由程序来完成的。大概十几个小时就可以把字典里的单词都完成。
如果这种方法不能奏效，入侵者就会仔细地寻找目标的薄弱环节和漏洞，伺机夺取目标中存放口令的文件 shadow或者passwd 。然后用专用的破解DES加密算法的程序来解析口令。
在内网中系统管理员必须要注意所有密码的管理，如口令的位数尽可能的要长；不要选取显而易见的信息做口令；不要在不同系统上使用同一口令；输入口令时应在无人的情况下进行；口令中最好要有大小写字母、字符、数字；定期改变自己的口令；定期用破解口令程序来检测shadow文件是否安全。没有规律的口令具有较好的安全性。

⑧信息保密防范
为了保障网络的安全，也可以利用网络操作系统所提供的保密措施。以Windows为例，进行用户名登录注册，设置登录密码，设置目录和文件访问权限和密码，以控制用户只能操作什么样的目录和文件，或设置用户级访问控制，以及通过主机访问Internet等。
同时，可以加强对数据库信息的保密防护。网络中的数据组织形式有文件和数据库两种。由于文件组织形式的数据缺乏共享性，数据库现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施，而数据库的
数据以可读的形式存储其中，所以数据库的保密也要采取相应的方法。电子邮件是企业传递信息的主要途径，电子邮件的传递应行加密处理。针对计算机及其外部设备和网络部件的泄密渠道，如电磁泄露、非法终端、搭线窃取、
介质的剩磁效应等，也可以采取相应的保密措施。

⑨访问Internet的其他安全措施：除了以上安全防范措施之外，还需要考虑对相关用户个人访问互联网的安全设防问题，具体做法主要有：
　　对于通过ISDN或PSTN方式访问Internet的笔记本电脑用户，要求其笔记本电脑除了操作系统和相关应用软件之外，一概不许存储涉及机密的数据和内容，包括备份文件；
　　下级部门若需要上Internet，最好单独配备一台不与政府网连接的专用PC机，使这台专用PC通过拨号访问Internet，其他网上的PC机一律不许采用拨号方式上网。或者采用在公用网站（如政府网站或
ISP等）上租用服务器对外发布信息，使各个部门通过专门配置的 PC机定期向服务器传送信息；
　　需要频繁访问Internet，又必须工作于政府网上的某些特殊个人用户，可以采用安装网络隔离卡或双硬盘的办法来完成；

为了有效防止网上用户私自利用单位电话线上网，除需要可以访问Internet的专用电话线路外，其他电话线则通过电话局直接屏蔽连接ISP或ICP的电话号码（如163、990、169、 165等），杜绝个人
私下通过电话线路访问Internet的可能；
　　对于大中型网络系统的安全架构设计，还可以采用将各个子网的网段相互独立和相互隔离的方法，根据具体需求将各子网处以不同级别的安全保护策略。如中心机房是最高安全级别，可安全地访问其他公开的资源、传输数据
，并防止外部对内部计算机的非法使用，对内网实现功能强大的网络审计。其他各部门子网则可以在允许的范围内访问资源。

　　总之，建立一套完整、完善的网络安全防御系统，达到既可方便地对外提供各种服务，又能有效地保护内部网络安全的目的，是非常重要的建网策略。当然，网络安全的建设并不是一劳永逸的事情，还应随技术的发展，不断
完善自己的网络系统。

四、网络安全的趋势
从目前的市场需求来看，预计物理隔离网闸、抗攻击网关、防火墙、防病毒网关、身份认证、加密、入侵检测和集中网管，将成为2003年安全市场的八大趋势。
一、物理隔离
　　解决方案：物理隔离网闸
　　物理隔离与逻辑隔离有很大的不同。物理隔离的哲学是不安全就不连网，要绝对保证安全。逻辑隔离的哲学: 在保证网络正常使用的情况下，尽可能安全。两者是完全不同的产品。
　　物理隔离的思路，源于两台完全不相连的计算机，使用者通过软盘从一台计算机向另一台计算机拷贝数据，有时候大家形象地称为“数据摆渡”。由于两台计算机没有直接连接，就不会有基于网络的攻击威胁。
二、逻辑隔离
　　解决方案：防火墙
　　在技术上，实现逻辑隔离的方式有很多，但主要是防火墙。防火墙在体系结构上有不同的类型: 有双网口、有多网口、DMZ和SSN。不同的类型在OSI的7层模型上工作机理有明显的不同。
　　防火墙的主要评价体系包括：性能、安全性和功能。实际上，这三者是相互矛盾、相互制约的。功能多、安全性好的技术，往往性能受影响; 功能多也影响到系统的安全性。
三、防御来自网络的攻击
　　解决方案：抗攻击网关
　　网络攻击特别是拒绝服务攻击（DoS），利用TCP/IP协议的缺陷，有些DoS攻击是消耗带宽，有些是消耗网络设备的CPU和内存。其中，具有代表性的攻击手段包括 SYN flood、ICMP floo
d、UDP flood等，其原理是使用大量伪造的连接请求报文攻击网络服务所在的端口，比如 80， 造成服务器的资源耗尽，系统停止响应甚至崩溃。而连接耗尽攻击，则使用真实的IP地址，发起针对网络服务的大
量的真实连接来抢占带宽，也可以造成 Web 服务器的资源耗尽，导致服务中止。其他一些利用网络协议缺陷进行攻击的DoS技术包括 Land、WinNuke、Ping of Death、TearDrop 等
。
　　抗攻击网关能识别正常服务的包，区分攻击包。目前DDoS的攻击能力可达到10万以上的并发攻击，因此抗攻击网关的防御能力必须达到10万以上。
四、防止来自网络上的病毒
　　解决方案：防病毒网关
　　传统的病毒检测和杀病毒是在客户端完成。但是这种方式存在致命的缺点，如果某台计算机发现病毒，说明病毒已经在单位内部几乎所有的计算机感染了。如果病毒是新的，旧的杀病毒软件一般不能检测和清除。
　　应在单位内部的计算机网络和互联网的连接处放置防病毒网关。如果出现新病毒，只需要更新防病毒网关，而不用更新每一个终端软件。
五、身份认证
　　解决方案：网络的鉴别、授权和管理（AAA）系统
　　80%的攻击发生在内部，而不是外部。内部网的管理和访问控制，相对外部的隔离来讲要复杂得多。外部网的隔离，基本上是禁止和放行，是一种粗颗粒的访问控制。内部的网络管理，要针对用户来设置，你是谁？怎么确
认你是谁？你属于什么组？该组的访问权限是什么？这是一种细颗粒的访问控制。
　　在一般人的心目中，基于Radius的鉴别、授权和管理（AAA）系统是一个非常庞大的安全体系，主要用于大的网络运营商，企业内部不需要这么复杂的东西。这种看法越来越过时，实际上单位内部网同样需要一套强
大的AAA系统。根据IDC的报告，单位内部的AAA系统是目前安全市场增长最快的部分。
六、加密通信和虚拟专用网
　　解决方案：VPN
　　单位的员工外出、移动办公、单位和合作伙伴之间、分支机构之间通过公用的互联网通信是必需的。因此加密通信和虚拟专用网（VPN）有很大的市场需求。IPSec已经成为市场的主流和标准，不是IPSec的VP
N在国际上已经基本退出了市场。
　　VPN的另外一个方向是向轻量级方向发展。
七、入侵检测和主动防卫（IDS）
　　解决方案：IDS
　　互联网的发展，已经暴露出不可避免的缺点: 易被攻击，技术人员的好奇和技术恐怖主义使金融机构、企业、学校等单位很难避免。
　　针对黑客的攻击，从技术路线上来讲，早期的思路是加强内部的网络安全、系统安全和应用安全，安全扫描工具就是这样一类产品。但是，扫描是一种被动检测的方式，入侵检测和主动防卫（IDS）则不同，是一种实时交
互的监测和主动防卫手段。
八、网管、审计和取证
　　解决方案：集中网管
　　网络安全越完善，体系架构就越复杂。管理网络的多台安全设备，需要集中网管。集中网管是目前安全市场的一大趋势。
　　从来就没有一种技术可以绝对保证网络安全。如果执行人员出现失误，实际的网络安全也就存在问题。因此，技术越先进，审计功能就变得越重要。
　　审计并不完全是检查安全问题。对审计的数据进行系统的挖掘，还具有非常特殊的意义，比如，可了解内部人员使用网络的情况，或对外部用户感兴趣的公司产品和内容进行总结，了解用户的兴趣和需求等。
　　
五、结束语
政府网络安全是国家网络安全的基石，也是针对未来的信息战来加强国防建设的重要基础。一般来说，安全性越高，其实现就越复杂，费用也相应的越高。对于政府部门来说，就需要对网络中需保护的信息和数据进行详细的经济
性评估，决定投资强度。企业的网络安全工作可以根据本企业的主营方向来决定建设自己的网络安全服务队伍还是购买市场上的服务。网络安全的技术研究在国内起步较晚，虽然目前许多网络专家开始注意并研究相关的技术，但
是总体来说网络安全技术的专门人才还比较缺乏。因此多数网络的建设者和运行者并不拥有相应的技术力量。这时，购买市场上的网络安全服务是比较明智的策略。例如，网络安全风险评估、网络设计安全评估、网络安全维护等
服务。
我们认为制定适当完备的网络安全策略是实现网络安全的前提，高水平的网络安全技术队伍是保证，严格的管理与落实是关键。
我们不难看出，首先要明白内网肯定是存在安全问题的，无论是来自网内还是网外，都是必须重视的！再加上时代的不断进步，其攻击破坏手段也是在不断升级，所以不能仅仅停留在原始的“堵”、“防”、“杀”上面，我们应
该采取正面而且积极的态度来对待内网的安全问题，这样才是长久的办法。比如，积极更新操作系统，及时打上各种常见软件的补丁。在这样的基础上，自己也要多阅读相关文章或者书籍，既是了解更多的知识，把潜在的破坏可
能提前消除！
其实，攻击与防守始终是两个有机的整体，我们要正确对待两者的关系，不要以为一时的安全就是永久的安全，这个是随时间而随时会改变的！有了相关知识和解决办法就不至于束手无策！