三、通過端點安全準入係統EAD解決終端安全問題。

為了彌補公司現有安全防禦體係中存在的不足，公司部署了一套端點安全準入防禦係統，旨在加強對員工電腦的集中管理，統一實施安全策略，提高網絡終端的主動抵抗能力。終端安全準入防禦將防病毒、補丁修複等終端安全措施與網絡接入控製、訪問權限控製等網絡安全措施整合為一個聯動的安全體係，通過對網絡接入終端的檢查、隔離、修複、管理和監控，使整個網絡變被動防禦為主動防禦，變單點防禦為全麵防禦，變分散管理為集中策略管理，提升了網絡對病毒、蠕蟲等新興安全威脅的整體防禦能力。

終端安全準入防禦通過安全客戶端、安全策略服務器、接入設備以及病毒庫服務器、補丁服務器的相互配合，可以將不符合安全要求的終端限製在“隔離區” 內，防止“危險”客戶端對網絡安全的損害，避免“易感”客戶端受病毒、蠕蟲的攻擊。

四、使用入侵檢測係統阻止來自互聯網的攻擊行為。

在公司互聯網出口部署1套千兆硬件入侵防禦係統，專門針對公司服務器應用層進行防護，填補防火牆安全級別不夠的問題，並與防火牆一起實現公司網絡L2－L7層立體的、全麵的安全防護。

千兆高性能IPS入侵檢測係統可以針對公司Web服務器三層架構中的底層操作係統、中間層數據庫服務、上層網頁程序的每一層提供安全防護。為公司Web服務器提供包括漏洞利用、SQL注入、蠕蟲、病毒、木馬、協議異常等在內的應用層安全威脅的防範，防止網頁被篡改的發生，並在每檢測和阻斷一個針對Web服務器的安全威脅之後，記錄一條安全日誌，為公司服務器的安全審計和安全優化提供全麵的依據。

綜合管理措施

筆者認為，要維護數字出版公司網絡安全，在網絡綜合管理上要同時做好以下幾點：

製定合理有效的計算機網絡係統工作管理規定，明確責任，分工到人。

設置全集團（公司）網絡管理員製度，各分（子）公司專人對網絡和終端進行管理。

中心機房設置專人管理機房網絡設備，定期檢查並分析設備日誌，定期升級軟件和補丁，防止“破窗”出現，發現異常及時處理。

定期召開網絡應用會議，通報網絡安全情況，部署下一階段工作重點。要打造一支能協同的團隊，這比單純有幾台好設備要複雜，培訓、協同和組織要付出更多心血。

在以上案例中，采用了用戶終端準入機製，無法通過接入認證的用戶則不能使用網絡資源。這有效解決了網絡用戶的身份問題，對存在於認證列表中的用戶，管理員通過授權登錄對其軟硬件情況、運行狀況進行評估，從而最大程度上了解網內計算機安全情況，並解決存在的問題，這大大方便了管理員管理此類資產。有了應用網關，管理員可以有效進行帶寬管理、用戶行為審計；可定期分類查看各種應用程序的帶寬占用情況，根據帶寬占用排行，適當調整流量分布，為主要網絡業務提供足夠帶寬，保證主要業務順利進行。建立了獨立存儲機製，使用獨立於服務器的存儲設備對數據進行備份，這就不再需要原來原始的定期刻盤存檔，未來還可以考慮異地備份，當有災難發生時，可以第一時間恢複數據，確保應用係統的正常運行。

應該說，通過以上管控措施，可以極大地滿足數字出版公司在管理階段和創新階段對網絡的要求。科技是不斷進步的，摩爾定律告訴我們，未來的技術更強大更廉價，我們期待更安全、更低價、更高效的網絡設備出現，為數字內容的保護提供更好的網絡環境。