三、保護內部網絡的安全。內部網絡的安全威脅所造成的損失是顯而易見的，如何保護內部網絡，使遭受的損失減少到最低限度是目前網絡安全研究人員不斷探索的目標。根據多年的網絡係統集成經驗，形成自己對網絡安全的理解，闡述如下。

（1） 內部網絡的安全體係，比較完整的內部網絡的安全體係包括安全產品、安全技術和策略、安全管理以及安全製度等多個方麵，整個體係為分層結構，分為水平層麵上的安全產品、安全技術和策略、安全管理，其在使用模式上是支配與被支配的關係。在垂直層麵上為安全製度，從上至下地規定各個水平層麵上的安全行為。

（2）安全產品是各種安全策略和安全製度的執行載體。網絡安全產品的選擇應該是建立在相關安全產品能夠相互通信並協同工作的基礎上，即實現防火牆、IDS、病毒防護係統、信息審計係統等的互通與聯動，以實現最大程度和最快效果的安全保證。目前在國內外都存在這樣的網絡安全聯盟實現產品之間的互聯互動，達到動態反應的安全效果。

（3）網絡安全技術和策略，內部網絡的安全具體來說包括攻擊檢測、攻擊防範、攻擊後的恢複這三個大方向，那麼安全技術和策略的實現也應從這三個方麵來考慮。內部安全漏洞在於人，而不是技術。因此，應重點由發現問題並填補漏洞迅速轉向查出誰是破壞者、采取彌補措施並消除事件再發的可能性。如果不知道破壞者是誰，就無法解決問題。真正的安全策略的最佳工具應包括實時審查目錄和服務器的功能。無論未授權用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞，真正的安全管理工具會通知相應管理員，並自動采取預定行動。在積極查詢的同時，也應該采用必要的攻擊防範手段。網絡中使用的一些應用層協議，如HTTP、Telnet，其中的用戶名和密碼的傳遞采用的是明文傳遞的方式，極易被竊聽和獲取。攻擊後恢複首先是數據的安全存儲和備份，在發現遭受攻擊後可以利用備份的數據快速的恢複；針對WWW服務器網頁安全問題，實施對Web文件內容的實時監控，一旦發現被非法篡改，可及時報警並自動恢複，同時形成監控和恢複日誌，並提供友好的用戶界麵以便用戶查看、使用，有效地保證了Web文件的完整性和真實性。

（4）安全管理主要是指安全管理人員。經過培訓的安全管理員能夠隨時掌握網絡安全的最新動態，實時監控網絡上的用戶行為，保障網絡設備自身和網上信息的安全，並對可能存在的網絡威脅有一定的預見能力和采取相應的應對措施，同時對已經發生的網絡破壞行為在最短的時間內做出響應，使企業的損失減少到最低限度。

（5）網絡安全製度，網絡安全的威脅來自人對網絡的使用，因此好的網絡安全管理首先是對人的約束。要從網絡安全的角度來實施對人的管理，在此基礎上製定相應的政策法規，使網絡安全的相關問題做到有法可依、有據可查、有功必獎、有過必懲，最大限度地提高員工的安全意識和安全技能，並在一定程度上造成對蓄意破壞分子的心理震懾。

要想保證內部網絡的安全，在做好邊界防護的同時，更要做好內部網絡的管理。沒有好的管理思想，嚴格的管理製度，負責的管理人員和實施到位的管理程序，就沒有真正的安全。在有了“法治”的同時，還要有“人治”，即經驗豐富的安全管理人員和先進的網絡安全工具，有了這兩方麵的治理，才能得到一個真正安全的網絡。