無數個地方引用了這樣一句話："85%以上的安全事件出自內網"；可口可樂也有一句話"保住了秘密就保住了市場"；"力拓案"、"彩票門"引起了全國上下公眾和政府的關注……

買了防火墻、防病毒、入侵檢測就可以高枕無憂？

無論是政府還是企業，相對于門戶網站被篡改等而"形象工程"被抹黑，"內鬼"造成的損失往往更大：U盤拷貝機密文檔、文件打印測試報告、管理員對服務器的文件任意操作、數據庫被非法復制、涉及單位核心機密的信息資產消失于無形，卻無處追蹤。。。。。。

技術門診是51CTO社區品牌欄目，每周邀請一位客座專家，為廣大技術網友解答疑問。從熱門技術到前沿知識，從技術答疑到職業規劃。每期一個主題，站在最新最熱的技術前沿為你引航！

本期技術門診我們邀請到網絡安全專家、資深安全顧問張百川專家,以內網安全建設為討論點，和大家討論交流內網安全管理中遇到的問題及相應的解決方案。希望本次門診能引起大家對內網安全的關注，共同為保護企業核心資產而努力！

本期專家：張百川

擅長領域：網絡安全

專家簡介：陜西電信實業公司資深安全顧問，曾任漢邦軟科集團西北大區技術經理。MCSE、MCDBA、Linux網絡管理工程師，多年信息與網絡安全從業經驗，對涉密網建設有深刻理解和認識，參與或主持了超過50個涉密網項目，客戶遍及政府、航空、航天、兵器、電子等行業，具有豐富的安全理論和實踐經驗。對桌面終端安全、漏洞掃描與評估、WEB安全、數據庫安全、運維操作管理等有深入研究。以"A："為名在《黑客防線》《黑客X檔案》《電腦安全專家》等專業安全雜志發表文章30余篇。

查看本期門診精彩實錄：http://doctor.51cto.com/develop-146.html

參與最新技術門診：http://doctor.51cto.com/

精選本期網友提問與專家解答，以供網友學習參考。

Q：張老師，您好!很高興有機會向您討教。先簡單敘述一下目前我所在公司的現實環境：

公司分有五個主要的部門，各部門網絡環境相對獨立，內網外網相結合，除了每臺機器裝有單機版的殺毒軟件沒有其他任何安全保護。對于所謂的保護公司核心機密，主要是采取限制一小部分USB接口。也許管理層應了這句話：用人不疑，疑人不用。

用幾個字概括一下：很險很開放。各部門文件共享主要是工作組形式，現在已經暴露出很多的問題。但是禁用USB員工說輸出文件不方便，采取域管理或許能稍微緩解。員工行為管理及相關知識培訓做過，并且每期的公司內刊都刊登了相應文章，但是效果不明顯?？煞裾垎柪蠋煟何倚枰獜哪姆矫嫦率?？或者著重解決哪方面？謝謝！

A：看您單位所處的行業和對敏感資料的重視程度，每個單位的實際情況都不同，因此不可能有一個通用方案適合所有的單位。另外安全性和便捷性總是有些相悖的，關鍵看信息資產的重要程度，如果十分重要，則老板看中，員工也都看重。內訓是要做的，但是盡量采用現場操作的方式，畢竟影像比嘴說更有效果。個人建議評估下資產重要性，按照重要性進行安全防護，如果有興趣，可以搜一下"等級保護"，網上相關資料很多。常見內網控制手段：主機審計、介質管理、文檔加密、分發控制。

Q：當企業內部都部署來防火墻、防病毒、入侵檢測等設備之后，還是存在等一些內部資料外漏的情況，我們需要怎么來解決這類情況呢。

A：企業部署了fw、av、ids，雖然可以阻止、檢測一些攻擊行為和惡意代碼，但對于主機而言，usb端口、紅外、藍牙端口無任何防范措施，U盤、移動硬盤、智能手機還是可以隨時使用，因此依然不安全?，F在內網安全的幾個熱門產品是：終端安全管理系統、移動存儲介質管理系統、計算機端口控制系統、文檔加密系統、文檔權限分發控制系統，另外，針對通過網頁提交、電子郵件發送、Telnet、FTP方式的信息丟失，可以通過上網行為管理系統、網絡審計系統來實現。

Q：小型企業必需具備的安全設備有哪些呢？

A：規模、應用、需求，這幾個都得知道。因為我不知道您說的小型企業具體規模多大，10臺？100臺？500臺？另外也和行業有關，不同的行業有不同的業務（應用）系統和實際需求。不過防火墻、防病毒是必須的。內網如果擔心核心資料外泄，那么數據防泄漏產品也是需要的。

Q：windows2003WRM要怎么去部署來保證郵件的安全？（內網數據安全）

WRM我們一般都部署來對OFFCIE文檔的權限進行設置，比如只充許域中某個用戶只有只讀，而對文檔沒有復制的權限，它也可以用EXCHANGE。通常我們內網中郵件傳輸是不加密的，通過一些手段可以獲取得到。通過WRM我們可以對郵件及附件進行加密和權限設置。它與證書加密有什么區別，具體要怎么去部署？

A：據我所知，WRM可以利用Windows自己架設的CA實現郵件安全，而現在《中華人民共和國電子簽名法》認可了第三方數字證書，當然這個有個名單。有個資料可以參考：http://www.borg.com.tw/Starter/Portals/57ad7180-c5e7-49f5-b282-c6475cdb7ee7/IRM_DRM.pdf

Q：如果用IPSEC對內網傳輸進行加密的話，傳輸效率有多大影響？

A：加密后效率為正常的70-80%，但是如果采用加速方案，效果好一些。如思科、深信服的產品，有加速效果。

Q：如果用ISA2006做為內網的防火墻，一般要怎么樣來配置比較好？（策略配置多了，影響效率，少了就不安全了。所以感覺很矛盾）

A：安全產品的配置應遵循"最小授權"原則，安全和效率、易用性總是不成正比的。由于ISA基于Windows，因此系統自身的安全性也對其有影響，如果可能盡量采用有國家相關資質的硬件防火墻。安全總是相對的，可以根據具體的業務，適當調整策略。

Q：我想問我要禁止公司的人上某些網站，例如開心網，但如果里面的人會用代理去登陸，那我的ACL就起不了作用了，而且代理的網站那么多，我不可能全部手動封完，請問有什么好方法?

A：禁用代理，這個上網行為管理系統可以實現，并且比用ACL強大的多。您可以在百度或Google搜下，百度首頁都幾乎全部是推廣的了。呵呵

Q：對于內網安全這塊，如何選擇實用的網管軟件？請專家推薦幾個（像聚生網管這類通過ARP欺騙的不要）

A：您提到了聚生網管，應該是上網行為管理、流量控制之類的了。軟件用的相對少一些，要做的更徹底，建議選用硬件產品：網康、深信服、AceNet、L7都是不錯的選擇，不但可以對單個用戶進行流量限定，亦可對某種應用限速，如對迅雷限速，或者給某個用戶限定多少次請求，或每個用戶每天能有多少流量可用。對各種迅雷、電驢等有良好的效果。你可以搜一下我說的這幾個產品。

Q：我的環境是有一臺ISA服務器，一臺DC，安裝了IAS服務。在ISA啟用了WEB代理，并且啟用了RAIDUS身份驗證。但身份驗證都沒成功，DC上的日志如下：

事件類型:警告

事件來源:IAS

事件種類:無

事件ID:2

日期:2009-10-16

事件:16:31:26

用戶:N/A

計算機:SHDC

描述:

用戶shixun\administrator被拒絕訪問。

Fully-Qualified-User-Name=SHIXUN\administrator

NAS-IP-Address=10.0.1.254

NAS-Identifier=<不存在>

Called-Station-Identifier=<不存在>

Calling-Station-Identifier=<不存在>

Client-Friendly-Name=ISA

Client-IP-Address=10.0.1.254

NAS-Port-Type=<不存在>

NAS-Port=443

Proxy-Policy-Name=對所有用戶使用

Authentication-Provider=Windows

Authentication-Server=<未確定>

Policy-Name=<未確定>

Authentication-Type=PAP

EAP-Type=<未確定>

Reason-Code=16

Reason=由于未知的用戶名或錯誤密碼，身份驗證失敗。

有關更多信息，請參閱在http://go.microsoft.com/fwlink/events.asp的幫助和支持中心。

而ISA上有遠程撥入VPN也是啟用RADIUS身份驗證，但可以正常撥入。為什么WEB代理就出現這樣情況，期望專家為我解答一下？

A：日志最后面：Reason=由于未知的用戶名或錯誤密碼，身份驗證失敗。ISA和DC互通過程中身份驗證方式的問題，請檢查。您可以參考下這個帖子：http://topic.csdn.net/t/20031103/18/2423209.html

Q：內網安全，是不是要求管理層面的力度比技術層面的力度要大些哪?

A：一般說"七分管理，三分技術"，特別是內部網絡的安全。如WEB安全，做好技術上的就問題不大，但是內網很多人都能接觸到別人的計算機，所以更重要的是管理。我遇到很多單位實施內網安全產品，往往被技術部門的員工把客戶端卸載或破壞，出現這樣的就必須用管理手段了，因為沒有一款產品能做到100%的自身安全，哪怕通過了相關部門的測試。我經常舉例子給他們，說：安全產品就是單位買的門和鎖，誰弄壞了，誰就賠，就要罰款！用Windows的域管理，要相對好一點。

Q：內網中，入侵檢測系統怎樣部署，才能檢測到具體是哪一個端口、哪一臺PC有問題？

A：IDS為旁路設備，如果設備有報警，都會有IP地址的，這樣可以定位到出問題的主機。當然IDS的誤報比較多，這個要注意甄別。如，有的IDS默認對ping都報警，或對ARP的解析也有信息，量就很大了。可以對掃描設置一個閾值，超標則報警。

Q：如果公司經費緊張，而且屬于生產制造企業，請問對于保障企業核心機密應該從哪里開始著手能夠達到性價比最高？請說明一下先后次序。（生產制造企業一般來說經費考慮信息部門的不多，更不要說經營緊張的了）

A：1、操作審計；2、端口控制；3、文檔加密；4、文檔權限控制?，F在1和2可以做到一起，3和4一般做在一起。當然現在四者做到一起的也有，個人一起用，因為現在一些數據防泄漏廠家都可以把四者做到一起，用的時候也簡單。如果資金緊張，建議做文檔加密。這樣即使傳出去，也不會被別人破解。

Q：我們已經部署了趨勢網絡版的，現在局域網的病毒特別的嚴重，如何才能有效的防護？如何可以檢測到哪一臺PC又問題？

A：據我所知，所有的網絡版都可以看到是哪一臺計算機中毒了，您可以仔細看看去是網絡版的說明書。另外，局域網病毒嚴重很多是由于USB傳播，如很多ARP類都可以通過U盤傳播，另外建議安裝360安全衛士，開啟防護。如果購買了趨勢的產品，可以要求廠家或代理商提供一定的技術支持。另外，Windows系統常打補丁，并最好不要用管理員帳號。

Q：如果我想在公司里做一個非常簡單的數據備份，用一般的PC做服務器就夠了，系統是Windows2003，如何設置既方便又安全的實現如下幾點。（因為以前有過這種情況，由于硬盤問題導致數據丟失，一些重要的文檔無法恢復）

1、每個人有自己的空間，不要多，只要10M到50M，放一些最重要的文檔

2、每個人只能看自己的文件夾，其他人的文件下對自己透明，自己的文件夾對別人也是透明。

A：如果擔心硬盤損壞，可以用RAID，或者采用專業存儲解決方案。你說的限定用戶的空間，可以用Windows的磁盤配額功能實現；通過NTFS設置權限，實現每個用戶只能管理自己的文件夾，對別人的目錄無法讀取。

Q：專家你好，我這兩天正在為局域網安全犯愁呢。

你說到了三分技術，7分管理。但是我7分管理在我這里行不通，所以需要技術來解決。

公司是屬于軟件開發類型的，每個員工機器上都有部分代碼，害怕員工把自己機器上的代碼偷走。環境是AD，所有的機箱和USB都封鎖了。主要還有交叉線對聯的安全漏洞和外部筆記本接入的問題。雖然交換機開啟了端口安全，但是畢竟自己員工，可以搞到對應端口的MAC地址，所以我想請問還有沒有其他方法呢？盡量不要使用硬件，預算部足。謝謝!

A：現在基于802。1x的非法接入控制方案是無法滿足雙機直接拷貝的問題的，但是可以解決外部筆記本接入的問題。有廠家出的"可信域"產品可以解決這個問題，實現方式：在所有計算機安裝Agent，如果對方沒有，則不與對方通信。并且可以劃分"可信"和"不可信"域，這樣外部計算機即使裝上了Agent，由于沒有管理員授權也無法和內部計算機通信。

Q：AD+ISA進行內網管理，安全性還應該注意哪些方面？

A：USB、紅外、藍牙，甚至串并口。操作系統下面，用戶A拷貝了文件給B，B發送給C、D，權限是不好控制的……另外打印行為也要注意。

Q：我想請問專家的是，對于一個中小企業，對IT方面的投入不是很大，一般用路由器作為防火墻，除了內網的病毒更新、服務器的補丁更新之外，還應該注意些什么？謝謝！

A：傳統的三件寶：防火墻、入侵檢測、防病毒，不過現在很多用入侵防御系統替代防火墻和入侵檢測，如果有文檔需要保密，則需要數據防泄漏。用路由器做防火墻也沒有太大的問題，就多數客戶的情況來看，注意終端數據安全即可。

Q：我自己是覺得集成的好用，所以采用的安全方案是ISA(加了功能組件，可以做到病毒防火墻的功能)+AD+RMS+公司行政支持。專家認為還需要注意哪些問題?

A：內部網絡的攻擊行為檢測，網絡審計、主機行為操作審計、終端防病毒，如U盤病毒，以及ARP欺騙等……有可執行的、針對內部業務的AD策略，有RMS，信息失竊的可能不大。能有公司強有力的行政支持，這一點很難得。

Q：我內網單位有較多的數據庫，除了安裝好軟硬件防火墻及單機的殺病毒軟件，還有哪些手段可以防止相關的攻擊和病毒。如SQL注入等等?

A：如果不放心WEB和數據庫安全，可以考慮IPS和WEB應用防火墻，和數據庫審計。建議用專業的WEB和數據庫評估產品進行評估，SQL注入的問題可以通過上面說的WEB應用防火墻、IPS實現，當然最徹底的辦法：用WEB評估工具掃描漏洞，進行漏洞的修復。病毒用防毒墻和客戶端防病毒就差不多了。

Q：電子閱覽室機器比較多，有沒比較有效的管理軟件可以限制個機的上網流量控制，特別是針對眾多學生在線看電影，P2P下載等等，以及有計時功能?

A：上網行為管理系統，有軟件的，也有硬件的。如果只是純粹的限速，可網管交換機一般都能實現。用上網行為管理系統，好一點的，可以直接禁用P2P、電影網站，效果比較好。

Q：我現在所工作的企業內網已經劃分出來了內網與DMZ區，請問專家，我需要不需要在內網和DMZ區各加一臺防火墻？如果需要加，是做成背靠背好還是其他的方式？

A：現在防火墻1臺即可通過配置端口實現DMZ和內網并設定策略，因此多數單位不需要再增加防火墻。但是很多要求較高的單位往往在DMZ和內網，甚至內網的不同網段之間繼續部署不同于網關防火墻品牌的防火墻，或IDS，部署方式沒那么嚴格，適應自身業務需求即可。

Q：張老師，在內網中，對于非法終端接入有什么好的解決方案？MAC綁定，終端注冊接入都有缺點，我希望非法終端（windows或非windows系統）一接入網絡就能報警并阻斷其聯入網絡，可能嗎？

A：IP、MAC、端口，三綁定，實施最節約，后期麻煩一些。并且不能阻斷外部帶入筆記本直接雙機互連拷貝的情況。常見的802。1x方案也無法解決這個問題，建議采用某些廠家的可信域管理軟件，必須在計算機安裝agent，基于分布式防火墻做的，能智能判斷對方是否和自己屬于一個可信域，如不在一個可信域則隔離訪問，能做到外面進不來（必須有客戶端，且管理員驗證通過，還必須在一個可信域或一個安全策略下），里面的出去也無法聯網。

Q：張老師你好，請問現在在大中型企業流行什么加密軟件或加密方式？PGP在大中型企業流行嗎？為什么呢？

A：現在大中企業一般選用兩類：1為用戶主動加密；2為用戶被動加密。前者表現為保存到單獨的某個文件夾、郵件加密、數字證書加密；后者表現為現在常見的透明加解密。個人更傾向于后者，并且現在一些文檔權限控制系統一般都有加密+分發+審計功能。我遇到的用戶里面PGP用的少--雖然教科書里面常用，但是我遇到一般只是安全公司的人用的多。企業一般都購買國內的商業產品，加密類產品由于政策限制，國外的商業公司滲透難度較大。

Q：我想請教下張老師，在NAP，打印控制和U盤寫保護下怎么做到客戶端和server，switch之間的穩定。謝謝您！

A：和NAP相關的一些技術：AD、802。1x、動態VLAN、DNS、DHCP……，正是因為其復雜性，我遇到的一些客戶就因為存在問題而未選用這樣的解決方案。數據和策略的同步，往往是個問題，如同在AD下面，有時候用戶需要20分鐘才能登錄到系統，刪掉賬戶重建一個就OK了，這樣的問題在多家用戶的實際應用中都遇到過，因此一些用戶選擇了第三方解決方案。有時候一些問題讓人惱火，正如比爾蓋茨演示XP的時候死機一樣……

Q：您好！張專家，向您請教幾個問題：

（1）眾所周知，真正最大的威脅是來自于內網，而不是外網，那么您認為要想確保內網的相對安全應當具體從哪些方面入手

（2）您能向我們推薦企業比較實用的IDS以及殺毒軟件

（3）要想確保數據只能在局域網內部使用（用U盤或其他可移動存儲設備拷貝出去使用不可用）

除了使用防拷貝軟件，在技術上有沒有其他好的辦法來實現，如果只能通過防拷貝軟件來實現，那么選擇哪一種軟件比較好！謝謝！祝張專家周末愉快！

A：1、內網安全，管理為重。案例培訓等，讓員工有危機意識。這一點政府、軍工企業做的比較好；

2、企業用的IDS：啟明星辰、綠盟、安氏、天融信、華為（H3），殺毒推薦McAfee、Kaspersky、Symantec、TrendMicro；

3、介質管理（外面U盤進不來，企業U盤出不去，U盤拷貝加密）、文檔加密（推薦透明加解密）、文檔權限管理（在文檔加密的基礎上，實現文檔分發的權限控制功能）。從資金投入上來說，介質管理、文檔加密、文檔權限管理依次增加，但是安全性更好。這個可以根據企業自身需求進行調研。

Q：個人理解在企業的管理層面上加強安全性，得到的實際效果比單純的從技術角度注重安全要大，企業還是應該實現安全的管理制度化，希望老師能給點建議。

A：看到一本書上說過，說企業實施安全策略，如果獲得了高層支持，則已經成功了一半。僅憑信息中心的幾個人，即使累死，也不可能管理所有人，但是如果有總裁的一紙內部紅頭文件，則一切問題都不再是問題。對企業而言，安全管理大于技術實現。并且就純技術而言，有矛，就有盾，而從管理上下手，員工都是遵從的。

Q：目前內網安全的產品很多，都需要客戶端程序。絕大多數的產品都會出現不兼容現象，更有不成熟的內網產品裝上之后，PC運行極慢，請問下，那家的客戶端比較好些?

A：我在這里說哪一家好必然有廣告的嫌疑，呵呵。我建議您可以參考下產品的客戶群體，最好是高端用戶、分布式實施的用戶，測試的時候裝30臺機子，運行一個月看看。否則這個很容易出問題。另外實施內網安全產品，注意一定不要片面追求功能，如果大部分功能砍掉，只要自己需要的功能模塊，出問題幾率就小多了。

Q：就剛才備份的問題。個人電腦做RAID太奢侈了。另外一個個增加訪問權限在用戶管理里面添加用戶太麻煩了，因為至少要考慮200+的用戶，有沒什么更加簡便的方式？

A：從命令行鍵入：FOR/L%iin(1，1，500)DONETUSERMyUser%i/ADD結果將創建500個新用戶，分別命名為MyUser1、MyUser2。。。，依此類推。如果不想用RAID，就在增加一臺PC做備份吧。呵呵

Q：內網的安全，除了文件的拷貝，密碼的外泄之外，會不會出現病毒之類的攻擊！？

A：內網莫名其妙出現病毒的情況不大，除非企業里面高人多，可以自己寫，或網上下載了哪來修改。不夠用木馬的可能性倒是比較大……曾經有多個朋友問我，如何給同事中木馬的問題……不過一律拒絕。

Q：我想問一下專家為了內網的安全是否安裝了隔離卡就一定安全，還有就是公司一臺arp服務器經常有報攻擊，但是主管安全的領導說大部分情況屬于誤報，請問專家是否有這種可能性。

A：隔離卡只能從物理上保障內外網的隔離，如果你用U盤把內網從文件拷貝到外網，還是無法實現安全性。ARP服務器？輸錯了？網上多數的免費ARP防火墻做的還是不錯的，如果不放心可以裝一個上去。

Q：關于網絡安全！不知道防火墻對企業的重要性！我個人覺得網絡安全可能大多數時候可能最重要的是管理好防火墻！對防火墻應該更好的管理！同時請專家介紹幾個起到很關鍵性作用的網管軟硬件（適用又不太貴~`_~本單位經費有限）

A：如果嚴格執行企業網絡在規劃階段的安全策略，實際上防火墻的作用是相當大的，而實際上很多防火墻要么在當路由器用，要么設置的策略完全是不符合公司現有業務需求，這個很重要。網管產品，我不知道說的是上網行為管理還是網絡設備管理。上網行為管理的話，國內：網康、深信服、網際思安、金盾……都行，這個搜索引擎搜一下很多，到時候測試下就可以了。難點在于WEB迅雷和跑80端口的封堵，這個少數設備做的比較好。網絡設備管理的話，國內幾大家：游龍、北塔、網強、摩卡。上網行為管理的還有幾個軟件的，也可以用。呵呵

Q：內部網絡如何做日常的漏洞巡檢，有沒有比較好的免費工具推薦？內部網做了VLAN網絡隔離，如何掃描到每個主機MAC，并對密碼的強弱進行判定？

A：制定切實可行的安全策略，做好審計日志及相關工作，漏洞檢測盡量不要做包括破壞性的測試，以免影響業務系統。免費工具推薦Nessus和NMAP。內網做VLAN并不影響掃描到主機的MAC，前提是掃描MAC的主機應該在被允許訪問的VLAN內，如服務器的VLAN、公共訪問VLAN。密碼強弱最好依靠策略判定，如域策略，否則如果靠掃描，大型網絡里面耗費時間很多，也不可靠。

Q：您好，關于內網安全，一般怎么可以提升內網安全?如何實現內網安全管理和安全控制?

A：相比公共訪問區的安全，內網安全更傾向于安全管理。內關于實現內網安全管理、安全控制，建議看下等級保護的相關文檔，如《信息系統安全等級保護定級指南》《信息系統安全等級保護基本要求》《信息系統安全等級保護實施指南》。這幾個文檔是寫的相當不錯的，網上可以下載到。因為太全了，所以很難在幾句話之內說清。

Q：看到大家都很踴躍提問，我本來是提不出什么問題來。重在參與。也提一個。大家問的問題五花八門，一下子弄全面、系統還真的不容易。

請教下專家，一個目前最好的內網安全解決方案有嗎？最好具體化、細節化。

空洞的理論也很重要，但是企業的員工并不懂，我們也不太懂。

A：最好的內網安全解決方案并不存在，只有適合的才是最好的。就像每一個安全產品廠家都聲稱自己的方案最好、產品最好，實際上大家都知道這是商業策略。滿足需求、成本合適，就是最好的。就像很多10-30人的小企業，按照等級保護的要求去做的話，可能公司1年的利潤還不夠買防火墻、IPS和審計、加密產品的，還是那句話：適合的就是最好的。理論上的東西您可以搜下，圈子里面的牛人吳魯加寫的一個PPT"20080319_企業內網安全實踐與思考。ppt"，以事例將安全，做的很好。

Q：您好！公司有一些比較機密的文件放在一臺文件服務器上但是經常聽到有關部門的人反映文件丟失和泄漏，想問下怎么防止公司文件被員工用U盤拷貝，用郵件聊天軟件發出。（但公司一些有需要的人要可以正常使用）

A：防止拷貝文件泄密可以用移動存儲介質管理系統，也可以用終端安全管理系統（桌面管理），不但可以對U盤、移動硬盤進行允許/禁用，也可以進行授權，也可以對文件操作進行記錄。防止用郵件聊天軟件發出則用上網行為管理系統，可以控制，也可以記錄。這個在設備上面做下權限分配即可。不過直接用文檔加密亦可。

Q：這邊已經在交換機上做了IP-MAC綁定，限定一個交換機端口只能連一臺電腦，有高人弄個小路由聯整個辦公室上網，你說愁人不？咋整？

A：這個問題：小路由模擬成綁定的MAC就能上網了。最簡單的方式：在防火墻上限定每個用戶的并發連接數，這樣如果幾個人上就經常超過限制，打不開了……當然，不治本。電信一般用網絡尖兵之類的軟件探測，不過企業自己購買可能性不大。

Q：我們現在所做的上網行為管理，等等是解決不了絕對安全的，，比如可以打印出來帶走，，或者是機密文件帶走后，公司才能發現，，請問專家什么意見？

A：主機審計和監控系統（桌面管理、終端安全管理系統）可以做到這個。如：文件的創建、寫入、拷貝、讀取、刪除，包括網上鄰居對文件的操作；誰、什么時候、通過什么軟件打印了什么文件？文件名是什么？甚至可以記錄被打印文件的正文；控制各種端口，如USB、紅外、藍牙、1394。

Q：公司有臺數據庫，請問專家：是做raid好還是做集群呀，等待回復/謝謝

A：二者用途不一樣。您的應用主要是為了安全吧？那么RAID好一些，集群主要為了應對大規模的網絡環境而設計。

Q：一個關于vpn的問題：如果我在公司用win2003搭建一個vpn服務器。怎么才能讓家里的電腦能連上呢。想不明白，但是我在虛擬機上不同網段的pc可以實現，但是真實的情況就……請問專家能否實現？

A：服務器的操作系統有公網地址沒有？你在家的時候，連接不上提示什么錯誤？既然在虛擬機可以實現，從家里到公司也不應該有問題。沒有策略限制吧？

Q：公司中一病毒，在病毒瘋狂在內網的近千臺客戶端內傳播，而殺毒軟體和補丁無法起作用，可否針對病毒的特征設置策略，禁止該客戶端訪問內網資源。

A：首先確認是什么類的病毒，文件傳播？U盤傳播？網絡傳播？ARP欺騙類？然后制定相應的解決方案。您可以看看TrendMicro、Symantec、McAfee的安全解決方案，如果中毒或沒有實施企業的安全策略（如補丁策略等）則無法訪問網絡資源，都是可以做到的。另外如果您仔細分析了病毒，參考下相關資料，可以發現一些通過網絡傳播的病毒可以通過防火墻或智能交換機阻斷。

Q：A網中有大量監控視頻頭（一個視頻頭使用一個IP），想在不同網段的B網（可用IP較少）中查看并可控制視頻頭，中間路由相聯，使用NAT會不會存在問題？我想到的是，能不能使用B網IP+固定端口對應A網固定IP方式。如能對性能影響不大，有上千臺設備。另還有沒有其它方法，讓B網使用A網時，A網地址都是B網段地址？

A：您最后一句話我沒看明白，我對您說法的理解：B網訪問A網的時候用端口，并實現安全性。用NAT是沒問題的，不過用路由器設置上千臺設備從IP到IP+端口的訪問，工作量大一點，制定一個ACL，可以做到。

Q：我想問一下關于windows2003PKI軟件限制策略怎么用來提高安全性

A：軟件限制策略提供了一種由策略驅動的方法，以識別軟件并控制其運行能力。管理員將定義規則來控制允許軟件運行的時間。這些規則包含在組策略中，這樣即可在站點、域或組織單位(OU)上設置這些規則。

軟件限制策略中包含用于決定軟件是否應被允許運行的默認規則及默認規則的例外情況。它允許管理員定義一個用于指定是否所有軟件都運行的策略。例如：某個默認選項是除指定的程序組之外所有軟件都可以運行。而另一個默認選項則是除指定的程序組之外所有軟件都不能運行。請參考微軟網站的文章：http://www.microsoft.com/china/technet/prodtechnol/winxppro/plan/pkienh.mspx

Q：張老師，現在有一個棘手的問題。我有600多臺的客戶端機器。配置為雙核CPU+80G硬盤+2g內存+還原卡+有盤系統XP，目前確定中病毒了。病毒特征為，無法刪除、重命名文件夾。目前知道只要刪除兩個dll病毒文件就可以了。只有周日才有時間大批量維護，您有什么好的意見嗎？

A：您的計算機安裝了還原卡，我不知道是在裝卡前中毒還是裝了卡之后中毒？你說的2個dll文件是什么名稱？您可以搜一下相關資料。我知道能穿透還原卡的病毒只有機器狗，但是機器狗是通過pcihdd。sys進行破壞，并不是你說的。dll，加之也不知道您的計算機是在安裝還原卡之前已經中毒，還是之后，因此無法判斷實際情況。我在根據您說的情況搜了下，也沒找到相關信息，建議找個周末維護吧。

Q：一個企業網絡，用的是網件的防火墻和飛魚星行為管理路由，想用路由劃分兩個子網，需要在防火墻里面怎么設置，不設置就上不了網，但將路由接到主交換機可以正常上網

A：不同品牌，甚至同品牌不同型號的產品配置往往不同，因此我也無法判斷應該如何設置。建議聯系防火墻廠家尋求技術支持。

Q：請問下，現在企業對于安全的要求上，一般都認為是硬件的好，我十分不明白這些對于軟件來說都是可以做到的，那么為什么我們還要去購買防火墻?

A：現在很多軟件是基于Windows的，其安全性一直為人所詬病，因此，開源的、精簡的、優化了性能的、提升了安全性的Linux往往是首選，另外由于Windows服務器在企業里面往往也被用作別的用途，而硬件的網絡設備卻一般無法挪作它用，因此穩定性相對而言要好的多，且一般都是定制開發的硬件平臺，這樣的話穩定性、安全性、執行效率都要比軟件的好一些。

Q：張老師，請你解釋下大中型企業如何進行郵件加密。還有你說"企業一般都購買國內的商業產品"，我看過國內很多商業產品都很垃圾，國內有什么很好的加密軟件嗎？比PGP還安全嗎？事實上我覺得PGP最適合筆記本用戶，因為一旦筆記本丟失，用PGP加密過的磁盤即使進入pe也無法查看！非常安全，網上我還沒找到可以破解PGP的軟件或方法！

A：郵件加密，商業公司一般采用第三方數字證書進行加密，主要是中華人民共和國電子簽名法認可數字證書，并公布了一批名單，一般命名為XX省CA。受法律保護。加密軟件我推薦TrueCrypt，免費，且使用簡單，加密強悍。支持多種加密方式和加密算法。

Q：請問，2003server的服務器要不要打補丁呢？用windows自帶的更新補丁速度太慢，忍受不了，用一些輔助工具把，又不放心。

服務器真的有必要要打補丁么？打補丁真的能有效果么？

A：毫無疑問，補丁是必須的。如果自帶的慢，可以用360安全衛士的，稍微快一些。

Q：張老師你好！我是一個網絡安全的初學者不知道現在可以看哪些書籍來學習網絡安全的知識及提高這方面的能力了？

A：建議去www。china-pub。com看看，計算機類的書蠻多的。另外操作系統是必須要學的，這個是基礎，建議WindowsServer和Linux都看看。如果經濟條件允許，不妨看看微軟、思科、紅帽認證的一些教材。

Q：在內網中，如何防止U盤拷貝文件?

A：1、在bios中封掉

2、修改注冊表

3、通過策略，可以是本地策略或與策略

4、內網安全管理軟件控制

5、移動存儲介質管理系統控制

Q：請問無線網環境如何防止接入，ip物理地址綁定后，如何防止修改xp網絡高級屬性的物理地址從而上網？

A：選擇強加密方式，增加復雜密碼。如果擔心修改MAC入網，建議使用數字證書，上網的時候必須有數字證書才能使用網絡。

Q：專家您好，想咨詢一下是否可推薦幾本LINUX網絡安全管理方面的書籍，小D想進行系統的學習一下Linux網絡管理，謝謝。

A：個人的閱讀習慣不一樣，我喜歡的不一定喜歡你。不過推薦個：http://www.china-pub.com/37429您也可以看看這個頁面http://www.china-pub.com/s/?&displaytype=1&key1=linux+%b0%b2%c8%ab&type=&pz=1&ordertype=4

建議看看書的目錄和評論。

Q：我公司是單域，現有有個安全問題，怎么做才可以實現服務器上的資料只可以打開修改，不可以拷貝到本機或上傳到網盤呢?

A：實際上在打開的過程中，已經讀入到本機內存了……因此總是有辦法拷貝出來的。到是有產品可以強制保存到服務器，而本機禁止再拷貝，且實現了加密功能。打開的人獲取不到未加密的文件，因此也就不存在泄露的可能了?；蛘呓ㄗh簡單一點，直接透明加密或按照權限分發，這樣在本機和在服務器都一樣，即使外發，也不會造成損失。

Q：請問如何防治arp攻擊？雖然目前360能起到一定的作用，但是效果也不是太好！謝謝！

A：IP、MAC、Port三綁定，主機安裝ARP防火墻或用arp-s。另外有廠家現在推出了安全交換機（有些路由器、防火墻也是可以的），可以有效檢測ARP病毒，一旦檢測出來則自動關閉端口10分鐘（可以自己設置阻斷時間）。

Q：你好專家!我想問問現在企業中的機密信息如何保護以及使用哪些技術手段進行保護？謝謝!

A：如果說最重要的，還是得從保密意識上做起。畢竟最重要的知識產權永遠在人的大腦而不是在計算機上?？床煌袠I、不同需求。一般從網絡、主機、應用、數據幾方面考慮。最簡單的來說：端口控制、介質保護、文檔加密。

Q：內網安全除在核心層做好安全防御處，對單機用戶如何做好防御？采用什么方法來做比較好？

A：單機，一般從端口、介質進行管理，另外包括系統的身份認證、操作行為審計。也有在使用單機的文件保險柜。

Q：您能否對市場上常見的內網安全產品做個對比和分析，以幫助我們在選擇時，能夠做到有的方矢，謝謝！

A：內網安全產品分身份認證、安全審計、文檔加密等很多種，身份認證有衛士通、格爾等；安全審計有北信源、漢邦等；文檔加密有億賽通、前沿等。

【編輯推薦】

1. [技術門診第132期] 實戰乃王道：C/C++開發常見bug解析
2. 北塔BTNM數據流分析 保障內網安全無憂
3. 和諧”內網保護神——ProVisa內網安全管理系統