１．５为无线路由器打补丁，并使用其自带的防 火墙功能
建议用户在使用无线路由器时及时更新产品的固件，而 且如果无线路由器有内置防火墙功能，一定学习如何使用并
２０１０．３
鹏安呈技７Ｉｔ与应用２１
万 方数据
建立网络安全的主动防御体系
作者： 作者单位： 刊名： 英文刊名： 年，卷(期)： 霍延丽， Huo Yanli 新疆天富电力(集团)有限责任公司,新疆,832000 网络安全技术与应用 NETWORK SECURITY TECHNOLOGY & APPLICATION 2010(3)
配置它，开启这个防火墙。也可以限制同时接入无线路由器 的用户数量，如果企业员工数量不是很多，完全没有必要让 路由器设置为可以接纳无限多的用户。比如企业只有十五个员 工，那么就设置无线路由器只能同时接入十五个连接好了。
１．６设置防火墙
虽然防火墙并没有特别强的安全主动性，但是它可以很 好的完成自己该做的那份工作。应该为防火墙设置智能化的 规则，以便关闭那些可能成为黑客入侵途径的端口。比如
２０粥鳇技７ｆｔ与应用 万 方数据
２０１０．３
１．２减少对安全策略的破坏
不论是有限网络，还是笔记本或者无线设备，都很有可 能出现破坏安全策略的情况。很多系统没有装防病毒软件、 防火墙软件，同时却安装了很多点对点的传输程序（如Ｋａｚａａ， Ｎａｐｓｔｅｒ、Ｇｎｕｔｅｌｌａ、ＢＴ、ｅＭｕｌｅ等）以及即时消息软件等，它 们都是网络安全漏洞的根源。因此，必须强制所有的终端安 装反病毒软件，并开启Ｗ＇ｍｄｏｗｓ ＸＰ内建的防火墙，或者安 装商业级的桌面防火墙软件，同时卸载点对点共享程序以及
２结束语
总的来说，一个具有主动性的网络安全模型是以一个良 好的安全策略为起点的。之后需要确保这个安全策略可以被 彻底贯彻执行。最后，由于移动办公用户的存在，企业和网 络经常处在变化中，需要时刻比那些黑客、蠕虫、恶意员工 以及各种互联网罪犯提前行动。要做到先行一步，应该时翔 具有主动性的眼光并在第一时刻更新安全策略，同时要确保 系统已经安装了足够的防护产品，来阻止黑客的各种进攻尝 试。虽然安全性永远都不是百分之百的，但这样做足可以使 处于优势地位。
本文链接：/Periodical_wlaqjsyyy201003006.aspx
实现主动性的网络安全模型
下面介绍几个简单的步骤，实现一个具有主动性的安全
网络。首先需要开发一套安全策略，并强迫所有企业人员遵 守这一规则。同时，需要屏蔽所有的移动设备，并开启无线 网络的加密功能以增强网络的安全级别。为无线路由器打好 补丁并确保防火墙可以正常工作是非常重要的。之后检查系 统漏洞，如果发现漏洞就立即用补丁或其它方法将其保护起 来，这样可以防止黑客利用这些漏洞窃取公司的资料，或者 令网络瘫痪。
建立规则，屏蔽所有系统上的１０４５端口。另外，当笔记本 或其它无线设备连接到网络中时，防火墙也应该具有动态的 规则来屏蔽这些移动终端的危险端口。
１．７留意最新的威胁
据计算机安全协会（ＣＳＩ）表示，２００２ ＣＳＩ／ＦＢＩ计算机犯罪 和安全调查显示，。计算机犯罪和信息安全的威胁仍然不衰 退，并且趋向于金融领域”。因此，需要时刻留意网络上的最 新安全信息，以便保护自己的企业。网络上很多地方可以提 供最新的安全信息，比如ｗｗｗ．ｕｓ－ｃｅｒｔ．ｇｏｖ和ｗｗｗ．ｓａｒｌｓ．ｏｒｇ。
１．８弥补已知的漏洞
系统上已知的漏洞被称为“通用漏洞批露”（ＣＶＥｓ），它是
Ｅｎｃｒｙｐｔｉｏｎ，
１．４开启无线网络加密功能
在无线网络系统中，无线网络加密（Ｗｉｒｅｌｅｓｓ
由ＭＩＴＲＥ组织汇编整理的漏洞信息。通过打补丁或其它措 施，可以将网络中所有系统的ＣＶＥ漏洞弥补好。
ＷＥＰ）应该处于开启状态，并应该设置为最高安全级别。而且 管理者的用户名和密码需要经常及时更换。但是这些措施也 并不能够完全防止黑客通过无线路由器入侵企业内部网络。 这是由于在大多数无线路由器中，都包含有目前尚未被修补 的ＣＶＥ，黑客可以利用这些ＣＶＥ进行攻击。一些高级的黑 客会下载免费的工具对这些漏洞进行更高级的利用，以此完 全攻破安全系统。
１．１开发一个安全策略
实现良好的网络安全总是以一个能够起到作用的安全
方面：防火墙、ＶＰＮ、反病毒软件，以及入侵检测系统（ＩＤＳ）。 防火墙可以检测数据包并试图阻止有问题的数据包，但是它 并不能识别入侵，而且有时候会将有用的数据包阻止。ＶＰＮ 则是在两个不安全的计算机间建立起一个受保护的专用通 道，但是它并不能保护网络中的资料。反病毒软件是与其自 身的规贝ＩＪ密不可分的，而且面对黑客攻击，基本没有什么反 抗能力。同样。入侵检测系统也是一个纯粹的受激反应系统， 在入侵发生后才会有所动作。 虽然这四项基本的安全措施对企业来说至关重要，但是 实际上，一个企业也许花费了上百万购买和建立的防火墙、 ＶＰＮ、反病毒软件以及ＩＤＳ系统，但是面对黑客所采用的“通 员包括总经理在内，都必须按照这个策略来执行。基本的规 则包括从指导员工如何建立可靠的密码到业务连续计划以 及灾难恢复计划（ＢＣＰ和ＯＲＰ）。比如，应该有针对客户的财 产和其它保密信息的备份策略，比如一个镜像系统，以便在 灾难发生后可以迅速恢复数据。在有些情况，ＢＣＰ和ＤＲＰ 也许需要一个。冷”或“热”的站点，以便当灾难发生或者 有攻击时可以快速将员工的工作重新定向到新的站点。执行 ～个共同的安全策略也就意味着向具有主动性安全网络迈 出了第一步。 策略为开始的。就算这个安全策略只有一页，公司的全体人
要让网络体系具有最高级别的安全等级，还需具有一定的主 动性。 本文介绍一种更具主动性的网络安全模型，通过它，就 算再出现什么新病毒，你也可以对企业的网络系统感到放心。 类似于防火墙或者专杀类软件（如反病毒、反垃圾邮件、 反间谍软件等），都是属于被动型或者说是反应型安全措施。 在攻击到来时，这类软件都会产生相应的对抗动作，它们可 以作为整个安全体系的一部分，但是，还需要建立一种具有 主动性的安全模型，防护任何未知的攻击，保护网络安全。 另外，虽然在安全方面时刻保持警惕是非常必要的，但是事 实上很少有企业有能力２４小时不问断的派人守护网络。 在实现一个具有主动性的网络安全架构前，需要对现有 的主流网络安全体系有一个大概的了解。防护方法包括四个
建立网络安全的主动防御体系
霍延丽 新疆天富电力（集团）有限责任公司 新疆８３２０００ 摘要：本文建立了一种具有主动防御的安全模型，防护任何未知的攻击，保护网络安全。 关键词：网络安全・主动防御体系
Ｏ
引言
防火墙和其它反病毒）攻击方法却显得无能为力。ＣＶＥ本质上 说是应用程序内部的漏洞，它可以被黑客利用，用来攻击网 络、窃取信息，并使网络瘫痪。据２００４ Ｅ－Ｃｒｉｍｅ Ｓｕｒｖｅｙ（２００４电 子犯罪调查）显示，９０％的网络安全问题都是由于ＣＶＥ引起的。 ｌ
乱七八糟的聊天软件。 １０４５端口就是ＳＡＳＳＥＲ蠕虫的攻击端口，因此需要为防火墙
１．３封锁移动设备
对于企业的网络来说，最大的威胁可能就是来自那些随 处移动的笔记本或其它移动终端，它们具有网络的接人权 限，可以随时接入公司的网络。但是正因为它们具有移动特 性，可以随着员工迁移到其它不安全的网络并暴露在黑客的攻 击之下，当这些笔记本电脑再次回到公司的网络环境时，就成 了最大的安全隐患。其它无线终端也和笔记本有类似的情况。 通过安全策略，可以让网络针对无线终端具有更多的审 核。比如快速检测到无线终端的接入，然后验证这些终端是 否符合安全策略，是否是经过认证的用户，是否有明显的系 统漏洞等。