網絡安全方案（三）預防措施

9、技術原理

網絡安全相關圖片 網絡安全性問題關系到未來網絡應用的深入發展，它涉及安全策略、移動代碼、指令保護、密碼學、操作系統、軟件工程和 網絡安全管理等內容。一般專用的 內部網與公用的互聯網的隔離主要使用“ 防火墻”技 術。

“ 防火墻”是一種形象的說法，其實它是一種 計算機 硬件和軟件的組合，使互聯網與 內部網之間建立起 一個 安全網關，從而保護內部網免受非法用戶的侵入。

能夠完成“ 防火墻”工作的可以是簡單的隱蔽路由器，這種“防火墻”如果是一臺普通的路由器則僅能起到一種 隔離作用。隱蔽路由器也可以在 互聯網協議端口級上阻止網間或主機間通信，起到一定的過濾作用。 由于隱蔽路由器僅僅是對路由器的參數做些修改，因而也有人不把它歸入“ 防火墻”一級的措施。

真正意義的“ 防火墻”有兩類，一類被稱為標準“防火墻”；一類叫雙家網關。標準” 防火墻”系統包括一個工作站，該工作站的兩端各有一個路由器進行緩沖。其中一個路由器的 接口是外部 世界，即公用網；而另一個則聯接 內部網。標準“ 防火墻”使用專門的軟件，并要求較高的管理水平，而且在 信息傳輸上有一定的延遲。而雙家網關則是對標準“ 防火墻”的擴充。雙家網關又稱堡壘主機或 應用層網關，它是一個單個的系統，但卻能同時完成標準“ 防火墻”的所有功能。其優點是能運行更復雜的應用，同時防止在互聯網和內部系統之間建立的任何直接的連接，可以確保數據包不能直接從 外部網絡到達 內部網絡，反之亦然。

隨著“ 防火墻”技術的進步，在雙家網關的基礎上又演化出兩種“防火墻”配置，一種是隱蔽主機網關，另一種是隱蔽智能網關(隱蔽 子網)。隱蔽主機網關當前也許是一種常見的“ 防火墻”配置。顧名思義，這種配置一方面將路由器進行隱藏，另一方面在互聯網和 內部網之間安裝堡壘主機。堡壘主機裝在 內部網上，通過路由器的配置，使該堡壘主機成為內部網與互聯網進行通信的唯一系統。目前技術最為復雜而且安全級別最高的” 防火墻”當屬隱蔽智能網關。所謂隱蔽智能網關是將網關隱藏在公共系統之后，它是互聯網用戶唯一能見到的系統。所有互聯網功能則是經過這個隱藏在公共系統之后的保護軟件來進行的。一般來說，這種“ 防火墻”是最不容易被破壞的。

與“ 防火墻”配合使用的安全技術還有數據加密技術。 數據加密技術是為提高信息系統及數據的安全性和 保密性，防止秘密數據被外部破壞所采用的主要技術手段之一。隨著信息技術的發展，網絡安全與信息保密日益引起人們的關注。各國除了從法律上、管理上加強數據的安全保護外，從技術上分別在軟件和 硬件兩方面采取措施，推動著數據加密技術和物理防范技術的不斷發展。按作用不同，數據加密技術主要分為數據傳輸、 數據存儲、數據 完整性的鑒別以及 密鑰管理技術4種。

與數據加密技術緊密相關的另一項技術則是智能卡技術。所謂智能卡就是密鑰的一種媒體，一般就像 信用卡一樣，由授權用戶所持有并由該用戶賦予它一個口令或密碼字。該密碼字與內部 網絡服務器上注冊的密碼一致。當口令與身份特征共同使用時，智能卡的保密 性能還是相當有效的。

這些網絡安全和數據保護的防范措施都有一定的限度，并不是越安全就越可靠。因而，看一個 內部網是否安全時不僅要考慮其手段，而更重要的是對該網絡所采取的各種措施，其中不僅是物理防范，而且還有人員素質等其他“軟”因素，進行綜合評估，從而得出是否安全的結論。

安全服務 對等 實體認證服務 、訪問控制服務、 數據保密服務 數據完整性服務 、數據源點認證服務、 禁止否認服務、安全機制 、加密機制、 數字簽名機制、 訪問控制機制、 數據完整性機制、 認證機制、 信息流填充機制、 路由控制機制、 公證機制等

10、操作工具

網絡安全相關圖片 維護網絡安全的工具有 VIEID、 數字證書、 數字簽名和基于本地或云端的殺毒軟體等構成。

防火墻

Internet防火墻是這樣的系統（或一組系統），它能增強機構 內部網絡的安全性。 防火墻系統決定了哪些內部服務可以被外界訪問；外界的哪些人可以訪問內部的哪些服務，以及哪些外部服務可以被內部人員訪問。要使一個防火墻有效，所有來自和去往Internet的信息都必須經過防火墻，接受防火墻的檢查。防火墻只允許授權的數據通過，并且防火墻本身也必須能夠免于滲透。

Internet防火墻負責管理 Internet和機構 內部網絡之間的訪問。在沒有防火墻時， 內部網絡上的每個節點都暴露給 Internet上的其它主機，極易受到攻擊。這就意味著 內部網絡的安全性要由每一個主機的堅固程度來決定，并且安全性等同于其中最弱的系統。

Internet防火墻允許 網絡管理員定義一個中心“ 扼制點” 來防止非法用戶，比如防止黑客、網絡破壞者等進入 內部網絡。禁止存在安全 脆弱性的服務進出網絡，并抗擊來自各種路線的攻擊。Internet防火墻能夠簡化安全管理，網絡的安全性是在防火墻系統上得到加固，而不是分布在 內部網絡的所有主機上。

在 防火墻上可以很方便的監視網絡的安全性，并產生報警。（注意：對一個與Internet相聯的 內部網絡來說，重要的問題并不是網絡是否會受到攻擊，而是何時受到攻擊？誰在攻擊？） 網絡管理員必須審計并記錄所有通過 防火墻的重要信息。如果 網絡管理員不能及時響應報警并審查常規記錄， 防火墻就形同虛設。在這種情況下， 網絡管理員永遠不會知道 防火墻是否受到攻擊。

Internet防火墻可以作為部署 NAT(Network Address Translator， 網絡地址變換）的 邏輯地址。因此防火墻可以用來緩解 地址空間短缺的問題，并消除機構在變換ISP時帶來的重新編址的麻煩。

Internet防火墻是審計和記錄Internet使用量的一個最佳地方。 網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的 帶寬瓶頸的位置，并根據機構的核算模式提供部門級計費。

在設計理念方面， 防火墻是以應用為主、以安全為輔的，也就是說在支持盡可能多的應用的前提下，來保證使用的安全。 防火墻的這一設計理念使得它可以廣泛地用于盡可能多的領域，擁有更加廣泛的市場，甚至包括個人電腦都可以使用，但是它的安全性往往就差強人意。而 網閘則是以安全為主，在保證安全的前提下，支持盡可能多地應用。網閘主要用于安全性要求極高的領域，例如對政府網絡，工業控制系統的保護等等。

安全策略

防火墻不僅僅是路由器、 堡壘主機、或任何提供網絡安全的設備的組合，防火墻是安全策略的一個部分。

安全策略建立全方位的防御體系，甚至包括：告訴用戶應有的責任，公司規定的網絡訪問、服務訪問、本地和遠地的 用戶認證、撥入和撥出、 磁盤和數據加密、 病毒防護措施，以及雇員培訓等。所有可能受到攻擊的地方都必須以同樣安全級別加以保護。

僅設立防火墻系統，而沒有全面的安全策略，那么防火墻就形同虛設。

系統安全

操作系統的安全控制：如用戶開機鍵入的口令（某些微機主板有“ 萬能口令” ），對文件的讀寫存取的控制（如Unix系統的 文件屬性控制機制）。

網絡接口模塊的安全控制。在網絡環境下對來自其他機器的 網絡通信進程進行安全控制。主要包括：身份認證，客戶權限設置與判別，審計 日志等。

網絡互聯設備的安全控制。對整個 子網內的所有主機的傳輸信息和運行狀態進行安全監測和控制。主要通過 網管軟件或 路由器配置實現。

電子商務

電子商務安全從整體上可分為兩大部分： 計算機網絡安全和商務交易安全。

（一） 計算機網絡安全的內容包括：

（1）未進行操作系統相關安全配置

不論采用什么操作系統，在缺省安裝的條件下都會存在一些安全問題，只有專門針對 操作系統安全性進行相關的和嚴格的安全配置，才能達到一定的安全程度。千萬不要以為操作系統缺省安裝后，再配上很強的 密碼系統就算作安全了。 網絡軟件的 漏洞和“ 后門” 是進行 網絡攻擊的首選目標。

（2）未進行CGI程序代碼審計

如果是通用的CGI問題，防范起來還稍微容易一些，但是對于網站或軟件供應商專門開發的一些CGI程序，很多存在嚴重的CGI問題，對于電子商務站點來說，會出現惡意攻擊者冒用他人賬號進行 網上購物等嚴重后果。

（3）拒絕服務（DoS，Denial of Service）攻擊

隨著電子商務的興起，對網站的實時性要求越來越高，DoS或DDoS對網站的威脅越來越大。以 網絡癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈，破壞性更大，造成危害的速度更快，范圍也更廣，而襲擊者本身的風險卻非常小，甚至可以在襲擊開始前就已經消失得無影無蹤，使對方沒有實行報復打擊的可能。

（4）安全產品使用不當

雖然不少網站采用了一些網絡安全設備，但由于安全產品本身的問題或使用問題，這些產品并沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高，超出對普通網管人員的技術要求，就算是廠家在最初給用戶做了正確的安裝、配置，但一旦系統改動，需要改動相關安全產品的設置時，很容易產生許多安全問題。

（5）缺少嚴格的網絡安全管理制度

網絡安全最重要的還是要思想上高度重視，網站或局域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的 計算機網絡安全制度與策略是真正實現網絡安全的基礎。

（ 二） 計算機商務交易安全的內容包括：

（1）竊取信息

由于未采用加密措施，數據信息在網絡上以明文形式傳送，入侵者在數據包經過的 網關或路由器上可以截獲傳送的信息。通過多次竊取和分析，可以找到信息的規律和格式，進而得到傳輸信息的內容，造成網上傳輸信息泄密。

（2）篡改信息

當入侵者掌握了信息的格式和規律后，通過各種技術手段和方法，將網絡上傳送的信息數據在中途修改，然后再發向目的地。這種方法并不新鮮，在路由器或網關上都可以做此類工作。

（3）假冒

由于掌握了數據的格式，并可以篡改通過的信息，攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息，而遠端用戶通常很難分辨。

（4）惡意破壞

由于攻擊者可以接入網絡，則可能對網絡中的信息進行修改，掌握網上的機要信息，甚至可以潛入網絡內部，其后果是非常嚴重的。

協議安全

TCP/IP協議 數據流采用明文傳輸。

源 地址欺騙（Source address spoofing）或IP欺騙（IP spoofing）。

源路由選擇欺騙（Source Routing spoofing）。

路由選擇信息協議攻擊（RIP Attacks）。

鑒別攻擊（Authentication Attacks）。

TCP序列號欺騙（TCP Sequence number spoofing）。

TCP序列號轟炸攻擊（TCP SYN Flooding Attack），簡稱SYN攻擊。

易欺騙性（Ease of spoofing）。

11、預防措施

網安措施

網絡安全宣傳圖片 計算機網絡安全措施主要包括保護網絡安全、保護應用服務安全和保護系統安全三個方面，各個方面都要結合考慮安全防護的物理安全、 防火墻、 信息安全、 Web安全、媒體安全等等。

（一）保護網絡安全。

網絡安全是為保護 商務各方網絡 端系統之間通信過程的安全性。保證機密性、 完整性、認證性和訪問控制性是網絡安全的重要因素。保護網絡安全的主要措施如下：

（1）全面規劃網絡平臺的安全策略。

（2）制定網絡安全的管理措施。

（3）使用 防火墻。

（4）盡可能記錄網絡上的一切活動。

（5）注意對網絡設備的物理保護。

（6）檢驗網絡平臺系統的脆弱性。

（7）建立可靠的識別和鑒別機制。

（二）保護 應用安全。

保護 應用安全，主要是針對特定應用（如Web服務器、 網絡支付專用軟件系統）所建立的安全防護措施，它獨立于網絡的任何其他安全防護措施。雖然有些防護措施可能是網絡安全業務的一種替代或重疊，如 Web瀏覽器和Web服務器在 應用層上對網絡支付結算 信息包的加密，都通過IP層加密，但是許多應用還有自己的特定安全要求。

由于電子商務中的 應用層對安全的要求最嚴格、最復雜，因此更傾向于在 應用層而不是在網絡層采取各種安全措施。

雖然網絡層上的安全仍有其特定地位，但是人們不能完全依靠它來解決 電子商務應用的安全性。應用層上的安全業務可以涉及認證、 訪問控制、機密性、數據 完整性、不可否認性、Web安全性、EDI和網絡支付等應用的安全性。

（三）保護系統安全。

保護系統安全，是指從整體 電子商務系統或網絡支付系統的角度進行安全防護，它與網絡系統 硬件平臺、操作系統、各種 應用軟件等互相關聯。涉及網絡支付結算的系統安全包含下述一些措施：

（1）在安裝的軟件中，如 瀏覽器軟件、電子錢包軟件、 支付網關軟件等，檢查和確認未知的安全漏洞。

（2）技術與管理相結合，使系統具有最小穿透風險性。如通過諸多認證才允許連通，對所有接入數據必須進行審計，對 系統用戶進行嚴格安全管理。

（3）建立詳細的安全審計日志，以便檢測并跟蹤入侵攻擊等。

商交措施

商務交易安全則緊緊圍繞傳統商務在 互聯網絡上應用時產生的各種安全問題，在 計算機網絡安全的基礎上，如何保障電子商務過程的順利進行。

各種商務交易 安全服務都是通過安全技術來實現的，主要包括加密技術、認證技術和電子商務 安全協議等。

（一） 加密技術。

加密技術是電子商務采取的基本安全措施，交易雙方可根據需要在 信息交換的階段使用。加密技術分為兩類，即 對稱加密和 非對稱加密。

（1） 對稱加密。

對稱加密又稱 私鑰加密，即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快，適合于對 大數據量進行加密，但 密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機密性和報文 完整性就可以通過這種加密方法 加密機密信息、隨報文一起發送 報文摘要或報文散列值來實現。

（2）非對稱加密。

非對稱加密又稱 公鑰加密，使用一對密鑰來分別完成加密和解密操作，其中一個 公開發布（即公鑰），另一個由用戶自己秘密保存（即 私鑰）。信息交換的過程是：甲方生成一對密鑰并將其中的一把作為公鑰向其他交易方公開，得到該公鑰的乙方使用該密鑰對信息進行加密后再發送給甲方，甲方再用自己保存的 私鑰對加密信息進行解密。

（二）認證技術。

認證技術是用電子手段證明發送者和接收者身份及其文件 完整性的技術，即確認雙方的身份信息在傳送或 存儲過程中未被篡改過。

（1）數字簽名。

數字簽名也稱 電子簽名，如同出示手寫簽名一樣，能起到電子文件認證、核準和生效的作用。其實現方式是把散列函數和 公開密鑰算法結合起來，發送方從 報文文本中生成一個散列值，并用自己的 私鑰對這個散列值進行加密，形成發送方的數字簽名；然后，將這個數字簽名作為報文的附件和報文一起發送給報文的接收方；報文的接收方首先從接收到的原始報文中計算出散列值，接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密；如果這兩個散列值相同，那么接收方就能確認該數字簽名是發送方的。數字簽名機制提供了一種鑒別方法，以解決偽造、抵賴、冒充、篡改等問題。

（2）數字證書。

數字證書是一個經 證書授權中心 數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰，加上密鑰 所有者的用戶身份 標識符，以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構（CA），如政府部門和金融機構。用戶以安全的方式向 公鑰證書權威機構提交他的公鑰并得到證書，然后用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書，并通過相關的信任簽名來驗證公鑰的有效性。 數字證書通過標志交易各方身份信息的一系列數據，提供了一種驗證各自身份的方式，用戶可以用它來識別對方的身份。

（三）電子商務的安全協議。

除上文提到的各種安全技術之外，電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。

（1） 安全套接層協議SSL。

SSL協議位于 傳輸層和 應用層之間，由SSL記錄協議、SSL 握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與服務器真正傳輸 應用層數據之前建立安全機制。當客戶與服務器第一次通信時，雙方通過握手協議在 版本號、密鑰交換算法、數據加密算法和 Hash算法上達成一致，然后互相驗證對方身份，最后使用協商好的密鑰交換算法產生一個只有雙方知道的秘密信息，客戶和服務器各自根據此秘密信息產生數據加密算法和Hash算法 參數。SSL記錄協議根據SSL握手協議協商的參數，對 應用層送來的數據進行加密、壓縮、計算 消息鑒別碼MAC，然后經網絡傳輸層發送給對方。SSL警報協議用來在客戶和服務器之間傳遞SSL出錯信息。

（2） 安全電子交易協議SET。

SET協議用于劃分與界定電子商務活動中消費者、網上 商家、交易雙方銀行、 信用卡組織之間的權利義務關系，給定交易信息傳送流程標準。SET主要由三個文件組成，分別是SET業務描述、SET 程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的 完整性、身份的合法性。

SET協議是專為電子商務 系統設計的。它位于 應用層，其認證體系十分完善，能實現多方認證。在SET的實現中，消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜，交易數據需進行多次驗證，用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外，還有發卡行、收單行、認證中心、 支付網關等其它參與者。

加密方式

鏈路加密方式

安全技術手段

物理措施：例如，保護網絡關鍵設備(如 交換機、 大型計算機等)，制定嚴格的網絡安全規章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施。

訪問控制：對用戶訪問 網絡資源的權限進行嚴格的認證和控制。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問目錄和文件的權限，控制網絡設備配置的權限等等。

數據加密：加密是保護 數據安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止 計算機 網絡病毒，安裝網絡防病毒系統。

網絡隔離：網絡隔離有兩種方式，一種是采用 隔離卡來實現的，一種是采用網絡安全隔離 網閘實現的。

隔離卡主要用于對單臺機器的隔離， 網閘主要用于對于整個網絡的隔離。這兩者的區別可參見參考資料。

其他措施：其他措施包括 信息過濾、容錯、數據鏡像、 數據備份和審計等。圍繞網絡安全問題提出了許多解決辦法，例如數據加密技術和 防火墻技術等。數據加密是對網絡中傳輸的數據進行加密，到達目的地后再解密還原為 原始數據，目的是防止非法用戶截獲后盜用信息。防火墻技術是通過對網絡的隔離和限制訪問等方法來控制網絡的訪問權限。

安全防范意識

擁有網絡安全意識是保證網絡安全的重要前提。許多網絡安全事件的發生都和缺乏 安全防范意識有關。

主機安全檢查

要保證網絡安全，進行網絡安全建設，第一步首先要全面了解系統，評估系統安全性，認識到自己的風險所在，從而迅速、準確得解決 內網安全問題。由安天實驗室自主研發的國內首款創新型自動主機安全 檢查工具，徹底顛覆傳統系統保密檢查和系統風險評測工具操作的繁冗性，一鍵操作即可對內網 計算機進行全面的安全保密檢查及精準的 安全等級判定，并對評測系統進行強有力的分析處置和修復。

主機物理安全

服務器運行的物理安全環境是很重要的，很多人忽略了這點。物理環境主要是指 服務器托管機房的設施狀況，包括通風系統、電源系統、防雷防火系統以及機房的溫度、濕度條件等。這些因素會影響到服務器的壽命和所有數據的安全。我不想在這里討論這些因素，因為在選擇IDC時你自己會作出決策。

在這里著重強調的是，有些機房提供專門的機柜存放服務器，而有些機房只提供機架。所謂機柜，就是類似于家里的櫥柜那樣的鐵柜子，前后有門，里面有放服務器的拖架和電源、風扇等，服務器放進去后即把門鎖上，只有機房的管理人員才有鑰匙打開。而機架就是一個個鐵架子，開放式的，服務器上架時只要把它插到拖架里去即可。這兩種環境對服務器的物理安全來說有著很大差別，顯而易見，放在機柜里的服務器要安全得多。

如果你的服務器放在開放式機架上，那就意味著，任何人都可以接觸到這些服務器。別人如果能輕松接觸到你的 硬件，還有什么安全性可言?

如果你的服務器只能放在開放式機架的機房，那么你可以這樣做：

（1)將電源用膠帶綁定在插槽上，這樣避免別人無意中碰動你的電源；

（2)安裝完系統后，重啟服務器，在重啟的過程中把鍵盤和鼠標拔掉，這樣在系統啟動后，普通的鍵盤和鼠標接上去以后不會起作用(USB鼠標鍵盤除外)

（3)跟機房值班人員搞好關系，不要得罪機房里其他公司的維護人員。這樣做后，你的服務器至少會安全一些。

12、主要產品

在網絡設備和網絡應用市場蓬勃發展的帶動下，網絡安全市場迎來了高速發展期，一方面隨著網絡的延伸，網絡規模迅速擴大，安全問題變得日益復雜，建設可管、可控、可信的網絡也是進一步推進網絡應用發展的前提；另一方面隨著網絡所承載的業務日益復雜，保證應用層安全是網絡安全發展的新的方向。

隨著網絡技術的快速發展，原來網絡威脅單點疊加式的防護

手段已經難以有效抵御日趨嚴重的混合型安全威脅。構建一個局部安全、全局安全、智能安全的整體安全體系，為用戶提供多層次、全方位的立體防護體系成為 信息安全建設的新理念。在此理念下， 網絡安全產品將發生了一系列的變革。

結合實際應用需求，在新的網絡安全理念的指引下，網絡安全解決方案正向著以下幾個方向來發展：

1、主動防御走向市場

主動防御的理念已經發展了一些年，但是從理論走向應用一直存在著多種阻礙。 主動防御主要是通過分析并掃描指定程序或線程的行為，根據預先設定的規則，判定是否屬于危險程序或 病毒，從而進行防御或者清除操作。不過，從 主動防御理念向產品發展的最重要因素就是智能化問題。由于 計算機是在一系列的規則下產生的，如何發現、判斷、檢測威脅并 主動防御，成為主動防御理念走向市場的最大阻礙。

由于 主動防御可以提升安全策略的執行效率，對企業推進網絡安全建設起到了積極作用，所以盡管其產品還不完善，但是隨著未來幾年技術的進步，以程序自動監控、程序自動分析、程序自動診斷為主要功能的主動防御型產品將與傳統網絡安全設備相結合。尤其是隨著技術的發展，高效準確的對 病毒、 蠕蟲、 木馬等惡意攻擊行為的主動防御產品將逐步發展成熟并推向市場，主動防御技術走向市場將成為一種必然的趨勢。

2、安全技術融合備受重視

隨著網絡技術的日新月異，網絡普及率的快速提高，網絡所面臨的潛在威脅也越來越大，單一的防護產品早已不能滿足市場的需要。發展網絡安全 整體解決方案已經成為必然趨勢，用戶對務實有效的安全整體解決方案需求愈加迫切。安全 整體解決方案需要產品更加集成化、智能化、便于集中管理。未來幾年開發網絡安全 整體解決方案將成為主要廠商差異化競爭的重要手段。 軟硬結合，管理策略走入安全 整體解決方案

面對規模越來越龐大和復雜的網絡，僅依靠傳統的網絡安全設備來保證 網絡層的安全和暢通已經不能滿足網絡的可管、可控要求，因此以 終端準入解決方案為代表的網絡 管理軟件開始融合進整體的安全解決方案。終端準入解決方案通過控制用戶 終端安全接入網絡入手，對接入用戶終端強制實施用戶安全策略，嚴格控制終端網絡使用行為，為網絡安全提供了有效保障，幫助用戶實現更加主動的安全防護，實現高效、便捷地 網絡管理目標，全面推動網絡整體安全體系建設的進程。

3、數據安全保護系統

數據安全保護系統是廣東南方信息安全產業基地公司，依據國家重要信息系統安全等級保護標準和法規，以及企業數字知識產權保護需求，自主研發的產品。它以全面數據文件安全策略、加解密技術與強制訪問控制有機結合為設計思想，對信息媒介上的各種數據資產，實施不同安全等級的控制，有效杜絕機密信息泄漏和竊取事件。

                                                                                                                               （未完待續）