分域控制系統網路安全

A. 「域安全策略」和「域控制器安全策略」的問題

首先你要清楚「域安全策略」和「域控制器安全策略」的作用范圍，以及他們作用的先後順序。

當一台計算機處於域模式，就會採用域策略。域對於獨立的計算機而言，就是計算機本身。域策略屬於計算機策略。

計算機的策略大體上分為四類，他們分別是本地策略，域策略，站點策略以及ou策略。起作用的先後順序為local policy（本地）——〉site policy（站點）——〉domain policy（域）——〉ou policy。

一台處於工作組模式的計算機只會執行本地安全策略，而dc（domain controller)則至少要執行本地安全策略，域安全策略，域控制器安全策略三個策略，換言之，處於域模式的計算機要執行多條策略，那麼就要有相應的措施保證策略不沖突。默認情況下，當多條策略之間不產生沖突的時候，多條策略之間是merge的關系，即和並執行；但當產生沖突的時候，後執行的策略會替代先執行的策略。

域控制器安全策略屬於ou策略的一種。而域控制器安全策略僅僅作用在domain controller 這個組織單元（ou)上,他並不與域安全策略沖突，當他們和並執行時，在你所說的第一種情況下（「域控制器安全策略」中的「重命名管理員帳號名稱」更改為sandong，而「域安全策略」設置為「未定義」），計算機的管理員帳戶遵照將本地安全策略執行，而域控制器安全策略中的管理員帳戶則改為sandong。第二種情況下（「域安全策略」中設置sandong，而「域控制器安全策略」設置為「未定義」）本地安全策略將與域安全策略沖突，根據上述解釋，由於域安全策略後於本地安全策略執行，且域控制器安全策略為「未定義」所以將執行域安全策略，所有所有域中計算機管理員將更名為sandong.

B. 區域網的網路安全

區域網的安全：1、物理安全：是指機房的網路環境安全，機房規范化部署，保持溫度和濕度，防止灰塵，抗電磁干擾等，可預防火災等情況發生。
2、網路結構/系統安全：網路拓撲上考慮冗餘鏈路，設置防火牆，設置入侵檢測，設置實時監控系統。①設置嚴格內外網隔離 ②內網不同區域物理隔離，劃分多個不同廣播域。③網路安全檢測 ④網路監控和管控（上網行為管理軟體）
以上簡單列了一些區域網安全的注意事項，還有需要注意的非常多，題主可以多搜搜。我個人感覺這塊比較簡單一點，防火牆裝一個，上網行為管理軟體裝一個 就差不多了。
防火牆 推薦華為或者思科的防火牆，上網行為管理軟體 推薦Lanecat網貓

C. 分布式系統環境下網路安全的重要性

計算機網路安全不僅關繫到國計民生，還與國家安全密切相關，不僅涉及到國家政治、軍事和經濟各個方面，而且影響到國家的安全和主權。其重要性具體從以下幾方面看：
1、計算機存儲和處理的是有關國家安全的政治、經濟、軍事、國防的情況及一些部門、機構、組織的機密信息或是個人的敏感信息、隱私，因此成為敵對勢力、不法分子的攻擊目標。
2、隨著計算機系統功能的日益完善和速度的不斷提高，系統組成越來越復雜，系統規模越來越大，特別是Internet的迅速發展，存取控制、邏輯連接數量不斷增加，軟體規模空前膨脹，任何隱含的缺陷、失誤都能造成巨大損失。
3、人們對計算機系統的需求在許多方面都是不可替代的，而計算機系統使用的場所正在轉向工業、農業、野外、天空、海上、宇宙空間，核輻射環境等等，這些環境都比較惡劣，出錯率和故障的增多必將導致可靠性和安全性的降低。
4、隨著計算機系統的廣泛應用，各類應用人員隊伍迅速發展壯大，教育和培訓卻往往跟不上知識更新的需要，操作人員、編程人員和系統分析人員的失誤或缺乏經驗都會造成系統的安全功能不足。
5、計算機網路安全問題涉及許多學科領域，既包括自然科學，又包括社會科學。就計算機系統的應用而言，安全技術涉及計算機技術、通信技術、存取控制技術、校驗認證技術、容錯技術等等。
6、從認識論的高度看，其廣泛存在著重應用、輕安全、法律意識淡薄的普遍現象。計算機系統的安全是相對不安全而言的，許多危險、隱患和攻擊都是隱蔽的、潛在的、難以明確卻又廣泛存在的。
目前國內國外針對網站網路安全方面，對於網站建議安裝安信ssl證書，前所未有的安全加密和更快速的訪問體驗，ssl證書的安裝好處：
1 防止中間人流量劫持
2 Https加密使網站更安全
3 保障用戶隱私信息安全
4 幫助用戶識別釣魚網站
5 http將被標記「不安全」
6 提升搜索排名
7 提升公司形象和可信度
安信SSL證書可以解決以下問題：
機密性問題:防止網上交易時黑客盜走客戶的銀行卡,帳號等機密信息。
完整性問題:防止非法惡意篡改客戶的銀行卡號等個人信息。
真實身份認證:驗證網站的真實性,樹立可信賴的企業形象,辨別釣魚網站。
交易不可否認:保證每筆交易都有可靠的記錄
提高搜索排名順序,數據推薦參考,為SEO的目標和網站增強了安全系數。

D. 什麼是網路安全域

網路安全域是指同一系統內有相同的安全保護需求，相互信任，並具有相同的安全訪問控制和邊界控制策略的子網或網路，且相同的網路安全域共享一樣的安全策略。廣義可理解為具有相同業務要求和安全要求的IT系統要素的集合。

網路安全域從大的方面分一般可劃分為四個部分：本地網路、遠程網路、公共網路、夥伴訪問。而在不同的安全域之間需要設置防火牆以進行安全保護。

1、遠程網路域的安全內容為:安全遠程用戶以及遠程辦公室對網路的訪問。

2、公共網路域的安全內容為:安全內部用戶訪問互聯網以及互聯網用戶訪問內網服務。

3、夥伴訪問域的安全內容為:保證企業合作夥伴對網路的訪問安全,保證傳輸的可靠性以數據的真實性和機密性

(4)分域控制系統網路安全擴展閱讀：

安全域劃分原則

將所有相同安全等級、具有相同安全需求的計算機劃入同一網段內，在網段的邊自界處進行訪問控制。

一般實現方法是採用防火牆部署在邊界處來實現，通過防火牆策略控制允許哪些IP訪問知此域、不允許哪些訪問此域；允許此域訪問哪些IP/網段、不允許訪問哪些IP/網段。

一般將應用、伺服器、資料庫等歸入最高安全域，辦公網歸道為中級安全域，連接外網的部分歸為低級安全域。在不同域之間設置策略進行控制。

E. 雷網主機數據泄露防護（DLP）分域安全簡述

目前，數據防泄露是信息安全的熱點問題。隨著網路應用的飛速發展、Internet應用的日益廣泛，信息安全問題變得尤為突出。建立完善的數據泄露防護體系、保護核心資源，已迫在眉睫。鑒於目前內部區域網的現狀，可以針對數據存儲層和數據傳輸層進行加密，結合文檔和數據生命周期，對內部網路分為終端、埠、磁碟、伺服器、區域網四大區域，並針對資料庫、移動存儲設備、筆記本電腦等特例，統一架構，分別防護，實現分域安全。 一、數據泄露的主要威脅 電子文檔多以明文方式存儲在計算機硬碟中，分發出去的文檔無法控制，極大的增加了管理的復雜程度。影響文檔安全的因素很多，既有自然因素，也有人為因素，其中人為因素危害較大，歸結起來，按照對電子信息的使用密級程度和傳播方式的不同，我們將信息泄密的途徑簡單歸納為如下幾方面： 1.由電磁波輻射泄漏泄密(傳導輻射 、設備輻射等) 這類泄密風險主要是針對國家重要機構、重要科研機構或其他保密級別非常高的企、事業單位或政府、軍工、科研場所等，由於這類機構具備非常嚴密的硬保密措施，只需要通過健全的管理制度和物理屏蔽手段就可以實現有效的信息保護。 2.網路化造成的泄密(網路攔截、黑客攻擊、病毒木馬等) 網路化造成的泄密成為了目前企業重點關注的問題，常用的防護手段為嚴格的管理制度加訪問控制技術，特殊的環境中採用網路信息加密技術來實現對信息的保護。訪問控制技術能一定程度的控制信息的使用和傳播范圍，但是，當控制的安全性和業務的高效性發生沖突時，信息明文存放的安全隱患就會暴露出來，泄密在所難免。 3.存儲介質泄密(維修、報廢、丟失等) 便攜機器、存儲介質的丟失、報廢、維修、遭竊等常見的事件，同樣會給企業帶來極大的損失，在監管力量無法到達的場合，泄密無法避免。 4.內部工作人員泄密(違反規章制度泄密、無意識泄密、故意泄密等) 目前由於內部人員行為所導致的泄密事故占總泄密事故的70%以上，內部人員的主動泄密是目前各企業普遍關注的問題，通過管理制度規范、訪問控制約束再加上一定的審計手段威懾等防護措施，能很大程度的降低內部泄密風險，但是，對於終端由個人靈活掌控的今天，這種防護手段依然存在很大的缺陷，終端信息一旦脫離企業內部環境，泄密依然存在。 5.外部竊密 國家機密、軍事機密往往被國外間諜覬覦，商業機密具備巨大的商業價值，往往被競爭對手關注。自古以來對機密信息的保護，都不可避免以防止競爭對手竊密作為首要目標。 二、數據泄露防護的實現方式 當前，數據泄露防護以動態加解密技術為核心，分為文檔級動態加解密和磁碟級動態加解密兩種方式。 1. 文檔級動態加解密技術 在不同的操作系中(如WINDOWS、LINUX、UNIX等)，應用程序在訪問存儲設備數據時，一般都通過操作系統提供的API 調用文件系統，然後文件系統通過存儲介質的驅動程序訪問具體的存儲介質。在數據從存儲介質到應用程序所經過的每個路徑中，均可對訪問的數據實施加密/解密操作，可以研製出功能非常強大的文檔安全產品。有些文件系統自身就支持文件的動態加解密，如Windows系統中的NTFS文件系統，其本身就提供了EFS(Encryption File System)支持，但作為一種通用的系統，難以做到滿足各種用戶個性化的要求，如自動加密某些類型文件等。由於文件系統提供的動態加密技術難以滿足用戶的個性化需求，第三方的動態加解密產品可以看作是文件系統的一個功能擴展，能夠根據需要進行掛接或卸載，從而能夠滿足用戶的各種需求。 2.磁碟級動態加解密技術 對於信息安全要求比較高的用戶來說，基於磁碟級的動態加解密技術才能滿足要求。在系統啟動時，動態加解密系統實時解密硬碟的數據，系統讀取什麼數據，就直接在內存中解密數據，然後將解密後的數據提交給操作系統即可，對系統性能的影響僅與採用的加解密演算法的速度有關，對系統性能的影響也非常有限，這類產品對系統性能總體的影響一般不超過10%(取目前市場上同類產品性能指標的最大值)。 三、數據泄露防護分域控制方案 在數據泄露防護方面，可以從不同角度來保證安全。單一針對某個局部的防護技術可能導致系統安全的盲目性，這種盲目是對系統的某個或某些方面的區域採取了安全措施而對其它方面有所忽視。因而，針對數據安全，我們採用分域控制方案，將整個網路分為終端、埠、磁碟、內部網路四種域，進而對各域的安全採取不同的技術措施。 1.終端 終端是指在接入內部網路的各個操作終端。為了保證安全，可以從四個方面採取措施： 1).針對研發類、技術類區域網終端，可以採用文檔透明加密系統加以控制。 2).針對研發設計類之外的區域網終端，可以採用文檔許可權管理系統加以控制。 3).從區域網發往外部網路的文檔，可以採用文檔外發控制系統加以控制。 4).針對整個區域網內部文檔和數據安全，可以採用文檔安全管理系統加以控制。 2.埠 區域網和外部網路之間的網路埠，區域網各個終端的移動設備接入埠，以及各個終端的信息發送埠，可以採用兩種方式加以控制： 1)埠控制 對移動儲存設備、軟盤驅動器、光碟驅動器、本地列印機、數碼圖形儀、數據機、串列通訊口、並行通訊口、1394、紅外通訊口、wifi無線網卡、無線藍牙等進行啟用和禁用/禁止手機同步等。 應用埠控制技術，可以使所有從埠輸出的文檔和數據自動加密，防止明文出口。 2)移動設備接入控制 通過對外部移動設備接入訪問控制，防止非法接入。 3.磁碟 所有的文檔和數據都必須保存在存儲介質上。存儲介質主要包括PC機硬碟、工作站硬碟、筆記本電腦硬碟，移動存儲設備（主要是U盤和移動硬碟）。對這些存儲設備的磁碟和扇區進行控制，主要可以採用磁碟全盤加密技術和磁碟分區加密（虛擬磁碟加密）技術。 1)磁碟全盤加密 磁碟全盤加密技術（FDE）是目前已經非常成熟的一項技術，能對磁碟上所有數據（進行動態加解密。包括操作系統、應用程序和數據文件都可以被加密。通常這個加密解決方案在系統啟動時就進行加密驗證，一個沒有授權的用戶，如果不提供正確的密碼，就不可能繞過數據加密機制獲取系統中的任何信息。 2)磁碟分區加密 磁碟分區加密，顧名思義，就是對磁碟的某一個分區（扇區）進行加密。目前比較流行的虛擬磁碟加密就是對分區進行磁碟級加密的技術。這種技術在國內比較多，一般用於個人級的免費產品。 相應的產品有文檔保險櫃DocSec。 4.伺服器 同樣是應用文檔級加密的數據泄露防護體系，針對伺服器防護已有專門的產品。通常，用戶的伺服器有資源伺服器（文檔伺服器等）和應用伺服器（PDM、OA、ERP等伺服器），對這些伺服器，可以採用網關級產品來進行保護。部署實施文檔級安全網關之後，所有上傳到伺服器上的文檔和數據都自動解密為明文，所有從伺服器上下載的文檔和數據都自動加密為密文。 目前市面上唯一的一款專業文檔安全網關系統（DNetSec），由北京億賽通開發研製。 5.內部網路 內部網路主要由各個終端和連接各個終端的網路組成。通過對各個終端硬碟和終端埠的加密管控，足以對內部網路進行全面控制，形成有效的內部網路防護體系。這種解決方案，其實是把磁碟全盤加密技術與網路埠防護技術相結合，形成整體一致的防護系統。相應的產品有磁碟全盤加密防護系統(TerminalSec)。 四、數據泄露防護分域控制方案特例 基於動態加解密技術的數據泄露防護體系用途非常廣泛，並可以針對各個網路域定製開發出相對應的產品。以下是數據泄露防護分域控制方案針對網路域的幾種典型例子。 1.移動存儲設備 目前應用得最多的的移動存儲設備是U盤和移動硬碟。針對這兩種移動存儲設備，目前通常採用的是磁碟分區加密技術，對磁碟分區或者扇區進行加密控制，所有從內部網路流轉到移動存儲設備的文檔和數據都會自動加密保護。市面上有成熟的產品如安全U盤（UDiskSec）和安全移動硬碟(EDiskSec)可以選擇。 2.資料庫 使用資料庫安全保密中間件對資料庫進行加密是最簡便直接的方法。主要是通過三種加密方式來實現：1.系統中加密，在系統中無法辨認資料庫文件中的數據關系，將數據先在內存中進行加密，然後文件系統把每次加密後的內存數據寫入到資料庫文件中去，讀入時再逆方面進行解密，2.DBMS內核層（伺服器端）加密：在DBMS內核層實現加密需要對資料庫管理系統本身進行操作。這種加密是指數據在物理存取之前完成加解密工作。3.DBMS外層（客戶端）加密：在DBMS外層實現加密的好處是不會加重資料庫伺服器的負載，並且可實現網上的傳輸，加密比較實際的做法是將資料庫加密系統做成DBMS的一個外層工具，根據加密要求自動完成對資料庫數據的加解密處理。 針對以上三種數據加密方式的不足，目前已經有全新的資料庫加密保護技術。通過磁碟全盤加密技術和埠防護技術，對資料庫的載體（磁碟）進行全盤加密和數據流轉途徑（埠）進行控制，從而實現資料庫加密保護。這種方式還能解決資料庫加密方案最常見的問題——無法對資料庫管理員進行管控。通過埠防護，即使資料庫管理員能得到明文，但是因為埠已經被管控，所以數據依然不被外泄。 目前市場上成熟的產品有北京億賽通公司的資料庫加密防護系統（DataBaseSec）。 3.筆記本電腦 筆記本電腦在運輸途中，比如在出租汽車、地鐵、飛機上，經常會被遺失；在停放的汽車、辦公桌、會議室甚至是家裡，也常發生筆記本電腦被外賊或者家賊盜取；在筆記本電腦故障送修時，硬碟上的數據就完全裸露在維修人員面前。針對筆記本電腦數據保護，國際上通用的防護手段就是磁碟全盤加密技術。 硬碟生產廠商例如希捷、西部數據和富士通等都支持全盤加密技術，將全盤加密技術直接集成到硬碟的相關晶元當中，並且與可信計算機組（TCG）發布的加密標准相兼容。在軟體系統方面，賽門鐵克推出的Endpoint Encryption 6.0全盤版，以及McAfee的Total Protection for Data、PGP全盤加密和北京億賽通公司的DiskSec，都是不錯的選擇。 五、總結 信息系統安全需要從多方面加以考慮，需要研究整個內部網路的安全策略，並在安全策略的指導下進行整體的安全建設。本文所介紹的是一個典型的分域安全控制方案，針對不同的網路區域採用不同的技術手段進行實現加密防護。

F. 1. 目前網路安全域劃分有哪些基本方法

隨著業務的不斷發展，計算機網路變得越來越復雜，將網路劃分為不同的區域，對每個區域進行層次化地有重點的保護，是建立縱深防禦安全系統的自然而有效的手段。 
網路安全域的定義和劃分原則網路安全域是指同一系統內有相同的安全保護需求，相互信任，並具有相同的安全訪問控制和邊界控制策略的子網或網路，且相同的網路安全域共享一樣的安全策略。廣義的安全域是具有相同業務要求和安全要求的系統要素集合，這些要素包括網路區域、主機和系統、人和組織、物理環境、策略和流程、業務和使命等諸多因素。
通過網路安全域的劃分，可以把一個復雜的大型網路系統安全問題轉化為較小區域更為單純的安全保護問題，從而更好地控制網路安全風險，降低系統風險;利用網路安全域的劃分，理順網路架構，可以更好地指導。

G. 作為一個網路管理者,如何解決區域網安全問題

看了你提問，下面我就用比較通俗的方式進行解答，我的解答主要是為了提高你的網路安全的基礎認識，而不是應答這個題目

首先區域網是什麼？區域網是由伺服器或者多台計算機組成的小范圍內的互聯網路，它的最大好處是：1可以實現區域網內共享 2區域網內各台計算機的傳輸速度快，所以是現代最為流行的組網方式

區域網的安全威脅個人認為分為兩大類：來自internet（外網）的威脅和來自內部的威脅，但是內外的攻擊方式可能一樣，譬如外部的人可以發一封攜帶病毒的郵件到內網的郵箱，內部那個人點擊了郵件，同樣，內網某個用戶也可以發一封郵件到另外一個內網人的電子郵箱，而且來自內部的攻擊往往難以防範。

下面列舉一個攻擊的例子讓你有個大概的網路攻擊的認識：

（1）ICMP協議（icmp協議主要用來主機之間，主機與路由器之間實現信息查詢和錯誤通告的），攻擊者可以利用echo reply原理進行ICMP泛洪攻擊，他只要想目標一個廣播網路發送echo請求，講源地址偽裝成受害者的ip地址，廣播網路就會不停的對受害者發送echo應答，導致帶寬耗盡，形成Dos（拒絕服務）攻擊

這種攻擊利用 客戶端一伺服器的模式工作，伺服器駐留在防火牆內部被安裝了木馬程序

(一般通過電子郵件傳送的主機上)一旦運行,就可以接收來自駐留在攻擊者機器上的客戶端的echo請求包，客戶端把要執行的命令包裹在echo數據包中,伺服器(受害者主機)接收到該數據包,

解出其中包裹的命令,並在受害者的機器上執行它,然後,將結果放人 echo rely數據包中回送給攻擊者,一般來說防火牆的具備的功能如下：

a內外網數據必須通過防火牆

b只有被防火牆認可的數據才能通過

c防火牆本身具備抵抗攻擊的能力

但是一般防火牆對echo報數據都是「寬大處理」，攻擊者通過這種模式可以完全越過沒有禁止echo requset 和echo reply數據包的防火牆!!!

（2）TCP/IP規范要求IP報文的長度在一定范圍內（比如，0－64K），但有的攻擊計算機可能向目標計算機發出大於64K長度的PING報文，導致目標計算機IP協議棧崩潰，不過現在這個bug已經修改了（所以更新操作系統很重要~）

(3)SMTP是目前最常用的郵件協議，也是隱患最大的協議之一。在SMTP中，發件人的地址是通過一個應用層的命令"MAIL FROM」來傳送的，協議本身沒有對其作任何驗證，這導致了垃圾郵件的發送者可以隱藏他們的真實地址，同時發送的電子郵件可以攜帶各種病毒文件

（4）ARP（地址解析）協議漏洞，ARP用來將IP地址映射成MAC地址的（乙太網中傳送數據需要用MAC地址進行定址），在TCP/IP協議中，A給B發送IP包，在報頭中需要填寫B的IP為目標地址，但這個IP包在乙太網上傳輸的時候，還需要進行一次以太包的封裝，在這個以太包中，目標地址就是B的MAC地址.

計算機A是如何得知B的MAC地址的呢？解決問題的關鍵就在於ARP協議。

在A不知道B的MAC地址的情況下，A就廣播一個ARP請求包，請求包中填有B的IP(192.168.1.2)，乙太網中的所有計算機都會接收這個請求(因為是一個廣播域，所有主機都可以收到)，而正常的情況下只有B會給出ARP應答包，包中就填充上了B的MAC地址，並回復給A。

A得到ARP應答後，將B的MAC地址放入本機緩存，便於下次使用。

本機MAC緩存是有生存期的，生存期結束後，將再次重復上面的過程。

ARP協議並不只在發送了ARP請求才接收ARP應答。當計算機接收到ARP應答數據包的時候，就會對本地的ARP緩存進行更新，將應答中的IP和MAC地址存儲在ARP緩存中。因此，當區域網中的某台機器A向B發送一個自己偽造的ARP應答，而如果這個應答是A冒充C的，即IP地址為C的IP，而MAC地址是偽造無效的，則當A接收到B偽造的ARP應答後，就會更新本地的ARP緩存，這樣在A看來C的IP地址沒有變，而它的MAC地址已經不是原來那個了。由於區域網的網路流通不是根據IP地址進行，而是按照MAC地址進行傳輸。所以，那個偽造出來的MAC地址在A上被改變成一個不存在的MAC地址，這樣就會造成網路不通，導致A不能Ping通C！這就是一個簡單的ARP欺騙。通理，如果攻擊者A將MAC地址設為自己的MAC，那麼每次B跟C通信的時候，其實都是在跟A通信，那麼A就達到了獲取B的消息的目的，而B全然不覺- -！！

以上只是從底層原理讓你大概了解攻擊者到底是如何進行攻擊的，不是什麼神秘的事情，其實攻擊很簡單，無非就是利用系統漏洞或者說鑽空子來達到獲取信息，破壞的目的，為什麼經常要進行系統升級？

舉個例子，有人鑽法律的空子做一些事，有了這個先例，然後司法機構才補充一條新的法律條文，而並不是說原來的法律就是錯誤的，而是沒有注意到那一點，系統升級也一樣，就是根據最新發現的攻擊進行一些規則的補充，讓攻擊者不能再鑽這個空子，但是攻擊者會去發現新的空子，其實攻擊者對我們的網路發展貢獻了很大的力量，為我們提供了許多思路，如果沒有那些病毒或者攻擊，網路安全的發展也停滯不前了。所以作為一個網路管理員，要解決區域網安全問題要注意一下幾點：

（1）內外網根據區域網內部的安全等級需要選擇適當的防火牆

（2）處於區域網的伺服器要進行隔離，區域網內計算機的數據快速、便捷的傳遞，造就了病毒感染的直接性和快速性，如果區域網中伺服器區域不進行獨立保護，其中一台電腦感染病毒，並且通過伺服器進行信息傳遞，就會感染伺服器，這樣區域網中任何一台通過伺服器信息傳遞的電腦，就有可能會感染病毒。雖然在網路出口有防火牆阻斷對外來攻擊，但無法抵擋來自區域網內部的攻擊。

（3）及時安裝殺毒軟體，更新操作系統，由於網路用戶不及時安裝防病毒軟體和操作系統補丁，或未及時更新防病毒軟體的病毒庫而造成計算機病毒的入侵。許多網路寄生犯罪軟體的攻擊，正是利用了用戶的這個弱點。

（4）對一個區域網的機器進行vlan分割，實現廣播域的隔離

（5）封存所有空閑的IP地址。啟動IP地址綁定採用上網計算機IP地址與MCA地址一一對應，網路沒有空閑IP地址的策略。由於採用了無空閑IP地址策略，可以有效防止IP地址引起的網路中斷和移動計算機隨意上內部區域網絡造成病毒傳播和數據泄密

（6）資料庫的備份與恢復。資料庫的備份與恢復是資料庫管理員維護數據安全性和完整性的重要操作。備份是恢復資料庫最容易和最能防止意外的保證方法。恢復是在意外發生後利用備份來恢復數據的操作。譬如一個網吧內，必須安裝一個還原系統，機器重啟就還原

（7）加強安全意識，往往引起的攻擊不是外部網路攻擊，而是來自內部一些別有用心的人破壞

平時要多學習網路的一些基礎知識和網路的一些常見攻擊手段以達到反偵察的目的，純手打，希望對你有用，QQ137894617

H. 關於伺服器的 域控制器安全策略

1、建議將DC的備份信息恢復，覆蓋掉現在的組策略設置。
2、另外，查一查有沒有中病毒。
3、實在不行，准備重裝伺服器系統吧！

I. 公司內網如何網路分域管理

同意! 我姐們單位就用的科盾，她們企業內部得職能部門比較復雜，所以存在安全等級的差異，因此部門之間以及部門與外網之間的安全訪問顯得尤為重要，科盾內網安全平台的安全域特別好，就可以實現不同等級部門之間的網路阻斷和信息加密，從而防止特定部門內部信息的外泄。

J. 區域網組建中，我們怎樣才能保證整個區域網的網路安全

做好以下三個方面的工作，來確保區域網的安全：
物理安全、網路結構安全、網路系統安全
一、物理安全
保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提，物理安全是保護計算機網路設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程。 它主要包括三個方面：
1、環境安全：對系統所在環境的安全保護，如區域保護和災難保護；（參見國家標准GB50173－93《電子計算機機房設計規范》、國標GB2887－89《計算站場地技術條件》、GB9361－88《計算站場地安全要求》
2、設備安全：主要包括設備的防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護等
3、媒體安全：包括媒體數據的安全及媒體本身的安全。
在網路的安全方面，主要考慮兩個大的層次，一是整個網路結構成熟化，主要是優化網路結構，二是整個網路系統的安全。
二、網路結構安全
安全系統是建立在網路系統之上的，網路結構的安全是安全系統成功建立的基礎。在整個網路結構的安全方面，主要考慮網路結構、系統和路由的優化。 網路結構的建立要考慮環境、設備配置與應用情況、遠程聯網方式、通信量的估算、網路維護管理、網路應用與業務定位等因素。成熟的網路結構應具有開放性、標准化、可靠性、先進性和實用性，並且應該有結構化的設計，充分利用現有資源，具有運營管理的簡便性，完 善的安全保障體系。網路結構採用分層的體系結構，利於維護管理，利於更高的安全控制和業務發展。
網路結構的優化，在網路拓撲上主要考慮到冗餘鏈路；防火牆的設置和入侵檢測的實時監控等。
三、網路系統安全
1、 訪問控制及內外網的隔離
訪問控制
訪問控制可以通過如下幾個方面來實現：
a.制訂嚴格的管理制度:可制定的相應：《用戶授權實施細則》、《口令字及帳戶管理規范》、《許可權管理制度》。
b.配備相應的安全設備：在內部網與外部網之間，設置防火牆實現內外網的隔離與訪問控制是保護內部網安全的最主要、同時也是最有效、最經濟的措施之一。防火牆設置在不同網路或網路安全域之間信息的唯一出入口。
防火牆主要的種類是包過濾型，包過濾防火牆一般利用IP和TCP包的頭信息對進出被保護網路的IP包信息進行過濾，能根據企業的安全政策來控制（允許、拒絕、監測）出入網路的信息流。同時可實現網路地址轉換（NAT）、審記與實時告警等功能。由於這種防火 牆安裝在被保護網路與路由器之間的通道上，因此也對被保護網路和外部網路起到隔離作用。
防火牆具有以下五大基本功能：過濾進、出網路的數據；管理進、出網路的訪問行為；封堵某些禁止的業務；記錄通過防火牆的信息內容和活動；對網路攻擊的檢測和告警。
2、 內部網不同網路安全域的隔離及訪問控制
在這里，主要利用VLAN技術來實現對內部子網的物理隔離。通過在交換機上劃分VLAN可以將整個網路劃分為幾個不同的廣播域，實現內部一個網段與另一個網段的物理隔離。這樣，就能防止影響一個網段的問題穿過整個網路傳播。針對某些網路，在某些情況下，它的一些區域網的某個網段比另一個網段更受信任，或者某個網段比另一個更敏感。通過將信任網段與不信任網段劃分在不同的LAN段內，就可以限制局部網路安全問題對全局網路造成的影響。
3、 網路安全檢測
網路系統的安全性取決於網路系統中最薄弱的環節。如何及時發現網路系統中最薄弱的環節？如何最大限度地保證網路系統的安全？最有效的方法是定期對網路系統進行安全性分析，及時發現並修正存在的弱點和漏洞。網路安全檢測工具通常是一個網路安全性評估分析軟體，其功能是用實踐性的方法掃描分析網路系統，檢查報告系統存在的弱點和漏洞，建議補救措施和安全策略，達到增強網路安全性的目的。檢測工具應具備以下功能：
具備網路監控、分析和自動響應功能
找出經常發生問題的根源所在；
建立必要的循環過程確保隱患時刻被糾正；控制各種網路安全危險。

漏洞分析和響應、配置分析和響應、漏洞形勢分析和響應
認證和趨勢分析
具體體現在以下方面：
a.防火牆得到合理配置
b.內外WEB站點的安全漏洞減為最低
c.網路體系達到強壯的耐攻擊性
d.各種伺服器操作系統，如E_MIAL伺服器、WEB伺服器、應用伺服器、，將受黑客攻擊的可能降為最低
e.對網路訪問做出有效響應，保護重要應用系統（如財務系統）數據安全不受黑客攻擊和內部人員誤操作的侵害。