请分析互联网交易中存在哪些安全隐患，需要如何预防。

是指网络系统的硬件、软件和系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏，更改、泄露，系统连续可靠正常地运行，网络服务不中断。

从本质上讲就是网络信息安全，包括静态的信息存储安全和信息传输安全。

进入21世纪以来，信息安全的重点放在了保护信息，确保信息在存储、处理、传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。信息的保密性、完整性、可用性 、可控性就成了关键因素。

Internet的开放性以及其他方面因素导致了网络环境下的计算机系统存在很多安全问题。为了解决这些安全问题，各种安全机制、策略和工具被开发和应用。但是，即便是在这样的情况下，网络的安全依旧存在很大的隐患。

企业网络的主要安全隐患

随着企业的信息化热潮快速兴起，由于

投入不足、缺乏高水平的软硬件专业人才、以及企业员工安全意识淡薄等多种原因，

也成了中小企业必须重视并加以有效防范的问题。病毒、

、垃圾邮件……这些无一不是企业信息主管的心头之患。

1安全机制

每一种安全机制都有一定的应用范围和应用环境。防火墙是一种有效的安全工具，它可以隐藏内部网络结构，细致外部网络到内部网络的访问。但是对于内部网络之间的访问，防火墙往往无能为力，很难发觉和防范。

2安全工具

安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效果，在很大程度上取决于使用者，包括

和普通用户，不正当的设置就会产生不安全因素。

3安全漏洞和系统后门

操作系统和应用软件中通常都会存在一些BUG，别有心计的员工或客户都可能利用这些漏洞想企业网络发起进攻，导致某个程序或网络丧失功能。有甚者会盗窃机密数据，直接威胁企业网络和企业数据的安全。即便是安全工具也会存在这样的问题。几乎每天都有新的BUG被发现和公布，程序员在修改已知BUG的同时还可能产生新的BUG。系统BUG经常被黑客利用，而且这种攻击通常不会产生日志，也无据可查。现有的软件和工具BUG的攻击几乎无法主动防范。

系统后门是传统安全工具难于考虑到的地方。防火墙很难考虑到这类安全问题，多数情况下，这类入侵行为可以经过防火墙而不被察觉。

第2页：网络安全探讨（二）

4病毒、蠕虫、木马和

这些是目前网络最容易遇到的安全问题。病毒是可执行代码，它们可以破坏计算机系统，通常伪装成合法附件通过电子邮件发送，有的还通过即时信息网络发送。

蠕虫与病毒类似，但比病毒更为普遍，蠕虫经常利用受感染系统的

功能自动进行传播，从而导致

大幅增加。

程序可以捕捉密码和其它个人信息，使未授权远程用户能够访问安装了

的系统。

则是恶意病毒代码，它们可以

性能，并将用户数据发送给间谍软件开发者。

5

尽管企业在不断的强化网络的安全性，但黑客的攻击手段也在更新。拒绝服务就是在这种情况下诞生的。这类攻击会向服务器发出大量伪造请求，造成服务器超载，不能为合法用户提供服务。这类攻击也是目前比较常用的攻击手段。

6误用和滥用

在很多时候，企业的员工都会因为某些不经意的行为对企业的信息资产造成破坏。尤其是在中小企业中，企业员工的信息安全意识是相对落后的。而企业

在大部分情况下也不能很好的对企业信息资产做出鉴别。从更高的层次来分析，中小企业尚无法将信息安全的理念融入到企业的整体经营理念中，这导致了企业的信息管理中存在着大量的安全盲点和误区。

网络安全体系的探讨

1防火墙

防火墙是企业网络与互联网之间的安全卫士，防火墙的主要目的是拦截不需要的流量，如准备感染带有特定弱点的计算机的蠕虫；另外很多

都提供其它服务，如电子邮件防病毒、反垃圾邮件过滤、内容过滤、安全无线接入点选项等等。

在没有防火墙的环境中，网络安全性完全依赖主系统的安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同的安全性水平上的可管理能力就越小，随着安全性的失策和失误越来越普遍，入侵就时有发生。

防火墙有助于提高主系统总体安全性。 防火墙的基本思想——不是对每台主机系统进行保护，而是让所有对系统的访问通过某一点，并且保护这一点，并尽可能地对外界屏蔽保护网络的信息和结构。

防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部。防火墙可以从

的各个层次以及应用中获取、存储并管理相关的信息，以便实施系统的访问安全决策控制。 防火墙的技术已经经历了三个阶段，即包过滤技术、代理技术和状态监视技术。

第3页：网络安全探讨（三）

2

的防范

在网络环境下，病毒传播扩散加快，仅用单机版杀毒软件已经很难彻底清除

，必须有适合于局域网的全方位杀毒产品。如果在网络内部使用电子邮件进行信息交换，还需要一套基于

平台的邮件防病毒软件。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，并且定期或不定期更新病毒库，使网络免受病毒侵袭。

3

解决网络层安全问题，首先要清楚网络中存在哪些安全隐患和弱点。面对大型我那个罗的复杂性和变化，仅仅依靠管理员的技术和经验寻找安全漏洞和风险评估是不现实的。最好的方法就是使用安全扫描工具来查找漏洞并提出修改建议。另外实时给操作系统和软件打补丁也可以弥补一部分漏洞和隐患。有经验的管理员还可以利用

对网络进行模拟攻击，从而寻找网络的薄弱点。

4

技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在

中利用审计记录，能识别出任何不希望有的行为，从而达到限制这些活动，保护系统安全的目的。

5内网系统安全

对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的入侵则无能为力。在这种情况下我们可以采用对各个子网做一个具有一定功能的审计文件，为管理员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序监听子网内计算机间互联情况，为系统中各个服务器的审计文件提供备份。

企业的信息安全需求主要体现在迫切需要适合自身情况的综合解决方案。随着时间的发展，中小企业所面临的安全问题会进一步复杂化和深入化。而随着越来越多的中小企业将自己的智力资产建构在其信息设施基础之上，对于信息安全的需求也会迅速的成长。

总之，网络安全是一个系统工程，不能仅仅依靠防火墙等单个的系统，而需要仔细考虑系统的安全需求，并将各种安全技术结合在一起，与科学的

结合在一起，才能生成一个高效、通用、安全的网络系统。

首先，需要做风险评估，评估已有的漏洞所能带来的风险，确定风险的级别和影响

其次，对于高风险的漏洞，建议打上，中低风险的漏洞根据情况，可以不打，这是在你能够接受的风险影响范围内

再次，并不需要一有补丁就打，打补丁建议先在测试环境上操作。频繁打补丁会影响业务的正常运行。

最后，虚拟化是基础，打补丁一般会影响业务服务，当然这只是在打补丁出错误的情况下。

对于客户端，一般建议打最新补丁，因为客户端不像服务器那么敏感、安全与没有服务器做的好、是比较容易被侵入的地方。

对于信息服务企业（如ISP/ICP/ISV/IDC）而言，选择服务器时首先要考虑服务器的体积、功耗、发热量等物理参数，因为信息服务企业通常使用大型专用机房统一部署和管理大量的服务器资源，机房通常设有严密的保安措施、良好的冷却系统、多重备份的供电系统，其机房的造价相当昂贵。如何在有限的空间内部署更多的服务器直接关系到企业的服务成本，通常选用机械尺寸符合19英寸工业标准的机架式服务器。机架式服务器也有多种规格，例如1U（445cm高）、2U、4U、6U、8U等。通常1U的机架式服务器最节省空间，但性能和可扩展性较差，适合一些业务相对固定的使用领域。4U以上的产品性能较高，可扩展性好，一般支持4个以上的高性能处理器和大量的标准热插拔部件。管理也十分方便，厂商通常提供以相应的管理和监控工具，适合大访问量的关键应用，但体积较大，空间利用率不高。

如需了解更多，请访问蛙云官网wayuncn

专业领域十余载，倾情奉献

一次沟通，终生陪伴

数据资产风险评估系统用户手册中基线策略页面内容包括安全级别、密码设置、账户锁定设置、安全审核设置、文件系统和注册表设置、网络安全设置、应用程序安全设置。

1、安全级别：该选项用于选择所需的安全级别，包括低、中、高等。选择不同的安全级别会影响设置的复杂度和相应的安全基础防护。

2、密码设置：该设置用于控制用户账户密码的要求，包括密码长度、密码复杂度、密码历史纪录等。设置适用于所有用户，并且至少包括密码长度和密码复杂度的要求。

3、账户锁定设置：该设置用于控制当用户账户被多次尝试登录失败后，账户是否被锁定，以及锁定时间。设置可以根据安全级别确定锁定时间，并根据需要调整账户锁定的次数。

4、安全审核设置：该设置用于配置审计策略，包括哪些事件需要审核以及希望如何存储和访问审计数据。设置将审计数据存储到中央审计服务器，并根据需要配置审计策略。

5、文件系统和注册表设置：该设置用于保护计算机上的文件系统和注册表，以防止未经授权的访问或更改。设置包括配置文件系统和注册表权限，以及限制外部文件的执行。

6、网络安全设置：该设置用于配置网络安全策略，包括端口防火墙、网络安全选项和远程管理设置等。设置包括防火墙实施和远程管理设置的限制，以确保计算机的安全。

7、应用程序安全设置：该设置用于控制哪些应用程序可以运行，并配置安全选项。设置包括禁止安装未经批准的软件和关闭不必要的服务。

信息安全风险评估包括：

A 信息资源面临威胁

B 信息资源的脆弱性

C 需保护的信息资产

D 存在的可能风险

信息安全风险评估是从风险管理的角度，运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，为防范和化解信息安全风险，或者将风险控制在可以接受的水平，制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。

信息安全风险包括手机信息安全风险，e-mail风险，腾讯聊天信息风险等等。