五项措施提升网络安全

    在网络安全性和保密性方面我采用了以下技术和措施：

    1）将企业内部网络与Internet公网进行了安全隔离

    由于公司工作性质要求有连接到因特网的环境需求，公司统一设置了因特网出口。如果仅仅依靠安装在每台终端的杀毒软件来监控过滤来自因特网的病毒显然很不安全，而且杀毒软件对于黑客攻击（例如Dos攻击和端口攻击）没有很强的防范能力。因此必须使用防火墙来予以隔离外网和内网，在防火墙的访问策略上我限制外部一切地址访问内网敏感端口并定期察看因特网上公布的危险端口以更新防火墙的访问策略，同时也使用了NAT（网络地址转换）技术来屏蔽内网信息并建立地址池。同时在防火墙外口上设置流量阀值，一旦出现异常流量，立即关闭端口。

    2）对银行的连接方式，在对代收话费的银行连接部分采用了与银行端采用点对点通信的方式并使用不同的IP地址屏蔽内部网络信息

    在对银行代收点的连接方式上我采用了使用防火墙和点对点链路双重保护，具体方法是在次外端放置防火墙，在最外端使用点对点DDN链路连接到双方各自的路由器，双方各放置一台代理服务器（前置机）来处理和响应对方的请求，代理服务器上安装有两块网卡，一块连接内网网络，另一块使用双方约定的小范围地址段连接出口路由器，在出口的Cisco2501路由器上关闭诸如CDP等暴露内网细节的协议，并且在出口路由器上设置了访问列表，访问列表使用了四元组列表包括源地址和目的地址及其相应的端口号，只允许银行方特定IP地址的机器访问我方代理服务器。

    另外，在代理服务器端，使用了安全性比较高的SCO UNIX，通过限制IP地址对于FTP Telnet的使用也能够起到安全防范的作用。同时在代理服务器应用层面上使用了只接受对方带有双方事先约定好数据包头的数据包。再加之防火墙上只允许我方防火墙数据包的过滤功能，可以认为对于银行端我们的网络是安全的。 

    3）运用网络版的杀毒软件进行全网杀毒，统一监控和查杀病毒

    计算机病毒曾经扫荡过我们的网络，现在的计算机病毒种类繁多而且攻击方法高明，一旦病毒在局域网络上蔓延，后果不堪设想。对于病毒防范，我使用了瑞星的网络版防毒软件，在局域网内各个终端和服务器上安装，设置了系统中心负责统一查杀和扫描病毒。

    我采取了以下措施：A 在每天下班时间（业务比较少的时间）自动启动全网自动扫描和查杀病毒。B 关闭系统默认共享的写权限 c 强制局域网内终端和服务器启用病毒监控功能来监控网络和移动存储介质的病毒。 D 每周强制启动所有终端和服务器的重要系统文件的备份功能。E 每周定时察看瑞星公司的网站，及时获取升级软件包更新杀毒软件。