3、单位内部网络安全防范措施

　　 在制定单位内部网络安全防范措施时，应分析单位内部网络与信息安全的威胁因素，对网络安全防范实行周密部署，做到：(1)重点数据，重点防范：重点人物、重点监测；(2)将管理、监测和控制有机地结合；(3)变被动防范为主动防范；变制度防范为技术防范；(4)重视提高网络安全管理员的素质；(5)重视建立网络安全日志及审查制度。主要技术措施为：

　　 (1)重视技术防范

　　 目前，国家有明确的网络安全防范制度、保密制度，国防军工部门还制定下发了《国防科技工业涉密人员保密行为十不准》，各单位也根据内部的特殊情况制定相应的网络安全制度，因此从制度上保证了单位网络的高安全度。但是，在制度执行过程中，人为因素很大，所以制度防范不可靠。

　　 因此，在网络安全防范中要尽可能地减少人为因素，一个非常好的的措施就是变制度防范为技术防范．技术防范是硬性的，不以人的意志而转移。

　　 (2)网络安全防范技术及监控手段的集成

　　 物理隔离手段可阻止网络黑客的攻击但未考虑防范单位内部的威胁。在实现单位内部网络与外部网络物理隔离的前提下，可将防火墙技术、漏洞扫描技术、入侵检测技术和安全管理、安全监测和安全控制集成与融合，实现对内部网络的安全防范。网络安全监测需要监测非授权外联、非授权接入及非法入侵；需要监测非授权信息存取；需要对重要数据进行重点保护、重点信息进行重点监测，对可疑人物、可疑事件跟踪监测。

　　 网络安全控制：①控制网络设备的运行状态：②对网络安全监测事件的响应，此响应是实时的。在单位网络安全防范策略中，在实现单位涉密网络与互联网络物理隔离的前提下，将成熟的网络安全防范技术如防火墙、入侵检测、漏洞扫描等技术与先进的网络监控手段集成与融合，不仅能及时发现安全域内潜在的网络安全威胁，减少网络安全事故的发生，而且能做到对安全事故的及时解决。

　　 (3)部署科学的网络与系统的位置和层次

　　 简单的用户平行体系，既给破坏者提供了方便，又给部署网络安全机制带来较大经费压力，较科学的办法是针对重点系统、重点数据建立DMZ区，将要害部分重点保护和逻辑隔离开来，将有限的安全防范资金投入到关键部位。

　　 (4)建立用户行为审计

　　 目前的单位内部网络安全防范策略中，普遍缺乏有效的行为审计功能，一方面导致了不能及时发现和解决网络安全事故，另一方面在网络安全事故发生后，由于没有可信的、完善的网络行为审计记录，要发现网络安全事故的责任人及了解网络安全事故的原因很困难。

　　 建立网络用户行为审计系统，对用户网络行为进行审计，包括：审计登录主机的用户、登录时间、退出时间等有详细记录；对重点数据操作的全过程审计；对发现可疑操作如多次尝试用户名和密码的行为，及时报警并采取必要的安全措施如关机等。

　　 及时分析行为日志的审计，可发现可疑的信息，并重点跟踪监测。有助于发现网络中的薄弱环节及可疑因素；有助于提高单位网络用户的网络安全意识；也是对网络安全破坏分子的震慑。

　　 (5)采用多种准入控制技术主动监控桌面电脑的安全状态和管理状态，将不安全的电脑隔离，进行修复。使准入控制技术与传统的网络安全技术如防火墙、防病毒技术有机结合，改变“被动的、以事件驱动”为特征的传统内网安全管理模式，变被动防御为主动防御，有效促进内网规范化建设。根据建设和管理经验，提供内网安全防范拓扑结构。