“主动防御”真能改变网络安全吗？

　　主动防御体系标准从三个层面考虑

　　那么作为一家企业的技术人员，你该如何保护企业的网络呢？首先需要开发一套安全策略，并强迫所有企业人员遵守这一规则。同时，你需要屏蔽所有的移 动设备，并开启无线网络的加密功能以增强网络的安全级别。为你的无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞，如果发现漏洞就立即用补丁或其它方法将其保护起来，这样可以防止黑客利用这些漏洞窃取公司的资料，或者令你的网络瘫痪。主动防御体系标准从理念到实际执行，需要从三个层面来考虑：标准制定、架构搭建、运行维护。

　　在实现一个具有主动性的网络安全架构前，你需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面：防火墙、VPN、反病毒软件，以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包，但是它并不能识别入侵，而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道，但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的，而且面对黑客攻击，基本没有什么反抗能力。同样，入侵检测系统也是一个纯粹的受激反应系统，在入侵发生后才会有所动作。

　　安全问题无处不在，单一的防病毒软件、区域防御系统已经不能满足企业网的需要，为了应对网络中存在的多元、多层次的安全威胁，必须首先构建一个完备的安全分析模型，在模型架构下层层设防、步步为营，才能够将安全问题各个击破，实现全网安全。

　　安全体系架构：由以太网交换机、路由器、UTM、流量整形与行为审计系统、接入认证与强制管理(DCSM)平台等多种网络设备做技术支撑。从可信终端准入、资产管理、访问控制、入侵防御、远程访问、行为审计、全局安全管理等多方面，构成完善的防护体系，从而实现“可信、可控、可取证”的全网安全。其中以太网交换机、路由器、UTM、流量整形与行为审计系统作为部署在网络各个层面的组件，DCSM作为全网调度和策略分发的决策核心，通过安全联动，从内外两个安全域，三个维度构建自适应安全网络。