一、内网安全系统遵循七大原则

     一个内网安全系统的安全不仅仅要靠先进的技术，而且要依赖于严格、合理的 管理，“三分技术、七分管理”就是强调了管理的重要性。

     网络安全管理是指在安全策略的指导下进行的一系列管理活动。其中，管理的任务、目标、对象、原则、程序和方法是管理策略的内容。安全管理活动包括制定计划、建立机构、落实措施、开展培训、检查效果和实施改进等。进行内网安全管理活动时，我们要严格遵循一些原则。

     (1)一把手负责原则。信息安全事关大局，涉及部门全局，需要第一把手负责才能统一大家的认识、组织有效队伍，调动必要的资源和经费，落实个部门间的协调。只有第一把手真正具有责任心，成为信息安全的明白人，关心和支持业务部门的工作，信息安全的管理工作才能真正落到实处。

     (2)动态发展原则。信息网络安全状况不是静止不变的，随着对手攻击能力的提高、自己对信息内网安全认识水平的深化，必须对以前的安全政策有所检讨，对安全措施有所加强。

     (3)风险评估原则。由于信息内网安全是动态发展的，因此安全也不是绝对的。虽然不能做到绝对安全，但是可以追求和实现在承担一定风险下的适度安全。

     (4)规范标准原则。信息系统的规划、设计、实现、运行要有安全规范要求，根据本机构或本部门的安全要求制定相应的内网安全政策。安全政策中要根据需要选择采用必要的安全功能，选用必要的内网安全设备。

     (5)预防为主原则。在信息系统的规划、设计、采购、集成、安装中应该同步考虑安全政策和安全功能具备的程度。

     (6)立足国内原则。安全技术和设备首先要立足国内，不能未经许可，未能消化改造直接应用境外的安全保密技术和设备。

     (7)综合保障原则。信息安全保障需要从人管理和技术多种因素，以及预警、保护、检测、反应、恢复和反击等多个环节上采用多种技术来加以综合实施。

二、实现抗攻击能力系统保护内网安全

　　在计算机的早期时代，Macintosh系统是攻击的目标。作为Lockheed公司年轻的内网安全工程师，我日常内网安全评估中所做的第一件事就是，确保在Macintosh系统中装载了反病毒软件。时间和市场份额可以成为敌人。

　　Windows的另一个变化是集成了便于使用的IP栈。甚至一直到Windows3.1，IP栈还是一个附加选项，很容易修改。我记得有不少讨论反复考虑微软栈的效率，很多人选择用另外的栈来代替它。就正面评论而言，Windows好的一面——Windows的大多数版本——就是你不用花钱就能找到很多好办法来加固你的计算机。为此我们看看下列问题：

　　·有防火墙吗？

　　·防火墙开着并且配置得当吗？

　　·有未知的或不必要的服务在运行吗？

　　·补丁更新了吗？

　　·做了基本的内网安全设置吗？

　　我花了些时间研究第三个问题，系统里面正在运行的东西可能会使你大吃一惊。许多Web站点致力于识别各种服务，并帮助你弄清楚它们是否可以删除。在第8章“Microsoft Windows”的“8.4最初的安全检查”一节，我们将介绍这些Web资源。通过添加一些查找病毒和间谍软件的第三方程序，我们可以提高终端的基本安全程度，从而显著增强终端抗攻击的能力。

　　非Windows终端。不适用Windows的设备就是非Windows终端。我知道你在想什么：“这覆盖了很大的范围。”不过，我们将限制一下这个有点宽泛的范围，即我们讨论的是传统意义上人工驱动的计算机（如台式机、笔记本和服务器）。我们不打算包括其他系统，因为正如本节已经讨论过的一样，它们的也可以用其他方法归类。

　　因此为了便于讨论，非Windows终端终端包括UNIX的所有变形：BSD、XENIX、IRIX、HP-UX、AIX、Solaris和Linux。我同意，它们并非都是AT&T的后代，但是即使不是所有UNIX系统，它们中大多数都已经用于几乎每一种环境中。还记得网络驱动的配电盘吗，它就在于运行Linux和一个称为Apache的Web服务器。和Windows一样，如果配置得当，这类终端也有不错的抗攻击能力。它们有内置的防火墙和大量的工具，能够充分改善自身计算机内网安全状况。