保險機(jī)構(gòu)開展互聯(lián)網(wǎng)保險業(yè)務(wù)的自營網(wǎng)絡(luò)平臺，應(yīng)具備下列條件：（一）具有支持互聯(lián)網(wǎng)保險業(yè)務(wù)運營的信息管理系統(tǒng)，實現(xiàn)與保險機(jī)構(gòu)核心業(yè)務(wù)系統(tǒng)的無縫實時對接，并確保與保險機(jī)構(gòu)內(nèi)部其他應(yīng)用系統(tǒng)的有效隔離，避免信息安全風(fēng)險在保險機(jī)構(gòu)內(nèi)外部傳遞與蔓延。（二）具有完善的防火墻、入侵檢測、數(shù)據(jù)加密以及災(zāi)難恢復(fù)等互聯(lián)網(wǎng)信息安全管理體系；（三）具有互聯(lián)網(wǎng)行業(yè)主管部門頒發(fā)的許可證或者在互聯(lián)網(wǎng)行業(yè)主管部門完成網(wǎng)站備案，且網(wǎng)站接入地在中華人民共和國境內(nèi)；（四）具有專門的互聯(lián)網(wǎng)保險業(yè)務(wù)管理部門，并配備相應(yīng)的專業(yè)人員；（五）具有健全的互聯(lián)網(wǎng)保險業(yè)務(wù)管理制度和操作規(guī)程；（六）互聯(lián)網(wǎng)保險業(yè)務(wù)銷售人員應(yīng)符合保監(jiān)會有關(guān)規(guī)定；（七）中國保監(jiān)會規(guī)定的其他條件。保險機(jī)構(gòu)通過第三方網(wǎng)絡(luò)平臺開展互聯(lián)網(wǎng)保險業(yè)務(wù)的，第三方網(wǎng)絡(luò)平臺應(yīng)具備下列條件：（一）具有互聯(lián)網(wǎng)行業(yè)主管部門頒發(fā)的許可證或者在互聯(lián)網(wǎng)行業(yè)主管部門完成網(wǎng)站備案，且網(wǎng)站接入地在中華人民共和國境內(nèi)；（二）具有安全可靠的互聯(lián)網(wǎng)運營系統(tǒng)和信息安全管理體系，實現(xiàn)與保險機(jī)構(gòu)應(yīng)用系統(tǒng)的有效隔離，避免信息安全風(fēng)險在保險機(jī)構(gòu)內(nèi)外部傳遞與蔓延；（三）能夠完整、準(zhǔn)確、及時向保險機(jī)構(gòu)提供開展保險業(yè)務(wù)所需的投保人、被保險人、受益人的個人身份信息、聯(lián)系信息、賬戶信息以及投保操作軌跡等信息；（四）最近兩年未受到互聯(lián)網(wǎng)行業(yè)主管部門、工商行政管理部門等政府部門的重大行政處罰，未被中國保監(jiān)會列入保險行業(yè)禁止合作清單；（五）中國保監(jiān)會規(guī)定的其他條件。

隨著2015年即將接近尾聲，我們可以預(yù)期，在2016年相關(guān)網(wǎng)絡(luò)罪犯活動的規(guī)模、嚴(yán)重程度、危害性、復(fù)雜性都將繼續(xù)增加，一家負(fù)責(zé)評估安全和風(fēng)險管理問題的非營利性協(xié)會：信息安全論壇(ISF)的總經(jīng)理史蒂夫·德賓代表其成員表示說?！霸谖铱磥恚?016年可能將會是網(wǎng)絡(luò)安全風(fēng)險最為嚴(yán)峻的一年。”德賓說。“我這樣說的原因是因為人們已經(jīng)越來越多的意識到這樣一個事實：即在網(wǎng)絡(luò)運營正帶來了其自己的特殊性。”德賓說，根據(jù)ISF的調(diào)研分析，他們認(rèn)為在即將到來的2016年，五大安全趨勢將占據(jù)主導(dǎo)。當(dāng)我們進(jìn)入2016年，網(wǎng)絡(luò)攻擊將進(jìn)一步變得更加具有創(chuàng)新性、且更為復(fù)雜，德賓說：“不幸的是，雖然現(xiàn)如今的企業(yè)正開發(fā)出新的安全管理機(jī)制，但網(wǎng)絡(luò)犯罪分子們也正在開發(fā)出新的技術(shù)來躲避這些安全管理機(jī)制。在推動企業(yè)網(wǎng)絡(luò)更具彈性的過程中，企業(yè)需要將他們的風(fēng)險管理的重點從純粹的信息保密性、確保數(shù)據(jù)信息的完整性和可用性轉(zhuǎn)移到包括風(fēng)險規(guī)模，如企業(yè)聲譽(yù)和客戶渠道保護(hù)等方面，并充分認(rèn)識到網(wǎng)絡(luò)空間活動可能導(dǎo)致的意想不到的后果。通過為未知的各種突發(fā)狀況做好萬全的準(zhǔn)備，企業(yè)才能過具有足夠的靈活性，以抵御各種意外的、高沖擊性的安全事件。”德賓說，ISF所發(fā)現(xiàn)的這些網(wǎng)絡(luò)安全威脅趨勢并不相互排斥。他們甚至可以結(jié)合起來，創(chuàng)造更具破壞性的網(wǎng)絡(luò)安全威脅配置文件。他補(bǔ)充說，我們預(yù)計明年將為出現(xiàn)新的網(wǎng)絡(luò)安全威脅。1、國家干預(yù)網(wǎng)絡(luò)活動所導(dǎo)致的意外后果德賓說，在2016年，有官方背景參與的網(wǎng)絡(luò)空間相關(guān)活動或?qū)W(wǎng)絡(luò)安全造成附帶的損害，甚至造成不可預(yù)見的影響和后果。而這些影響和后果的危害程度將取決于這些網(wǎng)絡(luò)活動背后所依賴的官方組織。并指出，改變監(jiān)管和立法將有助于限制這些活動，無論其是否是以攻擊企業(yè)為目標(biāo)。但他警告說，即使是那些并不受牽連的企業(yè)也可能會遭受到損害。德賓說：“我們已經(jīng)看到，歐洲法院宣布?xì)W美數(shù)據(jù)《安全港協(xié)議》無效。同時，我們正看到越來越多的來自政府機(jī)構(gòu)關(guān)于重視數(shù)據(jù)隱私的呼吁，盡管某些技術(shù)供應(yīng)商會表示說，’我們已經(jīng)徹底執(zhí)行了端到端的加密。’但在一個連恐怖主義都變得日趨規(guī)范的世界里，當(dāng)看到一個網(wǎng)絡(luò)物理鏈接時，我們要如何面對這一問題?”展望未來，企業(yè)必須了解政府部分的相關(guān)監(jiān)管要求，并積極與合作伙伴合作，德賓說。德賓說：“立法者必須將始終對此高度重視，并及時跟上最新網(wǎng)絡(luò)攻擊技術(shù)的步伐，我甚至認(rèn)為立法者本身也需要參與到預(yù)防網(wǎng)絡(luò)安全威脅的過程中來。他們所探討的一直是如何應(yīng)對昨天已經(jīng)發(fā)生的網(wǎng)絡(luò)安全事件，但事實上，網(wǎng)絡(luò)安全的是關(guān)于明天的?！?、大數(shù)據(jù)將引發(fā)大問題現(xiàn)如今的企業(yè)在他們的運營和決策過程中，正越來越多的運用到大數(shù)據(jù)分析了。但這些企業(yè)同時也必須認(rèn)識到：數(shù)據(jù)分析其實是有人為因素的。對于那些不尊重人的因素的企業(yè)而言，或?qū)⒋嬖诟吖懒舜髷?shù)據(jù)輸出價值的風(fēng)險，德賓說。并指出，信息數(shù)據(jù)集完整性較差，很可能會影響分析結(jié)果，并導(dǎo)致糟糕的業(yè)務(wù)決策，甚至錯失市場機(jī)會，造成企業(yè)品牌形象受損和利潤損失。德賓說：“當(dāng)然，大數(shù)據(jù)分析是一個巨大的誘惑，而當(dāng)您訪問這些數(shù)據(jù)信息時，必須確保這些數(shù)據(jù)信息是準(zhǔn)確的?！边@個問題關(guān)乎到數(shù)據(jù)的完整性，對我來說，這是一個大問題。當(dāng)然，數(shù)據(jù)是當(dāng)今企業(yè)的生命線，但是我們真的對其有充分的認(rèn)識嗎?”“現(xiàn)如今，企業(yè)已經(jīng)收集了大量的信息。而最讓我所擔(dān)憂的問題并不是犯罪份子竊取這些信息，而是企業(yè)實際上是在以其從來不會去看的方式來操縱這些數(shù)據(jù)。”他補(bǔ)充道。例如，他指出，相當(dāng)多的企業(yè)已經(jīng)將代碼編寫工作進(jìn)行外包多年了。他說：“我們并不知道在那些代碼中有沒有可能會讓您企業(yè)泄露數(shù)據(jù)信息的后門。”事實上，這是有可能的。而您更需要懷疑的是：不斷提出假設(shè)的問題，并確保從數(shù)據(jù)信息中獲得的洞察分析正是其實際上所反映的?！碑?dāng)然，您所需要擔(dān)心的并不只是代碼的完整性。您更需要了解所有數(shù)據(jù)的出處?！叭绻髽I(yè)收集并存儲了相關(guān)數(shù)據(jù)信息，務(wù)必要明白了解其出處。”他說。一旦您開始分享這些數(shù)據(jù)，您就是把自己也打開了。您需要知道這些信息是如何被使用的，與誰進(jìn)行了分享，誰在不斷增加，以及這些數(shù)據(jù)是如何被操縱的。”3、移動應(yīng)用和物聯(lián)網(wǎng)德賓說，智能手機(jī)和其他移動設(shè)備迅速普及正在使得物聯(lián)網(wǎng)(IoT)日漸成為網(wǎng)絡(luò)犯罪份子進(jìn)行惡意行為的首要目標(biāo)。隨著攜帶自己的設(shè)備辦公(BYOD)、以及工作場所可穿戴技術(shù)的不斷推出，在未來的一年里，人們對工作和家庭移動應(yīng)用程序的要求會不斷增加。而為了滿足這一需求的增加，開發(fā)商們在面臨強(qiáng)大的工作壓力和微薄的利潤空間的情況下，很可能會犧牲應(yīng)用程序的安全性，并盡快在未經(jīng)徹底測試的情況下，以低成本交付產(chǎn)品，導(dǎo)致質(zhì)量差的產(chǎn)品更容易被不法分子或黑客所攻擊。“不要把這和手機(jī)簡單的相混淆了。”德賓說。移動性遠(yuǎn)不只有這么一點，智能手機(jī)只是移動性的一個組成部分。他注意到，越來越多的企業(yè)員工也和他一樣，需要不斷地出差到各地辦公?！拔覀儧]有固定的辦公室?！彼f。上次我登陸網(wǎng)絡(luò)是在一家旅館。而今天則是在別人的辦公環(huán)境。我如何確保真的是我史蒂夫本人登錄的某個特別的系統(tǒng)呢?我可能只知道這是一款來自史蒂夫的設(shè)備登錄的，或者我相信是史蒂夫的設(shè)備登錄的，但我怎么能夠知道這是否是用史蒂夫的另一款設(shè)備的呢?企業(yè)應(yīng)做好準(zhǔn)備迎接日益復(fù)雜的物聯(lián)網(wǎng)，并明白物聯(lián)網(wǎng)的到來對于他們的意義何在，德賓說。企業(yè)的首席信息安全官們(CISO)應(yīng)積極主動，確保企業(yè)內(nèi)部開發(fā)的各款應(yīng)用程序均遵循了公認(rèn)的系統(tǒng)開發(fā)生命周期方法，相關(guān)的測試準(zhǔn)備步驟是不可避免的。他們還應(yīng)該按照企業(yè)現(xiàn)有的資產(chǎn)管理策略和流程管理員工用戶的設(shè)備，將用戶設(shè)備對于企業(yè)網(wǎng)絡(luò)的訪問納入企業(yè)現(xiàn)有管理的標(biāo)準(zhǔn)，以創(chuàng)新的方式推動和培養(yǎng)員工們的BYOD風(fēng)險意識。4、網(wǎng)絡(luò)犯罪造成的安全威脅風(fēng)暴德賓說，網(wǎng)絡(luò)犯罪高居2015年安全威脅名單榜首，而這一趨勢在2016年并不會減弱。網(wǎng)絡(luò)犯罪以及黑客活動的增加，迫使企業(yè)必須遵從不斷提升的監(jiān)管要求，不懈追求技術(shù)進(jìn)步，這使得企業(yè)在安全部門的投資激增，而這些因素結(jié)合起來，可能形成安全威脅風(fēng)暴。那些采用了風(fēng)險管理辦法的企業(yè)需要確定那些企業(yè)的業(yè)務(wù)部門所最為依賴的技術(shù)，并對其進(jìn)行量化，投資于彈性。網(wǎng)絡(luò)空間對于網(wǎng)絡(luò)犯罪分子和恐怖分子而言，是一個越來越有吸引力的攻擊動機(jī)、和賺錢來源，他們會制造破壞，甚至對企業(yè)和政府機(jī)構(gòu)實施網(wǎng)絡(luò)攻擊。故而企業(yè)必須為那些不可預(yù)測的網(wǎng)絡(luò)事件做好準(zhǔn)備，以便使他們有能力能夠承受住不可預(yù)見的，高沖擊性的網(wǎng)絡(luò)事件。“我看到越來越多日益成熟的網(wǎng)絡(luò)犯罪團(tuán)伙。”德賓說。他們的組織非常復(fù)雜和成熟，并具有良好的協(xié)調(diào)。我們已經(jīng)看到網(wǎng)絡(luò)犯罪作為一種服務(wù)的增加。這種日益增加的復(fù)雜性將給企業(yè)帶來真正的挑戰(zhàn)。我們真的進(jìn)入了一個新的時代，您根本無法預(yù)測一個網(wǎng)絡(luò)犯罪是否會找您。從企業(yè)的角度來看，您要如何防御呢?問題的部分原因在于，許多企業(yè)仍然還處在專注于保衛(wèi)企業(yè)外部邊界的時代，但現(xiàn)如今的主要威脅則是由于企業(yè)內(nèi)部的人士，無論其是出于惡意目的或只是無知采取了不當(dāng)?shù)陌踩珜嵺`方案，這使得網(wǎng)絡(luò)威脅日漸已經(jīng)開始向外圍滲透了“不管是對是錯，我們一直是將網(wǎng)絡(luò)犯罪視為是從外部攻擊的角度來看，所以我們試圖采用防火墻來簡單應(yīng)對。”德賓說。 “但企業(yè)還存在來自內(nèi)部的威脅。這讓我們從企業(yè)的角度來看，是一個非常不舒服的地方?！笔聦嵉恼嫦嗍牵髽I(yè)根本無法對付網(wǎng)絡(luò)犯罪，除非他們采取更具前瞻性的方法?！皫讉€星期前，我在與一名大公司的擁有九年工作經(jīng)驗的首席信息安全官交談時，他告訴我說，借助大數(shù)據(jù)分析，他現(xiàn)在已經(jīng)在整個企業(yè)幾乎完全實現(xiàn)了可視化。在從業(yè)了九年后，他發(fā)現(xiàn)網(wǎng)絡(luò)罪犯的這種能力也在不斷積累。而我們的做法只是不斷地被動反應(yīng)，而不是主動的防御?！薄熬W(wǎng)絡(luò)犯罪分子的工作方式卻不是這樣的?！彼a(bǔ)充說?！八麄兛偸窃噲D想出一個新的方法。我認(rèn)為我們還不擅長打防守。我們需要真正將其提高到同一水平。我們永遠(yuǎn)不會想出新的方法。而在我們企業(yè)內(nèi)部甚至還存在這樣的想法：即然我們還沒有被攻破，為什么我們要花所有這些錢呢?”5、技能差距將成為信息安全的一個無底深淵隨著網(wǎng)絡(luò)攻擊犯罪份子的能力日益提高，信息安全專家們正變得越來越成熟，企業(yè)對于信息安全專家的需求越來越多。而網(wǎng)絡(luò)犯罪分子和黑客也在進(jìn)一步深化他們的技能，他們都在努力跟上時代的步伐，德賓說。企業(yè)的首席信息安全官們需要在企業(yè)內(nèi)部建立可持續(xù)的招募計劃，培養(yǎng)和留住現(xiàn)有人才，提高企業(yè)網(wǎng)絡(luò)的適應(yīng)能力。德賓說，在2016年，隨著超連通性的增加，這個問題將變得更糟。首席信息安全官在幫助企業(yè)及時獲得新的技能方面將需要更積極?！霸?016年，我認(rèn)為我們將變得更加清楚，也許企業(yè)在其安全部門并沒有合適的人才?！彼f。我們知道，企業(yè)有一些很好的技術(shù)人員可以安裝和修復(fù)防火墻等。但真正好的人才則是可以在確保企業(yè)網(wǎng)絡(luò)安全的情況下，滿足業(yè)務(wù)的挑戰(zhàn)和業(yè)務(wù)發(fā)展。這將是一個明顯的弱點。企業(yè)的董事會也開始意識到，企業(yè)網(wǎng)絡(luò)是他們做生意的重要方式。我們還沒有在業(yè)務(wù)和網(wǎng)絡(luò)安全實踐之間建立起聯(lián)系?！痹谀承┣闆r下，企業(yè)根本沒有合適的首席信息安全官會變得相當(dāng)明顯。而其他企業(yè)也必須問自己，安全本身是否被放在了恰當(dāng)?shù)奈恢谩５沦e說：“您企業(yè)無法避免每一次嚴(yán)重的事件，雖然許多企業(yè)在事件管理方面做得很好，但很少有企業(yè)建立了一套有組織的方法來評估哪些是錯誤的。”因此，這會產(chǎn)生不必要的成本，并讓企業(yè)承擔(dān)不適當(dāng)?shù)娘L(fēng)險。各種規(guī)模的企業(yè)均需要對此給予高度重視，以確保他們對于未來的這些新興的安全挑戰(zhàn)做好了充分的準(zhǔn)備，并能夠很好的應(yīng)對。通過采用一個切實的，具有廣泛基礎(chǔ)的，協(xié)作的方式，提高網(wǎng)絡(luò)安全和應(yīng)變能力，政府部門、監(jiān)管機(jī)構(gòu)、企業(yè)的高級業(yè)務(wù)經(jīng)理和信息安全專業(yè)人士都將能夠更好地了解網(wǎng)絡(luò)威脅的真實本質(zhì)，以及如何快速作出適當(dāng)?shù)姆磻?yīng)?！?

首批信息安全風(fēng)險評估服務(wù)資質(zhì)認(rèn)證獲證單位名單 國家信息中心 中國電力科學(xué)研究院信息安全實驗室 信息產(chǎn)業(yè)部計算機(jī)安全技術(shù)檢測中心 北京信息安全測評中心 上海市信息安全測評認(rèn)證中心 北京啟明星辰信息安全技術(shù)有限公司 北京天融信科技有限公司 北京神州綠盟科技有限公司 沈陽東軟系統(tǒng)集成工程有限公司 北京安氏領(lǐng)信科技發(fā)展有限公司 浪潮集團(tuán)有限公司 聯(lián)想網(wǎng)御科技（北京）有限公司 上海三零衛(wèi)士信息安全有限公司 恒安嘉新（北京）科技有限公司 長春吉大正元信息技術(shù)股份有限公司 上海中科網(wǎng)威信息技術(shù)有限公司 北京中科網(wǎng)威信息技術(shù)有限公司 北京安碼科技有限公司

安全培訓(xùn)的目的就是努力提高職工隊伍的安全素質(zhì)；提高廣大職工對安全生產(chǎn)重要性的認(rèn)識，增強(qiáng)安全生產(chǎn)的責(zé)任感；提高廣大職工遵守規(guī)章制度和勞動紀(jì)律的自覺性，增強(qiáng)安全生產(chǎn)的法制觀念；提高廣大職工的安全技術(shù)知識水平，熟練掌握操作技術(shù)要求和預(yù)防、處理事故的能力。 安全培訓(xùn)的意義在于： 1、通過安全技術(shù)培訓(xùn)提高安全生產(chǎn)水平； 2、通過安全培訓(xùn)提高工人的技術(shù)知識水平； 3、通過安全培訓(xùn)提高干部的安全管理業(yè)務(wù)水平； 4、促進(jìn)技術(shù)知識的更新。

按照信息系統(tǒng)的組成，我們可以把信息安全劃分為以下三個方面：一、基礎(chǔ)網(wǎng)絡(luò)安全（按網(wǎng)絡(luò)區(qū)域劃分）：1、網(wǎng)絡(luò)終端安全：防病毒（網(wǎng)絡(luò)病毒、郵件病毒）、非法入侵、共享資源控制；2、內(nèi)部局域網(wǎng)（LAN）安全：內(nèi)部訪問控制（包括接入控制）、網(wǎng)絡(luò)阻塞（網(wǎng)絡(luò)風(fēng)暴）、病毒檢測；3、外網(wǎng)（Internet）安全：非法入侵、病毒檢測、流量控制、外網(wǎng)訪問控制。二、系統(tǒng)安全（系統(tǒng)層次劃分）：1、硬件系統(tǒng)級安全：門禁控制、機(jī)房設(shè)備監(jiān)控（視頻）、防火監(jiān)控、電源監(jiān)控（后備電源）、設(shè)備運行監(jiān)控；2、操作系統(tǒng)級安全：系統(tǒng)登錄安全、系統(tǒng)資源安全、存儲安全、服務(wù)安全等；3、應(yīng)用系統(tǒng)級安全：登錄控制、操作權(quán)限控制。三、數(shù)據(jù)、應(yīng)用安全（信息對象劃分）：1、本地數(shù)據(jù)安全：本地文件安全、本地程序安全；2、服務(wù)器數(shù)據(jù)安全：數(shù)據(jù)庫安全、服務(wù)器文件安全、服務(wù)器應(yīng)用系統(tǒng)、服務(wù)程序安全。

影響網(wǎng)絡(luò)安全的主要因素由于企業(yè)網(wǎng)絡(luò)由內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和企業(yè)廣域網(wǎng)組成，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，威脅主要來自：病毒的侵襲、黑客的非法闖入、數(shù)據(jù)"竊聽"和攔截、拒絕服務(wù)、內(nèi)部網(wǎng)絡(luò)安全、電子商務(wù)攻擊、惡意掃描、密碼破解、數(shù)據(jù)篡改、垃圾郵件、地址欺騙和基礎(chǔ)設(shè)施破壞等。下面來分析幾個典型的網(wǎng)絡(luò)攻擊方式：1.病毒的侵襲幾乎有計算機(jī)的地方，就有出現(xiàn)計算機(jī)病毒的可能性。計算機(jī)病毒通常隱藏在文件或程序代碼內(nèi)，伺機(jī)進(jìn)行自我復(fù)制，并能夠通過網(wǎng)絡(luò)、磁盤、光盤等諸多手段進(jìn)行傳播。正因為計算機(jī)病毒傳播速度相當(dāng)快、影響面大，所以它的危害最能引起人們的關(guān)注。病毒的"毒性"不同，輕者只會玩笑性地在受害機(jī)器上顯示幾個警告信息，重則有可能破壞或危及個人計算機(jī)乃至整個企業(yè)網(wǎng)絡(luò)的安全。有些黑客會有意釋放病毒來破壞數(shù)據(jù)，而大部分病毒是在不經(jīng)意之間被擴(kuò)散出去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件，這導(dǎo)致了病毒的傳播。這些病毒會從一臺個人計算機(jī)傳播到另一臺，因而很難從某一中心點對其進(jìn)行檢測。任何類型的網(wǎng)絡(luò)免受病毒攻擊最保險和最有效的方法是對網(wǎng)絡(luò)中的每一臺計算機(jī)安裝防病毒軟件，并定期對軟件中的病毒定義進(jìn)行更新。值得用戶信賴的防病毒軟件包括Symantec、Norton和McAfee等。然而，如果沒有"憂患意識"，很容易陷入"盲從殺毒軟件"的誤區(qū)。因此，光有工具不行，還必須在意識上加強(qiáng)防范，并且注重操作的正確性；重要的是在企業(yè)培養(yǎng)集體防毒意識，部署統(tǒng)一的防毒策略，高效、及時地應(yīng)對病毒的入侵。2.黑客的非法闖入隨著越來越多黑客案件的報道，企業(yè)不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業(yè)網(wǎng)絡(luò)的安全漏洞，不經(jīng)允許非法訪問企業(yè)內(nèi)部網(wǎng)絡(luò)或數(shù)據(jù)資源，從事刪除、復(fù)制甚至毀壞數(shù)據(jù)的活動。一般來說，黑客常用的入侵動機(jī)和形式可以分為兩種。黑客通過尋找未設(shè)防的路徑進(jìn)入網(wǎng)絡(luò)或個人計算機(jī)，一旦進(jìn)入，他們便能夠竊取數(shù)據(jù)、毀壞文件和應(yīng)用、阻礙合法用戶使用網(wǎng)絡(luò)，所有這些都會對企業(yè)造成危害。黑客非法闖入將具備企業(yè)殺手的潛力，企業(yè)不得不加以謹(jǐn)慎預(yù)防。防火墻是防御黑客攻擊的最好手段。位于企業(yè)內(nèi)部網(wǎng)與外部之間的防火墻產(chǎn)品能夠?qū)λ衅髨D進(jìn)入內(nèi)部網(wǎng)絡(luò)的流量進(jìn)行監(jiān)控。不論是基于硬件還是軟件的防火墻都能識別、記錄并阻塞任何有非法入侵企圖的可疑的網(wǎng)絡(luò)活動。硬件防火墻產(chǎn)品應(yīng)該具備以下先進(jìn)功能：●包狀態(tài)檢查:在數(shù)據(jù)包通過防火墻時對數(shù)據(jù)進(jìn)行檢查，以確定是否允許進(jìn)入局域網(wǎng)絡(luò)。●流量控制:根據(jù)數(shù)據(jù)的重要性管理流入的數(shù)據(jù)。●虛擬專用網(wǎng)(VPN)技術(shù):使遠(yuǎn)程用戶能夠安全地連接局域網(wǎng)。●Java、ActiveX以及Cookie屏蔽:只允許來自可靠Web站點上的應(yīng)用程序運行?！翊矸?wù)器屏蔽(Proxyblocking):防止局域網(wǎng)用戶繞過互聯(lián)網(wǎng)過濾系統(tǒng)?！耠娮余]件發(fā)信監(jiān)控(Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發(fā)送，以避免企業(yè)員工故意或無意的泄露某些特定信息。3.數(shù)據(jù)"竊聽"和攔截這種方式是直接或間接截獲網(wǎng)絡(luò)上的特定數(shù)據(jù)包并進(jìn)行分析來獲取所需信息。一些企業(yè)在與第三方網(wǎng)絡(luò)進(jìn)行傳輸時，需要采取有效措施來防止重要數(shù)據(jù)被中途截獲，如用戶信用卡號碼等。加密技術(shù)是保護(hù)傳輸數(shù)據(jù)免受外部竊聽的最好辦法，其可以將數(shù)據(jù)變成只有授權(quán)接收者才能還原并閱讀的編碼。進(jìn)行加密的最好辦法是采用虛擬專用網(wǎng)(VPN)技術(shù)。一條VPN鏈路是一條采用加密隧道(tunnel)構(gòu)成的遠(yuǎn)程安全鏈路，它能夠?qū)?shù)據(jù)從企業(yè)網(wǎng)絡(luò)中安全地輸送出去。兩家企業(yè)可以通過Internet建立起VPN隧道。一個遠(yuǎn)程用戶也可以通過建立一條連接企業(yè)局域網(wǎng)的VPN鏈路來安全地訪問企業(yè)內(nèi)部數(shù)據(jù)。4、拒絕服務(wù)這類攻擊一般能使單個計算機(jī)或整個網(wǎng)絡(luò)癱瘓，黑客使用這種攻擊方式的意圖很明顯，就是要阻礙合法網(wǎng)絡(luò)用戶使用該服務(wù)或破壞正常的商務(wù)活動。例如，通過破壞兩臺計算機(jī)之間的連接而阻止用戶訪問服務(wù)；通過向企業(yè)的網(wǎng)絡(luò)發(fā)送大量信息而堵塞合法的網(wǎng)絡(luò)通信，最后不僅摧毀網(wǎng)絡(luò)架構(gòu)本身，也破壞整個企業(yè)運作。5.內(nèi)部網(wǎng)絡(luò)安全為特定文件或應(yīng)用設(shè)定密碼保護(hù)能夠?qū)⒃L問限制在授權(quán)用戶范圍內(nèi)。例如，銷售人員不能夠瀏覽企業(yè)人事信息等。但是，大多數(shù)小型企業(yè)無法按照這一安全要求操作，企業(yè)規(guī)模越小，越要求每一個人承擔(dān)的工作。如果一家企業(yè)在近期內(nèi)會迅速成長，內(nèi)部網(wǎng)絡(luò)的安全性將是需要認(rèn)真考慮的問題。6.電子商務(wù)攻擊從技術(shù)層次分析，試圖非法入侵的黑客，或者通過猜測程序?qū)孬@的用戶賬號和口令進(jìn)行破譯，以便進(jìn)入系統(tǒng)后做更進(jìn)一步的操作；或者利用服務(wù)器對外提供的某些服務(wù)進(jìn)程的漏洞，獲取有用信息從而進(jìn)入系統(tǒng)；或者利用網(wǎng)絡(luò)和系統(tǒng)本身存在的或設(shè)置錯誤引起的薄弱環(huán)節(jié)和安全漏洞實施電子引誘，以獲取進(jìn)一步的有用信息；或者通過系統(tǒng)應(yīng)用程序的漏洞獲得用戶口令，侵入系統(tǒng)。除上述威脅企業(yè)網(wǎng)絡(luò)安全的主要因素外，還有如下網(wǎng)絡(luò)安全隱患： 惡意掃描：這種方式是利用掃描工具(軟件)對特定機(jī)器進(jìn)行掃描，發(fā)現(xiàn)漏洞進(jìn)而發(fā)起相應(yīng)攻擊。 密碼破解：這種方式是先設(shè)法獲取對方機(jī)器上的密碼文件，然后再設(shè)法運用密碼破解工具獲得密碼。除了密碼破解攻擊，攻擊者也有可能通過猜測或網(wǎng)絡(luò)竊聽等方式獲取密碼。 數(shù)據(jù)篡改：這種方式是截獲并修改網(wǎng)絡(luò)上特定的數(shù)據(jù)包來破壞目標(biāo)數(shù)據(jù)的完整性。 地址欺騙：這種方式是攻擊者將自身IP偽裝成目標(biāo)機(jī)器信任機(jī)器的IP 地址，以此來獲得對方的信任。垃圾郵件 主要表現(xiàn)為黑客利用自己在網(wǎng)絡(luò)上所控制的計算機(jī)向企業(yè)的郵件服務(wù)器發(fā)送大量的垃圾郵件，或者利用企業(yè)的郵件服務(wù)器把垃圾郵件發(fā)送到網(wǎng)絡(luò)上其他的服務(wù)器上。 基礎(chǔ)設(shè)施破壞：這種方式是破壞DNS或路由器等基礎(chǔ)設(shè)施，使得目標(biāo)機(jī)器無法正常使用網(wǎng)絡(luò)。 由上述諸多入侵方式可見，企業(yè)可以做的是如何盡可能降低危害程度。除了采用防火墻、數(shù)據(jù)加密以及借助公鑰密碼體制等手段以外，對安全系數(shù)要求高的企業(yè)還可以充分利用網(wǎng)絡(luò)上專門機(jī)構(gòu)公布的常見入侵行為特征數(shù)據(jù)-通過分析這些數(shù)據(jù)，企業(yè)可以形成適合自身的安全性策略，努力使風(fēng)險降低到企業(yè)可以接受且可以管理的程度。 企業(yè)網(wǎng)絡(luò)安全的防范 技術(shù)與管理相結(jié)合：技術(shù)與管理不是孤立的，對于一個信息化的企業(yè)來說，網(wǎng)絡(luò)信息安全不僅僅是一個技術(shù)問題，也是一個管理問題。在很多病毒或安全漏洞出現(xiàn)不久，網(wǎng)上通常就會有相應(yīng)的殺毒程序或者軟件補(bǔ)丁出現(xiàn)，但為什么還會讓病毒肆虐全球呢？為什么微軟主頁上面及時發(fā)布的補(bǔ)丁以及各種各樣查殺的工具都無法阻止這些病毒蔓延呢？歸根結(jié)底還是因為很多用戶(包括企業(yè)級用戶)沒有養(yǎng)成主動維護(hù)系統(tǒng)安全的習(xí)慣，同時也缺乏安全方面良好的管理機(jī)制。 要保證系統(tǒng)安全的關(guān)鍵，首先要做到重視安全管理，不要"坐以待斃"，可以說，企業(yè)的信息安全，是一個整體的問題，需要從管理與技術(shù)相結(jié)合的高度，制定與時俱進(jìn)的整體管理策略，并切實認(rèn)真地實施這些策略，才能達(dá)到提高企業(yè)信息系統(tǒng)安全性的目的。 風(fēng)險評估：要求企業(yè)清楚自身有哪些系統(tǒng)已經(jīng)聯(lián)網(wǎng)、企業(yè)網(wǎng)絡(luò)有哪些弱點、這些弱點對企業(yè)運作都有哪些具體風(fēng)險，以及這些風(fēng)險對于公司整體會有怎樣的影響。 安全計劃：包括建立企業(yè)的安全政策，掌握保障安全性所需的基礎(chǔ)技術(shù)，并規(guī)劃好發(fā)生特定安全事故時企業(yè)應(yīng)該采取的解決方案。企業(yè)網(wǎng)絡(luò)安全的防范策略目的就是決定一個組織機(jī)構(gòu)怎樣來保護(hù)自己。一般來說，安全策略包括兩個部分：一個總體的安全策略和具體的規(guī)則。總體安全策略制定一個組織機(jī)構(gòu)的戰(zhàn)略性安全指導(dǎo)方針，并為實現(xiàn)這個方針分配必要的人力物力。 計劃實施：所有的安全政策，必須由一套完善的管理控制架構(gòu)所支持，其中最重要的要素是要建立完整的安全性解決方案。 物理隔離：即在網(wǎng)絡(luò)建設(shè)的時候單獨建立兩套相互獨立的網(wǎng)絡(luò)，一套用于部門內(nèi)部辦公自動化，另一套用于連接到Internet，在同一時候，始終只有一塊硬盤處于工作狀態(tài)，這樣就達(dá)到了真正意義上的物理安全隔離。 遠(yuǎn)程訪問控制：主要是針對于企業(yè)遠(yuǎn)程撥號用戶，在內(nèi)部網(wǎng)絡(luò)中配置用戶身份認(rèn)證服務(wù)器。在技術(shù)上通過對接入的用戶進(jìn)行身份和密碼驗證，并對所有的用戶機(jī)器的MAC地址進(jìn)行注冊，采用IP地址與MAC地址的動態(tài)綁定，以保證非授權(quán)用戶不能進(jìn)入。 病毒的防護(hù)：培養(yǎng)企業(yè)的集體防毒意識，部署統(tǒng)一的防毒策略，高效、及時地應(yīng)對病毒的入侵。 防火墻：目前技術(shù)最為復(fù)雜而且安全級別最高的防火墻是隱蔽智能網(wǎng)關(guān), 它將網(wǎng)關(guān)隱藏在公共系統(tǒng)之后使其免遭直接攻擊。隱蔽智能網(wǎng)關(guān)提供了對互聯(lián)網(wǎng)服務(wù)進(jìn)行幾乎透明的訪問, 同時阻止了外部未授權(quán)訪問對專用網(wǎng)絡(luò)的非法訪問。一般來說, 這種防火墻的安全性能很高，是最不容易被破壞和入侵的。 網(wǎng)絡(luò)安全問題簡單化 大多數(shù)企業(yè)家缺乏對IT技術(shù)的深入了解，他們通常會被網(wǎng)絡(luò)的安全需求所困擾、嚇倒或征服。許多企業(yè)領(lǐng)導(dǎo)，不了解一部網(wǎng)關(guān)與一臺路由器之間的區(qū)別，卻不愿去學(xué)習(xí)，或因為太忙而沒時間去學(xué)。 他們只希望能夠確保財務(wù)紀(jì)錄沒被竊取，服務(wù)器不會受到一次"拒絕服務(wù)攻擊"。他們希望實現(xiàn)這些目標(biāo)，但不希望為超出他們需求范圍的技術(shù)或服務(wù)付出更高的成本，就像銷售計算機(jī)設(shè)備的零售店不愿意提供額外服務(wù)一樣。 企業(yè)網(wǎng)絡(luò)安全是一個永遠(yuǎn)說不完的話題，今天企業(yè)網(wǎng)絡(luò)安全已被提到重要的議事日程。一個安全的網(wǎng)絡(luò)系統(tǒng)的保護(hù)不僅和系統(tǒng)管理員的系統(tǒng)安全知識有關(guān)，而且和領(lǐng)導(dǎo)的決策、工作環(huán)境中每個員工的安全操作等都有關(guān)系。 網(wǎng)絡(luò)安全是動態(tài)的，新的Internet黑客站點、病毒與安全技術(shù)每日劇增。要永遠(yuǎn)保持在知識曲線的最高點，把握住企業(yè)網(wǎng)絡(luò)安全的大門，從而確保證企業(yè)的順利成長

目前國內(nèi)對于網(wǎng)絡(luò)安全方面還沒有什么特別有力的認(rèn)證，神馬社保部組織的那些個認(rèn)證根本跟個渣一樣。閣下如果是想進(jìn)這個行業(yè)，花1個月的時間，把防火墻、路由器、交換機(jī)、漏掃等概念看一遍，把主要廠商的產(chǎn)品名稱大概的記一下，就可以去面試了。國內(nèi)網(wǎng)絡(luò)安全行業(yè)的銷售和售前對技術(shù)要求不是很高。