目前网络威胁APT、0day漏洞等攻击手段层出不穷,勒索软件大行其道,又有破坏性较强的黑客工具四处传播。建议对内部网络根据功能划分不同的子网,子网之间不通信,可以采用文件过滤网关、单向通信的文件摆渡系统、网闸等设备来传送文件,对于内网之间IP流量,可以采取禁止的规则,这样可以防范网络威胁整个网络。对外服务的网络与内部网络隔离后,可以切断对内部的威胁,与内部网络之间也可以采用文件过滤网关/单向文件摆渡系统/网闸等设备通信。 常见USB介质直接通过USB端口插入内网PC主机,USB存储难免会携带病毒,一旦侵入内部网络,会*传播,造成各种损害,严重的会影响正常工作,必须维护一个安全的内部网络,因此要封闭usb接口执行隔离。首先是使用政策上要求不能再使用usb端口,技术上实现有各种办法:例如设置BIOS,内部切断电路或者修改操作系统配置等;隔离后分割出不同的安全域,针对不同的安全等级实施不同的安全管理政策。可以在内网部署usb防毒盒来使用usb介质,通过设备过滤检测文件后再行使用。