【正文】 IP 地址使用 TELNET 服務，另一個子網(wǎng)用戶可以使用 FTP 服務。 最小授權(quán) 原則指得是網(wǎng)絡(luò)中帳號設(shè)置、服務配置、主機間信任關(guān)系配置等應該為網(wǎng)絡(luò)正常運行所需的最小限度。 數(shù)據(jù)級備份 數(shù)據(jù)級備份就是備份我們系統(tǒng)上的初始化數(shù)據(jù)，我們建議用戶在使用我們系統(tǒng)的時候，經(jīng)常的備份我們的數(shù)據(jù)，保證我們的系統(tǒng)在崩潰的時候可以恢復數(shù)據(jù)。甚至，通過恢復備份數(shù)據(jù)，攻擊者已經(jīng)獲得足夠的數(shù)據(jù)，使得入侵網(wǎng)絡(luò)已無必要，直 接造成重要失密事件。網(wǎng)絡(luò)運行部門應該制定完整的系統(tǒng)備份計劃，并嚴格實施。 在安全電子公文系統(tǒng)中，一次完整的公文辦理流程如下圖所示： 打字員 審核人 蓋章人 公文接收員 公文受控使用 ① 起草公文并上傳到服務器上 公 文交換服務器 A 公文交換服務器 B ②審核公文內(nèi)容，并 指定公文的接收人以及使用的電子印章 ③對已審核過的公文加蓋指定的電子印章，并加密后傳遞 ④公文通過網(wǎng)絡(luò)傳遞 ⑤解密驗證公文的完整性和合法性，并發(fā)送回執(zhí)給發(fā)文方 公文發(fā)送單位 公文接收單位 ⑥生成便于傳閱和歸檔的黑章電子公文（ ceb 或 pdf 格式） 內(nèi)部辦公（ OA ）服務器 ⑦ 打印生成正式公文文 圖 .公文辦理流程圖 從圖中可以看出，這里的公文的辦理流程，涉及到公文發(fā)送和公文接收兩個流程。同時，采用國辦認可的方正 CEB 及國際通行的 Adobe PDF 作為公文交換的標準格式，能夠有效保證公文的嚴肅性、保密性和真實性，真正滿足了通過網(wǎng)絡(luò)傳輸公文時所要求的準確、及時、安全、保密等條件，可以廣泛應用于黨政機關(guān)和企事業(yè)單位的公文交換、傳輸領(lǐng)域。也就是說沒有安全權(quán)限的人員是不可能進入我們公司的網(wǎng)站的。 基于服務的 CA 與自建 CA 在這些成功關(guān)鍵因素方面的對比如表所示。 4. 安全的運營架構(gòu)。 2. 適用于廣泛應用的開放結(jié)構(gòu)。 如何建立 CA 中心 作為 PKI 的解決方案決策者，有以下關(guān)鍵的因素影響 CA 的運營 能否成功。安全性的關(guān)鍵在于私鑰本身的安全性。 3. 一次性用戶口令：如 S/KEY 系統(tǒng)等。它使用公鑰與私鑰結(jié)合的方法，可以抵御重發(fā)（ replay）、人中介（ maninthemiddle）、窮舉分析（ plaintext）等攻擊。針對明文網(wǎng)絡(luò)傳輸?shù)娜觞c，可以采用的加強措施包括： 更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 1. SSH：加強 TELNET，登錄時的口令加密后傳輸。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則，用戶將被拒之網(wǎng)絡(luò)之外。 現(xiàn)在流行的 PGP 和 SSL 等加密技術(shù)將常規(guī)密碼和公鑰密碼 結(jié)合在一起使用，利用DES 或 IDEA 來加密信息，而采用 RSA 來傳遞會話密鑰。 公鑰密碼的優(yōu)點是可以適應網(wǎng)絡(luò)的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現(xiàn)數(shù)字簽名和驗證。因此，其密鑰管理成為系統(tǒng)安全的重要因 素。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為對稱（私鑰）密碼算法和不對稱（公鑰）密碼算法。 加密與認證 更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 對稱與不對稱加密信息加密的目的 對稱與不對稱加密信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)絡(luò)會話的完整性。一般來說，防火墻擅長于保護設(shè)備服務，而不擅長保護數(shù)據(jù)。網(wǎng)絡(luò)安全體系不應該提供外部系統(tǒng)跨越安全系統(tǒng)直接到達受保護的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的途徑。 防火墻 防火墻在網(wǎng)絡(luò)中的地位與它的名字非常相似，它根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對獨立的子網(wǎng)，兩側(cè)間的通信受到防火墻的檢查控制。 網(wǎng)絡(luò)隔離與防火墻技術(shù) 網(wǎng)絡(luò)隔離 根據(jù)功能、保密水平、安全水平等要求的 差異將網(wǎng)絡(luò)進行分段隔離，對整個網(wǎng)絡(luò)的安全性有很多好處。 抑制和防止電磁泄漏是物理安全的一個主要問題。網(wǎng)絡(luò)層的訪問控制主要指防火墻等過濾機制。因此，我們在圖 3 中給出了各種安全服務之間的關(guān)系模型。為直觀起見，同時也為了便于提出可實施的安全方案，我們把這一模型投影到系統(tǒng)單元平面，并把系統(tǒng)單元分成網(wǎng)絡(luò)平臺和應用平臺兩個層次，形成一個二維結(jié)構(gòu)。 1) 通信平臺，信息網(wǎng)絡(luò)的通信平臺； 2) 網(wǎng)絡(luò)平臺，信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)； 3) 系統(tǒng)平臺，信息網(wǎng)絡(luò)的操作系統(tǒng)平臺； 4) 應用平臺，信息網(wǎng)絡(luò)各種應用的開發(fā)、運行平臺； 5) 物理環(huán)境，信息網(wǎng)絡(luò)運行的物理環(huán)境及人員管理。 安全體系的具體模型介紹如下： 安全 服務維 安全服務 具體如下： 1) 身份認證，用于確認所聲明的身份的有效性； 2) 訪問控制，防止非授權(quán)使用資源或以非授權(quán)的方式使用資源； 3) 數(shù)據(jù)保密，數(shù)據(jù)存儲和傳輸時加密，防止數(shù)據(jù)竊取、竊聽； 4) 數(shù)據(jù)完整，防止數(shù)據(jù)篡改； 5) 不可抵賴，取兩種形式的一種，用于防止發(fā)送者企圖否認曾經(jīng)發(fā)送過數(shù)據(jù)或其內(nèi)容和用以防止接收者對所收到數(shù)據(jù)或內(nèi)容的抗否認； 6) 審計管理，設(shè)置審計記錄措施，分析審計記錄； 7) 可用性、可靠性，在系統(tǒng)降級或受到破壞時能使系統(tǒng)繼續(xù)完成其功能，使得在不利的條件下盡可能少地受到侵害者的 破壞。 安全方案必須架構(gòu)在科學的安全體系和安全框架之上。 事實上，對于網(wǎng)絡(luò)企業(yè)網(wǎng)或者 ISP 的公網(wǎng)來說，管理的失敗是網(wǎng)絡(luò)安全體系失敗的非常重要的原因。網(wǎng)絡(luò)安全管理員和黑客通過研究或其它渠道都有可能率先獲知。 其次，網(wǎng)絡(luò)設(shè)備和軟件不可能是完美的，在設(shè)計開發(fā)過程中必然會出現(xiàn)缺陷和漏洞。這些 內(nèi)奸 ，可以接收特 殊病毒、 接收來自網(wǎng)絡(luò)或無線電指令來觸發(fā) CPU 的自殺功能、搜集和發(fā)送敏感信息、將敏感信息隱藏在網(wǎng)絡(luò)協(xié)議層中傳輸?shù)取２⑶?，通常情況下，防守者總是擁有對網(wǎng)絡(luò)安全體系更為準確的了解。這是由攻擊和防守的特性決定的。競爭對手出于競爭目的， 為打擊對手的商業(yè)信譽可能會發(fā)動攻擊行為。國家機密、商業(yè)競爭、對顧主單位的不滿、對網(wǎng)絡(luò)安全技術(shù)的挑戰(zhàn)、對企業(yè)核心機密的企望、網(wǎng)絡(luò)接入帳號、信用卡號等金 錢利益的誘惑、利用攻擊網(wǎng)絡(luò)站點而出名、對網(wǎng)絡(luò)的好奇心等，當然其它一些原因也都可能引起攻擊者的蓄意攻擊行為。 最后一種是當前 Inter 網(wǎng)絡(luò)所面臨的最大威脅，是電子商務、政府 、 企業(yè)、個人 上網(wǎng)等順利發(fā)展的最大障礙，也是企業(yè)網(wǎng)絡(luò)安全策略最需要解決的問題。 更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 2 網(wǎng)絡(luò)安全的威脅 網(wǎng)絡(luò) 面臨的安全威脅大體可分為兩種： 一、 是對網(wǎng)絡(luò)數(shù)據(jù)的威脅 。它使網(wǎng)絡(luò)建設(shè)和管理過程中的安全工作避免盲目性。應當盡快組織自己的 IT 部門或購買其它公司的相應服務來確立自己企業(yè)網(wǎng)的安全策略，并且下決心去實施，并且定期地檢查實際情況與安全策略的差距。 目前我國對計算機網(wǎng)絡(luò)安全產(chǎn)品的認證研究剛開始起步，尚沒有對計算機安全發(fā)布權(quán)威性的標準方案。不夸張地說，它在下個世紀里完全可以與核武器對一個國家的重要性相提并論。更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 協(xié)同辦公系統(tǒng) 安全解決方案 更多協(xié)同辦公 OA 系統(tǒng)資料請訪問： 1 引言 ........................................................................................................................ 4 2 網(wǎng)絡(luò)安全的威脅 .................................................................................................... 5 網(wǎng)絡(luò)攻擊的定義 ........................................................................................................ 5 攻擊的動機 ............................................................................................................ 5 網(wǎng)絡(luò)安全系統(tǒng)為什么會失敗 ................................................................................ 6 網(wǎng)絡(luò)安全體系 ..................................................................................