【正文】 這個(gè)連接之所以被看成是一個(gè)隧道，是因?yàn)閮蓚€(gè)局域網(wǎng)的主機(jī)并未察覺它們的數(shù)據(jù)被加密了。 3) 產(chǎn)品應(yīng)該不易被攻擊者躲避。 主機(jī)入侵監(jiān)測(cè)系統(tǒng)的數(shù)據(jù)源往往是主機(jī)系統(tǒng)日志、應(yīng)用程序日志等，有的也可通過其他手段從所在的主機(jī)收集信息進(jìn)行分析。 1) 監(jiān)測(cè)并分析用戶和系統(tǒng)的活動(dòng)。 防火墻目前還處于發(fā)展階段，還有不少不足之處需要克服，還有不少難題有待解決。管理和維護(hù)好防火墻可以保證網(wǎng)絡(luò)的安全，提高防火墻的使用壽命。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，通常采用第二種類型的設(shè)計(jì)策略 。而要配置好一個(gè)防火墻，關(guān)鍵不在于對(duì)防火墻本身如何使用，而在于制定好安全策略。有的屏蔽子網(wǎng)中還設(shè)有一個(gè)堡壘主機(jī)作為唯一可訪問點(diǎn)，支持終端交互或作 第 27 頁 為應(yīng)用網(wǎng)關(guān)代理。這對(duì)于日后的檢查非常有用，但這不能幫助網(wǎng)絡(luò)管理者確認(rèn)內(nèi)網(wǎng)中哪些主機(jī)可能已被黑客入侵。而入侵檢測(cè)系統(tǒng)（ IDS） 可以彌補(bǔ)防火墻的不足，它為網(wǎng)絡(luò)提供時(shí)實(shí)的監(jiān)控，并且在發(fā)現(xiàn)入侵的初期采取相應(yīng)的防護(hù)手段。 第 25 頁 4) 防火墻不能防止受病毒感染的文件的傳輸。 4) 記錄通過防火墻的信息內(nèi)容和活動(dòng)。 5) 防火墻本身具有防止被穿透的能力， 防火墻本身不受各種攻擊的影響。因此，防火墻在提供增強(qiáng)安全性的同時(shí)允許必要的訪問。 第 23 頁 第 6 章 防火墻及相關(guān)技術(shù)應(yīng)用 防火墻概述 防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)之上的安全性計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù) ,被廣泛應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)互聯(lián)環(huán)境之中。超級(jí)用戶登錄后將擁有服務(wù)器目錄下的全部訪問權(quán)限，一旦帶入病毒，將產(chǎn)生更為嚴(yán)重的后果。將程序和數(shù)據(jù)分別備份在不同的磁盤上，當(dāng)系統(tǒng)遭遇病毒攻擊時(shí)，可通過與后備副本比較或重新裝入一個(gè)備份的、干凈的源程序來解決。 2) 軟件過濾 軟件過濾的目的是識(shí)別某一類特殊的病毒，防止它們進(jìn)入系統(tǒng)和不 斷復(fù)制。 計(jì)算機(jī)病毒的防范 防治感染病毒主要有兩種手段：一是用戶遵守和加強(qiáng)安全操作控制措施，在思想上要重視病毒可能造成的危害；二是在安全操作的基礎(chǔ)上，使用硬件和軟件防病毒工具，利用網(wǎng)絡(luò)的優(yōu)勢(shì)，把防病毒納入到網(wǎng)絡(luò)安全體系中。 3) 修改或破壞文件中的數(shù)據(jù)，這時(shí)文件的格式是正常的，但內(nèi)容已經(jīng)發(fā)生改變。它兼有文件型和引導(dǎo)型 病毒的特點(diǎn)?，F(xiàn)如今，計(jì)算機(jī)病毒對(duì)整個(gè)系統(tǒng)以及網(wǎng)絡(luò)的危害是匪夷所思的。針對(duì)值得懷疑的 Email 要采取措施證實(shí)是否確有其事。 6) 及時(shí)更新郵件服務(wù)器軟件和系統(tǒng)補(bǔ)丁，發(fā)現(xiàn)安全漏洞要及時(shí)修補(bǔ)，不能存在僥幸心里。但僅僅依靠安全標(biāo)準(zhǔn)是不夠的，郵件服務(wù)器本身必須是安全、可靠、久經(jīng)實(shí)戰(zhàn)考驗(yàn)的。 轟炸 Email 轟炸可被描述為不停接到大量同一內(nèi)容的 Email。例如，在一條信息中加進(jìn)了一個(gè)小的腳本，并發(fā)給用戶。 在設(shè)置信任關(guān)系時(shí)不使用機(jī)器名字，而使用機(jī)器的 IP 地址，這樣可以使系統(tǒng)避免名字欺騙，但可能遭受 IP 地址欺騙。比如，將現(xiàn)有的 DNS記錄中的主機(jī)信 息修改成被攻擊者自己控制的主機(jī)，這樣所有達(dá)到原來目的地的數(shù)據(jù)包將被重定位到入侵者手中， DNS 帶來的威脅會(huì)涉及到整個(gè)網(wǎng)絡(luò)系統(tǒng)破壞了整個(gè)網(wǎng)絡(luò)的安全完整性。 域名系統(tǒng)的安全性 域名系統(tǒng) (Domain Name SystemDNS)是一個(gè)分布 式數(shù)據(jù)庫 .它把主機(jī)名翻譯成IP 地址 ,把 IP 地址翻譯成主機(jī)名。并嚴(yán)格控制遠(yuǎn)程管理員身份的使用，僅在絕對(duì)需要時(shí)，才允許使用具有高授權(quán)的操作。該類問題指的是網(wǎng)絡(luò)安全意識(shí)不強(qiáng)，缺少信息系統(tǒng)安全管理的規(guī)范，缺少安 全測(cè)試、檢查、監(jiān)控，缺少信息發(fā)布的審核和管理，缺少對(duì)網(wǎng)絡(luò)安全事件的響應(yīng)，網(wǎng)管人員的技術(shù)水平不高。該類問題指的是由于不小心執(zhí)行病毒程序、系統(tǒng)存在安全漏洞被網(wǎng)絡(luò)病毒攻擊等，從而導(dǎo)致系統(tǒng)數(shù)據(jù)被破壞、被竊取、甚至系統(tǒng)崩潰。該類問題指的是入侵者進(jìn)入系統(tǒng)后，破壞系統(tǒng)的重要數(shù)據(jù)、系統(tǒng)運(yùn)行的重要文件，從而導(dǎo)致 Web 站點(diǎn)系統(tǒng)無法正常運(yùn)行。 Web 安全風(fēng)險(xiǎn)一般可分為三類，即對(duì) Web 服務(wù)器及其相連 LAN 的威脅、對(duì)服務(wù)器和客戶機(jī)之間的通信信道的威脅。數(shù)據(jù)的備份與恢復(fù)作為信息安全的重要內(nèi)容不可忽視。差分備份策略在避免了以上兩中策略的缺陷的同時(shí)，又具有了它們的所有優(yōu)點(diǎn)。然而它亦有不足之處。用戶可以檢測(cè)備份設(shè)備的狀態(tài)是否正常。根據(jù)企業(yè)對(duì)數(shù)據(jù)安全的實(shí)際需要來制定適合的備份方案和策略。在硬盤備份中也有采用移動(dòng)硬盤進(jìn)行手動(dòng)備份的。計(jì)算機(jī)網(wǎng)絡(luò)是計(jì)算機(jī)病毒傳播的通道，給數(shù)據(jù)安全帶來極大威脅。 數(shù)據(jù)備份的原則 對(duì)數(shù)據(jù)進(jìn)行備份是為了保證數(shù)據(jù)的安全性，消除系統(tǒng)使用者和操作者的后顧之憂。算法的思路是假定某人擁有大量的物品，重量各不相同。它們具有用戶注冊(cè)、識(shí)別用戶、任意存取控制、審 第 8 頁 計(jì)等安全功能。如果一個(gè)數(shù)據(jù)庫有很多 用戶，安全管理員可以決定將那些用戶的組分類成用戶組，然后為這些組創(chuàng)建用戶角色。 第 7 頁 數(shù)據(jù)安全的策略 安全包括在對(duì)象層上控制訪問和使用數(shù)據(jù)庫的機(jī)制。 數(shù)據(jù)庫安全策略與配置 數(shù)據(jù)庫的安全策略包括系統(tǒng)的 策略、數(shù)據(jù)安全的策略、用戶安全的策略 等。為了確保秘密數(shù)據(jù)的安全性，必須對(duì)系統(tǒng)進(jìn)行分層并確保安裝最新的補(bǔ)丁程序。網(wǎng)絡(luò)安全包括安全的數(shù)據(jù)、應(yīng)用和用戶。各種原因造成的系統(tǒng)停機(jī)，都可能導(dǎo)致可用性的缺乏，降低客戶的信任度，甚至減少企業(yè)的收入。 機(jī)密性 機(jī)密性將保護(hù)數(shù)據(jù)不泄露給非授權(quán)的第三方。 從廣義上來說，凡是涉及到計(jì)算機(jī)網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是計(jì)算機(jī)網(wǎng)絡(luò)安全的研究領(lǐng)域。此外，虛擬專用網(wǎng)（ VPN）技術(shù)將逐漸成為企業(yè)之間互聯(lián)的首選產(chǎn)品，因?yàn)樗?能夠降低成本、提高效率、增強(qiáng)安全性 ， 在日后的應(yīng)用中將會(huì)有廣闊的前景。通過入侵檢測(cè)、身份鑒定、授權(quán)和評(píng)估系統(tǒng)，增強(qiáng)了防火墻的功能。通過本文的敘述，我們將會(huì)對(duì)企業(yè)網(wǎng)絡(luò)安全有一個(gè)更加清晰的認(rèn)識(shí)。然而，在多數(shù)情況，網(wǎng)絡(luò)安全并沒有得到應(yīng)有的重視。針對(duì)企業(yè)網(wǎng)絡(luò)所出現(xiàn)的比較常見的安全問題，通過各種方法給予解決或給出可行方案。 Inter 的不可信也會(huì)限制企業(yè)的商業(yè)機(jī)會(huì)，特別是那些100%基于 Web 的組織。通過這種方式，企業(yè)降低了生產(chǎn)成本，增加了企業(yè)收入。 正是由于企業(yè)網(wǎng)絡(luò)面臨的安全問題是各 種各樣的，針對(duì)目前企業(yè)網(wǎng)絡(luò)所面臨的安全問題，本文從如何保護(hù)企業(yè)的數(shù)據(jù)安全、網(wǎng)絡(luò)服務(wù)與應(yīng)用系統(tǒng)安全以及如何預(yù)防網(wǎng)絡(luò)病毒和在網(wǎng)絡(luò)中設(shè)置防火墻等幾個(gè)方面闡述了如何有效地保護(hù)企業(yè)網(wǎng)絡(luò)的安全。 安全隱患 網(wǎng)絡(luò)安全的目的是實(shí)現(xiàn)網(wǎng)絡(luò)信息的完整性、機(jī)密性和可用性。應(yīng)用程序需要不同級(jí)別的可用性，這取決于停機(jī)時(shí)間對(duì)業(yè)務(wù)的影響。 網(wǎng)絡(luò)安全的目標(biāo) 網(wǎng)絡(luò)安全最重要的一個(gè)目標(biāo)是獲得那些任何不是被明確許可的操作被禁止的情況。許多安全專家發(fā)現(xiàn)漏洞都是一些很容易修補(bǔ)的眾所周知的缺陷，因此必須確保網(wǎng)絡(luò)安裝最新的版本的補(bǔ)丁。數(shù)據(jù)庫系 統(tǒng)安全問題可歸納為以下三個(gè)方面： 。 3) 操作系統(tǒng)的安全 如果可以的話，對(duì)于任何數(shù)據(jù)庫應(yīng)用的操作系統(tǒng)來說，還應(yīng)該考慮數(shù)據(jù)庫管理員必須具有操作系統(tǒng)權(quán)限，以便創(chuàng)建和刪除文件。否則，如果數(shù)據(jù)庫中只有少數(shù)用戶名，就將權(quán)限明確地賦予用戶，避免使用角色，這樣反而更容易。然后將這些管理角色授予適當(dāng)?shù)墓芾韱T用戶。 加密算法 加密算法是數(shù)據(jù)加密的核心。為了計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)故障時(shí)，網(wǎng)絡(luò)中的核心數(shù)據(jù)必須能安全的保存和迅速的恢復(fù)，因此，對(duì)于企業(yè)來說，可靠的數(shù)據(jù)備份和恢復(fù)措施是非常必要的。在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中，可能包括了各種操作平臺(tái)，如 Netware、Windows NT、 UNIX 等。如果引入 RAID技術(shù)，對(duì)磁 帶進(jìn)行鏡像，就可以更好的保證數(shù)據(jù)安全可靠，給用戶再加一把保險(xiǎn)鎖。通過制定相應(yīng)的備份策略，備份工作可以自動(dòng)進(jìn)行，不需要太多的人干預(yù)，減少了日常的管理負(fù)擔(dān)，并可避免人為的疏忽或錯(cuò)誤，提高了數(shù)據(jù)備份的可靠性。 4) 使用合格的備份介質(zhì)。 完全備份 對(duì)系統(tǒng)中的數(shù)據(jù)進(jìn)行完全備份。這種備份策略的優(yōu)點(diǎn)是節(jié)省了磁帶空間，縮短了備份時(shí)間。 數(shù)據(jù)庫的備份 數(shù)據(jù)庫備份技術(shù)概述 當(dāng)企業(yè)用戶使用一個(gè)數(shù)據(jù)庫時(shí)，總希望數(shù)據(jù)庫的內(nèi)容是可靠的、正確的，但由于數(shù)據(jù)庫在傳輸、存儲(chǔ)和交換的過程中出現(xiàn)計(jì)算機(jī)系統(tǒng)的故障（包括機(jī)器故障、介質(zhì)故障、誤操作等），同時(shí)，計(jì)算機(jī)系統(tǒng)也會(huì)發(fā)生意料不到的事故，數(shù)據(jù)庫也可能遭到破壞，這時(shí)如何盡快恢復(fù)數(shù)據(jù)就成為當(dāng)務(wù)之急。 Web 的安全性是 Web 應(yīng)用中必須考慮的重要問題。該類問題指的是攻擊者非法訪問、獲取目標(biāo)機(jī)器（ Web服務(wù)器或者瀏覽器）上的敏感信息；或者中途截取 Web 服務(wù)器和瀏覽器之間傳輸?shù)拿舾行畔?；或者由于配置、軟件等的原因無意泄露的敏感信息，如賬號(hào)、密碼和客 第 13 頁 戶資料等。 5) 非法使用。 3) 應(yīng)用系統(tǒng)的安全漏洞。 2） 建立良好的賬號(hào)管理制度，限制在 Web 服務(wù)器開賬戶。利用防火墻，將服務(wù)器中與 Web 服務(wù)器無關(guān)的服務(wù)及端口阻隔，進(jìn)一步增強(qiáng)開放的服務(wù)的安全性。 DNS 的安全威脅 拒絕服務(wù)攻擊 網(wǎng)絡(luò)攻擊者攻擊 DNS 服務(wù)器、路由器和防火墻 ，是 DNS 服務(wù)器無法回應(yīng)正常的DNS 查詢的請(qǐng)求。從而干擾了正常的 DNS 通信，導(dǎo)致應(yīng)用服務(wù)器無法給外界提供服務(wù)，網(wǎng)站發(fā)生癱瘓。郵件的信息可能攜帶會(huì)損害服務(wù)器或客戶機(jī)的指令。當(dāng)用戶收到的電子郵件中涉及敏感信息時(shí)，用戶要適當(dāng)分析，認(rèn)真核對(duì)郵件的發(fā)送者，郵件信息表頭中的信息等。 如果系統(tǒng)突然變得遲鈍，或人們開始抱怨 Email 速度大幅減慢，或不能收、發(fā)Email，這時(shí) Email 服務(wù)器可能正忙于處理極大數(shù)量的信息。同時(shí)使用網(wǎng)絡(luò)防火墻對(duì)進(jìn)入郵件服務(wù)器 Email 的地址和風(fēng)險(xiǎn)的關(guān)鍵字進(jìn)行控制、過濾以屏蔽不良的 Email。特別是來歷不明又包含附件的郵件，即使附件看來好像是 .jpg(圖形文件 )文件，也不要輕易打開它，因?yàn)?Windows 允許用戶在文件命名時(shí)使用多個(gè)后綴，而許多電子郵件程序只顯示第一個(gè)后綴。 5) 對(duì)保密性要求較高的郵件使用數(shù)字標(biāo)識(shí)對(duì)郵件進(jìn)行加密。 1) 引導(dǎo)型病毒是指?jìng)魅居?jì)算機(jī)系統(tǒng)磁盤引導(dǎo)程序的計(jì)算機(jī)病毒。 計(jì)算機(jī)病毒的可觸發(fā)性是指病毒因某個(gè)事件或某個(gè)數(shù)值的出現(xiàn)，誘發(fā)病毒發(fā)作。 8) 占用 CPU 運(yùn)行時(shí)間，使主機(jī)運(yùn)行效率降低。應(yīng)采用縱深防御的方法，采用多種阻塞渠道和多種安全機(jī)制對(duì)病毒進(jìn)行隔離，這是保護(hù)計(jì)算機(jī)系統(tǒng)免遭病毒危害的有效方法。即使病毒在可執(zhí)行文件加密前傳染了該文件，該文件解碼后，病毒也不能向其他可執(zhí)行文件傳播，從而杜絕了病毒的復(fù)制。 6) 在內(nèi)部網(wǎng)絡(luò)出口進(jìn)行訪問控制 網(wǎng)絡(luò)病毒一般都使用某些特定的端口收發(fā)數(shù)據(jù)包以進(jìn)行網(wǎng)絡(luò)傳播，在網(wǎng)絡(luò)出口的防火墻或路由器上禁止這端口訪問內(nèi)網(wǎng)絡(luò)，可以有效地防止內(nèi)部網(wǎng)絡(luò)中計(jì)算機(jī)感染網(wǎng)絡(luò)病毒。 3) 建立健全的網(wǎng)絡(luò)系統(tǒng)安全管理制度，嚴(yán)格操作規(guī)程和規(guī)章制度，定期做文件備份和病毒檢測(cè)。但是客觀地講，防火墻并不能完全解決網(wǎng)絡(luò)安全問題，而只是網(wǎng)絡(luò)安全政策中的一個(gè)組成部分。 2) 確保內(nèi)部網(wǎng)向外部網(wǎng)的全功能互聯(lián)。 1) 過濾 進(jìn)、出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)。沒有經(jīng)過防火 墻的數(shù)據(jù)，防火墻無法檢查。防火墻保護(hù)別人有時(shí)卻無法保護(hù)自己，目前還沒有廠商絕對(duì)保證防火墻不會(huì)存在安全漏洞。兩塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外網(wǎng)連接，每塊網(wǎng)卡都有獨(dú)立的 IP 地址。 工 作 站服 務(wù) 器堡 壘主 機(jī)工 作 站屏 蔽 路 由 器防 火 墻工 作 站內(nèi) 部 網(wǎng) 絡(luò) 圖 63 屏蔽主機(jī)示意圖 屏蔽子網(wǎng)體系結(jié)構(gòu) 這種方法是在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，用兩臺(tái)分組過濾路由器將這一子網(wǎng)分別與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分開。采用哪種技術(shù)主要取決于經(jīng)費(fèi)，投資的大小或技術(shù)人員的技術(shù)、時(shí)間等因素。典型的服務(wù)訪問策略有允許通過增強(qiáng)認(rèn) 第 28 頁 證的用戶在必要的情況下從 Inter 訪問某些內(nèi)部主機(jī)與服務(wù)和允許內(nèi)部用戶訪問指定的 Inter 主機(jī)與服務(wù)。雖然存在多種認(rèn)證技術(shù)，它們均使用增強(qiáng)的認(rèn)證機(jī)制產(chǎn)生難被攻擊者重用的口令和密鑰。 4) 保證整個(gè)系統(tǒng)處于優(yōu)質(zhì)服務(wù)狀態(tài)，必須全天候地對(duì)主機(jī)系統(tǒng)進(jìn)行監(jiān)控、管理和維護(hù)，達(dá)到萬無一失。 入侵檢測(cè)系統(tǒng)的功能及分類 入侵檢測(cè) 系統(tǒng)已成為抵御網(wǎng)絡(luò)攻擊的一種有效方式。 6) 操作系統(tǒng)日志管理，并識(shí)別違反安全策略的用戶活動(dòng)。 第 30 頁 入侵檢測(cè) 產(chǎn)品的選購原則 目前 ，入侵監(jiān)測(cè)產(chǎn)品很多，在選購過程中要注意一下基本原則。 虛擬專用網(wǎng)（ VPN） VPN 即 虛擬專用網(wǎng) ，是通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。 VPN 可用于不斷增長的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連 第 31 頁 接；可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路，用于經(jīng)濟(jì)有效地連接到商業(yè)伙伴和用戶的安全外聯(lián)網(wǎng)虛擬專用網(wǎng)。 6) 系統(tǒng)易于管理和維護(hù)。往往用一臺(tái)計(jì)算機(jī)監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包進(jìn)行判斷。 4) 識(shí)別已知的攻擊行為。更好的防御措施是通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的信息進(jìn)行收集并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。 2) 實(shí)施定期的掃描和檢查，發(fā)現(xiàn)系統(tǒng)結(jié)構(gòu)出了問題，能及時(shí)排除和恢復(fù)。即使用戶使用復(fù)雜的難于猜測(cè)和破譯的口令，攻擊者仍然可以在 Inter 上監(jiān)視傳輸?shù)目诹蠲魑?，使傳統(tǒng)的口令機(jī)制形同虛設(shè)