【正文】 (5)網(wǎng)絡(luò)分段的原則 ： 網(wǎng)絡(luò)分段是保證安全的重要措施。 c)殺毒技術(shù) 殺毒技術(shù)通過對計算機(jī)病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。 (4)掃描系統(tǒng) 網(wǎng)絡(luò)掃描系統(tǒng)可以對網(wǎng)絡(luò)中所有部件 (Web 站點，防火墻，路由器， TCP/IP 及相關(guān)協(xié)議服務(wù) )進(jìn)行攻擊性掃描、分析和評估，發(fā)現(xiàn)并報告系統(tǒng)存在的弱點和漏洞，評估安全風(fēng)險，建議補救措施。 (3)入侵檢測 利用防火墻并經(jīng)過嚴(yán)格配置，可以阻止各種不安全訪問通過防火墻，從而降低安全風(fēng)險。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立 IP 安全隧道，能夠保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實性。即在有相互訪問需求并且要求加密傳輸?shù)母骶W(wǎng)點的每條外線線路上都得配一臺鏈路加密機(jī)。 b)劃分虛擬子網(wǎng) (VLAN) 內(nèi)部辦公自動化網(wǎng)絡(luò)根據(jù)不同用戶安全級別或者根據(jù)不同部門的安全需求，利用三層交換機(jī)來劃分虛擬子網(wǎng) (VLAN)，在沒有配置路的情況下，不同虛擬子網(wǎng)間是不能夠互相訪問。 通過配備操作系統(tǒng)安全掃描系統(tǒng)對操作系統(tǒng)進(jìn)行安全性掃描，發(fā)現(xiàn)其中存在的安全漏洞，并有針對性地進(jìn)行 對網(wǎng)絡(luò)設(shè)備重新配置或升級。 (3)媒體安全 包括媒體數(shù)據(jù)的安全及媒體本身的安全。而電子商務(wù)的安全性已是當(dāng)前人們普遍關(guān)注的焦點，目前正處于研究和發(fā)展階段，它帶動了論證理論、密鑰管理等研究，由于計算機(jī)運算速度的不斷提高，各種密碼算法面臨著新的密碼體制，如量子密碼、 DNA密碼、混沌理論等密碼新技術(shù)正處于探索之中。這個服務(wù)的作用在于避免通信雙方對信息的來源發(fā)生爭議。 3．?dāng)?shù)據(jù)保密 數(shù)據(jù)保密服務(wù)的作用是防止數(shù)據(jù)被無權(quán)者閱讀。認(rèn)證一般在通信之前進(jìn)行。 VPN 整合了范圍廣泛的用戶，從家庭的撥號上網(wǎng)用戶到辦公室連網(wǎng)的工作站，直到 ISP的 Web 服務(wù)器。 （ 2）加解密技術(shù)對通過公共互聯(lián)網(wǎng)絡(luò)傳遞的數(shù)據(jù)必須經(jīng)過加密，確保 網(wǎng)絡(luò)其他未授權(quán)的用戶無法讀取該信息。 （ 1）隧道技術(shù)隧道技術(shù)是一種通過使用互聯(lián) 網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。 虛擬專用網(wǎng)技術(shù)虛擬專用網(wǎng) 是近年來隨著 Inter 的發(fā)展而迅速發(fā)展起來的一種技術(shù)。 4．防病毒系統(tǒng)的升級和部署功能應(yīng)做到完全自動化，整個系統(tǒng)應(yīng)具有每日更新的能力。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況這就需要進(jìn)行證書撤消，證書撤消的理由是各種各樣的，可能包括工作變動到對密鑰懷疑等一系列原因。 二 注冊機(jī)構(gòu) RA（ Registration Authorty）是 用戶和 CA 的接口，它所獲得的用戶標(biāo)識的準(zhǔn)確性是 CA頒發(fā)證書的基礎(chǔ)。 解密：（論文） 20 m=cd(mod n) 利用目前已經(jīng)掌握的知識和理論，分解 2048bit 的大整數(shù)已經(jīng)超過了 64位計算機(jī)的運算能力，因此在目前和預(yù)見的將來，它是足夠安全的。這對密鑰中任何一把都可以作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把作為私有密鑰（解密密鑰）加以保存。因此， IP 安全是整個 TCP/IP 安全的基礎(chǔ)，是網(wǎng)絡(luò)安全的核心。將對外服務(wù)器放置于 VPN 設(shè)備的 DMZ 口與內(nèi)部網(wǎng)絡(luò)進(jìn)行隔離，禁止外網(wǎng)直接訪問內(nèi)網(wǎng)，控制內(nèi) 網(wǎng)的對外訪問、記錄日志。既可以向客戶、合作伙伴提供有效的信息服務(wù)，又可以保證自身的內(nèi)部網(wǎng)絡(luò)安全。出差員工利用當(dāng)?shù)?ISP 提供的 VPN 服務(wù)，就可以和公司的 VPN 網(wǎng)關(guān)建立私有的隧道連接。由于這種產(chǎn)品是基于應(yīng)用的 ,應(yīng)用網(wǎng)關(guān)能提供對協(xié)議的過濾。 四． 監(jiān)測型 監(jiān)測型防火墻是新一代的產(chǎn)品 ,這一技術(shù)實際已經(jīng)超越了最初的防火墻定義。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進(jìn)行設(shè)置，用戶只要進(jìn)行常規(guī)操作即可。它允許具有私有 IP 地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。網(wǎng)絡(luò)上的數(shù)據(jù)都是以 “ 包 ” 為單位進(jìn)行傳輸?shù)?,數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包 ,每一個數(shù)據(jù)包中都會包含一些特定信息 ,如數(shù)據(jù)的源地址、目標(biāo)地址、 TCP/UDP 源端口 和目標(biāo)端口等。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)視了內(nèi)部網(wǎng)絡(luò)和 Inter 之間地任何活動，保證了內(nèi)部網(wǎng)絡(luò)地安全；在物理實現(xiàn)上，防火墻是位于網(wǎng)絡(luò)特殊位置地以組硬件設(shè)備 ―― 路由器、計算機(jī)或其他特制地硬件設(shè)備。通常是在物理上采取一定的防護(hù)措施，來減少或干擾擴(kuò)散出去的空間信號。 (5) 認(rèn)證：提供基于身份的認(rèn)證，并在各種認(rèn)證機(jī)制中可選擇使用。 2．采用各種安全技術(shù)，構(gòu)筑防御系統(tǒng)，主要有： (1) 防火墻技術(shù)：在網(wǎng)絡(luò)的對外接口，采用防火墻技 術(shù)，在網(wǎng)絡(luò)層進(jìn)行訪問控制。網(wǎng)絡(luò)安全系統(tǒng)必須包括技術(shù)和管理兩方面，涵蓋物理層、系統(tǒng)層、網(wǎng)絡(luò)層、應(yīng)用層和管理層各個層面上的諸多風(fēng)險類。 辦公網(wǎng)絡(luò) 安全需求 通過對網(wǎng)絡(luò)系統(tǒng)的風(fēng)險分析及需要解決的安全問題，我們需要制定合理的安全策略及安全方案來確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。數(shù)據(jù)備份的目的在十盡可能快地全盤恢復(fù)運行計算機(jī)系統(tǒng)所需的數(shù)據(jù)和系統(tǒng)信息口根據(jù)系統(tǒng)女全需求可選擇的備份機(jī)制有 ： 實時高速度、大容量自動的數(shù)據(jù)存儲、備份與恢復(fù) ； 定期的數(shù)據(jù)存儲、備 份 與恢復(fù) ； 對系統(tǒng)設(shè)備的備份。計算機(jī)病 毒的預(yù)防在于完善操作系統(tǒng)和應(yīng)用軟件的 安 全機(jī)制。 ②針對病毒破壞及災(zāi)難破壞的安全保護(hù) ： 對病毒和災(zāi)難破壞的數(shù)據(jù)保護(hù)來說，最為有效的保護(hù)方式有兩大類 ： 物理保護(hù)和數(shù)據(jù)備份。’言把包括網(wǎng)絡(luò)掃描、互聯(lián)網(wǎng)掃描、系統(tǒng)掃描、實時監(jiān)控和第三方的防火墻產(chǎn)生的重要安全數(shù)據(jù)綜合起來，提供內(nèi)部和外部的分析并在實際網(wǎng)絡(luò)中發(fā)現(xiàn)風(fēng)險源和直接響應(yīng)。另外，為了工作方便，辦公自動化網(wǎng)絡(luò)都備有與外網(wǎng)和國際互聯(lián)網(wǎng)相互連接的出人口，因此，外網(wǎng)及國際互聯(lián)網(wǎng)中的黑客只要侵人辦公自動化網(wǎng)絡(luò)中的任意節(jié)點進(jìn)行偵聽，就可以捕獲發(fā)生在這個以太網(wǎng)上的所有數(shù)據(jù)包，對其進(jìn)行解包分析，從而竊取關(guān)鍵信息 ； 而木網(wǎng)絡(luò)中的黑客則有可能非常方便的截取任何數(shù)據(jù)包，從而造成信息的失竊。 辦公自動化網(wǎng)絡(luò)常見的安全問題 (1)網(wǎng)絡(luò)病毒的傳播與感染 隨著計算機(jī)和網(wǎng)絡(luò)的進(jìn)步和普及，計算機(jī)病毒也不斷出現(xiàn)，總數(shù)已難以計 數(shù)，并以（論文） 6 極快的速度增加，其破環(huán)性也不斷增加，而網(wǎng)絡(luò)病毒破壞性就更強 。木文總結(jié)了辦公自動化網(wǎng)絡(luò)常見的安全問題及其后果， 分析 探討了解決這些安全問題的方法，提供了基于網(wǎng)絡(luò)內(nèi)部的安全策略。因此，加強網(wǎng)絡(luò)安全，防止信息被泄露、修改和非法竊取成為當(dāng)前網(wǎng)絡(luò)辦公自動化普及與應(yīng)用迫切需要解決的問題。 本文通過對網(wǎng)絡(luò)安全的分析以及影響辦公網(wǎng)絡(luò)安全因素的研究，從網(wǎng)絡(luò)系統(tǒng)安全、應(yīng)用系統(tǒng)安全、物理安全、安全管理等方面設(shè)計可行的辦公網(wǎng)絡(luò)安全方案。 單位內(nèi)部辦公自動化網(wǎng)絡(luò)一般是基于 TCP、 IP 協(xié)議并采用了 Inter 的通信標(biāo)準(zhǔn)和Web 信息流通模式的 Inter， 已具有開放性，因而使用極其方便。 一旦文件服務(wù)器的硬盤被病毒感染，就可能造成系統(tǒng)損壞、數(shù)據(jù)丟失，使網(wǎng)絡(luò)服務(wù)器無法起動，應(yīng)用程序和數(shù)據(jù)無法正確使用，甚至導(dǎo)致整個網(wǎng)絡(luò)癱瘓，造成不可估 計 的損失。 (3)系統(tǒng)數(shù)據(jù)的破壞 在辦公自動化網(wǎng)絡(luò)系統(tǒng)中，有多 種因素可能導(dǎo)致數(shù)據(jù)的破壞口首先是黑客侵入，黑客基十各種原因侵入網(wǎng)絡(luò)，其中惡意侵入對網(wǎng)絡(luò)的危害可能是多方 面 的?！烟峁┢髽I(yè)安全風(fēng)險管理報告，報告集中十熏要的風(fēng)險管理范圍，如實時風(fēng)險、攻擊條件、女 全漏洞和攻擊分析 ； 提供詳細(xì)的入侵告警報告，顯示入侵告警信息硯如入侵 IP 地址及目的 IP 地址、目的端口、攻擊特征 )，并跟蹤分析入侵趨勢，以確定網(wǎng)絡(luò)的女全狀態(tài) ； 信息可以發(fā)往相關(guān)數(shù)據(jù)庫，作為有關(guān)網(wǎng)絡(luò)安全的決策依據(jù)。要防止病毒和災(zāi)難破壞數(shù)據(jù)，首先要在網(wǎng)絡(luò)核心設(shè)備上設(shè)置物理保護(hù)措施，包括設(shè)置電源兀余模塊和交換端口的兀余備份 ；其次是采 用磁盤鏡像或磁盤陣列存儲數(shù)據(jù)，避免由于磁盤物理故障造成數(shù)據(jù)丟失 ； 另外，（論文） 8 還要使用其他物理媒體對重要的數(shù)據(jù)進(jìn)行備份，包括實時數(shù)據(jù)備份和定期數(shù)據(jù)備份，以便數(shù)據(jù)丟失后及時有效地恢復(fù)。在網(wǎng)絡(luò)環(huán)境下，病毒傳播擴(kuò)散快，僅用單機(jī)防殺病毒產(chǎn)品已經(jīng)難以清除網(wǎng)絡(luò)病毒，必須有適用于局域網(wǎng)、廣域網(wǎng)的全方位防殺病毒產(chǎn)品。備份不僅在網(wǎng)絡(luò)系統(tǒng)硬件故障或人為失誤時起到保護(hù)作用，也在入侵者非授權(quán)訪問或?qū)W(wǎng)絡(luò)攻擊及破壞數(shù)據(jù)完整性時起到保護(hù)作用，同時亦是系統(tǒng)災(zāi)難 恢復(fù)的 前提之一。 可用性： 授權(quán)實體有權(quán)訪問數(shù)據(jù) 機(jī)密性： 信息不暴露給未授權(quán)實體或進(jìn)程 完整性： 保證數(shù)據(jù)不被未授權(quán)修改 可控性： 控制授權(quán)范圍內(nèi)的信息流向及操作方式 可審查性：對出現(xiàn)的安全問題提供依據(jù)與手段 （論文） 10 訪問控制：需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離， 對與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問控制。無論哪個層面上的安全措施不到位，都會存在很大的安全隱患，都有可能造成網(wǎng)絡(luò)的中斷。 (2) NAT 技術(shù)：隱藏內(nèi)部網(wǎng)絡(luò)信息。 (6) 多層次多級別的企業(yè)級的防病毒系統(tǒng)：采用多層次多級別的企業(yè)級的防病毒系統(tǒng)，對病毒實現(xiàn)全面的防護(hù)。這是政府、軍隊、金融機(jī)構(gòu)在興建信息中心時首要的設(shè)置的條件。防火墻可以是獨立地系統(tǒng)，也可以在一個進(jìn)行網(wǎng)絡(luò)互連地路由器上實現(xiàn)防火墻。防火墻通過讀取數(shù)據(jù)包中的地址信息來判斷這些 “ 包 ” 是否來自可信任的安全站點 ,一旦發(fā)現(xiàn)來自危險站點的數(shù)據(jù)包 ,防火墻便會將這些數(shù)據(jù)拒之門外。它還意味著用戶不許要為其網(wǎng)絡(luò)中每一臺機(jī)器取得注冊的 IP 地址。 三． 代理型 代理型防火墻也可以被稱為代理服務(wù)器 ,它的安全性要高于包過濾型產(chǎn)品 ,并已經(jīng)開始向應(yīng)用層發(fā)展。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進(jìn)行主動的、實時的監(jiān)測 ,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上 ,（論文） 15 監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。例如 ,它可以過濾掉 FTP 連接中的 PUT 命令 ,而且通過代理應(yīng)用 ,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。 （ 2）如果要進(jìn)行企業(yè)內(nèi)部 各分支機(jī)構(gòu)的互連，使用企業(yè)內(nèi)部虛擬網(wǎng) (Intra VPN)是很好的方式。 Extra VPN 通過一個使用專用連接的共享基礎(chǔ)設(shè)施，將客戶，供應(yīng)商、合作伙伴或興趣群體連接到企業(yè)內(nèi)部網(wǎng)。這樣即使服務(wù)器被攻破，內(nèi)部網(wǎng)絡(luò)仍然安全。 IPSec 提供的安全功能或服務(wù)主要包括： 1．訪問控制 2．無連接完整性 3．?dāng)?shù)據(jù)起源認(rèn)證 （論文） 19 4．抗重放攻擊 5．機(jī)密性 6．有限的數(shù)據(jù)流機(jī)密性 信息交換加密技術(shù)分為兩類：即對稱加密和非對稱加密。公開密鑰用于加密，私有密鑰用于解密，私有密鑰只能有生成密鑰的交換方掌握，公開密鑰可廣泛公布，但它只對應(yīng)于生成密鑰的交換方。 身份認(rèn)證 在一個更為開放的環(huán)境中，支持通過網(wǎng)絡(luò)與其他系統(tǒng)相連，就需要 “ 調(diào)用每項服務(wù)時需要用戶證明身份，也需要這些服務(wù)器向客戶證明他們自己的身份。 RA 不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記。證書撤消系統(tǒng)的實現(xiàn)是利用周期性的發(fā)布機(jī)制撤消 證書或采用在線查詢機(jī)制，隨時查詢被撤消的證書。 5．應(yīng)做到能夠?qū)φ麄€系統(tǒng)進(jìn)行集中的管理和監(jiān)控，并能集中生成日志報告與統(tǒng)計信息?，F(xiàn)代企業(yè)越來越多地利用 Inter 資源來進(jìn)行促銷、銷售、售后服務(wù)，乃至培訓(xùn)、合作等活動。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)幀或包。加解密技術(shù)是數(shù)據(jù)通信中一項較成熟的技術(shù)， VPN 可直接利用現(xiàn)有技術(shù)。用戶類型、傳輸方法，以及由 VPN 使用的服務(wù)的混合性，增加了 VPN設(shè)計的復(fù)雜性，同時也增加了網(wǎng)絡(luò)安全的復(fù)雜性。但在必要的時候也可以在通信過程中隨時進(jìn)行。數(shù)據(jù)保密既包括存儲中的數(shù)據(jù)，也包括傳輸中的數(shù)據(jù)。 簽字服務(wù)通過數(shù)字簽名機(jī)制及公證機(jī)制實現(xiàn)。因此網(wǎng)絡(luò)安全技術(shù)在 21 世紀(jì)將成為信息 網(wǎng)絡(luò)發(fā)展的關(guān)鍵技術(shù)， 21 世紀(jì)人類步入信息社會后，信息這一社會發(fā)展的重要戰(zhàn)略資源需要網(wǎng)絡(luò)安全技術(shù)的有力保障，才能形成社會發(fā)展的推動力。顯然，為保證信息網(wǎng)絡(luò)系統(tǒng)的物理安全，除在網(wǎng)絡(luò)規(guī)劃和場地、環(huán)境等要求之外，還要防止系統(tǒng)信息在空間的擴(kuò)散。 （ 3）應(yīng)用系統(tǒng)安全 在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒有經(jīng)常用的協(xié)議及協(xié)議端口號。通過虛擬子網(wǎng)的劃分，能夠?qū)嵼^粗略的訪問控制。通過兩端加密機(jī)的協(xié)商配合實現(xiàn)加密、解密過程。經(jīng)過對 VPN 的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過加密隧道，讓另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。但是，網(wǎng)絡(luò)安全不可能完全依靠防火墻單一產(chǎn)品來實現(xiàn)，網(wǎng)絡(luò)安全是個整體的，必須配相應(yīng)的安全產(chǎn)品，作為防火墻的必要補充。 系統(tǒng)掃描系統(tǒng)可以對網(wǎng)絡(luò)系統(tǒng)中的所有操作系統(tǒng)進(jìn)行安全性掃描，檢測操作系統(tǒng)存在的安全漏洞，并產(chǎn)生報表，以供分析 ； 還會針對具體安 全漏洞提出補救措施。反病毒技術(shù)的具體實現(xiàn)方法包括對網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進(jìn)行頻繁地掃描和監(jiān)測。網(wǎng)絡(luò)分段可分為物理分段和邏輯分段。 (4)多個安全單元的原則 ： 把整個網(wǎng)絡(luò)的安全性賦予多個安全單元，如路由器、屏蔽子網(wǎng)、網(wǎng)關(guān)，形成了多道安全防線。 b)檢測病毒技術(shù) 檢測病毒技術(shù)是通過對計算機(jī)病毒的特征來進(jìn)行判斷的技術(shù) (如自身校驗、關(guān)鍵字、文件長度的變化等 )，來確定病毒的類型。由于探測器采取的是 .監(jiān)聽不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應(yīng)用不會對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。鑒于評 VPN 設(shè)備的突出優(yōu)點，應(yīng)根據(jù)企業(yè)具體需求，在各個網(wǎng)絡(luò)結(jié)點與公共網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配 備 VPN 設(shè)備。而 VPN 設(shè)備正是一種符合