【正文】 全防護體系的基礎?？梢员贿^濾的TCP/IP數據包元素包括：IP地址和TCP/UDP端口。 數據加密技術可分為兩大類，即對稱加密和不對稱加密。在使用這種方法時需要注意的一個問題是應用程序不應該以明文（即沒有加密）的形式把口令字發(fā)往用于驗證的服務器。 遠程訪問控制 當用戶需要通過一個中間系統遠程訪問企業(yè)內部網絡的資源時，遠程訪問技術必須采取一定的安防措施來對傳輸中的數據和傳輸端點上的數據進行保護。DDN本身的安全性較差，需要提供額外的安防措施來對傳輸中的數據和傳輸端點上的數據進行保護。b) 主機入侵監(jiān)測主機入侵監(jiān)測收集的是關于某個特定系統的活動情況的信息，包括操作系統的審計記錄、系統日志以及其它審計類和日志類信息。 主機和服務器安全防護 總的說來，主機安防涉及的對象主要是缺省操作系統的安裝情況和應用軟件的配置情況，低估其重要性的后果將是災難性的。常用的審計工具有：a) Windows環(huán)境下的DumpSec；b) Unix環(huán)境下的COPS； 數據備份 盡管管理措施、手段嚴密，仍有可能某個系統會因為出現了問題而需要重新進行配置，而在今天的信息社會里，某些關鍵性數據的丟失或不可恢復所造成的后果是災難性的，因此，數據備份與恢復的技術在安防體系中扮演著越來越重要的角色。升級補丁應該拷貝到網絡中的某個專用地點，而全體客戶都能夠從那里獲得這份補丁。 應用程序安全技術 安防漏洞有很多是在軟件的開發(fā)過程中產生的，這些漏洞會迅速成為攻擊者竊取敏感資料和盜用服務器的首選目標。兩大類之間的主要區(qū)別在于它們各自的控制和日志功能。 計算機病毒的防護 一個理想的防病毒解決方案應滿足下面的三要求：a) 只需一名系統管理員就能完成整個企業(yè)的病毒查殺工作。c) 主機駐留防火墻分布式的主機駐留防火墻系統（軟件）能夠對進出某個系統的通信控制，從而可以給內部網絡上的主機的安防帶來很大的好處。b) 統計分析法統計分析法以系統正常使用情況下觀察到的動作模式為基礎，它先根據被監(jiān)測系統的正常行為定義出的一個規(guī)律作為寫照，然后監(jiān)測有沒有出現明顯偏離這份寫照的行為。 入侵檢測的類別根據被監(jiān)測對象的不同，入侵監(jiān)測可分為以下幾類：a) 應用軟件入侵監(jiān)測應用軟件入侵監(jiān)測在應用軟件級收集信息，包括各種應用軟件的日志（如數據庫管理軟件日志、Web服務器日志和防火墻日志等）。DDN提供的是一種半永久性連接電路的數據傳輸網（所謂半永久性指的是DDN所提供的信道是非交換型的，用戶之間的通信通常是固定的）。e) Kerberos協議Kerberos是一種網絡身份驗證的協議，它使應用程序能夠通過一個無安防措施的網絡向服務器提供自己的身份，或者是服務器向應用程序提供身份?！吧矸荨钡淖饔檬亲屜到y知道確實存在這樣一個用戶（如用戶名）；“授權”的作用是讓系統判斷該用戶是否有權力訪問他申請訪問的資源或數據。 數據加密技術 數據加密技術用來保護網絡系統中包括用戶數據在內的所有數據流。防火墻可被用來：a) 把企業(yè)內部網絡和不可信任的Internet隔離開來并加以保護；b) 把企業(yè)網中比較敏感的網段（一個子網）與相對開放的網段（其它子網）隔離開來并加以保護。 安全防護的規(guī)章制度 安防制度是企業(yè)安全防護體系的基礎，如果沒有健全的規(guī)章制度，企業(yè)就很容易陷入信息泄密、利潤損失、惡劣的公眾形象、甚至是法律訴訟等被動的境地 安防制度的生命周期 企業(yè)在制訂、推行和監(jiān)督實施安防制度時必須遵行的過程是：a) 規(guī)章制度的制訂即規(guī)章制度的編制工作，其主要任務是制訂出消除、減輕和轉移風險所需要的安防控制措施；b) 規(guī)章制度的執(zhí)行即發(fā)布執(zhí)行規(guī)章制度的工作，企業(yè)必須保證所有違反規(guī)章制度的行為都要得到與之相匹配的懲罰；c) 規(guī)章制度的監(jiān)督實施規(guī)章制度必須長抓不懈，這項工作需要長期反復地進行，必須保證它們能夠跟上企業(yè)的發(fā)展和變化。b) 職工一般來說，人是任何安全防護體系里最薄弱的環(huán)節(jié)。利用OBDR，DR在每次備份時自動生成，在災難恢復時無需軟件/CD，而且只需要少量的時間、少量的技術知識，從單一介質上恢復。其中，磁帶機提供了經濟有效的備份，它能夠以10%～20%的投資，實現100%的可靠。實際上，備份等于拷貝加管理，備份能實現可計劃性以及自動化，以及歷史記錄的保存和日志記錄。當工作機出現異常，不能支持信息系統運營時，備份機主動接管（Take Over）工作機的工作，繼續(xù)支持信息的運營，從而保證信息系統能夠不間斷的運行（NonStop）。當一臺主機出現故障，該軟件可及時啟動另一臺主機接替原主機任務，保證了用戶數據的可靠性和系統的持續(xù)運行。實時監(jiān)控速度在同類軟件中極為突出中央系統中心結合移動控制臺實現全局方便管理管理員可以將任意一臺服務器或客戶端設置為移動控制臺，對局域網進行遠程集中式安全管理，并可通過帳號和口令設置控制移動控制臺的使用。保障客戶局域網系統的隱秘性與安全性統一而不矛盾瑞星殺毒軟件在保證系統管理員對局域網進行全面安全管理的同時更確保了局域網用戶的個人隱私不受侵犯。智能化功能能夠大大減少系統管理員的工作量，同時避免整個網絡出現防毒的薄弱環(huán)節(jié)。自動分發(fā)、升級本方案建議使用瑞星網絡殺毒軟件，瑞星殺毒軟件網絡版 2004 榮獲權威反病毒檢測機構公安部同類產品檢測第一名。安裝配置簡單，整個安裝配置非常簡單，無需調整現有網絡設備。 產品模塊介紹： 天行安全隔離網閘(TopwalkGAP)的一個基本模塊與其它應用模塊：基本模塊整個安全隔離網閘的核心部件，是其它應用模塊的安全平臺。對網絡間各種類型數據進行安全傳輸，防止并抵御各種網絡攻擊及病毒入侵。在本網絡系統中，與非公安信息系統數據交換考慮采用公安部認可的,可以在公安網使用的安全網關，這樣整體的網絡系統安全可以有更多的保障。 外網的安全防護 如前所述，單位的外網是與內網在物理上相互隔離的，這種方式為內網的安全提供了更多的保障。 網絡安全產品的銷售、服務和測試；252。 主機加固措施 操作系統的硬化對于所網中特殊功用的服務器來說是十分重要的，不合理的系統配置等于向非授權訪問敞開了大門。252。 其它方面的考慮 安全評估 隨著入侵手段的日益復雜和通用系統不時出現的安全缺陷，預先評估分析網絡系統中存在的安全問題，已經成為網絡管理員們的重要需求。攻擊者之所以會利用這些最簡單方便的脆弱點，是因為利用這些“著名”安防漏洞的工具在因特網上到處都有；而攻擊者之所以能夠得手卻完全是因為眾多的企業(yè)自身對這些“著名”的安防漏洞視而不見，給攻擊者以可乘之機。 加密文件傳遞后，可采用對等解密。由于病毒自身普遍具有較強的再生機制，并且網絡上各種信息的交換頻繁，從而大大增加了病毒接觸不同用戶的機會，病毒如果不被有效地控制，它對計算機的影響將是災難性的。 防堵因系統原因造成的網絡漏洞；252。 對信息內容的安全審計，屬高層審計。具體而言，網絡的審計系統應該由三個層次組成，分別是：252。 中心交換機可以隱蔽并保護信息中心服務器群，可以保護重點計算機,可以有效防止對不當資源的訪問，如TELNET、FTP等等。在主交換機上配置了VLAN之間的訪問控制，除提供信息服務的VLAN之外，禁止了其它VLAN之間的訪問。內部人員對自身網絡結構、應用比較熟悉，將可能成為導致系統受攻擊的安全威脅。這幾個方面，既是一種防護基礎，也是相互促進的，同時是一個循環(huán)遞進的工程，需要不斷的自我完善和增強，才能夠形成一套合理有效的整體安全防護系統。在交換機的端口限制MAC地址，可以有效地防止非法用戶的入侵。 訪問控制列表Cisco路由器上的訪問控制由Access list（訪問控制列表）功能實現。對于確定是否有網絡攻擊的情況，審計信息對于確定問題和攻擊源很重要。252。主要達到以下目的：252。 系統安全 系統審計措施 在部署好主機/服務器的安防措施之后，需要對它們的配置情況進行審計以保證主機/服務器系統得到了有效的保護。除了這兩點之外，還可以安裝符合個人特點的防火墻。另外，可以實施了異地備份策略，進一步保障了系統的數據安全。d) 定期復查系統配置為了確保系統不因非法的對系統配置進行修改而產生安全問題，應定期地復查關鍵系統的系統配置。 遠程安全評估系統是一套典型的模擬黑客攻擊，發(fā)現網絡潛在安全風險的系統。 針對大規(guī)模網絡系統的安全管理與檢測定制：要考慮到數千臺系統、多級管理員這樣的大規(guī)模網絡評估的需求，從而開發(fā)出具有強大而靈活的分級用戶管理和權限設置的評估系統。該措施需要與PKI/CA一并考慮實施。 網絡安全通告：全面及時的安全信息；252。 網絡安全解決方案 網絡層安全解決方案 從網絡層的安全解決方案來看，目前安全市場的主要產品包括，物理隔離網閘、抗攻擊網關、防火墻、防病毒網關、身份認證、加密、入侵檢測和集中網管等因此在進行網絡安全設計時,應根據不同的應用類型和網絡規(guī)模及對安全性的要求選擇相應的安全設備和體系。通過對病毒在網絡中存儲、傳播、感染的各種方式和途徑進行分析，結合本系統網絡的特點，在網絡安全的病毒防護方面建議采用“多級防范，集中管理，以防為主、防治結合”的動態(tài)防毒策略。該產品是中國特色的GAP技術的代表產品，它采用自主產權的專用隔離硬件和多個處理單元緊密集成的獨特設計，集成各種安全模塊為一體，布署于信任網絡與非信任網絡之間，能夠防止并抵御各種網絡攻擊及病毒入侵，用戶可以安全地瀏覽、收