【正文】 全防護體系的基礎(chǔ)?？梢员贿^濾的TCP/IP數(shù)據(jù)包元素包括：IP地址和TCP/UDP端口。 數(shù)據(jù)加密技術(shù)可分為兩大類，即對稱加密和不對稱加密。在使用這種方法時需要注意的一個問題是應(yīng)用程序不應(yīng)該以明文（即沒有加密）的形式把口令字發(fā)往用于驗證的服務(wù)器。 遠程訪問控制 當用戶需要通過一個中間系統(tǒng)遠程訪問企業(yè)內(nèi)部網(wǎng)絡(luò)的資源時，遠程訪問技術(shù)必須采取一定的安防措施來對傳輸中的數(shù)據(jù)和傳輸端點上的數(shù)據(jù)進行保護。DDN本身的安全性較差，需要提供額外的安防措施來對傳輸中的數(shù)據(jù)和傳輸端點上的數(shù)據(jù)進行保護。b) 主機入侵監(jiān)測主機入侵監(jiān)測收集的是關(guān)于某個特定系統(tǒng)的活動情況的信息，包括操作系統(tǒng)的審計記錄、系統(tǒng)日志以及其它審計類和日志類信息。 主機和服務(wù)器安全防護 總的說來，主機安防涉及的對象主要是缺省操作系統(tǒng)的安裝情況和應(yīng)用軟件的配置情況，低估其重要性的后果將是災(zāi)難性的。常用的審計工具有：a) Windows環(huán)境下的DumpSec；b) Unix環(huán)境下的COPS； 數(shù)據(jù)備份 盡管管理措施、手段嚴密，仍有可能某個系統(tǒng)會因為出現(xiàn)了問題而需要重新進行配置，而在今天的信息社會里，某些關(guān)鍵性數(shù)據(jù)的丟失或不可恢復(fù)所造成的后果是災(zāi)難性的，因此，數(shù)據(jù)備份與恢復(fù)的技術(shù)在安防體系中扮演著越來越重要的角色。升級補丁應(yīng)該拷貝到網(wǎng)絡(luò)中的某個專用地點，而全體客戶都能夠從那里獲得這份補丁。 應(yīng)用程序安全技術(shù) 安防漏洞有很多是在軟件的開發(fā)過程中產(chǎn)生的，這些漏洞會迅速成為攻擊者竊取敏感資料和盜用服務(wù)器的首選目標。兩大類之間的主要區(qū)別在于它們各自的控制和日志功能。 計算機病毒的防護 一個理想的防病毒解決方案應(yīng)滿足下面的三要求：a) 只需一名系統(tǒng)管理員就能完成整個企業(yè)的病毒查殺工作。c) 主機駐留防火墻分布式的主機駐留防火墻系統(tǒng)（軟件）能夠?qū)M出某個系統(tǒng)的通信控制，從而可以給內(nèi)部網(wǎng)絡(luò)上的主機的安防帶來很大的好處。b) 統(tǒng)計分析法統(tǒng)計分析法以系統(tǒng)正常使用情況下觀察到的動作模式為基礎(chǔ)，它先根據(jù)被監(jiān)測系統(tǒng)的正常行為定義出的一個規(guī)律作為寫照，然后監(jiān)測有沒有出現(xiàn)明顯偏離這份寫照的行為。 入侵檢測的類別根據(jù)被監(jiān)測對象的不同，入侵監(jiān)測可分為以下幾類：a) 應(yīng)用軟件入侵監(jiān)測應(yīng)用軟件入侵監(jiān)測在應(yīng)用軟件級收集信息，包括各種應(yīng)用軟件的日志（如數(shù)據(jù)庫管理軟件日志、Web服務(wù)器日志和防火墻日志等）。DDN提供的是一種半永久性連接電路的數(shù)據(jù)傳輸網(wǎng)（所謂半永久性指的是DDN所提供的信道是非交換型的，用戶之間的通信通常是固定的）。e) Kerberos協(xié)議Kerberos是一種網(wǎng)絡(luò)身份驗證的協(xié)議，它使應(yīng)用程序能夠通過一個無安防措施的網(wǎng)絡(luò)向服務(wù)器提供自己的身份，或者是服務(wù)器向應(yīng)用程序提供身份?！吧矸荨钡淖饔檬亲屜到y(tǒng)知道確實存在這樣一個用戶（如用戶名）；“授權(quán)”的作用是讓系統(tǒng)判斷該用戶是否有權(quán)力訪問他申請訪問的資源或數(shù)據(jù)。 數(shù)據(jù)加密技術(shù) 數(shù)據(jù)加密技術(shù)用來保護網(wǎng)絡(luò)系統(tǒng)中包括用戶數(shù)據(jù)在內(nèi)的所有數(shù)據(jù)流。防火墻可被用來：a) 把企業(yè)內(nèi)部網(wǎng)絡(luò)和不可信任的Internet隔離開來并加以保護；b) 把企業(yè)網(wǎng)中比較敏感的網(wǎng)段（一個子網(wǎng)）與相對開放的網(wǎng)段（其它子網(wǎng)）隔離開來并加以保護。 安全防護的規(guī)章制度 安防制度是企業(yè)安全防護體系的基礎(chǔ)，如果沒有健全的規(guī)章制度，企業(yè)就很容易陷入信息泄密、利潤損失、惡劣的公眾形象、甚至是法律訴訟等被動的境地 安防制度的生命周期 企業(yè)在制訂、推行和監(jiān)督實施安防制度時必須遵行的過程是：a) 規(guī)章制度的制訂即規(guī)章制度的編制工作，其主要任務(wù)是制訂出消除、減輕和轉(zhuǎn)移風(fēng)險所需要的安防控制措施；b) 規(guī)章制度的執(zhí)行即發(fā)布執(zhí)行規(guī)章制度的工作，企業(yè)必須保證所有違反規(guī)章制度的行為都要得到與之相匹配的懲罰；c) 規(guī)章制度的監(jiān)督實施規(guī)章制度必須長抓不懈，這項工作需要長期反復(fù)地進行，必須保證它們能夠跟上企業(yè)的發(fā)展和變化。b) 職工一般來說，人是任何安全防護體系里最薄弱的環(huán)節(jié)。利用OBDR，DR在每次備份時自動生成，在災(zāi)難恢復(fù)時無需軟件/CD，而且只需要少量的時間、少量的技術(shù)知識，從單一介質(zhì)上恢復(fù)。其中，磁帶機提供了經(jīng)濟有效的備份，它能夠以10%～20%的投資，實現(xiàn)100%的可靠。實際上，備份等于拷貝加管理，備份能實現(xiàn)可計劃性以及自動化，以及歷史記錄的保存和日志記錄。當工作機出現(xiàn)異常，不能支持信息系統(tǒng)運營時，備份機主動接管（Take Over）工作機的工作，繼續(xù)支持信息的運營，從而保證信息系統(tǒng)能夠不間斷的運行（NonStop）。當一臺主機出現(xiàn)故障，該軟件可及時啟動另一臺主機接替原主機任務(wù)，保證了用戶數(shù)據(jù)的可靠性和系統(tǒng)的持續(xù)運行。實時監(jiān)控速度在同類軟件中極為突出中央系統(tǒng)中心結(jié)合移動控制臺實現(xiàn)全局方便管理管理員可以將任意一臺服務(wù)器或客戶端設(shè)置為移動控制臺，對局域網(wǎng)進行遠程集中式安全管理，并可通過帳號和口令設(shè)置控制移動控制臺的使用。保障客戶局域網(wǎng)系統(tǒng)的隱秘性與安全性統(tǒng)一而不矛盾瑞星殺毒軟件在保證系統(tǒng)管理員對局域網(wǎng)進行全面安全管理的同時更確保了局域網(wǎng)用戶的個人隱私不受侵犯。智能化功能能夠大大減少系統(tǒng)管理員的工作量，同時避免整個網(wǎng)絡(luò)出現(xiàn)防毒的薄弱環(huán)節(jié)。自動分發(fā)、升級本方案建議使用瑞星網(wǎng)絡(luò)殺毒軟件，瑞星殺毒軟件網(wǎng)絡(luò)版 2004 榮獲權(quán)威反病毒檢測機構(gòu)公安部同類產(chǎn)品檢測第一名。安裝配置簡單，整個安裝配置非常簡單，無需調(diào)整現(xiàn)有網(wǎng)絡(luò)設(shè)備。 產(chǎn)品模塊介紹： 天行安全隔離網(wǎng)閘(TopwalkGAP)的一個基本模塊與其它應(yīng)用模塊：基本模塊整個安全隔離網(wǎng)閘的核心部件，是其它應(yīng)用模塊的安全平臺。對網(wǎng)絡(luò)間各種類型數(shù)據(jù)進行安全傳輸，防止并抵御各種網(wǎng)絡(luò)攻擊及病毒入侵。在本網(wǎng)絡(luò)系統(tǒng)中，與非公安信息系統(tǒng)數(shù)據(jù)交換考慮采用公安部認可的,可以在公安網(wǎng)使用的安全網(wǎng)關(guān)，這樣整體的網(wǎng)絡(luò)系統(tǒng)安全可以有更多的保障。 外網(wǎng)的安全防護 如前所述，單位的外網(wǎng)是與內(nèi)網(wǎng)在物理上相互隔離的，這種方式為內(nèi)網(wǎng)的安全提供了更多的保障。 網(wǎng)絡(luò)安全產(chǎn)品的銷售、服務(wù)和測試；252。 主機加固措施 操作系統(tǒng)的硬化對于所網(wǎng)中特殊功用的服務(wù)器來說是十分重要的，不合理的系統(tǒng)配置等于向非授權(quán)訪問敞開了大門。252。 其它方面的考慮 安全評估 隨著入侵手段的日益復(fù)雜和通用系統(tǒng)不時出現(xiàn)的安全缺陷，預(yù)先評估分析網(wǎng)絡(luò)系統(tǒng)中存在的安全問題，已經(jīng)成為網(wǎng)絡(luò)管理員們的重要需求。攻擊者之所以會利用這些最簡單方便的脆弱點，是因為利用這些“著名”安防漏洞的工具在因特網(wǎng)上到處都有；而攻擊者之所以能夠得手卻完全是因為眾多的企業(yè)自身對這些“著名”的安防漏洞視而不見，給攻擊者以可乘之機。 加密文件傳遞后，可采用對等解密。由于病毒自身普遍具有較強的再生機制，并且網(wǎng)絡(luò)上各種信息的交換頻繁，從而大大增加了病毒接觸不同用戶的機會，病毒如果不被有效地控制，它對計算機的影響將是災(zāi)難性的。 防堵因系統(tǒng)原因造成的網(wǎng)絡(luò)漏洞；252。 對信息內(nèi)容的安全審計，屬高層審計。具體而言，網(wǎng)絡(luò)的審計系統(tǒng)應(yīng)該由三個層次組成，分別是：252。 中心交換機可以隱蔽并保護信息中心服務(wù)器群，可以保護重點計算機,可以有效防止對不當資源的訪問，如TELNET、FTP等等。在主交換機上配置了VLAN之間的訪問控制，除提供信息服務(wù)的VLAN之外，禁止了其它VLAN之間的訪問。內(nèi)部人員對自身網(wǎng)絡(luò)結(jié)構(gòu)、應(yīng)用比較熟悉，將可能成為導(dǎo)致系統(tǒng)受攻擊的安全威脅。這幾個方面，既是一種防護基礎(chǔ)，也是相互促進的，同時是一個循環(huán)遞進的工程，需要不斷的自我完善和增強，才能夠形成一套合理有效的整體安全防護系統(tǒng)。在交換機的端口限制MAC地址，可以有效地防止非法用戶的入侵。 訪問控制列表Cisco路由器上的訪問控制由Access list（訪問控制列表）功能實現(xiàn)。對于確定是否有網(wǎng)絡(luò)攻擊的情況，審計信息對于確定問題和攻擊源很重要。252。主要達到以下目的：252。 系統(tǒng)安全 系統(tǒng)審計措施 在部署好主機/服務(wù)器的安防措施之后，需要對它們的配置情況進行審計以保證主機/服務(wù)器系統(tǒng)得到了有效的保護。除了這兩點之外，還可以安裝符合個人特點的防火墻。另外，可以實施了異地備份策略，進一步保障了系統(tǒng)的數(shù)據(jù)安全。d) 定期復(fù)查系統(tǒng)配置為了確保系統(tǒng)不因非法的對系統(tǒng)配置進行修改而產(chǎn)生安全問題，應(yīng)定期地復(fù)查關(guān)鍵系統(tǒng)的系統(tǒng)配置。 遠程安全評估系統(tǒng)是一套典型的模擬黑客攻擊，發(fā)現(xiàn)網(wǎng)絡(luò)潛在安全風(fēng)險的系統(tǒng)。 針對大規(guī)模網(wǎng)絡(luò)系統(tǒng)的安全管理與檢測定制：要考慮到數(shù)千臺系統(tǒng)、多級管理員這樣的大規(guī)模網(wǎng)絡(luò)評估的需求，從而開發(fā)出具有強大而靈活的分級用戶管理和權(quán)限設(shè)置的評估系統(tǒng)。該措施需要與PKI/CA一并考慮實施。 網(wǎng)絡(luò)安全通告：全面及時的安全信息；252。 網(wǎng)絡(luò)安全解決方案 網(wǎng)絡(luò)層安全解決方案 從網(wǎng)絡(luò)層的安全解決方案來看，目前安全市場的主要產(chǎn)品包括，物理隔離網(wǎng)閘、抗攻擊網(wǎng)關(guān)、防火墻、防病毒網(wǎng)關(guān)、身份認證、加密、入侵檢測和集中網(wǎng)管等因此在進行網(wǎng)絡(luò)安全設(shè)計時,應(yīng)根據(jù)不同的應(yīng)用類型和網(wǎng)絡(luò)規(guī)模及對安全性的要求選擇相應(yīng)的安全設(shè)備和體系。通過對病毒在網(wǎng)絡(luò)中存儲、傳播、感染的各種方式和途徑進行分析，結(jié)合本系統(tǒng)網(wǎng)絡(luò)的特點，在網(wǎng)絡(luò)安全的病毒防護方面建議采用“多級防范，集中管理，以防為主、防治結(jié)合”的動態(tài)防毒策略。該產(chǎn)品是中國特色的GAP技術(shù)的代表產(chǎn)品，它采用自主產(chǎn)權(quán)的專用隔離硬件和多個處理單元緊密集成的獨特設(shè)計，集成各種安全模塊為一體，布署于信任網(wǎng)絡(luò)與非信任網(wǎng)絡(luò)之間，能夠防止并抵御各種網(wǎng)絡(luò)攻擊及病毒入侵，用戶可以安全地瀏覽、收