【正文】 服務(wù)器進行嚴(yán)格的安全控制，否則將成為系統(tǒng)安全的缺口。 √ Firewall的設(shè)計應(yīng)該是可理解和管理的。 (4) 在防火墻、代理服務(wù)器及PC上安裝Java及ActiveX控制掃描軟件，禁止未經(jīng)許可的控件下載和安裝?！　　　　　　　? (5) 占用主機寶貴資源。 安全掃描工具源于Hacker在入侵網(wǎng)絡(luò)系統(tǒng)時采用的工具。 (6) 更新周期。 UserName/Password認(rèn)證 該種認(rèn)證方式是最常用的一種認(rèn)證方式，用于操作系統(tǒng)登錄、telnet、rlogin等，但由于此種認(rèn)證方式過程不加密，即password容易被監(jiān)聽和解密。數(shù)字簽名 數(shù)字簽名作為驗證發(fā)送者身份和消息完整性的根據(jù)。提供Ipsecgateway之間的通訊。 (2) 域名服務(wù)器及域名查找應(yīng)用安裝相應(yīng)的安全補丁。 加強電子郵件系統(tǒng)的安全性，通常有如下辦法： (1) 設(shè)置一臺位于停火區(qū)的電子郵件服務(wù)器作為內(nèi)外電子郵件通訊的中轉(zhuǎn)站(或利用防火墻的電子郵件中轉(zhuǎn)功能)。能干的人，不在情緒上計較，只在做事上認(rèn)真；無能的人！不在做事上認(rèn)真，只在情緒上計較。 (6) 。同時，新發(fā)現(xiàn)的針對BINDNDS實現(xiàn)的安全漏洞也開始發(fā)現(xiàn)，而絕大多數(shù)的域名系統(tǒng)均存在類似的問題。IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、管理及加密通訊協(xié)商(Security Association)。當(dāng)企業(yè)通過INTERNET進行通訊時，信息可能受到竊聽和非法修改。 數(shù)字簽名技術(shù)主要用于： (1) 基于PKI認(rèn)證體系的認(rèn)證過程。 (4) 是否支持可定制的攻擊方法。 (4) 精確度及完整度，防欺騙能力。 基于主機的安全監(jiān)控系統(tǒng)具備如下特點： (1) 精確，可以精確地判斷入侵事件。 (2) 檢查和清除病毒。 √ Firewall應(yīng)該支持對公共Information server的訪問，支持對公共Information server的保護，并且將Information server同內(nèi)部網(wǎng)隔離。 √ 對遠程用戶進行認(rèn)證方法培訓(xùn)。 應(yīng)用網(wǎng)關(guān)的缺點在于： √ 新的服務(wù)需要安裝新的代理服務(wù)器。但是，規(guī)則例外使包過濾規(guī)則過于復(fù)雜而難以管理。增強的保密性 使用Firewall可以阻止攻擊者獲取攻擊網(wǎng)絡(luò)系統(tǒng)的有用信息，如Finger和DNS。基于MAC的VLAN不能防止MAC欺騙攻擊。l 建立完善的系統(tǒng)管理制度。攻擊監(jiān)控：通過對特定網(wǎng)段、服務(wù)建立的攻擊監(jiān)控體系，可實時檢測出絕大多數(shù)攻擊，并采取相應(yīng)的行動（如斷開網(wǎng)絡(luò)連接、記錄攻擊過程、跟蹤攻擊源等）。 對網(wǎng)絡(luò)安全事件的審計；178。l 入侵檢測，對于試圖破壞業(yè)務(wù)系統(tǒng)的惡意行為能夠及時發(fā)現(xiàn)、記錄和跟蹤，提供非法攻擊的犯罪證據(jù)。所以，企業(yè)網(wǎng)絡(luò)可能存在的安全威脅來自以下方面： (1) 操作系統(tǒng)的安全性。（二）網(wǎng)絡(luò)安全的需求企業(yè)網(wǎng)絡(luò)的基本安全需求 滿足基本的安全要求，是該網(wǎng)絡(luò)成功運行的必要條件，在此基礎(chǔ)上提供強有力的安全保障，是建設(shè)企業(yè)網(wǎng)絡(luò)系統(tǒng)安全的重要原則。 必要的信息交互的可信任性；178。但是，企業(yè)接入國際互連網(wǎng)絡(luò)，提供網(wǎng)上商店和電子商務(wù)等服務(wù)，等于將一個內(nèi)部封閉的網(wǎng)絡(luò)建成了一個開放的網(wǎng)絡(luò)環(huán)境，各種安全包括系統(tǒng)級的安全問題也隨之產(chǎn)生。安全威脅主要利用以下途徑：l 系統(tǒng)實現(xiàn)存在的漏洞。交換技術(shù)將傳統(tǒng)的基于廣播的局域網(wǎng)技術(shù)發(fā)展為面向連接的技術(shù)。例如，F(xiàn)irewall可以禁止NIS、NFS服務(wù)通過，F(xiàn)irewall同時可以拒絕源路由和ICMP重定向封包。Firewall設(shè)計策略 Firewall設(shè)計策略基于特定的firewall，定義完成服務(wù)訪問策略的規(guī)則。應(yīng)用網(wǎng)關(guān)和包過濾器混合使用能提供比單獨使用應(yīng)用網(wǎng)關(guān)和包過濾器更高的安全性和更大的靈活性。 √ 提供以上服務(wù)和訪問的風(fēng)險。 √ Firewall必須是靈活的，以適應(yīng)新的服務(wù)和機構(gòu)智能改變帶來的安全策略的改變。 我們將病毒的途徑分為： (1 ) 通過FTP，電子郵件傳播。 入侵檢測系統(tǒng)是近年出現(xiàn)的新型網(wǎng)絡(luò)安全技術(shù)，目的是提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用于跟蹤和恢復(fù)、斷開網(wǎng)絡(luò)連接等。 (5) 防入侵欺騙的能力較差。 基于網(wǎng)絡(luò)的安全掃描主要掃描設(shè)定網(wǎng)絡(luò)內(nèi)的服務(wù)器、路由器、網(wǎng)橋、變換機、訪問服務(wù)器、防火墻等設(shè)備的安全漏洞，并可設(shè)定模擬攻擊，以測試系統(tǒng)的防御能力。 (2) 操作系統(tǒng)認(rèn)證。后面描述了基于PKI認(rèn)證的基本原理。 通訊雙方通過DiffieHellman密鑰系統(tǒng)安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。 在為遠程撥號服務(wù)的Client端，也能夠?qū)崿F(xiàn)Ipsec的客戶端，為撥號用戶提供加密網(wǎng)絡(luò)通訊。 但Web服務(wù)器越來越復(fù)雜，其被發(fā)現(xiàn)的安全漏洞越來越多。 操作系統(tǒng)安全 市場上幾乎所有的操作系統(tǒng)均已發(fā)現(xiàn)有安全漏洞，并且越流行的操作系統(tǒng)發(fā)現(xiàn)的問題越多。(2) 基于系統(tǒng)的安全監(jiān)控系統(tǒng)。 (2) 在Web服務(wù)器上安裝實時安全監(jiān)控軟件。八. 應(yīng)用系統(tǒng)的安全技術(shù) 由于應(yīng)用系統(tǒng)的復(fù)雜性，有關(guān)應(yīng)用平臺的安全問題是整個安全體系中最復(fù)雜的部分。 類 型技 術(shù)用 途基本會話密鑰DES加密通訊加密密鑰DeffHellman生成會話密鑰認(rèn)證密鑰RSA驗證加密密鑰表1 加密模式使用的密鑰技術(shù) 基于此種加密模式，需要管理的密鑰數(shù)目與通訊者的數(shù)量為線性關(guān)系。 該種認(rèn)證方法安全程度很高，但是涉及到比較繁重的證書管理任務(wù)。 (3) 網(wǎng)管系統(tǒng)對網(wǎng)管設(shè)備之間的認(rèn)證。網(wǎng)絡(luò)安全掃描的主要性能應(yīng)該考慮以下方面： (1) 速度。 基于主機及網(wǎng)絡(luò)的入侵監(jiān)控系統(tǒng)通常均可配置為分布式模式： (1) 在需要監(jiān)視的服務(wù)器上安裝監(jiān)視模塊(agent)，分別向管理服務(wù)器報告及上傳證據(jù)，提供跨平臺的入侵監(jiān)視解決方案。 入侵檢測系統(tǒng)可分為兩類：√ 基于主機 √ 基于網(wǎng)絡(luò) 基于主機的入侵檢測系統(tǒng)用于保護關(guān)鍵應(yīng)用的服務(wù)器，實時監(jiān)視可疑的連接、系統(tǒng)日志檢查，非法訪問的闖入等，并且提供對典型應(yīng)用的監(jiān)視如Web服務(wù)器應(yīng)用。 (3) 通過Web游覽傳播，主要是惡意的Java控件網(wǎng)站。 √ Firewall應(yīng)該使用過濾技術(shù)以允許或拒絕對特定主機的訪問。 策略的靈活性 Internet相關(guān)的網(wǎng)絡(luò)安全策略總的來說，應(yīng)該保持一定的靈活性，主要有以下原因： √ Internet自身發(fā)展非?？欤瑱C構(gòu)可能需要不斷使用Int