【文章內(nèi)容簡(jiǎn)介】 。信息的完整性可以依靠報(bào)文鑒別機(jī)制；信息機(jī)密性可以依靠加密機(jī)制以及密鑰分發(fā)來保障；信息不可否認(rèn)性可以依靠數(shù)字簽名等技術(shù)來保障。信息內(nèi)容安全：主要指通過網(wǎng)絡(luò)應(yīng)用服務(wù)所傳遞的信息內(nèi)容不涉及危害國家安全，泄露國家機(jī)密或商業(yè)秘密，侵犯國家利益、公共利益或公民合法權(quán)益，從事違法犯罪活動(dòng)。 客戶端安全規(guī)劃目前，Windows XP和Windows 7是首選客戶端操作系統(tǒng)，為了便于統(tǒng)一管理，應(yīng)將相對(duì)固定的客戶端計(jì)算機(jī)加入域，接受域控制器的統(tǒng)一管理。通常情況下，可以從如下5個(gè)方面做好客戶端計(jì)算機(jī)的安全防御工作。一、對(duì)于加入域的計(jì)算機(jī)可以通過組策略等工具統(tǒng)一部署安全策略，例如用戶賬戶策略、密碼策略、硬件設(shè)備安裝限制策略等，確保客戶端的安全。二、對(duì)于未加入域的計(jì)算機(jī)，應(yīng)提高用戶網(wǎng)絡(luò)安全的意識(shí)，通過設(shè)置登錄密碼、計(jì)算機(jī)鎖定、防火墻等方式，確保系統(tǒng)安全。三、在網(wǎng)絡(luò)中部署WSUS服務(wù)器，負(fù)責(zé)為所有客戶端計(jì)算機(jī)和服務(wù)器提供系統(tǒng)更新，避免系統(tǒng)漏洞的產(chǎn)生。四、在所有客戶端上部署Symantec網(wǎng)絡(luò)防病毒客戶端軟件，并接受服務(wù)器端的統(tǒng)一管理，開啟自動(dòng)更新病毒庫功能。五、靈活部署和運(yùn)用Windows防火墻、Windows Defender等系統(tǒng)集成安全防護(hù)程序。局域網(wǎng)中的網(wǎng)絡(luò)設(shè)備主要包括路由器、交換機(jī)和防火墻，分別用于提供不同的網(wǎng)絡(luò)功能和應(yīng)用。網(wǎng)絡(luò)設(shè)備的部署方式、工作環(huán)境、配置管理等，都可能影響其安全性。一、 網(wǎng)絡(luò)設(shè)備的脆弱性通常情況下，當(dāng)用戶按照組網(wǎng)規(guī)劃方案購入并部署好網(wǎng)絡(luò)設(shè)備之后，設(shè)備中的主要組成系統(tǒng)即可在一段時(shí)間內(nèi)保持相對(duì)穩(wěn)定地運(yùn)行。但是，網(wǎng)絡(luò)設(shè)備本身就有一定的脆弱性，這也往往會(huì)成為入侵者攻擊的目標(biāo)。網(wǎng)絡(luò)設(shè)備的安全脆弱性主要表現(xiàn)在如下5個(gè)方面。，提高了攻擊者的攻擊機(jī)會(huì)。，帶來不必要的安全隱患。，容易遭受臨近攻擊。針對(duì)這些與生俱來的安全弱點(diǎn)，用戶可以通過如下措施加固系統(tǒng)安全。（Information Protection Policy，信息保護(hù)策略）要求的物理保護(hù)環(huán)境。二、部署網(wǎng)絡(luò)安全設(shè)備局域網(wǎng)中常見的網(wǎng)絡(luò)安全設(shè)備包括網(wǎng)絡(luò)防火墻、入侵檢測(cè)設(shè)備、入侵防御設(shè)備等。網(wǎng)絡(luò)防火墻是必不可少的，用于攔截處理來自Internet的各種攻擊行為，并且可以隔離內(nèi)部網(wǎng)絡(luò)有效避免內(nèi)部攻擊。入侵檢測(cè)設(shè)備只能用于記錄入侵行為，局域網(wǎng)中已經(jīng)很少使用。通常情況下，可以再網(wǎng)絡(luò)中部署入侵防御系統(tǒng)，保護(hù)內(nèi)部服務(wù)器或局域網(wǎng)的安全。三、IOS安全I(xiàn)OS就是智能網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)操作系統(tǒng)，主要用于提供軟件管理平臺(tái)。IOS與計(jì)算機(jī)操作系統(tǒng)類似，難免存在系統(tǒng)漏洞，入侵者同樣可以通過這些漏洞進(jìn)入網(wǎng)絡(luò)設(shè)備的IOS，進(jìn)行各種破壞活動(dòng)，從而影響網(wǎng)絡(luò)的正常運(yùn)行。通常情況下，用戶可以從如下6個(gè)方面實(shí)現(xiàn)網(wǎng)絡(luò)設(shè)備的IOS安全。配置登錄密碼，主要包括Enable密碼和Telnet密碼，必要時(shí)可以以加密方式存儲(chǔ)密碼，以確保其安全性。配置用戶訪問安全級(jí)別，為不同的管理賬戶賦予不同的訪問和管理權(quán)限?？刂平K端訪問安全，嚴(yán)格控制允許終端連接的數(shù)量，以及終端會(huì)話超時(shí)限制。配置SNMP安全。SNMP字符串用于驗(yàn)證用戶與交換機(jī)的連接，確保其身份的有效性，類似于用戶賬戶和密碼。及時(shí)備份IOS映像，以便出現(xiàn)錯(cuò)誤操作或遭遇攻擊時(shí)可以迅速恢復(fù)。升級(jí)IOS版本。IOS的系統(tǒng)漏洞是不可避免的，用戶可以通過安裝補(bǔ)丁或升級(jí)IOS版本的方法避免由于系統(tǒng)漏洞導(dǎo)致的網(wǎng)絡(luò)攻擊。無線接入不僅是企業(yè)發(fā)展的需要，更是企業(yè)形象的代表。無線局域網(wǎng)是有線網(wǎng)絡(luò)的擴(kuò)展，主要用于移動(dòng)終端用戶提供網(wǎng)絡(luò)接入。該公司中的AP（Access Point,無線接入點(diǎn)）主要分布在產(chǎn)品展示區(qū)和會(huì)議室，方面移動(dòng)用戶隨時(shí)隨地訪問公司網(wǎng)絡(luò)。如今，許多筆記本電腦、掌上電腦、手機(jī)等提供無線接入功能，在無線網(wǎng)絡(luò)覆蓋范圍內(nèi)“噌網(wǎng)”已經(jīng)成為一種時(shí)尚，對(duì)于管理員而言，無線網(wǎng)絡(luò)安全自然也就成了管理重點(diǎn)。在無線局域網(wǎng)管理中，可以采用如下措施確保網(wǎng)絡(luò)安全。確保桌面計(jì)算機(jī)和服務(wù)器系統(tǒng)實(shí)現(xiàn)盡可能的安全。這種保護(hù)提高了攻擊的門檻，即使攻擊者進(jìn)入了WLAN，仍然很難滲透進(jìn)用戶的計(jì)算機(jī)。啟用無線AP和工作站所支持的最強(qiáng)WEP。同時(shí)，確保擁有一個(gè)強(qiáng)健的WEP密碼，這個(gè)密碼應(yīng)該符合有線網(wǎng)絡(luò)中所應(yīng)用的相同的密碼強(qiáng)度規(guī)則。確保無線網(wǎng)絡(luò)的網(wǎng)絡(luò)名稱（SSID）不是可以輕松識(shí)別的。不要使用公司名稱、自己的姓名或者地址作為SSID。如果無線AP支持SSID廣播，應(yīng)當(dāng)關(guān)閉。這個(gè)措施可以創(chuàng)建一個(gè)封閉網(wǎng)絡(luò)，這樣，新的客戶端必須在連接之前輸入正確的SSID。在網(wǎng)絡(luò)中部署無線網(wǎng)絡(luò)控制器，統(tǒng)一管理和部署網(wǎng)絡(luò)中的所有無線接入點(diǎn)，實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)攻擊情況。、IDS、IPS規(guī)劃在安全性需求較高的網(wǎng)絡(luò)中，網(wǎng)絡(luò)安全設(shè)備是必不可少的。該公司網(wǎng)絡(luò)中使用的安全設(shè)備包括網(wǎng)絡(luò)防火墻、IDS和IPS。一、網(wǎng)絡(luò)防火墻防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，如用戶和Internet之間、同一企業(yè)內(nèi)部同部門之間等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過設(shè)定一定的篩選機(jī)制來決定允許或拒絕數(shù)據(jù)包通過，實(shí)現(xiàn)對(duì)進(jìn)入網(wǎng)絡(luò)內(nèi)部的服務(wù)和訪問的審計(jì)與控制。防火墻是內(nèi)、外網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)谋亟?jīng)之路。二、IDSIDS是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護(hù)方法之后的新一代安全保障技術(shù)，入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全，而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù)。IDS通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。該網(wǎng)絡(luò)中的IDS部署在服務(wù)器區(qū)的接入交換機(jī)處。IDS能夠檢測(cè)到的攻擊類型通常包括：系統(tǒng)掃描（System Scanning）、拒絕服務(wù)（Deny of Service）和系統(tǒng)滲透（System Penetration）。IDS對(duì)攻擊的檢測(cè)方法主要包括：被動(dòng)、非在線地發(fā)現(xiàn)和實(shí)時(shí)、在線地發(fā)現(xiàn)計(jì)算機(jī)網(wǎng)絡(luò)中的攻擊者。IDS的主要優(yōu)勢(shì)是監(jiān)聽網(wǎng)絡(luò)流量，但又不會(huì)影響網(wǎng)絡(luò)的性能。作為對(duì)防火墻的有益補(bǔ)充，IDS能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)網(wǎng)絡(luò)攻擊的發(fā)生，可開展系統(tǒng)管理員的安全管理能力，包括安全審計(jì)、監(jiān)視、進(jìn)攻識(shí)別和響應(yīng)等，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性，被認(rèn)為是繼防火墻之后的第二道安全閘門。三、IPS網(wǎng)絡(luò)中的IPS主要用于攔截和處理傳統(tǒng)網(wǎng)絡(luò)防火墻無法解決的網(wǎng)絡(luò)攻擊，部署在網(wǎng)絡(luò)中的Internet接入?yún)^(qū)。傳統(tǒng)的防火墻旨在拒絕那些明顯可疑的網(wǎng)絡(luò)流量，但仍然允許某些流量通過，因此，防火墻對(duì)于很多入侵攻擊仍然無計(jì)可施，而絕大多數(shù)IDS系統(tǒng)都是被動(dòng)的，不是主動(dòng)的，即在攻擊實(shí)際發(fā)生前，往往無法預(yù)先發(fā)出警報(bào)。而入侵防御系統(tǒng)IPS則傾向于提供主動(dòng)防御，其設(shè)計(jì)宗旨是預(yù)先對(duì)入侵活動(dòng)和攻擊性網(wǎng)絡(luò)流量進(jìn)行攔截，避免其造成損失，而不是簡(jiǎn)單地在惡意流量傳送時(shí)或傳送后才發(fā)出報(bào)警。IPS是通過直接嵌入到網(wǎng)絡(luò)流量中實(shí)現(xiàn)這一功能的，即通過一個(gè)網(wǎng)絡(luò)端口接收來自外部系統(tǒng)的流量，經(jīng)過檢查確認(rèn)其中不包含異?；顒?dòng)或可疑內(nèi)容后，再通過另外一個(gè)端口將其傳送到內(nèi)部系統(tǒng)中。此時(shí)，有問題的數(shù)據(jù)包，以及所有來自同一數(shù)據(jù)流的后續(xù)數(shù)據(jù)包，都能在IPS中被清除掉。NAP技術(shù)NAP（Network Access Protection,網(wǎng)絡(luò)訪問保護(hù)）是Microsoft在Windows Vista和Windows Server 2008提供的全新系統(tǒng)組件，它可以再訪問私有網(wǎng)絡(luò)時(shí)提供系統(tǒng)平臺(tái)健康校驗(yàn)。NAP平臺(tái)提供了一套完整性校驗(yàn)的方法來判斷接入網(wǎng)絡(luò)的客戶端的健康狀態(tài)，對(duì)不符合健康策略需求的客戶端限制其網(wǎng)絡(luò)訪問權(quán)限。為了校驗(yàn)網(wǎng)絡(luò)訪問的主機(jī)的健康狀況，網(wǎng)絡(luò)架構(gòu)需要提供如下功能性領(lǐng)域。健康策略認(rèn)證：判斷計(jì)算機(jī)是否適應(yīng)健康策略的需求。網(wǎng)絡(luò)訪問限制：限制不適應(yīng)策略的計(jì)算機(jī)訪問。自動(dòng)補(bǔ)救：為不適應(yīng)策略的計(jì)算機(jī)提供必要的升級(jí)，使其適應(yīng)健康策略。動(dòng)態(tài)適應(yīng)：自動(dòng)升級(jí)適應(yīng)策略的計(jì)算機(jī)以使其可以跟上健康策略的計(jì)算機(jī)。 接入安全規(guī)劃企業(yè)局域網(wǎng)采用共享方式接入Internet，并將硬件防火墻Cisco 5540部署在局域網(wǎng)邊緣。為了便于管理客戶端Internet接入安全，在硬件防火墻的后面部署了Forefront TMG服務(wù)器，可以提供如下功能。一、網(wǎng)絡(luò)防火墻 TMG服務(wù)器提供了靈活的防火墻策略配置，允許管理員根據(jù)實(shí)際需要制定Internet訪問規(guī)則，例如限制特定的用戶訪問Internet、禁止瀏覽視頻網(wǎng)站等。二、Web訪問緩存。TMG服務(wù)器既是防火墻，又可以作為Web訪問代理服務(wù)器。管理員可以在TMG服務(wù)器上開辟專用于存儲(chǔ)客戶端請(qǐng)求的Internet數(shù)據(jù)空間，暫時(shí)緩存常用數(shù)據(jù)。當(dāng)客戶端需要再次訪問這些Internet數(shù)據(jù)時(shí)，在局域網(wǎng)中即可完成，提高了客戶端的訪問效率。三、安全VPN接入功能。通過TMG服務(wù)器創(chuàng)建VPN連接，能夠很輕松地建立起各種情況下的VPN連接。當(dāng)本地計(jì)算機(jī)要和遠(yuǎn)程計(jì)算機(jī)通過TMG服務(wù)器進(jìn)行通信時(shí)，數(shù)據(jù)封裝好后，將通過VPN進(jìn)行收發(fā)，充分確保通信過程的安全。目前，最常用的遠(yuǎn)程訪問方式是VPN，主流的安全技術(shù)包括SSL VPN和IPSec VPN。SSL VPN應(yīng)用比較簡(jiǎn)單，用戶無需進(jìn)行配置，基于Web頁面即可實(shí)現(xiàn)。IPSec VPN技術(shù)應(yīng)用比較廣泛，不再局限于Web方式，同時(shí)由于其安裝和配置過程比較復(fù)雜，應(yīng)用難度也比較大。IPSec VPN 遠(yuǎn)程安全接入IPSec VPN 提供了多種安全特性，如數(shù)據(jù)加密、設(shè)備驗(yàn)證、數(shù)據(jù)完整性、地址隱藏和安全機(jī)構(gòu)（SA）密鑰老化等功能。IPSec標(biāo)準(zhǔn)提供數(shù)據(jù)完整性或數(shù)據(jù)加密兩種功能。數(shù)據(jù)完整性分兩類：128位強(qiáng)度Message Digests(MD5)HMAC和160位強(qiáng)度安全散列算法（SHA）HMAC。由于SHA的強(qiáng)度更大。所以更加安全。SSL VPN 遠(yuǎn)程安全接入SSL VPN 是工作在應(yīng)用層和TCP層之間的遠(yuǎn)程接入技術(shù)。通常SSL VPN的實(shí)現(xiàn)方式是在企業(yè)的防火墻后面放置一個(gè)SSL代理服務(wù)器。如果用戶希望安全地連接到公司網(wǎng)絡(luò)上，那么當(dāng)用戶在瀏覽器上輸入一個(gè)URL后，連接將被SSL代理服務(wù)器取得，并驗(yàn)證該用戶的身份，然后SSL代理服務(wù)器將連接映射到不同的應(yīng)用服務(wù)器上。對(duì)于企業(yè)網(wǎng)絡(luò)而言，許多金融、貿(mào)易、電子商務(wù)等活動(dòng)都是通過網(wǎng)絡(luò)完成的，這就要求企業(yè)的網(wǎng)絡(luò)具備很高的可靠性。提高網(wǎng)絡(luò)可靠性的方法很多，最常見的是冗余和容錯(cuò)。在硬件設(shè)備方面，可以通過配置交換機(jī)生成樹、鏈路匯聚和鏈路冗余技術(shù)來提高局域網(wǎng)線路連接的可靠性。其中生成樹協(xié)議可以幫助管理員快速檢查網(wǎng)絡(luò)連接。當(dāng)住鏈路發(fā)生故障時(shí)，確保網(wǎng)絡(luò)正常工作。鏈路匯聚技術(shù)可以將多條鏈路聚合為一條干路，還可以提高網(wǎng)絡(luò)帶寬，更重要的是，鏈路匯聚可以實(shí)現(xiàn)負(fù)載均衡，從