【文章內容簡介】 劃分方法[5]：（1）基于端口的VLAN劃分：這種劃分是把一個或多個交換機上的幾個端口劃分一個邏輯組，這是最簡單、最有效的劃分方法。該方法只需網絡管理員對網絡設備的交換端口進行重新分配即可，不用考慮該端口所連接的設備。（2）基于MAC地址的VLAN劃分：MAC地址其實就是指網卡的標識符，每一塊網卡的MAC地址都是惟一且固化在網卡上的。網絡管理員可按MAC地址把一些站點劃分為一個邏輯子網。（3）基于路由的VLAN劃分：路由協(xié)議工作在網絡層，相應的工作設備有路由器和路由交換機（即三層交換機）。該方式允許一個VLAN跨越多個交換機，或一個端口位于多個VLAN中。就目前來說，大多數企業(yè)采取上述第3種方式，第2種方式為輔助性的方案。 認證技術認證是防止主動攻擊的重要技術，它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用，認證的主要目的有兩個：①驗證信息的發(fā)送者是真正的：②驗證信息的完整性，保證信息在傳送過程中未被竄改、重放或延遲等。目前有關認證的主要技術有：消息認證，身份認證和數字簽名。而數字簽名是目前應用最廣泛的一種認證技術。數字簽名能夠防止他人冒名進行信息發(fā)送和接收，以及防止本人事后否認已進行過的發(fā)送和接收活動，數字簽名使用的是公鑰密碼技術RSA非對稱加密法，安全性很高。其具體認證過程如圖31所示[6]：圖31 數字簽名（1）發(fā)送方首先用公開的單向函數對報文進行一次變換，得到數字簽名（摘要），然后利用私有密鑰對數字簽名進行加密后附在報文之后一同發(fā)出。（2）接收方用發(fā)送方的公開密鑰對數字簽名進行解密變換，得到一個數字簽名的明文。發(fā)送方的公鑰是由一個可信賴的技術管理機構即驗證機構（CA: Certification Authority）發(fā)布的。（3）接收方將得到的明文通過單向函數進行計算，同樣得到一個數字簽名，再將兩個數字簽名進行對比，如果相同，則證明簽名有效，否則無效。這種方法使任何擁有發(fā)送方公開密鑰的人都可以驗證數字簽名的正確性。由于發(fā)送方私有密鑰的保密性，使得接收方既可以根據驗證結果來拒收該報文，也能使其無法偽造報文簽名及對報文進行修改，原因是數字簽名是對整個報文進行的，是一組代表報文特征的定長代碼，同一個人對不同的報文將產生不同的數字簽名。這就解決了銀行通過網絡傳送一張支票，而接收方可能對支票數額進行改動的問題，也避免了發(fā)送方逃避責任的可能性。 信息加密技術加密是實現(xiàn)信息存儲和傳輸保密性的一種重要手段。信息加密的方法有對稱密鑰加密和非對稱密鑰加密，兩種方法各有所長，可以結合使用，互補長短。對稱密鑰加密，加密解密速度快、算法易實現(xiàn)、安全性好，缺點是密鑰長度短、“窮舉”方式進攻的代價小。非對稱密鑰加密，容易實現(xiàn)密鑰管理，便于數字簽名，缺點是算法較復雜，加密解密花費時間長。加密技術中的另一重要的問題是密鑰管理，主要考慮密鑰設置協(xié)議、密鑰分配、密鑰保護、密鑰產生及進入等方面的問題。 黑客攻擊對策應對黑客的攻擊，采用的技術主要有防火墻技術和入侵檢測技術。 防火墻技術根據CNCERT/CC調查顯示，在各類網絡安全技術使用中，%，是防止黑客攻擊的橋頭堡[7]。防火墻是設置在被保護網絡和外部網絡之間的一道屏障，以防止發(fā)生不可預測的、潛在破壞性的侵入。它通過監(jiān)測、限制、更改跨越防火墻的數據流，盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況，以此來實現(xiàn)網絡的安全保護。常見的防火墻體系結構：雙重宿主主機體系結構、屏蔽主機體系結構、屏蔽子網體系結構[8]。（1）雙重宿主主機體系結構：又稱為雙宿／多宿網關防火墻，它是一種擁有兩個或多個連接到不同網絡上的網絡接口的防火墻，通常用一臺裝有兩塊或多塊網卡的堡壘主機做防火墻，兩塊或多塊網卡各自與受保護網和外部網相連，其體系結構如圖32：圖32 雙重宿主主機體系結構（2）屏蔽主機體系結構：屏蔽主機防火墻由包過濾路由器和堡壘主機組成，其配置如圖33所示。在這種方式的防火墻中，堡壘主機安裝在內部網絡上，通常在路由器上設立過濾規(guī)則，并使這個堡壘主機成為外部網絡惟一可直接到達的主機，這保證了內部網絡不被未經授權的外部用戶的攻擊圖33 屏蔽主機體系結構（3） 屏蔽子網體系結構：屏蔽子網防火墻的配置如圖34所示，采用了兩個包過濾路由器和一個堡壘主機，在內外網絡之間建立了一個被隔離的子網，定義為“非軍事區(qū)”網絡，有時也稱作周邊網。網絡管理員將堡壘主機、WEB服務器、Email服務器等公用服務器放在非軍事區(qū)網絡中。內部網絡和外部網絡均可訪問屏蔽子網，但禁止它們穿過屏蔽子網通信。圖34 屏蔽子網體系結構網絡防火墻技術的作為內部網絡與外部網絡之間的第一道安全屏障，是最先受到人們重視的網絡安全技術，那么我們究竟應該在哪些地方部署防火墻呢？首先，應該安裝防火墻的位置是公司內部網絡與外部Internet的接口處，以阻擋來自外部網絡的入侵；其次，如果公司內部網絡規(guī)模較大，并且設置有虛擬局域網(VLAN)，則應該在各個VLAN之間設置防火墻；第三，通過公網連接的總部與各分支機構之間也應該設置防火墻，如果有條件還應該同時將總部與各分支機構組成虛擬專用網(VPN)。安裝防火墻的基本原則是：只要有惡意侵入的可能，無論內部網絡還是與外部公網的連接處，都應該安裝防火墻。 入侵檢測技術防火墻只是一種被動防御性的網絡安全工具，僅僅使用防火墻是不夠的。首先，入侵者可以找到防火墻的漏洞，繞過防火墻進行攻擊。其次，防火墻對來自內部的攻擊無能為力。它所提供的服務方式是要么都拒絕，要么都通過，不能檢查出經過他的合法流量中是否包含著惡意的入侵代碼。對于以上提到的問題，一個更為有效的解決途徑就是入侵檢測技術。入侵檢測是通過從計算機網絡系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)違反安全策略的行為和遭到攻擊的跡象，并做出自動的響應。入侵檢測作為一種積極主動地安全防護技術，提供了對內部攻擊、外部攻擊和誤操作的實時保護，在網絡系統(tǒng)受到危害之前攔截和響應入侵。因此被認為是防火墻之后的第二道安全閘門，在不影響網絡性能的情況下能對網絡進行監(jiān)測。在入侵檢測系統(tǒng)中利用審計記錄，入侵檢測系統(tǒng)能夠識別出任何不希望有的活動，從而達到限制這些活動，以保護系統(tǒng)的安全。在企業(yè)網絡中采用入侵檢測技術，最好采用混合入侵檢測，即在網絡中同時采用基于網絡和基于主機的入侵檢測系統(tǒng)，則會構架成一套完整立體的主動防御體系。 網絡病毒對策 病毒防治體系特性根據現(xiàn)代企業(yè)的具體境況，我們建議企業(yè)應該建立起復雜的多層次病毒防治體系，以應對當前的網絡病毒。首先應該考慮在何處安裝病毒防治軟件。在企業(yè)中，重要的數據往往保存在位于整個網絡中央結點的文檔服務器上，這也是病毒攻擊的首要目標。為保護這些數據，網絡管理員必須在網絡的多個層次上配置全面保護措。其必須具備三個特性[9]：（1）集成性：任何的保護措施必須在邏輯上是統(tǒng)一的和相互配合的。（2）單點管理：作為一個集成的解決方案，最基本的一條是必須有一個安全管理的聚焦點。（3）自動化：系統(tǒng)需要有能自動更新病毒數據庫和其他相關信息的功能。 病毒防治軟件安裝（1）工作站：工作站是病毒進入網絡的主要途徑，所以應該在工作站上安裝防病毒軟件。雖然現(xiàn)在許多病毒是通過Internet文檔下載和電子郵件文檔附著傳播的，但最主要的傳播途徑還是由外界帶來的軟盤，因此在工作站上實施實時軟盤掃描是十分必要的。他能夠使病毒感染的機會降至最少。當然，在工作站上安裝的防病毒軟件應很好地融合于系統(tǒng)，便于統(tǒng)一更新和自動運行，以避免給用戶造成不便。（2）郵件服務器：郵件服務器是防病毒軟件的第二個著眼點。郵件是重要的病毒來源。郵件在發(fā)往其目的地前，首先進入郵件服務器并被存放在郵箱內，所以在這里安裝防病毒軟件是十分有效的。（3）備份服務器：備份服務器是用來保存重要數據的。備份服務器是保護數據的最后據點，是恢復其他服務器數據的基本依據。因此在備份服務器上裝殺毒軟件是非常必要的（4）Internet服務器和文檔服務器：網絡中任何存放文檔和數據庫的地方都可能出問題，因此需要保護好這些地方。文檔服務器中存放企業(yè)重要的數據。在Internet服務器上安裝防病毒軟件是頭等重要的，上載和下載的文檔不帶有病毒對您和您客戶的網絡都是很重要的。 病毒防護體系的自動控制一個企業(yè)范圍的防病毒系統(tǒng)必須統(tǒng)一管理整個域中成百上千個結點(服務器和工作站)才能真正發(fā)揮作用，這就需要在一臺或幾臺電腦上安裝的防病毒系統(tǒng)控制程序，能夠對整個網絡或其中任何一個節(jié)點的變化作出反應和控制，能夠獲取病毒信息，進行配置和操作。當某個節(jié)點的防范程序認為存在可能的病毒感染時，中央控制系統(tǒng)必須能夠切斷此節(jié)點和網絡的連接，以避免病毒向整個網絡的擴散。當任何受感染的電腦都被隔離后，防病毒管理系統(tǒng)通知系統(tǒng)管理員，以便采取緊急措施。防病毒系統(tǒng)的警報和通知方法是多樣的，比如能夠配置不同病毒活動的警報級別，根據問題的不同通知不同的管理人員，根據事件記錄產生不同級別的文字消息。 應用管理安全對策信息安全無外乎是技術和管理的結合體，在技術上做到了萬無一失，并不表示企業(yè)的信息就安全了，我們還要從管理上著手，打造安全管理體系。安全管理體系分為以下八個方面：人事管理、場地設施管理、設備管理、軟件管理、密鑰和口令管理、網絡管理、安全審計管理和應急管理。如圖35所示：安全管理體系人事管理場地設施管理設備管理網絡管理安全審計管理軟件管理口令管理應急管理圖35 安全管理體系 人事管理人事管理就是對安全