【文章內(nèi)容簡介】 網(wǎng)絡(luò)安全論述　 網(wǎng)絡(luò)安全的具體含義會(huì)隨著“角度”的變化而變化。比如：從用戶（個(gè)人、企業(yè)等）的角度來說，他們希望涉及個(gè)人隱私或商業(yè)利益的信息在網(wǎng)絡(luò)上傳輸時(shí)受到機(jī)密性、完整性和真實(shí)性的保護(hù)，避免其他人或?qū)κ掷酶`聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私?！　∥锢泶胧豪?，保護(hù)網(wǎng)絡(luò)關(guān)鍵設(shè)備(如交換機(jī)、大型計(jì)算機(jī)等)，制定嚴(yán)格的網(wǎng)絡(luò)安全規(guī)章制度，采取防輻射、防火以及安裝不間斷電源（UPS）等措施?！　≡L問控制：對用戶訪問網(wǎng)絡(luò)資源的權(quán)限進(jìn)行嚴(yán)格的認(rèn)證和控制。例如，進(jìn)行用戶身份認(rèn)證，對口令加密、更新和鑒別，設(shè)置用戶訪問目錄和文件的權(quán)限，控制網(wǎng)絡(luò)設(shè)備配置的權(quán)限，等等?！　?shù)據(jù)加密：加密是保護(hù)數(shù)據(jù)安全的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計(jì)算機(jī)網(wǎng)絡(luò)病毒，安裝網(wǎng)絡(luò)防病毒系統(tǒng)?！　【W(wǎng)絡(luò)隔離：網(wǎng)絡(luò)隔離有兩種方式，一種是采用隔離卡來實(shí)現(xiàn)的，一種是采用網(wǎng)絡(luò)安全隔離網(wǎng)閘實(shí)現(xiàn)的?！　「綦x卡主要用于對單臺(tái)機(jī)器的隔離，網(wǎng)閘主要用于對于整個(gè)網(wǎng)絡(luò)的隔離。其他措施：其他措施包括信息過濾、容錯(cuò)、數(shù)據(jù)鏡像、數(shù)據(jù)備份和審計(jì)等。近年來，圍繞網(wǎng)絡(luò)安全問題提出了許多解決辦法，例如數(shù)據(jù)加密技術(shù)和防火墻技術(shù)等。數(shù)據(jù)加密是對網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)進(jìn)行加密，到達(dá)目的地后再解密還原為原始數(shù)據(jù)，目的是防止非法用戶截獲后盜用信息。防火墻技術(shù)是通過對網(wǎng)絡(luò)的隔離和限制訪問等方法來控制網(wǎng)絡(luò)的訪問權(quán)限?！　∥C(jī)操作系統(tǒng)的安全控制。如用戶開機(jī)鍵入的口令（某些微機(jī)主板有“ 萬能口令” ），對文件的讀寫存取的控制（如Unix系統(tǒng)的文件屬性控制機(jī)制）。主要用于保護(hù)存貯在硬盤上的信息和數(shù)據(jù)。 　　網(wǎng)絡(luò)接口模塊的安全控制。在網(wǎng)絡(luò)環(huán)境下對來自其他機(jī)器的網(wǎng)絡(luò)通信進(jìn)程進(jìn)行安全控制。主要包括：身份認(rèn)證，客戶權(quán)限設(shè)置與判別，審計(jì)日志等。 　　網(wǎng)絡(luò)互聯(lián)設(shè)備的安全控制。對整個(gè)子網(wǎng)內(nèi)的所有主機(jī)的傳輸信息和運(yùn)行狀態(tài)進(jìn)行安全監(jiān)測和控制。主要通過網(wǎng)管軟件或路由器配置實(shí)現(xiàn)。 安全服務(wù)對等實(shí)體認(rèn)證服務(wù)、訪問控制服務(wù)、數(shù)據(jù)保密服務(wù)、數(shù)據(jù)完整性服務(wù)、數(shù)據(jù)源點(diǎn)認(rèn)證服務(wù)、禁止否認(rèn)服務(wù)。 安全機(jī)制 加密機(jī)制、數(shù)字簽名機(jī)制、訪問控制機(jī)制、數(shù)據(jù)完整性機(jī)制、認(rèn)證機(jī)制、信息流填充機(jī)制、路由控制機(jī)制、公證機(jī)制。 網(wǎng)絡(luò)安全方防范措施 計(jì)算機(jī)網(wǎng)絡(luò)安全的防范可以從技術(shù)和管理上兩個(gè)方面來考慮解決。從技術(shù)上解決信息網(wǎng)絡(luò)安全問題（1）數(shù)據(jù)備份所謂數(shù)據(jù)備份就是將硬盤上的有用的文件、數(shù)據(jù)都拷貝到另外的地方如移動(dòng)硬盤等，這樣即使連接在網(wǎng)絡(luò)上的計(jì)算機(jī)被攻擊破壞，因?yàn)橐呀?jīng)有備份，所以不用擔(dān)心，再將需要的文件和數(shù)據(jù)拷回去就可以了。做好數(shù)據(jù)的備份是解決數(shù)據(jù)安全問題的最直接與最有效措施之一。望通過它更好地采集和保護(hù)客戶數(shù)據(jù)。銷售人員離職時(shí)偶有發(fā)生的對客戶數(shù)據(jù)的破壞或者刪除，是很多中小企業(yè)老板相當(dāng)頭疼的問題。我們來看看這4種軟件是如何解決這個(gè)問題的。Salesforce回收站功能，可以通過權(quán)限設(shè)置賦予用戶查看他人刪除數(shù)據(jù)或者清除回收站權(quán)限。XToolsCRM回收站功能，老板用戶可以真正刪除數(shù)據(jù)或者清空回收站。數(shù)據(jù)日志功能，記錄數(shù)據(jù)的編輯和修改歷史，只有老板可以查看。C 3 C R M和S S C R M沒有發(fā)現(xiàn)類似功能。：不管是回收站還是數(shù)據(jù)日志，都是給企業(yè)老板的定心丸。充分考慮老板對數(shù)據(jù)安全的擔(dān)憂，是供應(yīng)商應(yīng)該重視的問題。價(jià)格對比Salesforce每用戶每月6 5美金（折合人民幣：520元），5用戶的團(tuán)隊(duì)版1年699美金（折合人民幣：5 6 0 0元）。XToolsCRM按照優(yōu)惠包銷售，4用戶1 9 8元每月，用戶多時(shí)，平均價(jià)格更低。C 3 C R M由于開源軟件規(guī)則的限制，不能直接收取租用費(fèi)，以虛擬主機(jī)的形式向客戶提供服務(wù)；如果需要C3CRM解決技術(shù)問題，每月1 0 0元服務(wù)費(fèi)。S S C R M目前還沒有公布租用價(jià)格，以免費(fèi)形式向客戶提供服務(wù)。：Salesforce的高昂價(jià)格讓國內(nèi)用戶望而卻步。不難理解，在人工費(fèi)用高昂的美國，該價(jià)格標(biāo)準(zhǔn)有其明顯的競爭特性；但是在國內(nèi)，對于中小企業(yè)特別是小企業(yè)而言，Salesforce的價(jià)格實(shí)在是高高在上，讓人難以企及。XToolsCRM的價(jià)格平均到每用戶每月3050元，在國內(nèi)大中城市客戶群中，與傳統(tǒng)項(xiàng)目型C R M動(dòng)輒上萬的價(jià)格相比，有一定的競爭力。C3CRM嚴(yán)格意義上沒有權(quán)力向用戶提供收費(fèi)軟件，而是提供空間和技術(shù)支持，價(jià)格低廉，但是這種低收益的方式是否可以持久，讓人信心不足。S S C R M在租用市場上，明顯的不夠成熟，價(jià)格無法落實(shí)畢竟不能讓用戶安心應(yīng)用。通過以上對國內(nèi)可以見到的4種租用型C R M的分析比較，用戶可以根據(jù)自己的企業(yè)特點(diǎn)和業(yè)務(wù)形式來選擇適合于自身發(fā)展的CRM產(chǎn)品。從04年國內(nèi)首次出現(xiàn)租用C R M至今1年有余，越來越多的廠商涉足租用市場，激烈的競爭必然導(dǎo)致優(yōu)勝劣汰，作為消費(fèi)者，這是最大的福音。我們希望國內(nèi)也能出現(xiàn)如美國Salesforce一樣的租用服務(wù)一流品牌，不僅做好中國市場，更能服務(wù)世界客戶！數(shù)據(jù)備份方法有全盤備份、增量備份、差分備份。（2）物理隔離網(wǎng)閘物理隔離網(wǎng)閘是使用帶有多種控制功能的固態(tài)開關(guān)讀寫介質(zhì)連接兩個(gè)獨(dú)立主機(jī)系統(tǒng)的信息安全設(shè)備。由于物理隔離網(wǎng)閘所連接的兩個(gè)獨(dú)立主機(jī)系統(tǒng)之間，不存在通信的物理連接、邏輯連接、信息傳輸命令、信息傳輸協(xié)議，不存在依據(jù)協(xié)議的信息包轉(zhuǎn)發(fā)，只有數(shù)據(jù)文件的無協(xié)議“擺渡”，且對固態(tài)存儲(chǔ)介質(zhì)只有“讀”和“寫”兩個(gè)命令。所以，物理隔離網(wǎng)閘從物理上隔離、阻斷了具有潛在攻擊可能的一切連接，使“黑客”無法入侵、無法攻擊、無法破壞，實(shí)現(xiàn)了真正的安全。（3）防火墻技術(shù)防火墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件。該計(jì)算機(jī)流入流出的所有網(wǎng)絡(luò)通信均要經(jīng)過此防火墻。防火墻對流經(jīng)它的網(wǎng)絡(luò)通信進(jìn)行掃描,這樣能夠過濾掉一些攻擊,以免其在目標(biāo)計(jì)算機(jī)上被執(zhí)行。防火墻還可以關(guān)閉不使用的端口,而且它還能禁止特定端口的流出通信,封鎖特洛伊木馬。最后,它可以禁止來自特殊站點(diǎn)的訪問,從而防止來自不明入侵者的所有通信，在很大程度上保護(hù)了網(wǎng)絡(luò)的安全性。（4）加密技術(shù)網(wǎng)絡(luò)安全中,加密作為一把系統(tǒng)安全的鑰匙,是實(shí)現(xiàn)網(wǎng)絡(luò)安全的重要手段之一,正確的使用加密技術(shù)可以確保信息的安全。數(shù)據(jù)加密的基本過程就是對原來為明文的文件或數(shù)據(jù)按某種算法進(jìn)行處理,使其成為不可讀的一段代碼,通常稱為“密文”,使其只能在輸入相應(yīng)的密鑰之后才能顯示出本來內(nèi)容,通過這樣的途徑來達(dá)到保護(hù)數(shù)據(jù)不被非法人竊取、閱讀的目的。該過程的逆過程為解密,即將該編碼信息轉(zhuǎn)化為其原來數(shù)據(jù)的過程。與數(shù)據(jù)加密技術(shù)緊密相關(guān)的另一項(xiàng)技術(shù)是智能卡技術(shù)。所謂智能卡就是密鑰的一種媒體，一般就像信用卡一樣，由授權(quán)用戶所持有并由該用戶賦予它一個(gè)口令或密碼字，該密碼與網(wǎng)絡(luò)服務(wù)器上注冊密碼一致，當(dāng)口令與身份特征共同使用時(shí)，智能卡的保密性是相當(dāng)有效的。從管理上解決信息網(wǎng)絡(luò)安全問題在強(qiáng)調(diào)技術(shù)解決信息網(wǎng)絡(luò)安全的同時(shí),還必須花大力氣加強(qiáng)對使用網(wǎng)絡(luò)的人員的管理,注意管理方式和實(shí)現(xiàn)方法,因?yàn)橹T多的不安全因素恰恰反映在組織管理或人員工作時(shí)錄入、使用等方面,而這又是計(jì)算機(jī)網(wǎng)絡(luò)安全所必須考慮的基本問題。所以,要采取切實(shí)可行的方法,加強(qiáng)管理,立章建制,增強(qiáng)內(nèi)部人員的安全防范意識(shí)。四 系統(tǒng)安全 混合性威脅 通過在內(nèi)部網(wǎng)絡(luò)中的每臺(tái)工作站上部署防病毒，防火墻，入侵檢測，補(bǔ)丁管理與系統(tǒng)監(jiān)控，我們可以集中收集內(nèi)部網(wǎng)絡(luò)中的威脅，分析面對的風(fēng)險(xiǎn)，靈活適當(dāng)?shù)恼{(diào)整安全管理策略。但這僅僅是不夠的，還有另外一個(gè)重要的部分，就是從網(wǎng)絡(luò)結(jié)構(gòu)上的接入層，匯聚層和核心交換層設(shè)備上做好訪問控制與流量管理。 其次是網(wǎng)絡(luò)結(jié)構(gòu)的安全性，管理人員都知道，通過部署多層交換機(jī)，實(shí)現(xiàn)多個(gè)VLAN和快速收斂的路由，是保證網(wǎng)絡(luò)結(jié)構(gòu)的可靠性與強(qiáng)壯性的最佳方法。在劃分了多個(gè)邏輯網(wǎng)絡(luò)和建立符合應(yīng)用的ACL的同時(shí)，我們更希望能收集和歸納出整個(gè)網(wǎng)絡(luò)的更多安全信息，包括流量的管理，QoS，入侵行為和用戶訪問信息。僅通過網(wǎng)絡(luò)設(shè)備提供的日志，SNMP管理是遠(yuǎn)遠(yuǎn)不夠的，現(xiàn)今的方法是通過部署IDS/IPS來實(shí)現(xiàn)。在核心的節(jié)點(diǎn)部署IDS/IPS探點(diǎn)，采集和匯總數(shù)據(jù)包的完整信息，提供給管理人員分析是正確的方法。當(dāng)然了，這也要求管理人員的技術(shù)水平達(dá)到一定的高度，并且會(huì)耗費(fèi)一部分時(shí)間用于分析日志。入侵檢測系統(tǒng)能與其他的網(wǎng)絡(luò)設(shè)備聯(lián)動(dòng)，減少誤報(bào)，共同響應(yīng)與阻斷威脅，將是未來的趨勢和重點(diǎn)。 網(wǎng)絡(luò)的核心區(qū)域包括核心交換機(jī)，核心路由器等重要設(shè)備，它們負(fù)擔(dān)整個(gè)網(wǎng)絡(luò)的核心數(shù)據(jù)的轉(zhuǎn)發(fā)，并且連接著DMZ區(qū)的各個(gè)關(guān)鍵應(yīng)用，如OA系統(tǒng)，ERP系統(tǒng)，CRM系統(tǒng)，對內(nèi)或?qū)ν獾腤eb服務(wù)器，數(shù)據(jù)庫服務(wù)器等。從安全的角度來說，這個(gè)區(qū)域是最關(guān)鍵的，也是風(fēng)險(xiǎn)最集中的區(qū)域。我們遇到的矛盾是，既要不影響DMZ區(qū)應(yīng)用的可用性和友好性，又要保證其訪問的安全性與審核。很多情況下我們不但要在網(wǎng)絡(luò)的邊界部署防火墻，也要在這個(gè)區(qū)域部署為保護(hù)DMZ等類似的關(guān)鍵區(qū)域的防火墻。 存在的矛盾 如果部署安全策略，在提高安全性的同時(shí)，勢必會(huì)影響其可用性。這個(gè)矛盾是不可調(diào)和的。 與邊界防火墻不同的是，關(guān)鍵區(qū)域的防火墻主要是面對內(nèi)部用戶，保護(hù)重要服務(wù)和資源的訪問控制與完善安全日志的收集。邊界防火墻不