【文章內(nèi)容簡介】 務(wù)器。代理程序不會干擾正常操作。 其次，帳戶需要加以集中管理，以控制對網(wǎng)絡(luò)的訪問，并且確保用戶擁有合理訪問機構(gòu)資源的權(quán)限。策略、規(guī)則和決策應(yīng)在一個地方進行，而不是在每臺計算機上進行，然后為用戶系統(tǒng)配置合理的身份和許可權(quán)。身份生命周期管理程序可以自動管理這一過程，減少手工過程帶來的麻煩。 最后，操作系統(tǒng)應(yīng)該配置成能夠輕松、高效地監(jiān)控網(wǎng)絡(luò)活動，可以顯示誰在進行連接，誰斷開了連接，以及發(fā)現(xiàn)來自操作系統(tǒng)的潛在安全事件。 網(wǎng)絡(luò)安全策略 安全策略是針對網(wǎng)絡(luò)和系統(tǒng)的安全需要，做出允許什么、禁止什么的規(guī)定，通?？梢允褂脭?shù)學方式來表達策略，將其表示為允許（安全的）或不允許（不安全的）的狀態(tài)列表。為達到這個目的，可假設(shè)任何給定的策略能對安全狀態(tài)和非安全狀態(tài)做出公理化描述。實踐中，策略極少會如此精確，網(wǎng)絡(luò)使用文本語言描述什么是用戶或系統(tǒng)允許做的事情。這種描述的內(nèi)在歧義性導致某些狀態(tài)既不能歸于“允許”一類，也不能歸于“不允許”一類，因此制定安全策略時，需要注意此類問題。 因此安全策略是指在一個特定的環(huán)境里，為提供一定級別的安全保護所必須遵守的規(guī)則。 目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和通信鏈路免受自然災(zāi)害、認為破壞、搭線攻擊，驗證用戶的身份和使用權(quán)限，防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種盜竊、破壞活動的發(fā)生。抑止和防止電磁泄露，即 Tempest技術(shù)，是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是傳導發(fā)射的保護，主要采取對電源線和信息線加裝性能良好的濾波器，減少傳輸阻抗和導線間的交叉耦合；另一類是對輻射的防護。 訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問，它是維護網(wǎng)絡(luò)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，可以說訪問控制是保證網(wǎng)絡(luò)安全的核心策略之一。 （ 1）入網(wǎng)訪問控制。為網(wǎng)絡(luò)訪問提供了第一層訪問控制，它是用來控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源，控制準許用戶入網(wǎng)的時間和準許在哪個工作站入網(wǎng)。用戶的入網(wǎng)訪問控制可分為 3個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的默認限制檢查。只要 3道關(guān)卡中有任何一關(guān)未過，該用戶便不能進入該網(wǎng)絡(luò)。 （ 2）網(wǎng)絡(luò)權(quán)限控制。是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。用戶組可以訪問哪些目錄、子目錄、文件和其他資源，指定用戶對這些文件、目錄、設(shè)備執(zhí)行哪些操作。根據(jù)訪問可以將用戶分為特殊用戶（系統(tǒng)管理員）、一般用戶，審計用戶（負責網(wǎng)絡(luò)的安全控制與資源使用情況的審計） 3類。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述。 （ 3）網(wǎng)絡(luò)服務(wù)器安全控制。網(wǎng)絡(luò)服務(wù)器的安全控制包括：可以設(shè)置口令鎖定服務(wù)器控制臺，防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)置服務(wù)登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。 （ 4）網(wǎng)絡(luò)檢測和鎖定控制。對非法的網(wǎng)絡(luò)訪問，服務(wù)器應(yīng)以圖形、文字或聲音等形式報警。 3. 信息加密策略。見 P5。 信息加密的目的：保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。 常用的方法：有鏈路加密、端點加密和節(jié)點加密。 鏈路加密：保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全； 端 端加密：對源端用戶到目的端用戶的數(shù)據(jù)提供保護； 節(jié)點加密：對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。 。除了采用上述技術(shù)措施外，加強網(wǎng)絡(luò)的安全管理、制定有效的規(guī)章制度，對于確保網(wǎng)絡(luò)的安全、可靠運行，將起到十分有效的作用。包括：確定安全管理等級和范圍；制定有關(guān)管理章程和制度；制定網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施等。 見 P5。 信息安全的要素 雖然網(wǎng)絡(luò)安全同單個計算機安全在目標上并沒有本質(zhì)區(qū)別，但是由于網(wǎng)絡(luò)環(huán)境的復雜性，網(wǎng)絡(luò)安全比單個計算機安全要復雜得多。 P5。 第一，網(wǎng)絡(luò)資源的共享范圍更加寬泛，難以控制。 第二，網(wǎng)絡(luò)支持多種操作系統(tǒng)，安全管理和控制更為困難。 第三，網(wǎng)絡(luò)的擴大使網(wǎng)絡(luò)的邊界和網(wǎng)絡(luò)用戶群變的不確定，比單機困難的多。 第四，單機用戶可以從自己的計算機中直接獲取敏感數(shù)據(jù)。 第五，由于網(wǎng)絡(luò)路由選擇的不固定性，很難確保網(wǎng)絡(luò)信息在一條安全通道上傳輸。 保證計算機網(wǎng)絡(luò)的安全，就是要保護網(wǎng)絡(luò)信息在存儲和傳輸過程中的可用性、機密性、完整性、可控性和不可抵賴性。 P5。 （ 1）可用性 。是指得到授權(quán)的實體在需要時可以得到所需要的網(wǎng)絡(luò)資源和服務(wù)。 （ 2）機密性。 機密性是指網(wǎng)絡(luò)中的信息不被非授權(quán)實體（包括用戶和進程等）獲取與使用。這些信息不僅指國家機密，也包括企業(yè)和社會團體的商業(yè)秘密和工作秘密，還包括個人的秘密（如銀行賬號）和個人隱私（如郵件、瀏覽習慣）等。網(wǎng)絡(luò)在人們生活中的廣泛使用，使人們對網(wǎng)絡(luò)機密性的要求提高。用于保障網(wǎng)絡(luò)機密性的主要技術(shù)是密碼技術(shù)。在網(wǎng)絡(luò)的不同層次上有不同的機制來保障機密性。在物理層上，主要是采取電磁屏蔽技術(shù)、干擾及跳頻技術(shù)來防止電磁輻射造成的信息外泄：在網(wǎng)絡(luò)層、傳輸層及應(yīng)用層主要采用加密、路