【正文】 密性、真實(shí)性及完整性。 IPsec 是在 TCP/IP 體系中實(shí)現(xiàn)網(wǎng)絡(luò)安全服務(wù)的重要措施。而 VPN 設(shè)備正是一種符合 IPsec 標(biāo)準(zhǔn)的 IP 協(xié)議加密設(shè)備。它通過利用跨越不安全的公共網(wǎng)絡(luò)的線路建立 IP 安全隧道，能夠保護(hù)子網(wǎng)間傳輸信息的機(jī)密性、完整性和真實(shí)性。經(jīng)過對 VPN 的配置，可以讓網(wǎng)絡(luò)內(nèi)的某些主機(jī)通過加密隧道，讓另一些主機(jī)仍以明文方式傳輸，以達(dá)到安全、傳輸效率的最佳平衡。一般來說， VPN 設(shè)備可以一對一和一對多地運(yùn)行，并具有對數(shù)據(jù)完整性的保證功能，它安裝在被保護(hù)網(wǎng)絡(luò)和路由器之間的位置。設(shè)備配置見下圖。目前全球大部分廠商的網(wǎng)絡(luò)安全產(chǎn)品都支持 IPsec 標(biāo)準(zhǔn)。 VPN 設(shè)備配置示意圖 由于 VPN 設(shè)備不依賴于底層的具體傳輸鏈路，它一方面可以降低網(wǎng)絡(luò)安全設(shè)備的投資；而另一方面，更重要的是它可以為上層的各種應(yīng)用提供統(tǒng)一的網(wǎng)絡(luò)層安全基礎(chǔ)設(shè)施和可選的虛擬專用網(wǎng)服務(wù)平臺(tái)。對政府行業(yè)網(wǎng)絡(luò)系統(tǒng)這樣一種大型的網(wǎng)絡(luò)， VPN 設(shè)備可以使網(wǎng)絡(luò)在升級提速時(shí)具有很好的擴(kuò)展性。鑒于 VPN 設(shè)備的突出優(yōu)點(diǎn)，應(yīng)根據(jù)企業(yè)具體需求，在各個(gè)網(wǎng)絡(luò)結(jié)點(diǎn)與公共網(wǎng)絡(luò)相連接的進(jìn)出口處安裝配備 VPN 設(shè)備。 入侵檢測 利用防火墻并經(jīng)過嚴(yán)格配置，可以阻止各種不安全訪問通過防火 墻，從而降低安全風(fēng)險(xiǎn)。但是，網(wǎng)絡(luò)安全不可能完全依靠防火墻單一產(chǎn)品來實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品，作為防火墻的必要補(bǔ)充。入侵檢測系統(tǒng)就是最好的安全產(chǎn)品，入侵檢測系統(tǒng)是根據(jù)已有的、最新的攻擊手段的信息代碼對進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報(bào)警、發(fā)送 Email）。從而防止針對網(wǎng)絡(luò)的攻擊與犯罪行為。入侵檢測系統(tǒng)一般包括控制臺(tái)和探測器（網(wǎng)絡(luò)引擎）?？刂婆_(tái)用作制定及管理所有探測器（網(wǎng)絡(luò)引擎）。探測器（網(wǎng)絡(luò)引擎）用作監(jiān)聽進(jìn)出網(wǎng)絡(luò)的訪問行為，根據(jù)控制臺(tái)的指令執(zhí)行相 應(yīng)行為。由于探測器采取的是監(jiān)聽不是過濾數(shù)據(jù)包，因此，入侵檢測系統(tǒng)的應(yīng)用不會(huì)對網(wǎng)絡(luò)系統(tǒng)性能造成多大影響。 掃描系統(tǒng) 網(wǎng)絡(luò)掃描系統(tǒng)可以對網(wǎng)絡(luò)中所有部件（ Web 站點(diǎn)，防火墻，路由器， TCP/IP 及相關(guān)協(xié)議服務(wù)）進(jìn)行攻擊性掃描、分析和評估，發(fā)現(xiàn)并報(bào)告系統(tǒng)存在的弱點(diǎn)和漏洞，評估安全風(fēng)險(xiǎn)，建議補(bǔ)救措施。 系統(tǒng)掃描系統(tǒng)可以對網(wǎng)絡(luò)系統(tǒng)中的所有操作系統(tǒng)進(jìn)行安全性掃描，檢測操作系統(tǒng)存在的安全漏洞，并產(chǎn)生報(bào)表，以供分析；還會(huì)針對具體安全漏洞提出補(bǔ)救措施。 病毒防護(hù) 由于在網(wǎng)絡(luò)環(huán)境下，計(jì) 算機(jī)病毒有不可估量的威脅性和破壞力。我們都知道，政府網(wǎng)絡(luò)系統(tǒng)中使用的操作系統(tǒng)一般均為 WINDOWS 系統(tǒng)，比較容易感染病毒。因此計(jì)算機(jī)病毒的防范也是網(wǎng)絡(luò)安全建設(shè)中應(yīng)該考濾的重要的環(huán)節(jié)之一。反病毒技術(shù)包括預(yù)防病毒、檢測病毒和殺毒三種技術(shù)： 預(yù)防病毒技術(shù) 預(yù)防病毒技術(shù)通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對系統(tǒng)進(jìn)行破壞。這類技術(shù)有，加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。 檢 測病毒技術(shù) 檢測病毒技術(shù)是通過對計(jì)算機(jī)病毒的特征來進(jìn)行判斷的技術(shù)（如自身校驗(yàn)、關(guān)鍵字、文件長度的變化等），來確定病毒的類型。 殺毒技術(shù) 殺毒技術(shù)通過對計(jì)算機(jī)病毒代碼的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。反病毒技術(shù)的具體實(shí)現(xiàn)方法包括對網(wǎng)絡(luò)中服務(wù)器及工作站中的文件及電子郵件等進(jìn)行頻繁地掃描和監(jiān)測。一旦發(fā)現(xiàn)與病毒代碼庫中相匹配的病毒代碼，反病毒程序會(huì)采取相應(yīng)處理措施（清除、更名或刪除），防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。 應(yīng)用安全 內(nèi)部 OA 系統(tǒng)中資源 共享 嚴(yán)格控制內(nèi)部員工對網(wǎng)絡(luò)共享資源的使用。在內(nèi)部子網(wǎng)中一般不要輕易開放共享目錄，否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。對有經(jīng)常交換信息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過口令的認(rèn)證才允許訪問數(shù)據(jù)。雖然說用戶名加口令的機(jī)制不是很安全，但對一般用戶而言，還是起到一定的安全防護(hù)，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費(fèi)相當(dāng)長的時(shí)間。 信息存儲(chǔ) 對有涉及企業(yè)秘密信息的用戶主機(jī)，使用者在應(yīng)用過程中應(yīng)該做到盡量少開放一些不常用的網(wǎng)絡(luò)服務(wù)。對數(shù)據(jù)庫服 務(wù)器中的數(shù)據(jù)庫必須做安全備份。通過網(wǎng)絡(luò)備份系統(tǒng)，可以對數(shù)據(jù)庫進(jìn)行遠(yuǎn)程備份存儲(chǔ)。 構(gòu)建 CA 體系 針對信息的安全性、完整性、正確性和不可否認(rèn)性等問題，目前國際上先進(jìn)的方法是采用信息加密技術(shù)、數(shù)字簽名技術(shù)。具體實(shí)現(xiàn)的辦法是使用數(shù)字證書，通過數(shù)字證書，把證書持有者的公開密鑰（ Public Key）與用戶的身份信息緊密安全地結(jié)合起來，以實(shí)現(xiàn)身份確認(rèn)和不可否認(rèn)性。簽發(fā)數(shù)字證書的機(jī)構(gòu)即數(shù)字證書認(rèn)證中心（ CA， Certification Authority），數(shù)字證書認(rèn)證中心為用戶簽發(fā)數(shù)字證書，為用戶身份確 認(rèn)提供各種相應(yīng)的服務(wù)。在數(shù)字證書中有證書擁有者的甄別名稱（ DN， Distinguish Name），并且還有其公開密鑰，對應(yīng)于該公開密鑰的私有密鑰由證書的擁有者持有，這對密鑰的作用是用來進(jìn)行數(shù)字簽名和驗(yàn)證簽名，這樣就能夠保證通訊雙方的真實(shí)身份，同時(shí)采用數(shù)字簽名技術(shù)還很好地解決了不可否認(rèn)性的問題。根據(jù)機(jī)構(gòu)本身的特點(diǎn)，可以考濾先構(gòu)建一個(gè)本系統(tǒng)內(nèi)部的 CA 系統(tǒng)，即所有的證書只能限定在本系統(tǒng)內(nèi)部使用有效。隨著不斷發(fā)展及需求情況下，可以對 CA 系統(tǒng)進(jìn)行擴(kuò)充與國家級 CA 系統(tǒng)互聯(lián)，實(shí)現(xiàn)不同企業(yè)間的交叉認(rèn)證。 安全管 理 制定健全的安全管理體制 制定健全的安全管理體制將是網(wǎng)絡(luò)安全得以實(shí)現(xiàn)的重要保證。各政府機(jī)關(guān)單位可以根據(jù)自身的實(shí)際情況，制定如安全操作流程、安全事故的獎(jiǎng)罰制度以及對任命安全管理人員的考查等。 構(gòu)建安全管理平臺(tái) 構(gòu)建安全管理平臺(tái)將會(huì)降彽很多因?yàn)闊o意的人為因素而造成的風(fēng)險(xiǎn)。構(gòu)建安全管理平臺(tái)從技術(shù)上如，組成安全管理子網(wǎng)，安裝集中統(tǒng)一的安全管理軟件，如病毒軟件管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備管理系統(tǒng)以及網(wǎng)絡(luò)安全設(shè)備統(tǒng)管理軟件。通過安全管理平臺(tái)實(shí)現(xiàn)全網(wǎng)的安全管理。 增強(qiáng)人員的安全防 范意識 政府機(jī)關(guān)單位應(yīng)該經(jīng)常對單位員工進(jìn)行網(wǎng)絡(luò)安全防范意識的培訓(xùn)，全面提高員工的整體網(wǎng)絡(luò)安全防范意識。