【正文】 ? 黑客攻擊 “ 合法化 ” 、 “ 組織化 ” 本節(jié)詳細內(nèi)容參見書本的 P24~P26頁。 企業(yè)網(wǎng)絡八大安全認識誤區(qū) 常見的企業(yè)網(wǎng)絡安全認識誤區(qū)有如下八個方面： ? 安裝了防火墻就安全了 ? 安裝了最新的殺毒軟件就不怕病毒了 ? 在每臺機中安裝單機版殺毒軟件與網(wǎng)絡版殺毒軟件等效 ? 只要不上網(wǎng)就不會有病毒 ? 文件設置只讀就可以避免病毒 ? 安裝多個不同的殺毒和防火墻軟件就越安全 ? 等有需要時，再建設 ? 花費太大，投資不起 本節(jié)詳細內(nèi)容參見書本的 P27~P29頁。 企業(yè)網(wǎng)絡安全策略設計 網(wǎng)絡安全問題的解決，三分靠技術，七分靠管理。根據(jù)調(diào)查表明，網(wǎng)絡安全的威脅 60%來自網(wǎng)絡內(nèi)部，如網(wǎng)絡用戶不及時升級系統(tǒng)補丁、升級病毒庫；私設代理服務器、私自訪問外部網(wǎng)絡等。如果僅通過防火墻和在網(wǎng)絡設備上配置訪問控制策略是不夠的，因為防火墻的防范原則只是 “ 防外不防內(nèi) ” 。 作為一個企業(yè)網(wǎng)絡管理員，有責任為自己所在企業(yè)設置一個全面而系統(tǒng)的安全防范策略。這個安全策略必須是從用戶接入終端、網(wǎng)絡設備到中心服務器提供等一系列端到端的安全解決方案，而不僅是表現(xiàn)上的病毒防護系統(tǒng)和防火墻的安裝。 什么是企業(yè)網(wǎng)絡安全策略 企業(yè)網(wǎng)絡安全策略就是一份從整個企業(yè)網(wǎng)絡安全角度出發(fā)而編寫的管理性項目文件。它必須從整個企業(yè)網(wǎng)絡系統(tǒng)的安全角度考慮，而不是像我們平常所認為僅是外部網(wǎng)絡的病毒入侵和黑客攻擊。從整體情況來看，一個標準企業(yè)的安全策略應該能夠隨著客戶基礎的增長，策略系統(tǒng)可以進行相應地進行有效升級。它既包括防止來自外部網(wǎng)絡所帶來的網(wǎng)絡攻擊，同時也包括防止企業(yè)內(nèi)部網(wǎng)絡的攻擊；既包括通常意義上所說的病毒入侵和黑客攻擊，又包括內(nèi)部網(wǎng)絡中的非法文件訪、數(shù)據(jù)存儲和備份的安全等，是一個龐大的系統(tǒng)工程。 企業(yè)網(wǎng)絡安全策略設計的十大原則 網(wǎng)絡安全策略設計應遵循以下十大項原則： ? 木桶原則 ? 整體性原則 ? 均衡性原則 ? 可行性原則 ? 等級性原則 ? 一致性原則 ? 易操作性原則 ? 技術與管理相結合原則 ? 統(tǒng)籌規(guī)劃，分步實施原則 ? 動態(tài)發(fā)展原則 本節(jié)詳細內(nèi)容參見書本的 P30~P32頁。 安全隱患分析和基于系統(tǒng)結構信息的收集 企業(yè)網(wǎng)絡安全隱患可以分為：網(wǎng)絡安全隱患、物理安全隱患、網(wǎng)絡服務器自身安全隱患三大類。 本節(jié)詳細內(nèi)容參見書本的 P32~P35頁。 1. 網(wǎng)絡安全隱患 企業(yè)網(wǎng)絡方面的安全隱患主要表現(xiàn)在以下方面： ? 網(wǎng)絡拓撲不合理帶來的安全隱患 ? 病毒和黑客安全隱患 ? 數(shù)據(jù)下載和數(shù)據(jù)存儲安全隱 ? 用戶身份認證安全隱 ? 防火墻的局限性隱 ? 服務器操作系統(tǒng)本身的安全漏洞隱 ? IT管理漏洞、文件共享和用戶權限安全隱患 物理安全是指網(wǎng)絡設備或工作場所使用不當可能帶來的安全隱患。主要包括機房安全，數(shù)據(jù)安全和用戶習慣安全。 ? 機房安全 主要表現(xiàn)在機房的管理上。 ? 數(shù)據(jù)安全 這里的安全就包括物理上的安全和在環(huán)境上的安全，如不潮濕，沒蟲咬、沒鼠咬危險。 用戶習慣安全 作為網(wǎng)管員必須做好培訓員工計劃，使員工養(yǎng)成當離開自己的電腦或服務器時隨時鎖住電腦或注銷登錄帳戶，不要把密碼或者密碼提示以便條的形式寫在桌面上。還有，在平時要求對用戶的軟驅、光驅在 CMOS中禁用這兩個驅動器，只是當需要使用時再啟用它們。 目前所有主流的網(wǎng)絡服務器操作系統(tǒng)都會每隔一段時間被發(fā)現(xiàn)有一些大大小小的漏洞，其中有很多漏洞可以使攻擊者直接取得系統(tǒng)管理員的高級控制權限。 現(xiàn)有安全策略 /流程的檢查與評估 在收集了企業(yè)網(wǎng)絡安全系統(tǒng)的比較詳細信息后，首先要檢查現(xiàn)有安全策略的可行性、實施效果，以及主要優(yōu)缺點。然后對照當前企業(yè)網(wǎng)絡安全需求對原有安全策略進行評估。 為了實現(xiàn)保護需求的評估，你可以使用自動的風險評估工具來收集有關物理的、行政管理的和技術安全方面的信息。這些信息可以用來劃分數(shù)據(jù)類型、存儲位置，并且可以滿足需求。在大多數(shù)情況下，用戶并不知道什么數(shù)據(jù)需要被保護，也不想知道它們?yōu)槭裁葱枰槐Ｗo。這個過程需要進行廣泛的調(diào)查和分析，從而決定數(shù)據(jù)如何存儲，哪些數(shù)據(jù)允許哪些人訪問。 安全策略文檔設計 新的安全策略文檔的設計必須要考慮你所已經(jīng)搜集和分析的數(shù)據(jù)，在設計文檔時也要聽取用戶的意見。設計過程就象一個迭代過程，通常要生成一個草稿讓用戶來檢查。第一次的草稿難免有些局限性，在和用戶的交流中你可以對草稿做進一步的完善。 好的安全策略文檔在設計時應該把設計目的、相關文檔的引用、企業(yè)背景、問題覆蓋范圍及應用的對象、職責劃分、實施時間表、策略陳述等方面包含進去。 網(wǎng)絡安全策略設計應遵循如下思想： ? 保證可接受的系統(tǒng)安全性和保密性。 ? 保證網(wǎng)絡運行的性能，對網(wǎng)絡的協(xié)議和傳輸具有很好的透明性。 ? 易于操作、維護，并便于自動化管理。 ?便于系統(tǒng)及系統(tǒng)功能的擴展。 ? 有較好的性能價格比。 ? 安全與密碼產(chǎn)品具有合法性，并便于安全管理單位與密碼管理單位的檢查與監(jiān)督。 在編寫安全策略文檔中通用的項目如下： ? 企業(yè)網(wǎng)絡數(shù)據(jù)物理安全保證 ? 數(shù)據(jù)機密和完整性保證 ? 數(shù)據(jù)可用性保證 ? 身份驗證和數(shù)據(jù)鑒別保證 ? 防火墻的使用 ? 數(shù)據(jù)加密 ? 病毒防治 ? 安全檢測和緊急響應 ? 安全審計與監(jiān)控 ? 數(shù)據(jù)備份與恢復 本節(jié)詳細內(nèi)容參見書本的 P35~P40頁。