【正文】 戶ID和口令字的組合是一種簡(jiǎn)單有效的身份驗(yàn)證方法，也是大家最熟悉的方法。在使用這種方法時(shí)需要注意的一個(gè)問(wèn)題是應(yīng)用程序不應(yīng)該以明文（即沒(méi)有加密）的形式把口令字發(fā)往用于驗(yàn)證的服務(wù)器。b) 數(shù)字證書數(shù)字證書相當(dāng)于電子化的身份證明，它包含了一些幫助確定用戶身份的信息資料。數(shù)字證書可以用來(lái)強(qiáng)有力地驗(yàn)證某個(gè)用戶或某個(gè)系統(tǒng)的身份，也可以用來(lái)加密電子郵件消息或其它種類的通信內(nèi)容。c) SecurIDSecurID是令牌身份驗(yàn)證的一種標(biāo)準(zhǔn)，它采用了一個(gè)能夠驗(yàn)證用戶身份的硬件裝置（即安全卡），這種安全卡使用一組與時(shí)間變化同步的數(shù)字來(lái)做為用戶登錄資源的口令。d) 生物測(cè)定技術(shù)生物測(cè)定裝置能夠?qū)θ梭w的一處或多處特征進(jìn)行測(cè)定（如指紋），它能夠從物理角度驗(yàn)證出用戶獨(dú)一無(wú)二的身份。但是生物測(cè)定技術(shù)還存在著識(shí)別精確度和投資效果方面的問(wèn)題。e) Kerberos協(xié)議Kerberos是一種網(wǎng)絡(luò)身份驗(yàn)證的協(xié)議，它使應(yīng)用程序能夠通過(guò)一個(gè)無(wú)安防措施的網(wǎng)絡(luò)向服務(wù)器提供自己的身份，或者是服務(wù)器向應(yīng)用程序提供身份。應(yīng)用程序和服務(wù)器之間通過(guò)Kerberos證明了彼此的身份之后，還可以對(duì)彼此之間的全部通信進(jìn)行加密以保證私密性和數(shù)據(jù)的完整性。 遠(yuǎn)程訪問(wèn)控制 當(dāng)用戶需要通過(guò)一個(gè)中間系統(tǒng)遠(yuǎn)程訪問(wèn)企業(yè)內(nèi)部網(wǎng)絡(luò)的資源時(shí)，遠(yuǎn)程訪問(wèn)技術(shù)必須采取一定的安防措施來(lái)對(duì)傳輸中的數(shù)據(jù)和傳輸端點(diǎn)上的數(shù)據(jù)進(jìn)行保護(hù)。常用的遠(yuǎn)程訪問(wèn)技術(shù)有下面幾種：a) 撥號(hào)訪問(wèn) 撥號(hào)訪問(wèn)可分為基于modem陣列或基于因特網(wǎng)兩種方式。在前一種遠(yuǎn)程訪問(wèn)方式下，用戶通過(guò)公共電話網(wǎng)與企業(yè)內(nèi)部網(wǎng)中的modem陣列相連，便可以進(jìn)入內(nèi)部網(wǎng)絡(luò)獲取資料或數(shù)據(jù)。而在后一種遠(yuǎn)程訪問(wèn)方式中，用戶可以通過(guò)多種寬帶接入技術(shù)（如DSL），經(jīng)ISP接入到因特網(wǎng)中來(lái)遠(yuǎn)程訪問(wèn)內(nèi)部網(wǎng)中的資料或數(shù)據(jù)。在這兩種訪問(wèn)方式下，數(shù)據(jù)的安全性都存在問(wèn)題，需要提供額外的安防措施來(lái)對(duì)傳輸中的數(shù)據(jù)和傳輸端點(diǎn)上的數(shù)據(jù)進(jìn)行保護(hù)（相對(duì)而言，前者的安全性好于后者，原因是數(shù)據(jù)是在電話網(wǎng)而非數(shù)據(jù)網(wǎng)中傳輸?shù)模?。b) DDN專線接入DDN是采用數(shù)字信道來(lái)傳輸信號(hào)的數(shù)據(jù)傳輸網(wǎng)，它一般被用來(lái)向用戶提供專用的數(shù)字?jǐn)?shù)據(jù)傳輸信道，或提供將用戶接入公用數(shù)據(jù)交換網(wǎng)的接入信道。DDN提供的是一種半永久性連接電路的數(shù)據(jù)傳輸網(wǎng)（所謂半永久性指的是DDN所提供的信道是非交換型的，用戶之間的通信通常是固定的）。接入DDN的可能是一個(gè)用戶終端，也可以是一個(gè)網(wǎng)絡(luò)。DDN本身的安全性較差，需要提供額外的安防措施來(lái)對(duì)傳輸中的數(shù)據(jù)和傳輸端點(diǎn)上的數(shù)據(jù)進(jìn)行保護(hù)。c) 虛擬專用網(wǎng)絡(luò)虛擬專用網(wǎng)絡(luò)（即VPN）是遠(yuǎn)程訪問(wèn)技術(shù)的最新成果，它是一種最具成本效益、最靈活和最容易擴(kuò)展的遠(yuǎn)程訪問(wèn)解決方案。VPN是在公用數(shù)據(jù)網(wǎng)中形成企業(yè)專用的鏈路，將處于不同地區(qū)的終端或局域網(wǎng)連成一個(gè)整體，從而構(gòu)成一個(gè)為企業(yè)專用的、擴(kuò)展的內(nèi)部網(wǎng)。在數(shù)據(jù)的安全性方面，VPN通過(guò)IPSec協(xié)議族把多種安全技術(shù)集合到一起來(lái)建立一個(gè)供數(shù)據(jù)進(jìn)行傳輸?shù)陌踩八淼馈?，并且在為“隧道”中傳輸?shù)臄?shù)據(jù)提供安全防護(hù)的同時(shí)，以提供身份驗(yàn)證的方式為傳輸端點(diǎn)上的數(shù)據(jù)提供保護(hù)。 入侵檢測(cè)技術(shù)入侵監(jiān)測(cè)系統(tǒng)（即IDS）的作用是監(jiān)控網(wǎng)絡(luò)和計(jì)算機(jī)系統(tǒng)是否出現(xiàn)被入侵或?yàn)E用的征兆。IDS是以后臺(tái)進(jìn)程的形式運(yùn)行的，它們不間斷地監(jiān)視著網(wǎng)絡(luò)通信和系統(tǒng)日志，不放過(guò)任何可疑的行為。 入侵檢測(cè)的類別根據(jù)被監(jiān)測(cè)對(duì)象的不同，入侵監(jiān)測(cè)可分為以下幾類：a) 應(yīng)用軟件入侵監(jiān)測(cè)應(yīng)用軟件入侵監(jiān)測(cè)在應(yīng)用軟件級(jí)收集信息，包括各種應(yīng)用軟件的日志（如數(shù)據(jù)庫(kù)管理軟件日志、Web服務(wù)器日志和防火墻日志等）。大多數(shù)的IDS系統(tǒng)都能提供集中式的管理手段，將“監(jiān)測(cè)感應(yīng)器”收集到的日志信息集中到一個(gè)中央倉(cāng)庫(kù)供人們檢查和分析。b) 主機(jī)入侵監(jiān)測(cè)主機(jī)入侵監(jiān)測(cè)收集的是關(guān)于某個(gè)特定系統(tǒng)的活動(dòng)情況的信息，包括操作系統(tǒng)的審計(jì)記錄、系統(tǒng)日志以及其它審計(jì)類和日志類信息。每一個(gè)被監(jiān)測(cè)的主機(jī)系統(tǒng)都安裝有“監(jiān)測(cè)感應(yīng)器”，用來(lái)收集信息并向集中式管理服務(wù)器匯報(bào)數(shù)據(jù)。c) 網(wǎng)絡(luò)入侵監(jiān)測(cè)網(wǎng)絡(luò)入侵監(jiān)測(cè)直接從網(wǎng)絡(luò)上收集信息，“監(jiān)測(cè)感應(yīng)器”可以安裝在一個(gè)服務(wù)器上，也可以是一些獨(dú)立的專用設(shè)備，它通過(guò)對(duì)數(shù)據(jù)包的嗅探來(lái)收集信息，然后再分析其中有沒(méi)有可疑的活動(dòng)。d) 集成化入侵監(jiān)測(cè)集成化入侵監(jiān)測(cè)是把前面的幾類技術(shù)結(jié)合在了一起，最常見的是把主機(jī)入侵監(jiān)測(cè)感應(yīng)器和網(wǎng)絡(luò)入侵監(jiān)測(cè)感應(yīng)器結(jié)合在一起，它具有每一種監(jiān)測(cè)技術(shù)的優(yōu)點(diǎn)，并試圖彌補(bǔ)各自的缺點(diǎn)。 入侵分析的技術(shù) 入侵分析技術(shù)可以分為三大類別，即簽名、統(tǒng)計(jì)和數(shù)據(jù)完整性。a) 簽名分析法簽名分析法主要用來(lái)監(jiān)測(cè)有無(wú)對(duì)系統(tǒng)的已知弱點(diǎn)進(jìn)行的攻擊行為，這類攻擊可以通過(guò)監(jiān)視有無(wú)針對(duì)特定對(duì)象的某種行為而被監(jiān)測(cè)到。b) 統(tǒng)計(jì)分析法統(tǒng)計(jì)分析法以系統(tǒng)正常使用情況下觀察到的動(dòng)作模式為基礎(chǔ)，它先根據(jù)被監(jiān)測(cè)系統(tǒng)的正常行為定義出的一個(gè)規(guī)律作為寫照，然后監(jiān)測(cè)有沒(méi)有出現(xiàn)明顯偏離這份寫照的行為。c) 數(shù)據(jù)完整性分析法數(shù)據(jù)完整性分析法可以查證文件或者對(duì)象是否被別人修改過(guò)，從而監(jiān)測(cè)到所有未被授權(quán)的數(shù)據(jù)更改。 主機(jī)和服務(wù)器安全防護(hù) 總的說(shuō)來(lái)，主機(jī)安防涉及的對(duì)象主要是缺省操作系統(tǒng)的安裝情況和應(yīng)用軟件的配置情況，低估其重要性的后果將是災(zāi)難性的。 操作系統(tǒng)的硬化 出于方便安裝和維護(hù)的考慮，供應(yīng)商提供的操作系統(tǒng)都在缺省的情況下都激活了大量的功能，這等于向非授權(quán)訪問(wèn)敞開了大門。如果這樣的操作系統(tǒng)被安裝在運(yùn)行關(guān)鍵性應(yīng)用軟件的主機(jī)上，則整個(gè)系統(tǒng)就會(huì)非常缺乏防御能力。操作系統(tǒng)硬化就是要解決上述問(wèn)題，它是在細(xì)致分析的基礎(chǔ)上，盡可能地減少它與外界的交流渠道，盡可能地減少在它上面運(yùn)行的不必要的服務(wù)項(xiàng)目。 安防監(jiān)控程序 在對(duì)系統(tǒng)進(jìn)行了硬化處理之后，還必須定期監(jiān)控或檢查其配置情況是否被別人修改過(guò)，與主機(jī)安防有關(guān)的監(jiān)控程序主要有下面幾種：a) 主機(jī)的入侵檢測(cè)此內(nèi)容已在前面提到，這里不再敘述。b) 系統(tǒng)完整性檢查工具這種工具可以給各個(gè)文件、對(duì)象、注冊(cè)表等分別生成一個(gè)加了密的信息標(biāo)記，然后當(dāng)檢查到系統(tǒng)有所變化的時(shí)候，再為系統(tǒng)生成一個(gè)上述的標(biāo)記，并將兩次標(biāo)記進(jìn)行對(duì)比以判斷系統(tǒng)的完整性。c) 主機(jī)駐留防火墻分布式的主機(jī)駐留防火墻系統(tǒng)（軟件）能夠?qū)M(jìn)出某個(gè)系統(tǒng)的通信控制，從而可以給內(nèi)部網(wǎng)絡(luò)上的主機(jī)的安防帶來(lái)很大的好處。 系統(tǒng)審計(jì) 在部署好主機(jī)的安防措施之后，需要對(duì)它們的配置情況進(jìn)行審計(jì)以保證主機(jī)系統(tǒng)得到了有效的保護(hù)。常用的審計(jì)工具有：a) Windows環(huán)境下的DumpSec；b) Unix環(huán)境下的COPS； 數(shù)據(jù)備份 盡管管理措施、手段嚴(yán)密，仍有可能某個(gè)系統(tǒng)會(huì)因?yàn)槌霈F(xiàn)了問(wèn)題而需要重新進(jìn)行配置，而在今天的信息社會(huì)里，某些關(guān)鍵性數(shù)據(jù)的丟失或不可恢復(fù)所造成的后果是災(zāi)難性的，因此，數(shù)據(jù)備份與恢復(fù)的技術(shù)在安防體系中扮演著越來(lái)越重要的角色。常用的數(shù)據(jù)備份工具有很多種，但對(duì)于規(guī)模較大的網(wǎng)絡(luò)環(huán)境來(lái)說(shuō)，Veritas應(yīng)該是它首選的解決方案。 特殊功用服務(wù)器的安全防護(hù) 特殊功用的服務(wù)器一般包括：防火墻、Web、電子郵件、DNS、域控制器和數(shù)據(jù)庫(kù)等。除上面提到的各種主機(jī)防護(hù)措施外，這些特殊功用的服務(wù)器通常還需要一些個(gè)性化的特殊措施來(lái)滿足其在安全性方面的需求。由于這部分內(nèi)容太過(guò)具體，故不在此作詳細(xì)敘述。 客戶端安全防護(hù) 網(wǎng)絡(luò)和主機(jī)、服務(wù)器的安全防護(hù)當(dāng)然是整個(gè)安防體系中的關(guān)鍵成分，但是客戶端的安全防護(hù)也是一個(gè)不可忽視的問(wèn)題，尤其在目前存在著大量計(jì)算機(jī)病毒和其它惡意代碼的情況下，客戶端的安防問(wèn)題就更加顯得重要。 計(jì)算機(jī)病毒的防護(hù) 一個(gè)理想的防病毒解決方案應(yīng)滿足下面的三要求：a) 只需一名系統(tǒng)管理員就能完成整個(gè)企業(yè)的病毒查殺工作。b) 當(dāng)系統(tǒng)管理員拿到升級(jí)補(bǔ)丁后，應(yīng)該能夠用一個(gè)操作把所有的殺毒軟件都補(bǔ)好。升級(jí)補(bǔ)丁應(yīng)該拷貝到網(wǎng)絡(luò)中的某個(gè)專用地點(diǎn)，而全體客戶都能夠從那里獲得這份補(bǔ)丁。客戶程序可以監(jiān)視有無(wú)補(bǔ)丁出現(xiàn)在那里，然后自動(dòng)取到它。c) 系統(tǒng)管理員能夠在不影響最終用戶正常工作的前提下對(duì)殺毒軟件的客戶組件進(jìn)行遠(yuǎn)程管理。 惡意代碼的防護(hù) 基于病毒簽名的防病毒解決方案在過(guò)濾已知病毒方面是非常有效的，但它們對(duì)新出現(xiàn)的惡意代碼可以說(shuō)也無(wú)能為力。惡意代碼防護(hù)試圖填補(bǔ)反病毒解決方案在識(shí)別已知病毒代碼和識(shí)別未知病毒代碼之間的鴻溝，它通過(guò)截獲和阻斷可疑的行為，限制對(duì)關(guān)鍵性系統(tǒng)資源的訪問(wèn)、檢測(cè)并阻止對(duì)系統(tǒng)配置進(jìn)行修改來(lái)做到不讓惡意代碼感染計(jì)算機(jī)系統(tǒng)。 個(gè)人防火墻 個(gè)人防火墻主要分為兩大類，一類是獨(dú)立的應(yīng)用軟件；另一類是能夠從一個(gè)中央服務(wù)器上進(jìn)行管理的“代理”型軟件。兩大類之間的主要區(qū)別在于它們各自的控制和日志功能。前者是獨(dú)立的軟件產(chǎn)品，能夠在計(jì)算機(jī)上做后臺(tái)運(yùn)行，適合小環(huán)境使用；而后者可以在遠(yuǎn)程系統(tǒng)上對(duì)安放策略的配置情況進(jìn)行控制，并且能夠在遠(yuǎn)程系統(tǒng)上監(jiān)測(cè)對(duì)該機(jī)器發(fā)起的攻擊和探測(cè)，比較適合于企業(yè)級(jí)的應(yīng)用。 應(yīng)用程序安全技術(shù) 安防漏洞有很多是在軟件的開發(fā)過(guò)程中產(chǎn)生的，這些漏洞會(huì)迅速成為攻擊者竊取敏感資料和盜用服務(wù)器的首選目標(biāo)。要想完全堵住應(yīng)用程序的安全漏洞是相當(dāng)困難的（這里面很多的原因不在于技術(shù)方面），目前較為實(shí)用的辦法是利用一些商業(yè)化的軟件工具來(lái)幫助查找應(yīng)用軟件中的脆弱點(diǎn)并試圖進(jìn)行修補(bǔ)。在某些無(wú)法糾正應(yīng)用軟件中的程序漏洞的情況下，可以使用某些工具軟件來(lái)保護(hù)那個(gè)脆弱的應(yīng)用軟件。 系統(tǒng)配置清單序號(hào)名稱設(shè)備型號(hào)數(shù)量備注網(wǎng)絡(luò)安全1網(wǎng)絡(luò)殺毒軟件瑞星（企業(yè)版）1+7+5012防火墻1業(yè)方另外配置3安全網(wǎng)閘1業(yè)方另外配置 279