【正文】 。如果加密狗也同時(shí)被盜，只要用戶及時(shí)的把加密狗掛失，我們就會(huì)取消該加密狗的所有權(quán)限，該用戶的登陸名和密碼也會(huì)及時(shí)作廢。用戶必須要有我們公司提供的與您的用戶名和密碼匹配的加密狗更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問： 才可以遠(yuǎn)程登陸。 （ 5） 我們公司在對(duì)付一些人員和網(wǎng)絡(luò)黑客對(duì)我們公司員工密碼的攻擊和猜測上作到了反攻擊和反猜測，我們還把輸入密碼錯(cuò)誤后的滯留時(shí)間控制為 1秒鐘，這樣一來不管對(duì)方的計(jì)算機(jī)再快，也無發(fā)在短時(shí)間內(nèi)攻擊我 們的軟件。 （ 3） 在公司的內(nèi)部我們采用了 IP 和用戶名之間的綁定。沒有通過驗(yàn)證的人員是無法進(jìn)入我們的系統(tǒng)的。我們要在我們公司的網(wǎng)站上核實(shí)客戶的 ID 權(quán)限。 公司對(duì)客戶安全使用的控制級(jí)別 我們公司對(duì)客戶有一定的控制，以驗(yàn)證客戶的權(quán)限。 管理落實(shí)是實(shí)現(xiàn) 網(wǎng)絡(luò)安全的關(guān)鍵。這通常關(guān)系到各地?cái)?shù)據(jù)業(yè)務(wù)部門為用戶初始化口令時(shí)的安全政策，有的初始化成了用戶名，有的初始化成了統(tǒng)一口令（如123456），同時(shí)沒有保證用戶及時(shí)修改的措施。但是，這樣的警告是否起作用了呢？事實(shí)上，相當(dāng)部分用戶從來沒有登錄過，當(dāng)然也就根本沒有看到過該警告。 流于形式是安全管理失敗的主要原因。網(wǎng)絡(luò)安全管理只是其中的一部分，并且在服務(wù)層次上，處于對(duì)其它管理提供服務(wù)的地位上。 據(jù)反映，有些網(wǎng)絡(luò)安全專家雖然知道自己網(wǎng)絡(luò)中存在的安全漏洞以及可能招致的攻擊，但是出于管理協(xié)調(diào)方面的問題，卻無法去更正。 我們可以建立我們專業(yè)的 CA 中心 管理、管理、管理 即使是一個(gè)完美的安全策略，如果得不到很好的實(shí)施，也是空紙一張。從用戶的角度看，一個(gè)成功的 CA 意味著較容易地獲得數(shù)字證書，能夠在訪問控制、信息加密、安全交易等商業(yè)應(yīng)用中方便地使用這些數(shù)字證書。 再次，繼續(xù)充實(shí)安全技術(shù)隊(duì)伍，形成自己的安全技術(shù)特長，承擔(dān)國家重大網(wǎng)絡(luò)安全 研究應(yīng)用任務(wù)。根據(jù)企業(yè)使用的技術(shù)種類和以后的發(fā)展方向，形成一定的內(nèi)部研究分工，比如 UNIX、 NT、路由、數(shù)據(jù)庫和其它應(yīng)用、國際相關(guān)討論組、以及上述的各種網(wǎng)絡(luò)安全元素等。使領(lǐng)導(dǎo)層、管理層和技術(shù) 人員大家形成一個(gè)共識(shí)：網(wǎng)絡(luò)安全工作非常重要，投資是必要的。抽調(diào)專門的技術(shù)人員專門從事企業(yè)的網(wǎng)絡(luò)安全建設(shè)和管理。安全工作要作到有法可依、有法必依、違法必糾。 網(wǎng)絡(luò)安全策略就是企業(yè)安全工作的法律，任何用戶和管理員都必須遵守。流程應(yīng)該保證發(fā)現(xiàn)入侵后不使入侵造成的損失擴(kuò)大，不會(huì)造成運(yùn)行的混亂，及時(shí)得到安全技術(shù)人員的支持，某種等級(jí)的安全 故障必須向上級(jí)主管部門匯報(bào)等等。 用戶的權(quán)利分級(jí)和責(zé)任 各種用戶應(yīng)該享受的服務(wù)種類；用戶在享受服務(wù)的同時(shí)，應(yīng)該承當(dāng)?shù)牧x務(wù)范圍；對(duì)發(fā)現(xiàn)有惡意使用網(wǎng)絡(luò)、利用網(wǎng)絡(luò)騷擾攻擊其它網(wǎng)絡(luò)或用戶的使用者應(yīng)該采取的處理辦法。所以往往需要網(wǎng)管人員經(jīng)常及時(shí)地更新和升級(jí)軟件。 不同于電信網(wǎng)應(yīng)用軟件管理的特點(diǎn)， Inter 網(wǎng)的軟件升級(jí)是非常頻繁和細(xì)碎的事情。如果運(yùn)維人力資源允許，將網(wǎng)絡(luò)的安全維護(hù)、系統(tǒng)和數(shù)據(jù)備份、軟件配置和升級(jí)等責(zé)任具體到網(wǎng)管人員，實(shí)行包機(jī)制度和機(jī)歷本制度等，保證責(zé)任人之間的備份和替換關(guān)系。 l、 機(jī)房設(shè)備和數(shù)據(jù)的物理安全及其保障 這一項(xiàng)與傳統(tǒng)電信網(wǎng)類似。許多大的網(wǎng)絡(luò)公司也雇傭?qū)ｉT的安全評(píng)估小組對(duì)其網(wǎng)絡(luò)進(jìn)行模擬攻擊，以求避免類似 不識(shí)廬山真面目，只緣身在更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問： 此山中 的效果。例如，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)設(shè)計(jì)安全評(píng)估、網(wǎng)絡(luò)安全維護(hù)等服務(wù)。因此多數(shù)網(wǎng)絡(luò)的建設(shè)者和運(yùn)行者并不擁有相應(yīng)的技術(shù)力量。這樣可以保證網(wǎng)絡(luò)安全策略自始至終的連續(xù)性。這些數(shù)據(jù)直接影響到安全策略的制定和實(shí)施過程。本文認(rèn)為實(shí)現(xiàn)整體網(wǎng)絡(luò)安 全包括三個(gè)要素：完備適當(dāng)?shù)木W(wǎng)絡(luò)安全策略、高水平的網(wǎng)絡(luò)安全技術(shù)隊(duì)伍、嚴(yán)格的管理落實(shí)。對(duì)于 ISP 網(wǎng)絡(luò)和企業(yè)網(wǎng)，對(duì)于上面論述的網(wǎng)絡(luò)安全幾個(gè)重要元素，受投資規(guī)模的限制，不可能全部最高強(qiáng)度的實(shí)施，但是正確的做法是分析網(wǎng)絡(luò)中最為脆弱的部分而著重解決，將有限的資金用在最為關(guān)鍵的地方。不同屬性的網(wǎng)絡(luò)具有不同的安全需求。所以將其 獨(dú)立列為網(wǎng)絡(luò)安全的一個(gè)重要元素。 但是普通版本 UNIX 的標(biāo)準(zhǔn)配置中卻缺少限制特定地址訪問特定服務(wù)的更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問： 功能，例如根據(jù)網(wǎng)絡(luò)安全策略，可能只能允許某個(gè) IP 地址使用 TELNET 服務(wù)，另一個(gè)子網(wǎng)用戶可以使用 FTP 服務(wù)。在沒有明確的安全策略的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)安全管理員通過簡單關(guān)閉 不必要或者不了解的網(wǎng)絡(luò)服務(wù)、刪除主機(jī)信任關(guān)系、及時(shí)刪除不必要的帳號(hào)等手段也可以將入侵危險(xiǎn)降低一半以上。 最小授權(quán) 原則指得是網(wǎng)絡(luò)中帳號(hào)設(shè)置、服務(wù)配置、主機(jī)間信任關(guān)系配置等應(yīng)該為網(wǎng)絡(luò)正常運(yùn)行所需的最小限度。 我再補(bǔ)充一點(diǎn)，我們的系統(tǒng)崩潰的機(jī)率很小，至少我們現(xiàn)在還沒有發(fā)現(xiàn)我們的系統(tǒng)崩潰。 數(shù)據(jù)級(jí)備份 數(shù)據(jù)級(jí)備份就是備份我們系統(tǒng)上的初始化數(shù)據(jù)，我們建議用戶在使用我們系統(tǒng)的時(shí)候，經(jīng)常的備份我們的數(shù)據(jù)，保證我們的系統(tǒng)在崩潰的時(shí)候可以恢復(fù)數(shù)據(jù)。機(jī)械地定期備份，到急需恢復(fù)數(shù)據(jù)時(shí)發(fā)現(xiàn)磁帶數(shù)據(jù)損壞不管怎樣也是一件非常讓人氣憤的事。甚至，通過恢復(fù)備份數(shù)據(jù)，攻擊者已經(jīng)獲得足夠的數(shù)據(jù)，使得入侵網(wǎng)絡(luò)已無必要，直 接造成重要失密事件。 備份數(shù)據(jù)磁帶的物理安全是整個(gè)網(wǎng)絡(luò)安全體系中最重要的環(huán)節(jié)之一。網(wǎng)絡(luò)運(yùn)行部門應(yīng)該制定完整的系統(tǒng)備份計(jì)劃，并嚴(yán)格實(shí)施。公文接收流程包含三個(gè)關(guān)鍵環(huán)節(jié)，分別是驗(yàn)證公文并發(fā)送回執(zhí)、公文打印和生成黑章公文。 在安全電子公文系統(tǒng)中，一次完整的公文辦理流程如下圖所示： 打字員 審核人 蓋章人 公文接收員 公文受控使用 ① 起草公文并上傳到服務(wù)器上 公 文交換服務(wù)器 A 公文交換服務(wù)器 B ②審核公文內(nèi)容，并 指定公文的接收人以及使用的電子印章 ③對(duì)已審核過的公文加蓋指定的電子印章，并加密后傳遞 ④公文通過網(wǎng)絡(luò)傳遞 ⑤解密驗(yàn)證公文的完整性和合法性，并發(fā)送回執(zhí)給發(fā)文方 公文發(fā)送單位 公文接收單位 ⑥生成便于傳閱和歸檔的黑章電子公文（ ceb 或 pdf 格式） 內(nèi)部辦公（ OA ）服務(wù)器 ⑦ 打印生成正式公文文 圖 .公文辦理流程圖 從圖中可以看出，這里的公文的辦理流程，涉及到公文發(fā)送和公文接收兩個(gè)流程。 ? 系統(tǒng)組成 實(shí)現(xiàn)整個(gè)安全電子公文系統(tǒng)包括以下組成部分： ? 公文交換服務(wù)器； ? 公文交換客戶端； ? 密鑰管理系統(tǒng)； ? 證書管理工具； ? 印章制作工具； ? 終端密碼模塊； ? 高精度掃描儀； ? 高 清晰彩色打印機(jī) 。同時(shí)，采用國辦認(rèn)可的方正 CEB 及國際通行的 Adobe PDF 作為公文交換的標(biāo)準(zhǔn)格式，能夠有效保證公文的嚴(yán)肅性、保密性和真實(shí)性，真正滿足了通過網(wǎng)絡(luò)傳輸公文時(shí)所要求的準(zhǔn)確、及時(shí)、安全、保密等條件，可以廣泛應(yīng)用于黨政機(jī)關(guān)和企事業(yè)單位的公文交換、傳輸領(lǐng)域。我們公司的機(jī)制設(shè)置是非常緊密的，目前全國軟件公司做到這一點(diǎn)的也屈指可數(shù)。也就是說沒有安全權(quán)限的人員是不可能進(jìn)入我們公司的網(wǎng)站的。 a 證書的發(fā)放與回收 為了用戶的網(wǎng)絡(luò)安全，我們會(huì)對(duì)我們公司的 ID 用戶發(fā)放證書，對(duì)沒有權(quán)限的人員或證書遺失的人員采取證書的回收。 基于服務(wù)的 CA 與自建 CA 在這些成功關(guān)鍵因素方面的對(duì)比如表所示。 5. 滿足外部電子商務(wù)的需求。 4. 安全的運(yùn)營架構(gòu)。需要保證 CA 中心提供 724 的可靠服務(wù)，包括系統(tǒng)、網(wǎng)絡(luò)、客戶支持、災(zāi)難恢復(fù)等等。 2. 適用于廣泛應(yīng)用的開放結(jié)構(gòu)。完整的 PKI 功能包括證書簽發(fā)、證書生命周期管理、各種類型證書的處理、全面的系統(tǒng)管理、目錄集成、密鑰管理等等。 如何建立 CA 中心 作為 PKI 的解決方案決策者，有以下關(guān)鍵的因素影響 CA 的運(yùn)營 能否成功。 5. 自動(dòng)回呼設(shè)備：撥號(hào)服務(wù)器設(shè)定特定用戶對(duì)特定電話號(hào)碼的自動(dòng)回?fù)芸梢苑乐辜倜暗膿芴?hào)用戶。安全性的關(guān)鍵在于私鑰本身的安全性。 4. PGP：通用的公鑰加密工具。 3. 一次性用戶口令：如 S/KEY 系統(tǒng)等。該軟件 網(wǎng)絡(luò)上也可以免費(fèi)獲得。它使用公鑰與私鑰結(jié)合的方法，可以抵御重發(fā)（ replay）、人中介（ maninthemiddle）、窮舉分析（ plaintext）等攻擊。 2. SSL：幾乎可以和大多數(shù)應(yīng)用配合使用。針對(duì)明文網(wǎng)絡(luò)傳輸?shù)娜觞c(diǎn)，可以采用的加強(qiáng)措施包括： 更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問： 1. SSH：加強(qiáng) TELNET，登錄時(shí)的口令加密后傳輸。 為保證口令的安全性，用戶口令不能顯示在顯示屏上，用戶口令通常是經(jīng)過加密后存儲(chǔ)在主機(jī)系統(tǒng)中的，即使是系統(tǒng)管理員也難以破解。如果驗(yàn)證合法，才繼續(xù)驗(yàn)證用戶輸入的口令，否