【正文】 ernet服務(wù)器上安裝防病毒軟件是頭等重要的，上載和下載的文檔不帶有病毒對(duì)您和您客戶的網(wǎng)絡(luò)都是很重要的。因此在備份服務(wù)器上裝殺毒軟件是非常必要的（4）Internet服務(wù)器和文檔服務(wù)器：網(wǎng)絡(luò)中任何存放文檔和數(shù)據(jù)庫(kù)的地方都可能出問題，因此需要保護(hù)好這些地方。（3）備份服務(wù)器：備份服務(wù)器是用來保存重要數(shù)據(jù)的。郵件是重要的病毒來源。當(dāng)然，在工作站上安裝的防病毒軟件應(yīng)很好地融合于系統(tǒng)，便于統(tǒng)一更新和自動(dòng)運(yùn)行，以避免給用戶造成不便。雖然現(xiàn)在許多病毒是通過Internet文檔下載和電子郵件文檔附著傳播的，但最主要的傳播途徑還是由外界帶來的軟盤，因此在工作站上實(shí)施實(shí)時(shí)軟盤掃描是十分必要的。（3）自動(dòng)化：系統(tǒng)需要有能自動(dòng)更新病毒數(shù)據(jù)庫(kù)和其他相關(guān)信息的功能。其必須具備三個(gè)特性[9]：（1）集成性：任何的保護(hù)措施必須在邏輯上是統(tǒng)一的和相互配合的。在企業(yè)中，重要的數(shù)據(jù)往往保存在位于整個(gè)網(wǎng)絡(luò)中央結(jié)點(diǎn)的文檔服務(wù)器上，這也是病毒攻擊的首要目標(biāo)。 網(wǎng)絡(luò)病毒對(duì)策 病毒防治體系特性根據(jù)現(xiàn)代企業(yè)的具體境況，我們建議企業(yè)應(yīng)該建立起復(fù)雜的多層次病毒防治體系，以應(yīng)對(duì)當(dāng)前的網(wǎng)絡(luò)病毒。在入侵檢測(cè)系統(tǒng)中利用審計(jì)記錄，入侵檢測(cè)系統(tǒng)能夠識(shí)別出任何不希望有的活動(dòng)，從而達(dá)到限制這些活動(dòng)，以保護(hù)系統(tǒng)的安全。入侵檢測(cè)作為一種積極主動(dòng)地安全防護(hù)技術(shù)，提供了對(duì)內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時(shí)保護(hù)，在網(wǎng)絡(luò)系統(tǒng)受到危害之前攔截和響應(yīng)入侵。對(duì)于以上提到的問題，一個(gè)更為有效的解決途徑就是入侵檢測(cè)技術(shù)。其次，防火墻對(duì)來自內(nèi)部的攻擊無能為力。 入侵檢測(cè)技術(shù)防火墻只是一種被動(dòng)防御性的網(wǎng)絡(luò)安全工具，僅僅使用防火墻是不夠的。圖34 屏蔽子網(wǎng)體系結(jié)構(gòu)網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，那么我們究竟應(yīng)該在哪些地方部署防火墻呢？首先，應(yīng)該安裝防火墻的位置是公司內(nèi)部網(wǎng)絡(luò)與外部Internet的接口處，以阻擋來自外部網(wǎng)絡(luò)的入侵；其次，如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大，并且設(shè)置有虛擬局域網(wǎng)(VLAN)，則應(yīng)該在各個(gè)VLAN之間設(shè)置防火墻；第三，通過公網(wǎng)連接的總部與各分支機(jī)構(gòu)之間也應(yīng)該設(shè)置防火墻，如果有條件還應(yīng)該同時(shí)將總部與各分支機(jī)構(gòu)組成虛擬專用網(wǎng)(VPN)。網(wǎng)絡(luò)管理員將堡壘主機(jī)、WEB服務(wù)器、Email服務(wù)器等公用服務(wù)器放在非軍事區(qū)網(wǎng)絡(luò)中。（1）雙重宿主主機(jī)體系結(jié)構(gòu)：又稱為雙宿／多宿網(wǎng)關(guān)防火墻，它是一種擁有兩個(gè)或多個(gè)連接到不同網(wǎng)絡(luò)上的網(wǎng)絡(luò)接口的防火墻，通常用一臺(tái)裝有兩塊或多塊網(wǎng)卡的堡壘主機(jī)做防火墻，兩塊或多塊網(wǎng)卡各自與受保護(hù)網(wǎng)和外部網(wǎng)相連，其體系結(jié)構(gòu)如圖32：圖32 雙重宿主主機(jī)體系結(jié)構(gòu)（2）屏蔽主機(jī)體系結(jié)構(gòu)：屏蔽主機(jī)防火墻由包過濾路由器和堡壘主機(jī)組成，其配置如圖33所示。它通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況，以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。 防火墻技術(shù)根據(jù)CNCERT/CC調(diào)查顯示，在各類網(wǎng)絡(luò)安全技術(shù)使用中，%，是防止黑客攻擊的橋頭堡[7]。加密技術(shù)中的另一重要的問題是密鑰管理，主要考慮密鑰設(shè)置協(xié)議、密鑰分配、密鑰保護(hù)、密鑰產(chǎn)生及進(jìn)入等方面的問題。對(duì)稱密鑰加密，加密解密速度快、算法易實(shí)現(xiàn)、安全性好，缺點(diǎn)是密鑰長(zhǎng)度短、“窮舉”方式進(jìn)攻的代價(jià)小。 信息加密技術(shù)加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段。由于發(fā)送方私有密鑰的保密性，使得接收方既可以根據(jù)驗(yàn)證結(jié)果來拒收該報(bào)文，也能使其無法偽造報(bào)文簽名及對(duì)報(bào)文進(jìn)行修改，原因是數(shù)字簽名是對(duì)整個(gè)報(bào)文進(jìn)行的，是一組代表報(bào)文特征的定長(zhǎng)代碼，同一個(gè)人對(duì)不同的報(bào)文將產(chǎn)生不同的數(shù)字簽名。（3）接收方將得到的明文通過單向函數(shù)進(jìn)行計(jì)算，同樣得到一個(gè)數(shù)字簽名，再將兩個(gè)數(shù)字簽名進(jìn)行對(duì)比，如果相同，則證明簽名有效，否則無效。（2）接收方用發(fā)送方的公開密鑰對(duì)數(shù)字簽名進(jìn)行解密變換，得到一個(gè)數(shù)字簽名的明文。數(shù)字簽名能夠防止他人冒名進(jìn)行信息發(fā)送和接收，以及防止本人事后否認(rèn)已進(jìn)行過的發(fā)送和接收活動(dòng)，數(shù)字簽名使用的是公鑰密碼技術(shù)RSA非對(duì)稱加密法，安全性很高。目前有關(guān)認(rèn)證的主要技術(shù)有：消息認(rèn)證，身份認(rèn)證和數(shù)字簽名。就目前來說，大多數(shù)企業(yè)采取上述第3種方式，第2種方式為輔助性的方案。（3）基于路由的VLAN劃分：路由協(xié)議工作在網(wǎng)絡(luò)層，相應(yīng)的工作設(shè)備有路由器和路由交換機(jī)（即三層交換機(jī)）。（2）基于MAC地址的VLAN劃分：MAC地址其實(shí)就是指網(wǎng)卡的標(biāo)識(shí)符，每一塊網(wǎng)卡的MAC地址都是惟一且固化在網(wǎng)卡上的。從技術(shù)角度講，VLAN的劃分可依據(jù)不同原則，一般有以下三種劃分方法[5]：（1）基于端口的VLAN劃分：這種劃分是把一個(gè)或多個(gè)交換機(jī)上的幾個(gè)端口劃分一個(gè)邏輯組，這是最簡(jiǎn)單、最有效的劃分方法。在分布式網(wǎng)絡(luò)環(huán)境下，我們可以按機(jī)構(gòu)或部門的設(shè)置來劃分VLAN。運(yùn)用VLAN（虛擬局域網(wǎng)）技術(shù)，將以太網(wǎng)通信變?yōu)辄c(diǎn)到點(diǎn)通信，防止大部分基于網(wǎng)絡(luò)偵聽的入侵。其采用的主要技術(shù)有：VLAN（虛擬局域網(wǎng)）技術(shù)，認(rèn)證技術(shù)，信息加密技術(shù)等。首先根據(jù)不同用戶安全級(jí)別或者根據(jù)不同部門的安全需求來劃分虛擬子網(wǎng)(VLAN)。電源系統(tǒng)電壓的波動(dòng)、浪涌電流和突然斷電等意外情況的發(fā)生可能引起計(jì)算機(jī)系統(tǒng)存儲(chǔ)信息的丟失、存儲(chǔ)設(shè)備的損壞等情況的發(fā)生，必須依照國(guó)家的相關(guān)標(biāo)準(zhǔn)配備。為提高屏蔽室的效能，在屏蔽室與外界的各項(xiàng)聯(lián)系、連接中均要采取相應(yīng)的隔離措施和設(shè)計(jì)，如信號(hào)線、電話線、空調(diào)、消防控制線，以及通風(fēng)波導(dǎo)，門的關(guān)起等。對(duì)機(jī)房水管、暖氣管、金屬門采用各種電磁屏蔽措施，阻止輻射發(fā)生。另外，還采取相應(yīng)的防盜、防靜電、防火、防水等措施。在樓頂安裝了避雷設(shè)施，即在主機(jī)房外部安裝接閃器、引下線和接地裝置，吸引雷電流，并為泄放提供了一條低阻值通道。正常的防范措施主要在三個(gè)方面。 物理安全對(duì)策保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞，傳出至關(guān)重要的信息，錯(cuò)誤地進(jìn)入數(shù)據(jù)庫(kù)、刪除數(shù)據(jù)等。責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。并且，遠(yuǎn)程攻擊者在竊取資料后，還可以遠(yuǎn)程將病毒卸載，達(dá)到銷毀證據(jù)的目的[4]。中灰鴿子病毒后的電腦會(huì)被遠(yuǎn)程攻擊者完全控制，具備和管理者一樣的管理權(quán)限，遠(yuǎn)程黑客可以輕易的復(fù)制、刪除、上傳、下載保存在電腦上的文件，機(jī)密文件?；银澴泳褪谴蠹宜熘睦印Ｖ灰?jiǎn)單地敲敲鍵盤，郵件就能夠發(fā)給一個(gè)或一組收信人。另一種主要威脅來自于電子郵件。而共享軟件和各種可執(zhí)行的文檔，如格式化的介紹性文檔已成為病毒傳播的重要途徑。一種威脅是來自文檔下載。 網(wǎng)絡(luò)病毒風(fēng)險(xiǎn)現(xiàn)今的互聯(lián)網(wǎng)已基本成為了一個(gè)病毒肆虐生長(zhǎng)繁殖的土壤，幾乎每一天都會(huì)有上百種新的病毒或者木馬產(chǎn)生，隨著Internet開拓性的發(fā)展。另外，一個(gè)更嚴(yán)重的問題——網(wǎng)絡(luò)敲詐，正有逐步提升的趨勢(shì)。 黑客攻擊隨著信息技術(shù)的普及，企業(yè)一般都會(huì)利用互聯(lián)網(wǎng)接入來加速提高本公司業(yè)務(wù)與工作績(jī)效，黑客的惡意攻擊行為無疑會(huì)成為阻礙這一進(jìn)程發(fā)展最大也最嚴(yán)重的威脅。再者目前很多企業(yè)由于資金，技術(shù)等問題，沒有建立起一個(gè)立體式的網(wǎng)絡(luò)安全系統(tǒng)，而是簡(jiǎn)單的運(yùn)用單一的技術(shù)手段來保證企業(yè)信息的安全，這樣雖然能解決一些問題，但很有限。再加上因特網(wǎng)的基石是TCP/IP協(xié)議簇，該協(xié)議簇在實(shí)現(xiàn)上力求效率，而沒有考慮安全因素，因?yàn)槟菢訜o疑增大代碼量，從而降低了TCP/IP的運(yùn)行效率，所以說TCP/IP本身在設(shè)計(jì)上就是不安全的，很容易被竊聽和欺騙。 系統(tǒng)安全所謂系統(tǒng)安全通常是指網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全。物理安全的風(fēng)險(xiǎn)主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀壞、電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失；設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱，報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。信息網(wǎng)絡(luò)化使信息公開化、信息利用自由化，其結(jié)果是信息資源的共享和互動(dòng)，任何人都可以在網(wǎng)上發(fā)布信息和獲取信息，網(wǎng)上的一些用戶出于好奇的心理，或者蓄意破壞的動(dòng)機(jī)，對(duì)企業(yè)網(wǎng)絡(luò)上連接的計(jì)算機(jī)系統(tǒng)和設(shè)備進(jìn)行入侵，攻擊等，影響網(wǎng)絡(luò)上信息的傳輸，破壞軟件系統(tǒng)和數(shù)據(jù)，盜取企業(yè)機(jī)密信息，非法使用網(wǎng)絡(luò)資源等，給企業(yè)造成巨大的損失。（6）不可否認(rèn)性：不可否認(rèn)性是指能保證用戶無法在事后否認(rèn)曾對(duì)信息進(jìn)行的生成、簽發(fā)、接受等行為，是針對(duì)通訊各方面信息真實(shí)同一性的安全要求，一般用數(shù)字簽名和公證機(jī)制來保證不可否認(rèn)性。為保證可控性，通常通過握手協(xié)議和認(rèn)證對(duì)用戶進(jìn)行身份鑒別，通過日志記錄對(duì)用戶的所有活動(dòng)進(jìn)行監(jiān)控、查詢和審計(jì)。所有人員都可以訪問的信息為公用信息，需要限制訪問的信息一般為敏感信息或秘密，機(jī)密性通常通過訪問控制阻止非授權(quán)用戶獲得機(jī)密信息，通過加密技術(shù)阻止非授權(quán)用戶獲知信息內(nèi)容。（3）機(jī)密性：是指信息不泄漏給非授權(quán)的個(gè)人和實(shí)體，或供其使用的特性。（2）可用性：信息可用性指的是信息可被合法用戶訪問并能按要求順序使用的特性，即在需要就可取用所需的信息。（1）完整性：完整性是指信息在存儲(chǔ)、傳輸和提取的過程中保持不被修改延遲、不亂序和不丟失的特性。信息安全的目標(biāo)就是要保證敏感數(shù)據(jù)的機(jī)密性、完整性和可用性，人們建立起信息安全管理體系，它是組織在整體或特定范圍內(nèi)建立信息安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的系統(tǒng)，表示成方針、原則、目標(biāo)、方法、核查表等要素的集合。信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進(jìn)行的破壞以及自然危害。 信息安全根據(jù)國(guó)際標(biāo)準(zhǔn)化組織（ISO）的定義，信息安全為“為數(shù)據(jù)處理系統(tǒng)建立所采取的技術(shù)和管理的安全保護(hù)措施，以保護(hù)計(jì)