【正文】 策略。但是新的漏洞每天都出現(xiàn)，關(guān)閉不安全的服務(wù)意味著一場(chǎng)持續(xù)的戰(zhàn)爭(zhēng)。 　　7. 使用分層手段。使用多個(gè)安全層來(lái)避免某個(gè)失誤造成對(duì)你關(guān)心的問(wèn)題的侵害。作為防火墻一部分的機(jī)器必須保持最小的安裝。更改你的防火墻，就像搬新家一樣，需要明顯的努力和仔細(xì)的計(jì)劃。五、實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)的安全性 隨著信息化辦公的普及，遠(yuǎn)程訪問(wèn)的需求也水漲船高。由于員工出差、客戶要求訪問(wèn)等原因，近幾年遠(yuǎn)程訪問(wèn)的熱度不斷升高。如電子郵件、FTP、遠(yuǎn)程桌面等工具為流離在外的學(xué)校員工，提供了訪問(wèn)學(xué)校內(nèi)部網(wǎng)絡(luò)資源的渠道。因?yàn)榇蠖鄶?shù)提供遠(yuǎn)程訪問(wèn)的應(yīng)用程序本身并不具備內(nèi)在的安全策略，也沒(méi)有提供獨(dú)立的安全鑒別機(jī)制。所以，遠(yuǎn)程訪問(wèn)增加了學(xué)校內(nèi)部網(wǎng)絡(luò)被攻擊的風(fēng)險(xiǎn)。（一）提高遠(yuǎn)程訪問(wèn)的安全性一是只需要知道用戶名與口令，就可以開(kāi)始一個(gè)遠(yuǎn)程控制會(huì)話。所以，如果在一些關(guān)鍵服務(wù)器上裝有遠(yuǎn)程控制軟件，最好能夠采取一些額外的安全措施。通過(guò)這種策略，可以讓只有網(wǎng)絡(luò)管理人員的主機(jī)才能夠進(jìn)行遠(yuǎn)程控制。二是采用一些安全性比較高的遠(yuǎn)程控制軟件。管理員可以根據(jù)安全性需求的不同，選擇合適的身份驗(yàn)證方式。當(dāng)我們安全管理人員懷疑遠(yuǎn)程控制被入侵者利用時(shí)，則可以通過(guò)這些日志來(lái)查詢(xún)是否有入侵者侵入。即使采取了一些安全措施，其安全隱患仍然存在。如筆者平時(shí)的時(shí)候，都會(huì)把一些應(yīng)用服務(wù)器的遠(yuǎn)程控制軟件關(guān)掉。這么處理雖然有點(diǎn)麻煩，但是可以提高關(guān)鍵應(yīng)用服務(wù)器的安全。（二）針對(duì)特定服務(wù)攻擊的防范針對(duì)一些特定服務(wù)的攻擊，如HTTP服務(wù)、FTP服務(wù)，比較難于防范。采取一些有效的防治措施，仍然可以在很大程度上避免遠(yuǎn)程訪問(wèn)的入侵。 是采用一些更加安全的服務(wù)?，F(xiàn)在支持WEB服務(wù)器的協(xié)議主要有兩種，分別為HTTP與HTTPS。而HTTPS則相對(duì)來(lái)說(shuō)安全的多。在一定程度上可以提高WEB服務(wù)器的安全性?！　? 是對(duì)應(yīng)用服務(wù)器進(jìn)行升級(jí)。如常見(jiàn)的WEB服務(wù)攻擊，就是HTTP協(xié)議與操作系統(tǒng)漏洞一起所產(chǎn)生的后果。 是可以選擇一些有身份鑒別功能的服務(wù)?？梢宰寣W(xué)校內(nèi)部用戶與外部訪問(wèn)者之間建立一個(gè)文件共享的橋梁。TFTP是一個(gè)不安全的協(xié)議，他不提供身份鑒別貢呢功能。而FTP則提供了一定的身份驗(yàn)證功能。六 訪問(wèn)控制如何布置（一）實(shí)現(xiàn)高效安全的網(wǎng)絡(luò)訪問(wèn)控制一個(gè)有效的NAC（網(wǎng)絡(luò)訪問(wèn)控制）方案，應(yīng)該可以提供一個(gè)可信任網(wǎng)絡(luò)架構(gòu)，這個(gè)架構(gòu)對(duì)威脅具有免疫性，以及恰當(dāng)使用的可控制性并能夠?yàn)樗杏脩舯Ｗo(hù)數(shù)據(jù)和完整性。網(wǎng)絡(luò)訪問(wèn)控制幫助你保證只有授權(quán)的用戶可以獲得對(duì)網(wǎng)絡(luò)的訪問(wèn)權(quán)。 下面我們看一些實(shí)現(xiàn)有效的網(wǎng)絡(luò)訪問(wèn)控制的具體措施：選擇一個(gè)網(wǎng)絡(luò)訪問(wèn)控制方法和一種客戶端技術(shù)●IEEE ●Web身份驗(yàn)證●MAC身份驗(yàn)證選擇一個(gè)網(wǎng)絡(luò)架構(gòu)設(shè)備網(wǎng)絡(luò)架構(gòu)設(shè)備，如交換機(jī)、接入點(diǎn)和WAN路由器可以提供對(duì)RADIUS驗(yàn)證的支持，并且支持上述全部的驗(yàn)證形式?？紤]到不同邊緣設(shè)備的不同性能，任何增強(qiáng)安全策略的特定設(shè)備的能力都依賴(lài)于所用的訪問(wèn)控制方法以及客戶端是否在尋求一個(gè)有線或無(wú)線的連接。它用在提供用戶網(wǎng)絡(luò)訪問(wèn)的設(shè)備與對(duì)進(jìn)入的用戶進(jìn)行身份驗(yàn)證的設(shè)備之間。在這方面，應(yīng)該根據(jù)網(wǎng)絡(luò)中的所用的應(yīng)用環(huán)境選擇自己的RADIUS服務(wù)器。選擇EAP方法（），可擴(kuò)展身份驗(yàn)證協(xié)議（EAP）的方法才具有重要意義。布置并安排網(wǎng)絡(luò)分段要設(shè)計(jì)網(wǎng)絡(luò)分段，這些分段應(yīng)適合于網(wǎng)絡(luò)的各種各樣的應(yīng)用環(huán)境。集成所有的網(wǎng)絡(luò)段一旦你部署了網(wǎng)絡(luò)中各種不同的分段，就可以通過(guò)將所有的分段集成到一個(gè)統(tǒng)一的總體中來(lái)實(shí)施優(yōu)化。（二）建立證書(shū)管理中心 CA是證書(shū)的簽發(fā)機(jī)構(gòu),它是PKI的核心。它要制定政策和具體步驟來(lái)驗(yàn)證、識(shí)別用戶身份，并對(duì)用戶證書(shū)進(jìn)行簽名，以確保證書(shū)持有者的身份和公鑰的擁有權(quán)。認(rèn)證中心保證了數(shù)字證書(shū)中列出的用戶名稱(chēng)與證書(shū)中列出的公開(kāi)密鑰一一對(duì)應(yīng)關(guān)系，解決了公鑰體系中公鑰的合法性問(wèn)題。認(rèn)證中心CA是PKI體系的核心。 接收并驗(yàn)證最終用戶數(shù)字證書(shū)的申請(qǐng)；178。 證書(shū)簽發(fā)，向?qū)徟哳C發(fā)、拒絕頒發(fā)數(shù)字證書(shū)；178。 接收最終用戶數(shù)字證書(shū)的查詢(xún)、撤消；178。 提供OCSP在線證書(shū)查詢(xún)服務(wù)，驗(yàn)證證書(shū)狀態(tài)；178。 下級(jí)認(rèn)證機(jī)構(gòu)證書(shū)及賬戶管理；178。 認(rèn)證中心CA及其下屬密鑰的管理；178。CA認(rèn)證認(rèn)證、數(shù)字證書(shū)和PKI解決的幾個(gè)問(wèn)題v 保密性 只有收件人才能閱讀信息。 　　v 完整性 信息在傳遞過(guò)程中不會(huì)被篡改。（三）加密技術(shù)隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)安全也就成為當(dāng)今網(wǎng)絡(luò)社會(huì)的焦點(diǎn)中的焦點(diǎn)，幾乎沒(méi)有人不在談?wù)摼W(wǎng)絡(luò)上的安全問(wèn)題，病毒、黑客程序、郵件炸彈、遠(yuǎn)程偵聽(tīng)等這一切都無(wú)不讓人膽戰(zhàn)心驚?，F(xiàn)代的電腦加密技術(shù)就是適應(yīng)了網(wǎng)絡(luò)安全的需要而應(yīng)運(yùn)產(chǎn)生的，它為我們進(jìn)行一般的電子商務(wù)活動(dòng)提供了安全保障，如在網(wǎng)絡(luò)中進(jìn)行文件傳輸、電子郵件往來(lái)和進(jìn)行合同文本的簽署等。最廣為人知的編碼機(jī)器是German Enigma機(jī)，在第二次世界大戰(zhàn)中德國(guó)人利用它創(chuàng)建了加密信息。隨著計(jì)算機(jī)的發(fā)展，運(yùn)算能力的增強(qiáng)，過(guò)去的密碼都變得十分簡(jiǎn)單了，于是人們又不斷地研究出了新的數(shù)據(jù)加密方式，如利用ROSA算法產(chǎn)生的私鑰和公鑰就是在這個(gè)基礎(chǔ)上產(chǎn)生的。該過(guò)程的逆過(guò)程為解密，即將該編碼信息轉(zhuǎn)化為其原來(lái)數(shù)據(jù)的過(guò)程。一個(gè)簡(jiǎn)單的例子就是密碼的傳輸，計(jì)算機(jī)密碼極為重要，許多安全防護(hù)體系是基于密碼的，密碼的泄露在某種意義上來(lái)講意味著其安全體系的全面崩潰。在這里需要強(qiáng)調(diào)一點(diǎn)的就是，文件加密其實(shí)不只用于電子郵件或網(wǎng)絡(luò)上的文件傳輸，其實(shí)也可應(yīng)用靜態(tài)的文件保護(hù)，如PIP軟件就可以對(duì)磁盤(pán)、硬盤(pán)中的文件或文件夾進(jìn)行加密，以防他人竊取其中的信息。 對(duì)稱(chēng)式加密就是加密和解密使用同一個(gè)密鑰，通常稱(chēng)之為“Session Key ”這種加密技術(shù)目前被廣泛采用，如美國(guó)政府所采用的DES加密標(biāo)準(zhǔn)就是一種典型的“對(duì)稱(chēng)式”加密法，它的Session Key長(zhǎng)度為56Bits。這里的“公鑰”是指可以對(duì)外公布的，“私鑰”則不能，只能由持有人一個(gè)人知道。而非對(duì)稱(chēng)式的加密方法有兩個(gè)密鑰，且其中的“公鑰”是可以公開(kāi)的，也就不怕別人知道，收件人解密時(shí)只要用自己的私鑰即可以，這樣就很好地避免了密鑰的傳輸安全性問(wèn)題。目前發(fā)現(xiàn)的大多數(shù)安全問(wèn)題，是由于密碼管理不嚴(yán)，使 入侵者得以趁虛而入。絕對(duì)杜絕不設(shè)口令的帳號(hào)存在，尤其是超級(jí)用戶帳號(hào)。適當(dāng)?shù)慕徊媸褂么笮?xiě)字母也是增加被破解難度的好辦法。為了防止資料的外泄，在設(shè)置共享時(shí)一定要設(shè)定訪問(wèn)密碼。并且文件的權(quán)限需要嚴(yán)格設(shè)置。木馬的清除一般可以通過(guò)各種殺毒軟件來(lái)進(jìn)行查殺。但是在網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)安全上，還必須定時(shí)進(jìn)行數(shù)據(jù)安全備份。我們?cè)趯W(xué)習(xí)黑客攻擊原理的同時(shí)，也掌握了相應(yīng)的防范方法，使我們對(duì)攻防黑客的攻擊。系統(tǒng)漏洞的存在就成網(wǎng)絡(luò)安全的首要問(wèn)題，發(fā)現(xiàn)并及時(shí)修補(bǔ)漏洞是每個(gè)網(wǎng)絡(luò)管理人員主要任務(wù)。因些從安全角度考慮，應(yīng)將不必要的服務(wù)關(guān)閉，只向公眾提供了他們所需的基本的服務(wù)。校園網(wǎng)安全管理和維護(hù)(1)配備高性能的防火墻產(chǎn)品(2)網(wǎng)絡(luò)設(shè)計(jì)、使用更合理化(3)防殺毒軟件系統(tǒng)(4)災(zāi)難恢復(fù)計(jì)劃 網(wǎng)絡(luò)技術(shù)的普及，使人們對(duì)網(wǎng)絡(luò)的依賴(lài)程度加大,對(duì)網(wǎng)絡(luò)的破壞造成的損失和混亂會(huì)比以往任何時(shí)候都大?；ヂ?lián)網(wǎng)絡(luò)的飛速發(fā)展，對(duì)校園網(wǎng)絡(luò)中師生的生活和學(xué)習(xí)已經(jīng)產(chǎn)生了深遠(yuǎn)的影響，網(wǎng)絡(luò)在我們的生活中已經(jīng)無(wú)處不在。 16