企業(yè)網(wǎng)網(wǎng)絡(luò)安全解決方案

企業(yè)網(wǎng)網(wǎng)絡(luò)安全解決方案企業(yè)網(wǎng)網(wǎng)絡(luò)安全解決方案企業(yè)網(wǎng)網(wǎng)絡(luò)安全解決方案企業(yè)內(nèi)部網(wǎng)信息安全建設(shè)的技術(shù)要求、配置方案及建議美國安泰成發(fā)國際集團公司一九九九年五月四日

企業(yè)網(wǎng)網(wǎng)絡(luò)安全解決方案引言１9９9年已經(jīng)到來,人類處在2１世紀(jì)前夜。1998年是全球信息革命和Internet新騰飛的一年?！皫挶è?，用戶超億,網(wǎng)上協(xié)同攻破密碼等等創(chuàng)造性的應(yīng)用層出不窮。Inｔｅrnet已成為全新的傳播媒體，克林頓丑聞材料在48小時內(nèi)就有2０0０萬人上網(wǎng)觀看。電子商務(wù)發(fā)展更出人意料，網(wǎng)上購物僅圣誕節(jié)就突破３億美元的銷售額,比預(yù)計的全年20億還多。美國對“Iｎtｅrnｅｔ經(jīng)濟〞投資達到1２4０億,第二代Internet正式啟動,第三代智能網(wǎng)絡(luò)已在醞釀,以Ｉnternｅt為代表和主體的信息網(wǎng)絡(luò)必將在21世紀(jì)成為人類生產(chǎn)、生活、自下而上的一個基本方式。世界各國都以戰(zhàn)略眼光注視著它的發(fā)展，并在積極謀取網(wǎng)上的優(yōu)勢和主動權(quán)。但是Internｅｔ網(wǎng)的信息安全問題在１９98年也較突出,除兩千年蟲問題已進入倒計時外,下面摘錄上電報導(dǎo):〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕病毒感染事件19９8年增加了二倍,宏病毒入侵案件占60％，已超過13０0種,而1996只有4０種?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)上攻擊事件大幅上升,對50個國家的抽樣調(diào)查顯示:去年有73%的單位受到各種形式的入侵，而1996年是42%。據(jù)估計,世界上已有兩千萬人具有進行攻擊的潛力?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)上經(jīng)濟詐騙增長了五倍,估計金額達到６億美元,而同年暴力搶劫銀行的損失才5９０0萬。一份調(diào)查報告中說:有48％的企業(yè)受過網(wǎng)上侵害,其中損失最多的達一百萬美元。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對美軍的非絕密計算機系統(tǒng)的攻擊試驗表明,成功率達到88%。而被主動查出的只占5%。１９98年5月美CIＡ局長在信息安全的報告中正式宣布:“信息戰(zhàn)威脅確實存在。〞〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)上賭博盛行,去年在２00個網(wǎng)點上的賭博金額達到6０億美元,預(yù)計今年還會增加一倍。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)上色情泛濫,通過瀏覽器、電子郵件等方式大量擴散。由于問題嚴重,西方12個國家的警方在去年九月進行了一次聯(lián)合行動，共抓9６人,其中一個網(wǎng)址竟有２5萬張黃色圖像。聯(lián)合國科教文組織決定今年一月召開會議,研究遏制網(wǎng)上色情?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕歐盟正式發(fā)表了對網(wǎng)上有害和非法信息內(nèi)容的處理法規(guī)。電子郵件垃圾已被新聞界選為1998年Interneｔ壞消息之一，美國一家網(wǎng)絡(luò)公司一年傳送的電子郵件中有三分之一是電子垃圾?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)上違反保密和密碼管制的問題已成為各國政府關(guān)注的一個焦點。暴露個人隱私問題突出,例如通過美國一個網(wǎng)站很容易量到別人的經(jīng)濟收入信息,另一網(wǎng)址只要輸入車牌號碼就可查到車主地址，為此這些網(wǎng)址已被封閉。在電子郵件內(nèi)傳播個人隱私的情況更為嚴重?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕帶有政治性的網(wǎng)上攻擊在１９98年有較大增加,包括篡改政府機構(gòu)的網(wǎng)頁,侵入競選對手的網(wǎng)站竊取信息,在東南亞經(jīng)濟危機中散布謠言,偽造世界熱點地區(qū)的現(xiàn)場照片，煽動民族糾紛等等,已引起各國政府的高度重視?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕我們國家的情況也大致相仿。一方面Inｔernｅt上網(wǎng)人數(shù)增加，僅下半年年就由１17萬劇增到210萬,另一方面,同一時期內(nèi)外電對在我們國家發(fā)生的Inｔｅrnｅｔ安全事件的報道數(shù)量也大增,比199７年全年還多6倍,其中包括經(jīng)濟犯罪、竊密、黑客入侵,造謠惑眾等等。以上報導(dǎo)只是全部景觀的一角,卻預(yù)示著下一個世紀(jì)全球信息安全形勢不容樂觀。我們國家正處于網(wǎng)絡(luò)發(fā)展的初級階段,又面臨著發(fā)達國家信息優(yōu)勢的壓力,要在信息化進程中趨利避害,從一開始就做好信息安全工作十分重要。這是這項工作難度也非常大,經(jīng)常遇到十分困難的選擇,甚至非難。人們對于“該不該〞和“能不能〞抓好信息安?全也尚有不同的看法。我們應(yīng)當(dāng)充分相信我們國家的制度優(yōu)越性和人民的智慧與覺悟,積極尋求解決中國特色的Iｎｔeｒｎeｔ安全問題的辦法。在此,僅就企業(yè)內(nèi)部網(wǎng)的信息安全的建設(shè)作一個詳細的討論?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕1.企業(yè)網(wǎng)絡(luò)的現(xiàn)狀世紀(jì)之交，信息化已成為國際性發(fā)展趨勢,作為國民經(jīng)濟信息化的基礎(chǔ),企業(yè)信息化建設(shè)受到國家和企業(yè)的廣泛重視?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕企業(yè)信息化,企業(yè)網(wǎng)絡(luò)的建設(shè)是基礎(chǔ)，從計算機網(wǎng)絡(luò)技術(shù)和應(yīng)用發(fā)展的現(xiàn)狀來看，Intranet是得到廣泛認同的企業(yè)網(wǎng)絡(luò)模式。Intranet并不完全是原來局域網(wǎng)的概念，通過與Inteｒｎet的聯(lián)結(jié)，企業(yè)網(wǎng)絡(luò)的范圍可以是跨地區(qū)的，甚至跨國界的。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕現(xiàn)在，Ｉｎｔeｒｎet的發(fā)展已成燎原之勢,隨著ＷWW上商業(yè)活動的激增，Intranet也應(yīng)運而生。近幾年，許多有遠見的企業(yè)領(lǐng)導(dǎo)者都已感到企業(yè)信息化的重要性，陸續(xù)建立起了自己的企業(yè)網(wǎng)和Ｉnｔrａnet并通過各種WＡＮ線路與Ｉnternet相連。國際互聯(lián)網(wǎng)Inｔernet在帶來巨大的資源和信息訪問的方便的同時,它也帶來了巨大的潛在的危險,至今仍有很多企業(yè)仍然沒有感到企業(yè)網(wǎng)安全的重要性。在我們國家網(wǎng)絡(luò)急劇發(fā)展還是近幾年的事，而在國外企業(yè)網(wǎng)領(lǐng)域出現(xiàn)的安全事故已經(jīng)是數(shù)不勝數(shù)。因此,我們應(yīng)該在積極進行企業(yè)網(wǎng)建設(shè)的同時，就應(yīng)借鑒國外企業(yè)網(wǎng)建設(shè)和管理的經(jīng)驗，在網(wǎng)絡(luò)安全上多考慮一些，將企業(yè)網(wǎng)中可能出現(xiàn)的危險和漏洞降到最低。使已經(jīng)花了不少財力、人力和時間后，建立起來的網(wǎng)絡(luò)真正達到預(yù)想的效果?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕從總體上來說，企業(yè)網(wǎng)絡(luò)建設(shè)以下幾方面的誤區(qū)：解決方案上的誤區(qū)、應(yīng)用開發(fā)上的誤區(qū)和系統(tǒng)管理上的誤區(qū)?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕解決方案上的誤區(qū)在解決方案上的誤區(qū)主要包括：認為只要肯花錢就萬事大吉了。誠然,投資是企業(yè)網(wǎng)絡(luò)建設(shè)的基本，但并非所有的東西都能直接買來。事實上,數(shù)據(jù)、應(yīng)用軟件、網(wǎng)絡(luò)系統(tǒng)管理及網(wǎng)絡(luò)的應(yīng)用水平等都不是簡單買來了事的?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕不根據(jù)實際需求,盲目認為購買的硬件、軟件產(chǎn)品越先進越好，甚至要求達到１0年不落后等要求。這種提法本身就不科學(xué),信息技術(shù)的發(fā)展是日新月異的，10年前誰也不知道現(xiàn)在的計算機會發(fā)展到如此水平,同樣，１0年后如何也無法預(yù)料。這樣一來,后果是可以想到的:平臺越先進,設(shè)備越昂貴,技術(shù)越復(fù)雜，建設(shè)的投入與產(chǎn)出相比一定很高,這當(dāng)然不是企業(yè)需要得到的結(jié)果?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為有了網(wǎng)絡(luò)、服務(wù)器、數(shù)據(jù)庫、聯(lián)通了Inteｒnｅt就能要什么就有什么了，忽視總體數(shù)據(jù)體系規(guī)劃和組織、應(yīng)用系統(tǒng)開發(fā)，數(shù)據(jù)的采集、傳輸、加工、存儲和查詢等具體應(yīng)用工作。而缺少這些,網(wǎng)絡(luò)的作用就不能充分發(fā)揮出來,這恰恰與企業(yè)網(wǎng)絡(luò)建設(shè)的初衷相違?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為可以“畢其功于一役〞地搞企業(yè)網(wǎng)絡(luò)建設(shè)，實際上,這是一項長期的工作。認為只要找到好的供應(yīng)商、系統(tǒng)集成商就肯定可以把網(wǎng)絡(luò)建好，沒有想到只有良好的合作才能獲得成功，只有建立自己的技術(shù)隊伍才能保持成功之果。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕應(yīng)用開發(fā)上的誤區(qū)應(yīng)用開發(fā)是企業(yè)網(wǎng)絡(luò)系統(tǒng)建設(shè)中的重要內(nèi)容，也是網(wǎng)絡(luò)建設(shè)成功與否的關(guān)鍵。不少企業(yè)網(wǎng)絡(luò)建設(shè)項目中,在應(yīng)用開發(fā)方面也存在一些誤區(qū):〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為只要有好的計算機專業(yè)人員去干就可以了,業(yè)務(wù)人員不參與應(yīng)用開發(fā)工作，甚至不很好地配合。事實上，由于專業(yè)計算機人員缺少具體業(yè)務(wù)知識和經(jīng)驗,無法獨立開發(fā)出很適合業(yè)務(wù)部門的應(yīng)用軟件?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為凡是業(yè)務(wù)部門、業(yè)務(wù)人員提出的需求都要進行開發(fā)。在應(yīng)用開發(fā)的范圍上，不進行認真地分析,不分主次。實際上，許多現(xiàn)成的工具軟件已包含了許多功能，例如EXECL，但由于不重視業(yè)務(wù)人員計算機技能的提高，一切功能都寄希望于開發(fā)。這就造成開發(fā)成本的提高和工作重點的分散。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為只有采用最新潮的開發(fā)工具和最時髦的開發(fā)語言才能開發(fā)好的軟件,而不顧自己的實際需求，也不問那些工具和語言到底有什么用。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為開發(fā)軟件與操作軟件一樣容易，所以不重視開發(fā)人員的工作，隨意提出需求，之后又隨意改動。這樣的改動,很可能給開發(fā)增加許多工作量,更為嚴重的是，破壞開發(fā)的總體規(guī)劃，導(dǎo)致開發(fā)進度的延遲?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕企業(yè)高級領(lǐng)導(dǎo)認為開發(fā)工作是下面的事情，不參與總體規(guī)劃，卻對開發(fā)抱著過高的期望,以為開發(fā)結(jié)果一定應(yīng)符合自己的想象?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕１.3系統(tǒng)管理上的誤區(qū)企業(yè)網(wǎng)絡(luò)效果的發(fā)揮離不開系統(tǒng)管理，決不僅僅是安裝好企業(yè)網(wǎng)絡(luò)的設(shè)備,配置好軟件那么簡單，同樣一個運行良好的企業(yè)網(wǎng)離不開人的管理,系統(tǒng)管理在網(wǎng)絡(luò)建設(shè)和維護中是至關(guān)重要的,目前在系統(tǒng)管理方面存在的誤區(qū)主要包括：〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為系統(tǒng)管理只要有計算機人員就可以了,不建立規(guī)范、有效的管理制度，沒有想到系統(tǒng)管理實際上是企業(yè)管理中必不可少的一部分?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為系統(tǒng)管理就是對計算機、網(wǎng)絡(luò)設(shè)備、系統(tǒng)軟件的管理,沒考慮到對企業(yè)整體信息資源的管理，不注重對數(shù)據(jù)信息的規(guī)范化、標(biāo)準(zhǔn)化管理?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為系統(tǒng)管理簡單,費用不高，投入的財力、人力、物力不足。有許多企業(yè)的系統(tǒng)管理員只會“玩〞PC而已，網(wǎng)管軟件也被當(dāng)作是可有可無的東西。殊不知,隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和信息的增多，系統(tǒng)管理工作是相當(dāng)復(fù)雜和繁重的?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為系統(tǒng)管理工作只是輔助性工作,不能為企業(yè)創(chuàng)造直接效益，可以不予重視。結(jié)果導(dǎo)致專業(yè)計算機人才流失,只好使用非專業(yè)人員,使管理效果大打折扣?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕認為只有看的見的東西才值錢，因而不愿意在服務(wù)上花錢。在系統(tǒng)管理上無法得到專業(yè)廠商的支持，導(dǎo)致管理水平業(yè)余而落后。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕Intｒanet與網(wǎng)絡(luò)安全技術(shù)2．１信息安全的重要性和內(nèi)涵長期以來,人們把信息安全理解為對信息的機密性、完整性和可獲性的保護,這固然是對的,但這個觀念是在二十多年前主機時代形成的。當(dāng)時人們需要保護的是設(shè)在專用機房內(nèi)的主機以及數(shù)據(jù)的安全性，因此它是面向單機、面向數(shù)據(jù)的。八十年代進入了微機和局域網(wǎng)時代,計算機已從專用機房內(nèi)解放到分散的辦公桌面乃至家庭,由于它的用戶／網(wǎng)絡(luò)結(jié)構(gòu)比較簡單、對稱,所以既要依靠技術(shù)措施保護,還要制定人人必須遵守的規(guī)定。因此,這個時代的信息安全是面向網(wǎng)管、面向規(guī)約的。九十年代進入了互聯(lián)網(wǎng)時代,每個用戶有都可以聯(lián)接、使用乃至控制散布在世界上各個角落的上網(wǎng)計算機，因此Intｅrnet的信息安全內(nèi)容更多,更為強調(diào)面向連接、面向用戶〔“人〞〕。因為在這個嶄新的世界里,人與計算機的關(guān)系發(fā)生了質(zhì)的變化。人、網(wǎng)、環(huán)境相結(jié)合,形成了一個復(fù)雜的巨系統(tǒng)。通過網(wǎng)上的協(xié)同和交流,人的智能和計算機快速運行的能力匯集并融合起來,創(chuàng)造了新的社會生產(chǎn)力,豐富著大量應(yīng)用〔電子商務(wù),網(wǎng)上購物等等〕和滿足著人們的各種社會需要〔交流、學(xué)習(xí)、醫(yī)療、消費、娛樂、安全感、安全環(huán)境等等〕。在這個復(fù)雜巨系統(tǒng)中，“人〞以資源使用者的身份出現(xiàn)，是系統(tǒng)的主體,處于主導(dǎo)地位，而系統(tǒng)的資源〔包括硬軟件、通訊網(wǎng)、數(shù)據(jù)、信息內(nèi)容等〕則是客體,它是為主體即“人〞服務(wù)的，與此相適應(yīng),信息安全的主體也是“人〞〔包括用戶、團體、社會和國家〕，其目的主要是保證主體對信息資源的控制?？梢赃@樣說：面向數(shù)據(jù)的安全概念是前述的保密性、完整性和可獲性,而面向使用者的安全概念則是鑒別、授權(quán)、訪問控制、抗否認性和可服務(wù)性以及在于內(nèi)容的個人隱私、知識產(chǎn)權(quán)等的保護。這兩者結(jié)合就是信息安全體系結(jié)構(gòu)中的安全服務(wù)功能〕,而這些安全問題又要依靠密碼、數(shù)字簽名、身份驗證技術(shù)、防火墻、安全審計、災(zāi)難恢復(fù)、防病毒、防黑客入侵等安全機制〔措施〕加以解決。其中密碼技術(shù)和管理是信息安全的核心,安全標(biāo)準(zhǔn)和系統(tǒng)評估是信息安全的基礎(chǔ)。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕總之從歷史的、人網(wǎng)大系統(tǒng)的概念出發(fā),現(xiàn)代的信息安全牽涉到個人權(quán)益、企業(yè)生存、金融風(fēng)險防范、社會穩(wěn)定和國家的安全。它是物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、信息內(nèi)容安全、信息基礎(chǔ)設(shè)施安全與公共、國家信息安全的總和。信息安全的完整內(nèi)涵是和信息安全的方法論相匹配的，信息安全系統(tǒng)是一個多維、多因素、多層次、多目標(biāo)的系統(tǒng)。因此,有必要從方法論的角度去理解現(xiàn)有的信息安全模式?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕1.分析與綜合的辯證思維方法:要在分析過程中從整體上把握好分析要素的內(nèi)部矛盾,例如：＊在威脅分析中的環(huán)境災(zāi)害與人員失誤、無意疏忽與有意破壞、外部人員與內(nèi)部職員、竊密篡改與拒絕服務(wù)、個人行為與有組織的信息戰(zhàn)威脅等關(guān)系?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕在脆弱性分析中的軟件、協(xié)議缺陷與嵌入后門、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層薄弱環(huán)節(jié)的關(guān)聯(lián)等。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕在攻擊分析中的利用技術(shù)漏洞與社會工程、行為模式與隱蔽方式等關(guān)系。在綜合方法上則應(yīng)該面向過程,著眼發(fā)展:風(fēng)險管理的綜合方法：立足于盡量減少風(fēng)險，實行資產(chǎn)評估，風(fēng)險估算,重點選擇，綜合平衡,政策制定,系統(tǒng)實施,審計監(jiān)管等的全過程和全面質(zhì)量管理?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕安全評估的綜合方法：面向設(shè)計過程，強調(diào)系統(tǒng)總體評價。在評估標(biāo)準(zhǔn)上掌握好傳統(tǒng)與現(xiàn)實、國際通用互認和中國特點的關(guān)系。在保護輪廓內(nèi)掌握好安全功能和保障的關(guān)系?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕2.從系統(tǒng)復(fù)雜性的觀點理解和解決安全問題:信息安全是過程、政策、標(biāo)準(zhǔn)、管理、指導(dǎo)、監(jiān)控、法規(guī)、培訓(xùn)和工具技術(shù)的有機總和。這需要在不同層面上面向目標(biāo),用定性與定量相結(jié)合、技術(shù)措施與專家經(jīng)驗相結(jié)合的綜合集成方法加以解決。對信息內(nèi)容的管理則要從源頭、傳遞、網(wǎng)關(guān)、服務(wù)網(wǎng)站和用戶層面進行綜合治理。以創(chuàng)新精神跟上網(wǎng)絡(luò)和安全技術(shù)的新發(fā)展我們處在網(wǎng)絡(luò)調(diào)整發(fā)展和科技突飛猛進的時代，信息安全技術(shù)是具有對抗性的敏感技術(shù),面對日益迫切的需要，唯一的出路就是自主?創(chuàng)新。但是自主創(chuàng)新并不排斥吸取國外的先進技術(shù)相反，只有密切跟蹤國際信息安全技術(shù)的新進民才能知已〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕知彼，為我所用,在技術(shù)創(chuàng)新上以下發(fā)展值得注意:1.在信息安全系統(tǒng)的構(gòu)建、模式、評估方面風(fēng)險管理技術(shù)已由傳統(tǒng)的相對固定的模式向靈活的不斷反饋、不斷演進的彈性模式轉(zhuǎn)化,強調(diào)可測量的方法體系,形成所謂“有適應(yīng)能力的風(fēng)險管理模式〞?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕十年前，信息安全系統(tǒng)構(gòu)建理念是“自上而下〞即頂層設(shè)計。從Inteｒnｅt的歷史特點和發(fā)展現(xiàn)實出發(fā),需要先“自下而上〞赴，接著“上下結(jié)合〞,然后再在網(wǎng)絡(luò)的確定范圍內(nèi)從全局上規(guī)劃,構(gòu)成安全體系。系統(tǒng)安全不能作到一勞永逸,需要動態(tài)的構(gòu)建模型?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕在安全功能、服務(wù)的配置上,過去是先從整體定義入手，但是Inｔerｎet量個多元化的應(yīng)用環(huán)境,而且日新月異。因此現(xiàn)實的解決辦法是“分而治之〞。各種應(yīng)用，各個部門,先在統(tǒng)一的規(guī)范下,“從我做起〞或者分層分步實施。這在相當(dāng)一段時間內(nèi),是推動網(wǎng)絡(luò)發(fā)展、激勵安全應(yīng)用的現(xiàn)實途徑?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕新的安全協(xié)議不斷出現(xiàn),有的已趨于成熟，例如大家熟知IPv6已被公認安全性較強,又能比IＰv4提供更好的互連互通功能,很有可能進入主流，如何使我們的安全產(chǎn)品能同時支持IPv6已提到日程上〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕人類社會向來是正義與邪惡并存,在科學(xué)技術(shù)進步的同時人類也面臨新的威脅，計算機技術(shù)的發(fā)展帶來的計算機犯罪就是其中典型的例子。下面談?wù)剬嵤┮粋€完整的安全體系應(yīng)該考慮的問題。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕國內(nèi)的信息系統(tǒng)安全嗎?在國家范圍的網(wǎng)絡(luò)建設(shè)方面,國家電信事業(yè)迅速發(fā)展,取得了巨大的成績。但是，國家通信網(wǎng)絡(luò)的交換機及其通信設(shè)備有相當(dāng)一部分由于沒有經(jīng)過安全檢測,安全問題沒有保證,這是由于安全檢測工作的建設(shè)滯后造成的?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕交換機的嵌入操作系統(tǒng)的安全性也存在問題。通信業(yè)務(wù)的計算機系統(tǒng)也多采用開放式的操作系統(tǒng),安全級別都很低,也沒有附加安全措施。這些系統(tǒng)不能抵抗黑客的攻擊與信息炸彈的攻擊。在國家政府部門,應(yīng)當(dāng)說對信息系統(tǒng)的安全性還是重視的,但苦于沒有好的解決問題的方案和安全建設(shè)經(jīng)費不足，行業(yè)系統(tǒng)安全問題還是相當(dāng)嚴重的,計算機系統(tǒng)也多采用開放式的操作系統(tǒng),安全級別較低。不能抵抗黑客的攻擊與信息炸彈的攻擊。有些系統(tǒng)網(wǎng)絡(luò)多路出口,對信息系統(tǒng)安全沒有概念,完全沒有安全措施,更談不上安全管理與安全策略的制定。有的行業(yè)的信息系統(tǒng)業(yè)務(wù)是在沒有安全保障的情況下發(fā)展的?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕在金融領(lǐng)域,有些系統(tǒng)采用了開放操作系統(tǒng)ＵNIＸ。在系統(tǒng)采購時，有些單位沒有采購安全系統(tǒng)或安全系統(tǒng)建設(shè)不完善。這些系統(tǒng)安全級別較低，安全問題是普遍性的。有的商品交易所與證券公司使用的信息系統(tǒng)采用的是微機網(wǎng)絡(luò)系統(tǒng),已經(jīng)出現(xiàn)內(nèi)外黑客的攻擊,應(yīng)當(dāng)說問題已經(jīng)相當(dāng)嚴重?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕在產(chǎn)業(yè)發(fā)展決策方面,當(dāng)然改革開放以來取得巨大成績,在行業(yè)規(guī)劃方面一度存在輕系統(tǒng)重應(yīng)用的發(fā)展思路，對目前出現(xiàn)的信息系統(tǒng)安全問題是有影響的。行業(yè)部門應(yīng)當(dāng)重視系統(tǒng)軟件的建設(shè)工作,因為單靠企業(yè)發(fā)展系統(tǒng)軟件是不可能在較短的時間內(nèi)取得地位的,要在系統(tǒng)軟件領(lǐng)域占有一席之地應(yīng)當(dāng)成為國策，甚至不亞于芯片建設(shè)的重要性。要加強信息系統(tǒng)安全的標(biāo)準(zhǔn)化工作,要啟動信息系統(tǒng)安全建設(shè)的內(nèi)需,要明確信息系統(tǒng)安全建設(shè)的要求和規(guī)范。應(yīng)當(dāng)引起我們注意的是操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與數(shù)據(jù)庫管理系統(tǒng)的安全問題，是信息系統(tǒng)的核心技術(shù),沒有系統(tǒng)的安全就沒有信息的安全。我們應(yīng)當(dāng)特別注意,我們國家在信息系統(tǒng)安全方面與美國是不平等的。在信息系統(tǒng)安全管理部門信息系統(tǒng)產(chǎn)品的認證和檢測工作剛剛開始,任重而道遠〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕２.3影響網(wǎng)絡(luò)信息安全的因素現(xiàn)今的網(wǎng)絡(luò)信息安全存在的威脅主要表現(xiàn)在以下幾個方面。１.非授權(quán)訪問。指對網(wǎng)絡(luò)設(shè)備及信息資源進行非正常使用或越權(quán)使用等。２.冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用權(quán)限,以達到占用合法用戶資源的目的?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕3.破壞數(shù)據(jù)的完整性。指使用非法手段,刪除、修改、重發(fā)某些重要信息,以干擾用戶的正常使用?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕4.干擾系統(tǒng)正常運行。指改變系統(tǒng)的正常運行方法,減慢系統(tǒng)的響應(yīng)時間等手段?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕５.病毒與惡意攻擊。指通過網(wǎng)絡(luò)傳播病毒或惡意Ｊａva、XＡctiｖe等。6.線路竊聽。指利用通信介質(zhì)的電磁泄漏或搭線竊聽等手段獲取非法信息。2．４計算機安全分類及基本功能根據(jù)國家計算機安全規(guī)范,可把計算機的安全大致分為三類。一是實體安全,包括機房、線路,主機等；二是網(wǎng)絡(luò)與信息安全,包括網(wǎng)絡(luò)的暢通、準(zhǔn)確及其網(wǎng)上的信息安全；三是應(yīng)用安全，包括程序開發(fā)運行、輸入輸出、數(shù)據(jù)庫等的安全。下面重點探討第二類網(wǎng)絡(luò)與信息的安全問題?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)絡(luò)信息安全需求可以歸結(jié)為以下幾類:1.基本安全類包括訪問控制、授權(quán)、認證、加密和內(nèi)容安全等。訪問控制是提供企業(yè)內(nèi)部與外界及內(nèi)部不同信息源之間隔離的基本機制,也是企業(yè)的基本要求。但是提供隔離不是最終目的,企業(yè)利用Inｔｅrnｅt技術(shù)的最終目的應(yīng)當(dāng)是在安全的前題下提供方便的信息訪問，這就是授權(quán)需求。同時,用戶也希望對授權(quán)的人的身份進行有效的識別,這就是認證的需求。為了保證信息在存儲和傳輸中不被纂改、竊聽等需要加密功能,同時,為了實施對進出企業(yè)網(wǎng)的流量進行有效的控制,就需要引入內(nèi)容安全要求?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕2.管理與記帳類包括安全策略管理、企業(yè)范圍內(nèi)的集中管理、記帳、實時監(jiān)控,報警等功能。3．網(wǎng)絡(luò)互聯(lián)設(shè)備安全類包括路由器安全管理、遠程訪問服務(wù)器安全管理、通信服務(wù)器安全管理、交換機安全管理等?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕４．連接控制類主要為發(fā)布企業(yè)消息的服務(wù)器提供可靠的連接服務(wù)，包括負載均衡、高可靠性以及流量管理等?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕2.5安全缺口安全策略經(jīng)常會與用戶方便性相矛盾,從而產(chǎn)生相反的壓力,使安全措施與安全策略相脫節(jié)。這種情況稱為安全缺口。為什么會存在安全缺口呢?有下面四個因素:〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕1、網(wǎng)絡(luò)設(shè)備種類繁多——當(dāng)前使用的有各種各樣的網(wǎng)絡(luò)設(shè)備,從ＷindowsNT和UNIX服務(wù)器到防火墻、路由器和Ｗｅb服務(wù)器,每種設(shè)備均有其獨特的安全狀況和保密功能;〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕2、訪問方式的多樣化——一般來說,您的網(wǎng)絡(luò)環(huán)境存在多種進出方式,許多過程拔號登錄點以及新的Intｅrnet訪問方式可能會使安全策略的設(shè)立復(fù)雜化;〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕3、網(wǎng)絡(luò)的不斷變化——網(wǎng)絡(luò)不是靜態(tài)的，一直都處于發(fā)展變化中。啟用新的硬件設(shè)備和操作系統(tǒng)，實施新的應(yīng)用程序和Ｗeb服務(wù)器時,安全配置也有不盡相同;〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕4、用戶保安專業(yè)知識的缺乏——許多組織所擁有的對網(wǎng)絡(luò)進行有效保護的保安專業(yè)知識十分有限,這實際上是造成安全缺口最為主要的一點?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕2.6網(wǎng)絡(luò)安全評估為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網(wǎng)絡(luò)安全狀況進行評估：〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕1、從企業(yè)外部進行評估:考察企業(yè)計算機基礎(chǔ)設(shè)施中的防火墻;2、從企業(yè)內(nèi)部進行評估:考察內(nèi)部網(wǎng)絡(luò)系統(tǒng)中的計算機;3、從應(yīng)用系統(tǒng)進行評估:考察每臺硬件設(shè)備上運行的操作系統(tǒng)。2．7計算機網(wǎng)絡(luò)的安全策略2.7.1物理安全策略物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊;驗證用戶的身份和使用權(quán)限、防用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境;建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕抑制和防止電磁泄漏〔即TEMＰＥST技術(shù)〕是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導(dǎo)發(fā)射的防護,主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導(dǎo)線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕二是干擾的防護措施，即在計算機系統(tǒng)工作的同時,利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕２．７.2訪問控制策略訪問控制是網(wǎng)絡(luò)安全防范和保護的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和非常訪問。它也是維護網(wǎng)絡(luò)系統(tǒng)安全、保護網(wǎng)絡(luò)資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡(luò)安全最重要的核心策略之一。下面我們分述各種訪問控制策略?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕1〕入網(wǎng)訪問控制入網(wǎng)訪問控制為網(wǎng)絡(luò)訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源,控制準(zhǔn)許用戶入網(wǎng)的時間和準(zhǔn)許他們在哪臺工作站入網(wǎng)?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕用戶的入網(wǎng)訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的缺省限制檢查。三道關(guān)卡中只要任何一關(guān)未過,該用戶便不能進入該網(wǎng)絡(luò)?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對網(wǎng)絡(luò)用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，服務(wù)器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續(xù)驗證用戶輸入的口令，否則,用戶將被拒之網(wǎng)絡(luò)之外。用戶的口令是用戶入網(wǎng)的關(guān)鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應(yīng)不少于6個字符,口令字符最好是數(shù)字、字母和其他字符的混合,用戶口令必須經(jīng)過加密,加密的方法很多,其中最常見的方法有：基于單向函數(shù)的口令加密,基于測試模式的口令加密,基于公鑰加密方案的口令加密,基于平方剩余的口令加密,基于多項式共享的口令加密，基于數(shù)字簽名方案的口令加密等。經(jīng)過上述方法加密的口令,即使是系統(tǒng)管理員也難以得到它。用戶還可采用一次性用戶口令，也可用便攜式驗證器〔如智能卡〕來驗證用戶的身份?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)絡(luò)管理員應(yīng)該可以控制和限制普通用戶的帳號使用、訪問網(wǎng)絡(luò)的時間、方式。用戶名或用戶帳號是所有計算機系統(tǒng)中最基本的安全形式。用戶帳號應(yīng)只有系統(tǒng)管理員才能建立。用戶口令應(yīng)是每用戶訪問網(wǎng)絡(luò)所必須提交的“證件〞、用戶可以修改自己的口令,但系統(tǒng)管理員應(yīng)該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網(wǎng)的寬限次數(shù)?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕用戶名和口令驗證有效之后,再進一步履行用戶帳號的缺省限制檢查。網(wǎng)絡(luò)應(yīng)能控制用戶登錄入網(wǎng)的站點、限制用戶入網(wǎng)的時間、限制用戶入網(wǎng)的工作站數(shù)量。當(dāng)用戶對交費網(wǎng)絡(luò)的訪問“資費〞用盡時,網(wǎng)絡(luò)還應(yīng)能對用戶的帳號加以限制,用戶此時應(yīng)無法進入網(wǎng)絡(luò)訪問網(wǎng)絡(luò)資源。網(wǎng)絡(luò)應(yīng)對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵，應(yīng)給出報警信息。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕2〕網(wǎng)絡(luò)的權(quán)限控制網(wǎng)絡(luò)的權(quán)限控制是針對網(wǎng)絡(luò)非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權(quán)限。網(wǎng)絡(luò)控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設(shè)備能夠執(zhí)行哪些操作。受托者指派和繼承權(quán)限屏蔽〔IRM〕可作為其兩種實現(xiàn)方式。受托者指派控制用戶和用戶組如何使用網(wǎng)絡(luò)服務(wù)器的目錄、文件和設(shè)備。繼承權(quán)限屏蔽相當(dāng)于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權(quán)限。我們可以根據(jù)訪問權(quán)限將用戶分為以下幾類：〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕特殊用戶〔即系統(tǒng)管理員〕；一般用戶,系統(tǒng)管理員根據(jù)他們的實際需要為他們分配操作權(quán)限；審計用戶,負責(zé)網(wǎng)絡(luò)的安全控制與資源使用情況的審計。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限可以用一個訪問控制表來描述?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕3〕目錄級安全控制網(wǎng)絡(luò)應(yīng)允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕系統(tǒng)管理員權(quán)限〔Suｐｅｒｖisｏｒ〕；讀權(quán)限〔Read〕、;寫權(quán)限〔Write〕；創(chuàng)建權(quán)限〔Creatｅ〕；刪除權(quán)限〔Erａsｅ〕；修改權(quán)限〔Ｍoｄｉfy〕;文件查找權(quán)限〔〕;存取控制權(quán)限〔AccessＣｏnｔrol〕；用戶對文件或目標(biāo)的有效權(quán)限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)當(dāng)為用戶指定適當(dāng)?shù)脑L問權(quán)限,這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問，從而加強了網(wǎng)絡(luò)和服務(wù)器的安全性?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕４〕屬性安全控制當(dāng)用文件、目錄和網(wǎng)絡(luò)設(shè)備時,網(wǎng)絡(luò)系統(tǒng)管理員應(yīng)給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應(yīng)預(yù)先標(biāo)出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應(yīng)一張訪問控制表,用以表明用戶對網(wǎng)絡(luò)資源的訪問能力?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、、執(zhí)行修改、顯示等?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕5〕網(wǎng)絡(luò)服務(wù)器安全控制網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊,可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺,以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù);可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕6〕網(wǎng)絡(luò)監(jiān)測和鎖定控制網(wǎng)絡(luò)管理員應(yīng)對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應(yīng)記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問,服務(wù)器應(yīng)以圖形或文字或聲音等形式報警,以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應(yīng)會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù),如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該帳戶將被自動鎖定?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕7〕網(wǎng)絡(luò)端口和節(jié)點的安全控制網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護,并以加密的形式來識別節(jié)點的身份。自動回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡(luò)還常對服務(wù)器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器〔如智能卡、磁卡、安全密碼發(fā)生器〕。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務(wù)器端再進行相互驗證〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕2．8確保網(wǎng)絡(luò)安全的措施由于網(wǎng)絡(luò)安全的目的是保障用戶的重要信息的安全，因此限制直接接觸十分重要。如果用戶的網(wǎng)絡(luò)連入Interneｔ，那麼最好盡可能地把與Interｎet連接的機器與網(wǎng)絡(luò)的其余部分隔離開來。實現(xiàn)這個目標(biāo)的最安全的方法是將Ｉntｅrnet服務(wù)器與網(wǎng)絡(luò)實際隔開。當(dāng)然，這種解決方案增加了機器管理的難度。但是如果有人闖入隔離開的機器，那麼網(wǎng)絡(luò)的其余部分不會受到牽連。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕最重要的是限制訪問。不要讓不需要進入網(wǎng)關(guān)的人都進入網(wǎng)關(guān)。在機器上用戶僅需要一個用戶帳號，嚴格限制它的口令。只有在使用su時才允許進入根帳號。這個方法保留一份使用根帳號者的記錄?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕在Ｉnternｅｔ服務(wù)器上提供的一些服務(wù)有、遠程登陸和WAIS〔廣域信息服務(wù)〕。但是,是使用最普遍的服務(wù)。它們還有潛力泄露出乎用戶意料之外的秘密?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕與任何其它Intｅrneｔ服務(wù)一樣,FＴP一直是〔而且仍是〕易于被濫用的。值得一提的弱點牽涉幾個方面。第一個危險是配置不當(dāng)。它使站點的訪問者〔或潛在攻擊者〕能夠獲得更多超出其預(yù)期的數(shù)據(jù)。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕他們一旦進入,下一個危險是可能破壞信息。一個未經(jīng)審查的攻擊者可以抹去用戶的整個FTP站點?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕最后一個危險不必長篇累牘，這是因為它不會造成破壞，而且是低水平的。它由用戶的FTP站點構(gòu)成,對于交換文件的人來說,用戶的FTP站點成為“麻木不仁的窩臟點〞。這些文件無所不包，可以是盜版軟件,也可以是色情畫。這種交換如何進行的呢？簡單的很。發(fā)送者發(fā)現(xiàn)了一個他們有權(quán)寫入和拷入可疑文件的ＦTP站點。通過某些其它方法,發(fā)送者通知它們的同伙文件可以使用。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當(dāng)用戶通過FTP訪問一個系統(tǒng)時,這一般是FTＰ用戶所做的事。因此，F(xiàn)TP用戶可以訪問,用戶的訪問者也可以使用。所有這些問題都是由未正確規(guī)定許可條件而引起的。最大的一個問題可能是允許FTP用戶有機會寫入。當(dāng)用戶通過FTP訪問一個系統(tǒng)時，這一般是ＦTP用戶所做的事。因此，ＦTＰ用戶可以訪問,用戶的訪問者也可以訪問?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕一般說來,FTＰ用戶不是用戶的系統(tǒng)中已經(jīng)有的。因此，用戶要建立FＴＰ用戶。無論如何要保證將外殼設(shè)置為真正外殼以外的東西。這一步驟防止FＴＰ用戶通過遠程登錄進行注冊〔用戶或許已經(jīng)禁止遠程登錄，但是萬一用戶沒有這樣做，確認一下也不會有錯〕。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕將所有文件和目錄的主人放在根目錄下，不要放在ｆｔｐ下。這個預(yù)防措施防止FＴP用戶修改用戶仔細構(gòu)思出的口令。然后，將口令規(guī)定為755〔讀和執(zhí)行,但不能寫，除了主人之外〕。在用戶希望匿名用戶訪問的所有目錄上做這項工作。盡管這個規(guī)定允許他們讀目錄,但它也防止他們把什麼東西放到目錄中來。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕用戶還需要編制某些可用的庫。然而，由于用戶已經(jīng)在以前建立了必要的目錄，因此這一步僅執(zhí)行一部分。因此,用戶需要做的一切是將/usr/lib/ｌｉbe.sｏ.1和/uｓｒ／lｉb／libsock-ｅt.ｓo/１拷貝到~中。接著將～上的口令改為555,并建立主接收器?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕最后，用戶需要在~中建立/dｅｖ/nｕll和/dev／soｃksys設(shè)備結(jié)點。用戶可以用mknｏｄ手工建立它們。然而,讓系統(tǒng)為用戶工作會更加容易。ＳCO文檔說用cpiｏ,但是copｙ〔非cp〕很管用?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕如果用戶想建立一個人們都可用留下文件的目錄,那麼可將它稱作輸入。允許其他人寫入這個目錄，但不能讀。這個預(yù)防措施防止它成為麻木不仁的窩臟點。人們可以在這里放入他們想放的任何東西，但是他們不能將它們?nèi)〕?。如果用戶認為信息比較適合共享,那麼將拷貝到另一個目錄中?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕2.9提高企業(yè)內(nèi)部網(wǎng)安全性的幾個步驟限制對網(wǎng)關(guān)的訪問。限制網(wǎng)關(guān)上的帳號數(shù)。不要允許在網(wǎng)絡(luò)上進行根注冊；不要信任任何人。網(wǎng)關(guān)不信任任何機器。沒有一臺機器應(yīng)該信任網(wǎng)關(guān);不要用NFＳ向網(wǎng)關(guān)傳輸或接收來自網(wǎng)關(guān)的任何文件系統(tǒng);不要在網(wǎng)關(guān)上使用NIS〔網(wǎng)絡(luò)信息服務(wù)〕；制訂和執(zhí)行一個非網(wǎng)關(guān)機器上的安全性方針;關(guān)閉所有多余服務(wù)和刪除多余程序刪除網(wǎng)關(guān)的所有多余程序〔遠程登錄、rloｇin、FＴP等等〕;定期閱讀系統(tǒng)記錄。3.Intｒａnet安全解決方案3.１Intraｎｅt安全解決方案過去我們往往把信息安全局限于通信保密,局限于對信息加密功能要求，其實網(wǎng)絡(luò)信息安全牽涉到方方面面的問題,是一個極其復(fù)雜的系統(tǒng)工程。從簡化的角度來看，要實施一個完整的網(wǎng)絡(luò)與信息安全體系,至少應(yīng)包括三類措施,并且三者缺一不可。一是社會的法律政策、企業(yè)的規(guī)章制度以及安全教育等外部軟環(huán)境。在該方面政府有關(guān)部門、企業(yè)的主要領(lǐng)導(dǎo)應(yīng)當(dāng)扮演重要的角色。二是技術(shù)方面的措施,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密存儲通信、身份認證、授權(quán)等。只有技術(shù)措施并不能保證百分之百的安全。三是審計和管理措施,該方面措施同時包含了技術(shù)與社會措施。其主要措施有：實時監(jiān)控企業(yè)安全狀態(tài)、提供實時改變安全策略的能力、對現(xiàn)有的安全系統(tǒng)實施漏洞檢查等，以防患于未然?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕企業(yè)要實施一個安全的系統(tǒng)應(yīng)該三管齊下。其中法律、企業(yè)領(lǐng)導(dǎo)層的重視應(yīng)處于最重要的位置。沒有社會的參與就不可能實施安全保障?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)絡(luò)信息安全包括了建立安全環(huán)境的幾個重要組成部分,其中安全的基石是社會法律、法規(guī)與手段,這部分用于建立一套安全管理標(biāo)準(zhǔn)和方法?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕第二部分為增強的用戶認證,用戶認證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門，最后防線為審計和數(shù)據(jù)備份,不加強這道大門的建設(shè)，整個安全體系就會較脆弱。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。用戶認證方法按其層次不同可以根據(jù)以下三種因素提供認證。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕1.用戶持有的證件,如大門鑰匙、門卡等等;2．用戶知道的信息,如密碼；3.用戶特有的特征，如指紋、聲音、視網(wǎng)膜掃描等等。根據(jù)在認證中采用因素的多少，可以分為單因素認證、雙因素認證,多因素認證等方法?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕第三部分是授權(quán),這主要為特許用戶提供合適的訪問權(quán)限，并監(jiān)控用戶的活動，使其不越權(quán)使用。該部分與訪問控制〔常說的隔離功能〕是相對立的。隔離不是管理的最終目的，管理的最終目的是要加強信息有效、安全的使用,同時對不同用戶實施不同訪問許可?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕第四部分是加密。在上述的安全體系結(jié)構(gòu)中,加密主要滿足以下幾個需求。1.認證——識別用戶身份,提供訪問許可;２．一致性——保證數(shù)據(jù)不被非法篡改；3.隱密性——保護數(shù)據(jù)不被非法用戶查看;4.不可抵賴——使信息接收者無法否認曾經(jīng)收到的信息。加密是信息安全應(yīng)用中最早開展的有效手段之一,數(shù)據(jù)通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實際的網(wǎng)絡(luò)與信息安全建設(shè)中,利用加密技術(shù)至少應(yīng)能解決以下問題:〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕１.鑰匙的管理,包括數(shù)據(jù)加密鑰匙、私人證書、私密等的保證分發(fā)措施;２．建立權(quán)威鑰匙分發(fā)機構(gòu)；3.保證數(shù)據(jù)完整性技術(shù);4．?dāng)?shù)據(jù)加密傳輸;5.數(shù)據(jù)存儲加密等。第五部分為審計和監(jiān)控,確切說,還應(yīng)包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責(zé)任追查、重要數(shù)據(jù)復(fù)原等保障?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕在網(wǎng)絡(luò)和信息安全模型中,這五個部分是相輔相成、缺一不可的。其中底層是上層保障的基礎(chǔ)，如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個企業(yè)沒有對授權(quán)用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標(biāo)準(zhǔn),那么對用戶授權(quán)的控制過程以及事后的審計等的工作就會變得非常困難。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕３.2網(wǎng)絡(luò)信息安全產(chǎn)品為了實施上面提出的安全體系,可采用防火墻產(chǎn)品來滿足其要求。采用ＮetScreｅn公司的硬件防火墻解決方案NeｔScｒeen-１0&NｅtScreen-１00可以滿足以下功能。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕〔1〕訪問控制實施企業(yè)網(wǎng)與外部、企業(yè)內(nèi)部不同部門之間的隔離。其關(guān)鍵在于應(yīng)支持目前Iｎterｎet中的所有協(xié)議,包括傳統(tǒng)的面向連接的協(xié)議、無連接協(xié)議、多媒體、視頻、商業(yè)應(yīng)用協(xié)議以及用戶自定義協(xié)議等?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕〔２〕普通授權(quán)與認證提供多種認證和授權(quán)方法,控制不同的信息源?！?〕內(nèi)容安全對流入企業(yè)內(nèi)部的網(wǎng)絡(luò)信息流實施內(nèi)部檢查,包括URL過濾等等。〔4〕加密提供防火墻與防火墻之間、防火墻與移動用戶之間信息的安全傳輸?！?〕網(wǎng)絡(luò)設(shè)備安全管理目前一個企業(yè)網(wǎng)絡(luò)可能會有多個連通外界的出口,如連接ISP的專線、撥號線等,同時,在大的企業(yè)網(wǎng)內(nèi)不同部門和分公司之間可能亦會有由多級網(wǎng)絡(luò)設(shè)備隔離的小網(wǎng)絡(luò)。根據(jù)信息源的分布情況,有必要對不同網(wǎng)絡(luò)和資源實施不同的安全策略和多種級別的安全保護,如可以在防火墻上實施路由器、交換機、訪問服務(wù)器的安全管理?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕〔6〕集中管理實施一個企業(yè)一種安全策略,實現(xiàn)集中管理、集中監(jiān)控等?！?〕提供記帳、報警功能實施移動方式的報警功能，包括Ｅ-maｉl、SNＭP等。企業(yè)如何選擇合適的防火墻計算機網(wǎng)絡(luò)將有效的實現(xiàn)資源共享,但資源共享和信息安全是一對矛盾。隨著資源共享進一步加強,隨之而來的信息安全問題也日益突出?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕并不是每一款防火墻都適應(yīng)于每個用戶的需求,根據(jù)用戶需求的不同,所需要的防火墻可能完全不同。下面列舉了幾種網(wǎng)絡(luò)中的防火墻應(yīng)用?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕INTERＮET或信息發(fā)布服務(wù)這種情況非常普遍,ISP或ＩCP，企業(yè)的網(wǎng)頁，在INＴEＲNＥＴ上提供息服務(wù)或提供數(shù)據(jù)庫服務(wù)等。任何一種想提供普遍服務(wù)或廣而告之的網(wǎng)絡(luò)行為,必須允許用戶能夠訪問到你提供服務(wù)的主機,都屬于這種情況。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對訪問服務(wù)行業(yè)而言,訪問服務(wù)提供者必須把要提供服務(wù)的服務(wù)器主機放在外部用戶可以訪問的地方,也就是說，主機安全幾乎是唯一的保證。除非明確地知道誰會對你的訪問驚醒破壞，才可以對出口路由器或出口防火墻驚醒一些針對性的限制訪問控制的設(shè)定，否則，訪問控制變得毫無意義。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕主機安全是一個非常有效的手段。所謂的主機安全是一個非常廣義的概念,首先是要有一個安全的操作系統(tǒng),建立在一個不安全、甚至穩(wěn)定性都很差的操作系統(tǒng)上，是無法作到一個安全的主機。然后是仔細的檢查你所提供的服務(wù)，如果不是你所必須提供的服務(wù),建議除掉一切你所不需要的進程，對你的服務(wù)而言，它們都是你安全上的隱患?？梢圆捎靡恍┌踩珯z測或網(wǎng)絡(luò)掃描工具來確定你的服務(wù)器上到底有伸麼服務(wù),以保證是否有安全漏洞或隱患。最后是對主機確定非常嚴格的訪問限制規(guī)則,除了允許提供商愿意提供的服務(wù)之外,宣紙并拒絕所有未允許的服務(wù)，這是一個非常嚴格的措施?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕除了主機安全以外，如果還需要提高服務(wù)的安全性,就該考慮采用網(wǎng)絡(luò)實時監(jiān)控和交互式動態(tài)防火墻。網(wǎng)絡(luò)實時監(jiān)控系統(tǒng)，會自動捕捉網(wǎng)絡(luò)上所有的通信包,并對其進行分析和解析，并判斷出用戶的行為和企圖。如果發(fā)現(xiàn)用戶的行為或企圖與服務(wù)商所允許的服務(wù)不同，交互式防火墻立即采取措施,封堵或拒絕用戶的訪問，將其拒絕在防火墻之外,并報警。網(wǎng)絡(luò)實時監(jiān)控系統(tǒng)和交互式防火墻具有很強的審計功能，但成本相對偏高?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕IＮＴＥRNET和內(nèi)部網(wǎng)企業(yè)一方面訪問ＩＮTERNET,得到ＩNＴEＲNET所帶來的好處，另一方面,卻不希望外部用戶去訪問企業(yè)的內(nèi)部數(shù)據(jù)庫和網(wǎng)絡(luò)。企業(yè)當(dāng)然沒有辦法去建立兩套網(wǎng)絡(luò)來滿足這種需求?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕防火墻的基本思想不是對每臺主機系統(tǒng)進行保護,而是讓所有對系統(tǒng)的訪問通過某一點,并且保護這一點，并盡可能地對受保護的內(nèi)部網(wǎng)和不可信任的外界網(wǎng)絡(luò)之間建立一道屏障,它可以實施比較慣犯的安全政策來控制信息流，防止不可預(yù)料的潛在的入侵破壞?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕根據(jù)企業(yè)內(nèi)部網(wǎng)安全政策的不同，采取防火墻的技術(shù)手段也有所不同。包過濾防火墻包過濾防火墻的安全性是基于對包的IP地址的校驗。在Intｅrnｅt上,所有信息都是以包的形式傳輸?shù)?信息包中包含發(fā)送方的IP地址和接收方的IP地址。包過濾防火墻將所有通過的信息包中發(fā)送方IP地址、接收方IP地址、TＣＰ端口、ＴCＰ鏈路狀態(tài)等信息讀出,并按照預(yù)先設(shè)定過濾原則過濾信息包。那些不符合規(guī)定的ＩP地址的信息包會被防火墻過濾掉，以保證網(wǎng)絡(luò)系統(tǒng)的安全?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕包過濾防火墻是基于訪問控制來實現(xiàn)的。它利用數(shù)據(jù)包的頭信息〔源IP地址、封裝協(xié)議、端口號等〕判定與過濾規(guī)則相匹配與否決定舍取。建立這類防火墻需按如下步驟去做;建立安全策略；寫出所允許的和禁止的任務(wù);將安全策略轉(zhuǎn)化為數(shù)據(jù)包分組字段的邏輯表達式；用相應(yīng)的句法重寫邏輯表達式并設(shè)置之,〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕包過濾防火墻主要是防止外來攻擊，或是限制內(nèi)部用戶訪問某些外部的資源。如果是防止外部攻擊，針對典型攻擊的過濾規(guī)則,大體有:〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對付源ＩＰ地址欺騙式攻擊〔ＳourceIPAddressＳpoofiｎgAttacks〕〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對入侵者假冒內(nèi)部主機，從外部傳輸一個源IP地址為內(nèi)部網(wǎng)絡(luò)IP地址的數(shù)據(jù)包的這類攻擊，防火墻只需把來自外部端口的使用內(nèi)部源地址的數(shù)據(jù)包統(tǒng)統(tǒng)丟棄掉?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對付殘片攻擊〔TinyFragmentAtｔacks〕入侵者使用TCP／IP數(shù)據(jù)包分段特性,創(chuàng)建極小的分段并強行將TCＰ/ＩP頭信息分成多個數(shù)據(jù)包，以繞過用戶防火墻的過濾規(guī)則。黑客期望防火墻只檢查第一個分段而允許其余的分段通過。對付這類攻擊,防火墻只需將TCＰ/ＩP協(xié)議片斷位移植〔FrａgｍentＯffset〕為1的數(shù)據(jù)包全部丟棄即可?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕包過濾防火墻簡單、透明,而且非常行之有效,能解決大部分的安全問題，但必須了解包過濾防火墻不能做伸麼和有伸麼缺點?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對于采用動態(tài)分配端口的服務(wù),如很多RPＣ〔遠程過程調(diào)用〕服務(wù)相關(guān)聯(lián)的服務(wù)器在系統(tǒng)啟動時隨機分配端口的，就很難進行有效地過濾?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕包過濾防火墻只按照規(guī)則丟棄數(shù)據(jù)包而不對其作日志,導(dǎo)致對過濾的ＩＰ地址的不同用戶，不具備用戶身份認證功能，不具備檢測通過高層協(xié)議〔如應(yīng)用層〕實現(xiàn)的安全攻擊的能力。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕代理防火墻包過濾防火墻從很大意義上像一場戰(zhàn)爭，黑客想攻擊,防火墻堅決予以拒絕。而代理服務(wù)器則是另外一種方式，能回避就回避，甚至干脆隱藏起來。代理服務(wù)器接收客戶請求后會檢查驗證其合法性，如其合法,代理服務(wù)器象一臺客戶機一樣取回所需的信息再轉(zhuǎn)發(fā)給客戶。它將內(nèi)部系統(tǒng)與外界隔離開來,從外面只能看到代理服務(wù)器而看不到任何內(nèi)部資源。代理服務(wù)器只允許有代理的服務(wù)通過,而其他所有服務(wù)都完全被封鎖住?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕代理服務(wù)器非常適合那些根本就不希望外部用戶訪問企業(yè)內(nèi)部的網(wǎng)絡(luò)，而也不希望內(nèi)部的用戶無限制的使用或濫用INＴERＮET。采用代理服務(wù)器，可以把企業(yè)的內(nèi)部網(wǎng)絡(luò)隱藏起來，內(nèi)部的用戶需要驗證和授權(quán)之后才可以去訪問INＴＥRNET?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕代理服務(wù)器包含兩大類:一類是電路級代理網(wǎng)關(guān)，另一類是應(yīng)用級代理網(wǎng)關(guān)。電路級網(wǎng)關(guān)又稱線路級網(wǎng)關(guān),它工作在會話層。它在兩主機收次建立TCP連接時創(chuàng)立一個電子屏障。它作為服務(wù)器接收外來請求，轉(zhuǎn)發(fā)請求；與被保護的主機連接時則擔(dān)當(dāng)客戶機角色、起代理服務(wù)的作用。它監(jiān)視兩主機建立連接時的握手信息，如Syn、Acｋ和序列數(shù)據(jù)等是否合乎邏輯,信號有效后網(wǎng)關(guān)僅復(fù)制、傳遞數(shù)據(jù),而不進行過濾。電路網(wǎng)關(guān)中特殊的客戶程序只在初次連接時進行安全協(xié)商控制，其后就透明了。只有懂得如何與該電路網(wǎng)關(guān)通信的客戶機才能到達防火墻另一邊的服務(wù)器。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕電路級網(wǎng)關(guān)的防火墻的安全性比較高,但它仍不能檢查應(yīng)用層的數(shù)據(jù)包以消除應(yīng)用層攻擊的威脅。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕應(yīng)用級網(wǎng)關(guān)使用軟件來轉(zhuǎn)發(fā)和過濾特定的應(yīng)用服務(wù)，如TELＮET、FTP等服務(wù)的連接。這是一種代理服務(wù)。它只允許有代理的服務(wù)通過，也就是說只有那些被認為“可信賴的〞服務(wù)才被允許通過防火墻。另外代理服務(wù)還可以過濾協(xié)議，如過濾FTP連接、拒絕使用FＴＰ放置命令等。應(yīng)用級網(wǎng)關(guān)的安全性高，其不足是要為每種應(yīng)用提供專門的代理服務(wù)程序。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕兩種代理技術(shù)都具有登記、日記、統(tǒng)計和報告功能，有很好的審計功能。還可以具有嚴格的用戶認證功能。先進的認證措施,如驗證授權(quán)RAＤIUS、智能卡、認證令牌、生物統(tǒng)計學(xué)和基于軟件的工具已被用來克服傳統(tǒng)口令的弱點?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕狀態(tài)監(jiān)控技術(shù)網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)普遍被認為是下一代的網(wǎng)絡(luò)安全技術(shù)。傳統(tǒng)的網(wǎng)絡(luò)狀態(tài)監(jiān)控技術(shù)對網(wǎng)絡(luò)安全正常的工作完全沒有影響的前提下,采用捕捉網(wǎng)絡(luò)數(shù)據(jù)包的方法對網(wǎng)絡(luò)通信的各個層次實行監(jiān)測，并作安全決策的依據(jù)。監(jiān)視模塊支持多種網(wǎng)絡(luò)協(xié)議和應(yīng)用協(xié)議，可以方便地實現(xiàn)應(yīng)用和服務(wù)擴充。狀態(tài)監(jiān)視服務(wù)可以監(jiān)視ＲＰＣ〔遠程過程調(diào)用〕和UDP〔用戶數(shù)據(jù)包〕端口信息,而包過濾和代理服務(wù)則都無法做到?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)絡(luò)狀態(tài)監(jiān)控對主機的要求非常高，128M的內(nèi)存可能是一個基本的要求,硬盤的要求也非常大，至少要求９G，對ＳWＡP區(qū)至少也要求１92M以上。一個好的網(wǎng)絡(luò)狀態(tài)監(jiān)控系統(tǒng),處理的量可能高達每秒45Ｍ左右〔一條T3的線路〕。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)絡(luò)狀態(tài)的監(jiān)控的結(jié)果,直接就是要求能夠有一種交互式的防火墻來滿足客戶較高的要求。中網(wǎng)的IP防火墻就是這樣一種產(chǎn)品。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕虛擬專用網(wǎng)VＰＮEXＴRANＥT和VPN是現(xiàn)代網(wǎng)絡(luò)的新熱點。虛擬專用網(wǎng)的本質(zhì)實際上牽涉到密碼的問題。在無法保證電路安全、信道安全、網(wǎng)絡(luò)安全、應(yīng)用安全的情況下，或者也不相信其他安全措施的情況下,一種行之有效的辦法就是加密,而加密就是必須考慮加密算法和密碼的問題?？紤]到我們國家對密碼管理的體制情況，密碼是一個單獨的領(lǐng)域。對防火墻而言，是否防火墻支持對其他密碼體制的支持,支持提供API來調(diào)用第三方的加密算法和密碼，非常重要?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕如何構(gòu)筑虛擬專用網(wǎng)VPＮ企業(yè)利用Internet構(gòu)筑虛擬專用網(wǎng)絡(luò)〔ＶPN〕,意味著可以削減巨額廣域網(wǎng)成本,然而在ＶPN中確保關(guān)鍵數(shù)據(jù)的安全等因素又是企業(yè)必須面對的問題?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕削減廣域網(wǎng)成本，吸引新客戶,這是當(dāng)今每一位企業(yè)主管的求勝之路。但是牽涉到Intｅｒnet,企業(yè)有得又有失，比如專用線路的高可靠性及安全性就是VＰN需要重點考慮的地方。相比之下ＶPN比租用專線的費用低近80％,而且可以將Ｉnternet上的多個網(wǎng)站連接起來,使企業(yè)接觸新的企業(yè)伙伴和客戶?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕明確遠程訪問的需求首先企業(yè)要明確需要與哪種WＡN連接，用戶是通過LAN/ＷAＮ還是撥號鏈路進入企業(yè)網(wǎng)絡(luò),遠程用戶是否為同一機構(gòu)的成員等問題?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕WAN的連接有兩類:內(nèi)聯(lián)網(wǎng)連接和外聯(lián)網(wǎng)連接。內(nèi)聯(lián)網(wǎng)連接著同一個機構(gòu)內(nèi)的可信任終端和用戶，這一類典型連接是總部與下屬辦事處、遠程工作站及路途中用戶的連接?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對于內(nèi)聯(lián)網(wǎng)連接,VPN應(yīng)提供對企業(yè)網(wǎng)絡(luò)相同的訪問途徑就好象用戶或下屬辦事處真正與總部連接起來。內(nèi)聯(lián)網(wǎng)VPＮ執(zhí)行的安全決策通常是標(biāo)準(zhǔn)的公司決策，遠程用戶至少要經(jīng)過一次認證?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕圍繞下屬辦事處，VPN要考慮的一個關(guān)鍵問題是這些辦事處的物理安全性。物理安全性涵蓋了一切因素，從下屬辦事處的密鑰和鎖,到計算設(shè)備的物理訪問，再到可訪問設(shè)施的非雇員數(shù)量等等。如果所有這一切都萬無一失，在總部和下屬辦事處之間就可以建立一個“開放管道〞的ＶＰN。這類似于LAＮ到LAN的連接。即不需要基于VPN的用戶認證,因為我們認為這樣的連接是安全的。但是,如果這些地方有問題，網(wǎng)絡(luò)設(shè)計人員就要考慮采用更嚴格的安全措施。例如，VPN需要嚴格認證,或者將對總部網(wǎng)絡(luò)的訪問限制在某個孤立的子網(wǎng)中?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕VPN對外聯(lián)網(wǎng)的安全要求通常十分嚴格,對保密信息的訪問只有在需要時才能獲準(zhǔn),而敏感的網(wǎng)絡(luò)資源則禁止訪問。由于外聯(lián)網(wǎng)連接可能會牽涉機構(gòu)外人員,解決用戶的變化問題則很有挑戰(zhàn)性。從根本上說，這是嚴格政治問題。但在機構(gòu)確定用戶時，這是嚴格急需解決的技術(shù)問題。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕注重管理企業(yè)網(wǎng)絡(luò)是攻擊者垂涎的目標(biāo)，因此,管理層必須保護公司網(wǎng)絡(luò)免遭遠程入侵。一個機構(gòu)的安全決策應(yīng)界定何種形式的遠程訪問是允許的或不允許的，決策中還要確定相應(yīng)的VPN設(shè)備和實施選擇方法?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕一般來說，決策者應(yīng)解決VPN特有的幾個問題:遠程訪問的資格，可執(zhí)行的計算能力,外聯(lián)網(wǎng)連接的責(zé)任，以及ＶPＮ資源的監(jiān)管。另外，還應(yīng)包括為出差旅行的員工及遠程工作站的員工提供的訪問步驟。當(dāng)然,決策中應(yīng)包括一些技術(shù)細節(jié)，例如加密密鑰長度，如果VPN的加密算法要求公開認證，則還需要法律的支持保護?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對外另外而言,決策中應(yīng)具體說明及時通報遠程用戶人員變更的步驟，被解雇的人員必須盡快從數(shù)據(jù)庫中清除。這需要外聯(lián)網(wǎng)用戶機構(gòu)同VPN管理人員之間進行良好的協(xié)作。通常,企業(yè)的人事部門已制定有人事管理規(guī)定,這些規(guī)定可能也適用于VＰN用戶?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕確定最佳的產(chǎn)品組合可選擇的VＰN產(chǎn)品很多，但產(chǎn)品基本上可分成三大類:基于系統(tǒng)的硬件、獨立的軟件包和基于系統(tǒng)的防火墻。大部分產(chǎn)品對ＬＡＮ到LAＮ及遠程撥號連接都支持?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕硬件VPN產(chǎn)品是典型的加密路由器,由于它們在設(shè)備的硅片中存儲了加密密鑰,因此,較之基于軟件的同類產(chǎn)品更不易被破壞.另外，加密路由器的速度快,事實上，如果鏈路的傳輸速度超過Ｔ１〔1．55４Ｍbpｓ〕,這樣的VPＮ是名列前茅的?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕基于軟件的VPN可能提供更多的靈活性。許多產(chǎn)品允許根據(jù)地址或協(xié)議打開通道，而硬件產(chǎn)品則不同,它們一般為全部信息流量打開通道,而不考慮協(xié)議要求。因流量類型不同，特定的通道在遠程站點可能遇到混合信息流時分優(yōu)先級,例如有些信息流需要通過VPN進入總部的數(shù)據(jù)庫，有些信息流則是在網(wǎng)上沖浪。在一般情況下,如通過撥號鏈路連接的用戶,軟件結(jié)構(gòu)也許是最佳的選擇?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕軟件系統(tǒng)的問題在于難于管理，它要求使用者熟悉主機操作系統(tǒng)、應(yīng)用程序本身以及相應(yīng)的安全機制,甚至一些軟件包需要對路由表和網(wǎng)絡(luò)地址方案進行改動?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕基于防火墻的VＰN則利用了防火墻安全機制的優(yōu)勢,可以對內(nèi)部網(wǎng)絡(luò)訪問進行限制。此外，它們還執(zhí)行地址的翻譯，滿足嚴格的認證功能要求，提供實時報警，具備廣泛的登錄能力。大多數(shù)商業(yè)防火墻還能通過剔除危險或不必要的服務(wù)加固主機操作系統(tǒng)內(nèi)核。由于很少有VPN廠商提供操作系統(tǒng)級的安全指導(dǎo)，因此，提供操作系統(tǒng)保護是這種ＶPN的一大優(yōu)勢?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕什么時候企業(yè)選擇基于防火墻的VPN呢?一般是在遠程用戶或網(wǎng)絡(luò)充滿潛在敵意的時候。這時,網(wǎng)管員可建立起所謂的非軍事區(qū)〔DＭＺ〕，部分，系統(tǒng)一般使用在防火墻上的一個第三方界面，并有自己的訪問控制規(guī)則。攻擊者也許能到達DＭZ，但不能破壞內(nèi)部部分?；诜阑饓Φ腣PN對于僅僅實施內(nèi)聯(lián)網(wǎng)應(yīng)用的企業(yè)還是蠻好的,它是軟件產(chǎn)品中最容易保證安全和管理的產(chǎn)品。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對于這三種ＶPＮ產(chǎn)品,網(wǎng)管員還要在四個領(lǐng)域進行考核：協(xié)議處理、ＩP安全支持、認證服務(wù)器支持和加密密鑰的引出?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕例如:雖然大多數(shù)公司網(wǎng)絡(luò)為多協(xié)議型,但VPN產(chǎn)品只解決IＰ協(xié)議的傳輸,如果其他協(xié)議如IＰＸ或ＳNＡ需要傳送,用戶需要尋找能為這些協(xié)議加密，或者能將它們打包成IP，讓基于IP的VPN系統(tǒng)處理的方案。顯然,后一種選擇可能會降低系統(tǒng)性能?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕Ｉpsec是IETF〔IｎterneｔEnｇｉnｅerｉngＴａｓkＦｏrｃe〕組織為TCP／IP協(xié)議集增加的標(biāo)準(zhǔn)認證與加密功能。隨著Ipseｃ越來越穩(wěn)定和實施越來越廣泛，VPＮ的終端用戶可以不必使用同一廠商的產(chǎn)品以保證可靠工作,但是到目前為止,實施成功的VPN通常意味著要從同一家廠商購買所有的設(shè)備?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕盡管大部分VPN可保留自己的認證數(shù)據(jù)庫,但網(wǎng)管員也希望借助于現(xiàn)有的認證服務(wù)器。比如,許多遠程訪問服務(wù)器使用下述兩種協(xié)議之一的外部系統(tǒng)來認證用戶:遠程認證撥入用戶服務(wù)器〔Ｒａdiuｓ〕或終端訪問控制器訪問系統(tǒng)〔Tａcsｃｓ〕。獨立認證服務(wù)器的優(yōu)勢在于可收縮性，即無論增加多少臺訪問設(shè)備，一臺認證服務(wù)器就足矣?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕如果一個企業(yè)的VPＮ延伸到海外,網(wǎng)管員還必須解決出口問題。目前美國法律禁止１28位加密算法出口,盡管未來立法可能會或多或少地放寬限制,但一般跨國經(jīng)營的美國公民可能需要部署兩個VPN系統(tǒng)：一個加密功能較弱，用于國際用戶的，一個加密功能較強，用于國內(nèi)用戶?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕進行測試企業(yè)不能武斷地選擇某種ＶＰN方案,一般要通過廣泛測試,運行兩到三種VPN產(chǎn)品，再作出決定。企業(yè)首先要確定一個遠程用戶間的測試伙伴小組,由他們測試系統(tǒng)的情況?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕注意,測試小組中一定要包括各種技術(shù)工種的員工,這一點對于保證ＶPN測試的公正以及評估系統(tǒng)管理人員排除故障的能力至關(guān)重要。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕成功的VPＮ測試包括６個方面:首先,測試ＶＰN是否可按照機構(gòu)的遠程訪問決策進行配置;其次，測試VPN是否支持所有正在使用的認證與授權(quán)機構(gòu);第三，驗證VＰN可有效地產(chǎn)生和分配的密鑰;第四,測試ＶPN是否允許遠程用戶加入到公司網(wǎng)絡(luò)中,就像他們在物理上是連接起來的一樣；第五，驗證系統(tǒng)為排除故障和提供明顯線索的能力；最后,驗證是否技術(shù)與非技術(shù)人員同樣能輕松運用VPN?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕確定系統(tǒng)大小為企業(yè)系統(tǒng)選擇合適的硬件時，網(wǎng)絡(luò)決策者要估計系統(tǒng)用戶的總數(shù),同時舉行網(wǎng)絡(luò)會議的典型數(shù)量，以及數(shù)據(jù)的時間敏感性〔它決定所需的密鑰長度〕。例如對于基于軟件的VPN，假設(shè)采用三倍的DES〔數(shù)據(jù)加密標(biāo)準(zhǔn)〕加密,使用128位密鑰、數(shù)據(jù)壓縮和信息認證，這樣,20０ＭHzPenｔｉum處理器就能處理T1網(wǎng)絡(luò)連接。鑒于內(nèi)存越大，可允許同時連接的信息流越多,因此，系統(tǒng)在服務(wù)器上可以指定盡可能多的RAM。正如以上所述,速度高于T１的網(wǎng)絡(luò)連接則可能需要基于硬件的VＰN?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕如果廠商提供產(chǎn)品性能基準(zhǔn)，網(wǎng)絡(luò)管理員注意務(wù)必了解如何進行測試的詳細說明。為了能對不同廠商的產(chǎn)品進行公平比較,網(wǎng)管員需考慮諸如幀長度、加密算法及密鑰長度、壓縮的使用及信息認證算法的現(xiàn)狀?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕另外，網(wǎng)管員在設(shè)計生產(chǎn)系統(tǒng)時,還要考慮備份和冗余問題,大型機構(gòu)或信息流量大的機構(gòu)也許還想考慮多服務(wù)器上的負載均衡問題。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕為VPN服務(wù)器選擇位置遠程用戶的從屬關(guān)系有助于確定VＰＮ設(shè)備放置的位置。對于期望通過遠程訪問復(fù)制辦事處工作環(huán)境的員工來說,VPN服務(wù)器最好直接放在專用網(wǎng)絡(luò)中,但這一方法也最易成為攻擊者的攻擊目標(biāo)?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對于員工企業(yè),如果絕大多數(shù)遠程用戶屬于外部機構(gòu)，將VPＮ設(shè)備放在DMZ網(wǎng)絡(luò)上意義更大，因為它要比內(nèi)部網(wǎng)絡(luò)更為安全，屏蔽DMZ的防火墻有助于保護其間的設(shè)備。這種方法也比將VPN設(shè)備完全放在安全設(shè)施周邊之外更安全。如果一臺認證服務(wù)器屬于DMZ子網(wǎng)，它會得到細心的管理和保護，免于內(nèi)部和外部的威脅?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕企業(yè)在設(shè)計安全內(nèi)聯(lián)網(wǎng)和外聯(lián)網(wǎng)時,安置ＶPN和認證服務(wù)器是關(guān)鍵的一步。其中，建立與下屬辦事處的鏈路最簡單:一對VPN服務(wù)器只需在兩個站點間建立加密通道。因為出差旅行的員工或遠程工作站需要進行認證，因此，它們建立與ＶPN服務(wù)器的鏈路,將認證請求傳送到DＭＺ上的認證服務(wù)器。外界顧問不需要認證,他們只需同另一臺VPＮ服務(wù)器連接起來,這一臺服務(wù)器應(yīng)位于第二個ＤMZ上,以保護公司的認證服務(wù)器。另外值得注意的是,企業(yè)為業(yè)務(wù)伙伴進行的連接配置最需要技巧，連接請求首先到達第二個DＭZ上的VPＮ服務(wù)器,之后請求被傳送到第一個ＤMＺ上的認證服務(wù)器，最后,批準(zhǔn)的請求被傳送到請求訪問的資源中?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕重新配置其他網(wǎng)絡(luò)設(shè)備安裝VＰＮ,特別是牽涉IP地址管理和防火墻時,公司可能要對網(wǎng)絡(luò)上的其他設(shè)備重新進行配置。VPN通常使用網(wǎng)絡(luò)地址翻譯器〔ＮAT〕，如IEＴFＲFC１918中所述,NAT將專用地址〔通常從一組保留的地址中選出〕映射到一個或幾個在Iｎtｅrnet上可見的地址上?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)管員至少要使VPN設(shè)備的配置清楚哪些地址要保留下來供內(nèi)部使用。此外，許多基于VPＮ的防火墻還支持動態(tài)主機配置協(xié)議〔ＤＨCP〕。網(wǎng)管員需將DHCP和VPN功能協(xié)調(diào)起來，否則，客戶機可能最終將信息只發(fā)送到Inteｒnet而不是專用網(wǎng)絡(luò)上?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕一些VPN設(shè)備使用虛擬網(wǎng)絡(luò)適配器將有效的ＩP地址分配到專用網(wǎng)絡(luò)上，如DEC公司的Altavista通道服務(wù)器,或使用由微軟公司開發(fā)的點到點通道協(xié)議〔PPTP〕都可以將這些地址分配到未使用的地址中，并對路由器及其他需要進行地址更新的網(wǎng)絡(luò)設(shè)備進行必要的修改?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕如果VＰN服務(wù)器在防火墻以內(nèi),網(wǎng)絡(luò)管理員還要對防火墻進行重新配置。大多數(shù)VPN將所有信息流閉合起來，形成一股使用單一TCP端口號的信息流。這樣，防火墻需要一個類屬代理或用于傳遞封閉VPN信息流的規(guī)則，以及允許將信息流傳送到VPN設(shè)備上的規(guī)則。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕如果VPN設(shè)備位于DMＺ部分的外聯(lián)網(wǎng)中，防火墻還需要一個允許加密信息流從Internet流動到ＤＭZ上的規(guī)則,另外，還有讓應(yīng)用程序流從DMZ流動到內(nèi)部網(wǎng)絡(luò)上的規(guī)則。如果認證服務(wù)器位于內(nèi)部網(wǎng)絡(luò)上，防火墻的配置一定要有允許DＭＺ和專用網(wǎng)絡(luò)間的認證請求?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)絡(luò)管理員應(yīng)該注意，網(wǎng)絡(luò)中中有一個千萬不能被篡改的地方是專用網(wǎng)絡(luò)的域名系統(tǒng)〔DNS〕服務(wù)器,它負責(zé)專用網(wǎng)絡(luò)設(shè)備的主機名稱到IP地址的解析。如果ＤNS可在Interneｔ上看到，那么攻擊者可了解專用網(wǎng)絡(luò)的布局。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕安裝和配置VPＮ對于基于軟件的VPN和那些圍繞防火墻制作的產(chǎn)品，從安全系統(tǒng)入手是根本。在安裝前從服務(wù)器中取消所有不必要的服務(wù)、應(yīng)用程序和用戶帳戶，以確保安裝的是最新的、安全的產(chǎn)品，這樣安裝VPＮ軟件才是安全的?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕對VPN進行配置時，網(wǎng)管員要為一系列因素設(shè)定參數(shù)，包括密鑰長度、主要與次要認證服務(wù)器及相關(guān)的共享秘密資源、連接和超時設(shè)置、證書核查VPN終點設(shè)備〔而不是用戶〕的身份，大部分ＶPN產(chǎn)品都提供此功能。對此,一些廠商的實現(xiàn)的方式是，讓所有信息進入總部設(shè)備下載相關(guān)信息。而對于遠程用戶，則需要建立口令，準(zhǔn)備連接腳本,確立認證步驟?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕網(wǎng)管員還要讓認證和授權(quán)程序協(xié)調(diào)起來。兩者聽起來差不多,但有些微妙且重要的差別。認證是要證明遠程用戶是她或他聲稱的身份〔在外聯(lián)網(wǎng)設(shè)置中，要證明的則相反,即服務(wù)器可信〕。授權(quán)是要確定遠程用戶有權(quán)訪問何種網(wǎng)絡(luò)資源。如果認證服務(wù)器還控制授權(quán)分組,例如營銷或策劃小組的授權(quán)，則系統(tǒng)還要注意核查它是否能正確地同ＶPN設(shè)備聯(lián)絡(luò)組信息?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕監(jiān)控和管理ＶＰＮ這一步是要建立監(jiān)控Internｅｔ連接的機制，它可以測定VPN對網(wǎng)絡(luò)的利用和吞吐量,而且也是培訓(xùn)訪問臺員工操作VＰN設(shè)備及認識認證服務(wù)器和防火墻互相間的影響的重要一步。另外，機構(gòu)中的所有網(wǎng)管員都應(yīng)該了解VPN的基本操作,認識到管理VPＮ的人不應(yīng)該只是那些安裝和配置的人,最終用戶也需要接受Inｔernet了解及VPＮ軟件工作原理的基本培訓(xùn)。而且，讓最終一接受一些基本故障排除方法的培訓(xùn)，可以使他們能自己解決一些小故障。〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕進行備份隨著用戶對ＶPN的進一步熟悉,企業(yè)可能會牽涉到一些由任務(wù)決定的應(yīng)用程序,例如公司要為客戶建立一個電子商店。在這樣的情況下，備份連接是必須的，因此網(wǎng)管員在設(shè)計網(wǎng)絡(luò)階段就應(yīng)為冗余鏈路和設(shè)備制定計劃。信息流量大的站點應(yīng)選擇支持多設(shè)備負載均衡的VPN,原因在于提供負載均衡能力的VPＮ廠商非常少，目前NｅtScｒｅen的防火墻產(chǎn)品支持負載均衡和流量控制的功能同時也支持冗余路徑?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕即使網(wǎng)絡(luò)應(yīng)用并不重要，進行備份也不失為避免用戶投訴的好辦法。在這方面，保留幾臺調(diào)制解調(diào)器和電話線路用于緊急情況可能就足矣。然而，這種方法的費用較高，而且速度慢，對于ＬＡN到LAN的連接,備份連接最好由ISDN或其他專用線路來滿足。要注意的是，一定要定期測試備份連接系統(tǒng)?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕復(fù)合型防火墻體系防火墻體系的采納是一個非常專業(yè)化的過程，不是一個簡單的是和非。當(dāng)然可以根據(jù)具體的情況,作出一定的安全政策，并采用某種上述特定的防火墻。但絕大多數(shù)情況是，根據(jù)具體的安全需求，通過某種體系構(gòu)架,來實現(xiàn)更高強度的安全體系。或者是采用包含上述功能的復(fù)合型防火墻。我們就具體的情況作一個簡單的說明:〔未經(jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕屏蔽主機網(wǎng)關(guān)由一個運行代理服務(wù)雙穴網(wǎng)關(guān)和一個具有包過濾功能的路由器組成,功能的分開提高了防護系統(tǒng)的效率?！参唇?jīng)許可請勿轉(zhuǎn)載〕〔未經(jīng)許可請勿轉(zhuǎn)載〕一個獨立的屏蔽子網(wǎng)位于Ｉntraｎet與Ｉnterneｔ之間,起保護作用。它由