計(jì)算機(jī)網(wǎng)絡(luò)安全網(wǎng)絡(luò)安全解決方案

第10章網(wǎng)絡(luò)安全解決方案

內(nèi)容提要：網(wǎng)絡(luò)安全體系結(jié)構(gòu)網(wǎng)絡(luò)安全解決方案單機(jī)用戶網(wǎng)絡(luò)安全解決方案內(nèi)部網(wǎng)絡(luò)安全管理制度小結(jié)10.1網(wǎng)絡(luò)安全體系結(jié)構(gòu)1.網(wǎng)絡(luò)信息安全的基本問(wèn)題網(wǎng)絡(luò)信息安全的基本問(wèn)題是眾所周知的諸要素：可用性、保密性、完整性、可控性與可審查性等。最終要解決是使用者對(duì)基礎(chǔ)設(shè)施的信心和責(zé)任感的問(wèn)題。返回本章首頁(yè)網(wǎng)絡(luò)時(shí)代的信息安全有非常獨(dú)特的特征，研究信息安全的困難在于：邊界模糊評(píng)估困難安全技術(shù)滯后管理滯后返回本章首頁(yè)2.網(wǎng)絡(luò)與信息安全體系要實(shí)施一個(gè)完整的網(wǎng)絡(luò)與信息安全體系，至少應(yīng)包括三類措施，并且三者缺一不可。一是社會(huì)的法律政策、規(guī)章制度措施二是技術(shù)措施三是審計(jì)和管理措施返回本章首頁(yè)數(shù)據(jù)安全、平臺(tái)安全、服務(wù)安全要求用完整的信息保障體系，并不斷發(fā)展傳統(tǒng)的信息安全概念。保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)涵蓋了對(duì)現(xiàn)代網(wǎng)絡(luò)信息系統(tǒng)保護(hù)的各個(gè)方面，構(gòu)成了一個(gè)完整的體系，使網(wǎng)絡(luò)信息安全建筑在更堅(jiān)實(shí)的基礎(chǔ)之上。返回本章首頁(yè)（1）保護(hù)（Protect）：保護(hù)包括傳統(tǒng)安全概念的繼承，用加解密技術(shù)、訪問(wèn)控制技術(shù)、數(shù)字簽名技術(shù)，從信息動(dòng)態(tài)輿、數(shù)據(jù)靜態(tài)存儲(chǔ)和經(jīng)授權(quán)方可使用，以及可驗(yàn)證的信息交換過(guò)程等到方面對(duì)數(shù)據(jù)及其網(wǎng)上操作加以保護(hù)。返回本章首頁(yè)（2）檢測(cè)（Detect）：檢測(cè)的含義是，對(duì)信息傳輸?shù)膬?nèi)容的可控性的檢測(cè)，對(duì)信息平臺(tái)訪問(wèn)過(guò)程的甄別檢測(cè)，對(duì)違規(guī)與惡意攻擊的檢測(cè)，對(duì)系統(tǒng)與網(wǎng)絡(luò)弱點(diǎn)與漏洞的檢測(cè)等等。返回本章首頁(yè)（3）響應(yīng)（React）：在復(fù)雜的信息環(huán)境中，保證在任何時(shí)候信息平臺(tái)能高效正常運(yùn)行，要求安全體系提供有力的響應(yīng)機(jī)制。返回本章首頁(yè)（4）恢復(fù)（Restore）：狹義的恢復(fù)指災(zāi)難恢復(fù)，在系統(tǒng)受到攻擊的時(shí)候，評(píng)估系統(tǒng)受到的危害與損失，按緊急響應(yīng)預(yù)案進(jìn)行數(shù)據(jù)與系統(tǒng)恢復(fù)，啟動(dòng)備份系統(tǒng)恢復(fù)工作等。廣義的恢復(fù)還包括災(zāi)難生存等現(xiàn)代新興學(xué)科的研究。返回本章首頁(yè)保護(hù)、檢測(cè)、響應(yīng)、恢復(fù)四個(gè)概念之間存在著一定的因果和依存關(guān)系，形成一個(gè)整體。如果全面的保護(hù)仍然不能確保安全（這在現(xiàn)階段是必然的），就需要檢測(cè)來(lái)為響應(yīng)創(chuàng)造條件；有效與充分地響應(yīng)安全事件，將大大減少對(duì)保護(hù)和恢復(fù)的依賴；恢復(fù)能力是在其他措施均失準(zhǔn)備的情形下的最后保障機(jī)制。返回本章首頁(yè)3.網(wǎng)絡(luò)安全體體系結(jié)構(gòu)要使信息系系統(tǒng)免受攻攻擊，關(guān)鍵鍵要建立起起安全防御御體系，從從信息的保保密性，拓拓展到信息息的完整性性、信息的的可用性、、信息的可可控性、信信息的不可可否認(rèn)性等等。為研究的方方便，可以以將其簡(jiǎn)化化為用三維維框架表示示的結(jié)構(gòu)模模型，其構(gòu)構(gòu)成要素是是安全特性性、系統(tǒng)單單元及開放放互連參考考模型結(jié)構(gòu)構(gòu)層次。返回本章首首頁(yè)返回本章首首頁(yè)安全防御體體系結(jié)構(gòu)框框架上述框架模模型是一個(gè)個(gè)立體空間間結(jié)構(gòu)，突突破了以往往分散孤立立地考慮安安全問(wèn)題的的舊模式，，是站在頂頂層從整體體上對(duì)網(wǎng)絡(luò)絡(luò)安全進(jìn)行行分析和描描述的。它它把與網(wǎng)絡(luò)絡(luò)安全相關(guān)關(guān)的物理、、規(guī)章及人人員等安全全要素都容容納其中，，涉及系統(tǒng)統(tǒng)保安和人人員的行政政管理等方方面的各種種法令、法法規(guī)、條例例和制度等等也均在其其考慮之列列。返回本章首首頁(yè)在進(jìn)行計(jì)算算機(jī)網(wǎng)絡(luò)安安全設(shè)計(jì)、、規(guī)劃時(shí)，，應(yīng)遵循以以下原則：：需求、風(fēng)險(xiǎn)險(xiǎn)、代價(jià)平平衡分析的的原則綜合性、整整體性原則則一致性原則則易操作性原原則適應(yīng)性、靈靈活性原則則多重保護(hù)原原則返回本章首首頁(yè)任何安全保保護(hù)措施都都不是絕對(duì)對(duì)安全的，，都可能被被攻破。為為此需要構(gòu)構(gòu)建全方位位的安全體體系。全方方位的安全全體系的主主要內(nèi)容包包括：訪問(wèn)控制檢查安全漏漏洞攻擊監(jiān)控加密通訊認(rèn)證備份和恢復(fù)復(fù)返回本章首首頁(yè)10.2網(wǎng)絡(luò)安全解解決方案1.網(wǎng)絡(luò)安全需需求分析（1）網(wǎng)絡(luò)安全全需求分析析的基本原原則網(wǎng)絡(luò)系統(tǒng)的的安全性和和易用性在在很多時(shí)候候是矛盾的的，因此，，在做安全全需求分析析時(shí)需要在在其中找到到一個(gè)恰當(dāng)當(dāng)?shù)钠胶恻c(diǎn)點(diǎn)，如果安安全原則妨妨礙了系統(tǒng)統(tǒng)應(yīng)用，那那么這個(gè)安安全原則就就不是一個(gè)個(gè)好的原則則。返回本章首首頁(yè)在做需求分分析時(shí)需要要確立的幾幾種意識(shí)：：風(fēng)險(xiǎn)意識(shí)權(quán)衡意識(shí)相對(duì)意識(shí)集成意識(shí)返回本章首首頁(yè)（2）安全威脅脅分析企業(yè)網(wǎng)絡(luò)面面臨的安全全威脅主要要來(lái)自以下下方面：操作系統(tǒng)的的安全性。。防火墻的安安全性。來(lái)自內(nèi)部網(wǎng)網(wǎng)用戶的安安全威脅。。缺乏有效的的手段監(jiān)視視、評(píng)估網(wǎng)網(wǎng)絡(luò)系統(tǒng)的的安全性。。返回本章首首頁(yè)采用的TCP/IP協(xié)議族軟件件，本身缺缺乏安全性性。應(yīng)用服務(wù)的的安全性。。未能對(duì)來(lái)自自Internet的電子郵件件夾帶的病病毒及Web瀏覽可能存存在的Java/ActiveX控件進(jìn)行有有效控制。。返回本章首首頁(yè)一套完整的的網(wǎng)絡(luò)安全全解決方案案，應(yīng)該根根據(jù)目標(biāo)網(wǎng)網(wǎng)絡(luò)系統(tǒng)的的具體特征征和應(yīng)用特特點(diǎn)，有針針對(duì)性地解解決可能面面臨的安全全問(wèn)題。具具體來(lái)講，，需要考慮慮的問(wèn)題包包括：關(guān)于物理安安全的考慮慮關(guān)于數(shù)據(jù)安安全的考慮慮數(shù)據(jù)備份的的考慮防病毒的考考慮關(guān)于操作系系統(tǒng)/數(shù)據(jù)庫(kù)/應(yīng)用系統(tǒng)的的安全考慮慮返回本章首首頁(yè)網(wǎng)絡(luò)系統(tǒng)安安全結(jié)構(gòu)的的考慮通信系統(tǒng)安安全的考慮慮關(guān)于口令令安全的考考慮關(guān)于軟件研研發(fā)安全的的考慮關(guān)于人員安安全因素的的考慮網(wǎng)絡(luò)相關(guān)設(shè)設(shè)施的設(shè)置置和改造安全設(shè)備的的選型安全策略與與安全管理理保障機(jī)制制的設(shè)計(jì)返回本章首首頁(yè)網(wǎng)絡(luò)安全行行政與法律律保障體系系的建立長(zhǎng)期安全顧顧問(wèn)服務(wù)服務(wù)的價(jià)格格事件處理機(jī)機(jī)制安全監(jiān)控網(wǎng)網(wǎng)絡(luò)和安全全監(jiān)控中心心的建立安全培訓(xùn)等等返回本章首首頁(yè)（3）企業(yè)網(wǎng)絡(luò)絡(luò)的安全需需求分析企業(yè)網(wǎng)絡(luò)的基基本安全需求求企業(yè)網(wǎng)絡(luò)內(nèi)部部部署了眾多多的網(wǎng)絡(luò)設(shè)備備、服務(wù)器，，保護(hù)這些設(shè)設(shè)備的正常運(yùn)運(yùn)行，維護(hù)主主要業(yè)務(wù)系統(tǒng)統(tǒng)的安全，是是企業(yè)網(wǎng)絡(luò)的的基本安全需需求。返回本章首頁(yè)頁(yè)業(yè)務(wù)系統(tǒng)的安安全需求企業(yè)網(wǎng)絡(luò)應(yīng)保保障：訪問(wèn)控制，確確保業(yè)務(wù)系統(tǒng)統(tǒng)不被非法訪訪問(wèn)。數(shù)據(jù)安全，保保證數(shù)據(jù)庫(kù)軟軟硬件系統(tǒng)的的整體安全性性和可靠性。。入侵檢測(cè)，能能及時(shí)發(fā)現(xiàn)、、記錄和跟蹤蹤破壞業(yè)務(wù)系系統(tǒng)的惡意行行為，提供非非法攻擊的證證據(jù)。來(lái)自網(wǎng)絡(luò)內(nèi)部部其他系統(tǒng)帶帶來(lái)的安全隱隱患。返回本章首頁(yè)頁(yè)Internet服務(wù)網(wǎng)絡(luò)的安安全需求Internet服務(wù)網(wǎng)絡(luò)安全全需求是保護(hù)護(hù)網(wǎng)絡(luò)不受破破壞，確保網(wǎng)網(wǎng)絡(luò)服務(wù)的可可用性。Internet服務(wù)網(wǎng)絡(luò)分為為兩個(gè)部分：：提供網(wǎng)絡(luò)用戶戶對(duì)Internet的訪問(wèn)提供Internet對(duì)網(wǎng)內(nèi)服務(wù)的的訪問(wèn)返回本章首頁(yè)頁(yè)作為信息網(wǎng)絡(luò)絡(luò)之間互聯(lián)的的邊界安全應(yīng)應(yīng)作為主要安安全需求包括括：保證信息網(wǎng)絡(luò)絡(luò)間安全互聯(lián)聯(lián)，能夠?qū)崿F(xiàn)現(xiàn)網(wǎng)絡(luò)安全隔隔離；對(duì)于專有應(yīng)用用的安全服務(wù)務(wù)；必要的信息交交互的可信任任性；能夠提供對(duì)于于主流網(wǎng)絡(luò)應(yīng)應(yīng)用的良好支支持；返回本章首頁(yè)頁(yè)信息網(wǎng)絡(luò)公共共資源能夠?qū)?duì)開放用戶提提供安全訪問(wèn)問(wèn)；對(duì)網(wǎng)絡(luò)安全事事件的審計(jì)；；對(duì)于網(wǎng)絡(luò)安全全狀態(tài)的量化化評(píng)估；對(duì)網(wǎng)絡(luò)安全狀狀態(tài)的實(shí)時(shí)監(jiān)監(jiān)控；返回本章首頁(yè)頁(yè)信息網(wǎng)絡(luò)內(nèi)部部的安全需求求，包括：信息網(wǎng)絡(luò)中的的各單位網(wǎng)絡(luò)絡(luò)之間建立連連接控制手段段；能夠滿足信息息網(wǎng)絡(luò)內(nèi)的授授權(quán)用戶對(duì)相相關(guān)專用網(wǎng)絡(luò)絡(luò)資源訪問(wèn)；；同時(shí)對(duì)于遠(yuǎn)程程訪問(wèn)用戶增增強(qiáng)安全管理理；加強(qiáng)對(duì)于整個(gè)個(gè)信息網(wǎng)絡(luò)資資源和人員的的安全管理與與培訓(xùn)。返回本章首頁(yè)頁(yè)（4）安全需求分分析的一般過(guò)過(guò)程返回本章首頁(yè)頁(yè)本節(jié)以某公司司網(wǎng)絡(luò)為例，，來(lái)介紹進(jìn)行行安全需求分分析的一般過(guò)過(guò)程，網(wǎng)絡(luò)拓拓?fù)浣Y(jié)構(gòu)如右右圖所示。網(wǎng)絡(luò)系統(tǒng)的總總體安全需求求是建立在對(duì)對(duì)網(wǎng)絡(luò)安全層層次分析基礎(chǔ)礎(chǔ)上的。對(duì)于于基于TCP/IP協(xié)議的網(wǎng)絡(luò)系系統(tǒng)來(lái)說(shuō)，安安全層次是與與TCP/IP協(xié)議層次相對(duì)對(duì)應(yīng)的，針對(duì)對(duì)網(wǎng)絡(luò)的實(shí)際際情況，可以以將安全需求求層次歸納為為網(wǎng)絡(luò)層安全全和應(yīng)用層安安全兩個(gè)技術(shù)術(shù)層次，同時(shí)時(shí)將在各層都都涉及的安全全管理部分單單獨(dú)作為一部部分進(jìn)行分析析。返回本章首頁(yè)頁(yè)網(wǎng)絡(luò)層需求分分析網(wǎng)絡(luò)層安全需需求是保護(hù)網(wǎng)網(wǎng)絡(luò)不受攻擊擊，確保網(wǎng)絡(luò)絡(luò)服務(wù)的可用用性。能夠防范來(lái)自自Internet的對(duì)提供服務(wù)務(wù)的非法利用用。防范來(lái)自Internet的網(wǎng)絡(luò)入侵和和攻擊行為的的發(fā)生。對(duì)于內(nèi)部網(wǎng)絡(luò)絡(luò)提供高于網(wǎng)網(wǎng)絡(luò)邊界更高高的安全保護(hù)護(hù)。返回本章首頁(yè)頁(yè)應(yīng)用層需求分分析應(yīng)用層的安全全需求是針對(duì)對(duì)用戶和網(wǎng)絡(luò)絡(luò)應(yīng)用資源的的，主要包括括：合法用戶可以以以指定的方方式訪問(wèn)指定定的信息；合法用戶不能能以任何方式式訪問(wèn)不允許許其訪問(wèn)的信信息；非法用戶不能能訪問(wèn)任何信信息；用戶對(duì)任何信信息的訪問(wèn)都都有記錄。返回本章首頁(yè)頁(yè)安全管理需求求分析能否制定一個(gè)個(gè)統(tǒng)一的安全全策略，在全全網(wǎng)范圍內(nèi)實(shí)實(shí)現(xiàn)統(tǒng)一的安安全管理，對(duì)對(duì)于企業(yè)網(wǎng)來(lái)來(lái)說(shuō)是至關(guān)重重要的。安全管理主要要包括三個(gè)方方面：內(nèi)部安全管理理網(wǎng)絡(luò)安全管理理應(yīng)用安全管理理返回本章首頁(yè)頁(yè)2.網(wǎng)絡(luò)安全解決決方案（1）網(wǎng)絡(luò)安全解解決方案的層層次劃分第一部分為法法律、法規(guī)與與管理手段第二部分為增增強(qiáng)的用戶認(rèn)認(rèn)證第三部分是授授權(quán)第四部分是加加密第五部分為審審計(jì)、監(jiān)控和和數(shù)據(jù)備份返回本章首頁(yè)頁(yè)在上述網(wǎng)絡(luò)和和信息安全模模型中，五個(gè)個(gè)部分是相輔輔相成、缺一一不可的。其其中底層是上上層保障的基基礎(chǔ)，如果缺缺少下面各層層次的安全保保障，上一層層的安全措施施則無(wú)從說(shuō)起起。返回本章首頁(yè)頁(yè)（2）網(wǎng)絡(luò)安安全解決方案案返回本章首頁(yè)頁(yè)根據(jù)上述網(wǎng)絡(luò)絡(luò)安全解決方方案的層次分分析，可以設(shè)設(shè)計(jì)出如圖所所示的網(wǎng)絡(luò)安安全解決方案案。在總部網(wǎng)關(guān)位位置配置CheckPointFirewall-1防火墻，劃分分多安全區(qū)域域，將內(nèi)網(wǎng)，，對(duì)外發(fā)布的的WebServer和電子商務(wù)網(wǎng)網(wǎng)站放置在不不同的網(wǎng)絡(luò)安安全區(qū)域。在服務(wù)器區(qū)前前放置CheckPointFirewall-1防火墻模塊，，其他區(qū)域?qū)?duì)服務(wù)器區(qū)的的訪問(wèn)必須經(jīng)經(jīng)過(guò)防火墻模模塊的檢查。。在中心交換機(jī)機(jī)上配置基于于網(wǎng)絡(luò)的IDS系統(tǒng)，監(jiān)控整整個(gè)網(wǎng)絡(luò)內(nèi)的的網(wǎng)絡(luò)流量。。返回本章首頁(yè)頁(yè)在服務(wù)器區(qū)內(nèi)內(nèi)的重要服務(wù)務(wù)器，如Sybase數(shù)數(shù)據(jù)庫(kù)服務(wù)務(wù)器等，安裝裝基于主機(jī)的的入侵檢測(cè)系系統(tǒng)，對(duì)所有有對(duì)數(shù)據(jù)庫(kù)服服務(wù)器的訪問(wèn)問(wèn)進(jìn)行監(jiān)控，，并對(duì)數(shù)據(jù)庫(kù)庫(kù)服務(wù)器的操操作進(jìn)行記錄錄和審計(jì)。將電子商務(wù)網(wǎng)網(wǎng)站和進(jìn)行公公司普通Web發(fā)布服務(wù)務(wù)器進(jìn)行獨(dú)立立配置，對(duì)電電子商務(wù)網(wǎng)站站的訪問(wèn)將需需要身份認(rèn)證證和加密傳輸輸，保證電子子商務(wù)的安全全性。返回本章首頁(yè)頁(yè)在DMZ區(qū)的的電子商務(wù)網(wǎng)網(wǎng)站配置基于于主機(jī)的入侵侵檢測(cè)系統(tǒng)，，防止來(lái)自Internet對(duì)Http服務(wù)務(wù)的攻擊行為為。在公司總部安安裝Spa統(tǒng)統(tǒng)一認(rèn)證服務(wù)務(wù)器，對(duì)所有有需要的認(rèn)證證進(jìn)行統(tǒng)一管管理，并根據(jù)據(jù)客戶的安全全級(jí)別設(shè)置所所需要的認(rèn)證證方式（如靜靜態(tài)口令，動(dòng)動(dòng)態(tài)口令，數(shù)數(shù)字證書等））。返回本章首頁(yè)頁(yè)（3）設(shè)備說(shuō)明防火墻設(shè)備在本方案中選選用的防火墻墻設(shè)備是CheckPointFireWall-1防火墻。FireWall-1功能特點(diǎn)有：：對(duì)應(yīng)用程序的的廣泛支持集中管理下的的分布式客戶戶機(jī)/服務(wù)器結(jié)構(gòu)遠(yuǎn)程網(wǎng)絡(luò)訪問(wèn)問(wèn)的安全保障障（FireWall-1SecuRemote）：返回本章首頁(yè)頁(yè)防病毒設(shè)備在本方案中防防病毒設(shè)備選選用的是趨勢(shì)勢(shì)科技的整體體防病毒產(chǎn)品品和解決方案案，包括中央央管理控制、、服務(wù)器防病病毒和客戶機(jī)機(jī)防病毒三部部分。返回本章首頁(yè)頁(yè)入侵監(jiān)測(cè)設(shè)備備在本方案中入入侵監(jiān)測(cè)設(shè)備備采用的是NFR入侵監(jiān)測(cè)設(shè)備備，包括NFRNID和NFRHID。NFR把基于網(wǎng)絡(luò)的的入侵檢測(cè)技技術(shù)NID和基于主機(jī)的的入侵檢測(cè)技技術(shù)HID完美地結(jié)合起起來(lái)，構(gòu)成了一個(gè)完完整的，一致致的實(shí)時(shí)入侵侵監(jiān)控體系。。返回本章首頁(yè)頁(yè)SPA身份認(rèn)認(rèn)證設(shè)備本方案采用的的身份認(rèn)證設(shè)設(shè)備是SecureComputing的SafeWord。SafeWord具備分散散式運(yùn)作及無(wú)無(wú)限制的可擴(kuò)擴(kuò)充特性。返回本章首頁(yè)頁(yè)10.3單機(jī)用戶網(wǎng)絡(luò)絡(luò)安全解決方方案由于當(dāng)前個(gè)人人用戶使用Windows類操作系統(tǒng)的的占大多數(shù)，，因此本節(jié)所所討論的單機(jī)機(jī)用戶網(wǎng)絡(luò)安安全解決方案案主要是針對(duì)對(duì)Windows系列操作系統(tǒng)統(tǒng)的。單機(jī)上上網(wǎng)用戶面臨臨的安全問(wèn)題題主要包括：：返回本章首頁(yè)頁(yè)計(jì)算機(jī)硬件設(shè)設(shè)備的安全計(jì)算機(jī)病毒網(wǎng)絡(luò)蠕蟲惡意攻擊木馬程序網(wǎng)站惡意代碼碼操作系統(tǒng)和應(yīng)應(yīng)用軟件漏洞洞等返回本章首頁(yè)頁(yè)1.Windows98安全解解決方案（1）Windows98系統(tǒng)面臨臨的安全威脅脅Windows98系統(tǒng)統(tǒng)的可控性和和可管理性相相對(duì)較差，從從自身來(lái)講安安全性不強(qiáng)，，但同時(shí)來(lái)自自于Internet上上的安全威脅脅又相對(duì)較少少，主要體現(xiàn)現(xiàn)在：返回本章首頁(yè)頁(yè)惡意網(wǎng)絡(luò)攻擊擊網(wǎng)絡(luò)共享漏洞洞惡意網(wǎng)站代碼碼不明來(lái)歷的包包含病毒與木木馬的應(yīng)用程程序惡意電子郵件件攻擊等返回本章首頁(yè)頁(yè)其中電子郵件件帶來(lái)的安全全問(wèn)題主要包包括：電子郵件容易易被截獲電子郵件客戶戶端軟件設(shè)計(jì)計(jì)存在缺陷返回本章首頁(yè)頁(yè)（2）Windows98安全解決方案案根據(jù)以上的分分析對(duì)Windows98系統(tǒng)的安全解解決方案主要要包括：防病毒與木馬馬防網(wǎng)絡(luò)攻擊防網(wǎng)站惡意代代碼電子郵件安全全返回本章首頁(yè)頁(yè)防病毒與木馬馬防病毒與木馬馬主要依賴于于防病毒軟件件，目前比較較流行的有代代表性的防病病毒軟件有：：NortonAnti-Virus、KasperskyAnti-Virus、江民的KV系列、金山毒毒霸和瑞星等等。防病毒軟件通通常也具有一一定防木馬的的能力，專業(yè)業(yè)的防木馬軟軟件有：木馬馬克星、Anti-Trojan、TrojanRemover等。安裝防病毒軟軟件絕對(duì)不是是一勞永逸的的，一定要養(yǎng)養(yǎng)成定期更新新病毒代碼庫(kù)庫(kù)的良好習(xí)慣慣。返回本章首頁(yè)頁(yè)防網(wǎng)絡(luò)攻擊防網(wǎng)絡(luò)攻擊的的有效手段是是安裝個(gè)人防防火墻。應(yīng)用用防火墻軟件件最主要的是是要設(shè)置好防防火墻的規(guī)則則，只有這樣樣才能正常發(fā)發(fā)揮抵御網(wǎng)絡(luò)絡(luò)攻擊的能力力。典型的個(gè)個(gè)人防火墻軟軟件主要有：：NortonInternetSecurity、、ZoneAlarmPro、BlackIce、天天網(wǎng)防火墻（（個(gè)人版）、、綠色警戒等等。返回本章首頁(yè)頁(yè)防網(wǎng)站惡意代代碼對(duì)于單機(jī)上網(wǎng)網(wǎng)用戶來(lái)說(shuō)，，網(wǎng)站惡意代代碼是威脅用用戶安全的主主要因素。為了防網(wǎng)站惡惡意代碼的危危害，不讓其其執(zhí)行是其中中的關(guān)鍵。可可以在IE瀏瀏覽器的安全全設(shè)置中禁止止VBScript和JavaScript的的執(zhí)行。此外外，如今的防防病毒軟件大大多數(shù)也具有有檢測(cè)并殺除除網(wǎng)站惡意代代碼的能力。。返回本章首頁(yè)頁(yè)電子郵件安全全從技術(shù)上看，，沒(méi)有任何辦辦法可以阻止止攻擊者截獲獲需要在網(wǎng)絡(luò)絡(luò)上傳輸?shù)臄?shù)數(shù)據(jù)包。保護(hù)電子郵件件安全的唯一一方法就是讓讓攻擊者截獲獲了數(shù)據(jù)包但但無(wú)法閱讀它它，即對(duì)電子子郵件的內(nèi)容容進(jìn)行某種形形式的加密處處理。目前已已經(jīng)出現(xiàn)了不不少解決電子子郵件安全問(wèn)問(wèn)題的加密系系統(tǒng)解決方案案，其中最具具代表性的是是PGP加密密系統(tǒng)。返回本章首頁(yè)頁(yè)2.Windows2000/XP安全解解決方案針對(duì)Windows98的安全措施施對(duì)Windows2000/XP同樣有效效，也是Windows2000/XP安全全解決方案的的重要組成部部分。此外Windows2000/XP的的可管理性比比Windows98要強(qiáng)得多，，本小節(jié)主要要從安全管理理和安全配置置方面進(jìn)行介介紹。返回本章首頁(yè)頁(yè)（1）Windows2000/XP安全管理停用Guest帳號(hào)限制不必要的的用戶數(shù)量創(chuàng)建2個(gè)管理員用帳帳號(hào)把系統(tǒng)administrator帳號(hào)改名創(chuàng)建一個(gè)陷阱阱帳號(hào)把共享文件的的權(quán)限從"everyone"組改成"授權(quán)用戶"返回本章首頁(yè)頁(yè)使用安全密碼碼設(shè)置屏幕保護(hù)護(hù)密碼使用NTFS格式分區(qū)保障備份盤的的安全返回本章首頁(yè)頁(yè)（2）Windows2000安全配置利用win2000/XP的安全配置工工具來(lái)配置策策略關(guān)閉不必要的的服務(wù)關(guān)閉不必要的的端口打開審核策略略開啟密碼策略略開啟帳戶策略略設(shè)定安全記錄錄的訪問(wèn)權(quán)限限返回本章首頁(yè)頁(yè)不讓系統(tǒng)顯示示上次登陸的的用戶名到微軟網(wǎng)站下下載最新的補(bǔ)補(bǔ)丁程序禁止建立空連連接關(guān)閉默認(rèn)共享享禁止dumpfile的產(chǎn)生關(guān)機(jī)時(shí)清除掉掉頁(yè)面文件禁止從軟盤和和CDRom啟動(dòng)系統(tǒng)考慮使用智能能卡來(lái)代替密密碼慮使用IPSec返回本章首頁(yè)頁(yè)10.4內(nèi)部網(wǎng)絡(luò)安全全管理制度面對(duì)網(wǎng)絡(luò)安全全的脆弱性，，除在網(wǎng)絡(luò)設(shè)設(shè)計(jì)上增加安安全服務(wù)功能能，完善系統(tǒng)統(tǒng)的安全保密密措施外，還還必須花大力力氣加強(qiáng)網(wǎng)絡(luò)絡(luò)的安全管理理。下面提出出有關(guān)信息系系統(tǒng)安全管理理的若干原則則和實(shí)施措施施以供參考。。返回本章首頁(yè)頁(yè)1.安全管理原則則計(jì)算機(jī)信息系系統(tǒng)的安全管管理主要基于于三個(gè)原則。。多人負(fù)責(zé)原則則任期有限原則則職責(zé)分離原則則返回本章首頁(yè)頁(yè)2．安全管理的的實(shí)現(xiàn)信息系統(tǒng)的安安全管理部門門應(yīng)根據(jù)管理理原則和該系系統(tǒng)處理數(shù)據(jù)據(jù)的保密性，，制訂相應(yīng)的的管理制度或或采用相應(yīng)規(guī)規(guī)范，其具體體工作是：確定該系統(tǒng)的的安全等級(jí)。。根據(jù)確定的安安全等級(jí)，確確定安全管理理的范圍。制訂相應(yīng)的機(jī)機(jī)房出入管理理制度。返回本章首頁(yè)頁(yè)制訂嚴(yán)格的操操作規(guī)程。制訂完備的系系統(tǒng)維護(hù)制度度。制訂應(yīng)急措施施。建立人員雇用用和解聘制度度,對(duì)工作調(diào)動(dòng)和和離職人員要要及時(shí)調(diào)整相相應(yīng)的授權(quán)。。返回本章首頁(yè)頁(yè)3．網(wǎng)絡(luò)安全管管理制度（1）網(wǎng)絡(luò)安全管管理的基本原原則①分離與制約約原則內(nèi)部人員與外外部人員分離離用戶與開發(fā)人人員分離用戶機(jī)與開發(fā)發(fā)機(jī)分離權(quán)限分級(jí)管理理②有限授權(quán)原原則③預(yù)防為主原原則④可審計(jì)原則則返回本章首頁(yè)頁(yè)（2）安全管理制制度的主要內(nèi)內(nèi)容包括：機(jī)構(gòu)與人員安安全管理系統(tǒng)統(tǒng)運(yùn)運(yùn)行行環(huán)環(huán)境境安安全全管管理理硬設(shè)設(shè)施施安安全全管管理理軟設(shè)設(shè)施施安安全全管管理理網(wǎng)絡(luò)絡(luò)安安全全管管理理數(shù)據(jù)據(jù)安安全全管管理理技術(shù)術(shù)文文檔檔安安全全管管理理應(yīng)用用系系統(tǒng)統(tǒng)運(yùn)運(yùn)營(yíng)營(yíng)安安全全管管理理操作作安安全全管管理理應(yīng)用用系系統(tǒng)統(tǒng)開開發(fā)發(fā)安安全全管管理理返回回本本章章首首頁(yè)頁(yè)10.5小結(jié)結(jié)網(wǎng)絡(luò)絡(luò)安安全全是是一一項(xiàng)項(xiàng)復(fù)復(fù)雜雜的的系系統(tǒng)統(tǒng)工工程程，，涉涉及及技技術(shù)術(shù)、、設(shè)設(shè)備備、、管管理理和和制制度度等等多多方方面面的的因因素素，，安安全全解解決決方方案案的的制制定定需需要要從從總總體體上上進(jìn)進(jìn)行行把把握握。。網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全解解決決方方案案的的內(nèi)內(nèi)涵涵是是綜綜合合運(yùn)運(yùn)用用各各種種計(jì)計(jì)算算機(jī)機(jī)網(wǎng)網(wǎng)絡(luò)絡(luò)信信息息系系統(tǒng)統(tǒng)安安全全技技術(shù)術(shù)，，將將安安全全操操作作系系統(tǒng)統(tǒng)技技術(shù)術(shù)、、防防火火墻墻技技術(shù)術(shù)、、病病毒毒防防護(hù)護(hù)技技術(shù)術(shù)、、入入侵侵檢檢測(cè)測(cè)技技術(shù)術(shù)、、安安全全掃掃描描技技術(shù)術(shù)、、認(rèn)認(rèn)證證和和數(shù)數(shù)字字簽簽名名技技術(shù)術(shù)、、VPN技術(shù)術(shù)等等綜綜合合起起來(lái)來(lái)，，形形成成一一個(gè)個(gè)完完整整的的、、協(xié)協(xié)調(diào)調(diào)一一致致的的網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全防防護(hù)護(hù)體體系系。。返回回本本章章首首頁(yè)頁(yè)返回回本本章章首首頁(yè)頁(yè)本章章到到此此結(jié)結(jié)束束，，謝謝謝謝?。?、靜夜四無(wú)無(wú)鄰，荒居居舊業(yè)貧。。。12月-2212月-22Thursday,December29,202210、雨雨中中黃黃葉葉樹樹，，燈燈下下白白頭頭人人。。。。20:49:5020:49:5020:4912/29/20228:49:50PM11、以以我我獨(dú)獨(dú)沈沈久久，，愧愧君君相相見(jiàn)見(jiàn)頻頻。。。。12月月-2220:49:5020:49Dec-2229-Dec-2212、故故人人江江海海別別，，幾幾度度隔隔山山川川。。。。20:49:5020:49:5020:49Thursday,December29,202213、乍見(jiàn)翻疑疑夢(mèng)，相悲悲各問(wèn)年。。。12月-2212月-2220:49:5020:49:50December29,202214、他鄉(xiāng)生白發(fā)發(fā)，舊國(guó)見(jiàn)青青山。。29十二月月20228:49:50下午20:49:5012月-2215、比比不不了了得得就就不不比比，，得得不不到到的的就就不不要要。。。。。十二二月月228:49下下午午12月月-2220:49December29,202216、行動(dòng)出出成果，，工作出出財(cái)富。。。2022/12/2920:49:5020:49:5029December202217、做前，能能夠環(huán)視四四周；做時(shí)時(shí)，你只能能或者最好好沿著以腳腳為起點(diǎn)的的射線向前前。。8:49:50下下午8:49下下午20:49:5012月-229、沒(méi)沒(méi)有有失失敗敗，，只只有有暫暫時(shí)時(shí)停停止止成成功功！！。。12月月-2212月月-22Thursday,December29,202210、很多事情努努力了未必有有結(jié)果，但是是不努力卻什什么改變也沒(méi)沒(méi)有。。20:49:5020:49:5020:4912/29/20228:49:50PM11、成功就是是日復(fù)一日日那一點(diǎn)點(diǎn)點(diǎn)小小努力力的積累。。。12月-2220:49:5020:49Dec-2229-Dec-2212、世間成事事，不求其其絕對(duì)圓滿滿，留一份份不足，可可得無(wú)限完完美。。20:49:5020:49:5020:49Thursday,December29,202213、不知香積寺寺，數(shù)里入云云峰。。12月-2212月-2220:49:5020:49:50December29,202214、意志堅(jiān)