網路安全的策略

A. 網路安全技術措施

最佳的解決方案

1.安裝瑞星殺毒或卡巴斯基等殺毒軟體，實時清除電腦木馬病毒；

2.安裝個人硬體防火牆，簡單使用，實時監控且能100%防禦黑客攻擊，又不會影響電腦出現卡機等現象。

目前此類產品中阿爾敘個人硬體防火牆做比較專業，價格還算能接受

在設置一個網路時，無論它是一個區域網（LAN）、虛擬LAN（VLAN）還是廣域網（WAN），在剛開始時設置最基本的安全策略非常重要。安全策略是一些根據安全需求，以電子化的方式設計和存儲的規則，用於控制訪問許可權等領域。當然，安全策略也包括一個企業所執行的書面的或者口頭的規定。另外，企業必須決定由誰來實施和管理這些策略，以及怎樣通知員工這些規則。安全策略、設備和多設備管理的作用相當於一個中央安全控制室，安全人員在其中監控建築物或者園區的安全，進行巡邏或者發出警報。那什麼是安全策略呢？所實施的策略應當控制誰可以訪問網路的哪個部分，以及如何防止未經授權的用戶進入訪問受限的領域。例如，通常只有人力資源部門的成員有權查看員工的薪資歷史。密碼通常可以防止員工進入受限的領域。一些基本的書面策略，例如警告員工不要在工作場所張貼他們的密碼等，通常可以預先防止安全漏洞。可以訪問網路的某些部分的客戶或者供應商也必須受到策略的適當管理。誰又能來實施管理安全策略呢？制定策略和維護網路及其安全的個人或者群體必須有權訪問網路的每個部分。而且，網路策略管理部門應當獲得極為可靠，擁有所需要的技術能力的人員。如前所述，大部分網路安全漏洞都來自於內部，所以這個負責人或者群體必須確保其本身不是一個潛在的威脅。一旦被任命，網路管理人員就可以利用復雜的軟體工具，來幫助他們通過基於瀏覽器的界面，制定、分配、實施和審核安全策略。你想怎樣向員工傳達這個策略呢？如果相關各方都不知道和了解規則，那規則實際上沒有任何用處。為傳達現有的策略、策略的更改、新的策略以及對於即將到來的病毒或者攻擊的安全警報制定有效的機制是非常重要的。

B. 企業級網路安全威脅分析及安安全策略制定

企業級網路安全威脅分析及安安全策略制定 近年來，互聯網技術飛速發展，極大的方便了人們的溝通交流。但是黑客、病毒的存在也給企業網路安全敲響警鍾。本文對企業級網路安全的威脅源頭進行分析，並針對各個源頭提出對應的應對策略。
一、企業的網路安全現狀 據統計，我國現有企業的網路安全現狀是不容樂觀的，其主要表現在以下幾個方面： 信息和網路的安全防護能力差； 網路安全人才缺乏； 企業員工對網路的安全保密意識淡薄，企業領導對網路安全方面不夠重視等。一部分企業認為添加了各種安全產品之後，該網路就已經安全了，企業領導基本上就是只注重直接的經濟利益回報的投資項目，對網路安全這個看不見實際回饋的資金投入大部分都採取不積極的態度，其中起主導作用的因素還有就是企業缺少專門的技術人員和專業指導，導致我國目前企業的網路安全建設普遍處於不容樂觀的狀況。
二、網路安全常見威脅
1、計算機病毒 計算機病毒指在計算機程序中插入的破壞計算機功能和數據、影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。具有寄生性、傳染性、隱蔽性等特點。常見的破壞性比較強的病毒經常表現為：藍屏、機卡、CPU、自動重啟使用率高、打不開殺毒軟體等，並且在短時間內傳播從而導致大量的計算機系統癱瘓，對企業或者個人造成重大的經濟損失。
2、非授權訪問 指利用編寫和調試計算機程序侵入到他方內部網或專用網，獲得非法或未授權的網路或文件訪問的行為。如有意避開系統訪問控制機制，對網路設備及資源進行非正常使用，或擅自擴大許可權，越權訪問信息。它主要有以下幾種形式：假冒、身份攻擊、非法用戶進入網路系統進行違法操作、合法用戶以未授權方式進行操作等。
3、木馬程序和後門 木馬程序和後門是一種可以通過遠程式控制制別人計算機的程序，具有隱蔽性和非授權性的特點。企業的某台計算機被安裝了木馬程序或後門後，該程序可能會竊取用戶信息，包括用戶輸入的各種密碼，並將這些信息發送出去，或者使得黑客可以通過網路遠程操控這台計算機，竊取計算機中的用戶信息和文件，更為嚴重的是通過該台計算機操控整個企業的網路系統，使整個網路系統都暴露在黑客間諜的眼前。
三、網路的安全策略
1、更改系統管理員的賬戶名 應將系統管理員的賬戶名由原先的Administrator改為一個無意義的字元串.這樣要疊錄的非法用戶不但要猜准口令。還必須猜出用戶名.這種更名功能在域用戶管理器的User Properties對話框中並沒有設置.用它的User-*-Rename菜單選項就可以實現這一功能.如果用的是NT
4.0.可以用Resource Kit中提供的工具封鎖聯機系統管理員賬號.這種封鎖僅僅對由網路過來的非法疊錄起作用.
2、關閉不必要的向內TCP/IP埠 非法用戶進入系統並得到管理員許可權之後.首先要做的，必定設法恢復管理員刻意廢止的TCP/IP上的NetBIOS裝訂.管理員應該使用路由器作為另一道防線。即提供web和FTP之類公共服務的NT伺服器.這種情況下，只須保留兩條路由器到伺服器的向內路徑：端日80的H1vrP和端日2l的FTP.
3、防火牆配置 防火牆是在2個網路間實現訪問控制的1個或1組軟體或硬體系統，它是外部網路與內部網路之間的第1道安全屏障。本建設方案主要採用硬體防火牆，其主要功能就是屏蔽和允許指定的數據通訊，而這個功能的實現又主要是依靠一套訪問控制策略，由訪問控制策略來決定通訊的合法性，該控制策略的具體內容由企業的安全管理員和系統管理員共同來制定。 制定的防火牆安全策略主要有： 所有從內到外和從外到內的數據包都必須經過防火牆； 只有被安全策略允許的數據包才能通過防火牆； 伺服器本身不能直接訪問互聯網； 防火牆本身要有預防入侵的功能； 默認禁止所有服務，除非是必須的服務才允許。而其他一些應用系統需要開放特殊的埠由系統管理員來執行。
4、VLAN 的劃分 VLAN 是為解決乙太網的廣播問題和安全性而提出的一種協議。VLAN 之間的訪問需要通過應用系統的授權來進行數據交互。為保護敏感資源和控制廣播風暴，在3 層路由交換機的集中式網路環境下，將網路中的所有客戶主機和伺服器系統分別集中到不同的VLAN 里，在每個VLAN 里不允許任何用戶設置IP、用戶主機和伺服器之間相互PING，不允許用戶主機對伺服器的數據進行編_，只允許數據訪問，從而較好地保護敏感的主機資源和伺服器系統的數據。採用3 層交換機，通過VLAN 劃分，來實現同一部門在同一個VLAN 中，這樣既方便同部門的數據交換，又限制了不同部門之間用戶的直接訪問。
5、身份認證 身份認證是提高網路安全的主要措施之一。其主要目的是證實被認證對象是否屬實，常被用於通信雙方相互確認身份，以保證通信的安全。常用的網路身份認證技術有： 靜態密碼、USB Key 和動態口令、智能卡牌等。其中，最常見的使用是用戶名加靜態密碼的方式。而在本方案中主要採用USB Key的方式。基於USB Key 的身份認證方式採用軟硬體相結合，很好地解決了安全性與易用性之間的矛盾，利用USB Key 內置的密碼演算法實現對用戶身份的認證。USB Key 身份認證系統主要有2 種應用模式： 一是基於沖擊、響應的認證模式； 二是基於PKI 體系的認證模式。
6、制訂網路系統的應急計劃 為了將由意外事故引起的網路系統損害降低到最小程度，企業應制訂應急計劃.以防意外事故使網路系統遭受破壞.該應急計劃應包括緊急行動方案及軟、硬體系統恢復方案等.絕對的安全是沒有的，安全標準的追求是以資金和方便為代價的.我們應隨時根據網路系統的運行環境而採用相應的安全保護策略.通過對計算機網路系統安全問題的充分認識.以及行政、技術和物質手段的保證。網路系統就能夠有足夠的安全性來對付各種不安全問題. 結語 如何確保計算機網路信息的安全是每一個網路系統的設計者和管理者都極為關心的熱點，當然，也是企業關心的重點。一個全方位的安全方案是非常難以實現的，只有在企業領導的支持下，在技術人員和管理人員的努力下，結合企業的實際情況，制定出相應的解決措施，才是符合本企業的安全方案。本文主要討論了計算機網路的安全的幾種不同的威脅，給出了相應安全策略以及相應的安全產品，提出了計算機網路系統實施建設的基本方案。
來源：時代財富

C. 如何做好網路安全工作

1、完善網路安全機制

制定《網路安全管理制度》，設立公司網路與信息化管理機構，負責網路設施和信息系統的運維管理。堅持做好網路與信息安全風險評估和定期巡查，制定網路安全應急預案，健全網路安全事件聯動機制，提高公司網路安全應急處理能力。

通過計算機入網申請登記表、網路密碼變更記錄、公司網路管理日誌等記錄，做好網路監控和安全服務，構建安全即服務的雙重縱深防禦模式，為公司管理保駕護航。

6、加強新媒體運營維護

做好公司微信、網站等的管理和維護，及時發布企業運行信息，構築全公司資源共享的信息平台，弘揚企業文化，提升企業形象，更好地服務於企業改革發展。

D. 什麼是計算機網路安全策略

一、物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用許可權、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

二、訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段，可以說是保證網路安全最重要的核心策略之一。

當今網路在安全攻擊面前顯得如此脆弱源於以下幾個方面的原因：
第一，TCP/IP的脆弱性。 網際網路的基石是TCP/IP協議。但不幸的是該協議對於網路的安全性考慮得並不多。並且，由於TCP/IP協議是公布於眾的，如果人們對TCP/IP
很熟悉，就可以利用它的安全缺陷來實施網路攻擊。

第二，網路結構的不安全性。網際網路是一種網間網技術。它是由無數個區域網所連成的一個巨大網路。當人們用一台主機和另一區域網的主機進行通信時，通常情況下它們之間互相傳送的數據流要經過很多機器重重轉發，如果攻擊者利用一台處於用戶的數據流傳輸路徑上的主機，他就可以劫持用戶的數據包。

第三，易被竊聽。由於網際網路上大多數數據流都沒有加密，因此人們利用網上免費提供的工具就很容易對網上的電子郵件、口令和傳輸的文件進行竊聽。

第四，缺乏安全意識。雖然網路中設置了許多安全保護屏障，但人們普遍缺乏安全意識，從而使這些保護措施形同虛設。如人們為了避開防火牆代理伺服器的額外認證，進行直接的PPP連接從而避開了防火牆的保護。

E. 信息安全策略主要包括哪些內容

1、密碼策略：

加強用戶密碼管理和伺服器密碼管理。主要是拒絕訪問、檢測病毒、控制病毒和消除病毒。密碼必須滿足復雜性要求。最小密碼長度。所有的安全策略都是根據計算機的實際使用情況來設置的。

2、本地安全策略：

設置計算機的安全方面和許可權，比如用戶許可權的分配。

3、組策略：

組策略可以對計算機進行詳細的設置，如鎖定驅動器號、隱藏驅動器號等。

4、口令策略：

主要是加強用戶口令管理和伺服器口令管理；

5、計算機病毒和惡意代碼防治策略：

主要是拒絕訪問，檢測病毒，控制病毒，消除病毒。

(5)網路安全的策略擴展閱讀：

信息安全管理措施：

一、注重思想教育，著力提高網路安全保護的自覺性。

1、用思想教育啟迪。

2、用環境氛圍熏陶。

3、用各種活動深化。

二、建立完善機制，努力促進網路安全操作的規范性。

1、著眼全面規范，建立統攬指導機制。

2、著眼激發動力，健全責任追究機制。

3、著眼發展要求，建立研究創新機制。

三、緊扣任務特點，不斷增強網路安全管理的針對性。

1、加強網路信息安全檢查。

2、加強網路信息安全教育培訓。

3、加強網路信息日常維護管理。

F. 網路安全管理策略包括哪些內容

網路安全管理措施：

一、注重思想教育，著力提高網路安全保護的自覺性。

1、用思想教育啟迪；

2、用環境氛圍熏陶；

3、用各種活動深化。

二、建立完善機制，努力促進網路安全操作的規范性。

1、著眼全面規范，建立統攬指導機制；

2、著眼激發動力，健全責任追究機制；

3、著眼發展要求，建立研究創新機制。

三、緊扣任務特點，不斷增強網路安全管理的針對性。

1、加強網路信息安全檢查；

2、加強網路信息安全教育培訓；

3、加強網路信息日常維護管理。

G. 網路安全如何加強

一、剋制自己的慾望：網路帶給我們的東西特別多，尤其是平時我們得不到卻十分想得到的東西，那麼我們的這個慾望就會被別人網路上給利用了，為了要實現自己的慾望，就會對網路上某些人的行為放鬆警惕，自然就會讓自己處於網路安全的隱患之中。

所以如果你剋制自己的慾望，能夠清晰地對待別人對你的各種誘惑，在網路上自己會不會就更加安全了呢？

現代人把大部分生活交給了網路，身份信息、銀行賬戶、家庭情況、身體狀況等等信息，網路上映射著另一個完完整整的自己，然而，在隱私信息盜竊泛濫的互聯網上，每個人都被裸體般暴露。

沒人能夠免受網路風險的影響，但你可以採取一些步驟來最大程度地減少發生意外的機會。

所以關於網路安全，你要有自己的態度和原則，學會一兩個自己安全不被危及的方法技巧，其實就可以輕輕鬆鬆地在網路上自由來往了。

最後呼籲，安全網路環境，全民共建！不法的請收手，不是今天不報，是時候未到，到頭來給你算總賬。全民提高自我保護意識，不讓不法見縫插針。

H. 信息網路安全的安全策略

信息網路運行部門的安全管理工作應首先研究確定信息網路安全策略，安全策略確定網路安全保護工作的目標和對象。信息網路安全策略涵蓋面很多，如總體安全策略、網路安全策略、應用系統安全策略、部門安全策略、設備安全策略等。一個信息網路的總體安全策略，可以概括為「實體可信，行為可控，資源可管，事件可查，運行可靠」，總體安全策略為其它安全策略的制定提供總的依據。
1. 實體可信：實體指構成信息網路的基本要素，主要有網路基礎設備，如防火牆、VPN等；軟體系統，如Windows7/8系統、UniNAC網路准入系統等；及用戶和數據。保證構建網路的基礎設備和軟體系統安全可信，沒有預留後門或邏輯炸彈。保證接入網路的用戶是可信的，防止惡意用戶對系統的攻擊破壞。保證在網路上傳輸、處理、存儲的數據是可信的，防止搭線竊聽，非授權訪問或惡意篡改。
2. 行為可控：保證用戶行為可控，即保證本地計算機的各種軟硬體資源 ( 例如：內存、中斷、 I / O 埠、硬碟等硬體設備，文件、目錄、進程、系統調用等軟體資源 ) 不被非授權使用或被用於危害本系統或其它系統的安全。保證網路接入可控，即保證用戶接入網路應嚴格受控，用戶上網必須得到申請登記並許可。保證網路行為可控，即保證網路上的通信行為受到監視和控制，防止濫用資源、非法外聯、網路攻擊、非法訪問和傳播有害信息等惡意事件的發生。
3. 資源可管：保證對路由器、交換機、伺服器、郵件系統、目錄系統、資料庫、域名系統、安全設備、密碼設備、密鑰參數、交換機埠、 IP 地址、用戶賬號、服務埠等網路資源進行統一管理。
4. 事件可查：保證對網路上的各類違規事件進行監控記錄，確保日誌記錄的完整性，為安全事件稽查、取證提供依據。
5. 運行可靠：保證網路節點在發生自然災難或遭到硬摧毀時仍能不間斷運行，具有容災抗毀和備份恢復能力。保證能夠有效防範病毒和黑客的攻擊所引起的網路擁塞、系統崩潰和數據丟失，並具有較強的應急響應和災難恢復能力。

I. 簡述網路安全策略的概念及制定安全策略的原則

網路的安全策略1.引言

隨著計算機網路的不斷發展，全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵，致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言，其網上信息的安全和保密尤為重要。因此，上述的網路必須有足夠強的安全措施，否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網路信息的保密性、完整性和可用性。

2.計算網路面臨的威脅

計算機網路所面臨的威脅大體可分為兩種：一是對網路中信息的威脅；二是對網路中設備的威脅。影響計算機網路的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網路系統資源的非法使有，歸結起來，針對網路安全的威脅主要有三：

(1)人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。

(2)人為的惡意攻擊：這是計算機網路所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網路正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害，並導致機密數據的泄漏。

(3)網路軟體的漏洞和「後門」：網路軟體不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網路內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦「後門」洞開，其造成的後果將不堪設想。

3.計算機網路的安全策略

3.1 物理安全策略

物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用許可權、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要採取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是採用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。

3.2 訪問控制策略

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制

入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源，控制准許用戶入網的時間和准許他們在哪台工作站入網。

用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網路。

對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，伺服器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少於6個字元，口令字元最好是數字、字母和其他字元的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基於單向函數的口令加密，基於測試模式的口令加密，基於公鑰加密方案的口令加密，基於平方剩餘的口令加密，基於多項式共享的口令加密，基於數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令，也可用攜帶型驗證器（如智能卡）來驗證用戶的身份。

網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。

用戶名和口令驗證有效之後，再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時，網路還應能對用戶的帳號加以限制，用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

3.2.2 網路的許可權控制

網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽（IRM）可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器，可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作許可權；（3）審計用戶，負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。

3.2.3 目錄級安全控制

網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種：系統管理員許可權（Supervisor）、讀許可權（Read）、寫許可權（Write）、創建許可權（Create）、刪除許可權（Erase）、修改許可權（Modify）、文件查找許可權（File Scan）、存取控制許可權（Access Control）。用戶對文件或目標的有效許可權取決於以下二個因素：用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權，這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對伺服器資源的訪問 ，從而加強了網路和伺服器的安全性。

3.2.4 屬性安全控制

當用文件、目錄和網路設備時，網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表，用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。

3.2.5 網路伺服器安全控制

網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊，可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

3.2.6 網路監測和鎖定控制

網路管理員應對網路實施監控，伺服器應記錄用戶對網路資源的訪問，對非法的網路訪問，伺服器應以圖形或文字或聲音等形式報警，以引起網路管理員的注意。如果不法之徒試圖進入網路，網路伺服器應會自動記錄企圖嘗試進入網路的次數，如果非法訪問的次數達到設定數值，那麼該帳戶將被自動鎖定。

3.2.7 網路埠和節點的安全控制

網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護，並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶，靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發生器）。在對用戶的身份進行驗證之後，才允許用戶進入用戶端。然後，用戶端和伺服器端再進行相互驗證。

3.2.8 防火牆控制

防火牆是近期發展起來的一種保護計算機網路安全的技術性措施，它是一個用以阻止網路中的黑客訪問某個機構網路的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路，以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型；

(1)包過濾防火牆：包過濾防火牆設置在網路層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型（TCP、UDP、ICMP等）、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。

(2)代理防火牆：代理防火牆又稱應用層網關級防火牆，它由代理伺服器和過濾路由器組成，是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連，並對數據進行嚴格選擇，然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用，其功能類似於一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時，代理伺服器接受申請，然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務（如多媒體）。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。

(3)雙穴主機防火牆：該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡，分別連接不同的網路。雙穴主機從一個網路收集數據，並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據，從而保護了內部網路不被非法訪問。

4.信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。

信息加密過程是由形形 色色的加密演算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。

在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。

常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。

在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。

公鑰密碼的優點是可以適應網路的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此，隨著現代電子技術和密碼技術的發展，公鑰密碼演算法將是一種很有前途的網路安全加密體制。

當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來加密信息，而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組，每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟體的有效方法之一。

5. 網路安全管理策略

在網路安全中，除了採用上述技術措施之外，加強網路的安全管理，制定有關規章制度，對於確保網路的安全、可靠地運行，將起到十分有效的作用。

網路的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網路操作使用規程和人員出入機房管理制度；制定網路系統的維護制度和應急措施等。

6. 結束語

隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網路的脆弱性和潛在威脅，採取強有力的安全策略，對於保障網路的安全性將變得十分重要。

J. 網路安全策略應當保持有效性完備性和一致性安全策略的制定與實施應當遵循什麼

咨詢記錄 · 回答於2021-10-16