一、做好口令保護

    防范入侵的前線是口令系統。口令用于驗證登錄用戶的身份標識。應當建立用戶帳號管理，設置對文件、目錄、打印機和其他資源的訪問權限，加強口令管理（如設置生效期等）和檢查，避免使用公共帳號，教育用戶保管好口令并避免使用過于簡單的口令。保護口令的一種方法是口令加密，就是為一進步防止口令泄露，口令在系統中保存時，以加密的形式存放。阻止口令攻擊的另一種方法是拒絕入侵者訪問口令文件，如果只有一個特權用戶能夠訪問口令文件的加密部分，那么入侵者如果不知道該用戶的口令，就無法讀取它。

二、系統后門和安全補丁

    后門是一種可以繞過安全性控制而獲得對程序或系統訪問權的隱蔽程序或方法。在軟件的開發階段，程序員常會在軟件內創建后門以便修改程序。如果后門被其他人知道，或是在發布軟件之前沒有刪除后門，那么就可能被利用來建立隱蔽通道，甚至植入隱蔽的惡意程序，達到非法訪問或竊取、篡改、偽造、破壞數據等目的。現在后門多指系統被入侵后被安裝的具有控制系統權限的程序，通過它黑客可以遠程控制系統。

    漏洞是軟件在開發的過程中沒有考慮到的某些缺陷，也叫軟件的bug。操作系統和應用軟件都是存在安全漏洞的，這些漏洞不斷地被發現。安全補丁是軟件開發廠商為堵塞安全漏洞，提高軟件的安全性和穩定性，開發的與原軟件結合或對原軟件升級的程序。因此，要定期從廠商處獲取并安裝最新的補丁程序，避免從非正規望站下載未知的補丁程序而被欺騙。

三、身份認證技術

    身份認證技術主要包括數字簽名、身份驗證和數字證明。數字簽名又稱電子加密，可以區分真實數據與偽造、被篡改過的數據。這對于網絡數據傳輸，特別是電子商務是極其重要的，一般要采用一種稱為摘要的技術，摘要技術主要是采用HASH 函數（HASH(哈希)函數提供了這樣一種計算過程：輸入一個長度不固定的字符串，返回一串定長度的字符串，又稱HASH值）將一段長的報文通過函數變換，轉換為一段定長的報文，即摘要。身份識別是指用戶向系統出示自己身份證明的過程，主要使用約定口令、智能卡和用戶指紋、視網膜和聲音等生理特征。數字證明機制提供利用公開密鑰進行驗證的方法。

四、防火墻的種類與選擇

    傳統上認為，防火墻是指設置在不同網絡（如可信任的企業內部網和不可信的公共網）或網絡安全域之間的一系列部件的組合。它通過允許、拒絕或重新定向經過防火墻的數據流，防止不希望的、未授權的通信，并對進、出內部網絡的服務和訪問進行審計和控制，本身具有較強的抗攻擊能力，對網絡用戶基本上是“透明”的，并且只有授權的管理員方可對防火墻進行管理。目前，市場上有六種基本類型的防火墻，分別是嵌入式防火墻、基于企業軟件的防火墻、基于企業硬件的防火墻、ＳＯＨＯ軟件防火墻、ＳＯＨＯ硬件防火墻和特殊防火墻。

    嵌入式防火墻：就是內嵌于路由器或交換機的防火墻。嵌入式防火墻是某些路由器的標準配置。用戶也可以購買防火墻模塊，安裝到已有的路由器或交換機中。嵌入式防火墻也被稱為阻塞點防火墻。由于互聯網使用的協議多種多樣，所以不是所有的網絡服務都能得到嵌入式防火墻的有效處理。嵌入式防火墻工作于ＩＰ層，無法保護網絡免受病毒、蠕蟲和特洛伊木馬程序等來自應用層的威脅。就本質而言，嵌入式防火墻常常是無監控狀態的，它在傳遞信息包時并不考慮以前的連接狀態。

    基于軟件的防火墻：是能夠安裝在操作系統和硬件平臺上的防火墻軟件包。如果用戶的服務器裝有企業級操作系統，購買基于軟件的防火墻則是合理的選擇。如果用戶是一家小企業，并且想把防火墻與應用服務器（如網站服務器）結合起來，添加一個基于軟件的防火墻就是合理之舉。

    基于硬件的防火墻：捆綁在“交鑰匙”系統（Ｔｕｒｎｋｅｙ ｓｙｓｔｅｍ）內，是一個已經裝有軟件的硬件設備。基于硬件的防火墻也分為家庭辦公型和企業型兩種款式。

    特殊防火墻：是側重于某一應用的防火墻產品。目前，市場上有一類防火墻是專門為過濾內容而設計的，ＭａｉｌＭａｒｓｈａｌ和ＷｅｂＭａｒｓｈａｌ就是側重于消息發送與內容過濾的特殊防火墻。ＯＫＥＮＡ的ＳｔｏｒｍＷａｔｃｈ雖然沒有標明是防火墻，但也具有防火墻類規則和應用防范禁閉功能。

五、入侵檢測系統的作用

    入侵檢測系統（IDS，Intrusion Detection System）是通過對計算機網絡或計算機系統中的若干關鍵點收集信息并進行分析，從中發現網絡或系統中是否有違反安全策略的行為和被攻擊的跡象。入侵檢測系統執行的主要任務包括：監視、分析用戶及系統活動；審計系統構造和弱點；識別、反映已知進攻的活動模式，向相關人士報警；統計分析異常行為模式；評估重要系統和數據文件的完整性；審計、跟蹤管理操作系統，識別用戶違反安全策略的行為。入侵檢測系統可以彌補防火墻的不足，為網絡安全提供實時的入侵檢測并采取相應的防護手段，如記錄證據、跟蹤入侵、恢復或斷開網絡連接等。

    通常，入侵檢測系統按其輸入數據的來源分為三種：基于主機的入侵檢測系統，其輸入數據來源于系統的審計日志，一般只能檢測該主機上發生的入侵；基于網絡的入侵檢測系統，其輸入數據來源于網絡的信息流，能夠檢測該網段上發生的網絡入侵；分布式入侵檢測系統，能夠同時分析來自主機系統審計日志和網絡數據流的入侵檢測系統，系統由多個部件組成，采用分布式結構。

六、什么是安全漏洞掃描技術

    漏洞掃描器是一種自動檢測遠程或本地主機安全性弱點的程序。通過使用漏洞掃描器，系統管理員能夠發現所維護的Web服務器的各種TCP端口的分配、提供的服務、Web服務軟件版本和這些服務及軟件呈現在Internet上的安全漏洞。從而在計算機網絡系統安全保衛戰中做到“有的放矢”，及時修補漏洞，構筑堅固的安全長城。

    常規標準，可以將漏洞掃描器分為兩種類型：主機漏洞掃描器（Host Scanner）和網絡漏洞掃描器（Network Scanner）。網絡漏洞掃描器是指基于Internet遠程檢測目標網絡和主機系統漏洞的程序，如提供網絡服務、后門程序、密碼破解和阻斷服務等的掃描測試。主機漏洞掃描器是指針對操作系統內部進行的掃描，如Unix、NT、Liunx系統日志文件分析，可以彌補網絡型安全漏洞掃描器只從外面通過網絡檢查系統安全的不足。一般采用Client/Server的架構，其會有一個統一控管的主控臺(Console)和分布于各重要操作系統的Agents，然后由Console端下達命令給Agents進行掃描，各Agents再回報給Console掃描的結果，最后由Console端呈現出安全漏洞報表。除了上述二大類的掃描器外，還有一種專門針對數據庫作安全漏洞檢查的掃描器，主要功能為找出不良的密碼設定、過期密碼設定、偵測登入攻擊行為、關閉久未使用的帳戶，而且能追蹤登入期間的限制活動等，數據庫的安全掃描也是信息網絡安全內很重要的一環。

七、物理隔離器和邏輯隔離器的作用

    物理隔離器是一種不同網絡間的隔離部件，通過物理隔離的方式使兩個網絡在物理連線上完全隔離，且沒有任何公用的存儲信息，保證計算機的數據在網際間不被重用。一般采用電源切換的手段，使得所隔離的區域始終處在互不同時通電的狀態下(對硬盤、軟驅、光驅，也可通過在物理上控制IDE線實現)。被隔離的兩端永遠無法通過隔離部件交換信息。

    邏輯隔離器也是一種不同網絡間的隔離部件，被隔離的兩端仍然存在物理上數據通道連線，但通過技術手段保證被隔離的兩端沒有數據通道，即邏輯上隔離。一般使用協議轉換、數據格式剝離和數據流控制的方法，在兩個邏輯隔離區域中傳輸數據。并且傳輸的方向是可控狀態下的單向，不能在兩個網絡之間直接進行數據交換。

八、什么是信息內容過濾產品

    現在網絡上大量的黃色、反動、暴力、賭博等不良信息，以及垃圾郵件、病毒郵件、泄密郵件和網絡聊天等問題，一直令企業領導者及網絡管理者感到頭疼。采取信息內容過濾產品可以有效的防止這些不良信息的入侵，有效的減輕網絡管理人員及信息安全工作者的工作。

    信息過濾產品可以對互聯網上的信息內容進行實時分析，對預先定義的非法信息內容進行過濾和攔截。信息過濾產品按其針對的服務進行分類，主要可分為：HTTP、郵件、TELNET(BBS)、FTP等。

九、介紹VPN技術

    VPN即虛擬專用網，是通過一個公用網絡（通常是因特網）建立一個臨時的、安全的連接，是一條穿過混亂的公用網絡的安全、穩定的隧道。通常，VPN是對企業內部網的擴展，通過它可以幫助遠程用戶、公司分支機構、商業伙伴及供應商同公司的內部網建立可信的安全連接，并保證數據的安全傳輸。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接；可用于實現企業網站之間安全通信的虛擬專用線路，用于經濟有效地連接到商業伙伴和用戶的安全外聯網虛擬專用網。

    VPN 架構中采用了多種安全機制，如隧道技術（Tunneling）、加解密技術（Encryption）、密鑰管理技術、身份認證技術（Authentication）等，通過上述的各項網絡安全技術，確保資料在公眾網絡中傳輸時不被竊取，或是即使被竊取了，對方亦無法讀取數據包內所傳送的資料。

十、安全操作系統和安全數據庫

    安全操作系統是指計算機信息系統在自主訪問控制、強制訪問控制、標記、身份鑒別、客體重用、審計、數據完整性、隱蔽信道分析、可信路徑、可信恢復等十個方面滿足相應的安全技術要求。安全操作系統主要特征：1、最小特權原則，即每個特權用戶只擁有能進行他工作的權力；2、自主訪問控制；強制訪問控制，包括保密性訪問控制和完整性訪問控制；3、安全審計；4、安全域隔離。只要有了這些最底層的安全功能，各種混為“應用軟件”的病毒、木馬程序、網絡入侵和人為非法操作才能被真正抵制，因為它們違背了操作系統的安全規則，也就失去了運行的基礎。

    數據庫的安全性包括：機密性、完整性和可用性，數據庫在三個層次上，客戶機 /服務器通過開放的網絡環境，跨不同硬件和軟件平臺通信，數據庫安全問題在這個環境下變得更加復雜。管理分布或聯邦數據庫環境，每個結點服務器還能自治實行集中式安全管理和訪問控制，對自己創建的用戶、規則、客體進行安全管理。如由DBA或安全管理員執行本部門、本地區、或整體的安全策略，授權特定的管理員管理各組應用程序、用戶、規則和數據庫。因此訪問控制和安全管理尤為重要。安全數據庫是指數據庫管理系統必須允許系統管理員有效地管理數據庫管理系統和它的安全，并且只有被授權的管理員才可以使用這些安全功能和設備。數據庫管理系統保護的資源包括數據庫管理系統存儲、處理或傳送的信息。數據庫管理系統阻止對信息的未授權訪問，以防止信息的泄漏、修改和破壞。

十一、網頁恢復產品的用途

    網頁恢復產品是對受保護網頁目錄、文件的未授權破壞進行識別，并能用備份目錄、文件進行自動恢復，主要包括：1、網頁目錄、文件未授權增加的恢復；2、網頁目錄、文件未授權刪除的恢復；3、網頁目錄、文件未授權修改（包括目錄、文件屬性修改、重命名、移動等）的恢復。

十二、安全審計產品

    安全審計產品是對網絡或指定系統的使用狀態進行跟蹤記錄和綜合梳理的工具，分為用戶自主保護、系統審計保護兩級。

    網絡安全審計能夠對網絡進行動態實時監控，可通過尋找入侵和違規行為，記錄網絡上發生的一切，為用戶提供取證手段。網絡安全審計不但能夠監視和控制來自外部的入侵，還能夠監視來自內部人員的違規和破壞行動，它是評判一個系統是否安全的重要尺度。

十三、什么是PKI/CA

    PKI（Public Key Infrastructure）指的是公鑰基礎設施。CA（Certificate Authority）指的是認證中心。PKI從技術上解決了網絡通信安全的種種障礙。CA從運營、管理、規范、法律、人員等多個角度來解決了網絡信任問題。由此，人們統稱為“PKI/CA”。從總體構架來看，PKI/CA主要由最終用戶、認證中心和注冊機構來組成。

    （1）PKI/CA的工作原理

    PKI/CA的工作原理就是通過發放和維護數字證書來建立一套信任網絡，在同一信任網絡中的用戶通過申請到的數字證書來完成身份認證和安全處理。

    （2）什么是數字證書？

    數字證書就像日常生活中的身份證、駕駛證，在您需要表明身份的時候，必須出示證件來明確身份。您在參與電子商務的時候就依靠這種方式來表明您的真實身份。

    （3）什么是認證中心（CA）？

    一個認證中心是以它為信任源，由她維護一定范圍的信任體系，在該信任體系中的所有用戶、服務器，都被發放一張數字證書來證明其身份已經被鑒定過，并為其發放一張數字證書，每次在進行交易的時候，通過互相檢查對方的數字證書即可判別是否是本信任域中的可信體。

    （4）什么是注冊機構？

    注冊中心負責審核證書申請者的真實身份，在審核通過后，負責將用戶信息通過網絡上傳到認證中心，由認證中心負責最后的制證處理。證書的吊銷、更新也需要由注冊機構來提交給認證中心做處理。總的來說，認證中心是面向各注冊中心的，而注冊中心是面向最終用戶的，注冊機構是用戶與認證中心的中間渠道。

    （5）PKI/CA的作用？

    以數字證書為核心的PKI/CA技術可以對網絡上傳輸的信息進行加密和解密、數字簽名和簽名驗證，從而保證：信息除發送方和接收方外不被其它人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對于自己的信息不能抵賴。PKI/CA解決方案已經普遍地應用于全球范圍的電子商務應用中，為電子商務保駕護航，為電子商務的健康開展掃清了障礙。

十四、電磁泄漏和電磁干擾

    電磁泄漏是指信息系統的設備在工作時能經過地線、電源線、信號線、寄生電磁信號或諧波等輻射出去，產生電磁泄漏。這些電磁信號如果被接收下來，經過提取處理，就可恢復出原信息，造成信息失密。具有保密要求的計算機信息系統必須注意防止電磁泄漏。

    電磁干擾是指雷電電磁脈沖、電網操作過電壓、靜電放電等電磁場會對計算機信息系統運行造成干擾。

十五、計算機信息系統雷擊災害與防雷保安器

    計算機設備大量采用的大規模集成電路芯片，其耐過電壓、過電流的能力極低。在雷電天氣狀況下，避雷針引雷時，強大的雷電流經避雷針入地并在避雷針周圍產生強電磁場，在電磁場內的電子設備可被感應出較高的雷電壓、雷電流，造成電子設備損壞。

    計算機信息系統防范雷擊災害可以在與計算機連接的所有外線上（包括電源線和通信線）加設防雷保安器，同時規范地線，防止雷擊時在地線上產生的高電位反擊。

十六、計算機信息系統安全專用產品銷售許可管理

    銷售許可管理是依據國務院《中華人民共和國計算機信息系統安全保護條例》和公安部《計算機信息系統安全專用產品檢測和銷售許可證管理辦法》的規定而實行的一項行政管理。我國境內的計算機安全專用產品進入市場銷售須申領公安部頒發的銷售許可證，已取得銷售許可證的產品應在固定位置標明“銷售許可”標記。

十七、如何選擇安全專用產品

    目前，我國計算機信息系統安全專用產品的種類已由單機防病毒產品發展到現在的網絡防毒、防火墻、身份鑒別、網絡隔離、網頁保護、漏洞掃描、防攻擊預警、操作系統、數據庫等十幾大類信息安全保護產品，產品的功能檢測也隨著安全保護技術的完善由簡單的功能確認發展到分級檢驗。在選擇安全專用產品時應當考慮產品的性價比、特征庫的升級與維護費用、最大處理能力、產品的可伸縮性、運行與維護開銷、產品是否容易被躲避及響應方法、是否獲得安全專用產品銷售許可證。

來源：巨靈鳥 歡迎分享本文