亚洲AV无码精品夜色午夜_东北精品视频91熟女_欧美日韩色污污污在线_亚洲自拍偷拍欧美激情_国产自产第一区c国产

摘要

安全事故的數(shù)量每一年都在以驚人的速度增加。安全威脅的復雜程度越來越高，因此，必須采取安全措施來保護網(wǎng)絡(luò)。如今，為了安全地部署和管理網(wǎng)絡(luò)，數(shù)據(jù)中心工作人員、網(wǎng)絡(luò)管理人員以及其他數(shù)據(jù)中心專家都需要掌握基本的安全知識。本白皮書闡述了網(wǎng)絡(luò)系統(tǒng)的基本安全知識，包括防火墻、網(wǎng)絡(luò)拓撲和安全協(xié)議等。此外，還給出了佳方案，向讀者介紹了在保護網(wǎng)絡(luò)安全中某些比較關(guān)鍵的方面。

簡介

要保護現(xiàn)代商業(yè)網(wǎng)絡(luò)和 IT 基礎(chǔ)設(shè)施的安全，不僅需要端對端的方法，還必須充分了解網(wǎng)絡(luò)中所存在的弱點以及相關(guān)的保護措施。雖然這些知識并不足以阻擋住所有網(wǎng)絡(luò)入侵或系統(tǒng)攻擊企圖，但可以使網(wǎng)絡(luò)工程師排除某些常見問題，大量減少潛在的危害并迅速檢測出安全性漏洞。隨著攻擊數(shù)量的日益增加以及復雜程度的不斷提高，無論是大企業(yè)還是小公司，都必須采取謹慎的步驟來確保安全性。圖 1 顯示了歷年來安全事故次數(shù)的顯著上升趨勢，數(shù)據(jù)取自 CERT? Coordination Center（一家互聯(lián)網(wǎng)安全專業(yè)技術(shù)中心）。

人的問題

在任何安全方案中，人確實都是薄弱的環(huán)節(jié)。很多人都不認真對待保密的問題，譬如，不重視對密碼和訪問代碼的保密，而這些正是大多數(shù)安全系統(tǒng)的基礎(chǔ)。所有安全系統(tǒng)均依賴于一套控制訪問、驗證身份并防止泄漏敏感信息的方法。這些方法通常涉及一個或多個“秘密”。如果這些秘密被泄漏或偷竊，那么由這些秘密所保護的系統(tǒng)將受到威脅。這看起來似乎是再明顯不過的事實，但可惜大多數(shù)系統(tǒng)都是以這種非常低級的方式被攻擊的。譬如，將寫有系統(tǒng)密碼的便箋粘在計算機顯示器的一側(cè)，這種行為看起來十分的愚蠢，但事實上，很多人都有過這樣的舉動。另一個類似的例子，某些網(wǎng)絡(luò)設(shè)備仍保留著出廠時的默認密碼。此類設(shè)備可能包括UPS 的網(wǎng)絡(luò)管理接口。在安全方案中，無論是小型 UPS 還是足以為 100 臺服務器供電的大型 UPS，都往往是被忽略的環(huán)節(jié)。如果此類設(shè)備仍沿用默認的用戶名和密碼，那么，即使是除設(shè)備類型及發(fā)布的默認憑據(jù)之外一無所知的人，要獲得訪問權(quán)限也只是時間問題。如果服務器群集中的每臺 Web 服務器和郵件服務器的安全協(xié)議都堅不可摧，整個系統(tǒng)卻因為一個無保護的 UPS 的簡單關(guān)機操作被擊垮，該是多么令人震驚！

安全性，進入正題

一家安全的公司，無論大小，都應當采取適當步驟保護安全性，步驟必須全面而完整才能保證其有效性。但大多數(shù)公司機構(gòu)的安全性策略及其實施都未達到此標準。造成這種情況有多種原因，比如實施安全性保護需要花費成本。這里的成本不僅是資金，還包括復雜性、時間和效率成本。為確保安全，必須花費金錢、執(zhí)行更多的程序并等待這些程序完成（或者還可能涉及其他人）。事實是，真正的安全性計劃很難實現(xiàn)。通常的做法是選擇一個具有一定“成本”并實現(xiàn)一定安全性功能的方案。（這種安全性涵蓋的范圍幾乎總是比“全面、完整的”方案所涵蓋的范圍要窄。）關(guān)鍵是要為整個系統(tǒng)的每個方面做出明智的決策，并按照預計的方式有意識地或多或少地實施這些決策。如果知道某個區(qū)域缺乏保護，那么至少可以監(jiān)控此區(qū)域以確定問題或漏洞所在。 

安全性基礎(chǔ)知識

了解網(wǎng)絡(luò)

如果連要保護的對象都未清楚地了解，那么要保護好它是不可能的。任何規(guī)模的組織都應當有一套記錄在案的資源、資產(chǎn)和系統(tǒng)。其中每個元素都應當具備相對價值，該價值是根據(jù)其對組織的重要性以某種方式指定的。應予以考慮的設(shè)備包括服務器、工作站、存儲系統(tǒng)、路由器、交換機、集線器、網(wǎng)絡(luò)與電信鏈路以及其他任何網(wǎng)絡(luò)元素，如打印機、UPS 系統(tǒng)和 HVAC 系統(tǒng)等。此外，還有一些重要方面，如記錄設(shè)備位置以及它們之間的相關(guān)性。例如，大多數(shù)計算機都依賴于 UPS 等備用電源，如果這些系統(tǒng)受網(wǎng)絡(luò)管理，則它們可能也是網(wǎng)絡(luò)的一部分。環(huán)境設(shè)備，如 HVAC 設(shè)備和空氣凈化器可能也包括在內(nèi)。 

了解各種威脅

接下來是確定以上每個元素的潛在“威脅”，如表 1 所示。威脅既可能來自內(nèi)部，也可能來自外部。它們可能是人為操作的，或自動執(zhí)行的，甚至還可能是無意的自然現(xiàn)象所導致的。后一種情況更適合歸類到安全威脅的反面 — 系統(tǒng)健康威脅中，不過這兩種威脅有可能互相轉(zhuǎn)換。以防盜警報器斷電為例。斷電可能是有人故意為之，也可能是某些自然現(xiàn)象（如閃電）而造成的。無論是哪種原因，安全性都降低了。

表 1 – 各種威脅及后果一覽

物理安全性，從內(nèi)部進行保護

大多數(shù)專家都認同，物理安全是一切安全性的起點?？刂茖τ嬎銠C和網(wǎng)絡(luò)附加設(shè)備的物理訪問，或許要比其他任何安全方面都更為重要。對內(nèi)部站點的任何類型的物理訪問都將使站點暴露在危險之中。如果能夠進行物理訪問，那么要獲得安全文件、密碼、證書和所有其他類型的數(shù)據(jù)并非難事。幸好有各種各樣的訪問控制設(shè)備與安全柜可以幫助解決該問題。有關(guān)數(shù)據(jù)中心和網(wǎng)絡(luò)機房物理安全的詳細信息，請參閱 APC 第 82 號白皮書“任務關(guān)鍵設(shè)備的物理安全”。采用防火墻劃分和保護網(wǎng)絡(luò)邊界

對于站點而言，除了基本的物理安全之外，另一個重要的方面便是對出入組織網(wǎng)絡(luò)的數(shù)字訪問進行控制。大多數(shù)情況下，控制數(shù)字訪問即意味著控制與外部世界（通常為互聯(lián)網(wǎng)）的連接點。幾乎每家媒體和每個大公司在互聯(lián)網(wǎng)上都有自己的網(wǎng)站，并且有一個組織網(wǎng)絡(luò)與之相連。事實是，與互聯(lián)網(wǎng)時刻保持連通的小公司和家庭的數(shù)量在與日俱增。因此，確保安全的當務之急是在外部互聯(lián)網(wǎng)與內(nèi)部企業(yè)網(wǎng)之間建立分界線。通常，內(nèi)部企業(yè)網(wǎng)被當作“受信任”端，而外部互聯(lián)網(wǎng)則被當作“不受信任”端。一般情況下這樣理解并沒有錯，但不夠具體和全面，下文將對此進行闡述。防火墻機制就像是一個受控的堡壘，用于控制進出組織機構(gòu)的企業(yè)網(wǎng)的通信。從本質(zhì)上而言，防火墻其實就是特殊用途的路由器。它們運行于專用的嵌入式系統(tǒng)（如網(wǎng)絡(luò)外設(shè)）上，或者，它們也可以是運行于常見服務器平臺上的軟件程序。大多數(shù)情況下，這些系統(tǒng)都有兩個網(wǎng)絡(luò)接口，分別連接外部網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）和內(nèi)部企業(yè)網(wǎng)。防火墻進程可以嚴格控制允許哪些服務可以通過防火墻。防火墻結(jié)構(gòu)既可以相當簡單，也可以非常復雜。對于安全的大多數(shù)方面而言，決定采用哪種類型的防火墻取決于多個因素，譬如，通信級別、需要保護的服務、所需規(guī)則的復雜程度，等等。需要穿過防火墻的服務數(shù)量越多，所需的防火墻也越復雜。防火墻的難點在于區(qū)分合法通信與非法通信。

防火墻可以提供哪方面的保護，以及無法提供哪方面的保護？防火墻與其他很多事物一樣，如果配置正確，則是防衛(wèi)外部威脅，包括某些拒絕服務 (DOS) 攻擊的利器。相反，如果配置不正確，則會成為組織內(nèi)主要的安全漏洞。防火墻所提供的基本的保護便是可以阻止網(wǎng)絡(luò)通信到達某個目的地，包括 IP 地址和特定的網(wǎng)絡(luò)服務端口。如果站點希望 Web 服務器供外部訪問，可以將所有通信限定在端口 80（標準 HTTP 端口）。通常，此限制限定來自不受信任端的通信，受信任端的通信則不受限制。其他所有通信，如郵件通信、FTP、SNMP 等，都不允許通過防火墻進入企業(yè)網(wǎng)。圖 2 顯示了一個簡單的防火墻。

圖 2 – 簡單的網(wǎng)絡(luò)防火墻

還有一個更簡單的例子，使用家庭或小型企業(yè)用電纜/DSL 路由器的用戶使用的防火墻。通常，這種防火墻均設(shè)置為限制所有外部訪問，只允許來自內(nèi)部的服務。認真的讀者可能會意識到，在以上兩種情況中，防火墻實際上阻止了來自外部的所有通信。如果是這樣，那么如何能在網(wǎng)上沖浪并檢索網(wǎng)頁呢？防火墻所做的是限制來自外部的連接請求。在第1種情況中，來自內(nèi)部的所有連接請求都被傳遞至外部，隨后，所有數(shù)據(jù)通過該連接進行傳輸。對于外部網(wǎng)絡(luò)而言，只有對 Web 服務器的連接請求以及數(shù)據(jù)被允許通過，所有其他請求均被阻止。第二種情況則更加嚴格，干脆只允許從內(nèi)部到外部的連接。

比較復雜的防火墻規(guī)則可采用被稱為“狀態(tài)監(jiān)測”的技術(shù)。該方法對通信狀態(tài)與順序逐一進行查看，以檢測欺騙攻擊和拒絕服務攻擊，從而增加了基本的端口阻止方法。規(guī)則越復雜，所需的防火墻計算能力也越強。大多數(shù)組織都會面臨這樣一個問題：如何才能既使外部用戶能合法訪問 Web、FTP 和電子郵件等的“公共”服務，同時又嚴密保護企業(yè)網(wǎng)的安全。典型的做法是設(shè)置一個所謂的隔離區(qū) (DMZ)，這個來自冷戰(zhàn)時期的術(shù)語，如今用到了網(wǎng)絡(luò)上。該結(jié)構(gòu)存在兩個防火墻：一個位于外部網(wǎng)絡(luò)與 DMZ 之間，另一個位于 DMZ 與內(nèi)部網(wǎng)絡(luò)之間。所有的公共服務器都放置在 DMZ 中。采用該結(jié)構(gòu)之后，防火墻規(guī)則可以設(shè)置為允許公眾訪問公共服務器，但內(nèi)部防火墻仍可以限制所有進入的連接。比起僅僅處于單個防火墻之外，公共服務器在 DMZ 中仍受到了更多的保護。圖 3 顯示了 DMZ 的作用。

圖 3 – 雙防火墻及 DMZ

在各企業(yè)網(wǎng)的邊界使用內(nèi)部防火墻也有助于減少內(nèi)部威脅以及已通過邊界防火墻的威脅（如蠕蟲）。內(nèi)部防火墻甚至可運行于待機模式，不阻止正常的通信模式，而只是在出現(xiàn)問題時啟用嚴格的規(guī)則。

工作站防火墻

有一個重要的網(wǎng)絡(luò)安全因素直到現(xiàn)在才為大多數(shù)人所認知，那便是網(wǎng)絡(luò)上的每一個節(jié)點或工作站都可能是潛在的安全漏洞。過去，在考慮網(wǎng)絡(luò)安全時注意力基本上都集中在防火墻和服務器上，隨著 Web 的出現(xiàn)以及新的節(jié)點等級（如網(wǎng)絡(luò)外設(shè)）的不斷擴張，保護網(wǎng)絡(luò)安全產(chǎn)生了新的問題。各種蠕蟲病毒程序攻擊計算機，并通過這些計算機進一步擴散及危害系統(tǒng)。如果組織的內(nèi)部系統(tǒng)能更有效地進行“封鎖”，那么大部分蠕蟲都可以被成功阻止或攔截。工作站防火墻產(chǎn)品即可以阻止不屬于主機正常需求的、出入各個主機的所有端口訪問，此外，用以阻止來自組織外可疑連接的內(nèi)部網(wǎng)絡(luò)防火墻規(guī)則也有助于防止蠕蟲擴散回組織外部。在這兩個防火墻的共同作用下，蠕蟲的內(nèi)部復制和外部復制機會都減少了。在絕大多數(shù)情況下，所有系統(tǒng)都應當能阻止無需使用的所有端口。

基本的網(wǎng)絡(luò)主機安全

端口防范并盡量減少運行的服務默認情況下，許多網(wǎng)絡(luò)設(shè)備和計算機主機都會啟動網(wǎng)絡(luò)服務，而每一個服務對攻擊者、蠕蟲和木馬而言都是攻擊機會。所有這些默認服務往往并不是必需的。通過關(guān)閉服務來執(zhí)行端口防范可以減少攻擊的機會。以下的防火墻部分中將提到，與網(wǎng)絡(luò)防火墻一樣，臺式機和服務器也可以運行基本的防火墻軟件來阻止對主機上不需要的 IP 端口的訪問，或者限制來自某些主機的訪問。當外層防御已經(jīng)被突破或存在其他內(nèi)部威脅時，該方案對于內(nèi)部保護非常重要?？晒┻x擇的臺式機防火墻軟件包有很多種，都可以執(zhí)行保護主機的大量工作，例如，如Windows XP Service Pack 2 的功能，Microsoft 實際上構(gòu)建了一個基本的防火墻。

用戶名和密碼管理

如上文中所提到的，在大多數(shù)公司網(wǎng)絡(luò)中，用戶名和密碼管理不善是一個很常見的問題。雖然可以采用復雜的集中式身份驗證系統(tǒng)（后文將對此進行討論）來幫助減少該問題，但是，如果能遵照一些基本原則，也可以帶來很大的幫助。以下提供了用戶名和密碼應當遵從的四條基本規(guī)則：

1.不要使用太過明顯的密碼，如配偶的姓名、喜歡的體育團隊等

2.采用數(shù)字與符號混合的較長的密碼

3.定期更改密碼

4.網(wǎng)絡(luò)設(shè)備切勿沿用默認憑據(jù)

如果計算機或設(shè)備無內(nèi)置策略來強制實施以上內(nèi)容，那么用戶應當約束自己遵從這些規(guī)則。至少可以通過采用網(wǎng)絡(luò)探測器來檢測設(shè)備憑據(jù)是否為默認設(shè)置，以對規(guī)則 (4) 進行檢查。

訪問控制列表

許多類型的設(shè)備或主機都可以配置訪問列表。這些列表定義了有權(quán)訪問該設(shè)備的主機名或 IP 地址。一個典型的例子，便是可以限制組織網(wǎng)絡(luò)內(nèi)部對網(wǎng)絡(luò)設(shè)備的訪問。這可以防止任何類型的訪問突破外部防火墻。作為后一道重要的防線，訪問列表對于某些具有不同訪問協(xié)議的不同規(guī)則的設(shè)備而言相當有效。保護對設(shè)備與系統(tǒng)的訪問的安全性

由于數(shù)據(jù)網(wǎng)絡(luò)無法保證始終能夠抵御入侵或數(shù)據(jù)“竊聽”，可以提高相連網(wǎng)絡(luò)設(shè)備安全性的協(xié)議便應運而生?？傮w而言，安全問題涉及兩個獨立的問題：身份驗證和防止泄密（加密）。有多種方案和協(xié)議能夠滿足安全系統(tǒng)與通信中的這兩個需求。我們將首先介紹

身份驗證的基礎(chǔ)知識，然后再介紹加密。

網(wǎng)絡(luò)設(shè)備的用戶身份驗證

當有人想要控制對網(wǎng)絡(luò)元素，尤其是網(wǎng)絡(luò)基礎(chǔ)設(shè)施設(shè)備的訪問時，必須提供身份驗證信息。身份驗證包含兩個概念：一般訪問身份驗證以及功能授權(quán)。一般訪問用于控制特定用戶是否對特定網(wǎng)絡(luò)元素具有任意類型的訪問權(quán)限。這些權(quán)限通常以“用戶帳戶”的形式體現(xiàn)。授權(quán)則指各個用戶的“權(quán)限”。例如，用戶通過身份驗證后能進行哪些操作？用戶是能配置設(shè)備，還是只能查看數(shù)據(jù)？表 2 總結(jié)了各種主要的身份驗證協(xié)議、其功能及其相關(guān)的應用。

表 2 – 主要身份驗證協(xié)議一覽

限制對設(shè)備的訪問是確保網(wǎng)絡(luò)安全重要的一點。由于基礎(chǔ)設(shè)施設(shè)備是網(wǎng)絡(luò)和計算設(shè)備的基礎(chǔ)，因此，倘若基礎(chǔ)設(shè)施受到危及，則可能導致整個網(wǎng)絡(luò)及其資源崩潰。很可笑的是，許多 IT 部門花費了很大精力來保護服務器、設(shè)置防火墻并保護訪問機制，但是對某些基礎(chǔ)設(shè)備卻只采用了很低級的安全措施。

起碼，所有設(shè)備都應當設(shè)置比較嚴謹?shù)挠脩裘艽a身份驗證（10 個字符，字母、數(shù)字和符號混用）。并且，應當從數(shù)量和授權(quán)類型上對用戶進行限制。在使用并不安全（即用戶名和密碼以明文形式在網(wǎng)絡(luò)上傳輸）的遠程訪問方法時，應當格外小心。密碼還應當定期進行更改，譬如每三個月更改一次，如果使用工作組密碼，當有員工離職時也應當進行更改。

集中式身份驗證方法

選用合適的身份驗證方法作為基本的安全手段非常重要，不過，在以下情況中集中式身份驗證方法可能更好：a) 設(shè)備的用戶數(shù)量很多；b) 網(wǎng)絡(luò)中的設(shè)備數(shù)量很大。過去，集中式身份驗證通常用來解決情況 (a) 中存在的問題，常用的是在遠程網(wǎng)絡(luò)訪問中。在遠程訪問系統(tǒng)（如撥號 RAS）中，要靠 RAS 網(wǎng)絡(luò)設(shè)備自身來管理用戶簡直是不可能的。網(wǎng)絡(luò)中的任何用戶都可能試圖使用現(xiàn)有的任何RAS 訪問點。如果將所有用戶信息都放在每個 RAS 設(shè)備中并一直保持這些信息的更新，這將超出任何大公司中的 RAS 設(shè)備的能力，并將是管理的夢魘。

RADIUS 和 Kerberos 等集中式身份驗證系統(tǒng)使用 RAS 設(shè)備，使用 RAS 設(shè)備或其他類型的設(shè)備都能安全訪問的集中式用戶帳戶信息，從而解決了該問題。這些集中式方案將信息集中存放在一個位置，而不是很多個不同的位置。因此，無需再在多個設(shè)備上管理用戶，而是通過一個位置進行用戶管理。如果用戶信息需要更改，如更改密碼，只需一個簡單的任務即可完成該操作。如果有用戶離開，則可以刪除其帳戶以防該用戶使用集中式身份驗證訪問所有設(shè)備。在大型網(wǎng)絡(luò)中，若采用非集中式身份驗證方法，一個典型問題便是需要刪除位于各個地方的帳戶。RADIUS 等的集中式身份驗證系統(tǒng)通?？梢耘c其他用戶帳戶管理方案（如 Microsoft 的 ActiveDirectory 或 LDAP 目錄）無縫集成。雖然這兩個目錄系統(tǒng)本身并非身份驗證系統(tǒng)，但它們可以用作集中式帳戶存儲機制。大多數(shù)RADIUS 服務器都可以通過普通的 RADIUS 協(xié)議與 RAS 或其他網(wǎng)絡(luò)設(shè)備通信，然后安全地訪問存儲在目錄中的帳戶信息。icrosoftIAS Server 便通過這種方式在 RADIUS 與 Active Directory 之間建立起溝通的渠道。采用此方法后，不僅可以為 RAS 用戶和設(shè)備用戶提供集中式身份驗證，而且?guī)粜畔⒁部梢耘c Microsoft 域帳戶統(tǒng)一。圖 4 顯示了一個同時作為 Active Directory 服務器和RADIUS 服務器的Windows 域控制器，它供網(wǎng)絡(luò)元素通過身份驗證進入 Active Directory 域。

圖 4 – Windows 域控制器

采用加密和身份驗證保護網(wǎng)絡(luò)數(shù)據(jù)的安全

在某些情況中，網(wǎng)絡(luò)元素、計算機或系統(tǒng)之間的信息交換是否足夠安全關(guān)系重大。無疑，某人能進入并不屬于自己的銀行賬戶或截獲網(wǎng)絡(luò)上所傳輸?shù)膫€人信息，都是令人堪憂的事情。如果不希望數(shù)據(jù)在網(wǎng)絡(luò)上泄漏，那么必須對傳輸?shù)臄?shù)據(jù)采取加密的方法，這樣，即使有人在數(shù)據(jù)通過網(wǎng)絡(luò)時采用某種方式截獲了數(shù)據(jù)，也無法辨認這些數(shù)據(jù)?！凹用堋睌?shù)據(jù)的方法有很多種，本白皮書將介紹其中幾種主要的方法。對于如同 UPS 系統(tǒng)的網(wǎng)絡(luò)設(shè)備而言，我們并不關(guān)注傳統(tǒng)意義上保護數(shù)據(jù)所付出的代價，如 UPS 電壓和電源插板的電源，我們關(guān)注的是對這些網(wǎng)絡(luò)元素的訪問的控制。

對于通過不安全的網(wǎng)絡(luò)（如互聯(lián)網(wǎng)）進行訪問的任何系統(tǒng)而言，身份驗證憑據(jù)（如用戶名和密碼）的保密非常關(guān)鍵。即使是在組織的專用網(wǎng)絡(luò)中，好也對這些憑據(jù)采取保護措施。雖然還未普及，不過很多組織都逐漸開始對所有管理通信，而不僅僅是身份驗證憑據(jù)進行保護。不管是哪種情況，都必須采用某些形式的加密方法。

通常，數(shù)據(jù)的加密是通過使用特定的加密算法（如 3DES、AES 等）將明文數(shù)據(jù)（輸入）與一個密鑰相組合來實現(xiàn)的。其結(jié)果（輸出）為密文。如果某人（或計算機）沒有密鑰，則無法將密文轉(zhuǎn)換回明文。該基本方法是所有安全協(xié)議（后文將對此進行介紹）的核心。加密系統(tǒng)的另一個基本構(gòu)成部分是“哈希散列”。散列法即對一些明文輸入以及可能的密鑰輸入進行計算，然后得到一個稱為散列的大數(shù)。無論輸入的大小如何，其結(jié)果值都是固定長度（位數(shù)）。加密方法是可逆的，可以用密鑰將密文恢復為明文，散列則不同。從數(shù)學的角度而言，要將散列恢復為明文是不可能的。散列被用作各種協(xié)議系統(tǒng)中的特殊 ID，因為它提供了類似于磁盤文件上的 CRC（循環(huán)冗余檢測）的數(shù)據(jù)檢測機制，可以檢測數(shù)據(jù)是否發(fā)生改變。散列還可用作數(shù)據(jù)身份驗證方法（不同于用戶身份驗證）。如果有人試圖在數(shù)據(jù)通過網(wǎng)絡(luò)時秘密篡改數(shù)據(jù)，則數(shù)據(jù)的散列值也將改變，因而可以檢測出數(shù)據(jù)的變化。表 3 對各種加密算法及其用途進行了簡單比較。

表 3 – 主要加密算法一覽

安全訪問協(xié)議

各種協(xié)議（如 SSH 和 SSL）采用各種加密機制，通過身份驗證方法和加密方法來提供安全性。所提供的安全級別取決于很多因素，譬如，所用的加密算法、對所傳輸數(shù)據(jù)的訪問、算法密鑰長度、服務器與客戶端的執(zhí)行情況，還有重要的一點，人為因素。如果用戶的訪問憑據(jù)（如密碼或證書）被第三方獲得，那么，即使是精巧的加密方案也是徒勞無效的。一個經(jīng)典的例子便是上文曾提到的將寫有密碼的便箋貼在顯示器上。

SSH 協(xié)議

Secure Shell (SSH) 客戶端-服務器協(xié)議產(chǎn)生于 20 世紀 90 年代中期，旨在為通過未保護的或“不安全的”網(wǎng)絡(luò)遠程訪問計算機控制臺或 Shell 提供安全機制。該協(xié)議通過對用戶和服務器進行身份驗證，以及對客戶端與服務器之間交換的所有通信進行完全加密來提供確保安全的方法。協(xié)議有兩個版本：V1 和 V2，這兩個版本在提供的加密機制上略有區(qū)別。此外，V2 在防止某些類型的攻擊上要稍勝一籌。（未參與的第三方試圖攔截、偽造或以其他方式更改交換的數(shù)據(jù)均被視為攻擊。）

雖然 SSH 多年來一直作為計算機控制臺的安全訪問協(xié)議，但過去很少將其用在輔助的基礎(chǔ)設(shè)施設(shè)備（如 UPS和 HVAC 設(shè)備中）。不過，隨著網(wǎng)絡(luò)及為其提供支持的網(wǎng)絡(luò)基礎(chǔ)設(shè)施對于公司商務行為的重要性日漸提高，對所有設(shè)備均采用此類安全訪問方法的做法正日趨流行。

SSL\TLS 協(xié)議

雖然 SSH 安全協(xié)議被廣泛用于控制臺命令行訪問（如進行管理）中，但安全套接字層 (SSL) 及后來的傳輸層安全 (TLS) 協(xié)議已成為保護 Web 通信及其他協(xié)議（如 SMTP，用于郵件傳輸）的標準方法。TLS 是 SSL 的新版本，不過一般仍用 SSL 來指代TLS。SSL 與 SSH 在協(xié)議內(nèi)置的客戶端與服務器身份驗證機制上區(qū)別很大。TLS 還被接受作為 IETF（互聯(lián)網(wǎng)工程任務組）標準 ，而 SSH 盡管被廣泛當作標準草案，但從未成為正式的 IETF 標準。SSL 是保護 HTTP Web 通信的安全協(xié)議，也稱為 HTTPS(HTTP Secure)。Netscape 和Internet Explorer 均支持 SSL 和 TLS。在使用這些協(xié)議時，服務器將以服務器證書的形式對客戶端執(zhí)行正式的身份驗證。我們隨后將介紹證書。客戶端也可以采用證書進行身份驗證，不過常用的還是用戶名與密碼。由于 SSL“會話”全部為加密形式，因此，身份驗證信息及網(wǎng)頁上的任何數(shù)據(jù)都是安全的。對于安全性要求較高的銀行業(yè)和其他商務用途而言，由于客戶往往通過公共互聯(lián)網(wǎng)訪問網(wǎng)站，因此網(wǎng)站應始終采用 SSL。

隨著對網(wǎng)絡(luò)設(shè)備（嵌入式 Web 服務器）基于 Web 的管理方式成為進行基本配置和用戶訪問常用的方法，保護此管理方式便成了重中之重。如果公司希望所有網(wǎng)絡(luò)管理能安全進行，但仍采用圖形界面（如 HTTP），那么應當使用基于 SSL 的系統(tǒng)。如上文所述，SSL 還可以保護其他非 HTTP 通信?？蛻舳瞬粌H應使用基于非HTTP 的設(shè)備，還應當采用 SSL 作為其訪問協(xié)議以確保系統(tǒng)的安全。全部采用 SSL 還有一個優(yōu)勢，即可使用包含通用身份驗證方案和加密方案的標準協(xié)議。

網(wǎng)絡(luò)安全的方案仔細規(guī)劃的安全策略可以顯著提高網(wǎng)絡(luò)的安全性。策略既可以復雜繁瑣，也可以簡單直接，但往往簡單的卻是有用的。請考慮結(jié)合使用集中管理的防病毒更新系統(tǒng)與主機掃描程序來檢測新系統(tǒng)或過期的系統(tǒng)。雖然該系統(tǒng)需要具備設(shè)置、集中管理和軟件部署功能，不過如今的操作系統(tǒng)一般都囊括了以上所有功能。通常，策略與理想的自動實施工具有助于減少系統(tǒng)安全中明顯的漏洞，因此，網(wǎng)絡(luò)管理人員可以集中精力應對更為復雜的問題。以下列出了一些具有代表性的公司網(wǎng)絡(luò)安全策略：

·在公共網(wǎng)絡(luò)與專用網(wǎng)絡(luò)的所有交界處設(shè)置防火墻

·控制版本并集中部署防火墻規(guī)則集

·外部資源放在雙層防火墻之間，并保護 DMZ 的安全

·所有網(wǎng)絡(luò)主機都應對不需要的網(wǎng)絡(luò)端口采取防范措施，并關(guān)閉不需要的服務

·所有網(wǎng)絡(luò)主機均應安裝集中管理的防病毒軟件

·所有網(wǎng)絡(luò)主機均應安裝集中的安全更新程序

·保護集中式身份驗證的安全，如 RADIUS 和 Windows/Kerberos/Active Directory

·采用含密碼策略（例如，必須每三個月更改一次密碼，必須采用安全密碼）的集中管理的用戶管理方式

·主動進行網(wǎng)絡(luò)掃描，掃描新的主機以及過期的系統(tǒng)

·對可疑行為進行網(wǎng)絡(luò)監(jiān)控

·事故響應機制（策略、人力、自動等）

以上各條體現(xiàn)了策略中應當包含的關(guān)鍵之處。但策略中還可能涉及其他更為廣泛的方面。當然，在確定策略的類型與幅度時，應始終記住盡量權(quán)衡各種因素，如公司規(guī)模、風險分析、成本和商業(yè)影響等如上所述，通常情況下可以從系統(tǒng)分析入手，然后進行商業(yè)分析。無論網(wǎng)絡(luò)的規(guī)模如何，都可能成為攻擊的目標，因此即使是非常小的公司也應當具備某些形式的安全策略。

結(jié)論

隨著網(wǎng)絡(luò)威脅（如蠕蟲、病毒和聰明的黑客）數(shù)量的日漸增加，安全性不再是一件可有可無的事情，即使是在專用網(wǎng)絡(luò)中也不應當被忽視。確保所有設(shè)備，包括物理基礎(chǔ)設(shè)施設(shè)備（如 UPS 系統(tǒng)和 HVAC 系統(tǒng)）的安全，對于維持系統(tǒng)正常運行以及服務的無縫訪問都至關(guān)重要。在整個公司范圍內(nèi)提供并維持安全性通常意味著管理成本的提高。從過去的經(jīng)驗來看，這往往是廣泛實現(xiàn)安全性大的障礙。如今，修復僅僅由于一個蠕蟲或病毒攻擊而損害的網(wǎng)絡(luò)所需要花費的時間，都會輕易超過前期為充分確保公司安全所付出的時間。幸運的是，有很多既可提高網(wǎng)絡(luò)安全性又可減少管理費用的系統(tǒng)和軟件可供選擇。即使是基本的方案，例如，定期更新軟件、對所有設(shè)備采取防范措施以及使用集中式身份驗證與安全訪問方法，對降低網(wǎng)絡(luò)風險也大有幫助。建立適當?shù)陌踩呗院徒?jīng)常檢查網(wǎng)絡(luò)可以進一步提高網(wǎng)絡(luò)的整體保護力度。