系统级安全策略要注重完整性

企业信息网络越来越复杂，因此制定得力的系统级安全策略才是从根本上解决问题的基础。应通过对现行网络安全技术的分析，制定如下系统级安全策略：

实施VPN策略

使用VPN技术可以解决在当今远程通讯量日益增大、企业全球运作广泛分布的情况下，员工需要访问中央资源，企业相互之间必须进行及时和有效的通讯的问题。

采用VPN方案，通过使用一台VPN服务器既能够实现与整个企业网络的连接，又可以保证保密数据的安全性。路由器虽然也能够实现网络之间的互联，但是并不能对流向敏感网络的数据进行限制。但是企业网络管理人员通过使用VPN服务器，指定只有符合特定身份要求的用户才能连接VPN服务器获得访问敏感信息的权利。此外，可以对所有VPN数据进行加密，从而确保数据的安全性，没有访问权利的用户无法看到部门的局域网络。

在企业网建设中使用得较多的是Microsoft公司的Windows 2000/XP 系统。Windows 2000/XP系统自带的VPN服务具有许多高级安全功能。

实施IPSec策略

Internet 协议安全 (IPSec) 为 IP 网络通信提供对应用程序透明的加密服务，并为 Windows 2000/XP 操作系统提供其它网络访问保护。
IPSec安全结构包括3个基本协议：AH（Authentication Header）协议为IP包提供信息源验证和完整性保证;ESP（Encrypted Security Protocol）协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。

AH和ESP可以单独使用,也可以一起使用。为了更好地保证系统的安全性,一般都同时使用。
通过使用 Internet 协议安全 (IPSec)，您可以以下列方案为网络通信提供数据保密性、完整性、真实性和反重播保护：

* 使用 IPSec 传输模式提供客户机到服务器、服务器到服务器、客户机到客户机之间的端对端安全。
* 使用受 IPSec 保护的第二层隧道协议 (L2TP) 保护从客户机到网关在 Internet 上的远程访问的安全。
IPSec 提供安全的跨外向专用广域网 (WAN) 的网关到网关的连接或使用 L2TP/IPSec 隧道、纯 IPSec 隧道模式提供基于 Internet 的连接。IPSec 隧道模式不是为用于虚拟专用网络 (VPN) 远程访问而设计的。Windows 2000 Server 操作系统通过 Windows 2000 IPSec简化了网络安全的部署和管理，Windows 2000 IPSec是一种可靠的 IPSec版本。

使用 IPSec 端对端的方案，Windows 2000 中的 Internet 协议安全 (IPSec) 是由网络管理员来部署的，以使用户的应用程序数据可以透明地得到保护。在任何场合，使用 Kerberos 身份验证和域信任都是进行部署最容易的选择。证书或预先共享的密钥可用于不受信任的域或第三方互操作中。您可以使用组策略来向许多客户机和服务器提供 IPSec 配置（名为“IPSec 策略”）。
所有的核心交换机和分中心交换机及路由器、防火墙都内置IPSec功能的支持，因此配合Windows 2000操作系统能实施完善的端到端的IPSec策略。

在工作站中安装 支持IPSec技术的网卡

如果说在服务器上配置IPSec策略略嫌麻烦的话，还有一种更加简洁的方法可以实现IPSec策略，即在服务器上安装内置IPSec技术的网卡。当然，这种策略仅对安装了这种网卡的Windows 2000系统的服务器和工作站有效。

业界已经有几家公司推出了具有这种功能的网卡（NIC），其中包括生产网卡的龙头老大3Com公司和Intel公司。

3CR990-TX-97是3Com公司推出的用于工作站支持IPSec技术的网卡。有人可能会搞不懂3Com干嘛要在网卡上加装处理器，这个答案很简单：为了增加处理能力以处理网卡其中一项主要的功能，全硬件架构的IPSEC卸载支持以及未来可能的功能。

IPSEC藉由使用3DES、DES、MD或SHA-1加密来维护敏感的IP流量。3CR990-TX-97在Windows 2000系统下，IPSEC完全不占用网卡资源。这使得网卡可以分担更多的网络流量处理的负载，因此主机系统可以集中于服务应用程序，提供更好的网络和系统性能。此外，3CR990-TX-97上的3XP处理器可卸载TCP/IP Checksum（传输控制协议/网际协议检查）和TCP Segmentation（传输控制协议区段），可降低主机CPU的负载。

3CR990-SRV-97这个专门为服务器的版本除了具有上述特性外还增加了256K SRAM（Static Random Access Memory，静态随机存储器）、Self Healing Driver（自我检测功能驱动）、Resilient Server Link Technology（联机备援功能技术）、Bi-Directional Load Balancing（双向传输加载平衡）、Multiple VLANs（多重动态的虚拟局域网络）以及Hot Plug PCI（热插拔PCI）。3CR990-SRV-97增加了这些新功能，但其架构平台还是和3CR990-TX-97一样。

即使你想可能用不到这张卡的IPSEC功能，也不用那么快放弃它。因为卡上的3XP处理器，3Com正在和Secure Computing（美国一计算机安全公司）合作以增加Embedded Firewall（嵌入式防火墙）技术到3CR990-TX-97网卡上。这当然是令人兴奋的事！Embedded Firewall技术不会对软件或操作系统的安全漏洞造成伤害。

3CR990-TX-97网卡的安装相当简单。3Com的3CR990-TX-97驱动程序同样提供良好的选项。在这驱动程序集中，我们发现可以在一个很方便的地方测试和管理网卡所有的设定。我们发现这驱动程序极为稳定，在我们的测试系统中也无任何错误产生。

在测试程序中，我们发现此网卡在Windows 2000下性能特别突出。在Windows 2000下它的性能领先于其它卡有一段不小的差距。如果你使用的是Windows 2000且希望获得最高的网卡性能，那这就是你要的卡。
Intel公司已正式推出具有网络安全功能的PCI 网卡“Intel PRO/100S Management Adaptor”。该扩展卡搭载了将密码协同处理器“82594ED”和Ethernet控制器“GD82559C”合而为一的芯片组，具有高速处理Windows 2000所支持的IPSec标准密码通讯的能力。此网卡为Windows 2000网络专用。
82594ED配备169bit 3DES方式的加密/解密硬件，可以减轻进行密码处理时电脑CPU的负荷。利用Pentium III(500MHz)CPU所进行的性能测试表明，同利用CPU进行密码处理相比，CPU的使用率从70.3%减少至27.4%。同时，实际数据传送速度(Throughput)为80.1Mb/s，与相同条件下利用软件处理时(32.6Mb/s)的速度相比，性能提高2倍以上。IPSec的操作设定由Windows 2000的管理工具进行。

实施网络地址转换策略

网络安全协议IPSec(IP Security)和网络地址转换NAT（Net Address Translation）应用已经十分广泛了，但是要使它们运行在一起，却不是一件容易的事。从IP的角度来看，NAT对IP的低层进行了修改，对IP是一种背叛；而从应用的角度来看，网络管理人员必须要处理网络地址的问题，NAT使用户可以采取多种方式把自己的网络和主机对外部公共网络隐藏起来，是一种好的工具。现在，无论是大企业还是中小企业都在使用它。与NAT类似，IPSec也是一种好工具，它使用户可以安全地通过Internet连接到远程终端。然而，由于IPSec协议架构本身以及缺乏支持IPSec的NAT设备，当IPSec和NAT在一起运行时就会出现很多问题。解决这些问题最简单的办法，就是再增加一个路由器来运行NAT和虚拟专用网VPN。可是，对于多数情况来说并没有多余的路由器来执行这一功能，因此，要解决两者共存的问题，就必须对IPSec和NAT有一定的了解。

高效配置防火墙

防火墙是现今企业网中应用最多的安全产品。因此，如何高效地利用防火墙的功能是大有学问的。下面的建议也许能提供一些帮助：
为防火墙配置最新的软件。
启用防火墙的高级管理特性。默认状态下，用户拿到的防火墙产品只做了基本的安全配置，这需要进行更加完善的配置以利用其高级特性。
实施网络防病毒系统。病毒对企业网的危害是有目共睹的，尤以今年为盛。据统计，全球每年遭受病毒的损失正成几何级数增长。因此建立一套完善的防病毒系统是企业信息网络建设的首要任务。
一套完善的防病毒系统应由以下部件组成：
文件服务器防病毒系统（File Server Protection）：用于文件服务器的防病毒组件；
桌面防病毒系统（Desktop Protection）：用于工作站的防病毒组件；
电子邮件防病毒系统（Email Protection）：用于电子邮件系统的防病毒组件；
Internet网关防病毒系统（Internet Gateway Protection）：用于Internet出口的防病毒组件；
无线网络防病毒系统（Wireless Protection）：用于无线网络设备连接到防病毒组件；
防病毒控制中心（Management Control Center）：用于以上防病毒组件的代码、病毒库的自动或强制更新和管理的组件。

以上组件缺一不可，方能构成一套完善的防病毒系统。
业界较为成熟的网络防病毒系统有美国Network Association公司生产的McAfee Total Virus Defense Suite（简称TVD），最新版本为6.0，支持Windows 2000、Unix、Novell等主流网络环境；另外一家是有美国Symantec公司生产的Norton Antivirus Corporation Edition，最新版本8.0。比较而言，McAfeeTVD功能更为完善强大，性能最好，但兼容性较差，版本更新慢；Norton Antivirus具有优秀的易用性，对初级用户更为适用，兼容性好，但只能应用于Windows平台和Novell平台。

建立企业网络CA系统

权威认证（CA，Certificate Authentication）是一种用来发放使用公共密钥结构所需证书的服务。它可以是一个外部的商业权威认证机构，也可以是用户单位内部的权威认证。授权的证书将允许用户使用智能卡登录，发送加密电子邮件及数字签名文档等等。因为权威认证是一个组织内很重要的一项信任措施，所以多数组织都有它们自己的权威认证。
微软的Windows 2000提供了两种权威认证，其类型取决于在安装时选择企业级权威认证（enterprise CA ）标准还是选择独立的权威认证（stand-alone CA）标准。在这些类别中，可有两种类型的权威认证，根和附属（ root 或 subordinate）策略模型规定了当一个权威认证接收到一个许可证请求时，它能执行的行为。应注意：更改方法标准可能会改变系统的功能性。客户使用微软平台的软件开发工具集（SDK）来编写策略模块并定制权威认证的行为。

一般地，如果想要为在Windows 2000域内的某一机构中的用户或计算机发放许可证，则应安装一个企业级的权威认证；如果想要为在Windows 2000域外的用户或计算机发放许可证，则应安装一个独立的权威认证。企业级的权威认证要求所有请求许可证的用户在Windows 2000服务器的活动目录服务中都有一个入口，而独立的权威认证则不需要。同时，企业级的权威认证可以发放用来登录基于Windows 2000的域的许可证，而独立的权威认证则不能。

企业级的权威认证有一种特定的策略模块用来实施许可证的处理及发放过程。这些模块使用的策略存放于活动目录中的一个权威认证对象的核心当中。这就意味着要想安装一个企业级的权威认证，必须拥有一个正在工作的活动目录和域名服务器（DNS）。

完善系统软件及应用 软件的分发和升级机制

由于任何软件都不可避免地存在这样或那样的缺陷，加之计算机软件与网络技术的不断发展，使得企业网中的计算机和应用系统（如数据库、电子邮件系统）等很容易就暴露在诸如黑客等非法攻击者的面前。如何最大限度地保证计算机网络系统的安全呢？根据大多数案例的经验，不难发现：及时安装系统软件和应用软件的更新代码是一条简捷而行之有效的安全保护措施。
软件的升级方式大致分为两种：一种是采用应付所有系统软件和应用软件分发、升级的软件产品，典型的产品如Microsoft公司的System Management Server 2.0和CA公司的Unicenter 3.0 Network and System Management，它们是专业的软件分发、升级管理产品；另外一种方式是采用应用软件自带的中心管理控制台程序，典型的如各种防病毒系统（McAfee公司的Management Edition、Symantec公司的Management Console）、系统恢复软件（Symantec公司的Norton Ghost Enterprise）等。第一种方式虽然管理全面，但通常会碰到一些兼容性问题；后一种方式不存在兼容性的问题，却只能管理厂商特定的产品，作用较为单一。因此，在大型网络中，两者结合使用可以达到较好的应用效果。

上述两种方式都是采用中心化的管理方式，软件升级的方式可以是自动的，也可能是强制的。
对管理员来说，可以在服务器一端进行配置，比如设定对于何种客户端，进行何种软件包的分发和升级，这种分发和升级可以立刻执行，也可以定时进行。

作者:孙德宝 夏葱葱