● 非授權訪問: 沒有訪問權的人訪問授權之外的資源;

　　● 信息泄露: 有價值或機密信息泄露給無權訪問該信息的人;

　　● 拒絕服務: 使系統難以或不能執行預定任務，使用戶服務請求不能響應。

　　與此相對應，入侵者要侵入(或破壞)一臺網絡上的主機，一般會由下列幾種方式達到其目的：

　　● 找出該網絡主機上的服務程序的設計缺陷;

　　● 找出該網絡通信協議的安全漏洞;

　　● 借由某種手段使該網絡主機癱瘓;

　　● 困擾主機上的系統管理員，降低其工作能力。

　　無論是哪種方式，都是對網絡的重大威脅，都必須給予充分地重視，然后采取必要的有效措施，防患于未然。

　　對一個覆蓋面廣、線路交錯、網絡設備復雜、繁多的網絡來說，網絡的復雜性要求必須有一個全面的網絡安全解決方案。為此，建議從以下幾個方面建立安全體系。

　　1. 防火墻技術

　　在與互聯網連接的網關上安裝防火墻，通過分組過濾和IP偽裝，監視網絡內外的通信，以起到對內部網的保護作用。

　　2.用戶身份驗證技術

　　根據每個用戶的工作范圍、功能需求，建立相應的賬號，設定相應的權限，做好記錄并進行定期的巡查;利用對用戶的登錄需求進行辨別，合法用戶則對其登錄信息和退出信息進行記錄，對非法用戶則予以拒絕并對多次頻繁出現的非法訪問進行記錄并跟蹤。

　　3. 入侵檢測技術

　　通過該技術保護與Internet連接的系統不受惡意代碼的破壞。其功能包括實時襲擊干預、自動探測、阻止和通知各類惡意襲擊的內容如Java、ActiveX和病毒。自動的攻擊特征文件更新功能與預先制定的政策相結合，能保證用戶在潛在的攻擊發生之前搶先一步進行防御。具有自動攻擊特征文件更新功能的集成式防病毒機制，通過“探測、報警、預防”的方法來保護網絡，具備實時反入侵檢測、基于政策的報警以及自動預防功能。其他保護功能包括通過動態的URL阻斷和登錄來強化企業政策等。

　　4. 口令管理

　　最簡單實用的網絡安全措施就是設置口令，據CERT估計，約80%的網絡安全問題是由于不良的口令造成的，因此我們對設置口令制定了以下安全措施。

　�、� 所有賬戶都設有口令。

　�、� 口令長度都設有下限。

　　③ 定義口令的存活期，禁止自始至終一成不變的用戶口令。

　　④ 不準使用用戶名(賬號)作為口令。

　　⑤ 不準使用用戶名(賬號)的變換形式作為口令。

　�、� 不準使用自己或者親友的生日作為口令。

　�、� 不準使用常用的英文單詞作為口令。

　　5. 病毒防治

　　計算機病毒是對計算機網絡重大的安全威脅。大部分人都曾領教過在單機上的計算機病毒，但單機的病毒一般能查出病毒的來源，網絡病毒往往是在毫不知情的情況下悄悄入駐，令人防不勝防，而且網絡病毒不一定發生在個人機上，只要造成網絡癱瘓和網絡效率降低，對使用者來說也是不能忍受的。因此，采用適當的措施防治病毒，也是減少和避免文件損壞、提高網絡安全的重要措施。

　�、� 建立病毒防火墻，及時查殺服務器、客戶端病毒。

　�、� 限制共享目錄及讀寫權限的使用。

　�、� 限制網上軟件的下載和禁用盜版軟件。

　�、� 對進出企業網的郵件先查毒后使用。

　　⑤ 將服務器上某些可執行文件的寫屬性設為禁止。

　　6. 網絡管理

　　網絡的正常運行，很重要的一個方面是加強對網絡的管理。

　　① 使用網管軟件，對網絡流量進行適當監控。

　　② 合理劃分網段，減少無用的廣播包對網絡攻擊的風險。

　�、� 使用網絡日志。

　�、� 通過定義虛擬子網隔斷非法訪問。

　�、� 限制遠程登錄的使用。

　�、� 通過IP地址與網卡MAC地址捆綁的方法，防止IP盜用。

　　⑦ 禁止企業網內用Modem上網。

　　7. 系統管理

　�、� 在各種使用最新的補丁。各種，即使是像Windows都存在著很多Bugs。有資料統計表明，Unix、NT等著名網絡都有數目不同的漏洞，見下表。

　　隨著時間的延長，發現的漏洞會更多。面對這么多的漏洞，必須不斷加補丁。

　�、� 定期對服務器尤其是關鍵的服務器進行安全評估，發現其中的安全漏洞，根據專家建議進行修補。

　�、� 禁止從軟盤、光驅引導。從軟盤、光驅引導，不僅能傳播計算機病毒，還可以使一些安全措施形同虛設。

　�、� 設置開機口令。開機口令設置在CMOS中，它的安全性是毋庸置疑的。開機口令，只要不是太簡單，在開機時攻破幾乎是不可能的，而且要攻擊開機口令必須在本機上才能進行，這就要求攻擊者必須接近被攻擊的機器，并不是很多人能做到這一點。

　�、� 設置屏幕保護口令。當不使用機器時，屏幕保護口令不僅能保持工作現場，還能有效地防止非授權者使用自己的計算機，避免對計算機的安全構成威脅。

　�、� 在NT中只使用NTFS格式。

　　Windows NT在缺省時提供兩種文件系統：

　　● 文件分配表(FAT);

　　● 新技術文件系統(NTFS)。

　　這兩種文件系統在安全方面的差異明顯，其中包括：

　　● FAT系統缺少錯誤恢復，易受損害，一旦FAT文件系統被損壞，計算機就會癱瘓甚至不正常關機;

　　● 使用FAT系統的硬盤，只要拿到別的機器上，幾乎不需要任何安全措施就能讀到其中的內容;

　　● FAT的大小有限，在MS-DOS和Win 95下，FAT卷限制為2GB，后來的系統使用FAT 32，但與其他任何不兼容;

　　● FAT系統只支持單用戶，FAT是為MS-DOS的單用戶開發的，它除了隱藏、只讀等有限的公共屬性外，無法實施其他安全防護措施。

　　與FAT相比，NTFS則有很大的優越性：

　　● NTFS有優異的容錯能力，包括事項記錄、熱修理技術、磁盤鏡像和有校驗的磁盤條紋化等;

　　● NTFS實現了很多安全功能，包括基于用戶的許可權、審計、擁有權、可靠的文件清除和上一次訪問的時間標記等。

　　鑒于FAT與NTFS的差異，我們規定在NT上只使用NTFS。

　　⑦ 盡量少將應用程序設置成自動登錄。

　�、� 刪除不用的賬號。

　�、� 采用“悲觀法”進行安全設置。

　　8. 硬件管理

　　① 在交換機上定義訪問屬性，只允許經過認證的數據訪問請求通過，非法的訪問請求被拒絕并記錄日志。

　　② 在與兄弟公司連接的唯一接點處增加一個路由器，只對經過認可的連接進行處理。

　　③ 廠外接入點與企業網沒有數據交換者，走旁路進出。

　　9. 代理技術

　　在路由器的后面使用代理服務器。代理服務器上安裝兩個網絡接口卡，一個網卡接到內部局域網，另一個接到Internet，這樣使內部網絡與Internet從物理上建立了隔離。代理服務器作為一種網關，在內部網絡和Internet之間形成一道屏障，使內部網絡用戶可以向Internet提出請求并接收Internet信息，但它不允許入侵者訪問你的內部網絡，從而提高了網絡的安全性。

　　使用代理服務器還有一個好處就是隱藏了局域網的IP地址，使Internet上只有該服務器是可見的，從內部網出來的信息都只擁有代理服務器的報頭，使入侵者找不到除代理服務器之外的攻擊目標。

　　另外，代理服務器還利用動態信息包過濾技術，使管理員能阻止或允許接收通過某些端口的某些包類型，從而也提高了網絡的安全性。

　　在使用代理服務器時，代理服務器作為單獨一個域中的主域控制器(PDC)，它所使用的域對其他的域是信任域，其他的內部域則是被信任域，是提高網絡安全性的一個不錯的方法。

　　除此以外，系統還可以通過雙機冗余、磁盤陣列技術及一些物理上的安全技術使整個網絡系統處于最大程度的安全環境之中。