隨著企業網絡的普及和網絡開放性，共享性，互連程度的擴大，網絡的信息安全問題也越來越引起人們的重視。企業必須采取統一的安全策略來保證網絡的安全性。一個完整的安全技術和產品包括：身份認證、訪問控制、流量監測、網絡加密技術、防火墻、入侵檢測、防病毒、漏洞掃描等；而造成安全事件的原因則包括技術因素、管理因素以及安全架構設計上的疏漏等問題。

1、網絡安全措施

1.1 入侵檢測

IETF將入侵檢測分為四個組件：事件數據庫（Event Data Bases），事件產生器（Event Generators），響應單元（Response Units）和事件分析器（Event Analyzers）。事件產生器的作用是從整個系統環境中獲得事件，并向的其他組件提供此事件。事件分析器分析獲得的數據，并生成分析結果。響應單元是對分析結果做出處理的功能單元，它可以進行切斷連接、改變屬性等強烈操作，也可能只是簡單報警。事件數據庫是存儲中間數據和最終數據的地方，它可能是復雜的數據倉庫，也可能是簡單的文本文件。

根據檢測對象不同，入侵檢測可以分為網絡型和主機型。網絡型的數據源來自于網絡數據包。往往將一臺機器的網卡設為混雜模式（Promise Mode），對本網段內的所有數據包進行信息收集和判斷。一般來說，網絡型入侵檢測肩負著保護全網段的任務。主機型入侵檢測是以應用程序日志、系統日志等作為數據源，也可以通過其他方式（如監控系統調用）從主機收集信息并進行分析。主機型入侵檢測主要保護的是本機系統，這種系統經常運行于被監測系統之上，用來監測系統內正在運行進程的合法性。

入侵檢測系統的核心功能是對事件進行分析，并從中發現不符合安全策略的行為。從技術上，入侵檢測分為兩類：一種是基于標志（C Signature—Based），另一種是基于異常情況（Abnormally-Based）。

1.2 防火墻

防火墻是建立在信息安全技術和通信網絡技術基礎上的安全技術，越來越多地被應用丁公用網絡和專用網絡的環境之中，尤其廣泛應用在Intemet網絡接入方面。

防火墻是設置在不同網絡之間的一系列安全部件的組合，它是不同網絡之間信息傳輸的唯出入口，可以根據企業的安全策略控制出入網絡的數據流，且本身具有很強的抗攻擊性，它是企業實現信息和網絡安的基礎設施。在邏輯上，防火墻即是限制器、分離器，也是分析器，它有效地監控了內網和公網之間的任何數據活動，為內部網絡安全提供了有效保證。

作為網絡安全的屏障，防火墻能夠極大地提高內部網絡安全性，通過過濾不安全的數據而降低風險。由于只有經過精心篩選的應用數據才能通過防火墻，網絡環境才變得加更安全。

2、服務器安全措施

在企業的機房管理中，只有正確安裝雨I配置操作系統，才能提高其在安全方面發揮的作用。下面以Windows 2003 SERVER的具體設置為例。

2.1 止確地劃分分區和邏輯盤

微軟的IIS服務經常被發現有溢出／泄漏源碼的漏洞，如果把IIS和操作系統放在同一個驅動器就存在系統文件泄漏，甚至被入侵者遠程獲取管理員權限的風險。以1200硬盤為例，正確的操作系統配置是建立三個邏輯分區，C盤30G，用來安裝操作系統和重要日志文件；D盤40G，安裝IIS服務：E盤50G安裝FTP。這樣，無論FTP或IIS出了安全問題都不會直接影響到操作系統目錄和文件。因為，FTP和IIS往往為外網提供服務，比較容遭受攻擊，而把FTP和IIS分開主要就是為了防止入侵者通過FTP上傳程序并在IIS中運行。

2.2 正確地選擇系統安裝順序

系統管理員要充分重視操作系統安裝順序，不給網絡黑客留下了可乘之機。Windows2003在安裝過程中有一些順序是一定要注意的。

首先，正確選擇接入網絡的時機。Windows2003在安裝時有一個系統漏洞，在安裝人員輸入Administrator密碼后，系統就自動建立了ADMIN$共享，但是并沒有使用剛剛錄入的密碼來保護它，而這種情況將一直持續到系統再次啟動后。在此期間，網絡上的任何人都可以通過ADMIN$進入服務器。同時，在安裝過程完成的同時，操作系統中的各種服務就會自動運行，而此時的服務器在沒有任何防護下完全暴露在網絡中，非常容易被入侵。因此，在安裝并完全配置好Windows2003 SERVER之前，一定不要把系統接入網絡。

其次，注意升級補丁的安裝順序。升級補丁應該在操作系統所有應用程序都安裝完成之后再進行安裝，因為補丁程序往往要修改／替換某些系統文件，如果先安裝升級補丁再安裝應用程序可能會導致文件被覆蓋，使補丁不能起到應有的作用。

3、操作系統安全配置

以下同樣以Windows2003 SERVER的具體設置為例。

3.1 端口配置

端口是連接計算機和外部網絡的邏輯接口，從系統安全的角度來看，僅打開需要使用的端口會更加安全。配置方法是：在網絡連接中啟用操作系統自帶的防火墻，并在“例外”選項卡中，添加需要啟用的端口。不過，Windows2003防火墻的端口策略只能設置打開的端口，不能指定關閉的端口，這樣對于需要特殊設置的用戶就比較麻煩，可以使用一些專用的防火墻來實現。

3.2 IIS配置

IIS服務是微軟服務器組件中漏洞最多的一個，平均兩三個月就會被發現一個漏洞，所以IIS服務的配置是我們關注的重點，建議采取以下設置：首先，把操作系統默認安裝在C盤的Metpub目錄徹底刪除掉，在D盤中新建一個lnetpub目錄，設置IIs的主目錄指向D：＼I.netpub。其次，將IIs服務安裝時默認建立的scripts等虛擬目錄一律刪除，這些目錄都容易成為入侵者的目標。最后，對于權限要進行正向設置，即目錄的權限可以在需要時再建，特別注意執行程序的權限和寫權限，除非有絕對的必要，否則千萬不要賦予。

3.3 應用程序的配置

系統管理員需要在IIS服務中刪除必要程序以外的任何無用映射，僅保留ASP和其它確定需要使用的文件類型。刪除無用映射的具體方法為：在IIS服務管理器中，選擇主機屬性，在www服務編輯的主目錄配置中找到應用程序映射，然后就可以根據需要選擇刪除這些映射，并讓虛擬站點繼承所設定的屬性。

正確安裝與配置Windows2003 Server，可以使操作系統漏洞得到很好的預防。同時，增加升級補丁和應用服務安全配置，使操作系統的安全性得到了很好的提升。