企业网络及应用层正经受着来自网络和应用等多层次、多方面的网络威胁和攻击，可以说，企业网络信息安全能否得以保障，在绝大程度上取决于这个层次的安全防护技术的部署。

　　相关阅读：企业网络及应用层安全防护技术（上）

　　4、病毒防护技术

　　对于当今网络来说，病毒和蠕虫成为了一对”孪生兄弟”，两者几乎总会同时出现，而且对企业网络及其应用系统造成的危害也是非常致命的。从病毒的发展过程我们可以看出病毒有如下的发展趋势：

　　◆病毒向有智能和有目的的方向发展

　　◆未来凡能造成重大危害的，一定是”蠕虫”。”蠕虫”的特征是快速地不断复制自身，以求在最短的时间内传播到最大范围。
　
　　◆病毒开始与黑客技术结合，他们的结合将会为世界带来无可估量的损失

　　◆从Sircam、”尼姆达”、”求职信”、”中文求职信”到”中国黑客”，这类病毒越来越向轻感染文件、重复制自身的方向发展。

　　◆病毒的大面积传播与网络的发展密不可分

　　◆基于分布式通信的病毒很可能在不久即将出现

　　◆未来病毒与反病毒之间比的就是速度，而增强对新病毒的反应和处理速度，将成为反病毒厂商的核心竞争力之一。

　　当今有几种典型反病毒技术：

　　◆特征值技术：所谓特征值查毒法，就是在获取病毒样本后，提取出其特征值，然后通过该特征值对各个文件或内存等进行扫描。如果发现这种特征值，这说明感染了这种病毒，然后针对性地解除病毒；

　　◆虚拟机技术：随着病毒技术的发展，加密技术渐渐成熟起来，很多病毒的特征都在那么容易提取。这样，虚拟机杀毒技术出现，所谓虚拟机技术，就是用软件先虚拟一套运行环境，让病毒先在该虚拟环境下运行，看看他的执行效果。由于加密的病毒在执行时最终还是要解密的。这样，在其解密之后我们可以通过特征值查毒法对其进行查杀；

　　◆启发式扫描技术：新病毒不断出现，传统的特征值查毒法完全不可能查出新出现的病毒。启发式扫描技术产生了。一个病毒总存在其与普通程序不一般的地方，譬如他会格式化硬盘，重定位，改回文件时间，修改文件大小，能够传染等等，通过在各个层面进行病毒属性的确定和加权，就能发现新的病毒；

　　◆计算机病毒疫苗：”计算机病毒免疫”发源于生物免疫技术，就象为动物注射某种病毒的免疫疫苗后可以对此病毒产生自然抵抗能力一样。”计算机病毒免疫”就是一种具有类似特点的技术，它的设计目标是不依赖于病毒库的更新而让电脑具有对所有病毒的抵抗能力。普通防毒软件的最大缺点是总要等到病毒出现后才能制定出清除它的办法，并且还要用户及时的升级到新的病毒库。这就让病毒有更多的机会去蔓延传播，而病毒免疫则完全打破这种思路，它可以让电脑具有自然抵抗新病毒的能力，当有新病毒感染计算机系统时不用升级病毒库而同样可以侦测出它。

　　5、密码技术和PKI技术

　　随着计算机网络和计算机通讯技术的发展，计算机密码学得到前所未有的重视并迅速普及和发展起来。在国外，它已成为计算机安全主要的研究方向。密码学是一门古老而深奥的学科，对一般人来说是非常陌生的。长期以来，只在很小的范围内使用，如军事、外交、情报等部门。计算机密码学是研究计算机信息加特别是20世纪70年代后期，由于计算机、电子通信的广泛使用，现代密码学得到了空前的发展。

　　除了提供机密性外，密码学可以为企业安全需要提供三方面的功能：鉴别、完整性和抗抵赖性。这些功能是通过计算机进行社会交流，至关重要的需求。

　　鉴别：消息的接收者应该能够确认消息的来源；入侵者不可能伪装成他人。

　　完整性：消息的接收者应该能够验证在传送过程中消息没有被修改；入侵者不可能用假消息代替合法消息。

　　抗抵赖性：发送消息者事后不可能虚假地否认他发送的消息。

　　基于密钥的算法通常有两类：对称算法和公开密钥算法（非对称算法）。对称算法有时又叫传统密码算法，加密密钥能够从解密密钥中推算出来，反过来也成立。在大多数对称算法中，加解密的密钥是相同的。对称算法要求发送者和接收者在安全通信之前，协商一个密钥。对称算法的安全性依赖于密钥，泄漏密钥就意味着任何人都能对消息进行加解密。公开密钥算法（非对称算法）的加密的密钥和解密的密钥不同，而且解密密钥不能根据加密密钥计算出来，或者至少在可以计算的时间内不能计算出来。之所以叫做公开密钥算法，是因为加密密钥能够公开，即陌生者能用加密密钥加密信息，但只有用相应的解密密钥才能解密信息。加密密钥叫做公开密钥（简称公钥），解密密钥叫做私人密钥（简称私钥）。

　　对称加密系统最著名的是美国数据加密标准DES、AES(高级加密标准)和欧洲数据加密标准IDEA。而自公钥加密问世以来，学者们提出了许多种公钥加密方法，它们的安全性都是基于复杂的数学难题。

　　根据所基于的数学难题来分类，有以下三类系统目前被认为是安全和有效的：大整数因子分解系统(代表性的有RSA)、椭园曲线离散对数系统(ECC)和离散对数系统(代表性的有DSA)。当前最著名、应用最广泛的公钥系统RSA是由Rivet、Shamir、Adelman提出的(简称为RSA系统)，它的安全性是基于大整数素因子分解的困难性，而大整数因子分解问题是数学上的著名难题，至今没有有效的方法予以解决，因此可以确保RSA算法的安全性。RSA系统是公钥系统的最具有典型意义的方法，大多数使用公钥密码进行加密和数字签名的产品和标准使用的都是RSA算法。

　　PKI是一种新的安全技术，它由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成的。PKI是利用公钥技术实现电子商务安全的一种体系，是一种基础设施，网络通讯、网上交易是利用它来保证安全的。从某种意义上讲，PKI包含了安全认证系统，即安全认证系统-CA/RA系统是PKI不可缺的组成部分。

　　PKI（Public Key Infrastructure）公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。X.509格式的证书和证书废除列表(CRL)；CA/RA操作协议；CA管理协议；CA政策制定。

　　从广义上讲，所有提供公钥加密和数字签名服务的系统，都可叫做PKI系统，PKI的主要目的是通过自动管理密钥和证书，可以为用户建立起一个安全的网络运行环境，使用户可以在多种应用环境下方便的使用加密和数字签名技术，从而保证网上数据的机密性、完整性、有效性，数据的机密性是指数据在传输过程中，不能被非授权者偷看，数据的完整性是指数据在传输过程中不能被非法篡改，数据的有效性是指数据不能被否认。一个有效的PKI系统必须是安全的和透明的，用户在获得加密和数字签名服务时，不需要详细地了解PKI是怎样管理证书和密钥的，一个典型、完整、有效的PKI应用系统至少应具有以下部分：

　　◆公钥密码证书管理。

　　◆黑名单的发布和管理。

　　◆密钥的备份和恢复。

　　◆自动更新密钥。

　　◆自动管理历史密钥。

　　◆支持交叉认证。

　　6、IPSec技术

　　在网络层实现安全服务有很多的优点。首先，由于多种传送协议和应用程序可以共享由网络层提供的密钥管理架构，密钥协商的开销被大大地削减了。其次，若安全服务在较低层实现，那么需要改动的程序就要少很多。但是在这样的情况下仍会有新的安全问题。本文将对此作出阐述。目前公认的网络攻击三种原型是窃听 、篡改、伪造、拒绝服务攻击等。IPSec 针对攻击原型的安全措施。IPsec提供三项主要的功能：认证功能(AH)，认证和机密组合功能(ESP)及密钥交换功能。AH的目的是提供无连接完整性和真实性包括数据源认证和可选的抗重传服务；ESP分为两部分，其中ESP头提供数据机密性和有限抗流量分析服务，在ESP尾中可选地提供无连接完整性、数据源认证和抗重传服务。

　　IPSec提供了一种标准的、健壮的以及包容广泛的机制，可用它为IP及上层协议(如UDP和TCP)提供安全保证。它定义了一套默认的、强制实施的算法，以确保不同的实施方案相互间可以共通。而且很方便扩展。IPSec可保障主机之间、安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。IPSec是一个工业标准网络安全协议，为IP网络通信提供透明的安全服务，保护TCP/IP通信免遭窃听和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：保护IP数据包安全；为抵御网络攻击提供防护措施。IPSec结合密码保护服务、安全协议组和动态密钥管理，三者共同实现上述两个目标，IPSec基于一种端对端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加解密方法的只有

　　IPSec提供三种不同的形式来保护通过公有或私有IP网络来传送的私有数据。

　　◆验证：通过认证可以确定所接受的数据与所发送的数据是一致的，同时可以确定申请发送者在实际上是真实发送者，而不是伪装的。

　　◆数据完整验证：通过验证保证数据从原发地到目的地的传送过程中没有任何不可检测的数据丢失与改变。

　　◆保密：使相应的接收者能获取发送的真正内容，而无关的接收者无法获知数据的真正内容。

　　7、访问控制技术

　　访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广，包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。

　　（1）入网访问控制

　　入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查。三道关卡中只要任何一关未过，该用户便不能进入该网络。 对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不少于6个字符，口令字符最好是数字、字母和其他字符的混合，用户口令必须经过加密。用户还可采用一次性用户口令，也可用便携式验证器（如智能卡）来验证用户的身份。 网络管理员可以控制和限制普通用户的账号使用、访问网络的时间和方式。用户账号应只有系统管理员才能建立。用户口令应是每用户访问网络所必须提交的”证件”、用户可以修改自己的口令，但系统管理员应该可以控制口令的以下几个方面的限制：最小口令长度、强制修改口令的时间间隔、口令的唯一性、口令过期失效后允许入网的宽限次数。 用户名和口令验证有效之后，再进一步履行用户账号的缺省限制检查。网络应能控制用户登录入网的站点、限制用户入网的时间、限制用户入网的工作站数量。当用户对交费网络的访问”资费”用尽时，网络还应能对用户的账号加以限制，用户此时应无法进入网络访问网络资源。网络应对所有用户的访问进行审计。如果多次输入口令不正确，则认为是非法用户的入侵，应给出报警信息。

　　（2）权限控制

　　网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。受托者指派和继承权限屏蔽（irm）可作为两种实现方式。受托者指派控制用户和用户组如何使用网络服务器的目录、文件和设备。继承权限屏蔽相当于一个过滤器，可以限制子目录从父目录那里继承哪些权限。我们可以根据访问权限将用户分为以下几类：特殊用户（即系统管理员）；一般用户，系统管理员根据他们的实际需要为他们分配操作权限；审计用户，负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用访问控制表来描述。

　　（3）目录级安全控制

　　网络应允许控制用户对目录、文件、设备的访问。用户在目录一级指定的权限对所有文件和子目录有效，用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种：系统管理员权限、读权限、写权限、创建权限、删除权限、修改权限、文件查找权限、访问控制权限。用户对文件或目标的有效权限取决于以下两个因素：用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络管理员应当为用户指定适当的访问权限，这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作，同时又能有效地控制用户对服务器资源的访问 ，从而加强了网络和服务器的安全性。

　　（4）属性安全控制

　　当用文件、目录和网络设备时，网络系统管理员应给文件、目录等指定访问属性。属性安全在权限安全的基础上提供更进一步的安全性。网络上的资源都应预先标出一组安全属性。用户对网络资源的访问权限对应一张访问控制表，用以表明用户对网络资源的访问能力。属性设置可以覆盖已经指定的任何受托者指派和有效权限。属性往往能控制以下几个方面的权限：向某个文件写数据、拷贝一个文件、删除目录或文件、查看目录和文件、执行文件、隐含文件、共享、系统属性等。

　　（5）服务器安全控制

　　网络允许在服务器控制台上执行一系列操作。用户使用控制台可以装载和卸载模块，可以安装和删除软件等操作。网络服务器的安全控制包括可以设置口令锁定服务器控制台，以防止非法用户修改、删除重要信息或破坏数据；可以设定服务器登录时间限制、非法访问者检测和关闭的时间间隔。

相关阅读：企业网络及应用层安全防护技术（下）