随着企业网络的普及和网络开放性，共享性，互连程度的扩大，网络的信息安全问题也越来越引起人们的重视。企业必须采取统一的安全策略来保证网络的安全性。一个完整的安全技术和产品包括：身份认证、访问控制、流量监测、网络加密技术、防火墙、入侵检测、防病毒、漏洞扫描等；而造成安全事件的原因则包括技术因素、管理因素以及安全架构设计上的疏漏等问题。

　　1、网络安全措施

　　1.1 入侵检测

　　IETF将入侵检测分为四个组件：事件数据库（Event Data Bases），事件产生器（Event Generators），响应单元（Response Units）和事件分析器（Event Analyzers）。事件产生器的作用是从整个系统环境中获得事件，并向的其他组件提供此事件。事件分析器分析获得的数据，并生成分析结果。响应单元是对分析结果做出处理的功能单元，它可以进行切断连接、改变属性等强烈操作，也可能只是简单报警。事件数据库是存储中间数据和最终数据的地方，它可能是复杂的数据仓库，也可能是简单的文本文件。

　　根据检测对象不同，入侵检测可以分为网络型和主机型。网络型的数据源来自于网络数据包。往往将一台机器的网卡设为混杂模式（Promise Mode），对本网段内的所有数据包进行信息收集和判断。一般来说，网络型入侵检测肩负着保护全网段的任务。主机型入侵检测是以应用程序日志、系统日志等作为数据源，也可以通过其他方式（如监控系统调用）从主机收集信息并进行分析。主机型入侵检测主要保护的是本机系统，这种系统经常运行于被监测系统之上，用来监测系统内正在运行进程的合法性。

　　入侵检测系统的核心功能是对事件进行分析，并从中发现不符合安全策略的行为。从技术上，入侵检测分为两类：一种是基于标志（C Signature—Based），另一种是基于异常情况（Abnormally-Based）。

　　1.2 防火墙

　　防火墙是建立在信息安全技术和通信网络技术基础上的安全技术，越来越多地被应用丁公用网络和专用网络的环境之中，尤其广泛应用在Intemet网络接入方面。

　　防火墙是设置在不同网络之间的一系列安全部件的组合，它是不同网络之间信息传输的唯出入口，可以根据企业的安全策略控制出入网络的数据流，且本身具有很强的抗攻击性，它是企业实现信息和网络安的基础设施。在逻辑上，防火墙即是限制器、分离器，也是分析器，它有效地监控了内网和公网之间的任何数据活动，为内部网络安全提供了有效保证。

　　作为网络安全的屏障，防火墙能够极大地提高内部网络安全性，通过过滤不安全的数据而降低风险。由于只有经过精心筛选的应用数据才能通过防火墙，网络环境才变得加更安全。

　　2、服务器安全措施

　　在企业的机房管理中，只有正确安装雨I配置操作系统，才能提高其在安全方面发挥的作用。下面以Windows 2003 SERVER的具体设置为例。

　　2.1 止确地划分分区和逻辑盘

　　微软的IIS服务经常被发现有溢出／泄漏源码的漏洞，如果把IIS和操作系统放在同一个驱动器就存在系统文件泄漏，甚至被入侵者远程获取管理员权限的风险。以1200硬盘为例，正确的操作系统配置是建立三个逻辑分区，C盘30G，用来安装操作系统和重要日志文件；D盘40G，安装IIS服务：E盘50G安装FTP。这样，无论FTP或IIS出了安全问题都不会直接影响到操作系统目录和文件。因为，FTP和IIS往往为外网提供服务，比较容遭受攻击，而把FTP和IIS分开主要就是为了防止入侵者通过FTP上传程序并在IIS中运行。

　　2.2 正确地选择系统安装顺序

　　系统管理员要充分重视操作系统安装顺序，不给网络黑客留下了可乘之机。Windows2003在安装过程中有一些顺序是一定要注意的。

　　首先，正确选择接入网络的时机。Windows2003在安装时有一个系统漏洞，在安装人员输入Administrator密码后，系统就自动建立了ADMIN$共享，但是并没有使用刚刚录入的密码来保护它，而这种情况将一直持续到系统再次启动后。在此期间，网络上的任何人都可以通过ADMIN$进入服务器。同时，在安装过程完成的同时，操作系统中的各种服务就会自动运行，而此时的服务器在没有任何防护下完全暴露在网络中，非常容易被入侵。因此，在安装并完全配置好Windows2003 SERVER之前，一定不要把系统接入网络。

　　其次，注意升级补丁的安装顺序。升级补丁应该在操作系统所有应用程序都安装完成之后再进行安装，因为补丁程序往往要修改／替换某些系统文件，如果先安装升级补丁再安装应用程序可能会导致文件被覆盖，使补丁不能起到应有的作用。

　　3、操作系统安全配置

　　以下同样以Windows2003 SERVER的具体设置为例。

　　3.1 端口配置

　　端口是连接计算机和外部网络的逻辑接口，从系统安全的角度来看，仅打开需要使用的端口会更加安全。配置方法是：在网络连接中启用操作系统自带的防火墙，并在“例外”选项卡中，添加需要启用的端口。不过，Windows2003防火墙的端口策略只能设置打开的端口，不能指定关闭的端口，这样对于需要特殊设置的用户就比较麻烦，可以使用一些专用的防火墙来实现。

　　3.2 IIS配置

　　IIS服务是微软服务器组件中漏洞最多的一个，平均两三个月就会被发现一个漏洞，所以IIS服务的配置是我们关注的重点，建议采取以下设置：首先，把操作系统默认安装在C盘的Metpub目录彻底删除掉，在D盘中新建一个lnetpub目录，设置IIs的主目录指向D：＼I.netpub。其次，将IIs服务安装时默认建立的scripts等虚拟目录一律删除，这些目录都容易成为入侵者的目标。最后，对于权限要进行正向设置，即目录的权限可以在需要时再建，特别注意执行程序的权限和写权限，除非有绝对的必要，否则千万不要赋予。

　　3.3 应用程序的配置

　　系统管理员需要在IIS服务中删除必要程序以外的任何无用映射，仅保留ASP和其它确定需要使用的文件类型。删除无用映射的具体方法为：在IIS服务管理器中，选择主机属性，在www服务编辑的主目录配置中找到应用程序映射，然后就可以根据需要选择删除这些映射，并让虚拟站点继承所设定的属性。

　　正确安装与配置Windows2003 Server，可以使操作系统漏洞得到很好的预防。同时，增加升级补丁和应用服务安全配置，使操作系统的安全性得到了很好的提升。