3.2.3 目錄級安全控制

　　網(wǎng)絡(luò)應允許控制用戶對目錄、文件、設(shè)備的訪問。用戶在目錄一級指定的權(quán)限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權(quán)限。對目錄和文件的訪問權(quán)限一般有八種：系統(tǒng)管理員權(quán)限（Supervisor）、讀權(quán)限（Read）、寫權(quán)限（Write）、創(chuàng)建權(quán)限（Create）、刪除權(quán)限（Erase）、修改權(quán)限（Modify）、文件查找權(quán)限（File Scan）、存取控制權(quán)限（Access Control）。用戶對文件或目標的有效權(quán)限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權(quán)限屏蔽取消的用戶權(quán)限。一個網(wǎng)絡(luò)系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權(quán)限，這些訪問權(quán)限控制著用戶對服務(wù)器的訪問。八種訪問權(quán)限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務(wù)器資源的訪問 ，從而加強了網(wǎng)絡(luò)和服務(wù)器的安全性。

3.2.4 屬性安全控制

　　當用文件、目錄和網(wǎng)絡(luò)設(shè)備時，網(wǎng)絡(luò)系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡(luò)服務(wù)器的文件、目錄和網(wǎng)絡(luò)設(shè)備聯(lián)系起來。屬性安全在權(quán)限安全的基礎(chǔ)上提供更進一步的安全性。網(wǎng)絡(luò)上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡(luò)資源的訪問權(quán)限對應一張訪問控制表，用以表明用戶對網(wǎng)絡(luò)資源的訪問能力。屬性設(shè)置可以覆蓋已經(jīng)指定的任何受托者指派和有效權(quán)限。屬性往往能控制以下幾個方面的權(quán)限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、、執(zhí)行修改、顯示等。

3.2.5 網(wǎng)絡(luò)服務(wù)器安全控制

　　網(wǎng)絡(luò)允許在服務(wù)器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡(luò)服務(wù)器的安全控制包括可以設(shè)置口令鎖定服務(wù)器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設(shè)定服務(wù)器登錄時間限制、非法訪問者檢測和關(guān)閉的時間間隔。

3.2.6 網(wǎng)絡(luò)監(jiān)測和鎖定控制

　　網(wǎng)絡(luò)管理員應對網(wǎng)絡(luò)實施監(jiān)控，服務(wù)器應記錄用戶對網(wǎng)絡(luò)資源的訪問，對非法的網(wǎng)絡(luò)訪問，服務(wù)器應以圖形或文字或聲音等形式報警，以引起網(wǎng)絡(luò)管理員的注意。如果不法之徒試圖進入網(wǎng)絡(luò)，網(wǎng)絡(luò)服務(wù)器應會自動記錄企圖嘗試進入網(wǎng)絡(luò)的次數(shù)，如果非法訪問的次數(shù)達到設(shè)定數(shù)值，那么該帳戶將被自動鎖定。

3.2.7 網(wǎng)絡(luò)端口和節(jié)點的安全控制

　　網(wǎng)絡(luò)中服務(wù)器的端口往往使用自動回呼設(shè)備、靜默調(diào)制解調(diào)器加以保護，并以加密的形式來識別節(jié)點的身份。自動回呼設(shè)備用于防止假冒合法用戶，靜默調(diào)制解調(diào)器用以防范黑客的自動撥號程序?qū)τ嬎銠C進行攻擊。網(wǎng)絡(luò)還常對服務(wù)器端和用戶端采取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發(fā)生器）。在對用戶的身份進行驗證之后，才允許用戶進入用戶端。然后，用戶端和服務(wù)器端再進行相互驗證。

3.2.8 防火墻控制

　　防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡(luò)安全的技術(shù)性措施，它是一個用以阻止網(wǎng)絡(luò)中的黑客訪問某個機構(gòu)網(wǎng)絡(luò)的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡(luò)邊界上通過建立起來的相應網(wǎng)絡(luò)通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡(luò)，以阻檔外部網(wǎng)絡(luò)的侵入。目前的防火墻主要有以下三種類型；

　　(1)包過濾防火墻：包過濾防火墻設(shè)置在網(wǎng)絡(luò)層，可以在路由器上實現(xiàn)包過濾。首先應建立一定數(shù)量的信息過濾表，信息過濾表是以其收到的數(shù)據(jù)包頭信息為基礎(chǔ)而建成的。信息包頭含有數(shù)據(jù)包源IP地址、目的IP地址、傳輸協(xié)議類型（TCP、UDP、ICMP等）、協(xié)議源端口號、協(xié)議目的端口號、連接請求方向、ICMP報文類型等。當一個數(shù)據(jù)包滿足過濾表中的規(guī)則時，則允許數(shù)據(jù)包通過，否則禁止通過。這種防火墻可以用于禁止外部不合法用戶對內(nèi)部的訪問，也可以用來禁止訪問某些服務(wù)類型。但包過濾技術(shù)不能識別有危險的信息包，無法實施對應用級協(xié)議的處理，也無法處理UDP、RPC或動態(tài)的協(xié)議。

　　(2)代理防火墻：代理防火墻又稱應用層網(wǎng)關(guān)級防火墻，它由代理服務(wù)器和過濾路由器組成，是目前較流行的一種防火墻。它將過濾路由器和軟件代理技術(shù)結(jié)合在一起。過濾路由器負責網(wǎng)絡(luò)互連，并對數(shù)據(jù)進行嚴格選擇，然后將篩選過的數(shù)據(jù)傳送給代理服務(wù)器。代理服務(wù)器起到外部網(wǎng)絡(luò)申請訪問內(nèi)部網(wǎng)絡(luò)的中間轉(zhuǎn)接作用，其功能類似于一個數(shù)據(jù)轉(zhuǎn)發(fā)器，它主要控制哪些用戶能訪問哪些服務(wù)類型。當外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請某種網(wǎng)絡(luò)服務(wù)時，代理服務(wù)器接受申請，然后它根據(jù)其服務(wù)類型、服務(wù)內(nèi)容、被服務(wù)的對象、服務(wù)者申請的時間、申請者的域名范圍等來決定是否接受此項服務(wù)，如果接受，它就向內(nèi)部網(wǎng)絡(luò)轉(zhuǎn)發(fā)這項請求。代理防火墻無法快速支持一些新出現(xiàn)的業(yè)務(wù)（如多媒體）。現(xiàn)要較為流行的代理服務(wù)器軟件是WinGate和Proxy Server。

　　(3)雙穴主機防火墻：該防火墻是用主機來執(zhí)行安全控制功能。一臺雙穴主機配有多個網(wǎng)卡，分別連接不同的網(wǎng)絡(luò)。雙穴主機從一個網(wǎng)絡(luò)收集數(shù)據(jù)，并且有選擇地把它發(fā)送到另一個網(wǎng)絡(luò)上。網(wǎng)絡(luò)服務(wù)由雙穴主機上的服務(wù)代理來提供。內(nèi)部網(wǎng)和外部網(wǎng)的用戶可通過雙穴主機的共享數(shù)據(jù)區(qū)傳遞數(shù)據(jù)，從而保護了內(nèi)部網(wǎng)絡(luò)不被非法訪問。

4.信息加密策略

　　信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡(luò)節(jié)點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。用戶可根據(jù)網(wǎng)絡(luò)情況酌情選擇上述加密方式。

　　信息加密過程是由形形 色色的加密算法來具體實施，它以很小的代價提供很大的安全保護。在多數(shù)情況下，信息加密是保證信息機密性的唯一方法。據(jù)不完全統(tǒng)計，到目前為止，已經(jīng)公開發(fā)表的各種加密算法多達數(shù)百種。如果按照收發(fā)雙方密鑰是否相同來分類，可以將這些加密算法分為常規(guī)密碼算法和公鑰密碼算法。

　　在常規(guī)密碼中，收信方和發(fā)信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規(guī)密碼算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。在眾多的常規(guī)密碼中影響最大的是DES密碼。