企業網絡及應用層正經受著來自網絡和應用等多層次、多方面的網絡威脅和攻擊，可以說，企業網絡信息安全能否得以保障，在絕大程度上取決于這個層次的安全防護技術的部署。

　　4、病毒防護技術

　　對于當今網絡來說，病毒和蠕蟲成為了一對"孿生兄弟"，兩者幾乎總會同時出現，而且對企業網絡及其應用系統造成的危害也是非常致命的。從病毒的發展過程我們可以看出病毒有如下的發展趨勢：

　　◆病毒向有智能和有目的的方向發展

　　◆未來凡能造成重大危害的，一定是"蠕蟲"。"蠕蟲"的特征是快速地不斷復制自身，以求在最短的時間內傳播到最大范圍。
　
　　◆病毒開始與黑客技術結合，他們的結合將會為世界帶來無可估量的損失

　　◆從Sircam、"尼姆達"、"求職信"、"中文求職信"到"中國黑客"，這類病毒越來越向輕感染文件、重復制自身的方向發展。

　　◆病毒的大面積傳播與網絡的發展密不可分

　　◆基于分布式通信的病毒很可能在不久即將出現

　　◆未來病毒與反病毒之間比的就是速度，而增強對新病毒的反應和處理速度，將成為反病毒廠商的核心競爭力之一。

　　當今有幾種典型反病毒技術：

　　◆特征值技術：所謂特征值查毒法，就是在獲取病毒樣本后，提取出其特征值，然后通過該特征值對各個文件或內存等進行掃描。如果發現這種特征值，這說明感染了這種病毒，然后針對性地解除病毒；

　　◆虛擬機技術：隨著病毒技術的發展，加密技術漸漸成熟起來，很多病毒的特征都在那么容易提取。這樣，虛擬機殺毒技術出現，所謂虛擬機技術，就是用軟件先虛擬一套運行環境，讓病毒先在該虛擬環境下運行，看看他的執行效果。由于加密的病毒在執行時最終還是要解密的。這樣，在其解密之后我們可以通過特征值查毒法對其進行查殺；

　　◆啟發式掃描技術：新病毒不斷出現，傳統的特征值查毒法完全不可能查出新出現的病毒。啟發式掃描技術產生了。一個病毒總存在其與普通程序不一般的地方，譬如他會格式化硬盤，重定位，改回文件時間，修改文件大小，能夠傳染等等，通過在各個層面進行病毒屬性的確定和加權，就能發現新的病毒；

　　◆計算機病毒疫苗："計算機病毒免疫"發源于生物免疫技術，就象為動物注射某種病毒的免疫疫苗后可以對此病毒產生自然抵抗能力一樣。"計算機病毒免疫"就是一種具有類似特點的技術，它的設計目標是不依賴于病毒庫的更新而讓電腦具有對所有病毒的抵抗能力。普通防毒軟件的最大缺點是總要等到病毒出現后才能制定出清除它的辦法，并且還要用戶及時的升級到新的病毒庫。這就讓病毒有更多的機會去蔓延傳播，而病毒免疫則完全打破這種思路，它可以讓電腦具有自然抵抗新病毒的能力，當有新病毒感染計算機系統時不用升級病毒庫而同樣可以偵測出它。

　　5、密碼技術和PKI技術

　　隨著計算機網絡和計算機通訊技術的發展，計算機密碼學得到前所未有的重視并迅速普及和發展起來。在國外，它已成為計算機安全主要的研究方向。密碼學是一門古老而深奧的學科，對一般人來說是非常陌生的。長期以來，只在很小的范圍內使用，如軍事、外交、情報等部門。計算機密碼學是研究計算機信息加特別是20世紀70年代后期，由于計算機、電子通信的廣泛使用，現代密碼學得到了空前的發展。

　　除了提供機密性外，密碼學可以為企業安全需要提供三方面的功能：鑒別、完整性和抗抵賴性。這些功能是通過計算機進行社會交流，至關重要的需求。

　　鑒別：消息的接收者應該能夠確認消息的來源；入侵者不可能偽裝成他人。

　　完整性：消息的接收者應該能夠驗證在傳送過程中消息沒有被修改；入侵者不可能用假消息代替合法消息。

　　抗抵賴性：發送消息者事后不可能虛假地否認他發送的消息。

　　基于密鑰的算法通常有兩類：對稱算法和公開密鑰算法（非對稱算法）。對稱算法有時又叫傳統密碼算法，加密密鑰能夠從解密密鑰中推算出來，反過來也成立。在大多數對稱算法中，加解密的密鑰是相同的。對稱算法要求發送者和接收者在安全通信之前，協商一個密鑰。對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對消息進行加解密。公開密鑰算法（非對稱算法）的加密的密鑰和解密的密鑰不同，而且解密密鑰不能根據加密密鑰計算出來，或者至少在可以計算的時間內不能計算出來。之所以叫做公開密鑰算法，是因為加密密鑰能夠公開，即陌生者能用加密密鑰加密信息，但只有用相應的解密密鑰才能解密信息。加密密鑰叫做公開密鑰（簡稱公鑰），解密密鑰叫做私人密鑰（簡稱私鑰）。

　　對稱加密系統最著名的是美國數據加密標準DES、AES(高級加密標準)和歐洲數據加密標準IDEA。而自公鑰加密問世以來，學者們提出了許多種公鑰加密方法，它們的安全性都是基于復雜的數學難題。

　　根據所基于的數學難題來分類，有以下三類系統目前被認為是安全和有效的：大整數因子分解系統(代表性的有RSA)、橢園曲線離散對數系統(ECC)和離散對數系統(代表性的有DSA)。當前最著名、應用最廣泛的公鑰系統RSA是由Rivet、Shamir、Adelman提出的(簡稱為RSA系統)，它的安全性是基于大整數素因子分解的困難性，而大整數因子分解問題是數學上的著名難題，至今沒有有效的方法予以解決，因此可以確保RSA算法的安全性。RSA系統是公鑰系統的最具有典型意義的方法，大多數使用公鑰密碼進行加密和數字簽名的產品和標準使用的都是RSA算法。

　　PKI是一種新的安全技術，它由公開密鑰密碼技術、數字證書、證書發放機構（CA）和關于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術實現電子商務安全的一種體系，是一種基礎設施，網絡通訊、網上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認證系統，即安全認證系統-CA/RA系統是PKI不可缺的組成部分。

　　PKI（Public Key Infrastructure）公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平臺，目的是為了管理密鑰和證書。一個機構通過采用PKI框架管理密鑰和證書可以建立一個安全的網絡環境。X.509格式的證書和證書廢除列表(CRL)；CA/RA操作協議；CA管理協議；CA政策制定。

　　從廣義上講，所有提供公鑰加密和數字簽名服務的系統，都可叫做PKI系統，PKI的主要目的是通過自動管理密鑰和證書，可以為用戶建立起一個安全的網絡運行環境，使用戶可以在多種應用環境下方便的使用加密和數字簽名技術，從而保證網上數據的機密性、完整性、有效性，數據的機密性是指數據在傳輸過程中，不能被非授權者偷看，數據的完整性是指數據在傳輸過程中不能被非法篡改，數據的有效性是指數據不能被否認。一個有效的PKI系統必須是安全的和透明的，用戶在獲得加密和數字簽名服務時，不需要詳細地了解PKI是怎樣管理證書和密鑰的，一個典型、完整、有效的PKI應用系統至少應具有以下部分：

　　◆公鑰密碼證書管理。

　　◆黑名單的發布和管理。

　　◆密鑰的備份和恢復。

　　◆自動更新密鑰。

　　◆自動管理歷史密鑰。

　　◆支持交叉認證。

　　6、IPSec技術

　　在網絡層實現安全服務有很多的優點。首先，由于多種傳送協議和應用程序可以共享由網絡層提供的密鑰管理架構，密鑰協商的開銷被大大地削減了。其次，若安全服務在較低層實現，那么需要改動的程序就要少很多。但是在這樣的情況下仍會有新的安全問題。本文將對此作出闡述。目前公認的網絡攻擊三種原型是竊聽 、篡改、偽造、拒絕服務攻擊等。IPSec 針對攻擊原型的安全措施。IPsec提供三項主要的功能：認證功能(AH)，認證和機密組合功能(ESP)及密鑰交換功能。AH的目的是提供無連接完整性和真實性包括數據源認證和可選的抗重傳服務；ESP分為兩部分，其中ESP頭提供數據機密性和有限抗流量分析服務，在ESP尾中可選地提供無連接完整性、數據源認證和抗重傳服務。

　　IPSec提供了一種標準的、健壯的以及包容廣泛的機制，可用它為IP及上層協議(如UDP和TCP)提供安全保證。它定義了一套默認的、強制實施的算法，以確保不同的實施方案相互間可以共通。而且很方便擴展。IPSec可保障主機之間、安全網關(如路由器或防火墻)之間或主機與安全網關之間的數據包的安全。IPSec是一個工業標準網絡安全協議，為IP網絡通信提供透明的安全服務，保護TCP/IP通信免遭竊聽和篡改，可以有效抵御網絡攻擊，同時保持易用性。IPSec有兩個基本目標：保護IP數據包安全；為抵御網絡攻擊提供防護措施。IPSec結合密碼保護服務、安全協議組和動態密鑰管理，三者共同實現上述兩個目標，IPSec基于一種端對端的安全模式。這種模式有一個基本前提假設，就是假定數據通信的傳輸媒介是不安全的，因此通信數據必須經過加密，而掌握加解密方法的只有

　　IPSec提供三種不同的形式來保護通過公有或私有IP網絡來傳送的私有數據。

　　◆驗證：通過認證可以確定所接受的數據與所發送的數據是一致的，同時可以確定申請發送者在實際上是真實發送者，而不是偽裝的。

　　◆數據完整驗證：通過驗證保證數據從原發地到目的地的傳送過程中沒有任何不可檢測的數據丟失與改變。

　　◆保密：使相應的接收者能獲取發送的真正內容，而無關的接收者無法獲知數據的真正內容。

　　7、訪問控制技術

　　訪問控制是網絡安全防范和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問。它是保證網絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。

　　（1）入網訪問控制

　　入網訪問控制為網絡訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到服務器并獲取網絡資源，控制準許用戶入網的時間和準許他們在哪臺工作站入網。用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網絡。 對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少于6個字符，口令字符最好是數字、字母和其他字符的混合，用戶口令必須經過加密。用戶還可采用一次性用戶口令，也可用便攜式驗證器（如智能卡）來驗證用戶的身份。 網絡管理員可以控制和限制普通用戶的賬號使用、訪問網絡的時間和方式。用戶賬號應只有系統管理員才能建立。用戶口令應是每用戶訪問網絡所必須提交的"證件"、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效后允許入網的寬限次數。 用戶名和口令驗證有效之后，再進一步履行用戶賬號的缺省限制檢查。網絡應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網絡的訪問"資費"用盡時，網絡還應能對用戶的賬號加以限制，用戶此時應無法進入網絡訪問網絡資源。網絡應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

　　（2）權限控制

　　網絡的權限控制是針對網絡非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受托者指派和繼承權限屏蔽（irm）可作為兩種實現方式。受托者指派控制用戶和用戶組如何使用網絡服務器的目錄、文件和設備。繼承權限屏蔽相當于一個過濾器，可以限制子目錄從父目錄那里繼承哪些權限。我們可以根據訪問權限將用戶分為以下幾類：特殊用戶（即系統管理員）；一般用戶，系統管理員根據他們的實際需要為他們分配操作權限；審計用戶，負責網絡的安全控制與資源使用情況的審計。用戶對網絡資源的訪問權限可以用訪問控制表來描述。

　　（3）目錄級安全控制

　　網絡應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的權限對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的權限。對目錄和文件的訪問權限一般有八種：系統管理員權限、讀權限、寫權限、創建權限、刪除權限、修改權限、文件查找權限、訪問控制權限。用戶對文件或目標的有效權限取決于以下兩個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網絡管理員應當為用戶指定適當的訪問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問 ，從而加強了網絡和服務器的安全性。

　　（4）屬性安全控制

　　當用文件、目錄和網絡設備時，網絡系統管理員應給文件、目錄等指定訪問屬性。屬性安全在權限安全的基礎上提供更進一步的安全性。網絡上的資源都應預先標出一組安全屬性。用戶對網絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網絡資源的訪問能力。屬性設置可以覆蓋已經指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。

　　（5）服務器安全控制

　　網絡允許在服務器控制臺上執行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。