三、安全硬件

　　在PGP和X.509证件之间通常有一个私钥。如果你使用的是一个复合计算机，如何移动你的私钥而不在电脑上留下副本成为一个问题。解决方法是使用硬件钥匙。目前主要有两种：

1、Token-Based Cards（令牌卡）

　　大部分令牌卡，使用户的独一无二的信息，加入硬件产生的数据等来鉴定用户。因为基于时间的令牌每60秒更新一次，可以防止攻击者在回应攻击中使用密码。此外，用户名字和PIN都是需要的，如果硬件令牌丢失，不会使你的网络变的不安全。令牌环机制有一些弊端。首先，每个用户必须有自己的令牌。尽管不是很贵，但数量多的话，就比较昂贵了。其次，用户必须时刻不离令牌，如果用户忘记令牌或丢掉了令牌，他就没有任何办法去访问系统。

2、Smart Cards（智能卡）

　　智能卡就是卡中带有计算机芯片。通常有存储器，可以存储信息，X.509证书可以存储在智能卡中。有些智能卡甚至有Java虚拟机，可以运行应用程序。智能卡解决了把你的私钥分发给你使用的每一台机器上的问题。不幸的是新问题随之而来，你想使用智能卡的机器上必须有一个智能卡读卡器。这是十分昂贵的。把读卡器安装到机器上有多种方法，使用磁盘驱动器，PCMCIA插槽，键盘连接器，和USB连接等等。如果智能卡读卡器变成标准的那么它将是鉴定身份的好方法。

3、防火墙

　　防火墙不是万能的，但我们谈到网络安全不可能不谈到它。防火墙是指用一个或一组网络设备，在两个或多个网络间加强访问控制，以保护一个不受另一个网络攻击的安全技术。它也是一种十分有效的网络安全技术。防火墙主要分三种类型：

　　A、包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。这种防火墙可以用于禁止外部不合法用户对网络内部的访问，也可以用来禁止访问某些服务类型。

　　B、代理防火墙：代理防火墙又称应用层网关级防火墙，它由代理服务器和过滤路由器组成，是目前较流行的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互连，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。

　　C、 双穴主机防火墙：该防火墙是用主机来执行安全控制功能。一台双穴主机配有多个网卡，分别连接不同的网络。双穴主机从一个网络收集数据，并且有选择地把它发送到另一个网络上。网络服务由双穴主机上的服务代理来提供。内部网和外部网的用户可通过双穴主机的共享数据区传递数据，从而保护了内部网络不被非法访问。

四、 网络安全的管理策略

1、减少网络服务的数字。

2、除掉不必要的软件和特性，这样可以减少系统的复杂性。这包括除掉类IPXAppleTalk，NetBIOS，DLC，LAT和DecNET这样的协议。

3、除掉允许对内部的系统信息的进行访问的软件，例如SNMP。

4、除掉不安全的远程控制软件。使用全部已知的安全更新和服务包。

5、除掉系统上不必要的说明。

6、给帐号和文件系统分配访问权限。
   
7、给网络添加侵入检测系统（IDS），它是可以在察觉系统受攻击时，采取适当的行动的机制。可以记录下事件供以后分析，还可以在防火墙上制定规则，从而禁止攻击。

　　最后需要说明的是，每个单位、部门、企业应该根据国家或行业所制订的安全标准和规范，结合本部门、企业的具体特点、安全等级等安全要求，制订出符合自己的安全技术措施和实施步骤，给网络安全提供更有力的安全保障。

【责任编辑：小木工】