日本網路安全戰略

❶ 日本在哪一年組建了政府網路安全中心

2015年1月9日網路安全戰略總部成立的當天，日本還將專門設置「內閣網路安全中心」。

日本國（日語：にほんこく；英語：Japan），簡稱「日本」，位於東亞的島嶼國家，領土由北海道、本州、四國、九州四個大島及6800多個小島組成，總面積37.8萬平方公里。主體民族為大和族，通用日語，總人口約1.26億。日本三大都市圈是東京都市圈、大阪都市圈和名古屋都市圈。

氣候特徵

日本屬溫帶海洋性季風氣候，終年溫和濕潤。6月多梅雨，夏秋季多台風。全國橫跨緯度達25°，南北氣溫差異十分顯著。絕大部分地區屬於四季分明的溫帶氣候，位於南部的沖繩則屬於亞熱帶，而北部的北海道卻屬於亞寒帶；1月平均氣溫北部－6℃，南部16℃；7月北部17℃，南部28℃。

日本是世界上降水量較多的地區。主要原因包括了日本海側地區冬季的降雪；6月、7月（沖繩、奄美為5月、6月）間連綿不斷的梅雨；以及夏季到秋季登陸或接近日本的台風。

日本有記載的最高溫度紀錄是40.9℃，於2007年8月16日在崎玉縣熊谷市和岐阜縣多治見市測得；有記載的最低溫度紀錄是－41℃，於1902年1月25日在北海道旭川市測得。

❷ 日本，中國，英國和瑞士四個哪個不是網路安全敏感的國家

瑞士 。 瑞士 為永久中立國，自1815年以來一直奉行中立政策。二戰後，為更好地維護自身利益，瑞逐步調整外交政策，由傳統保守的中立向「積極的中立」過渡，把促進和平共處，尊重人權並促進民主，維護瑞海外經濟利益，減少全球危機與貧困以及維護人類基本生存條件視為其外交政策的五大目標。自2002年9月加入聯合國以來，瑞外交政策更加突出人權和人道主義，大力開展斡旋外交，力圖在國際事務中發揮獨特作用，擴大瑞的國際影響。 瑞士 同世界上192個國家建有外交關系。

❸ 結合國家相關政策及具體案例說明網路安全立法的重要性

一是加強和改進立法工作，不斷提高立法質量。加強立法工作，是依法治國、建設社會主義法治國家的前提。近年來，政府立法工作取得了突出成績。過去五年間，僅國務院就向全國人大常委會提交39件法律議案，制定、修訂了137件行政法規。但是必須看到，我國改革和發展已經站在了新的歷史起點上，立法工作面臨著十分繁重的任務。要進一步增強政府立法工作的計劃性和針對性，緊緊圍繞全面建設小康社會的奮斗目標，認真研究經濟社會發展中的突出矛盾和問題，按照貫徹科學發展觀的根本要求，繼續加強經濟調節、市場監管、產品質量和安全、規范政府自身行為方面的立法；高度重視社會管理、公共服務和人民群眾普遍關注、社會反映強烈的熱點問題的立法；特別要注意加強改善民生、推進社會建設、節約能源資源、保護生態環境等方面的立法。加強立法工作重在提高立法質量。要創新政府立法工作的方法和機制，擴大立法工作的公眾參與。在法律法規起草、修改過程中，要通過組織聽證會、論證會、座談會等多種形式，廣泛聽取社會各方面的意見和建議。制定與群眾利益密切相關的行政法規、規章，原則上要公布草案，向社會公開徵求意見。
二是推進依法行政，努力提高行政執法水平。各級政府部門要加快推進依法行政、建設法治政府的進程，嚴格按照法定許可權和程序行使職權、履行職責。政府的組織、政府的權力、政府的運行、政府的行為和活動，都要以憲法和法律為准繩，都要受到憲法和法律的規范和約束。政府制定的行政法規、政府規章、規范性文件和政策性文件，必須與憲法和法律保持統一和協調。堅持以人為本，樹立以尊重和保障人權為核心的現代行政執法觀念，形成職責許可權明確、執法主體合格、適用法律有據、問責監督有方的政府工作機制。合理界定和調整行政執法許可權，明確執法責任，全面落實行政執法責任制。進一步健全市縣政府依法行政制度。加強對行政收費的規范管理，改革和完善司法、執法財政保障機制。健全行政復議體制，完善行政補償和行政賠償制度。認真做好法律援助工作，幫助困難群眾實現訴訟權利，使人人都能享受到平等法律保護。加強行政執法隊伍建設，增強服務意識，改進工作作風，保持清正廉潔，促進行政執法水平的不斷提高。
三是加強執法監督，確保行政權力正確行使。健全社會主義民主法制，必然要求國家機關及其工作人員將人民賦予的權力始終用來為人民服務，確保權力正確行使，讓權力在陽光下運行，接受人民群眾的監督。要完善權力制約和監督機制，綜合運用各種監督形式，增強監督合力和實效，真正做到有權必有責、用權受監督、違法要追究。堅持用制度管權、管事、管人，建立健全決策權、執行權、監督權既相互制約又相互協調的權力結構和運行機制。健全組織法制和程序規則，保證政府權力按照法定許可權和程序進行行使。各級政府要自覺接受人民代表大會及其常委會的監督，主動接受人民政協的民主監督。大力推進執法公開，提高政府工作的透明度，加大人民群眾的監督力度。改善和加強新聞輿論對行政執法的有效監督。切實強化政府層級監督，充分發揮監察、審計等專門監督的作用。要把加強對領導幹部特別是主要領導幹部、人財物管理使用、關鍵崗位的監督作為重點，健全質詢、問責、經濟責任審計、引咎辭職、罷免等制度，確保監督到位、有力、有效。
四是加強法制宣傳教育，提高全社會的法律意識和法治觀念。積極探索法制宣傳教育的新途徑、新形式，善於運用報刊、廣播、電視、互聯網等多種傳媒，精心組織各種法制宣傳教育活動，增強法制教育的科學性、准確性，防止片面性。突出抓好憲法宣傳教育，增強人民群眾的憲法意識，自覺維護憲法權威，使憲法在全社會得到遵守。加大有關經濟社會發展的法律法規、規范市場經濟秩序的法律法規以及與人民群眾生產生活密切相關的法律法規的宣傳力度，為建設中國特色社會主義打牢法治思想基礎。法律對社會生活的規范、引導和保障功能，主要是通過權利義務機制實現的。在法制宣傳教育活動中，必須強化權利義務觀念的培養，既要增強人們的民主意識和權利意識，也要增強法治意識和義務意識。具體包括：公民在法律面前人人平等，任何人都沒有超越憲法和法律的特權；堅持權利和義務相統一，權利的行使不得損害社會公共利益和他人的合法權益；國家保護合法的權利；國家提供權利的保障、救濟和保護。只有讓每個公民都樹立了正確的法制觀念，自覺在法制框架內行使權利、履行義務，才能夠真正把依法治國基本方略真正落到實處，建成社會主義法治國家。

❹ 簡述網路安全策略的概念及制定安全策略的原則

網路的安全策略1.引言

隨著計算機網路的不斷發展，全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵，致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊，所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言，其網上信息的安全和保密尤為重要。因此，上述的網路必須有足夠強的安全措施，否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中，都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此，網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性，這樣才能確保網路信息的保密性、完整性和可用性。

2.計算網路面臨的威脅

計算機網路所面臨的威脅大體可分為兩種：一是對網路中信息的威脅；二是對網路中設備的威脅。影響計算機網路的因素很多，有些因素可能是有意的，也可能是無意的；可能是人為的，也可能是非人為的；可能是外來黑客對網路系統資源的非法使有，歸結起來，針對網路安全的威脅主要有三：

(1)人為的無意失誤：如操作員安全配置不當造成的安全漏洞，用戶安全意識不強，用戶口令選擇不慎，用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。

(2)人為的惡意攻擊：這是計算機網路所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網路正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害，並導致機密數據的泄漏。

(3)網路軟體的漏洞和「後門」：網路軟體不可能是百分之百的無缺陷和無漏洞的，然而，這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標，曾經出現過的黑客攻入網路內部的事件，這些事件的大部分就是因為安全措施不完善所招致的苦果。另外，軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的，一般不為外人所知，但一旦「後門」洞開，其造成的後果將不堪設想。

3.計算機網路的安全策略

3.1 物理安全策略

物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用許可權、防止用戶越權操作；確保計算機系統有一個良好的電磁兼容工作環境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發生。

抑制和防止電磁泄漏（即TEMPEST技術）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發射的防護，主要採取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：一是採用各種電磁屏蔽措施，如對設備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；二是干擾的防護措施，即在計算機系統工作的同時，利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。

3.2 訪問控制策略

訪問控制是網路安全防範和保護的主要策略，它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制

入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源，控制准許用戶入網的時間和准許他們在哪台工作站入網。

用戶的入網訪問控制可分為三個步驟：用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過，該用戶便不能進入該網路。

對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令，伺服器將驗證所輸入的用戶名是否合法。如果驗證合法，才繼續驗證用戶輸入的口令，否則，用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性，用戶口令不能顯示在顯示屏上，口令長度應不少於6個字元，口令字元最好是數字、字母和其他字元的混合，用戶口令必須經過加密，加密的方法很多，其中最常見的方法有：基於單向函數的口令加密，基於測試模式的口令加密，基於公鑰加密方案的口令加密，基於平方剩餘的口令加密，基於多項式共享的口令加密，基於數字簽名方案的口令加密等。經過上述方法加密的口令，即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令，也可用攜帶型驗證器（如智能卡）來驗證用戶的身份。

網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令，但系統管理員應該可以控制口令的以下幾個方面的限制：最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。

用戶名和口令驗證有效之後，再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時，網路還應能對用戶的帳號加以限制，用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確，則認為是非法用戶的入侵，應給出報警信息。

3.2.2 網路的許可權控制

網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽（IRM）可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器，可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類：（1）特殊用戶（即系統管理員）；（2）一般用戶，系統管理員根據他們的實際需要為他們分配操作許可權；（3）審計用戶，負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。

3.2.3 目錄級安全控制

網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效，用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種：系統管理員許可權（Supervisor）、讀許可權（Read）、寫許可權（Write）、創建許可權（Create）、刪除許可權（Erase）、修改許可權（Modify）、文件查找許可權（File Scan）、存取控制許可權（Access Control）。用戶對文件或目標的有效許可權取決於以下二個因素：用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權，這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對伺服器資源的訪問 ，從而加強了網路和伺服器的安全性。

3.2.4 屬性安全控制

當用文件、目錄和網路設備時，網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表，用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權：向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。

3.2.5 網路伺服器安全控制

網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊，可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台，以防止非法用戶修改、刪除重要信息或破壞數據；可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。

3.2.6 網路監測和鎖定控制

網路管理員應對網路實施監控，伺服器應記錄用戶對網路資源的訪問，對非法的網路訪問，伺服器應以圖形或文字或聲音等形式報警，以引起網路管理員的注意。如果不法之徒試圖進入網路，網路伺服器應會自動記錄企圖嘗試進入網路的次數，如果非法訪問的次數達到設定數值，那麼該帳戶將被自動鎖定。

3.2.7 網路埠和節點的安全控制

網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護，並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶，靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制，用戶必須攜帶證實身份的驗證器（如智能卡、磁卡、安全密碼發生器）。在對用戶的身份進行驗證之後，才允許用戶進入用戶端。然後，用戶端和伺服器端再進行相互驗證。

3.2.8 防火牆控制

防火牆是近期發展起來的一種保護計算機網路安全的技術性措施，它是一個用以阻止網路中的黑客訪問某個機構網路的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路，以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型；

(1)包過濾防火牆：包過濾防火牆設置在網路層，可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表，信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型（TCP、UDP、ICMP等）、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時，則允許數據包通過，否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問，也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包，無法實施對應用級協議的處理，也無法處理UDP、RPC或動態的協議。

(2)代理防火牆：代理防火牆又稱應用層網關級防火牆，它由代理伺服器和過濾路由器組成，是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連，並對數據進行嚴格選擇，然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用，其功能類似於一個數據轉發器，它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時，代理伺服器接受申請，然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務，如果接受，它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務（如多媒體）。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。

(3)雙穴主機防火牆：該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡，分別連接不同的網路。雙穴主機從一個網路收集數據，並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據，從而保護了內部網路不被非法訪問。

4.信息加密策略

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數據提供保護；節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。

信息加密過程是由形形 色色的加密演算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。

在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA；日本的FEAL－N、LOKI－91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。

常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。

在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。

公鑰密碼的優點是可以適應網路的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此，隨著現代電子技術和密碼技術的發展，公鑰密碼演算法將是一種很有前途的網路安全加密體制。

當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來加密信息，而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組，每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟體的有效方法之一。

5. 網路安全管理策略

在網路安全中，除了採用上述技術措施之外，加強網路的安全管理，制定有關規章制度，對於確保網路的安全、可靠地運行，將起到十分有效的作用。

網路的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網路操作使用規程和人員出入機房管理制度；制定網路系統的維護制度和應急措施等。

6. 結束語

隨著計算機技術和通信技術的發展，計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段，滲透到社會生活的各個領域。因此，認清網路的脆弱性和潛在威脅，採取強有力的安全策略，對於保障網路的安全性將變得十分重要。

❺ 美國先發制人戰略對全球網路安全有何影響

析美國先發制人戰略
先發制人戰略是喬治?W?布希任內國家戰略的核心組成部分之一，它既是美國為消除九一一恐怖陰影做出的帶有激進風格的戰略選擇，又是服務於美國國家利益擴張的相對「理性」手段。自從一年前美國將伊拉克作為先發制人的第一個試驗場開始，該戰略的命運就已經與伊拉克局勢的發展以及布希的個人政治前途，牢牢地拴在了一起。目前，美國總統選戰剛剛進入白熱化階段，先發制人能否繼續成為下一屆的戰略選擇，仍是個未知數。但是，它對現有國際秩序造成的沖擊已經十分明顯。

作為一種指導美國「反恐」行動的軍事戰略，「先發制人」是指以強大的軍事實力為支撐，以國家核心利益為尺度，以絕對安全為目標，採取一種超前性和進攻性的戰略態勢，在恐怖主義勢力和「敵對國家」對美國產生實質性威脅前將之摧毀。該戰略的出台並非偶然，而是在布希一面對阿富汗「反恐」戰爭進行總結，一面對國內、國際安全環境重新評估的過程中，逐漸醞釀而成的。它與「國土防禦」內外結合，相輔相成，共同構成了布希任內美國國家安全戰略的核心內容。先發制人戰略自提出至今已近兩年，在其指導下的美國對外軍事干涉行動仍在緊鑼密鼓地進行，但這些行動給美國國家利益以及世界政治帶來的深刻影響已經開始明朗化。本文試圖從心理淵源、理論基礎、干涉模式等多方面對先發制人戰略重新進行系統化解析，以求得出一些理解該戰略的新思路。

先發制人戰略的心理淵源

先發制人戰略是產生於特殊社會氛圍，帶有激進風格的一種軍事戰略。在某種程度上說，它是美國人心中的「恐怖陰影」和「帝國夢」相互摻雜的外在表現。

被喻為美國歷史上又一次「珍珠港」的九一一事件，帶來了美國正常社會節奏的紊亂。恐怖氣氛之下，美國經濟一度連續季度負增長，道?瓊斯工業平均指數曾跌至自30年代大蕭條的最低位，航空、旅遊、保險等行業所受打擊更無法用數字估量；美國社會的政治氣氛也開始安全化，「美國情結」無處不在。

由此，「國土不安全」，「恐怖主義的威脅尤其捉摸不定」，「對自由的最大威脅在於極其危險的激進主義與技術的結合」等這些社會共同的心理感覺，也就不可避免地作為主要結論反映在布希國家安全環境評估中，這在冷戰後美國歷史上還是首次。在這樣一種氛圍下，越是擺出堅決（甚至極端）的姿態，就越會得到國內民眾的支持。九一一後，有關國土防禦、增加防務開支，甚至發動伊拉克戰爭的提案在美國國會幾乎都得以高票通過，就是典型的例子。

可以認為，面對九一一這樣的問題，無論哪位總統在台上執政，恐怖主義問題和「反恐」機制建設都會成為戰略重點，美國都很有可能進行對外干涉。不同的是，作為保守理念忠實信徒，布希的先發制人戰略更具「預防性攻擊」特色。

「反恐」一時成了全民性的任務，卻並沒有動搖美國人在後冷戰時期對帝國理想的追求——確保和利用「獨大」地位，用西方民主理念和價值觀改造世界，建立「美國治下」的世界和平。因此，布希一直堅持的「反恐」口號是「為民主的生活方式和價值觀而戰」，目標則是打擊恐怖主義，並「鍛造有利於美國的新型的國際關系，並以適應新世紀需要的方式重新定義舊有模式。從這一點講，布希戰略的先發制人戰略與老布希-柯林頓時期的美國國家戰略是一脈相承的，只不過「手法」變換而已。

柯林頓時期積累的豐厚經濟遺產，為先發制人戰略提供了強大的實力支撐，使布希更有信心和理由「主動出擊」。柯林頓以成功的經濟政策「打造」了以知識與信息經濟為中心的「新經濟」，使美國經濟保持近十年的繁榮。到2000年財年，美國GDP佔世界總量的比重達到了33%，而柯林頓以前的20年，除個別的年份外，這一比重一直保持在23%-25%的水平上。這樣，即使布希時期美國的軍費開支屢創新高，美國的國防投入佔GDP的比例也沒有高到影響經濟發展的程度。

先發制人戰略的理論基礎

與冷戰後美國舊有國家戰略相比，先發制人戰略對美國國家利益的擴張而言，沒有缺失多少「理性」成分。它的出爐並非是「篤病亂投醫」、一蹴而就，而是有堅實的立論基礎的。里根時期鼎盛的新保守主義外交思想，在柯林頓時期卷土重來，並在布希上台後再次成為美國外交的行動指南。

新保守派是美國保守陣營中在外交政策領域極為活躍的一支力量。它的外交理念因共和黨上世紀90年代中期取得國會領導權，而增強了對美國外交的影響力度。在國會的作用下，柯林頓外交戰略中「過於相信」多邊主義和「四面出擊」兩大「錯誤傾向」逐步被糾正，現實主義國家利益觀得到了更多重視。比如，柯林頓受壓之下逐步減少了對聯合國維和行動的支持力度，放棄了自由派倡導的低投入政策，離任前美國的防務預算已接近於冷戰結束初期的水平，NMD研發獲得的撥款數量也在不斷增加。

即便如此，新保守派仍認為，老布希-柯林頓時期的美國一直沉湎於「戰略間歇期」，從道德到戰略，全方位向敵人繳械；柯林頓以放任自流或逃避的方式放棄了美國世界責任；美國的軍事實力因防務開支的過分削減而到了不足以應對未來挑戰的程度。

新保守派在2000年大選前為柯林頓以後的美國對外戰略作了如下設計：第一，重新拾起里根時期引導美國走向冷戰勝利的那些「非常規」教義，繼續開展 「保衛和擴展」國際秩序的行動，而不是消極地等待向美國價值觀提出挑戰的新「納粹政權」的出現。第二，美國積極追求領導權的過程中，很有可能引起其他國家的敵意，反對者有可能與其他「獨裁政權」或「流氓國家」組成戰術聯盟，或者試圖分化美國的盟國。但這是美國必然要付出的代價，也是美國力量外化不可逃避的形式。第三，如果想訴諸武力解決問題，就不能半途而廢，就應把外交和軍事行動進行得更徹底和有效。比如在伊拉克問題上，美國不能僅像海灣戰爭中一樣，把戰爭目標局限於解放科威特，而是應該徹底鏟除薩達姆獨裁政權，直至與美國友好的新政權得到鞏固。

由此看來，「先發制人」並非什麼新東西，只不過是布希的當選使保守主義思想彰顯，九一一事件使孤立主義銷聲匿跡，新保守派的對外干涉理念得到全面貫徹而已。

先發制人戰略的伊拉克方式

阿富汗「反恐」戰爭基本上是美國對於九一一事件的應急性反應，但是通過這次戰爭，美國不僅成功地展示出超強的軍事力量，而且牢牢地控制了全球反恐規則的制定權。為鞏固和擴大「反恐」成果，布希迅速將伊拉克選為下一個打擊目標，並為此進行了長時間的國內、國際動員。可以說，先發制人戰略模式的成型和伊拉克戰爭對象的選擇是一個決策過程的兩個結果，前者為後者提供了理論指導，後者是前者的第一次驗證。因而，美國在伊拉克的外交實踐和軍事行動可以被理解為一個完整意義上的先發制人樣本。

列入美國「大規模殺傷性武器擴散」和「支持恐怖主義」黑名單的國家不少，布希卻把薩達姆政權第一個挑出進行先發制人軍事打擊，其原因在於：美國在伊拉克經濟資源訴求不小於安全訴求；伊拉克處於「無賴國家」和中東地區的地緣核心區域，戰爭具有更明顯的示範效果；伊拉克處於大國地緣政治和安全利益的邊緣地帶，戰爭不易引起其他大國的過分緊張；薩達姆對國內的獨裁統治使美國公眾對之好感甚少，有利於美國國內的戰爭動員；美國擁有海灣戰爭的歷史經驗，而且遭受十餘年經濟制裁的伊拉克國力更加虛弱；對伊拉克的「遏制」和「聰明制裁」機制沒有達到期望的效果，沒能「阻止其秘密武器的生產，對巴勒斯坦恐怖主義提供資助，或成為不穩定之源」。這些獨特性使美國的決策者對發動伊拉克戰爭的收益預期大大高於成本預期，新保守派激進但不失「理性」的戰略目標選擇方法可見一斑。

美國以近乎輕松的方式完成了對伊拉克的軍事佔領，薩達姆政權徹底垮台。美國在戰略層次獲得了如下好處：其一，世界「獨大」地位再次得到有效印證。戰前美國的單邊主義與霸權意識已顯露無疑，俄法德中等大國對此強烈反對。但在戰爭結束後，為了在中東地區的戰略利益不被邊緣化，法俄德等反對者不得不爭相與美國修好。當然，這是大國關系的復雜性使然。一個明顯的結論卻是，美國的意願是不能怠慢的。其二，通過對伊拉克石油資源的控制，贏得了經濟利益和戰略主動權。控制了中東的石油資源就相當於控制了其他國家經濟的命脈。無論對伊軍事佔領要耗費多少國力，無論2004年大選後誰上台執政，美國都不會放棄在伊拉克既得的經濟利益。其三，通過軍事行動重塑中東政治版圖的努力，對「無賴國家」起到了一定的震懾作用。伊戰後，被美國列入 「邪惡軸心」和「無賴國家」黑名單的利比亞、敘利亞、伊朗以及朝鮮，都先後明示出不同的妥協姿態，盡管其含金量仍要以美國能否最終「擺平」伊拉克這一標准來衡量。此外，戰爭沒有對經濟復甦造成多少負面影響，美國經濟基本擺脫了九一一事件的消極影響。

先發制人戰略從理念、方法和手段等多方面對冷戰後美國對外戰略的傳統模式進行了「揚棄」或「改良」，似乎引導美國外交走上了一條全新道路。但從美國在伊拉克的實際操作來看，該戰略一些先天的、無法克服的缺陷也顯露無余：

第一，過分依賴軍事手段與恐怖主義「擴大化」

布希認為，由於「恐怖勢力和那些『心照不宣』地為之提供幫助的國家之間沒有任何區別」，美國只能通過先發制人的軍事行動，深入敵國遏制恐怖主義的蔓延，也只有這樣才能一勞永逸地解決恐怖主義問題。這一邏輯不僅打破了美國外交一貫的「超脫於外，平衡獲益」的歷史傳統，而且錯解了恐怖主義產生的真正根源，錯用了「老辦法」來解決「新問題」。在國家間層次，軍事方法是決定性的，它可以顛覆一個政權，甚至使一個國家在世界政治版圖上永遠消失；但恐怖主義與其說是政治性命題，不如說是經濟、社會問題在政治領域的集中表現，其解決方法只能是綜合性的。

由於認識的偏頗和方法選擇的不當，美國的軍事行動輕而易舉地「鏟除」了薩達姆政權，卻也激發了恐怖主義的「潛力」。一些小盟國撤軍引發的「多米諾骨牌」效應並不是致命的，可怕的是，佔領軍不得不同時應對來自於地方武裝和恐怖分子的「混雜威脅」。美國提出的「中東民主共同體」計劃，也引起了阿拉伯國家的疑慮和不安，加劇了該地區的政治動盪，也導致了這些國家國內原教旨主義勢力的增長。美國遭遇這些的原因，與其說是布希和新保守派沒有為「建立友好政權」做好准備，毋寧說先發制人戰略從開始就含有一些不切實際的成分。

第二，「鞏固和強化與盟國關系」與自由選擇多邊主義

先發制人戰略雖然客觀上也需要盟友的支持，但是布希一直沒有將二戰以來的「盟國一致」原則當作美國軍事行動的決定性因素。而且，阿富汗「反恐」戰爭對美國行動正義性和國際號召力的「成功」驗證，使布希對伊拉克戰爭的勝利信心十足。

以美國的實力和地位，它和主要盟國的關系不會因為一兩次分歧而走向破裂，但是從伊拉克戰爭來看，這些分歧對美國利益造成的負面影響不容小視：其一，行動中盟友反對者的掣肘和行動後相互妥協的高成本，使美國不能充分實現其行動前的戰略目標；其二，盟友反對者的獨立傾向受到刺激，從長遠講不利於美國「一極」統治的實現；其三，盟友支持者會因反對者的存在提高要價，美國只能做出更多的讓步；其四，盟友間也需要「大國一致」，一些較小的盟國可以「搭車」，卻很難在關鍵時刻提供可靠的幫助。

如果今後美國仍以伊拉克方式繼續實施先發制人戰略，那麼布希一邊「鞏固和強化與盟國關系」，一邊追求行動自由的「盟國戰略」，很可能會陷入自相矛盾的窘境。新保守派設計的「自由選擇多邊主義」，即「根據不同的外交問題，選擇不同的盟友支持」的理論，做起來比說起來難得多。

第三，繞開聯合國的軍事行動與借重聯合國的治理進程

在伊拉克問題上，聯合國充當的「配角」角色以及一些小國向強權靠攏的「自我保護意識」，皆彰顯出既有國際機制在維持世界秩序方面的無效和無力；而重建工作的回歸卻又證明聯合國仍擁有國際社會普遍承認的正統性，美國依然需要聯合國來加強其「軟力量」。戰時美國可以單獨行事，但在戰後沒有聯合國對其合法性的追認，就難以成事。這些事實也顯示出「先發制人」戰略本身蘊含的一組矛盾，即美國的單邊行動與「多邊理想」之間的不可調和性。

美國霸權的最終目標是建立美國主導下的多邊體制，通過「制度」與「力量」的結合來維持世界體系的穩定。這也是美國自認為優於以往任何帝國霸權之處。新保守派一方面強調「力量」的擴張及其效能，把聯合國貶低為「世界官僚主義組織」，另一方面卻也要讓美國的行動為「自由國家」樹立榜樣，依靠美國的「道德優勢」和「善性本質」來維持領導地位。在伊拉克方式中，這種榜樣是很難樹立的，因為「自由選擇多邊主義」干擾了美國與盟國關於「民主共同體」觀念的共識。長此以往，美國會因小失大。

先發制人戰略的國際影響

美國先發制人戰略的提出和實施，破壞了現有國際秩序的穩定性和多邊機制的有效性，也給新世紀國家間良性關系的建立和發展帶來了陰影。伊拉克戰爭之外最令人擔憂的是，先發制人戰略作為一種模式近兩年來正在像毒菌一樣，在一些具有重要影響力的大國和比較活躍的地區行為體中間蔓延開來。這些國家也在像美國一樣，擺出強勢姿態，明確打擊對象，加強軍事准備：

2003年11月，俄羅斯總統普京表示，如果「先發制人」使用武力的原則在國際實踐和國際生活中得到確立，為捍衛本國的國家利益，俄羅斯將保留「先發制人」使用武力的權利。

2004年3月，日本防衛研究所發布年度《東亞戰略概觀》，明確提出日本自衛隊應確立先發制人戰略的觀點，聲稱如果發現朝鮮准備用彈道導彈襲擊日本，自衛隊有權對其導彈基地發動先發制人的攻擊。

2004年3月，英國首相布萊爾在演講中除了為伊拉克戰爭辯護外，呼籲聯合國修改國際法以授權進行類似「先發制人」的軍事打擊行動。

此外，法國、澳大利亞、印度、巴基斯坦、以色列，也都相繼提出了「先發制人」主張。

如此一來，「先發制人」一時成了「世界潮流」，似乎用之就是抓住了戰略主動權，不用就會損害國家利益。「先發制人」之風推動了整個國際社會的尚武傾向，對於世界和平的長久維持顯然不是什麼好事。而且，在共同「反恐」旗號的背後，對「威脅來源」的不同認識和判斷，反映了不同國家迥異的心理動機。比如俄羅斯認定的主要威脅是國內肆虐的恐怖主義分離勢力和北約快速的東擴步伐，其選擇是被動的；日本的理由則是幾乎不可能對其構成多大威脅的一個弱小鄰國，其選擇是主動的，顯然另有所指。比較而言，作為一個對侵略歷史沒有進行充分反省的國家，日本的這一戰略傾向更具危險性，更容易對地區乃至世界秩序造成威脅。

作為一種典型的「權力至上」的現實主義戰略觀，先發制人的蔓延雖不至於從根本上改變世界和平與發展的總趨勢，卻真實地映射出國際力量結構失衡狀態下大國角逐消極的一面。可悲的是，除美國之外，目前還沒有一個國家有足夠的能力改變它。在可預見的未來，如果美國成功實現伊拉克的「政權改造」，「先發制人」還會被炒作的更加火熱，因為美國和「盟友」會變本加厲地借「傳播民主價值觀念」之機，擴張國家權力。

先發制人戰略與中美關系

九一一以前，布希的對外政策主要是嘗試性的，基本都是依照舊有的傳統，從大國實力競爭和防止出現「挑戰者」等角度出發考慮問題的。九一一以後，先發制人戰略的出台，標志著美國國家安全戰略開始由重視「傳統安全」議題轉向「傳統安全」與「非傳統安全」並重。由於戰略關注點的分散和復雜化，美國暫時無力大幅增加對中國的地緣壓力，在「反恐」戰爭中借重中國的一面增多。在國家安全戰略中，布希明確把中國排除在恐怖主義和「流氓國家」等現實敵人之外，並將中美關系歸於「大國合作」范疇。至今，中美合作框架基本保持的了良性發展的局面，美國對中國在朝鮮半島核問題和阿富汗重建進程中的表現比較滿意，布希及其的主要成員對中美合作關系大都持肯定意見。

但是，我們只能以一種審慎樂觀的態度看待「反恐」戰爭中的中美合作，因為：第一，中美整個合作進程仍是以美國為主導的，合作關系主要局限於「問題」層次，沒有也很難步入機制化軌道。受到實力等多重因素的限制，中國很難對周邊之外的美國行動加以有效約束或享有實際發言權。第二，特殊時期的關系緩和消解不了美國人內心深處在如何處理對華關繫上的心理矛盾。美國至今認為，中國在努力尋求美中關系穩定化的同時，將會繼續尋求機會削減美國在東亞的地區影響力；中國之所以經常「含糊」地闡述國際主張，就是想為發展國力贏得更多的時間。而且在美國人的心目中，「流氓國家、武器擴散」等問題或多或少都與中國有一定的聯系，不能期望美國會在「反恐」戰爭中進一步加深與中國的合作關系。中美關系的主要矛盾仍是結構性的，即不管中國以何種方式崛起，美國都不會不加防範。

如果美國能夠成功解決伊拉克和阿富汗問題，中美關系還能不能維持目前的良好狀態，仍是個問題。

先發制人戰略模式對中國的啟示

中國一貫奉行的是和平外交政策，不主張單方面動用武力來解決問題，因而也不會仿效美國，將「先發制人」納入戰略軌道。但是，我們在批判有些國家通過先發制人謀求狹隘國家利益的同時，卻不能忽視它作為理論模式的一些新穎之處。

第一，兼顧「傳統安全」與「非傳統安全」議題的綜合安全思路。「國土防禦」和「先發制人」，作為九一一以後美國國家安全戰略的調整的兩大任務，實際上比較科學地將兩類安全問題、將現實需要和維持美國優勢的長遠目標結合了起來。布希打擊恐怖主義的行動，與其說是戰略目標，不如說是達到新目標的重要手段；與其說被迫行動，不如說抓住了行動的機遇。同美國一樣，中國的發展也同時面臨著「傳統」和「非傳統」安全問題的雙重挑戰，決策者只能用一種統籌觀念，才有可能分清不同問題的輕重緩急，做出最符合國家利益的戰略決策。

第二，戰略選擇中的「前瞻性」國家利益觀念。

先發制人在新保守派那裡既是一種戰爭模式(preemptive war)，也是一種超前型思維方式，而且後者比前者重要的多。對於其他國家也存在這樣一個「真理」:只有提前預測甚至感受到安全問題的危險性，才能早作打算，早作準備，並在事實上節約解決成本。作為聯合國常任理事國和亞太地區性大國中唯一沒有提出「先發制人」的國家，中國承受了更多的壓力，也更需要緩解這些壓力。以暴易暴的方式並不可取，卻也不能因此否定了這種思維方式的獨到之處。

第三，安全問題的現實主義分析起點。先發制人戰略思路，以「叢林狀態」看待國家間關系，以強大的防務保障安全，以絕對的力量優勢謀取勝利，是徹底現實主義的。美國的姿態既反映了當今國際政治的現實，也塑造了這一現實。深受美國影響的其他國家即使不承認現實主義是解決問題的唯一方法，也只能以一種現實主義的態度作為分析安全問題的出發點。當然，純粹的現實主義方法有其弊端，比如強調「道德」而忽視規則，倡導「正義」卻難免「利益交換」。避免這些弊端的方法可以是多樣的，但問題的分析起點必須是現實主義的。

先發制人戰略的前景

先發制人戰略的實施給很多國家增加了戰略壓力，美國似乎也在一日之間變成了無以約束的「暴君」，可以到處揮舞大棒。但是，新保守派以外美國保守陣營的大多數人，傳統上並不認為美國可以濫用武力，因為「美國沒有能力也沒有必要像十字軍東征一樣鏟除擋在前面的每一個邪惡政權」，而是要嚴格地將「虛幻的願望」與國家利益區分開來，「審慎地」依據國家利益分配資源。共和黨保守派內部的這一分歧對行政當局的牽製作用不易低估。比如，伊拉克重建中美國遭遇的挫折，已經使先發制人戰略的實用性遭到質疑。溫和保守派鮑威爾在解釋該戰略時辯稱，「所謂先發制人，是針對阻嚇無法產生效應的非國家威脅如恐怖分子而言……這決不是要取代阻嚇，而是要輔助這個策略……我們的戰略並非根據先發制人理論制定……它只是一種策略和手段，還談不上什麼戰略甚至理論」。

先發制人戰略能否在未來繼續執行下去，將主要取決於以下幾點：第一，美國對伊拉克「政權改造」比較成功；第二，布希連任；第三，存在與伊拉克類似的著力點或再次發生類似於九一一事件的恐怖主義襲擊。這幾點是環環相扣，缺一不可的。

就目前局勢而言，先發制人戰略的前景、布希的個人政治命運已經和伊拉克重建的步伐緊緊地捆在了一起。按照美國大選的慣例，在任總統外交政策的成功不一定意味著得分，而外交政策的失誤卻肯定會導致其失分。雖然離2004年美國總統選舉還有半年多，布希同民主黨候選人克里在對伊政策問題上的較量已經白熱化。

布希在伊拉克問題上走上了「不歸路」，因為他只有及時平息伊拉克的混亂局面並在大選前「順利地」從伊拉克「全身而退」，才有可能獲得連任機會，才能將先發制人發揚下去。如果布希成功，「先發制人」戰略將會被作為重塑美國精神的「榜樣」，但在阿富汗和伊拉克問題徹底解決之前，即使美國「支持恐怖主義」的黑名單列得再長，「伊拉克模型」也不會更多地被復制。否則，布希就有可能成為第二個越戰時期的約翰遜。

民主黨候選人約翰?克里提出的對外政策主張志在「彌補布希的單邊主義和先發制人戰爭給美國安全和領導地位帶來的損害」：第一，美國的對外軍事行動必須首先得到國家立法的授權；第二，為盡快贏得和平，美國需要更多地參與國際事務；第三，美國需要制定一項更為綜合性的「反恐」計劃；第四，美國在伊拉克的勝利是贏得整個「反恐」戰爭的關鍵，但美國在以重建中應通過外交手段建立盡可能廣泛的聯盟（包括取得聯合國的支持）。可以肯定，如果克里當選，美國不會減少對外干涉，但其策略和手段會有較大變化。

❻ 網路安全策略

安全策略是指在某個安全區域內（通常是指屬於某個組織的一系列處理和通信資源），用於所有與安全相關活動的一套規則。這些規則是由此安全區域中所設立的一個安全權力機構建立的，並由安全控制機構來描述、實施或實現的。安全策略通常建立在授權的基礎之上，未經適當授權的實體，信息資源不可以給予、不允許訪問、不得使用。安全策略基於身份、規則、角色進行分類。

機房組建應按計算機運行特點及設備具體要求確定。機房一般宜由主機房區、基本工作區、輔助機房區等功能區域組成。

主機房區包括伺服器機房區、網路通信區、前置機房區和介質庫等。

基本工作區包括緩沖區、監控區和軟體測試區等。

輔助機房區包括配電區、配線區、UPS 區、消防氣瓶間和精密空調區等。

設備標識和鑒別：應對機房中設備的具體位置進行標識，以方便查找和明確責任。機房內關鍵設備部件應在其上設置標簽，以防止隨意更換或取走。

設備可靠性：應將主要設備放置在機房內，將設備或主要部件進行固定，並設置明顯的不易除去的標記。應對關鍵的設備關鍵部件冗餘配置，例如電源、主控板、網路介面等。

防靜電：機房內設備上線前必須進行正常的接地、放電等操作，對來自靜電放電的電磁干擾應有一定的抗擾度能力。機房的活動地板應有穩定的抗靜電性能和承載能力，同時耐油、耐腐蝕、柔光、不起塵等。

電磁騷擾：機房內應對設備和部件產生的電磁輻射騷擾、電磁傳導騷擾進行防護。

電磁抗擾：機房內設備對來自電磁輻射的電磁干擾和電源埠的感應傳導的電磁干擾應有一定的抗擾度。

浪涌抗擾：機房內設備應對來自電源埠的浪涌（沖擊）的電磁干擾應有一定的抗擾度。

電源適應能力：機房供電線路上設置穩壓器和過電壓防護設備。對於直流供電的系統設備，應能在直流電壓標稱值變化10%的條件下正常工作。

泄漏電流：機房內設備工作時對保護接地端的泄漏電流值不應超過5mA。

電源線：機房內設備應設置交流電源地線，應使用三芯電源線，其中地線應於設備的保護接地端連接牢固。

線纜：機房通信線纜應鋪設在隱蔽處，可鋪設在地下或管道中。

絕緣電阻：機房內設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間的絕緣電阻應不小於5MΩ。

場地選擇：機房場地選擇應避開火災危險程度高的區域，還應避開有害氣體來源以及存放腐蝕、易燃、易爆物品的地方。機房場地應避開強振動源、強雜訊源和強電場干擾的地方。機房不應該選擇在樓層的最高層或者最低層地方。

防火：機房應設置火災自動報警系統，包括火災自動探測器、區域報警器、集中報警器和控制器等，能對火災發生的部位以聲、光或電的形式發出報警信號，並啟動自動滅火設備，切斷電源、關閉空調設備等。機房採取區域隔離防火措施，布局要將脆弱區和危險區進行隔離，防止外部火災進入機房，特別是重要設備地區，安裝防火門、使用阻燃材料裝修。機房及相關的工作房間和輔助房應採用具有耐火等級的建築材料。

電磁輻射防護：電源線和通信線纜應隔離鋪設，避免互相干擾。應對關鍵設備和磁介質實施電磁屏蔽。通信線採取屏蔽措施，防止外部電磁場對機房內計算機及設備的干擾，同時也抑制電磁信息的泄漏。應採用屏蔽效能良好屏蔽電纜作為機房的引入線。機房的信號電纜線（輸入／輸出）埠和電源線的進、出埠應適當加裝濾波器。電纜連接處應採取屏蔽措施，抑制電磁雜訊干擾與電磁信息泄漏。

供電系統：應設置冗餘或並行的電力電纜線路為計算機系統供電。應建立備用供電系統。機房供電電源設備的容量應具有一定的餘量。機房供電系統應將信息系統設備供電線路與其它供電線路分開，應配備應急照明裝置。機房應配置電源保護裝置，加裝浪涌保護器。機房電源系統的所有接點均應鍍錫處理，並且冷壓連接。

靜電防護：主機房內絕緣體的靜電電位不應大於1kV。主機房內的導體應與大地作可靠的連接，不應有對地絕緣的孤立導體。

防雷電：機房系統中所有的設備和部件應安裝在有防雷保護的范圍內。不得在建築物屋頂上敷設電源或信號線路。必須敷設時，應穿金屬管進行屏蔽防護，金屬管應進行等電位連接。機房系統電源及系統輸入/輸出信號線，應分不同層次，採用多級雷電防護措施。

機房接地：對直流工作接地有特殊要求需單獨設置接地裝置的系統，接地電阻值及其它接地體之間的距離，應按照機房系統及有關規范的要求確定。

溫濕度控制：機房應有較完備的空調系統，保證機房溫度的變化在計算機設備運行所允許的范圍。當機房採用專用空調設備並與其它系統共享時，應保證空調效果和採取防火措施。機房空氣調節控制裝置應滿足計算機系統對溫度、濕度以及防塵的要求。空調系統應支持網路監控管理，通過統一監控，反映系統工作狀況。

機房防水：機房水管安裝不得穿過屋頂和活動地板，穿過牆壁和樓板的水管應使用套管，並採取可靠的密封措施。機房應有有效的防止給水、排水、雨水通過屋頂和牆壁漫溢和滲漏的措施，應採取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。機房應安裝漏水檢測系統，並有報警裝置。

入網訪問控制是網路訪問的第1層安全機制。它控制哪些用戶能夠登錄到伺服器並獲准使用網路資源，控制准許用戶入網的時間和位置。用戶的入網訪問控制通常分為三步執行：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬戶的默認許可權檢查。三道控制關卡中只要任何一關未過，該用戶便不能進入網路。

對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道關卡。用戶登錄時首先輸入用戶名和口令，伺服器將驗證所輸入的用戶名是否合法。用戶的口令是用戶入網的關鍵所在。口令最好是數字、字母和其他字元的組合，長度應不少於6個字元，必須經過加密。口令加密的方法很多，最常見的方法有基於單向函數的口令加密、基於測試模式的口令加密、基於公鑰加密方案的口令加密、基於平方剩餘的口令加密、基於多項式共享的口令加密、基於數字簽名方案的口令加密等。經過各種方法加密的口令，即使是網路管理員也不能夠得到。系統還可採用一次性用戶口令，或使用如智能卡等攜帶型驗證設施來驗證用戶的身份。

網路管理員應該可對用戶賬戶的使用、用戶訪問網路的時間和方式進行控制和限制。用戶名或用戶賬戶是所有計算機系統中最基本的安全形式。用戶賬戶應只有網路管理員才能建立。用戶口令是用戶訪問網路所必須提交的准入證。用戶應該可以修改自己的口令，網路管理員對口令的控制功能包括限制口令的最小長度、強制用戶修改口令的時間間隔、口令的惟一性、口令過期失效後允許入網的寬限次數。針對用戶登錄時多次輸入口令不正確的情況，系統應按照非法用戶入侵對待並給出報警信息，同時應該能夠對允許用戶輸入口令的次數給予限制。

用戶名和口令通過驗證之後，系統需要進一步對用戶賬戶的默認許可權進行檢查。網路應能控制用戶登錄入網的位置、限制用戶登錄入網的時間、限制用戶入網的主機數量。當交費網路的用戶登錄時，如果系統發現「資費」用盡，還應能對用戶的操作進行限制。

操作許可權控制是針對可能出現的網路非法操作而採取安全保護措施。用戶和用戶組被賦予一定的操作許可權。網路管理員能夠通過設置，指定用戶和用戶組可以訪問網路中的哪些伺服器和計算機，可以在伺服器或計算機上操控哪些程序，訪問哪些目錄、子目錄、文件和其他資源。網路管理員還應該可以根據訪問許可權將用戶分為特殊用戶、普通用戶和審計用戶，可以設定用戶對可以訪問的文件、目錄、設備能夠執行何種操作。特殊用戶是指包括網路管理員的對網路、系統和應用軟體服務有特權操作許可的用戶；普通用戶是指那些由網路管理員根據實際需要為其分配操作許可權的用戶；審計用戶負責網路的安全控制與資源使用情況的審計。系統通常將操作許可權控制策略，通過訪問控製表來描述用戶對網路資源的操作許可權。

訪問控制策略應該允許網路管理員控制用戶對目錄、文件、設備的操作。目錄安全允許用戶在目錄一級的操作對目錄中的所有文件和子目錄都有效。用戶還可進一步自行設置對目錄下的子控制目錄和文件的許可權。對目錄和文件的常規操作有：讀取(Read)、寫入(Write)、創建(Create)、刪除(Delete)、修改(Modify)等。網路管理員應當為用戶設置適當的操作許可權，操作許可權的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對網路資源的訪問。

訪問控制策略還應該允許網路管理員在系統一級對文件、目錄等指定訪問屬性。屬性安全控制策略允許將設定的訪問屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全策略在操作許可權安全策略的基礎上，提供更進一步的網路安全保障。網路上的資源都應預先標出一組安全屬性，用戶對網路資源的操作許可權對應一張訪問控製表，屬性安全控制級別高於用戶操作許可權設置級別。屬性設置經常控制的許可權包括：向文件或目錄寫入、文件復制、目錄或文件刪除、查看目錄或文件、執行文件、隱含文件、共享文件或目錄等。允許網路管理員在系統一級控制文件或目錄等的訪問屬性，可以保護網路系統中重要的目錄和文件，維持系統對普通用戶的控制權，防止用戶對目錄和文件的誤刪除等操作。

網路系統允許在伺服器控制台上執行一系列操作。用戶通過控制台可以載入和卸載系統模塊，可以安裝和刪除軟體。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台，以防止非法用戶修改系統、刪除重要信息或破壞數據。系統應該提供伺服器登錄限制、非法訪問者檢測等功能。

網路管理員應能夠對網路實施監控。網路伺服器應對用戶訪問網路資源的情況進行記錄。對於非法的網路訪問，伺服器應以圖形、文字或聲音等形式報警，引起網路管理員的注意。對於不法分子試圖進入網路的活動，網路伺服器應能夠自動記錄這種活動的次數，當次數達到設定數值，該用戶賬戶將被自動鎖定。

防火牆是一種保護計算機網路安全的技術性措施，是用來阻止網路黑客進入企業內部網的屏障。防火牆分為專門設備構成的硬體防火牆和運行在伺服器或計算機上的軟體防火牆。無論哪一種，防火牆通常都安置在網路邊界上，通過網路通信監控系統隔離內部網路和外部網路，以阻檔來自外部網路的入侵。

域間安全策略用於控制域間流量的轉發（此時稱為轉發策略），適用於介面加入不同安全區域的場景。域間安全策略按IP地址、時間段和服務（埠或協議類型）、用戶等多種方式匹配流量，並對符合條件的流量進行包過濾控制（permit/deny）或高級的UTM應用層檢測。域間安全策略也用於控制外界與設備本身的互訪（此時稱為本地策略），按IP地址、時間段和服務（埠或協議類型）等多種方式匹配流量，並對符合條件的流量進行包過濾控制（permit/deny），允許或拒絕與設備本身的互訪。

預設情況下域內數據流動不受限制，如果需要進行安全檢查可以應用域內安全策略。與域間安全策略一樣可以按IP地址、時間段和服務（埠或協議類型）、用戶等多種方式匹配流量，然後對流量進行安全檢查。例如：市場部和財務部都屬於內網所在的安全區域Trust，可以正常互訪。但是財務部是企業重要數據所在的部門，需要防止內部員工對伺服器、PC等的惡意攻擊。所以在域內應用安全策略進行IPS檢測，阻斷惡意員工的非法訪問。

當介面未加入安全區域的情況下，通過介麵包過濾控制介面接收和發送的IP報文，可以按IP地址、時間段和服務（埠或協議類型）等多種方式匹配流量並執行相應動作（permit/deny）。基於MAC地址的包過濾用來控制介面可以接收哪些乙太網幀，可以按MAC地址、幀的協議類型和幀的優先順序匹配流量並執行相應動作（permit/deny）。硬體包過濾是在特定的二層硬體介面卡上實現的，用來控制介面卡上的介面可以接收哪些流量。硬體包過濾直接通過硬體實現，所以過濾速度更快。

信息加密的目的是保護網內的數據、文件、口令和控制信息，保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。

信息加密過程是由形形色色的加密演算法來具體實施，它以很小的代價提供很大的安全保護。在多數情況下，信息加密是保證信息機密性的唯一方法。據不完全統計，到目前為止，已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類，可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。

在常規密碼中，收信方和發信方使用相同的密鑰，即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有：美國的DES及其各種變形，比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。

常規密碼的優點是有很強的保密強度，且經受住時間的檢驗和攻擊，但其密鑰必須通過安全的途徑傳送。因此，其密鑰管理成為系統安全的重要因素。

在公鑰密碼中，收信方和發信方使用的密鑰互不相同，而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有：RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA，它能抵抗到目前為止已知的所有密碼攻擊。

公鑰密碼的優點是可以適應網路的開放性要求，且密鑰管理問題也較為簡單，尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此，隨著現代電子技術和密碼技術的發展，公鑰密碼演算法將是一種很有前途的網路安全加密體制。

當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用，比如：利用DES或者IDEA來加密信息，而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類，可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組，每次處理一個組。

密碼技術是網路安全最有效的技術之一。一個加密網路，不但可以防止非授權用戶的搭線竊聽和入網，而且也是對付惡意軟體的有效方法之一。

應制定相應的機房管理制度，規范機房與各種設備的使用和管理，保障機房安全及設備的正常運行，至少包括日常管理、出入管理、設備管理、巡檢（環境、設備狀態、指示燈等進行檢查並記錄）等。重要區域應配置電子門禁系統，控制、鑒別和記錄進入的人員。對機房內的各種介質應進行分類標識，重要介質存儲在介質庫或檔案室中。

加強網路的安全管理，制定有關規章制度，對於確保系統的安全、可靠地運行，將起到十分有效的作用。網路的安全管理策略包括：確定安全管理等級和安全管理范圍；制訂有關網路操作使用規程和訪問主機的管理制度；制訂網路系統的維護制度和應急措施等。