【正文】 供周密、可靠的安全性分析報(bào)告，從而讓管理人員從掃描出來的安全漏洞報(bào)告中了解網(wǎng)絡(luò)中服務(wù)器提供的各種服務(wù)及這些服務(wù)呈現(xiàn)在網(wǎng)絡(luò)上的安全漏洞，在系統(tǒng)安全防護(hù)中做到有的放矢，及時(shí)修補(bǔ)漏洞，從根本上 第 15章 信息安全解決方案 8. 計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)在工作時(shí)會(huì)產(chǎn)生電磁輻射，信息以電信號(hào)方式傳輸時(shí)也會(huì)產(chǎn)生電磁輻射，造成電磁泄漏。對(duì)重要的保密計(jì)算機(jī)，應(yīng)使用屏蔽技術(shù)、電磁干擾技術(shù)和傳輸 第 15章 信息安全解決方案 解決網(wǎng)絡(luò)信息安全問題的主要途徑是利用密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。密碼技術(shù)用于隱蔽傳輸信息、認(rèn)證用戶身份等。網(wǎng)絡(luò)訪問控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來攻擊。目前，在市場(chǎng)上比較流行，而又能夠代表未來 第 15章 信息安全解決方案 1. 防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對(duì)內(nèi)部資源的非法訪問，防止內(nèi)部對(duì)外部的不安全訪問。 防火墻的主要技術(shù)有包過濾技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和代理服務(wù)技術(shù)。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。但它本 第 15章 信息安全解決方案 2. 由于 WAN連接需要專用的路由器設(shè)備，因而可通過路由器來控制網(wǎng)絡(luò)傳輸。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò) 第 15章 信息安全解決方案 3. 虛擬專用網(wǎng) (VPN) 虛擬專用網(wǎng) (VPN)是在公共數(shù)據(jù)網(wǎng)絡(luò)上通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)來實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互連。 VPN的構(gòu)架通常都要求采用具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。 第 15章 信息安全解決方案 4. 安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)陌踩Ｃ軉栴}，其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制，對(duì)局域網(wǎng)內(nèi)用戶的管理，以及對(duì)局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。 第 15章 信息安全解決方案 5. 電子簽證機(jī)構(gòu) —— CA和 PKI 電子簽證機(jī)構(gòu) (CA)作為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。 CA可向用戶發(fā)行電子證書，為用戶提供成員身份驗(yàn)證和密鑰管理等功能。 PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，可作為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心 第 15章 信息安全解決方案 6. 由于 IC卡技術(shù)的日益成熟和完善， IC卡被更為廣泛地用于用戶認(rèn)證產(chǎn)品中，用來存儲(chǔ)用戶的個(gè)人私鑰，并與其他技術(shù) (如動(dòng)態(tài)口令 )相結(jié)合，對(duì)用戶身份進(jìn)行有效的識(shí)別。同時(shí)，還可將 IC卡上的個(gè)人私鑰與數(shù)字簽名技術(shù)相結(jié)合，實(shí)現(xiàn)數(shù)字簽名機(jī)制。隨著模式識(shí)別技術(shù)的發(fā)展，諸如指紋、視網(wǎng)膜、臉部特征等高級(jí)的身份識(shí)別技術(shù)也會(huì)投入應(yīng)用，并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合，使得對(duì)于用戶身份的認(rèn)證和識(shí)別功能更 第 15章 信息安全解決方案 7. 由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。 第 15章 信息安全解決方案 8. 入侵檢測(cè)系統(tǒng) (IDS) 入侵檢測(cè)作為傳統(tǒng)保護(hù)機(jī)制 (比如訪問控制、身份識(shí)別等 ) 9. 由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫內(nèi)，有些信息是有價(jià)值的，也是敏感的，需要保護(hù)，安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控 第 15章 信息安全解決方案 第 15章 信息安全解決方案 但是，我們也應(yīng)該看到密碼技術(shù)與通信技術(shù)、計(jì)算機(jī)技術(shù)以及芯片技術(shù)的融合正日益緊密，其產(chǎn)品的分界線越來越模糊，彼此也越來越不能分割。在一個(gè)計(jì)算機(jī)系統(tǒng)中，很難簡(jiǎn)單地劃分某個(gè)設(shè)備是密碼設(shè)備，某個(gè)設(shè)備是通信設(shè)備。而這種融合的最終目的還是在于為用戶提供高可信任的、安全 第 15章 信息安全解決方案 網(wǎng)絡(luò)安全問題的解決是一個(gè)綜合性問題，涉及諸多因素，包括技術(shù)、產(chǎn)品和管理等。國(guó)際上已有眾多的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，但由于出口政策和自主性等問題，目前還不能直接用于解決我國(guó)自己的網(wǎng)絡(luò)安全問題，因此我國(guó)的網(wǎng)絡(luò)安全問題只能借鑒這些先進(jìn)技術(shù)和產(chǎn)品自行解決。可幸的是，目前國(guó)內(nèi)已有一些網(wǎng)絡(luò)安全問題解決方案和產(chǎn)品。不過，這些解決方案和產(chǎn)品與國(guó)外同類產(chǎn)品相比尚有一定的差距。 第 15章 信息安全解決方案 安全解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)其局域網(wǎng)全面的安全管理。 將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，可有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的 第 15章 信息安全解決方案 創(chuàng)建一種安全方案意味著設(shè)計(jì)一種如何處理計(jì)算機(jī)安全問題的計(jì)劃，也就是盡力在黑客征服系統(tǒng)以前保護(hù)系統(tǒng)。 通常，設(shè)計(jì)一套安全方案涉及以下步驟 : (1) 網(wǎng)絡(luò)安全需求分析。確切了解網(wǎng)絡(luò)信息系統(tǒng)需要解 (2) (3) 制訂可行的技術(shù)方案 ，包括工程實(shí)施方案 (產(chǎn)品的選購與訂制 )、制訂管理辦法等。 第 15章 信息安全解決方案 威脅就是將會(huì)對(duì)資產(chǎn)造成不利影響的潛在的事件或行為，包括自然的、故意的以及偶然的情況。可以說威脅是不可避免的，我們必須采取有效的措施，以降低各種情況造成的威 1. 邊界網(wǎng)絡(luò)設(shè)備面臨的威脅主要有以下兩點(diǎn) : (1) 入侵者通過控制邊界網(wǎng)絡(luò)設(shè)備進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用網(wǎng)絡(luò)滲透搜集信息，為擴(kuò)大網(wǎng)絡(luò)入侵范圍奠定基礎(chǔ)。比如，入侵者可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng) (Cisco的 IOS) 第 15章 信息安全解決方案 (2) 通過各種手段對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施拒絕服務(wù)攻擊，使網(wǎng) 2. 信息基礎(chǔ)平臺(tái)主要是指支撐各種應(yīng)用與業(yè)務(wù)運(yùn)行的各種操作系統(tǒng)。操作系統(tǒng)主要有 Windows系列與 UNIX系統(tǒng)。相對(duì)邊界網(wǎng)絡(luò)設(shè)備來說，熟知操作系統(tǒng)的人員的范圍要廣得多，而且在網(wǎng)絡(luò)上，很容易就能找到許多針對(duì)各種操作系統(tǒng)的漏洞的詳細(xì)描述，所以，針對(duì)操作系統(tǒng)和數(shù)據(jù)庫的入侵攻擊在 第 15章 信息安全解決方案 不管是什么操作系統(tǒng)，只要它運(yùn)行于網(wǎng)絡(luò)上，就必然會(huì)有或多或少的端口服務(wù)暴露在網(wǎng)絡(luò)上，而這些端口服務(wù)又恰恰可能存在致命的安全漏洞，這無疑會(huì)給該系統(tǒng)帶來嚴(yán)重的安全威脅，從而也給系統(tǒng)所在的網(wǎng)絡(luò)帶來很大的安全威脅。 第 15章 信息安全解決方案 3. 由于人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足，可能會(huì)出現(xiàn)各種意想不到的操作失誤，勢(shì)必會(huì)對(duì)系統(tǒng)或者網(wǎng)絡(luò)的安 4. 據(jù)統(tǒng)計(jì)，有 70%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)的內(nèi)部。對(duì)于網(wǎng)絡(luò)內(nèi)部的安全防范會(huì)明顯地弱于對(duì)于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對(duì)于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，因此，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功， 一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促成了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。 第 15章 信息安全解決方案 5. 在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會(huì)對(duì)網(wǎng)絡(luò)與應(yīng)用造成極大 第 15章 信息安全解決方案 根據(jù)網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全需求，結(jié)合網(wǎng)絡(luò)安全體系模型， 1. 建議在網(wǎng)絡(luò)的各個(gè)入口處部署防火墻，對(duì)進(jìn)入企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)用戶進(jìn)行訪問控制，主要實(shí)現(xiàn)如下防護(hù)功能 : (1) 對(duì)網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證，保證網(wǎng)絡(luò)用戶的合法性 。 (2) 能夠屏蔽流行的攻擊手段 。 (3) 對(duì)遠(yuǎn)程訪問的用戶提供通信線路的加密連接 。 (4) 第 15章 信息安全解決方案 2. VPN 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系