【正文】 第 15章 信息安全解決方案 8. 計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)在工作時(shí)會(huì)產(chǎn)生電磁輻射，信息以電信號(hào)方式傳輸時(shí)也會(huì)產(chǎn)生電磁輻射，造成電磁泄漏。防火墻可以對所有的訪問進(jìn)行嚴(yán)格控制 (允許、禁止、報(bào)警 )，但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其他攻擊。信息的泄漏很多都是在鏈路上被搭線竊取的，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對方，造成數(shù)據(jù)的真實(shí)性、完整性得不到保證。因此，要采取一定的訪問控制手段，防范來自非法用戶的攻擊，保證只有合法用戶才能訪問合法資源。非法用戶的非法訪問也就是黑客或間諜的攻擊行為。具有我國自主版權(quán)的安全操作系統(tǒng)產(chǎn) 品在我國各行各業(yè)都迫切需要。 1999年 10月，我國發(fā)布了“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則”，該準(zhǔn)則為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技 第 15章 信息安全解決方案 Linux開放源代碼為我們自主研制安全操作系統(tǒng)提供了前所未有的機(jī)遇。 我國在系統(tǒng)安全的研究及應(yīng)用方面與先進(jìn)國家和地區(qū)存在著很大的差距。 CC綜合了國際上已有的評(píng)測準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)的精華，給出了框架和原則要求，但它仍然缺少綜合解決信息的多種安全屬性的理論模型依據(jù)。第 15章 信息安全解決方案 信息安全體系結(jié)構(gòu)現(xiàn)狀 網(wǎng)絡(luò)安全需求 網(wǎng)絡(luò)安全產(chǎn)品 某大型企業(yè)網(wǎng)絡(luò)安全解決方案案例 電子政務(wù)安全平臺(tái)實(shí)施方案 小結(jié) 習(xí)題 第 15章 信息安全解決方案 20世紀(jì) 80年代中期，美國國防部為適應(yīng)軍事計(jì)算機(jī)的保密需要，在 20世紀(jì) 70年代的基礎(chǔ)理論研究成果計(jì)算機(jī)保密模型 (Bell＆ Lapadula模型 )的基礎(chǔ)上，制定了“可信計(jì)算機(jī)系統(tǒng)安全評(píng)價(jià)準(zhǔn)則” (TCSEC)，其后又對網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫等方面作出了一系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的最早原則。 第 15章 信息安全解決方案 標(biāo)準(zhǔn)于 1999年 7月通過國際標(biāo)準(zhǔn)化組織的認(rèn)可，被確立為國際標(biāo)準(zhǔn)，編號(hào)為 ISO/IEC 15408。近幾年來，我國進(jìn)行了安全操作系統(tǒng)、安全數(shù)據(jù)庫、多級(jí)安全機(jī)制的研究，但由于自主安全內(nèi)核受控于人，難以保證沒有漏洞，而且大部分有關(guān)的工作都以美國1985年的 TCSEC標(biāo)準(zhǔn)為主要參照系。作為信息系統(tǒng)賴以支持的基礎(chǔ)系統(tǒng)軟件 ——操作系統(tǒng)，其安全性是關(guān)鍵。我國的政府、國防、金融等機(jī)構(gòu)對操作系統(tǒng)的安全都有各自的要求，都迫切需要找到一 個(gè)既滿足功能、性能要求，又具備足夠的安全可信度的操作系統(tǒng)。在沒有任何防范措施的情況下，網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全設(shè)置 (如用戶名及口令 )簡單控制的。 第 15章 信息安全解決方案 合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。如果利用加密設(shè)備對傳輸數(shù)據(jù)進(jìn)行加密，使得在網(wǎng)上的數(shù)據(jù)以密文傳輸 (因?yàn)閿?shù)據(jù)是密文 )，那么即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密還能通過先進(jìn)的技術(shù)手段對數(shù)據(jù)傳輸過程中的完整性、真實(shí)性進(jìn)行鑒別，從而保證數(shù)據(jù)的保密性、完整性及可靠性。所以，為確保網(wǎng)絡(luò)更加安全，必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進(jìn)行檢測，并做相應(yīng)的反應(yīng) (記錄、報(bào)警、阻斷 ) 第 15章 信息安全解決方案 5. 網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)存在安全漏洞 (如安全配置不嚴(yán)密等 )等是使黑客等入侵者的攻擊屢屢得手的重要因素。對重要的保密計(jì)算機(jī)，應(yīng)使用屏蔽技術(shù)、電磁干擾技術(shù)和傳輸 第 15章 信息安全解決方案 解決網(wǎng)絡(luò)信息安全問題的主要途徑是利用密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。通常采用訪問控制列表技術(shù)來控制網(wǎng)絡(luò) 第 15章 信息安全解決方案 3. 虛擬專用網(wǎng) (VPN) 虛擬專用網(wǎng) (VPN)是在公共數(shù)據(jù)網(wǎng)絡(luò)上通過采用數(shù)據(jù)加密技術(shù)和訪問控制技術(shù)來實(shí)現(xiàn)兩個(gè)或多個(gè)可信內(nèi)部網(wǎng)之間的互連。 CA可向用戶發(fā)行電子證書，為用戶提供成員身份驗(yàn)證和密鑰管理等功能。它用來給各網(wǎng)絡(luò)安全設(shè)備分發(fā)密鑰，監(jiān)控網(wǎng)絡(luò)安全設(shè)備的運(yùn)行狀態(tài)，負(fù)責(zé)收集網(wǎng)絡(luò)安全設(shè)備的審計(jì)信息等。國際上已有眾多的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，但由于出口政策和自主性等問題，目前還不能直接用于解決我國自己的網(wǎng)絡(luò)安全問題，因此我國的網(wǎng)絡(luò)安全問題只能借鑒這些先進(jìn)技術(shù)和產(chǎn)品自行解決。 將安全策略、硬件及軟件等方法結(jié)合起來，構(gòu)成一個(gè)統(tǒng)一的防御系統(tǒng)，可有效阻止非法用戶進(jìn)入網(wǎng)絡(luò)，減少網(wǎng)絡(luò)的 第 15章 信息安全解決方案 創(chuàng)建一種安全方案意味著設(shè)計(jì)一種如何處理計(jì)算機(jī)安全問題的計(jì)劃，也就是盡力在黑客征服系統(tǒng)以前保護(hù)系統(tǒng)?？梢哉f威脅是不可避免的，我們必須采取有效的措施，以降低各種情況造成的威 1. 邊界網(wǎng)絡(luò)設(shè)備面臨的威脅主要有以下兩點(diǎn) : (1) 入侵者通過控制邊界網(wǎng)絡(luò)設(shè)備進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用網(wǎng)絡(luò)滲透搜集信息，為擴(kuò)大網(wǎng)絡(luò)入侵范圍奠定基礎(chǔ)。 第 15章 信息安全解決方案 3. 由于人員的技術(shù)水平的局限性以及經(jīng)驗(yàn)的不足，可能會(huì)出現(xiàn)各種意想不到的操作失誤，勢必會(huì)對系統(tǒng)或者網(wǎng)絡(luò)的安 4. 據(jù)統(tǒng)計(jì)，有 70%的網(wǎng)絡(luò)攻擊來自于網(wǎng)絡(luò)的內(nèi)部。 (3) 對遠(yuǎn)程訪問的用戶提供通信線路的加密連接 。 并且防火墻本身具有較強(qiáng)的抗攻擊能力，它是提供信息 第 15章 信息安全解決方案 同時(shí)網(wǎng)絡(luò)通信要對用戶“透明”，部署帶 VPN功能的防火墻，可以同時(shí)實(shí)現(xiàn) “虛擬”和“專用”的安全特性，充分利用已有公共網(wǎng)絡(luò)基礎(chǔ)設(shè)施的高效性。另外，據(jù)統(tǒng)計(jì)，有 70％以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。 該系統(tǒng)可安裝于防火墻前后，可以對攻擊防火墻本身的數(shù)據(jù)流進(jìn)行響應(yīng)，同時(shí)可以對穿透防火墻的數(shù)據(jù)流進(jìn)行響應(yīng)。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，因此入侵檢測在此處將承擔(dān)實(shí)時(shí)監(jiān)測大量出入整個(gè)網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流的任務(wù)。最有效的方法是定期對網(wǎng)絡(luò)系統(tǒng)進(jìn)行安全性分析，及時(shí)發(fā)現(xiàn)并修正存在的弱點(diǎn)和漏洞，保證系統(tǒng)的安全性。 (4) 在核心交換機(jī)上接入一臺(tái)裝有漏洞掃描系統(tǒng)軟件的 PC或筆記本電腦，直接輸入目標(biāo)主機(jī)的 IP地址，對其系統(tǒng)的漏洞 第 15章 信息安全解決方案 5. 一般計(jì)算機(jī)的病毒有超過 20%是通過網(wǎng)絡(luò)下載文檔時(shí)感染的，另外有 26%是經(jīng)電子郵件的附加文檔感染的，這就需要一套方便、易用的病毒掃描器，使企業(yè)的計(jì)算機(jī)環(huán)境免受 建議采用三層防病毒部署體系來實(shí)現(xiàn)對企業(yè)網(wǎng)絡(luò)的病毒 第 15章 信息安全解決方案 1) Email 在企業(yè)網(wǎng)絡(luò)系統(tǒng)建成之后，網(wǎng)絡(luò)成了病毒傳播的主要途徑。 防病毒軟件需要對這一易受攻擊的區(qū)域進(jìn)行保護(hù)，對所有通過網(wǎng)關(guān)出入的電子郵件進(jìn)行掃描，一旦檢測到病毒，能夠自 動(dòng)將該文件隔離并向系統(tǒng)管理員發(fā)出警告。一旦檢測到病毒，立刻將該感染 第 15章 信息安全解決方案 3) 在 XXX網(wǎng)絡(luò)系統(tǒng)中有大量的個(gè)人用戶，桌面系統(tǒng)和遠(yuǎn)程PC是主要的病毒感染源。病毒響應(yīng)計(jì)劃的主要目的是利用每種可能的方法來徹底清除所有的病毒。用戶主動(dòng)防范攻擊行為，尤其是防范從單位內(nèi)部發(fā)起的攻擊。 第 15章 信息安全解決方案 在實(shí)現(xiàn)防火墻和入侵檢測系統(tǒng)的聯(lián)動(dòng)后，防火墻“訪問控制策略”會(huì)動(dòng)態(tài)地添加阻斷的策略。 第 15章 信息安全解決方案 企業(yè)根據(jù)自身的需要，網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)選用賽門鐵克、趨勢科技、瑞星等知名品牌系統(tǒng)。 防病毒系統(tǒng)的管理層次與結(jié)構(gòu)應(yīng)盡量符合機(jī)關(guān)自身的管理結(jié)構(gòu) 。互聯(lián)網(wǎng)的開放性會(huì)使政府網(wǎng)絡(luò)受到來自外部互聯(lián)網(wǎng)的安全威脅、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)的安全威脅和內(nèi)部網(wǎng)絡(luò)的安全威脅。此外，國家保密局在保密知識(shí)培訓(xùn)中也多次指出，網(wǎng)絡(luò)之間只有在線路、設(shè)備和存 儲(chǔ) 3 第 15章 信息安全解決方案 物理