【正文】 不同級別，并把使用信息資源的用戶劃分成不同類型，實現(xiàn)不同類型人員對不同級別信息訪問的控制策略。 ? 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受保護(hù)，系統(tǒng)能可靠連續(xù)地運行。 ? 不可否認(rèn)性：信息行為可安全管理。 ? 機密性：保證信息不泄露給未經(jīng)授權(quán)的人。 ? 完整性：信息無失真地傳達(dá)到目的地。 ? 計算機安全和網(wǎng)絡(luò)安全都是信息安全。網(wǎng)絡(luò)安全更關(guān)系的是信息在網(wǎng)絡(luò)傳播過程中所涉及的各種安全問題。 信息保密服務(wù)： 對于傳輸中需要保密的信息，采用密碼技術(shù)進(jìn)行加解密處理，防止信息的非授權(quán)泄漏。 電子政務(wù)的安全體現(xiàn)了國家防御國外信息和網(wǎng)絡(luò)優(yōu)勢威脅的能力 ， 以信息手段維護(hù)國家安全的能力 。 電子政務(wù)的社會服務(wù)職能使得電子政務(wù)系統(tǒng)的安全運行更加重要 。防火墻僅僅是一個訪問控制、內(nèi)外隔離的安全設(shè)備，在底層包過濾、 IP偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應(yīng)用層的控制和檢測能力是很有限的。 事實上系統(tǒng)和應(yīng)用大多是由系統(tǒng)集成商來完成的，其做法往往是最大化安裝，以方便安裝調(diào)試，把整個系統(tǒng)調(diào)通就算完成了任務(wù)，遺憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，要求沒必要的東西一定不要。 12 安全威脅的形式 非授權(quán)訪問 信息泄漏和丟失 數(shù)據(jù)完整性破壞 拒絕服務(wù)攻擊 技術(shù)保障體系 數(shù)據(jù)加密技術(shù) ? 對稱密碼技術(shù)：加解密的密鑰相同，不能公開。 安全威脅 ? 操作系統(tǒng)的安全性； ? 防火墻的安全性； ? 來自內(nèi)部網(wǎng)用戶的安全威脅； ? TCP/IP協(xié)議族軟件本身缺乏安全性； ? 電子郵件病毒、邏輯炸彈等； ? Web頁面中存在惡意的 Java/ActiveX控件； ? 應(yīng)用服務(wù)的訪問控制、安全設(shè)計存在漏洞； ? 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性。既方便管理員管理，又可以有效地減少網(wǎng)絡(luò)安全風(fēng)險，為用戶的網(wǎng)絡(luò)系統(tǒng)提供了可靠的安全解決方案。 ? 數(shù)據(jù)加密可在通信的三個層次來實現(xiàn)： ? 鏈路加密； ? 節(jié)點加密； ? 端到端加密。 加密機 明文 明文 加密機 源點 終點 密文 密文 加密機的應(yīng)用圖例 網(wǎng)絡(luò)中心 安全路由器 密碼管理中心 因特網(wǎng) 加密機 加密機 加密機 （四）安全日志與審計系統(tǒng) ? 數(shù)據(jù)采集、還原處理及備份功能 ： ?提供豐富的采樣條件設(shè)臵； ? 對電子郵件與傳輸文件的壓縮部分自動解壓； ? 自動英漢翻譯，提供全文本高速翻譯系統(tǒng)。 安全日志與審計系統(tǒng)運行環(huán)境 服務(wù)器（中標(biāo)） 外部網(wǎng) 內(nèi)部網(wǎng) 路由器 集線器 數(shù)據(jù)采集器 數(shù)據(jù)庫網(wǎng)關(guān) 自動解壓 自動翻譯 綜合管理 打印機 （五）入侵檢測系統(tǒng) — IDS 在戰(zhàn)場上，你希望在要保護(hù)的地帶布臵哨兵；在網(wǎng)絡(luò)中，你需要在要保護(hù)的關(guān)鍵部位布臵入侵檢測系統(tǒng)（ IDS— Intrusion Detection System）。 IDS可以識別出能夠引發(fā)網(wǎng)絡(luò)或系統(tǒng)攻擊的可疑數(shù)據(jù)。 濫用檢測（ Abuse Detection） 在濫用檢測方式下， IDS對它收集到的信息進(jìn)行分析，并與攻擊簽名數(shù)據(jù)庫進(jìn)行比較。它包括這樣一些內(nèi)容：網(wǎng)絡(luò)業(yè)務(wù)流負(fù)荷的狀態(tài)、故障死機、通信協(xié)議，及典型的數(shù)據(jù)包長度。這些數(shù)據(jù)包能夠逃過許多防火墻的簡單過濾規(guī)則的過濾，進(jìn)入到內(nèi)部網(wǎng)絡(luò)。 反動系統(tǒng)（ Reactive IDS） 在反動系統(tǒng)中， IDS能夠以不同方式對各種可疑的活動作出響應(yīng)。它利用指示器和告警、網(wǎng)絡(luò)監(jiān)控和管理數(shù)據(jù)、已知漏洞和威脅等信息，構(gòu)造一個攻擊復(fù)原程序。 多系統(tǒng)聯(lián)動 未來的 IDS將不是作為一個獨立的系統(tǒng)來運行，它必須能夠與網(wǎng)絡(luò)中的其他設(shè)備實現(xiàn)互動。如果 IDS沒有即時響應(yīng)計劃，實際上降低了 IDS自身的價值， IDS的日志就變成毫無價值的數(shù)據(jù)。在 IDS的成本得到正確判定之前，我們需要關(guān)注整個信息安全架構(gòu)中的許多問題。只有這樣，我們才能知道系統(tǒng)是否已經(jīng)對漏洞打了補丁，訪問控制方案是否存在弱口令，對 root或管理員的訪問是否控制得當(dāng)。 一個好的 IDS應(yīng)具備哪些特性 用最少的人力干預(yù)連續(xù)運行 它應(yīng)該在后臺運行。 性能是非常關(guān)鍵的 如果產(chǎn)生了性能問題， IDS就不能用。 必須考慮對其自身的防護(hù) 為了更有效， IDS必須具有嵌入式防護(hù)機制，并且它周圍的環(huán)境應(yīng)該得到加固，使它難于被欺騙。 行動 3： 一旦安全目標(biāo)已定 ， 我們就必須采取適當(dāng)?shù)男袆?。 管理保障 成立網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組 要從上到下把網(wǎng)絡(luò)安全重視起來，由行政領(lǐng)導(dǎo)牽頭，技術(shù)部門負(fù)責(zé)，系統(tǒng)和管理員參與，成立安全管理領(lǐng)導(dǎo)監(jiān)督小組。 制訂一套完整的安全方案 一套完整的安全方案是整個系統(tǒng)安全的有力保障，要結(jié)合自己實際的網(wǎng)絡(luò)狀況，從人力、物力、財力做好部署與配臵，由于安全方案涉及到了安全理論、安全產(chǎn)品、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技術(shù)實現(xiàn)等多方面專業(yè)技能，并且要求要有較高的認(rèn)知能力，大多數(shù)企業(yè)、公司、政府等可能不具備此能力，此時可以聘請專業(yè)安全顧問公司來完成。約束普通用戶等網(wǎng)絡(luò)訪問者，督促管理員很好地完成自身的工作，增強大家的網(wǎng)絡(luò)安全意識，防止因粗心大意或不貫徹制度而導(dǎo)致安全事故。在不同的層面，安全管理有著不同的內(nèi)涵和外延。 ? 驅(qū)動當(dāng)今安全管理發(fā)展的主要因素 ? 內(nèi)因：國內(nèi)信息化水平發(fā)展階段使然。通過安全管理系統(tǒng)可以有效地進(jìn)行 IT信息系統(tǒng)的審計與合規(guī)管理。 ? 業(yè)務(wù)的定義 ? 業(yè)務(wù)，是業(yè)務(wù)系統(tǒng)的簡稱。 ? 在我國信息安全領(lǐng)域，一般把業(yè)務(wù)的技術(shù)支撐架構(gòu)稱為計算機信息系統(tǒng)，簡稱信息系統(tǒng)。 在兩年前國內(nèi)還沒有一家具有真正意義上的網(wǎng)絡(luò)安全公司，但由于目前形勢的需要，國內(nèi)的安全顧問公司可以說是蓬勃發(fā)展，百花齊放，但主要是從以下幾種公司轉(zhuǎn)型而來的： （ 1）網(wǎng)絡(luò)安全產(chǎn)品公司兼做網(wǎng)絡(luò)安全服務(wù) （ 2）傳統(tǒng)系統(tǒng)集成公司設(shè)立網(wǎng)絡(luò)安全部門 （ 3）自由黑客組織轉(zhuǎn)型為專業(yè)網(wǎng)絡(luò)安全公司 （ 4）國家科研教育機構(gòu)成立的網(wǎng)絡(luò)安全公司 選擇安全顧問公司是要必須非常謹(jǐn)慎的，要從安全公司的背景、理念、實力、管理等多方面進(jìn)行考查，不僅要看一個安全公司的技術(shù)和資金實力，而且還要看公司人員的組成，因為一旦你的系統(tǒng)交給了安全公司，其實你的系統(tǒng)就等于對其百分之百地開放，但大多網(wǎng)絡(luò)安全公司人員層次不齊，即便技術(shù)和資金很強，但若管理不善，人員流失較大，就會使得其客戶的系統(tǒng)資料處于不可控狀態(tài)，從而帶來極大的安全隱患，所以一旦選擇失誤，不僅不能帶來安全保障，而且可能會帶來無盡的夢魘。 ?7月初，“亞洲 PKI論壇”第二屆年會在北京召開，這將是迄今為止國內(nèi)最具規(guī)模的 PKI專題研討會。如何推廣 PKI應(yīng)用，加強系統(tǒng)之間、部門之間、各國之間 PKI體系的互通互聯(lián)，已經(jīng)成為 PKI建設(shè)亟待解決的重要問題。 ?PKI的組成： ?數(shù)字證書是 PKI中最基本的元素，所有安全操作都主要通過證書來實現(xiàn)。 證書格式 我國 PKI體系中的證書格式完全遵照 。但是無庸諱言的是，我國 PKI/CA建設(shè)還處在起步的階段，存在不少亟待解決的問題。 ● 管理工具 Admin 它可以實現(xiàn)對整個系統(tǒng)的配臵和管理。 ? 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護(hù) ， 如區(qū)域保護(hù)和災(zāi)難保護(hù) 。 83 發(fā)展自主的信息產(chǎn)業(yè)，構(gòu)建安全的技術(shù)支撐層 安全的技術(shù)支撐層主要包括：硬塊件平臺、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、 通用中間