【正文】 度的執(zhí)行和貫徹，查處違反網(wǎng)絡(luò)安全管理的違紀、違規(guī)行為。要從上到下把網(wǎng)絡(luò)安全重視起來，由行政領(lǐng)導(dǎo)牽頭，技術(shù)部門負責(zé)、要從上到下把網(wǎng)絡(luò)安全重視起來，由行政領(lǐng)導(dǎo)牽頭，技術(shù)部門負責(zé)，系統(tǒng)和管理員參與，成立安全管理領(lǐng)導(dǎo)監(jiān)督小組。VPN應(yīng)用領(lǐng)域包括：?遠程移動用戶遠程訪問公司總部；?總部與分支機構(gòu)在公網(wǎng)上組建內(nèi)域網(wǎng)總部與分支機構(gòu)在公網(wǎng)上組建內(nèi)域網(wǎng) ；；?內(nèi)域網(wǎng)與合作伙伴網(wǎng)絡(luò)連接形成外域網(wǎng)。（六）虛擬專網(wǎng)（六）虛擬專網(wǎng) —VPN?所有的系統(tǒng)和網(wǎng)絡(luò)管理員必須通過培訓(xùn)，掌握基本的安全技能，并專注于消除基本的安全缺陷。行動 2：每一系統(tǒng)都有一個不同的使用模式， IDS的防護機制應(yīng)該易于適應(yīng)這些模式。它應(yīng)該能夠監(jiān)視其本身存在的可疑活動，這些活動試圖削弱 IDS的檢測系統(tǒng)或試圖關(guān)機，從這個意義上講系統(tǒng)必須是自動修復(fù)的（ selfhealing）。它必須難以破壞一旦完成了以上工作， IDS會對整個網(wǎng)絡(luò)的安全性發(fā)揮更大的作用。在對網(wǎng)絡(luò)的安全狀態(tài)進行分析時，要求服務(wù)器的管理人員和網(wǎng)絡(luò)設(shè)備管理人員一起進行協(xié)作。成立安全協(xié)作小組在 IDS的成本得到正確判定之前，我們需要關(guān)注整個信息安全架構(gòu)中的許多問題。在選擇入侵檢測系統(tǒng)策略和產(chǎn)品之前，用戶必須對網(wǎng)絡(luò)的安全需求作徹底的分析。要根據(jù)安全策略進行評估同時，對所收集的信息進行保護以保持法律上的價值，是即時響應(yīng)計劃的一部分。IDS系統(tǒng)是否能在不同的操作系統(tǒng)平臺（如 Windows， UNIX， Linux等）上運行，也會限制這些技術(shù)的使用。它利用指示器和告警、網(wǎng)絡(luò)監(jiān)控和管理數(shù)據(jù)、已知漏洞和威脅等信息，構(gòu)造一個攻擊復(fù)原程序。 IDS的發(fā)展趨勢的發(fā)展趨勢 入侵檢測系統(tǒng)的分類、入侵檢測系統(tǒng)的分類 基于網(wǎng)絡(luò)的系統(tǒng)也稱為 IDS）它包括這樣一些內(nèi)容：網(wǎng)絡(luò)業(yè)務(wù)流負荷的狀態(tài)、故障死機、通信協(xié)議，及典型的數(shù)據(jù)包長度。 在濫用檢測方式下， IDS對它收集到的信息進行分析，并與攻擊簽名數(shù)據(jù)庫進行比較。Detection） IDS可以是硬件系統(tǒng)，也可以是軟件系統(tǒng)。其實，網(wǎng)絡(luò)安全是一個系統(tǒng)工程，僅靠安裝防火墻和 IDS，只能解決部分安全問題，而離全面解決安全問題還差得太遠。在戰(zhàn)場上，你希望在要保護的地帶布置哨兵；在網(wǎng)絡(luò)中，你需要在要保護的關(guān)鍵部位布置入侵檢測系統(tǒng)（ IDS—Intrusion安全日志與審計系統(tǒng)運行環(huán)境安全日志與審計系統(tǒng)運行環(huán)境服務(wù)器（中標）外部網(wǎng)外部網(wǎng)內(nèi)部網(wǎng)內(nèi)部網(wǎng)路由器集線器 數(shù)據(jù)采集器數(shù)據(jù)庫網(wǎng)關(guān)自動解壓自動翻譯綜合管理打印機（五）入侵檢測系統(tǒng)（五）入侵檢測系統(tǒng) —IDS加密機加密機明文 明文明文加密機加密機源點源點 終點密文密文 密文密文加密機的應(yīng)用圖例網(wǎng)絡(luò)中心網(wǎng)絡(luò)中心安全路由器安全路由器密碼管理中心密碼管理中心因特網(wǎng)因特網(wǎng)加密機加密機 加密機加密機加密機加密機（四）安全日志與審計系統(tǒng)（四）安全日志與審計系統(tǒng)? 數(shù)據(jù)采集、還原處理及備份功能 ：?提供豐富的采樣條件設(shè)置；? 對電子郵件與傳輸文件的壓縮部分自動解壓；? 自動英漢翻譯，提供全文本高速翻譯系統(tǒng)。明文明文加密機加密機密文密文 密文密文密文密文 明文明文加密機加密機源點源點 終點終點端到端加密設(shè)備的特點端到端加密設(shè)備的特點?每個節(jié)點對收到的信息先解密，后加密；?節(jié)點加密；? 數(shù)據(jù)加密可在通信的三個層次來實現(xiàn)：?支持公鑰證書（ CA） 基于電子鑰匙的身份認證系統(tǒng)。安全協(xié)議的開發(fā)將成為一大熱點。用防火墻建立用防火墻建立 VPN， IP加密越來越強；加密越來越強；表示層會話層鏈路層物理層外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò)傳輸層網(wǎng)絡(luò)層應(yīng)用層網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口應(yīng)用代理工作于應(yīng)用層防火墻的主要功能防火墻的功能過濾進出網(wǎng)絡(luò)的數(shù)據(jù)管理進出網(wǎng)絡(luò)的訪問行為封堵某些禁止的業(yè)務(wù)記錄進出網(wǎng)絡(luò)的信息和活動對網(wǎng)絡(luò)攻擊進行檢測和告警防火墻的局限性防火墻的局限性不能防范惡意知情者泄密不能控制不經(jīng)過它的連接不能防備完全新的威脅不能防止病毒和特洛伊木馬不能防止內(nèi)部用戶的破壞防火墻技術(shù)的發(fā)展趨勢Gateway電路級網(wǎng)關(guān)CircuitLevel防病毒系統(tǒng)? 單機版殺毒軟件? 網(wǎng)絡(luò)版 殺毒軟件一般 采用 B/S架構(gòu)，具有 “染毒電腦隔離 ”“文件自動分發(fā) ”“全網(wǎng)漏洞管理 ”等眾多功能，并具有詳盡的病毒疫情分析、 IT資產(chǎn)管理等創(chuàng)新功能，為企業(yè)用戶提供了更加強大的網(wǎng)絡(luò)安全管理利器。缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性。TCP/IP協(xié)議族軟件本身缺乏安全性；協(xié)議族軟件本身缺乏安全性；?操作系統(tǒng)的安全性；操作系統(tǒng)的安全性；? DES、 IDEA算法。建立定期的安全檢測、口令管理、人員管理、策略管理、備份管理、建立定期的安全檢測、口令管理、人員管理、策略管理、備份管理、日志管理等一系列管理方法和制度是非常必要的。事實上系統(tǒng)和應(yīng)用大多是由系統(tǒng)集成商來完成的，其做法往往是事實上系統(tǒng)和應(yīng)用大多是由系統(tǒng)集成商來完成的，其做法往往是最大化安裝，以方便安裝調(diào)試，把整個系統(tǒng)調(diào)通就算完成了任務(wù)，遺最大化安裝，以方便安裝調(diào)試，把整個系統(tǒng)調(diào)通就算完成了任務(wù)，遺憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，要求沒必要的東西一定不要。沒有對自己的應(yīng)用系統(tǒng)進行安全檢測等等。說到底就是缺乏一套整體安全方案，一個沒有整體安全規(guī)劃的系統(tǒng)，安全是肯定沒有保障的。防火墻僅僅是一個訪問控制、內(nèi)外隔離的安全設(shè)備，在底層包過濾、安全設(shè)備，在底層包過濾、 IP偽裝、碎片攻擊，端口控制等方面的確偽裝、碎片攻擊，端口控制等方面的確有著不可替代的作用，但它在應(yīng)用層的控制和檢測能力是很有限的。我國現(xiàn)有信息安全專業(yè)人才 少，少， 有有必要必要 采取采取 措施來逐步改善目前安全人才極為缺乏的狀況。? 電子政務(wù)安全是社會穩(wěn)定的基本保障。 保障電子政務(wù)安全的重要性? 國家安全問題。 權(quán)限控制服務(wù)： 把信息資源劃分成不同級別，并把使用信息資源的用戶劃分成不同類型，實現(xiàn)不同類型人員對不同級別信息訪問的控制策略。? 網(wǎng)絡(luò)安全是指網(wǎng)絡(luò)系統(tǒng)的硬件、軟件及系統(tǒng)中的數(shù)據(jù)受保護，系統(tǒng)能可靠連續(xù)地運行。? 不可否認性：信息行為可安全管理。? 機密性：保證信息不泄露給未經(jīng)授權(quán)的人。信息恐怖 病毒傳染 操作不當(dāng) 惡意破壞 管理疏漏 濫用職權(quán) 信息間諜 外部威脅內(nèi)部威脅信息安全? 保障信息的機密性、完整性、可用性、可控性和不可否認性等幾個方面。? 可控性：對信息及信息系統(tǒng)實施安全監(jiān)控管理。計算機安全更關(guān)心信息的存儲和處理的安全。電子政務(wù)的安全需求電子政務(wù)的安全需求 身份認證服務(wù)： 為政務(wù)實體定義唯一的電子身份標識，并通過該標識進行身份認證，保證身份的真實性。 不可否認服務(wù)： 為第三方驗證信息源的真實性和信息的完整性提供證據(jù)，它有助于責(zé)任機制的建立，為解決電子政務(wù)中的爭議提供法律證據(jù)。電子政務(wù)的應(yīng)用不僅代表政府部門的利益更代表了企業(yè)和廣大民眾的利益。我國現(xiàn)有信息安全專業(yè)人才使入侵者獲取系統(tǒng)的最高控制權(quán)。防火墻僅僅是一個訪問控制、內(nèi)外隔離的是一種很狹隘的安全思路。說到底就是缺乏一套整體安全方案，一個沒日志發(fā)現(xiàn)異常現(xiàn)象等等。系統(tǒng)本身不安全、系統(tǒng)本身不安全沒有對用戶和目錄權(quán)限進行設(shè)置及建立適當(dāng)?shù)陌踩呗?；沒有對用戶和目錄權(quán)限進行設(shè)置及建立適當(dāng)?shù)陌踩呗?；沒有打安全補?。粵]有打安全補?。话惭b時為方便使用簡單口令而后來又不更改；安裝時為方便使用簡單口令而后來又不更改；沒有進行適當(dāng)?shù)哪夸浐臀募?quán)限設(shè)置；沒有進行適當(dāng)?shù)哪夸浐臀募?quán)限設(shè)置；沒有進行適當(dāng)?shù)挠脩魴?quán)限設(shè)置，打開了不必要的服務(wù)；沒有進行適當(dāng)?shù)挠脩魴?quán)限設(shè)置，打開了不必要的服務(wù)；沒有對自己的應(yīng)用系統(tǒng)進行安全檢測等等。安全威脅的形式非授權(quán)訪問信息泄漏和丟失數(shù)據(jù)完整性破壞拒絕服務(wù)攻擊技術(shù)保障體系技術(shù)保障體系數(shù)據(jù)加密技術(shù)? 對稱密碼技術(shù)：加解密的密鑰相同，不能公開。安全威脅安全威脅?應(yīng)用服務(wù)的訪問控制、安全設(shè)計存在漏洞；應(yīng)用服務(wù)的訪問控制、安全設(shè)計存在漏洞；?消耗主機資源使其癱瘓或死機。? 防毒墻（網(wǎng)關(guān)）防火墻的類型防火墻的類型應(yīng)用代理ApplicationLevel應(yīng)用層表示層會話層網(wǎng)絡(luò)層鏈路層物理層傳輸層外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò)動態(tài)包過濾防火墻工作于傳輸層網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口會話層物理層表示層鏈路層