【正文】 目的，我們采用了主動(dòng)防御體系和被動(dòng)防御體系相結(jié)合的全面網(wǎng)絡(luò)安全解決方案，如圖 1542所示。為了確保檢測(cè)和清除經(jīng)訪問(wèn)入口所進(jìn)入的普通和新發(fā)現(xiàn)的病毒，桌面系統(tǒng)都需要安裝防病毒軟件。因此，基于服務(wù)器的病毒保護(hù)是 XXX網(wǎng)絡(luò)系統(tǒng)的重點(diǎn)之一。為了阻止這些“可疑的候選文件”，需要對(duì)電子郵件進(jìn)行嚴(yán)格的審查。天鏡網(wǎng)絡(luò)漏洞掃描系統(tǒng)包括了網(wǎng)絡(luò)模擬攻擊、漏洞檢測(cè)、報(bào)告服務(wù)進(jìn)程、提取對(duì)象信息、評(píng)測(cè)風(fēng)險(xiǎn)、提供安全建議和改進(jìn)措施等功能，幫助用戶(hù)控制可能發(fā)生的安全事件，最大可能地消除安全隱患。 第 15章 信息安全解決方案 圖 1541 入侵檢測(cè)、防火墻和漏洞掃描聯(lián)動(dòng)體系示意圖 第 15章 信息安全解決方案 4. 網(wǎng)絡(luò)的應(yīng)用越來(lái)越廣泛，而網(wǎng)絡(luò)不可避免的安全問(wèn)題也就越來(lái)越突出，如今，每天都有數(shù)十種有關(guān)操作系統(tǒng)、網(wǎng)絡(luò)軟件、應(yīng)用軟件的安全漏洞被公布，利用這些漏洞可以很容易地破壞乃至完全地控制系統(tǒng) 。 這些保護(hù)措施主要是為了監(jiān)控經(jīng)過(guò)出口及對(duì)重點(diǎn)服務(wù)器進(jìn)行訪問(wèn)的數(shù)據(jù)流。它運(yùn)行于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。其中互聯(lián)網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn)是 IPSec，事實(shí)證明，基于 IPSec技術(shù)構(gòu)建的VPN 第 15章 信息安全解決方案 3. 在傳統(tǒng)的網(wǎng)絡(luò)安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安全，其實(shí)不然，防火墻僅僅是部署在網(wǎng)絡(luò)邊界的安全設(shè)備，它的作用是防止外部的非法入侵，僅僅相當(dāng)于計(jì)算機(jī)網(wǎng)絡(luò)的第一道防線。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡(luò)的安全政策控制 (允許、拒絕、監(jiān)測(cè) )出入網(wǎng)絡(luò)的信息流。 第 15章 信息安全解決方案 5. 在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會(huì)對(duì)網(wǎng)絡(luò)與應(yīng)用造成極大 第 15章 信息安全解決方案 根據(jù)網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全需求，結(jié)合網(wǎng)絡(luò)安全體系模型， 1. 建議在網(wǎng)絡(luò)的各個(gè)入口處部署防火墻，對(duì)進(jìn)入企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)用戶(hù)進(jìn)行訪問(wèn)控制，主要實(shí)現(xiàn)如下防護(hù)功能 : (1) 對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行身份驗(yàn)證，保證網(wǎng)絡(luò)用戶(hù)的合法性 。操作系統(tǒng)主要有 Windows系列與 UNIX系統(tǒng)。確切了解網(wǎng)絡(luò)信息系統(tǒng)需要解 (2) (3) 制訂可行的技術(shù)方案 ，包括工程實(shí)施方案 (產(chǎn)品的選購(gòu)與訂制 )、制訂管理辦法等。不過(guò)，這些解決方案和產(chǎn)品與國(guó)外同類(lèi)產(chǎn)品相比尚有一定的差距。在一個(gè)計(jì)算機(jī)系統(tǒng)中，很難簡(jiǎn)單地劃分某個(gè)設(shè)備是密碼設(shè)備，某個(gè)設(shè)備是通信設(shè)備。同時(shí)，還可將 IC卡上的個(gè)人私鑰與數(shù)字簽名技術(shù)相結(jié)合，實(shí)現(xiàn)數(shù)字簽名機(jī)制。 第 15章 信息安全解決方案 4. 安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)陌踩Ｃ軉?wèn)題，其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制，對(duì)局域網(wǎng)內(nèi)用戶(hù)的管理，以及對(duì)局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。防火墻能夠較為有效地防止黑客利用不安全的服務(wù)對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過(guò)濾、記錄和報(bào)告功能，較好地隔斷內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的連接。網(wǎng)絡(luò)訪問(wèn)控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來(lái)攻擊。必須配備從服務(wù)器到單機(jī)的整套防病毒軟件，防止病毒入侵主機(jī)并擴(kuò)散到全網(wǎng)，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)，以確保整個(gè)單位的業(yè)務(wù)數(shù)據(jù)不受到病毒的破壞，日常工作不受病毒的侵?jǐn)_。為解決此問(wèn)題，提出了 CA系統(tǒng)的構(gòu)建，即通過(guò)信任的第三方 第 15章 信息安全解決方案 4. 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。 外部用戶(hù)被允許訪問(wèn)一定的信息，但他們同時(shí)有可能通過(guò)一些手段越權(quán)訪問(wèn)別人不允許他訪問(wèn)的信息，從而會(huì)造成他人的信息泄密， 因此必須加密訪問(wèn)控制的機(jī)制，對(duì)服務(wù)及 第 15章 信息安全解決方案 3. 加密需求與 CA 加密傳輸是網(wǎng)絡(luò)安全的重要手段之一。他們可以通過(guò)對(duì)網(wǎng)絡(luò)上信息的監(jiān)聽(tīng)或者通過(guò)猜測(cè)得到用戶(hù)名及口令，這對(duì)他們而言都不是難事，而且只需花費(fèi)很少的時(shí)間。 網(wǎng)絡(luò)安全需求 第 15章 信息安全解決方案 2. 網(wǎng)絡(luò)需要防范非法用戶(hù)的非法訪問(wèn)和合法用戶(hù)的非授權(quán)訪問(wèn)。從國(guó)外引進(jìn)的操作系統(tǒng)，其安全性難以令人放心。然而，我國(guó)的系統(tǒng)安全的研究與應(yīng)用畢竟已經(jīng)起步，具備了一定的基礎(chǔ)和條件。然而，國(guó)外研制的高安全級(jí)別的產(chǎn)品對(duì)我國(guó)是封鎖禁售的，即使出售給我們，其安全性也 第 15章 信息安全解決方案 安全體系結(jié)構(gòu)理論與技術(shù)主要包括安全體系模型的建立及其形式化描述與分析，安全策略和機(jī)制的研究，檢驗(yàn)和評(píng)估系統(tǒng)安全性的科學(xué)方法和準(zhǔn)則的建立，符合這些模型、策略和準(zhǔn)則的系統(tǒng)的研制 (比如安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)系統(tǒng)等 )。近年來(lái)六國(guó)七方 (美國(guó)國(guó)家安全局和國(guó)家技術(shù)標(biāo)準(zhǔn)研究所、加、英、法、德、荷 )共同提出了“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則” (CC for ITSEC)。至今，美國(guó)已研制出符合 TCSEC要求的安全系統(tǒng)(包括安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)、安全網(wǎng)絡(luò)部件 )達(dá) 100多種，但這些系統(tǒng)仍有局限性，還沒(méi)有真正達(dá)到形式化描述和證明 第 15章 信息安全解決方案 1989年，確立了基于 OSI參考模型的信息安全體系結(jié)構(gòu)，1995年在此基礎(chǔ)上進(jìn)行修正，頒布了信息安全體系結(jié)構(gòu)的標(biāo)準(zhǔn)，具體包括五大類(lèi)安全服務(wù)、八大種安全機(jī)制和相應(yīng)的安全管理標(biāo)準(zhǔn) (詳見(jiàn) ) 20世紀(jì) 90年代初，英、法、德、荷四國(guó)針對(duì) TCSEC準(zhǔn)則只考慮保密性的局限，聯(lián)合提出了包括保密性、完整性、可用性概念的“信息技術(shù)安全評(píng)價(jià)準(zhǔn)則” (ITSEC)，但是該準(zhǔn)則中并沒(méi)有給出綜合解決以上問(wèn)題的理論模型和方案。 ISO/IEC 15408標(biāo)準(zhǔn)對(duì)安全的內(nèi)容和級(jí)別給予了更完整的規(guī)范，為用戶(hù)對(duì)安全需求的選取提供了充分的靈活性。 第 15章 信息安全解決方案 開(kāi)發(fā)的防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)系統(tǒng)等產(chǎn)品和技術(shù)，主要集中在系統(tǒng)應(yīng)用環(huán)境的較高層次上，在完善性、規(guī)范性、實(shí)用性上還存在許多不足，特別是在多平臺(tái)的兼容性、多協(xié)議的適應(yīng)性、多接口的滿足性方面存在很大的差距，其理論基礎(chǔ)和自主的技術(shù)手段也有待于發(fā)展和強(qiáng)化。長(zhǎng)期以來(lái)，我國(guó)廣泛使用的主流操作系統(tǒng)都是從國(guó)外引進(jìn)的。 Linux的發(fā)展及其在國(guó)際上的廣泛應(yīng)用，在我國(guó)也產(chǎn)生了廣泛的影響，只要其安全問(wèn)題得到妥善解決，就會(huì)得到我 第 15章 信息安全解決方案 1. 由于重要信息可能會(huì)通過(guò)電磁輻射或線路干擾而被泄漏，因此需要對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如 構(gòu)建屏蔽室、采用輻射干擾機(jī)等，以防止電磁輻射泄漏機(jī)密信息。但對(duì)于用戶(hù)名及口令的保護(hù)方式，對(duì)有攻擊目的的人而言，根本就不是一種障礙。一般來(lái)說(shuō)，每個(gè)成員的主機(jī)系統(tǒng)中，有一部分信息是可以對(duì)外開(kāi)放的，而有些信息是要求保密或具有一定的隱私性的。因此，必須配備加密 第 15章 信息安全解決方案 網(wǎng)絡(luò)系統(tǒng)采用加密措施，而加密系統(tǒng)通常都通過(guò)加密密鑰來(lái)實(shí)現(xiàn)，但密鑰的分發(fā)及管理的可靠性卻存在安全問(wèn)題。入侵者通常都是通過(guò)一些程序來(lái)探測(cè)網(wǎng)絡(luò)中系統(tǒng)存在的一些安全漏洞，然后通過(guò)發(fā)現(xiàn)的安全漏洞，采取相應(yīng)的技術(shù)進(jìn)行攻擊，因此，必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)來(lái)檢測(cè)網(wǎng)絡(luò)中存在的安全漏洞，并采取相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞，對(duì)網(wǎng) 第 15章 信息安全解決方案 6. 病毒的危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。密碼技術(shù)用于隱蔽傳輸信息、認(rèn)證用戶(hù)身份等。 防火墻的主要技術(shù)有包過(guò)濾技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和代理服務(wù)技術(shù)。 VPN的構(gòu)架通常都要求采用具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。 PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，可作為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心 第 15章 信息安全