【正文】 目的，我們采用了主動防御體系和被動防御體系相結(jié)合的全面網(wǎng)絡安全解決方案，如圖 1542所示。為了確保檢測和清除經(jīng)訪問入口所進入的普通和新發(fā)現(xiàn)的病毒，桌面系統(tǒng)都需要安裝防病毒軟件。因此，基于服務器的病毒保護是 XXX網(wǎng)絡系統(tǒng)的重點之一。為了阻止這些“可疑的候選文件”，需要對電子郵件進行嚴格的審查。天鏡網(wǎng)絡漏洞掃描系統(tǒng)包括了網(wǎng)絡模擬攻擊、漏洞檢測、報告服務進程、提取對象信息、評測風險、提供安全建議和改進措施等功能，幫助用戶控制可能發(fā)生的安全事件，最大可能地消除安全隱患。 第 15章 信息安全解決方案 圖 1541 入侵檢測、防火墻和漏洞掃描聯(lián)動體系示意圖 第 15章 信息安全解決方案 4. 網(wǎng)絡的應用越來越廣泛，而網(wǎng)絡不可避免的安全問題也就越來越突出，如今，每天都有數(shù)十種有關操作系統(tǒng)、網(wǎng)絡軟件、應用軟件的安全漏洞被公布，利用這些漏洞可以很容易地破壞乃至完全地控制系統(tǒng) 。 這些保護措施主要是為了監(jiān)控經(jīng)過出口及對重點服務器進行訪問的數(shù)據(jù)流。它運行于有敏感數(shù)據(jù)需要保護的網(wǎng)絡上，通過實時監(jiān)聽網(wǎng)絡數(shù)據(jù)流，識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡違規(guī)模式和未授權的網(wǎng)絡訪問嘗試。其中互聯(lián)網(wǎng)絡層的安全標準是 IPSec，事實證明，基于 IPSec技術構建的VPN 第 15章 信息安全解決方案 3. 在傳統(tǒng)的網(wǎng)絡安全概念里，似乎配置了防火墻就標志著網(wǎng)絡的安全，其實不然，防火墻僅僅是部署在網(wǎng)絡邊界的安全設備，它的作用是防止外部的非法入侵，僅僅相當于計算機網(wǎng)絡的第一道防線。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)網(wǎng)絡的安全政策控制 (允許、拒絕、監(jiān)測 )出入網(wǎng)絡的信息流。 第 15章 信息安全解決方案 5. 在網(wǎng)絡環(huán)境下，網(wǎng)絡病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計算機病毒的共性外，還具有一些新的特點，網(wǎng)絡病毒的這些新的特點都會對網(wǎng)絡與應用造成極大 第 15章 信息安全解決方案 根據(jù)網(wǎng)絡系統(tǒng)的實際安全需求，結(jié)合網(wǎng)絡安全體系模型， 1. 建議在網(wǎng)絡的各個入口處部署防火墻，對進入企業(yè)網(wǎng)絡系統(tǒng)的網(wǎng)絡用戶進行訪問控制，主要實現(xiàn)如下防護功能 : (1) 對網(wǎng)絡用戶進行身份驗證，保證網(wǎng)絡用戶的合法性 。操作系統(tǒng)主要有 Windows系列與 UNIX系統(tǒng)。確切了解網(wǎng)絡信息系統(tǒng)需要解 (2) (3) 制訂可行的技術方案 ，包括工程實施方案 (產(chǎn)品的選購與訂制 )、制訂管理辦法等。不過，這些解決方案和產(chǎn)品與國外同類產(chǎn)品相比尚有一定的差距。在一個計算機系統(tǒng)中，很難簡單地劃分某個設備是密碼設備，某個設備是通信設備。同時，還可將 IC卡上的個人私鑰與數(shù)字簽名技術相結(jié)合，實現(xiàn)數(shù)字簽名機制。 第 15章 信息安全解決方案 4. 安全服務器主要針對一個局域網(wǎng)內(nèi)部信息存儲、傳輸?shù)陌踩Ｃ軉栴}，其實現(xiàn)功能包括對局域網(wǎng)資源的管理和控制，對局域網(wǎng)內(nèi)用戶的管理，以及對局域網(wǎng)中所有安全相關事件的審計和跟蹤。防火墻能夠較為有效地防止黑客利用不安全的服務對內(nèi)部網(wǎng)絡進行的攻擊，并且能夠?qū)崿F(xiàn)數(shù)據(jù)流的監(jiān)控、過濾、記錄和報告功能，較好地隔斷內(nèi)部網(wǎng)絡與外部網(wǎng)絡的連接。網(wǎng)絡訪問控制技術用于對系統(tǒng)進行安全保護，抵抗各種外來攻擊。必須配備從服務器到單機的整套防病毒軟件，防止病毒入侵主機并擴散到全網(wǎng)，實現(xiàn)全網(wǎng)的病毒安全防護，以確保整個單位的業(yè)務數(shù)據(jù)不受到病毒的破壞，日常工作不受病毒的侵擾。為解決此問題，提出了 CA系統(tǒng)的構建，即通過信任的第三方 第 15章 信息安全解決方案 4. 防火墻是實現(xiàn)網(wǎng)絡安全最基本、最經(jīng)濟、最有效的措施之一。 外部用戶被允許訪問一定的信息，但他們同時有可能通過一些手段越權訪問別人不允許他訪問的信息，從而會造成他人的信息泄密， 因此必須加密訪問控制的機制，對服務及 第 15章 信息安全解決方案 3. 加密需求與 CA 加密傳輸是網(wǎng)絡安全的重要手段之一。他們可以通過對網(wǎng)絡上信息的監(jiān)聽或者通過猜測得到用戶名及口令，這對他們而言都不是難事，而且只需花費很少的時間。 網(wǎng)絡安全需求 第 15章 信息安全解決方案 2. 網(wǎng)絡需要防范非法用戶的非法訪問和合法用戶的非授權訪問。從國外引進的操作系統(tǒng)，其安全性難以令人放心。然而，我國的系統(tǒng)安全的研究與應用畢竟已經(jīng)起步，具備了一定的基礎和條件。然而，國外研制的高安全級別的產(chǎn)品對我國是封鎖禁售的，即使出售給我們，其安全性也 第 15章 信息安全解決方案 安全體系結(jié)構理論與技術主要包括安全體系模型的建立及其形式化描述與分析，安全策略和機制的研究，檢驗和評估系統(tǒng)安全性的科學方法和準則的建立，符合這些模型、策略和準則的系統(tǒng)的研制 (比如安全操作系統(tǒng)、安全數(shù)據(jù)庫系統(tǒng)等 )。近年來六國七方 (美國國家安全局和國家技術標準研究所、加、英、法、德、荷 )共同提出了“信息技術安全評價通用準則” (CC for ITSEC)。至今，美國已研制出符合 TCSEC要求的安全系統(tǒng)(包括安全操作系統(tǒng)、安全數(shù)據(jù)庫、安全網(wǎng)絡部件 )達 100多種，但這些系統(tǒng)仍有局限性，還沒有真正達到形式化描述和證明 第 15章 信息安全解決方案 1989年，確立了基于 OSI參考模型的信息安全體系結(jié)構，1995年在此基礎上進行修正，頒布了信息安全體系結(jié)構的標準，具體包括五大類安全服務、八大種安全機制和相應的安全管理標準 (詳見 ) 20世紀 90年代初，英、法、德、荷四國針對 TCSEC準則只考慮保密性的局限，聯(lián)合提出了包括保密性、完整性、可用性概念的“信息技術安全評價準則” (ITSEC)，但是該準則中并沒有給出綜合解決以上問題的理論模型和方案。 ISO/IEC 15408標準對安全的內(nèi)容和級別給予了更完整的規(guī)范，為用戶對安全需求的選取提供了充分的靈活性。 第 15章 信息安全解決方案 開發(fā)的防火墻、安全路由器、安全網(wǎng)關、黑客入侵檢測系統(tǒng)等產(chǎn)品和技術，主要集中在系統(tǒng)應用環(huán)境的較高層次上，在完善性、規(guī)范性、實用性上還存在許多不足，特別是在多平臺的兼容性、多協(xié)議的適應性、多接口的滿足性方面存在很大的差距，其理論基礎和自主的技術手段也有待于發(fā)展和強化。長期以來，我國廣泛使用的主流操作系統(tǒng)都是從國外引進的。 Linux的發(fā)展及其在國際上的廣泛應用，在我國也產(chǎn)生了廣泛的影響，只要其安全問題得到妥善解決，就會得到我 第 15章 信息安全解決方案 1. 由于重要信息可能會通過電磁輻射或線路干擾而被泄漏，因此需要對存放機密信息的機房進行必要的設計，如 構建屏蔽室、采用輻射干擾機等，以防止電磁輻射泄漏機密信息。但對于用戶名及口令的保護方式，對有攻擊目的的人而言，根本就不是一種障礙。一般來說，每個成員的主機系統(tǒng)中，有一部分信息是可以對外開放的，而有些信息是要求保密或具有一定的隱私性的。因此，必須配備加密 第 15章 信息安全解決方案 網(wǎng)絡系統(tǒng)采用加密措施，而加密系統(tǒng)通常都通過加密密鑰來實現(xiàn)，但密鑰的分發(fā)及管理的可靠性卻存在安全問題。入侵者通常都是通過一些程序來探測網(wǎng)絡中系統(tǒng)存在的一些安全漏洞，然后通過發(fā)現(xiàn)的安全漏洞，采取相應的技術進行攻擊，因此，必需配備網(wǎng)絡安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)來檢測網(wǎng)絡中存在的安全漏洞，并采取相應的措施填補系統(tǒng)漏洞，對網(wǎng) 第 15章 信息安全解決方案 6. 病毒的危害性極大并且傳播極為迅速，必須配備從單機到服務器的整套防病毒軟件，實現(xiàn)全網(wǎng)的病毒安全防護。密碼技術用于隱蔽傳輸信息、認證用戶身份等。 防火墻的主要技術有包過濾技術、應用網(wǎng)關技術和代理服務技術。 VPN的構架通常都要求采用具有加密功能的路由器或防火墻，以實現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。 PKI產(chǎn)品可以提供更多的功能和更好的服務，可作為所有應用的計算基礎結(jié)構的核心 第 15章 信息安全