【正文】 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 動態(tài)包過濾防火墻工作于傳輸層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 會話層 物理層 表示層 鏈路層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 網(wǎng)絡(luò)層 傳輸層 應(yīng)用層 電路級網(wǎng)關(guān)工作于會話層 IP頭 TCP頭 應(yīng)用級頭 數(shù)據(jù) 源 /目的 IP地址 源 /目的 端口 應(yīng)用狀態(tài)和數(shù)據(jù)流 凈荷 電路級網(wǎng)關(guān) 電路級網(wǎng)關(guān)所過濾的內(nèi)容 表示層 會話層 鏈路層 物理層 外部網(wǎng)絡(luò) 內(nèi)部網(wǎng)絡(luò) 傳輸層 網(wǎng)絡(luò)層 應(yīng)用層 網(wǎng)絡(luò)接口 網(wǎng)絡(luò)接口 應(yīng)用代理工作于應(yīng)用層 防火墻的主要功能 防 火 墻 的 功能 過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù) 管理進(jìn)出網(wǎng)絡(luò)的訪問行為 封堵某些禁止的業(yè)務(wù) 記錄進(jìn)出網(wǎng)絡(luò)的信息和活動 對網(wǎng)絡(luò)攻擊進(jìn)行檢測和告警 防火墻的局限性 防 火 墻 的 局限 性 不能防范惡意知情者泄密 不能控制不經(jīng)過它的連接 不能防備完全新的威脅 不能防止病毒和特洛伊木馬 不能防止內(nèi)部用戶的破壞 防火墻技術(shù)的發(fā)展趨勢 從目前對專網(wǎng)管理的方式，向遠(yuǎn)程上網(wǎng)集中管理的方式發(fā)展； 過濾深度不斷加強(qiáng)，從目前的地址過濾、服務(wù)過濾，發(fā)展到頁面過濾、關(guān)鍵字過濾及對 Active X/Java等的過濾； 用防火墻建立 VPN， IP加密越來越強(qiáng)； 單向防火墻（網(wǎng)絡(luò)二極管）將出現(xiàn)； 對攻擊的檢測和告警將成為重要功能； 附加安全管理工具（如日志分析）； 安全協(xié)議的開發(fā)將成為一大熱點(diǎn)。 鏈路加密設(shè)備的特點(diǎn) ? 每個(gè)節(jié)點(diǎn)對收到的信息先解密，后加密； ? 它 掩蓋了被傳輸消息的源點(diǎn)與終點(diǎn)； ?消息的報(bào)頭和路由信息以密文方式傳輸。 ? 自動中標(biāo)檢查 ，即關(guān)鍵詞檢查； ? 日志管理與審計(jì)： ? 發(fā)件瀏覽審查，提供多種審查方式； ? 發(fā)件統(tǒng)計(jì)分析，包括指定日期或時(shí)間段的發(fā)件數(shù)、 中標(biāo)數(shù)、中標(biāo)率、涉密數(shù)等； ? 報(bào)表生成和打?。ò?/月 /日報(bào)表）； ? 發(fā)件人、收件人檔案記錄。許多企業(yè)或機(jī)構(gòu)的網(wǎng)絡(luò)負(fù)責(zé)人都聲稱，他們的網(wǎng)絡(luò)是安全的，因?yàn)樗麄円呀?jīng)安裝了最新版的防火墻和 IDS。一旦發(fā)現(xiàn)了不正常的數(shù)據(jù)模式，就意味著有人企圖突入或損害系統(tǒng)。為了做到更有效，這種類型的 IDS依賴于那些已經(jīng)被記錄在案的攻擊，它將收集到的可疑數(shù)據(jù)包與攻擊簽名數(shù)據(jù)庫中的樣本進(jìn)行比較。在采用異常檢測時(shí)，探測器監(jiān)控網(wǎng)絡(luò)數(shù)據(jù)段并將當(dāng)前狀態(tài)與正常底線狀態(tài)相比較，以識別異常狀況。 基于主機(jī)的系統(tǒng)（ Hostbased IDS） 在基于主機(jī)的系統(tǒng)中， IDS對單臺計(jì)算機(jī)或主機(jī)上的網(wǎng)絡(luò)活動進(jìn)行檢查。這些對可疑活動的反應(yīng)方式包括：對離線的用戶進(jìn)行記錄，關(guān)掉某個(gè)連接，或甚至重新對防火墻進(jìn)行編程以阻斷來自可疑源地址的惡意網(wǎng)絡(luò)數(shù)據(jù)流。 采用蜜罐技術(shù) 密罐在設(shè)計(jì)時(shí)就是能夠使攻擊者進(jìn)入，一旦黑客進(jìn)入，我們就可以實(shí)現(xiàn)我們的許多目的。它能夠從其它系統(tǒng)中獲得更多的有關(guān)攻擊的信息，降低誤報(bào)率，并采取主動防御措施，以阻斷攻擊。 IDS的發(fā)展趨勢 IDS應(yīng)用中的幾個(gè)問題 IDS的選型要合理 在系統(tǒng)中 IDS的布臵也特別重要，究竟是選用基于主機(jī)的 IDS還是基于網(wǎng)絡(luò)的 IDS，或者兩種都要，這些需要根據(jù)組織機(jī)構(gòu)的安全策略而定。評估的最后結(jié)果也許會認(rèn)為，選擇和實(shí)施 IDS是一種浪費(fèi)。 對已知的漏洞打安全補(bǔ)丁 在所有廠商中，安全補(bǔ)丁是重點(diǎn)考慮的事情，應(yīng)該得到重點(diǎn)開發(fā)。內(nèi)部的工作應(yīng)該能夠從外部檢查到，所以它不是黑盒子。 能夠發(fā)現(xiàn)異常行為 它必須能夠發(fā)現(xiàn)與正常網(wǎng)絡(luò)行為的偏離； 易于配置 對于它所監(jiān)控的系統(tǒng)來說， IDS必須易于配臵。 一個(gè)好的 IDS應(yīng)具備哪些特性 建立 IDS保護(hù)系統(tǒng)的步驟 行動 1： 用戶必須愿意提供資源 （ 資金 、 人力和時(shí)間 ） 對當(dāng)前系統(tǒng)和網(wǎng)絡(luò)中存在的缺陷打安全補(bǔ)丁 ， 并且把網(wǎng)絡(luò)和主機(jī)的安全放在工作首位 。 網(wǎng)絡(luò)和系統(tǒng)管理員需要保持技術(shù)更新 ， 并在系統(tǒng)和網(wǎng)絡(luò)的適當(dāng)位臵布臵安全防護(hù)措施和設(shè)備 ， 來監(jiān)控和維護(hù)系統(tǒng)的安全性 。 加強(qiáng)網(wǎng)絡(luò)安全項(xiàng)目的建設(shè)和管理，負(fù)責(zé)貫徹國家有關(guān)網(wǎng)絡(luò)安全的法律、法規(guī)，落實(shí)各項(xiàng)網(wǎng)絡(luò)安全措施； 督促有關(guān)部門對用戶進(jìn)行安全教育，監(jiān)督、檢查、指導(dǎo)網(wǎng)絡(luò)安全工作。大多安全顧問公司在做安全方案方面有著豐富的經(jīng)驗(yàn)，能夠制訂出符合需要的合理的安全方案。尤其要注意制度的監(jiān)督貫徹執(zhí)行，否則就形同虛設(shè)。并可作為落實(shí) IT治理的技術(shù)手段。經(jīng)過多年的發(fā)展，國內(nèi)的信息化基建建設(shè)已經(jīng)初具規(guī)模，很多政府部門的基礎(chǔ)設(shè)施都基本搭建完成，維護(hù)著大量的 IT設(shè)施。在國內(nèi)，近來國資委、銀監(jiān)會、證監(jiān)會、電信、移動、民航等等，紛紛發(fā)布了風(fēng)險(xiǎn)管理的相關(guān)法規(guī)和指引，都強(qiáng)調(diào)了 IT信息系統(tǒng)安全管理的重要性，尤其提出了企業(yè)的一把手責(zé)任制。從技術(shù)層面上看，業(yè)務(wù)是一組 IT資源及其相互關(guān)系的集合。在 GB178591999中，計(jì)算機(jī)信息系統(tǒng)定義為：由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的 ,按照一定的應(yīng)用目標(biāo)和規(guī)則對信息進(jìn)行采集、加工、存儲、傳輸、檢索等處理的人機(jī)系統(tǒng)。 基礎(chǔ)設(shè)施保障 電子政務(wù)的基礎(chǔ) — PKI ? 20世紀(jì) 80年代，美國學(xué)者提出了 PKI（公開密鑰設(shè)施）的概念。 ?作為提供信息安全服務(wù)的公共基礎(chǔ)設(shè)施， PKI目前是公認(rèn)的保障網(wǎng)絡(luò)社會安全的最佳體系。為了推廣 PKI在國內(nèi)的應(yīng)用，加強(qiáng)國內(nèi) PKI建設(shè)與國際間的合作，國家計(jì)委批準(zhǔn)成立了“中國 PKI論壇”，它將為 PKI在中國的推廣應(yīng)用起到積極促進(jìn)作用。 ? CA— 簽署這些證書的認(rèn)證機(jī)構(gòu)、 ? RA— 登記和批準(zhǔn)證書簽署的登記機(jī)構(gòu) ?電子目錄 — 存儲和發(fā)布這些證書的機(jī)構(gòu)。 公鑰加密標(biāo)準(zhǔn) 我國的 PKI體系目前普遍采用 RSA算法，這是目前公認(rèn)比較安全的算法。 ?各家在建立 CA的過程中對技術(shù)標(biāo)準(zhǔn)和管理規(guī)范的理解有較大差距； ?各家 CA基本處于互相分割狀態(tài)，成為互不關(guān)聯(lián)的信任孤島，尚未形成完整的國家 PKI體系； ?已建成的 CA規(guī)模小、利用率低且產(chǎn)業(yè)有待重組，距離可商業(yè)化運(yùn)作的規(guī)模還相差很遠(yuǎn)； ?有些單位過低估計(jì)了建設(shè) CA應(yīng)負(fù)的社會責(zé)任和經(jīng)濟(jì)責(zé)任； ?有些單位過低估計(jì)了建設(shè) CA 的難度，一些已經(jīng)建立的 CA對自身的安全性普遍考慮不夠全面。 ● 目錄服務(wù)系統(tǒng) LDAP 它可以完成證書系統(tǒng)的發(fā)布功能，負(fù)責(zé)存放用戶證書、 CRL、授權(quán)信息及其他用戶信息。（ 參見國家標(biāo)準(zhǔn) GB50173— 93《 電子計(jì)算機(jī)機(jī)房設(shè)計(jì)規(guī)范 》 ， 國標(biāo)GB2887— 89《 計(jì)算站場地技術(shù)條件 》 、 GB9361— 88《 計(jì)算站場地安全要求 》 。 采用 Wintel體系（ Windows操作系統(tǒng) +Intel芯片）的計(jì)算機(jī)，自主知識產(chǎn)權(quán)的產(chǎn)品基本沒有。目前國內(nèi)在 Linux源代碼基礎(chǔ)上進(jìn)行操作系統(tǒng)開發(fā)的產(chǎn)品有：中科紅旗、中軟等，國產(chǎn) linux平臺可以為符合電子政務(wù)系統(tǒng)的當(dāng)然之選。即使采用了最先進(jìn)的安全技術(shù)成果不對人員的權(quán)限進(jìn)行有效合理的分配，照樣可以越權(quán)操作；如果沒有對異常事件處理的流程和規(guī)范當(dāng)遇到攻擊時(shí)，仍然會不知所措。 86 ? 增強(qiáng)人們的信息安全意識 ? 目前國內(nèi)電子系統(tǒng)安全問題的一個(gè)主要原因是政府部門管理者缺少或沒有信息安全意識。信息安全方面的人才很少，而政府部門及其他部門對信息安全人才的需求是很大的。任何安全產(chǎn)品或服務(wù)，僅配置一次是不夠的