【正文】 解決方案 6. 由于 IC卡技術(shù)的日益成熟和完善， IC卡被更為廣泛地用于用戶認證產(chǎn)品中，用來存儲用戶的個人私鑰，并與其他技術(shù) (如動態(tài)口令 )相結(jié)合，對用戶身份進行有效的識別。 第 15章 信息安全解決方案 8. 入侵檢測系統(tǒng) (IDS) 入侵檢測作為傳統(tǒng)保護機制 (比如訪問控制、身份識別等 ) 9. 由于大量的信息存儲在計算機數(shù)據(jù)庫內(nèi)，有些信息是有價值的，也是敏感的，需要保護，安全數(shù)據(jù)庫可以確保數(shù)據(jù)庫的完整性、可靠性、有效性、機密性、可審計性及存取控 第 15章 信息安全解決方案 第 15章 信息安全解決方案 但是，我們也應(yīng)該看到密碼技術(shù)與通信技術(shù)、計算機技術(shù)以及芯片技術(shù)的融合正日益緊密，其產(chǎn)品的分界線越來越模糊，彼此也越來越不能分割?？尚业氖?，目前國內(nèi)已有一些網(wǎng)絡(luò)安全問題解決方案和產(chǎn)品。 通常，設(shè)計一套安全方案涉及以下步驟 : (1) 網(wǎng)絡(luò)安全需求分析。比如，入侵者可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng) (Cisco的 IOS) 第 15章 信息安全解決方案 (2) 通過各種手段對網(wǎng)絡(luò)設(shè)備實施拒絕服務(wù)攻擊，使網(wǎng) 2. 信息基礎(chǔ)平臺主要是指支撐各種應(yīng)用與業(yè)務(wù)運行的各種操作系統(tǒng)。對于網(wǎng)絡(luò)內(nèi)部的安全防范會明顯地弱于對于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，因此，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功， 一旦攻擊成功，其強烈的攻擊目的也就必然促成了更為隱蔽和嚴重的網(wǎng)絡(luò)破壞。 (4) 第 15章 信息安全解決方案 2. VPN 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 VPNIPSec L2F、 L2TP、 PPTP、 MPPE、 SSL等。入侵檢測系統(tǒng) (IDS)可以彌補防火墻的不足，為網(wǎng)絡(luò)安全提供實時的入侵檢測及采取相應(yīng)的防護手段，如記錄證據(jù)用 第 15章 信息安全解決方案 入侵檢測系統(tǒng)是實時的網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。 第 15章 信息安全解決方案 在被保護的局域網(wǎng)中，入侵檢測設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。這些數(shù)據(jù)流引起的報警日志，可作為系統(tǒng)受到網(wǎng)絡(luò)攻擊的主 入侵檢測、防火墻和漏洞掃描聯(lián)動體系示意圖如圖 1541所示。因此企業(yè)網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解 第 15章 信息安全解決方案 在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)配置中，我們建議采用啟明星辰公司的“天鏡”網(wǎng)絡(luò)漏洞掃描系統(tǒng)。如果在某網(wǎng)絡(luò)上有一個用戶不小心擴散了一個被病毒感染的文檔，其結(jié)果將可能是毀滅性的。它同時對內(nèi)容進行過濾 (以阻止病毒欺騙 )和創(chuàng)建歷史記錄 (以跟蹤每個檢測到的病毒起源 ) 第 15章 信息安全解決方案 一般來說，基于郵件系統(tǒng)的病毒發(fā)作主要是從客戶端開始的，同時這種病毒感染的對象主要是基于 Windows平臺的主機和服務(wù)器，對其他平臺沒有感染能力，所以，我們主要 第 15章 信息安全解決方案 2) 如果服務(wù)器被感染，其感染文件將成為病毒感染的源頭，它們會迅速從桌面感染發(fā)展到整個網(wǎng)絡(luò)的病毒爆發(fā)。根據(jù)統(tǒng)計， 50%以上的病毒是通過軟盤進入系統(tǒng)的，因此對桌面系統(tǒng)的病毒應(yīng)嚴加防范。如果有足夠的備份，不會丟失太多數(shù)據(jù)，就應(yīng)考慮徹底刪掉感染系統(tǒng)中的所有數(shù)據(jù)，再重新配置。對在企業(yè)內(nèi)網(wǎng)發(fā)起的攻擊和攻破了防火墻的黑客攻擊行為，可以依靠入侵檢測系統(tǒng)阻斷和發(fā)現(xiàn)攻擊的行為，同時通過與防火墻的互動，自動修改策略設(shè)置上的漏洞，阻擋攻擊的繼續(xù)進入。“漏洞掃描系統(tǒng)”是一種網(wǎng)絡(luò)維護人員使用的安全分析工具，主動發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的漏洞，修改防火墻和入侵檢測系統(tǒng)中不適當?shù)脑O(shè)置，防 同時，防火墻主要起到對外防止黑客入侵，對內(nèi)進行訪問控制和授權(quán)員工從外網(wǎng)安全接入的作用，在這里主要發(fā)揮防火墻和 VPN 第 15章 信息安全解決方案 (1) 保障局域網(wǎng)不受來自外網(wǎng)的黑客攻擊，主要擔當防 (2) 能夠根據(jù)需要，讓外網(wǎng)向 Inter的訪問提供服務(wù)，如 Web、 Email、 DNS (3) 對外網(wǎng)用戶訪問 (Inter)提供靈活的訪問控制功能，如可以控制任何一個內(nèi)部員工能否上網(wǎng)，能訪問哪些網(wǎng)站，能不能收發(fā) Email、 ftp等，能夠在什么時間上網(wǎng)等。整個系統(tǒng)的實施過程應(yīng)保持流暢和平穩(wěn)，做到盡量不影響既有網(wǎng)絡(luò)系統(tǒng)的正常工作 。 防病毒系統(tǒng)的升級和部署功能應(yīng)做到完全自動 化，整個系統(tǒng)應(yīng)具有每日更新的能力 。 第 15章 信息安全解決方案 國家保密局于 2023 年 1月 1日起頒布實施的《計算機信息系統(tǒng)國際互聯(lián)網(wǎng)保密管理規(guī)定》，對國家機要部門使用互聯(lián)網(wǎng)規(guī)定如下 : 涉及國家秘密的計算機信息系統(tǒng)，不得直接或間接地與國際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實行物理隔離。尤其是在那些需要絕對保證安全的保密網(wǎng)、專網(wǎng)和特種網(wǎng)絡(luò)與互聯(lián)網(wǎng)進行連接時，為了防止來自互聯(lián)網(wǎng)的攻擊和保證這些高安全性網(wǎng)絡(luò)的保密性、安全性、完整性、防抵賴和高可用性，幾乎 第 15章 信息安全解決方案 學術(shù)界一般認為，最早提出物理隔離技術(shù)的應(yīng)該是以色列和美國的軍方，但是到目前為止，并沒有完整的關(guān)于物理隔離技術(shù)的定義和標準。后 來有 Physical Separation，直譯為物理分開?，F(xiàn)在，一般用 Gap Technology來表示物理隔離，它已成為互聯(lián)網(wǎng)上的一個專用 第 15章 信息安全解決方案 物理隔離技術(shù)不是要替代防火墻、入侵檢測、漏洞掃描和防病毒系統(tǒng)，相反，它是用戶“深度防御”的安全策略的另一塊基石。 它主要包括防火墻系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、安全管理系統(tǒng)、物理隔離等設(shè)備。內(nèi)、外網(wǎng)主機模塊間不存在任何網(wǎng)絡(luò)連接，因此不存在基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)轉(zhuǎn)發(fā)。這種交換并不是數(shù)據(jù)包的轉(zhuǎn)發(fā)，而是應(yīng)用層數(shù)據(jù)的靜態(tài)讀寫操作，因此可信網(wǎng)的用戶可以通過安全隔離與信息交換系統(tǒng)放心地訪問非可信網(wǎng)的資源，而不必擔心可信網(wǎng)的安全會受 第 15章 信息安全解決方案 物理隔離具有比防火墻更高的安全性能，可在涉密網(wǎng)絡(luò)之間、涉密網(wǎng)絡(luò)不同安全域之間、涉密網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間信任地進行信息交換。 小 第 15章 信息安全解決方案 (2) 網(wǎng)絡(luò)安全研究內(nèi)容包括網(wǎng)絡(luò)安全整體解決方案的設(shè)計與分析以及網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。 第 15章 信息安全解決方案 1. 20世紀 80年代中期，美國國防部為適應(yīng)軍事計算機的保密需要，在 20世紀 70年代的基礎(chǔ)理論研究成果計算機 保密模型 (Bell＆ Lapadula模型 )的基礎(chǔ)上，制訂了 2. 我國 1999年 10月發(fā)布了 ，為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)。 4. 不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其他攻擊，所以確保網(wǎng)絡(luò)更加安全必須配備 ，對透過防火墻的攻擊進行檢測并做相應(yīng)反應(yīng) (記錄、報警、 阻斷 ) 第 15章 信息安全解決方案 5. 計算機系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)在工作時會產(chǎn)生電磁輻射，信息以電信號方式傳輸時也會產(chǎn)生電磁輻射，造成電磁泄漏。 :18:5523:18Mar238Mar23 1故人江海別，幾度隔山川。 。 , March 8, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :18:5523:18:55March 8, 2023 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 8日星期三 11時 18分 55秒 23:18:558 March 2023 1空山新雨后，天氣晚來秋。 :18:5523:18Mar238Mar23 1越是無能的人，越喜歡挑剔別人的錯兒。 2023年 3月 8日星期三 下午 11時 18分 55秒 23:18: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我