【正文】 解決方案 6. 由于 IC卡技術(shù)的日益成熟和完善， IC卡被更為廣泛地用于用戶認(rèn)證產(chǎn)品中，用來(lái)存儲(chǔ)用戶的個(gè)人私鑰，并與其他技術(shù) (如動(dòng)態(tài)口令 )相結(jié)合，對(duì)用戶身份進(jìn)行有效的識(shí)別。 第 15章 信息安全解決方案 8. 入侵檢測(cè)系統(tǒng) (IDS) 入侵檢測(cè)作為傳統(tǒng)保護(hù)機(jī)制 (比如訪問控制、身份識(shí)別等 ) 9. 由于大量的信息存儲(chǔ)在計(jì)算機(jī)數(shù)據(jù)庫(kù)內(nèi)，有些信息是有價(jià)值的，也是敏感的，需要保護(hù)，安全數(shù)據(jù)庫(kù)可以確保數(shù)據(jù)庫(kù)的完整性、可靠性、有效性、機(jī)密性、可審計(jì)性及存取控 第 15章 信息安全解決方案 第 15章 信息安全解決方案 但是，我們也應(yīng)該看到密碼技術(shù)與通信技術(shù)、計(jì)算機(jī)技術(shù)以及芯片技術(shù)的融合正日益緊密，其產(chǎn)品的分界線越來(lái)越模糊，彼此也越來(lái)越不能分割。可幸的是，目前國(guó)內(nèi)已有一些網(wǎng)絡(luò)安全問題解決方案和產(chǎn)品。 通常，設(shè)計(jì)一套安全方案涉及以下步驟 : (1) 網(wǎng)絡(luò)安全需求分析。比如，入侵者可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng) (Cisco的 IOS) 第 15章 信息安全解決方案 (2) 通過(guò)各種手段對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施拒絕服務(wù)攻擊，使網(wǎng) 2. 信息基礎(chǔ)平臺(tái)主要是指支撐各種應(yīng)用與業(yè)務(wù)運(yùn)行的各種操作系統(tǒng)。對(duì)于網(wǎng)絡(luò)內(nèi)部的安全防范會(huì)明顯地弱于對(duì)于網(wǎng)絡(luò)外部的安全防范，而且由于內(nèi)部人員對(duì)于內(nèi)部網(wǎng)絡(luò)的熟悉程度一般是很高的，因此，由網(wǎng)絡(luò)內(nèi)部發(fā)起的攻擊也就必然更容易成功， 一旦攻擊成功，其強(qiáng)烈的攻擊目的也就必然促成了更為隱蔽和嚴(yán)重的網(wǎng)絡(luò)破壞。 (4) 第 15章 信息安全解決方案 2. VPN 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。 VPNIPSec L2F、 L2TP、 PPTP、 MPPE、 SSL等。入侵檢測(cè)系統(tǒng) (IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用 第 15章 信息安全解決方案 入侵檢測(cè)系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。 第 15章 信息安全解決方案 在被保護(hù)的局域網(wǎng)中，入侵檢測(cè)設(shè)備應(yīng)安裝于易受到攻擊的服務(wù)器或防火墻附近。這些數(shù)據(jù)流引起的報(bào)警日志，可作為系統(tǒng)受到網(wǎng)絡(luò)攻擊的主 入侵檢測(cè)、防火墻和漏洞掃描聯(lián)動(dòng)體系示意圖如圖 1541所示。因此企業(yè)網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解 第 15章 信息安全解決方案 在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)配置中，我們建議采用啟明星辰公司的“天鏡”網(wǎng)絡(luò)漏洞掃描系統(tǒng)。如果在某網(wǎng)絡(luò)上有一個(gè)用戶不小心擴(kuò)散了一個(gè)被病毒感染的文檔，其結(jié)果將可能是毀滅性的。它同時(shí)對(duì)內(nèi)容進(jìn)行過(guò)濾 (以阻止病毒欺騙 )和創(chuàng)建歷史記錄 (以跟蹤每個(gè)檢測(cè)到的病毒起源 ) 第 15章 信息安全解決方案 一般來(lái)說(shuō)，基于郵件系統(tǒng)的病毒發(fā)作主要是從客戶端開始的，同時(shí)這種病毒感染的對(duì)象主要是基于 Windows平臺(tái)的主機(jī)和服務(wù)器，對(duì)其他平臺(tái)沒有感染能力，所以，我們主要 第 15章 信息安全解決方案 2) 如果服務(wù)器被感染，其感染文件將成為病毒感染的源頭，它們會(huì)迅速?gòu)淖烂娓腥景l(fā)展到整個(gè)網(wǎng)絡(luò)的病毒爆發(fā)。根據(jù)統(tǒng)計(jì)， 50%以上的病毒是通過(guò)軟盤進(jìn)入系統(tǒng)的，因此對(duì)桌面系統(tǒng)的病毒應(yīng)嚴(yán)加防范。如果有足夠的備份，不會(huì)丟失太多數(shù)據(jù)，就應(yīng)考慮徹底刪掉感染系統(tǒng)中的所有數(shù)據(jù)，再重新配置。對(duì)在企業(yè)內(nèi)網(wǎng)發(fā)起的攻擊和攻破了防火墻的黑客攻擊行為，可以依靠入侵檢測(cè)系統(tǒng)阻斷和發(fā)現(xiàn)攻擊的行為，同時(shí)通過(guò)與防火墻的互動(dòng)，自動(dòng)修改策略設(shè)置上的漏洞，阻擋攻擊的繼續(xù)進(jìn)入?！奥┒磼呙柘到y(tǒng)”是一種網(wǎng)絡(luò)維護(hù)人員使用的安全分析工具，主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中的漏洞，修改防火墻和入侵檢測(cè)系統(tǒng)中不適當(dāng)?shù)脑O(shè)置，防 同時(shí)，防火墻主要起到對(duì)外防止黑客入侵，對(duì)內(nèi)進(jìn)行訪問控制和授權(quán)員工從外網(wǎng)安全接入的作用，在這里主要發(fā)揮防火墻和 VPN 第 15章 信息安全解決方案 (1) 保障局域網(wǎng)不受來(lái)自外網(wǎng)的黑客攻擊，主要擔(dān)當(dāng)防 (2) 能夠根據(jù)需要，讓外網(wǎng)向 Inter的訪問提供服務(wù)，如 Web、 Email、 DNS (3) 對(duì)外網(wǎng)用戶訪問 (Inter)提供靈活的訪問控制功能，如可以控制任何一個(gè)內(nèi)部員工能否上網(wǎng)，能訪問哪些網(wǎng)站，能不能收發(fā) Email、 ftp等，能夠在什么時(shí)間上網(wǎng)等。整個(gè)系統(tǒng)的實(shí)施過(guò)程應(yīng)保持流暢和平穩(wěn)，做到盡量不影響既有網(wǎng)絡(luò)系統(tǒng)的正常工作 。 防病毒系統(tǒng)的升級(jí)和部署功能應(yīng)做到完全自動(dòng) 化，整個(gè)系統(tǒng)應(yīng)具有每日更新的能力 。 第 15章 信息安全解決方案 國(guó)家保密局于 2023 年 1月 1日起頒布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國(guó)際互聯(lián)網(wǎng)保密管理規(guī)定》，對(duì)國(guó)家機(jī)要部門使用互聯(lián)網(wǎng)規(guī)定如下 : 涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。尤其是在那些需要絕對(duì)保證安全的保密網(wǎng)、專網(wǎng)和特種網(wǎng)絡(luò)與互聯(lián)網(wǎng)進(jìn)行連接時(shí)，為了防止來(lái)自互聯(lián)網(wǎng)的攻擊和保證這些高安全性網(wǎng)絡(luò)的保密性、安全性、完整性、防抵賴和高可用性，幾乎 第 15章 信息安全解決方案 學(xué)術(shù)界一般認(rèn)為，最早提出物理隔離技術(shù)的應(yīng)該是以色列和美國(guó)的軍方，但是到目前為止，并沒有完整的關(guān)于物理隔離技術(shù)的定義和標(biāo)準(zhǔn)。后 來(lái)有 Physical Separation，直譯為物理分開?，F(xiàn)在，一般用 Gap Technology來(lái)表示物理隔離，它已成為互聯(lián)網(wǎng)上的一個(gè)專用 第 15章 信息安全解決方案 物理隔離技術(shù)不是要替代防火墻、入侵檢測(cè)、漏洞掃描和防病毒系統(tǒng)，相反，它是用戶“深度防御”的安全策略的另一塊基石。 它主要包括防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、安全管理系統(tǒng)、物理隔離等設(shè)備。內(nèi)、外網(wǎng)主機(jī)模塊間不存在任何網(wǎng)絡(luò)連接，因此不存在基于網(wǎng)絡(luò)協(xié)議的數(shù)據(jù)轉(zhuǎn)發(fā)。這種交換并不是數(shù)據(jù)包的轉(zhuǎn)發(fā)，而是應(yīng)用層數(shù)據(jù)的靜態(tài)讀寫操作，因此可信網(wǎng)的用戶可以通過(guò)安全隔離與信息交換系統(tǒng)放心地訪問非可信網(wǎng)的資源，而不必?fù)?dān)心可信網(wǎng)的安全會(huì)受 第 15章 信息安全解決方案 物理隔離具有比防火墻更高的安全性能，可在涉密網(wǎng)絡(luò)之間、涉密網(wǎng)絡(luò)不同安全域之間、涉密網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間信任地進(jìn)行信息交換。 小 第 15章 信息安全解決方案 (2) 網(wǎng)絡(luò)安全研究?jī)?nèi)容包括網(wǎng)絡(luò)安全整體解決方案的設(shè)計(jì)與分析以及網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。 第 15章 信息安全解決方案 1. 20世紀(jì) 80年代中期，美國(guó)國(guó)防部為適應(yīng)軍事計(jì)算機(jī)的保密需要，在 20世紀(jì) 70年代的基礎(chǔ)理論研究成果計(jì)算機(jī) 保密模型 (Bell＆ Lapadula模型 )的基礎(chǔ)上，制訂了 2. 我國(guó) 1999年 10月發(fā)布了 ，為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)。 4. 不可能完全防止有些新的攻擊或那些不經(jīng)過(guò)防火墻的其他攻擊，所以確保網(wǎng)絡(luò)更加安全必須配備 ，對(duì)透過(guò)防火墻的攻擊進(jìn)行檢測(cè)并做相應(yīng)反應(yīng) (記錄、報(bào)警、 阻斷 ) 第 15章 信息安全解決方案 5. 計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)在工作時(shí)會(huì)產(chǎn)生電磁輻射，信息以電信號(hào)方式傳輸時(shí)也會(huì)產(chǎn)生電磁輻射，造成電磁泄漏。 :18:5523:18Mar238Mar23 1故人江海別，幾度隔山川。 。 , March 8, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :18:5523:18:55March 8, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 8日星期三 11時(shí) 18分 55秒 23:18:558 March 2023 1空山新雨后，天氣晚來(lái)秋。 :18:5523:18Mar238Mar23 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 2023年 3月 8日星期三 下午 11時(shí) 18分 55秒 23:18: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我