【正文】 2023年 3月 8日星期三 下午 11時(shí) 18分 55秒 23:18: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過(guò)于提升自我。 2023年 3月 8日星期三 11時(shí) 18分 55秒 23:18:558 March 2023 1空山新雨后，天氣晚來(lái)秋。 , March 8, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒(méi)有。 :18:5523:18Mar238Mar23 1故人江海別，幾度隔山川。 第 15章 信息安全解決方案 1. 20世紀(jì) 80年代中期，美國(guó)國(guó)防部為適應(yīng)軍事計(jì)算機(jī)的保密需要，在 20世紀(jì) 70年代的基礎(chǔ)理論研究成果計(jì)算機(jī) 保密模型 (Bell＆ Lapadula模型 )的基礎(chǔ)上，制訂了 2. 我國(guó) 1999年 10月發(fā)布了 ，為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技術(shù)指導(dǎo)。這種交換并不是數(shù)據(jù)包的轉(zhuǎn)發(fā)，而是應(yīng)用層數(shù)據(jù)的靜態(tài)讀寫操作，因此可信網(wǎng)的用戶可以通過(guò)安全隔離與信息交換系統(tǒng)放心地訪問(wèn)非可信網(wǎng)的資源，而不必?fù)?dān)心可信網(wǎng)的安全會(huì)受 第 15章 信息安全解決方案 物理隔離具有比防火墻更高的安全性能，可在涉密網(wǎng)絡(luò)之間、涉密網(wǎng)絡(luò)不同安全域之間、涉密網(wǎng)絡(luò)與內(nèi)部網(wǎng)之間、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)之間信任地進(jìn)行信息交換。 它主要包括防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、安全管理系統(tǒng)、物理隔離等設(shè)備。后 來(lái)有 Physical Separation，直譯為物理分開(kāi)。 第 15章 信息安全解決方案 國(guó)家保密局于 2023 年 1月 1日起頒布實(shí)施的《計(jì)算機(jī)信息系統(tǒng)國(guó)際互聯(lián)網(wǎng)保密管理規(guī)定》，對(duì)國(guó)家機(jī)要部門使用互聯(lián)網(wǎng)規(guī)定如下 : 涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)，不得直接或間接地與國(guó)際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接，必須實(shí)行物理隔離。整個(gè)系統(tǒng)的實(shí)施過(guò)程應(yīng)保持流暢和平穩(wěn)，做到盡量不影響既有網(wǎng)絡(luò)系統(tǒng)的正常工作 。對(duì)在企業(yè)內(nèi)網(wǎng)發(fā)起的攻擊和攻破了防火墻的黑客攻擊行為，可以依靠入侵檢測(cè)系統(tǒng)阻斷和發(fā)現(xiàn)攻擊的行為，同時(shí)通過(guò)與防火墻的互動(dòng)，自動(dòng)修改策略設(shè)置上的漏洞，阻擋攻擊的繼續(xù)進(jìn)入。根據(jù)統(tǒng)計(jì)， 50%以上的病毒是通過(guò)軟盤進(jìn)入系統(tǒng)的，因此對(duì)桌面系統(tǒng)的病毒應(yīng)嚴(yán)加防范。如果在某網(wǎng)絡(luò)上有一個(gè)用戶不小心擴(kuò)散了一個(gè)被病毒感染的文檔，其結(jié)果將可能是毀滅性的。這些數(shù)據(jù)流引起的報(bào)警日志，可作為系統(tǒng)受到網(wǎng)絡(luò)攻擊的主 入侵檢測(cè)、防火墻和漏洞掃描聯(lián)動(dòng)體系示意圖如圖 1541所示。入侵檢測(cè)系統(tǒng) (IDS)可以彌補(bǔ)防火墻的不足，為網(wǎng)絡(luò)安全提供實(shí)時(shí)的入侵檢測(cè)及采取相應(yīng)的防護(hù)手段，如記錄證據(jù)用 第 15章 信息安全解決方案 入侵檢測(cè)系統(tǒng)是實(shí)時(shí)的網(wǎng)絡(luò)違規(guī)自動(dòng)識(shí)別和響應(yīng)系統(tǒng)。 (4) 第 15章 信息安全解決方案 2. VPN 防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合。比如，入侵者可以利用這些網(wǎng)絡(luò)設(shè)備的系統(tǒng) (Cisco的 IOS) 第 15章 信息安全解決方案 (2) 通過(guò)各種手段對(duì)網(wǎng)絡(luò)設(shè)備實(shí)施拒絕服務(wù)攻擊，使網(wǎng) 2. 信息基礎(chǔ)平臺(tái)主要是指支撐各種應(yīng)用與業(yè)務(wù)運(yùn)行的各種操作系統(tǒng)。可幸的是，目前國(guó)內(nèi)已有一些網(wǎng)絡(luò)安全問(wèn)題解決方案和產(chǎn)品。 PKI產(chǎn)品可以提供更多的功能和更好的服務(wù)，可作為所有應(yīng)用的計(jì)算基礎(chǔ)結(jié)構(gòu)的核心 第 15章 信息安全解決方案 6. 由于 IC卡技術(shù)的日益成熟和完善， IC卡被更為廣泛地用于用戶認(rèn)證產(chǎn)品中，用來(lái)存儲(chǔ)用戶的個(gè)人私鑰，并與其他技術(shù) (如動(dòng)態(tài)口令 )相結(jié)合，對(duì)用戶身份進(jìn)行有效的識(shí)別。 防火墻的主要技術(shù)有包過(guò)濾技術(shù)、應(yīng)用網(wǎng)關(guān)技術(shù)和代理服務(wù)技術(shù)。入侵者通常都是通過(guò)一些程序來(lái)探測(cè)網(wǎng)絡(luò)中系統(tǒng)存在的一些安全漏洞，然后通過(guò)發(fā)現(xiàn)的安全漏洞，采取相應(yīng)的技術(shù)進(jìn)行攻擊，因此，必需配備網(wǎng)絡(luò)安全掃描系統(tǒng)和系統(tǒng)安全掃描系統(tǒng)來(lái)檢測(cè)網(wǎng)絡(luò)中存在的安全漏洞，并采取相應(yīng)的措施填補(bǔ)系統(tǒng)漏洞，對(duì)網(wǎng) 第 15章 信息安全解決方案 6. 病毒的危害性極大并且傳播極為迅速，必須配備從單機(jī)到服務(wù)器的整套防病毒軟件，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)。一般來(lái)說(shuō)，每個(gè)成員的主機(jī)系統(tǒng)中，有一部分信息是可以對(duì)外開(kāi)放的，而有些信息是要求保密或具有一定的隱私性的。 Linux的發(fā)展及其在國(guó)際上的廣泛應(yīng)用，在我國(guó)也產(chǎn)生了廣泛的影響，只要其安全問(wèn)題得到妥善解決，就會(huì)得到我 第 15章 信息安全解決方案 1. 由于重要信息可能會(huì)通過(guò)電磁輻射或線路干擾而被泄漏，因此需要對(duì)存放機(jī)密信息的機(jī)房進(jìn)行必要的設(shè)計(jì)，如 構(gòu)建屏蔽室、采用輻射干擾機(jī)等，以防止電磁輻射泄漏機(jī)密信息。 第 15章 信息安全解決方案 開(kāi)發(fā)的防火墻、安全路由器、安全網(wǎng)關(guān)、黑客入侵檢測(cè)系統(tǒng)等產(chǎn)品和技術(shù)，主要集中在系統(tǒng)應(yīng)用環(huán)境的較高層次上，在完善性、規(guī)范性、實(shí)用性上還存在許多不足，特別是在多平臺(tái)的兼容性、多協(xié)議的適應(yīng)性、多接口的滿足性方面存在很大的差距，其理論基礎(chǔ)和自主的技術(shù)手段也有待于發(fā)展和強(qiáng)化。至今，美國(guó)已研制出符合 TCSEC要求的安全系統(tǒng)(包括安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)、安全網(wǎng)絡(luò)部件 )達(dá) 100多種，但這些系統(tǒng)仍有局限性，還沒(méi)有真正達(dá)到形式化描述和證明 第 15章 信息安全解決方案 1989年，確立了基于 OSI參考模型的信息安全體系結(jié)構(gòu)，1995年在此基礎(chǔ)上進(jìn)行修正，頒布了信息安全體系結(jié)構(gòu)的標(biāo)準(zhǔn)，具體包括五大類安全服務(wù)、八大種安全機(jī)制和相應(yīng)的安全管理標(biāo)準(zhǔn) (詳見(jiàn) ) 20世紀(jì) 90年代初，英、法、德、荷四國(guó)針對(duì) TCSEC準(zhǔn)則只考慮保密性的局限，聯(lián)合提出了包括保密性、完整性、可用性概念的“信息技術(shù)安全評(píng)價(jià)準(zhǔn)則” (ITSEC)，但是該準(zhǔn)則中并沒(méi)有給出綜合解決以上問(wèn)題的理論模型和方案。然而，國(guó)外研制的高安全級(jí)別的產(chǎn)品對(duì)我國(guó)是封鎖禁售的，即使出售給我們，其安全性也 第 15章 信息安全解決方案 安全體系結(jié)構(gòu)理論與技術(shù)主要包括安全體系模型的建立及其形式化描述與分析，安全策略和機(jī)制的研究，檢驗(yàn)和評(píng)估系統(tǒng)安全性的科學(xué)方法和準(zhǔn)則的建立，符合這些模型、策略和準(zhǔn)則的系統(tǒng)的研制 (比如安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)系統(tǒng)等 )。從國(guó)外引進(jìn)的操作系統(tǒng)，其安全性難以令人放心。他們可以通過(guò)對(duì)網(wǎng)絡(luò)上信息的監(jiān)聽(tīng)或者通過(guò)猜測(cè)得到用戶名及口令，這對(duì)他們而言都不是難事，而且只需花費(fèi)很少的時(shí)間。為解決此問(wèn)題，提出了 CA系統(tǒng)的構(gòu)建，即通過(guò)信任的第三方 第 15章 信息安全解決方案 4. 防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。網(wǎng)絡(luò)訪問(wèn)控制技術(shù)用于對(duì)系統(tǒng)進(jìn)行安全保護(hù)，抵抗各種外來(lái)攻擊。 第 15章 信息安全解決方案 4. 安全服務(wù)器主要針對(duì)一個(gè)局域網(wǎng)內(nèi)部信息存儲(chǔ)、傳輸?shù)陌踩Ｃ軉?wèn)題，其實(shí)現(xiàn)功能包括對(duì)局域網(wǎng)資源的管理和控制，對(duì)局域網(wǎng)內(nèi)用戶的管理，以及對(duì)局域網(wǎng)中所有安全相關(guān)事件的審計(jì)和跟蹤。在一個(gè)計(jì)算機(jī)系統(tǒng)中，很難簡(jiǎn)單地劃分某個(gè)設(shè)備是密碼設(shè)備，某個(gè)設(shè)備是通信設(shè)備。確切了解網(wǎng)絡(luò)信息系統(tǒng)需要解 (2) (3) 制訂可行的技術(shù)方案 ，包括工程實(shí)施方案 (產(chǎn)品的選購(gòu)與訂制 )、制訂管理辦法等。 第 15章 信息安全解決方案 5. 在網(wǎng)絡(luò)環(huán)境下，網(wǎng)絡(luò)病毒除了具有可傳播性、可執(zhí)行性、破壞性、可觸發(fā)性等計(jì)算機(jī)病毒的共性外，還具有一些新的特點(diǎn)，網(wǎng)絡(luò)病毒的這些新的特點(diǎn)都會(huì)對(duì)網(wǎng)絡(luò)與應(yīng)用造成極大 第 15章 信息安全解決方案 根據(jù)網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全需求，結(jié)合網(wǎng)絡(luò)安全體系模型， 1. 建議在網(wǎng)絡(luò)的各個(gè)入口處部署防火墻，對(duì)進(jìn)入企業(yè)網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)用戶進(jìn)行訪問(wèn)控制，主要實(shí)現(xiàn)如下防護(hù)功能 : (1) 對(duì)網(wǎng)絡(luò)用戶進(jìn)行身份驗(yàn)證，保證網(wǎng)絡(luò)用戶的合法性 。其中互聯(lián)網(wǎng)絡(luò)層的安全標(biāo)準(zhǔn)是 IPSec，事實(shí)證明，基于 IPSec技術(shù)構(gòu)建的VPN 第 15章 信息安全解決方案 3. 在傳統(tǒng)的網(wǎng)絡(luò)安全概念里，似乎配置了防火墻就標(biāo)志著網(wǎng)絡(luò)的安