【正文】 ； ? 按其在不同層次上實現(xiàn)，可分四種： ?鏈路層 VPN ?網(wǎng)絡(luò)層 VPN ?傳輸層 VPN ?非 IP類 VPN ? VPN應(yīng)用領(lǐng)域包括： ?遠程移動用戶遠程訪問公司總部； ?總部與分支機構(gòu)在公網(wǎng)上組建內(nèi)域網(wǎng) ； ?內(nèi)域網(wǎng)與合作伙伴網(wǎng)絡(luò)連接形成外域網(wǎng)。 五類安全業(yè)務(wù) 五大 類安全業(yè)務(wù) 訪問控制業(yè)務(wù) 數(shù)據(jù)保密性業(yè)務(wù) 數(shù)據(jù)完整性業(yè)務(wù) 對象認證業(yè)務(wù) 不可否認業(yè)務(wù) 規(guī)定的八個安全機制 規(guī)定的八個安全機制 加密 數(shù)字簽名 訪問控制 數(shù)據(jù)完整性 認證交換 數(shù)據(jù)流填充 路由控制 公證 網(wǎng)絡(luò)安全技術(shù) 網(wǎng)絡(luò)安全的七個安全技術(shù) 防火墻技術(shù) 加密技術(shù) 認證技術(shù) 數(shù)字簽名技術(shù) 安全審計技術(shù) 監(jiān)控技術(shù) 病毒防治技術(shù) （四）安全工作的目標 安全工作的目標 “進不來” —— 訪問控制機制 “拿不走” —— 授權(quán)機制 “看不懂” —— 加密機制 “改不了” —— 數(shù)據(jù)完整性機制 “逃不掉” —— 審計 /監(jiān)控 /簽名機制 （五）安全體系結(jié)構(gòu) 安全體系結(jié)構(gòu)簡介 物理安全 — 機房 屏蔽 門鎖 防電磁輻射 網(wǎng)絡(luò)安全 — 服務(wù)器 入侵檢測 防毒 備份 信息安全 — 加密 完整性 防抵賴 數(shù)據(jù)庫 安全管理 — 多人原則 任期有限 職責分離 制定并貫徹安全管理制度 在對系統(tǒng)安全方案和系統(tǒng)安全處理的同時，還必須制定出一套完整的安全管理制度。 ? 安全管理的目標是要以業(yè)務(wù)安全需求為導向，以保證政府業(yè)務(wù)連續(xù)性為目的，通過對業(yè)務(wù)信息系統(tǒng)的運行狀態(tài)、安全事件、資產(chǎn)、漏洞、威脅、風險、預警、安全策略、安全知識等安全要素進行收集、分析、管理，提供以業(yè)務(wù)風險管理為核心的安全運行管理平臺。 ? IT資源環(huán)境的定義 ? IT資源環(huán)境是指包括網(wǎng)絡(luò)和安全基礎(chǔ)設(shè)施、主機、服務(wù)器、支撐服務(wù)和應(yīng)用中間件，以及業(yè)務(wù)運營系統(tǒng)在內(nèi)的企業(yè)和組織所有 IT設(shè)施的總和，它既有硬件，也有軟件。在 GB/T 2202712022中，進一步指出信息系統(tǒng)一般由支持軟件運行的硬件系統(tǒng)（含計算機硬件和網(wǎng)絡(luò)硬件系統(tǒng)）、對系統(tǒng)資源進行管理和為用戶使用提供基本支持的系統(tǒng)軟件（含計算機操作系統(tǒng)軟件、數(shù)據(jù)庫管理系統(tǒng)軟件、網(wǎng)絡(luò)協(xié)議軟件和管理軟件）、實現(xiàn)信息系統(tǒng)應(yīng)用功能的應(yīng)用系統(tǒng)軟件等組成。在我國， PKI建設(shè)在幾年前就已開始啟動。 除此之外， PKI中還包括 證書策略 、 證書路徑 、 證書的使用者 等。 國內(nèi) PKI問題與思考（續(xù)） ● 證書中心 CA 它是整個證書與密鑰管理系統(tǒng)的核心，可完成系統(tǒng)的核心處理功能，包括：產(chǎn)生和管理 CA與用戶的密鑰、簽發(fā)各種證書和 CRL（證書撤消列表）、管理和維護核心數(shù)據(jù)庫中的用戶證書及密鑰信息，以及對其他模塊的請求進行處理和應(yīng)答。 ? 設(shè)備安全：設(shè)備安全主要包括設(shè)備的防盜 、 防毀 、 防電磁信息輻射泄漏 、 防止線路截獲 、 抗電磁干擾及電源保護等：設(shè)備冗余備份；通過嚴格管理及提高員工的整體安全意識來實現(xiàn) 。 84 ? 對于數(shù)據(jù)庫技術(shù)，在我國電子政務(wù)系統(tǒng)建設(shè)進程中擁有極大的需求量、應(yīng)用也極為廣泛，因為我國 80%的社會信息資源在政府手。某些政府部門的網(wǎng)絡(luò)管理員甚至認為自己所有的部門不是特別重要的機構(gòu)或從來沒有受到黑客的攻擊，以后就不會成為黑客的攻擊目標。可以說，安全體系結(jié)構(gòu)是一個持續(xù)的過程，安全策略應(yīng)適應(yīng)網(wǎng)絡(luò)的動態(tài)性。安全體系結(jié)構(gòu)必須根據(jù)攻擊手段的發(fā)展進行相應(yīng)的更新的升級。這包括制定和實施一系列規(guī)章制度如網(wǎng)絡(luò)操作使用規(guī)程、機房管理制度、網(wǎng)絡(luò)系統(tǒng)的維護制度和應(yīng)急措施；加強員工安全培訓并采用專業(yè)安全人員對網(wǎng)絡(luò)進行管理、維護和升級；必要的話還可以選擇安全顧問公司進行技術(shù)支持。 對于操作系統(tǒng)而言，如微軟的 Windows，其安全性無法得到充分保障，對信息安全構(gòu)成潛在威脅。 ? 環(huán)境安全：對系統(tǒng)所在環(huán)境的安全保護 ， 如區(qū)域保護和災(zāi)難保護 。但是無庸諱言的是，我國 PKI/CA建設(shè)還處在起步的階段，存在不少亟待解決的問題。 ?PKI的組成： ?數(shù)字證書是 PKI中最基本的元素，所有安全操作都主要通過證書來實現(xiàn)。 ?7月初，“亞洲 PKI論壇”第二屆年會在北京召開，這將是迄今為止國內(nèi)最具規(guī)模的 PKI專題研討會。 ? 在我國信息安全領(lǐng)域，一般把業(yè)務(wù)的技術(shù)支撐架構(gòu)稱為計算機信息系統(tǒng)，簡稱信息系統(tǒng)。通過安全管理系統(tǒng)可以有效地進行 IT信息系統(tǒng)的審計與合規(guī)管理。在不同的層面，安全管理有著不同的內(nèi)涵和外延。 制訂一套完整的安全方案 一套完整的安全方案是整個系統(tǒng)安全的有力保障，要結(jié)合自己實際的網(wǎng)絡(luò)狀況，從人力、物力、財力做好部署與配臵，由于安全方案涉及到了安全理論、安全產(chǎn)品、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技術(shù)實現(xiàn)等多方面專業(yè)技能，并且要求要有較高的認知能力，大多數(shù)企業(yè)、公司、政府等可能不具備此能力，此時可以聘請專業(yè)安全顧問公司來完成。 行動 3： 一旦安全目標已定 ， 我們就必須采取適當?shù)男袆?。 性能是非常關(guān)鍵的 如果產(chǎn)生了性能問題， IDS就不能用。只有這樣，我們才能知道系統(tǒng)是否已經(jīng)對漏洞打了補丁，訪問控制方案是否存在弱口令，對 root或管理員的訪問是否控制得當。如果 IDS沒有即時響應(yīng)計劃，實際上降低了 IDS自身的價值， IDS的日志就變成毫無價值的數(shù)據(jù)。它利用指示器和告警、網(wǎng)絡(luò)監(jiān)控和管理數(shù)據(jù)、已知漏洞和威脅等信息，構(gòu)造一個攻擊復原程序。這些數(shù)據(jù)包能夠逃過許多防火墻的簡單過濾規(guī)則的過濾，進入到內(nèi)部網(wǎng)絡(luò)。 濫用檢測（ Abuse Detection） 在濫用檢測方式下， IDS對它收集到的信息進行分析，并與攻擊簽名數(shù)據(jù)庫進行比較。 安全日志與審計系統(tǒng)運行環(huán)境 服務(wù)器（中標） 外部網(wǎng) 內(nèi)部網(wǎng) 路由器 集線器 數(shù)據(jù)采集器 數(shù)據(jù)庫網(wǎng)關(guān) 自動解壓 自動翻譯 綜合管理 打印機 （五）入侵檢測系統(tǒng) — IDS 在戰(zhàn)場上，你希望在要保護的地帶布臵哨兵；在網(wǎng)絡(luò)中，你需要在要保護的關(guān)鍵部位布臵入侵檢測系統(tǒng)（ IDS— Intrusion Detection System）。 ? 數(shù)據(jù)加密可在通信的三個層次來實現(xiàn)： ? 鏈路加密； ? 節(jié)點加密； ? 端到端加密。 安全威脅 ? 操作系統(tǒng)的安全性； ? 防火墻的安全性； ? 來自內(nèi)部網(wǎng)用戶的安全威脅； ? TCP/IP協(xié)議族軟件本身缺乏安全性； ? 電子郵件病毒、邏輯炸彈等； ? Web頁面中存在惡意的 Java/ActiveX控件； ? 應(yīng)用服務(wù)的訪問控制、安全設(shè)計存在漏洞； ? 缺乏有效的手段監(jiān)視、評估網(wǎng)絡(luò)的安全性。 事實上系統(tǒng)和應(yīng)用大多是由系統(tǒng)集成商來完成的，其做法往往是最大化安裝，以方便安裝調(diào)試，把整個系統(tǒng)調(diào)通就算完成了任務(wù)，遺憾的是留下很多的安全隱患；而安全卻恰恰相反，遵循最小化原則，要求沒必要的東西一定不要。 電子政務(wù)的社會服務(wù)職能使得電子政務(wù)系統(tǒng)的安全運行更加重要 。 信息保密服務(wù)： 對于傳輸中需要保密的信息，采用密碼技術(shù)進行加解密處理，防止信息的非授權(quán)泄漏。 ? 計算機安全和網(wǎng)絡(luò)安全都是信息安全。 ? 機密性：保證信息不泄露給未經(jīng)授權(quán)的人。