【正文】 密文傳輸 (因?yàn)閿?shù)據(jù)是密文 )，那么即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密還能通過先進(jìn)的技術(shù)手段對(duì)數(shù)據(jù)傳輸過程中的完整性、真實(shí)性進(jìn)行鑒別，從而保證數(shù)據(jù)的保密性、完整性及可靠性。在沒有任何防范措施的情況下，網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全設(shè)置 (如用戶名及口令 )簡(jiǎn)單控制的。作為信息系統(tǒng)賴以支持的基礎(chǔ)系統(tǒng)軟件 ——操作系統(tǒng)，其安全性是關(guān)鍵。 第 15章 信息安全解決方案 標(biāo)準(zhǔn)于 1999年 7月通過國際標(biāo)準(zhǔn)化組織的認(rèn)可，被確立為國際標(biāo)準(zhǔn)，編號(hào)為 ISO/IEC 15408。 CC綜合了國際上已有的評(píng)測(cè)準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)的精華，給出了框架和原則要求，但它仍然缺少綜合解決信息的多種安全屬性的理論模型依據(jù)。 1999年 10月，我國發(fā)布了“計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則”，該準(zhǔn)則為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技 第 15章 信息安全解決方案 Linux開放源代碼為我們自主研制安全操作系統(tǒng)提供了前所未有的機(jī)遇。非法用戶的非法訪問也就是黑客或間諜的攻擊行為。信息的泄漏很多都是在鏈路上被搭線竊取的，數(shù)據(jù)也可能因?yàn)樵阪溌飞媳唤孬@、被篡改后傳輸給對(duì)方，造成數(shù)據(jù)的真實(shí)性、完整性得不到保證。 由于新病毒的出現(xiàn)比較快，因此要求防病毒系統(tǒng)的病毒代碼 第 15章 信息安全解決方案 7. 在網(wǎng)絡(luò)建設(shè)中必須部署漏洞掃描系統(tǒng)，它能主動(dòng)檢測(cè)本地主機(jī)系統(tǒng)存在安全性弱點(diǎn)的程序，采用模仿黑客入侵的手法對(duì)目標(biāo)網(wǎng)絡(luò)中的工作站、服務(wù)器、數(shù)據(jù)庫等各種系統(tǒng)以及路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查，測(cè)試該系統(tǒng)上有沒有安全漏洞存在，然后就將掃描結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報(bào)告，從而讓管理人員從掃描出來的安全漏洞報(bào)告中了解網(wǎng)絡(luò)中服務(wù)器提供的各種服務(wù)及這些服務(wù)呈現(xiàn)在網(wǎng)絡(luò)上的安全漏洞，在系統(tǒng)安全防護(hù)中做到有的放矢，及時(shí)修補(bǔ)漏洞，從根本上 第 15章 信息安全解決方案 8. 計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)在工作時(shí)會(huì)產(chǎn)生電磁輻射，信息以電信號(hào)方式傳輸時(shí)也會(huì)產(chǎn)生電磁輻射，造成電磁泄漏。但它本 第 15章 信息安全解決方案 2. 由于 WAN連接需要專用的路由器設(shè)備，因而可通過路由器來控制網(wǎng)絡(luò)傳輸。隨著模式識(shí)別技術(shù)的發(fā)展，諸如指紋、視網(wǎng)膜、臉部特征等高級(jí)的身份識(shí)別技術(shù)也會(huì)投入應(yīng)用，并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合，使得對(duì)于用戶身份的認(rèn)證和識(shí)別功能更 第 15章 信息安全解決方案 7. 由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。 第 15章 信息安全解決方案 安全解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實(shí)現(xiàn)對(duì)其局域網(wǎng)全面的安全管理。相對(duì)邊界網(wǎng)絡(luò)設(shè)備來說，熟知操作系統(tǒng)的人員的范圍要廣得多，而且在網(wǎng)絡(luò)上，很容易就能找到許多針對(duì)各種操作系統(tǒng)的漏洞的詳細(xì)描述，所以，針對(duì)操作系統(tǒng)和數(shù)據(jù)庫的入侵攻擊在 第 15章 信息安全解決方案 不管是什么操作系統(tǒng)，只要它運(yùn)行于網(wǎng)絡(luò)上，就必然會(huì)有或多或少的端口服務(wù)暴露在網(wǎng)絡(luò)上，而這些端口服務(wù)又恰恰可能存在致命的安全漏洞，這無疑會(huì)給該系統(tǒng)帶來嚴(yán)重的安全威脅，從而也給系統(tǒng)所在的網(wǎng)絡(luò)帶來很大的安全威脅。防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外人被許可訪問所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時(shí)，入侵檢測(cè)系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。另外，由于管理員的疏忽或者技術(shù)水平的限制所造成的配置漏洞也是廣泛存在的，這對(duì)于 第 15章 信息安全解決方案 動(dòng)態(tài)安全的概念是幫助管理員主動(dòng)發(fā)現(xiàn)問題。事實(shí)上，嵌入 Word文檔中的宏病毒通常通過網(wǎng)絡(luò)發(fā)送至未察覺的用戶。另外，這種防病毒軟件要能夠?qū)㈦[藏于電子郵件附件中的病毒在對(duì)其他用戶造成感染 第 15章 信息安全解決方案 當(dāng)發(fā)現(xiàn)病毒已進(jìn)入時(shí)，正是采取病毒響應(yīng)計(jì)劃的時(shí)候。 在入侵檢測(cè)的控制臺(tái)上觀察檢測(cè)結(jié)果，并形成報(bào)表打印輸出。 在安裝過程中應(yīng)盡量減少關(guān)閉和重啟整個(gè)系統(tǒng) 。 第 15章 信息安全解決方案 2023年 7月，國家信息化領(lǐng)導(dǎo)小組頒布的《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》中規(guī)定 : 電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。 第 15章 信息安全解決方案 事實(shí)上，沒有與互聯(lián)網(wǎng)相連的系統(tǒng)不多，互聯(lián)網(wǎng)的用途還是很大，因此，希望能將一部分高安全性的網(wǎng)絡(luò)隔離封閉起來。本方案中的防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、安全管理系統(tǒng)具體的作用可以參考 第 15章 信息安全解決方案 物理隔離可以采用一些安全公司的知名產(chǎn)品。國內(nèi)主流的物理隔離設(shè)備有聯(lián)想網(wǎng)御 SIS3000系列安全隔離網(wǎng)閘、天行安全隔離網(wǎng)閘、偉思安全隔離與信息交換系統(tǒng)、中網(wǎng)物理隔離網(wǎng)閘等。 指網(wǎng)絡(luò)系統(tǒng)中各通信、計(jì)算機(jī)設(shè)備及相關(guān)設(shè)施的物理保護(hù)，免于破壞、丟失等。 :18:5523:18:55March 8, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 :18:5523:18Mar238Mar23 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無限完美。 , March 8, 2023 閱讀一切好書如同和過去最杰出的人談話。 2023年 3月 8日星期三 11時(shí) 18分 55秒 23:18:558 March 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023年 3月 8日星期三 11時(shí) 18分 55秒 23:18:558 March 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 , March 8, 2023 雨中黃葉樹，燈下白頭人。 第 15章 信息安全解決方案 (3) 網(wǎng)絡(luò)安全需求包括物理安全需求、訪問控制需求、加密需求與 CA系統(tǒng)構(gòu)建、入侵檢測(cè)系統(tǒng)需求、安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)需求、防病毒系統(tǒng)需求、漏洞掃描需求、電磁泄漏防護(hù)需求。在極端情況下，即使黑客攻破了外網(wǎng)主機(jī)模塊，但由于無從了解隔離交換模塊的工作機(jī)制，因此無法 第 15章 信息安全解決方案 由內(nèi)、外網(wǎng)主機(jī)模塊分別負(fù)責(zé)接收來自所連接網(wǎng)絡(luò)的訪問請(qǐng)求，兩模塊間沒有直接的物理連接，形成一個(gè)物理隔斷，從而保證了可信網(wǎng)和非可信網(wǎng)之間沒有數(shù)據(jù)包的交換，沒有網(wǎng)絡(luò)連接的建立。其數(shù)據(jù)傳輸機(jī)制是存儲(chǔ)和轉(zhuǎn)發(fā)。較早的用詞為 Physical Disconnection，直譯為物理斷開。隨著網(wǎng)絡(luò)的發(fā)展與普及，政府行業(yè)單位也由局域網(wǎng)擴(kuò)充到廣域網(wǎng)。 第 15章 信息安全解決方案 (4) 下屬單位能夠通過防火墻與安全客戶端軟件之間的安全互聯(lián)，建立通過 Inter相連的“虛擬專用網(wǎng)”，解決在網(wǎng)上傳輸?shù)膬?nèi)部信息安全問題，方便管理，并極大地降低了成本。 第 15章 信息安全解決方案 圖 1542 某大型企業(yè)網(wǎng)絡(luò)防御布置示意圖 第 15章 信息安全解決方案 該防御體系由漏洞掃描與入侵檢測(cè)聯(lián)動(dòng)系統(tǒng)、入侵檢測(cè)與防火墻的聯(lián)動(dòng)系統(tǒng)及防病毒系統(tǒng)組成。所以，建議對(duì)在各個(gè)局域網(wǎng)的交換區(qū)與局域網(wǎng)內(nèi)部網(wǎng)段上的服務(wù)器進(jìn)行特別的保護(hù)，將病毒掃描技術(shù)和服務(wù)器的管理能力結(jié)合在一起 (用于 Novell NetWare、 Microsoft NT和 UNIX服務(wù)器 )，對(duì)服務(wù)器接收和發(fā)送的被病毒感染的文件以及已經(jīng)存在于其他服務(wù)器的病毒進(jìn)行檢測(cè)。該系統(tǒng)具有強(qiáng)大的漏洞檢測(cè)能力和檢測(cè)效率、 貼切用戶需求的功能定義、靈活多樣的檢測(cè)方式、詳盡的漏洞修補(bǔ)方 第 15章 信息安全解決方案 通過在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)進(jìn)行自動(dòng)的安全漏洞檢測(cè)和分 析，我們可以做到以下幾點(diǎn) : (1) 對(duì)企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)重要服務(wù)器和 PC進(jìn)行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會(huì)使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰 )，生成詳細(xì)的可