【正文】 密文傳輸 (因為數(shù)據(jù)是密文 )，那么即使在傳輸過程中被截獲，入侵者也讀不懂，而且加密還能通過先進(jìn)的技術(shù)手段對數(shù)據(jù)傳輸過程中的完整性、真實性進(jìn)行鑒別，從而保證數(shù)據(jù)的保密性、完整性及可靠性。在沒有任何防范措施的情況下，網(wǎng)絡(luò)的安全主要是靠主機(jī)系統(tǒng)自身的安全設(shè)置 (如用戶名及口令 )簡單控制的。作為信息系統(tǒng)賴以支持的基礎(chǔ)系統(tǒng)軟件 ——操作系統(tǒng)，其安全性是關(guān)鍵。 第 15章 信息安全解決方案 標(biāo)準(zhǔn)于 1999年 7月通過國際標(biāo)準(zhǔn)化組織的認(rèn)可，被確立為國際標(biāo)準(zhǔn)，編號為 ISO/IEC 15408。 CC綜合了國際上已有的評測準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)的精華，給出了框架和原則要求，但它仍然缺少綜合解決信息的多種安全屬性的理論模型依據(jù)。 1999年 10月，我國發(fā)布了“計算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則”，該準(zhǔn)則為安全產(chǎn)品的研制提供了技術(shù)支持，也為安全系統(tǒng)的建設(shè)和管理提供了技 第 15章 信息安全解決方案 Linux開放源代碼為我們自主研制安全操作系統(tǒng)提供了前所未有的機(jī)遇。非法用戶的非法訪問也就是黑客或間諜的攻擊行為。信息的泄漏很多都是在鏈路上被搭線竊取的，數(shù)據(jù)也可能因為在鏈路上被截獲、被篡改后傳輸給對方，造成數(shù)據(jù)的真實性、完整性得不到保證。 由于新病毒的出現(xiàn)比較快，因此要求防病毒系統(tǒng)的病毒代碼 第 15章 信息安全解決方案 7. 在網(wǎng)絡(luò)建設(shè)中必須部署漏洞掃描系統(tǒng)，它能主動檢測本地主機(jī)系統(tǒng)存在安全性弱點的程序，采用模仿黑客入侵的手法對目標(biāo)網(wǎng)絡(luò)中的工作站、服務(wù)器、數(shù)據(jù)庫等各種系統(tǒng)以及路由器、交換機(jī)、防火墻等網(wǎng)絡(luò)設(shè)備可能存在的安全漏洞進(jìn)行逐項檢查，測試該系統(tǒng)上有沒有安全漏洞存在，然后就將掃描結(jié)果向系統(tǒng)管理員提供周密、可靠的安全性分析報告，從而讓管理人員從掃描出來的安全漏洞報告中了解網(wǎng)絡(luò)中服務(wù)器提供的各種服務(wù)及這些服務(wù)呈現(xiàn)在網(wǎng)絡(luò)上的安全漏洞，在系統(tǒng)安全防護(hù)中做到有的放矢，及時修補(bǔ)漏洞，從根本上 第 15章 信息安全解決方案 8. 計算機(jī)系統(tǒng)和網(wǎng)絡(luò)系統(tǒng)在工作時會產(chǎn)生電磁輻射，信息以電信號方式傳輸時也會產(chǎn)生電磁輻射，造成電磁泄漏。但它本 第 15章 信息安全解決方案 2. 由于 WAN連接需要專用的路由器設(shè)備，因而可通過路由器來控制網(wǎng)絡(luò)傳輸。隨著模式識別技術(shù)的發(fā)展，諸如指紋、視網(wǎng)膜、臉部特征等高級的身份識別技術(shù)也會投入應(yīng)用，并與數(shù)字簽名等現(xiàn)有技術(shù)結(jié)合，使得對于用戶身份的認(rèn)證和識別功能更 第 15章 信息安全解決方案 7. 由于網(wǎng)上的安全產(chǎn)品較多，且分布在不同的位置，這就需要建立一套集中管理的機(jī)制和設(shè)備，即安全管理中心。 第 15章 信息安全解決方案 安全解決方案的目標(biāo)是在不影響企業(yè)局域網(wǎng)當(dāng)前業(yè)務(wù)的前提下，實現(xiàn)對其局域網(wǎng)全面的安全管理。相對邊界網(wǎng)絡(luò)設(shè)備來說，熟知操作系統(tǒng)的人員的范圍要廣得多，而且在網(wǎng)絡(luò)上，很容易就能找到許多針對各種操作系統(tǒng)的漏洞的詳細(xì)描述，所以，針對操作系統(tǒng)和數(shù)據(jù)庫的入侵攻擊在 第 15章 信息安全解決方案 不管是什么操作系統(tǒng)，只要它運(yùn)行于網(wǎng)絡(luò)上，就必然會有或多或少的端口服務(wù)暴露在網(wǎng)絡(luò)上，而這些端口服務(wù)又恰恰可能存在致命的安全漏洞，這無疑會給該系統(tǒng)帶來嚴(yán)重的安全威脅，從而也給系統(tǒng)所在的網(wǎng)絡(luò)帶來很大的安全威脅。防火墻可以確定哪些內(nèi)部服務(wù)允許外部訪問，哪些外人被許可訪問所允許的內(nèi)部服務(wù)，哪些外部服務(wù)可由內(nèi)部人員訪問。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略作出反應(yīng)。另外，由于管理員的疏忽或者技術(shù)水平的限制所造成的配置漏洞也是廣泛存在的，這對于 第 15章 信息安全解決方案 動態(tài)安全的概念是幫助管理員主動發(fā)現(xiàn)問題。事實上，嵌入 Word文檔中的宏病毒通常通過網(wǎng)絡(luò)發(fā)送至未察覺的用戶。另外，這種防病毒軟件要能夠?qū)㈦[藏于電子郵件附件中的病毒在對其他用戶造成感染 第 15章 信息安全解決方案 當(dāng)發(fā)現(xiàn)病毒已進(jìn)入時，正是采取病毒響應(yīng)計劃的時候。 在入侵檢測的控制臺上觀察檢測結(jié)果，并形成報表打印輸出。 在安裝過程中應(yīng)盡量減少關(guān)閉和重啟整個系統(tǒng) 。 第 15章 信息安全解決方案 2023年 7月，國家信息化領(lǐng)導(dǎo)小組頒布的《國家信息化領(lǐng)導(dǎo)小組關(guān)于我國電子政務(wù)建設(shè)指導(dǎo)意見》中規(guī)定 : 電子政務(wù)網(wǎng)絡(luò)由政務(wù)內(nèi)網(wǎng)和政務(wù)外網(wǎng)構(gòu)成，兩網(wǎng)之間物理隔離，政務(wù)外網(wǎng)與互聯(lián)網(wǎng)之間邏輯隔離。 第 15章 信息安全解決方案 事實上，沒有與互聯(lián)網(wǎng)相連的系統(tǒng)不多，互聯(lián)網(wǎng)的用途還是很大，因此，希望能將一部分高安全性的網(wǎng)絡(luò)隔離封閉起來。本方案中的防火墻系統(tǒng)、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、安全管理系統(tǒng)具體的作用可以參考 第 15章 信息安全解決方案 物理隔離可以采用一些安全公司的知名產(chǎn)品。國內(nèi)主流的物理隔離設(shè)備有聯(lián)想網(wǎng)御 SIS3000系列安全隔離網(wǎng)閘、天行安全隔離網(wǎng)閘、偉思安全隔離與信息交換系統(tǒng)、中網(wǎng)物理隔離網(wǎng)閘等。 指網(wǎng)絡(luò)系統(tǒng)中各通信、計算機(jī)設(shè)備及相關(guān)設(shè)施的物理保護(hù)，免于破壞、丟失等。 :18:5523:18:55March 8, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 :18:5523:18Mar238Mar23 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , March 8, 2023 閱讀一切好書如同和過去最杰出的人談話。 2023年 3月 8日星期三 11時 18分 55秒 23:18:558 March 2023 1一個人即使已登上頂峰，也仍要自強(qiáng)不息。勝人者有力，自勝者強(qiáng)。 。 2023年 3月 8日星期三 11時 18分 55秒 23:18:558 March 2023 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 , March 8, 2023 雨中黃葉樹，燈下白頭人。 第 15章 信息安全解決方案 (3) 網(wǎng)絡(luò)安全需求包括物理安全需求、訪問控制需求、加密需求與 CA系統(tǒng)構(gòu)建、入侵檢測系統(tǒng)需求、安全風(fēng)險評估系統(tǒng)需求、防病毒系統(tǒng)需求、漏洞掃描需求、電磁泄漏防護(hù)需求。在極端情況下，即使黑客攻破了外網(wǎng)主機(jī)模塊，但由于無從了解隔離交換模塊的工作機(jī)制，因此無法 第 15章 信息安全解決方案 由內(nèi)、外網(wǎng)主機(jī)模塊分別負(fù)責(zé)接收來自所連接網(wǎng)絡(luò)的訪問請求，兩模塊間沒有直接的物理連接，形成一個物理隔斷，從而保證了可信網(wǎng)和非可信網(wǎng)之間沒有數(shù)據(jù)包的交換，沒有網(wǎng)絡(luò)連接的建立。其數(shù)據(jù)傳輸機(jī)制是存儲和轉(zhuǎn)發(fā)。較早的用詞為 Physical Disconnection，直譯為物理斷開。隨著網(wǎng)絡(luò)的發(fā)展與普及，政府行業(yè)單位也由局域網(wǎng)擴(kuò)充到廣域網(wǎng)。 第 15章 信息安全解決方案 (4) 下屬單位能夠通過防火墻與安全客戶端軟件之間的安全互聯(lián)，建立通過 Inter相連的“虛擬專用網(wǎng)”，解決在網(wǎng)上傳輸?shù)膬?nèi)部信息安全問題，方便管理，并極大地降低了成本。 第 15章 信息安全解決方案 圖 1542 某大型企業(yè)網(wǎng)絡(luò)防御布置示意圖 第 15章 信息安全解決方案 該防御體系由漏洞掃描與入侵檢測聯(lián)動系統(tǒng)、入侵檢測與防火墻的聯(lián)動系統(tǒng)及防病毒系統(tǒng)組成。所以，建議對在各個局域網(wǎng)的交換區(qū)與局域網(wǎng)內(nèi)部網(wǎng)段上的服務(wù)器進(jìn)行特別的保護(hù)，將病毒掃描技術(shù)和服務(wù)器的管理能力結(jié)合在一起 (用于 Novell NetWare、 Microsoft NT和 UNIX服務(wù)器 )，對服務(wù)器接收和發(fā)送的被病毒感染的文件以及已經(jīng)存在于其他服務(wù)器的病毒進(jìn)行檢測。該系統(tǒng)具有強(qiáng)大的漏洞檢測能力和檢測效率、 貼切用戶需求的功能定義、靈活多樣的檢測方式、詳盡的漏洞修補(bǔ)方 第 15章 信息安全解決方案 通過在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)進(jìn)行自動的安全漏洞檢測和分 析，我們可以做到以下幾點 : (1) 對企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)重要服務(wù)器和 PC進(jìn)行漏洞掃描，發(fā)現(xiàn)由于安全管理配置不當(dāng)、疏忽或操作系統(tǒng)本身存在的漏洞 (這些漏洞會使系統(tǒng)中的資料容易被網(wǎng)絡(luò)上懷有惡意的人竊取，甚至造成系統(tǒng)本身的崩潰 )，生成詳細(xì)的可