【正文】 視化報告，同 (2) 對企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)邊界組件、基礎(chǔ)組件和其他系統(tǒng)進(jìn)行漏洞掃描，檢查系統(tǒng)的潛在問題，發(fā)現(xiàn)操作系統(tǒng)存在 第 15章 信息安全解決方案 (3) 漏洞掃描系統(tǒng)對網(wǎng)絡(luò)及各種系統(tǒng)進(jìn)行定期或不定期的掃描監(jiān)測，并向安全管理員提供系統(tǒng)最新的漏洞報告，使管理員能夠隨時了解網(wǎng)絡(luò)系統(tǒng)當(dāng)前存在的漏洞并及時采取相應(yīng)的措施進(jìn)行修補(bǔ)。入侵檢測報警日志的功能是對所有對網(wǎng) 絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報警及響應(yīng)。雖然通過防火墻可以隔離大部分的外部攻擊，但是仍然會有小部分攻擊通過正常的訪問的漏洞滲透到內(nèi)部網(wǎng)絡(luò)。 (2) 能夠屏蔽流行的攻擊手段 。 第 15章 信息安全解決方案 威脅就是將會對資產(chǎn)造成不利影響的潛在的事件或行為，包括自然的、故意的以及偶然的情況。而這種融合的最終目的還是在于為用戶提供高可信任的、安全 第 15章 信息安全解決方案 網(wǎng)絡(luò)安全問題的解決是一個綜合性問題，涉及諸多因素，包括技術(shù)、產(chǎn)品和管理等。 第 15章 信息安全解決方案 5. 電子簽證機(jī)構(gòu) —— CA和 PKI 電子簽證機(jī)構(gòu) (CA)作為通信的第三方，為各種服務(wù)提供可信任的認(rèn)證服務(wù)。目前，在市場上比較流行，而又能夠代表未來 第 15章 信息安全解決方案 1. 防火墻在某種意義上可以說是一種訪問控制產(chǎn)品。防火墻可以對所有的訪問進(jìn)行嚴(yán)格控制 (允許、禁止、報警 )，但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過防火墻的其他攻擊。因此，要采取一定的訪問控制手段，防范來自非法用戶的攻擊，保證只有合法用戶才能訪問合法資源。具有我國自主版權(quán)的安全操作系統(tǒng)產(chǎn) 品在我國各行各業(yè)都迫切需要。 我國在系統(tǒng)安全的研究及應(yīng)用方面與先進(jìn)國家和地區(qū)存在著很大的差距。第 15章 信息安全解決方案 信息安全體系結(jié)構(gòu)現(xiàn)狀 網(wǎng)絡(luò)安全需求 網(wǎng)絡(luò)安全產(chǎn)品 某大型企業(yè)網(wǎng)絡(luò)安全解決方案案例 電子政務(wù)安全平臺實(shí)施方案 小結(jié) 習(xí)題 第 15章 信息安全解決方案 20世紀(jì) 80年代中期，美國國防部為適應(yīng)軍事計算機(jī)的保密需要，在 20世紀(jì) 70年代的基礎(chǔ)理論研究成果計算機(jī)保密模型 (Bell＆ Lapadula模型 )的基礎(chǔ)上，制定了“可信計算機(jī)系統(tǒng)安全評價準(zhǔn)則” (TCSEC)，其后又對網(wǎng)絡(luò)系統(tǒng)、數(shù)據(jù)庫等方面作出了一系列安全解釋，形成了安全信息系統(tǒng)體系結(jié)構(gòu)的最早原則。近幾年來，我國進(jìn)行了安全操作系統(tǒng)、安全數(shù)據(jù)庫、多級安全機(jī)制的研究，但由于自主安全內(nèi)核受控于人，難以保證沒有漏洞，而且大部分有關(guān)的工作都以美國1985年的 TCSEC標(biāo)準(zhǔn)為主要參照系。我國的政府、國防、金融等機(jī)構(gòu)對操作系統(tǒng)的安全都有各自的要求，都迫切需要找到一 個既滿足功能、性能要求，又具備足夠的安全可信度的操作系統(tǒng)。 第 15章 信息安全解決方案 合法用戶的非授權(quán)訪問是指合法用戶在沒有得到許可的情況下訪問了他本不該訪問的資源。所以，為確保網(wǎng)絡(luò)更加安全，必須配備入侵檢測系統(tǒng)，對透過防火墻的攻擊進(jìn)行檢測，并做相應(yīng)的反應(yīng) (記錄、報警、阻斷 ) 第 15章 信息安全解決方案 5. 網(wǎng)絡(luò)系統(tǒng)和操作系統(tǒng)存在安全漏洞 (如安全配置不嚴(yán)密等 )等是使黑客等入侵者的攻擊屢屢得手的重要因素。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對內(nèi)部資源的非法訪問，防止內(nèi)部對外部的不安全訪問。 CA可向用戶發(fā)行電子證書，為用戶提供成員身份驗證和密鑰管理等功能。國際上已有眾多的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，但由于出口政策和自主性等問題，目前還不能直接用于解決我國自己的網(wǎng)絡(luò)安全問題，因此我國的網(wǎng)絡(luò)安全問題只能借鑒這些先進(jìn)技術(shù)和產(chǎn)品自行解決。可以說威脅是不可避免的，我們必須采取有效的措施，以降低各種情況造成的威 1. 邊界網(wǎng)絡(luò)設(shè)備面臨的威脅主要有以下兩點(diǎn) : (1) 入侵者通過控制邊界網(wǎng)絡(luò)設(shè)備進(jìn)一步了解網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，利用網(wǎng)絡(luò)滲透搜集信息，為擴(kuò)大網(wǎng)絡(luò)入侵范圍奠定基礎(chǔ)。 (3) 對遠(yuǎn)程訪問的用戶提供通信線路的加密連接 。另外，據(jù)統(tǒng)計，有 70％以上的攻擊事件來自內(nèi)部網(wǎng)絡(luò)，也就是說內(nèi)部人員作案，而這恰恰是防火墻的盲區(qū)。由于網(wǎng)絡(luò)攻擊大多來自于網(wǎng)絡(luò)的出口位置，因此入侵檢測在此處將承擔(dān)實(shí)時監(jiān)測大量出入整個網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流的任務(wù)。 (4) 在核心交換機(jī)上接入一臺裝有漏洞掃描系統(tǒng)軟件的 PC或筆記本電腦，直接輸入目標(biāo)主機(jī)的 IP地址，對其系統(tǒng)的漏洞 第 15章 信息安全解決方案 5. 一般計算機(jī)的病毒有超過 20%是通過網(wǎng)絡(luò)下載文檔時感染的，另外有 26%是經(jīng)電子郵件的附加文檔感染的，這就需要一套方便、易用的病毒掃描器，使企業(yè)的計算機(jī)環(huán)境免受 建議采用三層防病毒部署體系來實(shí)現(xiàn)對企業(yè)網(wǎng)絡(luò)的病毒 第 15章 信息安全解決方案 1) Email 在企業(yè)網(wǎng)絡(luò)系統(tǒng)建成之后，網(wǎng)絡(luò)成了病毒傳播的主要途徑。一旦檢測到病毒，立刻將該感染 第 15章 信息安全解決方案 3) 在 XXX網(wǎng)絡(luò)系統(tǒng)中有大量的個人用戶，桌面系統(tǒng)和遠(yuǎn)程PC是主要的病毒感染源。用戶主動防范攻擊行為，尤其是防范從單位內(nèi)部發(fā)起的攻擊。 第 15章 信息安全解決方案 企業(yè)根據(jù)自身的需要，網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)選用賽門鐵克、趨勢科技、瑞星等知名品牌系統(tǒng)。互聯(lián)網(wǎng)的開放性會使政府網(wǎng)絡(luò)受到來自外部互聯(lián)網(wǎng)的安全威脅、內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)互聯(lián)的安全威脅和內(nèi)部網(wǎng)絡(luò)的安全威脅。這種情況是完全可以理解的，保密網(wǎng)與互聯(lián)網(wǎng)連接后，出現(xiàn)很多問題，在沒有解決安全問題或沒有解決問題的技術(shù)手段之前，先斷開再說。物理隔離的好處是明顯的，即使外網(wǎng)在最壞的情況下，內(nèi)網(wǎng)也不會有任何 第 15章 信息安全解決方案 政務(wù)平臺的安全解決方案見圖 1551。 在此前提下，通過專有硬件實(shí)現(xiàn)網(wǎng)絡(luò)間信息的實(shí)時交換。網(wǎng)絡(luò)威脅一般包含邊界網(wǎng)絡(luò)設(shè)備安全威脅、信息基礎(chǔ)安全平臺威脅、內(nèi)部網(wǎng)絡(luò)的失誤操作行為、源自內(nèi)部網(wǎng)絡(luò)的 第 15章 信息安全解決方案 (4) 根據(jù)網(wǎng)絡(luò)系統(tǒng)的實(shí)際安全需求，結(jié)合網(wǎng)絡(luò)安全體系模型，一般采用防火墻、入侵檢測、漏洞掃描、防病毒、VPN、物理隔離等網(wǎng)絡(luò)安全防護(hù)措施。 23:18:5523:18:5523:183/8/2023 11:18:55 PM 1以我獨(dú)沈久，愧君相見頻。 下午 11時 18分 55秒 下午 11時 18分 23:18: 沒有失敗，只有暫時停止成功！。 2023年 3月 下午 11時 18分 :18March 8, 2023 1少年十五二十時，步行奪得胡馬騎。 :18:5523:18:55March 8, 2023 1意志堅強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 2023年 3月 下午 11時 18分 :18March 8, 2023 1業(yè)余生活要有意義，不要越軌。 下午 11時 18分 55秒 下午 11時 18分 23:18: 楊柳散和風(fēng)，青山澹吾慮。 23:18:5523:18:5523:183/8/2023 11:18:55 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 23:18:5523:18:5523:18Wednesday, March 8, 2023 1乍見翻疑夢，相悲各問年。 習(xí) 題 第 15章 信息安全解決方案 3. 網(wǎng)絡(luò)安全包括 和邏輯安全。當(dāng)前，物理隔離產(chǎn)品較多，很多都集成了訪問控制、負(fù)載均衡、協(xié)議分析等功能。首先，將整個網(wǎng)絡(luò)系統(tǒng)分為兩部分 : (1) 內(nèi)外系統(tǒng) : 與政府專網(wǎng)相連，主要功能是內(nèi)部辦公， (2) 外網(wǎng)系統(tǒng) : 與互聯(lián)網(wǎng)連接，主要功能是對外發(fā)布信息， 第 15章 信息安全解決方案 圖 1551 政府機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)方案圖 第 15章 信息安全解決方案 安裝防火墻將外網(wǎng)系統(tǒng)與互聯(lián)網(wǎng)隔離，安裝物理隔離系統(tǒng)將內(nèi)網(wǎng)與外網(wǎng)系統(tǒng)隔離。后期發(fā)現(xiàn)完全斷開也不