【正文】 :18:5523:18Mar238Mar23 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 。 小 第 15章 信息安全解決方案 (2) 網(wǎng)絡(luò)安全研究?jī)?nèi)容包括網(wǎng)絡(luò)安全整體解決方案的設(shè)計(jì)與分析以及網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等。現(xiàn)在，一般用 Gap Technology來(lái)表示物理隔離，它已成為互聯(lián)網(wǎng)上的一個(gè)專用 第 15章 信息安全解決方案 物理隔離技術(shù)不是要替代防火墻、入侵檢測(cè)、漏洞掃描和防病毒系統(tǒng)，相反，它是用戶“深度防御”的安全策略的另一塊基石。 防病毒系統(tǒng)的升級(jí)和部署功能應(yīng)做到完全自動(dòng) 化，整個(gè)系統(tǒng)應(yīng)具有每日更新的能力 。如果有足夠的備份，不會(huì)丟失太多數(shù)據(jù)，就應(yīng)考慮徹底刪掉感染系統(tǒng)中的所有數(shù)據(jù)，再重新配置。因此企業(yè)網(wǎng)絡(luò)系統(tǒng)需要一套幫助管理員監(jiān)控網(wǎng)絡(luò)通信數(shù)據(jù)流、發(fā)現(xiàn)網(wǎng)絡(luò)漏洞并解 第 15章 信息安全解決方案 在企業(yè)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)漏洞掃描系統(tǒng)配置中，我們建議采用啟明星辰公司的“天鏡”網(wǎng)絡(luò)漏洞掃描系統(tǒng)。 VPNIPSec L2F、 L2TP、 PPTP、 MPPE、 SSL等。 通常，設(shè)計(jì)一套安全方案涉及以下步驟 : (1) 網(wǎng)絡(luò)安全需求分析。 VPN的構(gòu)架通常都要求采用具有加密功能的路由器或防火墻，以實(shí)現(xiàn)數(shù)據(jù)在公共信道上的可信傳遞。因此，必須配備加密 第 15章 信息安全解決方案 網(wǎng)絡(luò)系統(tǒng)采用加密措施，而加密系統(tǒng)通常都通過(guò)加密密鑰來(lái)實(shí)現(xiàn)，但密鑰的分發(fā)及管理的可靠性卻存在安全問(wèn)題。長(zhǎng)期以來(lái)，我國(guó)廣泛使用的主流操作系統(tǒng)都是從國(guó)外引進(jìn)的。近年來(lái)六國(guó)七方 (美國(guó)國(guó)家安全局和國(guó)家技術(shù)標(biāo)準(zhǔn)研究所、加、英、法、德、荷 )共同提出了“信息技術(shù)安全評(píng)價(jià)通用準(zhǔn)則” (CC for ITSEC)。 網(wǎng)絡(luò)安全需求 第 15章 信息安全解決方案 2. 網(wǎng)絡(luò)需要防范非法用戶的非法訪問(wèn)和合法用戶的非授權(quán)訪問(wèn)。必須配備從服務(wù)器到單機(jī)的整套防病毒軟件，防止病毒入侵主機(jī)并擴(kuò)散到全網(wǎng)，實(shí)現(xiàn)全網(wǎng)的病毒安全防護(hù)，以確保整個(gè)單位的業(yè)務(wù)數(shù)據(jù)不受到病毒的破壞，日常工作不受病毒的侵?jǐn)_。同時(shí)，還可將 IC卡上的個(gè)人私鑰與數(shù)字簽名技術(shù)相結(jié)合，實(shí)現(xiàn)數(shù)字簽名機(jī)制。操作系統(tǒng)主要有 Windows系列與 UNIX系統(tǒng)。它運(yùn)行于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上，通過(guò)實(shí)時(shí)監(jiān)聽(tīng)網(wǎng)絡(luò)數(shù)據(jù)流，識(shí)別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問(wèn)嘗試。為了阻止這些“可疑的候選文件”，需要對(duì)電子郵件進(jìn)行嚴(yán)格的審查。本方案在交換機(jī)上連入入侵檢測(cè)系統(tǒng)，并將其與交換機(jī)相連的端口 設(shè)置為鏡像端口，由 IDS傳感器對(duì)防火墻的內(nèi)口、關(guān)鍵服務(wù)器進(jìn)行監(jiān)聽(tīng)，并進(jìn)行分析、報(bào)警和響應(yīng) 。 2023年 12月，國(guó)家公安部發(fā)布的《端設(shè)備隔離 部件安全技術(shù)要求》中對(duì)物理隔離做了明確的定義 : 公共網(wǎng)絡(luò)和專網(wǎng)在網(wǎng)絡(luò)物理連線上是完全隔離的，且沒(méi)有任何公用 的存儲(chǔ)信息。首先，將整個(gè)網(wǎng)絡(luò)系統(tǒng)分為兩部分 : (1) 內(nèi)外系統(tǒng) : 與政府專網(wǎng)相連，主要功能是內(nèi)部辦公， (2) 外網(wǎng)系統(tǒng) : 與互聯(lián)網(wǎng)連接，主要功能是對(duì)外發(fā)布信息， 第 15章 信息安全解決方案 圖 1551 政府機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)方案圖 第 15章 信息安全解決方案 安裝防火墻將外網(wǎng)系統(tǒng)與互聯(lián)網(wǎng)隔離，安裝物理隔離系統(tǒng)將內(nèi)網(wǎng)與外網(wǎng)系統(tǒng)隔離。 習(xí) 題 第 15章 信息安全解決方案 3. 網(wǎng)絡(luò)安全包括 和邏輯安全。 23:18:5523:18:5523:183/8/2023 11:18:55 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 2023年 3月 下午 11時(shí) 18分 :18March 8, 2023 1業(yè)余生活要有意義，不要越軌。 2023年 3月 下午 11時(shí) 18分 :18March 8, 2023 1少年十五二十時(shí)，步行奪得胡馬騎。 23:18:5523:18:5523:183/8/2023 11:18:55 PM 1以我獨(dú)沈久，愧君相見(jiàn)頻。 在此前提下，通過(guò)專有硬件實(shí)現(xiàn)網(wǎng)絡(luò)間信息的實(shí)時(shí)交換。這種情況是完全可以理解的，保密網(wǎng)與互聯(lián)網(wǎng)連接后，出現(xiàn)很多問(wèn)題，在沒(méi)有解決安全問(wèn)題或沒(méi)有解決問(wèn)題的技術(shù)手段之前，先斷開再說(shuō)。 第 15章 信息安全解決方案 企業(yè)根據(jù)自身的需要，網(wǎng)絡(luò)防病毒系統(tǒng)應(yīng)選用賽門鐵克、趨勢(shì)科技、瑞星等知名品牌系統(tǒng)。一旦檢測(cè)到病毒，立刻將該感染 第 15章 信息安全解決方案 3) 在 XXX網(wǎng)絡(luò)系統(tǒng)中有大量的個(gè)人用戶，桌面系統(tǒng)和遠(yuǎn)程PC是主要的病毒感染源。由于網(wǎng)絡(luò)攻擊大多來(lái)自于網(wǎng)絡(luò)的出口位置，因此入侵檢測(cè)在此處將承擔(dān)實(shí)時(shí)監(jiān)測(cè)大量出入整個(gè)網(wǎng)絡(luò)的具有破壞性的數(shù)據(jù)流的任務(wù)。 (3) 對(duì)遠(yuǎn)程訪問(wèn)的用戶提供通信線路的加密連接 。國(guó)際上已有眾多的網(wǎng)絡(luò)安全解決方案和產(chǎn)品，但由于出口政策和自主性等問(wèn)題，目前還不能直接用于解決我國(guó)自己的網(wǎng)絡(luò)安全問(wèn)題，因此我國(guó)的網(wǎng)絡(luò)安全問(wèn)題只能借鑒這些先進(jìn)技術(shù)和產(chǎn)品自行解決。它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置障礙，阻止外界對(duì)內(nèi)部資源的非法訪問(wèn)，防止內(nèi)部對(duì)外部的不安全訪問(wèn)。 第 15章 信息安全解決方案 合法用戶的非授權(quán)訪問(wèn)是指合法用戶在沒(méi)有得到許可的情況下訪問(wèn)了他本不該訪問(wèn)的資源。近幾年來(lái)，我國(guó)進(jìn)行了安全操作系統(tǒng)、安全數(shù)據(jù)庫(kù)、多級(jí)安全機(jī)制的研究，但由于自主安全內(nèi)核受控于人，難以保證沒(méi)有漏洞，而且大部分有關(guān)的工作都以美國(guó)1985年的 TCSEC標(biāo)準(zhǔn)為主要參照系。 我國(guó)在系統(tǒng)安全的研究及應(yīng)用方面與先進(jìn)國(guó)家和地區(qū)存在著很大的差距。因此，要采取一定的訪問(wèn)控制手段，防范來(lái)自非法用戶的攻擊，保證只有合法用戶才能訪問(wèn)合法資源。目前，在市場(chǎng)上比較流行，而又能夠代表未來(lái) 第 15章 信息安全解決方案 1. 防火墻在某種意義上可以說(shuō)是一種訪問(wèn)控制產(chǎn)品。而這種融合的最終目的還是在于為用戶提供高可信任的、安全 第 15章 信息安全解決方案 網(wǎng)絡(luò)安全問(wèn)題的解決是一個(gè)綜合性問(wèn)題，涉及諸多因素，包括技術(shù)、產(chǎn)品和管理等。 (2) 能夠屏蔽流行的攻擊手段 。入侵檢測(cè)報(bào)警日志的功能是對(duì)所有對(duì)網(wǎng) 絡(luò)系統(tǒng)有可能造成危害的數(shù)據(jù)流進(jìn)行報(bào)警及響應(yīng)。所以，建議對(duì)在各個(gè)局域網(wǎng)的交換區(qū)與局域網(wǎng)內(nèi)部網(wǎng)段上的服務(wù)器進(jìn)行特別的保護(hù)，將病毒掃描技術(shù)和服務(wù)器的管理能力結(jié)合在一起 (用于 Novell NetWare、 Microsoft NT和 UNIX服務(wù)器 )，對(duì)服務(wù)器接收和發(fā)送的被病毒感染的文件以及已經(jīng)存在于其他服務(wù)器的病毒進(jìn)行檢測(cè)。 第 15章 信息安全解決方案 (4) 下屬單位能夠通過(guò)防火墻與安全客戶端軟件之間的安全互聯(lián)，建立通過(guò) Inter相連的“虛擬專用網(wǎng)”，解決在網(wǎng)上傳輸?shù)膬?nèi)部信息安全問(wèn)題，方便管理，并極大地降低了成本。較早的用詞為 Physical Disconnection，直譯為物理斷開。在極端情況下，即使黑客攻破了外網(wǎng)主機(jī)模塊，但由于無(wú)從了解隔離交換模塊的工作機(jī)制，因此無(wú)法 第 15章 信息安全解決方案 由內(nèi)、外網(wǎng)主機(jī)模塊分別負(fù)責(zé)接收來(lái)自所連接網(wǎng)絡(luò)的訪問(wèn)請(qǐng)求，兩模塊間沒(méi)有直接的物理連接，形成一個(gè)物理隔斷，從而保證了可信網(wǎng)和非可信網(wǎng)之間沒(méi)有數(shù)據(jù)包的交換，沒(méi)有網(wǎng)絡(luò)連接的建立。 , March 8, 2023 雨中黃葉樹，燈下白頭人。 。 2023年 3月 8日星期三 11時(shí) 18分 55秒 23:18:558 March 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 :18:5523:18Mar238Mar23 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 指網(wǎng)絡(luò)系統(tǒng)中各通信、計(jì)算機(jī)設(shè)備及相關(guān)設(shè)施的物理保護(hù)，免于破壞、丟失等。本方案中的防火墻系統(tǒng)、入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、網(wǎng)絡(luò)防病毒系統(tǒng)、安全管理系統(tǒng)具體的作用可以參考 第 15章 信息安全解決方案 物理隔離可以采用一些安全公司的知名產(chǎn)品。 第 15章 信息安全解決方案 2023年 7月，國(guó)家信息化領(lǐng)導(dǎo)小組頒布的《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于我國(guó)電子