【文章內(nèi)容簡(jiǎn)介】 防止信息傳輸泄密，利用防火墻、隔離器等設(shè)備，構(gòu)建安全域； 二是采用身份認(rèn)證、數(shù)字簽名、強(qiáng)制訪問(wèn)控制、信源加密等機(jī)制，確保數(shù)據(jù)的保密性、完整性、可用性、可控性，不可抵賴性； 三是建立健全網(wǎng)絡(luò)安全管理體系，構(gòu)建網(wǎng)絡(luò)安全管理平臺(tái)，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的動(dòng)態(tài)管理，包括應(yīng)急處置與恢復(fù)、病毒防治及對(duì)非法事件的審計(jì)跟蹤，確保網(wǎng)絡(luò)運(yùn)行安全。 （ 3）、完善管理體制，加強(qiáng)管理的策略 管理體制是安全保密措施的重要組成部分，在網(wǎng)絡(luò)安全保密產(chǎn)品尚沒(méi)全面發(fā)揮作用的情況下，制定完善的管理措施十分必要。其主要內(nèi)容包括：制定符合國(guó)家規(guī)定的網(wǎng)絡(luò)安全保密管理辦法；規(guī)范信息保密等級(jí)，制定網(wǎng)絡(luò)用戶信息訪問(wèn)權(quán)限；設(shè)置網(wǎng)絡(luò)安全保密組織體系，加強(qiáng)宣傳教育，提高計(jì)算機(jī)工作人員的安全保密意識(shí)、遵守法規(guī)意識(shí)和知識(shí)水平。 （ 4）、投入與安全平衡策略 對(duì)網(wǎng)絡(luò)的攻擊和反攻擊技術(shù)是不斷發(fā)展的，因此，要建立相對(duì)保密、風(fēng)險(xiǎn)管理意識(shí)。網(wǎng)絡(luò)安全保密建設(shè)要有一個(gè)總體規(guī)劃，根椐實(shí)際情況，分步實(shí)施、不斷發(fā)展完善，盡最大可能提高網(wǎng)絡(luò)的安全保密能力。安全可靠、嚴(yán)密穩(wěn)固的網(wǎng)絡(luò)安全保密系統(tǒng)與高效、靈活的網(wǎng)絡(luò)服務(wù)常常是一對(duì)矛盾。安全保密是有代價(jià)的，安全保密措施的采用不可避免地要耗費(fèi)網(wǎng)絡(luò)資源或限制資源的使用，增加系統(tǒng)應(yīng)用成本。對(duì)此，網(wǎng)絡(luò)的組織者和用戶應(yīng)予理解、支持、要舍得花錢買安全，安全投入應(yīng)占系統(tǒng)投入的 1520%。 3． 安全管理 ? 安全管理是確保網(wǎng)絡(luò)信息安全的重要環(huán)節(jié) 。 包括安全監(jiān)測(cè)預(yù)警 、 審計(jì)跟蹤 、 病毒防治 、 信息備份與恢復(fù) 、CA與密鑰的管理等 . （ 1）、安全認(rèn)證管理 安全認(rèn)證管理是由安全認(rèn)證系統(tǒng)支持的，安全認(rèn)證系統(tǒng)是網(wǎng)絡(luò)安全的重要服務(wù)和網(wǎng)絡(luò)安全機(jī)制的重要組成部分。安全認(rèn)證系統(tǒng)主要由認(rèn)證中心（ CA）、各級(jí)認(rèn)證分中心（ SCA）、用戶身份卡（ IC卡）、讀卡器及相應(yīng)軟件組成。其作用是保證入網(wǎng)用戶的合法身份，重要數(shù)據(jù)訪問(wèn)的權(quán)限控制，提供電子圖章，保證信息的可用性，對(duì)信息爭(zhēng)議的公證。 （ 2）、網(wǎng)絡(luò)密碼管理 網(wǎng)絡(luò)密碼管理包括網(wǎng)絡(luò)密碼設(shè)備、密碼算法和密鑰的管理。網(wǎng)絡(luò)密碼管理是由密鑰管理中心、各分中心以及網(wǎng)絡(luò)各類密碼設(shè)備組成。該系統(tǒng)通過(guò)密碼協(xié)議，將全網(wǎng)范圍內(nèi)各種密碼設(shè)備聯(lián)成一個(gè)整體，實(shí)現(xiàn)網(wǎng)內(nèi)密碼設(shè)備的監(jiān)測(cè)管理，密碼算法使用授權(quán)和密鑰的自動(dòng)管理。該系統(tǒng)是網(wǎng)絡(luò)信息安全管理的重要內(nèi)容。 (3) 網(wǎng)絡(luò)安全監(jiān)測(cè)管理 信息網(wǎng)絡(luò)安全保密系統(tǒng)建成后 ， 應(yīng)通過(guò)技術(shù)措施進(jìn)行靜態(tài)的分析 ， 旨在發(fā)現(xiàn)系統(tǒng)的潛在安全隱患；其次是對(duì)系統(tǒng)進(jìn)行動(dòng)態(tài)的分析 ， 跟蹤并記錄網(wǎng)絡(luò)活動(dòng) ， 旨在發(fā)現(xiàn)系統(tǒng)運(yùn)行期間的安全漏洞 ， 好比執(zhí)行任務(wù)的巡警 ， 時(shí)刻注意發(fā)現(xiàn)黑客攻擊和各種非授權(quán)操作 ， 并做出響應(yīng) ， 提供相應(yīng)的系統(tǒng)不安全性分析報(bào)告 。 網(wǎng)絡(luò)安全監(jiān)測(cè)是網(wǎng)絡(luò)安全管理的重要內(nèi)容 ， 是不斷完善網(wǎng)絡(luò)安全的必要措施 。 網(wǎng)絡(luò)安全監(jiān)測(cè)技術(shù)是不斷發(fā)展的 ， 應(yīng)不斷采用新的監(jiān)測(cè)技術(shù) 。 4． 安全服務(wù) ? 主要的安全服務(wù)包括身份驗(yàn)證 、數(shù)字簽名 、 訪問(wèn)控制 、 審計(jì)跟蹤 、信息加密等 ， 一般融于應(yīng)用系統(tǒng) 。 對(duì)進(jìn)入網(wǎng)絡(luò)系統(tǒng)和使用密碼機(jī)的用戶需要進(jìn)行身份驗(yàn)證，確保他確實(shí)是他所聲稱的那個(gè)人。驗(yàn)證還包括實(shí)體鑒別。一個(gè)實(shí)體（密碼機(jī)或服務(wù)器）授權(quán)訪問(wèn)或回答另一實(shí)體時(shí)，被訪問(wèn)實(shí)體要鑒別訪問(wèn)實(shí)體是不是訪問(wèn)時(shí)所聲稱的實(shí)體。 （ 1）、身份驗(yàn)證 數(shù)字簽名與驗(yàn)證應(yīng)滿足發(fā)方（簽名者）事后不能否認(rèn)簽名后的報(bào)文、收方不能偽造發(fā)方的簽名報(bào)文，并能夠確認(rèn)此份報(bào)文是否有效。 （ 2）、數(shù)字簽名 提供對(duì)授權(quán)使用資源的防御措施。根據(jù)訪問(wèn)者的身份和有關(guān)信息，決定實(shí)體的訪問(wèn)權(quán)限。 （ 3）、強(qiáng)制訪問(wèn)控制 對(duì)網(wǎng)絡(luò)用戶各項(xiàng)操作進(jìn)行登錄，對(duì)可能造成危害的事件進(jìn)行跟蹤記錄、提示、報(bào)警。 （ 4）、安全審計(jì) 對(duì)需要加密保護(hù)的各類信息，從數(shù)據(jù)產(chǎn)生時(shí)起，就用密碼保護(hù)，不論是終端、服務(wù)器，數(shù)據(jù)庫(kù)、信息都以密碼形態(tài)存在，使信息從產(chǎn)生、存儲(chǔ)、傳輸全過(guò)程用密碼保護(hù)。 (5)信源加密 5． 安全屏障 ? 安全屏障包括安全通道 、 安全隧道和安全門衛(wèi) 。 主要的安全技術(shù)和安全產(chǎn)品有防火墻 、 VPN、 信道加密 、 網(wǎng)絡(luò)隔離器等 。 這些主要作用于網(wǎng)絡(luò)鏈路層和網(wǎng)絡(luò)層的產(chǎn)品 ， 在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)連接處 ， 保障合法用戶入網(wǎng)訪問(wèn)的同時(shí)防止外部非法用戶入侵 。 防火墻是設(shè)在網(wǎng)絡(luò)之間的系統(tǒng)或系統(tǒng)組合。防火墻的作用是保護(hù)網(wǎng)絡(luò)在阻止非授權(quán)用戶訪問(wèn)敏感數(shù)據(jù)的同時(shí)，允許合法用戶無(wú)妨礙地訪問(wèn)網(wǎng)絡(luò)資源。防火墻分為多種類型，主要可分為包過(guò)濾防火墻、應(yīng)用網(wǎng)關(guān)防火墻。防火墻技術(shù)主要有：包過(guò)濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)。防火墻是保障內(nèi)部網(wǎng)絡(luò)安全的重要屏障。 （ 1）、防火墻 利用公共網(wǎng)絡(luò)來(lái)構(gòu)建企業(yè)內(nèi)部網(wǎng)絡(luò)稱為 VPN。 VPN是一種技術(shù)或設(shè)備。 VPN采用隧道技術(shù)以及加密、身份認(rèn)證、包過(guò)濾等方法，在公共網(wǎng)絡(luò)上構(gòu)建虛擬專用網(wǎng)絡(luò)，保障信息傳輸?shù)臋C(jī)密性和完整性和防止非授權(quán)接入。所謂隧道技術(shù)實(shí)質(zhì)是一種封裝，把一種協(xié)議封裝在另一種協(xié)議中，實(shí)現(xiàn)被封裝的協(xié)議能在公共網(wǎng)絡(luò)上透明傳輸。建立隧道的標(biāo)準(zhǔn)協(xié)議： L2F：第二層轉(zhuǎn)發(fā)協(xié)議； PPTP：點(diǎn)對(duì)點(diǎn)隧道協(xié)議； L2TP第二層隧道協(xié)議； IPSec： IP安全協(xié)議； MPLS多協(xié)議標(biāo)簽交換協(xié)議等。 VPN的具體實(shí)施：可以在路由器上增加 VPN功能，可以在服務(wù)器或防火墻上實(shí)現(xiàn) VPN， VPN網(wǎng)關(guān)設(shè)備。由于 VPN的實(shí)現(xiàn)主要是依靠加密、建立隧道、認(rèn)證、包過(guò)濾等，這些任務(wù)勢(shì)必增加系統(tǒng)開銷，網(wǎng)絡(luò)的速度會(huì)因此有所下降。 （ 2）、 VPN（ virtual private works） 信道密碼機(jī)就是在通信信道的兩端實(shí)現(xiàn)加密，保護(hù)信息傳輸安全，以防止竊聽或非法接入。目前，一般實(shí)施網(wǎng)絡(luò)層或鏈路層加密，加密部位在交換機(jī)和路由器之間，國(guó)外也有對(duì)物理層實(shí)施加密的設(shè)備。 （ 3）、信道密碼機(jī) 6． 安全基礎(chǔ) ? 網(wǎng)絡(luò)信息安全的基礎(chǔ) ， 首先是網(wǎng)絡(luò)信息處理平臺(tái)的安全 ， 包括安全操作系統(tǒng) ， 安全服務(wù)器 、 安全數(shù)據(jù)庫(kù)等 。 安全組織和安全策略是網(wǎng)絡(luò)安全保密體系結(jié)構(gòu)的頂層，屬于領(lǐng)導(dǎo)和決策范圍，安全基礎(chǔ)、安全服務(wù)和安全屏障屬于技術(shù)保障范圍，安全管理是界于兩者之間，既有技術(shù)屬性又有行政管理屬性。 附件 1： “ 羅馬大廈 ” 式體系結(jié)構(gòu) 安全 服務(wù) E_mail 加密傳輸 FTP 加密傳輸 Web 安全瀏覽與查詢 遠(yuǎn)程登錄 安 全 方 案 完整性 標(biāo)識(shí) amp。 認(rèn)證 防抵