【文章內(nèi)容簡介】 員權限（Supervisor）、讀權限（Read）、寫權限（Write）、創(chuàng)建權限（Create）、刪除權限（Erase）、修改權限（Modify）、文件查找權限（File Scan）、存取控制權限（Access Control）。用戶對文件或目標的有效權限取決于以下二個因素：用戶的受托者指派、用戶所在組的受托者指派、繼承權限屏蔽取消的用戶權限。一個網(wǎng)絡系統(tǒng)管理員應當為用戶指定適當?shù)脑L問權限，這些訪問權限控制著用戶對服務器的訪問。八種訪問權限的有效組合可以讓用戶有效地完成工作，同時又能有效地控制用戶對服務器資源的訪問 ，從而加強了網(wǎng)絡和服務器的安全性。（4）屬性安全控制當用文件、目錄和網(wǎng)絡設備時，網(wǎng)絡系統(tǒng)管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網(wǎng)絡服務器的文件、目錄和網(wǎng)絡設備聯(lián)系起來。屬性安全在權限安全的基礎上提供更進一步的安全性。網(wǎng)絡上的資源都應預先標出一組安全屬性。用戶對網(wǎng)絡資源的訪問權限對應一張訪問控制表，用以表明用戶對網(wǎng)絡資源的訪問能力。屬性設置可以覆蓋已經(jīng)指定的任何受托者指派和有效權限。屬性往往能控制以下幾個方面的權限：向某個文件寫數(shù)據(jù)、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執(zhí)行文件、隱含文件、共享、系統(tǒng)屬性等。網(wǎng)絡的屬性可以保護重要的目錄和文件，防止用戶對目錄和文件的誤刪除、執(zhí)行修改、顯示等。（5）網(wǎng)絡服務器安全控制網(wǎng)絡允許在服務器控制臺上執(zhí)行一系列操作。用戶使用控制臺可以裝載和卸載模塊，可以安裝和刪除軟件等操作。網(wǎng)絡服務器的安全控制包括可以設置口令鎖定服務器控制臺，以防止非法用戶修改、刪除重要信息或破壞數(shù)據(jù)；可以設定服務器登錄時間限制、非法訪問者檢測和關閉的時間間隔。（6）防火墻控制防火墻是近期發(fā)展起來的一種保護計算機網(wǎng)絡安全的技術性措施，它是一個用以阻止網(wǎng)絡中的黑客訪問某個機構網(wǎng)絡的屏障，也可稱之為控制進/出兩個方向通信的門檻。在網(wǎng)絡邊界上通過建立起來的相應網(wǎng)絡通信監(jiān)控系統(tǒng)來隔離內(nèi)部和外部網(wǎng)絡，并通過制定相應的規(guī)則限制進出網(wǎng)絡的各類數(shù)據(jù)流，以阻斷來自外部網(wǎng)絡的非法訪問。網(wǎng)絡監(jiān)測和控制策略在貴州電信信息網(wǎng)絡安全系統(tǒng)中，應建立網(wǎng)絡的實時智能監(jiān)控系統(tǒng)，以便對網(wǎng)絡實施監(jiān)控與檢測，及時發(fā)現(xiàn)非法的網(wǎng)絡訪問及操作，同時對網(wǎng)絡故障進行偵測，并對安全事件和問題進行詳細記錄、報警與阻斷等。l 在網(wǎng)絡層部署入侵檢測系統(tǒng)，加強對網(wǎng)絡外部的入侵攻擊，根據(jù)規(guī)則制定判斷各類已知的入侵行為，并進行響應。l 在網(wǎng)絡內(nèi)部部署安全審計系統(tǒng)，實時監(jiān)測網(wǎng)絡內(nèi)部的所有行為，對內(nèi)部的操作起到監(jiān)視作用，加強對內(nèi)部的安全保護和控制。l 同時建立針對網(wǎng)絡設備的安全監(jiān)管措施，加強對網(wǎng)絡設備運行狀態(tài)的檢測，及時發(fā)現(xiàn)網(wǎng)絡設備的故障和問題，最大保障網(wǎng)絡系統(tǒng)的可用性。主機系統(tǒng)安全策略主機系統(tǒng)的安全策略主要是從操作系統(tǒng)的角度考慮系統(tǒng)安全措施，防止不法分子利用操作系統(tǒng)的一些漏洞、后門取得對系統(tǒng)的非法操作權限。在貴州電信信息網(wǎng)絡安全系統(tǒng)中，主機系統(tǒng)安全策略包括：l 配置操作系統(tǒng)，使其達到盡可能高的安全級別。l 進行詳細的日志記錄，并定期查看分析。l 對所提供的應用服務，開放端口等做安全設置。l 定期地利用安全漏洞檢測工具及時檢測、發(fā)現(xiàn)操作系統(tǒng)存在的安全漏洞，并對發(fā)現(xiàn)的操作系統(tǒng)安全漏洞做出及時、正確的處理。l 建立病毒防護體系，定義病毒軟件的安裝、運行、配置、病毒庫升級、病毒爆發(fā)應急預案等策略，有效抵御病毒對系統(tǒng)產(chǎn)生的安全威脅。l 建立關鍵業(yè)務應用的主機系統(tǒng)的備份機制，包括雙機熱備等。l 建立主機服務器系統(tǒng)的安全監(jiān)管措施，及時檢測主機系統(tǒng)的運行故障，并進行響應。數(shù)據(jù)保護策略數(shù)據(jù)保護策略主要通過各種手段保障數(shù)據(jù)的保密性、完整性、不可抵賴性等要求，在貴州電信信息網(wǎng)絡安全系統(tǒng)中，數(shù)據(jù)保護策略包括：l 采用磁盤陣列、磁帶庫、自動備份管理系統(tǒng)等技術措施保障數(shù)據(jù)的安全；l 通過建立完善的數(shù)據(jù)備份與災難恢復系統(tǒng)，并定義相關的備份范圍、備份方式、備份周期、災難恢復預案、責任人等策略，通過完善的備份策略實施加強對數(shù)據(jù)的保護。應用安全策略在貴州電信信息網(wǎng)絡安全系統(tǒng)中，應用安全策略主要是從應用系統(tǒng)的身份認證、授權管理以及應用業(yè)務數(shù)據(jù)的監(jiān)控等方面進行建設，具體包括：l 建立身份認證/授權體系，進一步提高應用系統(tǒng)的安全保密性；l 通過建立網(wǎng)絡安全綜合管理平臺，對關鍵應用和業(yè)務系統(tǒng)的運行狀態(tài)進行監(jiān)管，及時發(fā)現(xiàn)并排除應用故障問題，保障業(yè)務的連續(xù)性。統(tǒng)一安全管理策略通過在貴州電信信息網(wǎng)絡安全系統(tǒng)中建立統(tǒng)一安全綜合管理平臺，對網(wǎng)絡中所有的主機設備、網(wǎng)絡設備、安全設備等進行統(tǒng)一的監(jiān)管，將所有的安全事件進行收集、關聯(lián)和分析，從整體上對全網(wǎng)的安全進行監(jiān)測和管理，達到最高效的管理以及良好的安全保障 管理策略安全技術是基礎，管理才是核心，良好的管理才能將各安全技術充分發(fā)揮，管理策略包括安全組織架構建立、安全規(guī)范制度建立、總體安全管理等，在貴州電信信息網(wǎng)絡安全系統(tǒng)中，管理策略應包括以下幾方面的內(nèi)容：組織機構建立貴州電信行業(yè)網(wǎng)絡的安全管理中心，組建一個專門負責安全管理團隊負責主要工作，來保障整個安全體系的順利運行。該團隊由來自于技術部門和業(yè)務部門的人員構成，并由高層的領導直接管理。該團隊必須制定整個企業(yè)的統(tǒng)一安全政策和策略以及一系列體現(xiàn)安全政策的安全的規(guī)章制度，并進行安全策略和制度的發(fā)布。在安全管理中心設立安全應急響應小組，由來自于技術部門的安全專家組成，主要職責為安全入侵事件預演、安全事件應急響應處理等等。規(guī)范制度完善貴州電信行業(yè)網(wǎng)絡的安全管理制度，具體包括：l 必須遵守的國家有關安全規(guī)定和制度；l 機房管理制度；l 網(wǎng)絡病毒管理制度；l 個人計算機及網(wǎng)絡使用制度；l 管理員操作維護制度；l 數(shù)據(jù)備份與恢復制度；l 建立審計報警數(shù)據(jù)處理和上報制度；l 內(nèi)部網(wǎng)絡發(fā)生安全事故強制上報制度；l 非常情況下的應急響應制度等。教育培訓安全意識和相關技能的教育培訓是安全管理中重要的內(nèi)容，其實施力度將直接關系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功實施和有效性，在貴州電信系統(tǒng)中，應當對各級單位的管理人員、用戶、技術人員進行安全培訓。所有的機關人員必須了解并嚴格執(zhí)行安全策略。在安全教育具體實施過程中應該有一定的層次性：l 主管信息安全工作的高級負責人或各級管理人員：重點是了解、掌握信息安全的整體策略及目標、信息安全體系的構成、安全管理部門的建立和管理制度的制定等。 l 負責信息安全運行管理及維護的技術人員：重點是充分理解信息安全管理策略，掌握安全評估的基本方法，對安全操作和維護技術的合理運用等。 l 用戶：重點是學習各種安全操作流程，了解和掌握與其相關的安全策略，包括自身應該承擔的安全職責等。 統(tǒng)一安全綜合管理平臺設計 需求及現(xiàn)狀分析正如上述我們對貴州電信行業(yè)信息網(wǎng)絡安全系統(tǒng)的整體設計中提到，對于全網(wǎng)的安去體系建設將設計到多種技術、產(chǎn)品分別在通信、網(wǎng)絡、系統(tǒng)、應用各個層次進行安全防護，在全網(wǎng)信息安全系統(tǒng)中將會設計和配置各種相應的安全措施，主要包括：l 防火墻l 入侵檢測與安全審計系統(tǒng)l 鏈路加密系統(tǒng)l 病毒防殺系統(tǒng)l 身份認證系統(tǒng)l 訪問控制系統(tǒng)l 安全漏洞掃描系統(tǒng)l 數(shù)據(jù)備份系統(tǒng)l 網(wǎng)管系統(tǒng)在貴州電信行業(yè)信息網(wǎng)絡系統(tǒng)中，不同的安全設施實現(xiàn)不同的安全防范功能，并且采用分布式的方式安裝在網(wǎng)絡的不同區(qū)域。如何對這些安全設施進行有效的監(jiān)控和管理，使這些安全措施有機結合，共同地組成一個安全的整體實現(xiàn)全網(wǎng)安全整體框架，這是安全統(tǒng)一管理平臺所需著重考慮的。根據(jù)貴州電信信息系統(tǒng)的網(wǎng)絡和應用系統(tǒng)的設計，以及擬采取的各類安全措施，全網(wǎng)信息網(wǎng)絡統(tǒng)一管理平臺對于統(tǒng)一安全管理與監(jiān)控存在以下需求：l 統(tǒng)一安全綜合管理平臺系統(tǒng)采用分層次的結構設計。l 能夠提供安全保密監(jiān)控管理平臺，實現(xiàn)對整個安全體系的統(tǒng)一監(jiān)管；l 能夠?qū)θW(wǎng)的網(wǎng)絡設備及主機服務等資源進行統(tǒng)一監(jiān)管；l 能夠與防火墻監(jiān)控管理系統(tǒng)聯(lián)接、整合；l 能夠與網(wǎng)絡入侵檢測與安全審計系統(tǒng)監(jiān)控管理網(wǎng)絡系統(tǒng)聯(lián)接、整合；l 能夠與病毒防殺管理中心聯(lián)接、整合；l 能夠與身份認證、訪問控制系統(tǒng)聯(lián)接、整合；l 能夠?qū)崿F(xiàn)基于入侵檢測與安全審計網(wǎng)絡系統(tǒng)的安全事件處理流程；l 能夠?qū)崿F(xiàn)基于安全漏洞掃描的網(wǎng)絡系統(tǒng)安全評估與對策支持；l 實現(xiàn)統(tǒng)一的分級、分層次管理，包括實時安全事件檢測、報警、響應、處理；l 能夠支持安全突發(fā)事件處理和應急響應預案的實施；l 能夠?qū)θW(wǎng)的安全信息進行收集、統(tǒng)計并分析并產(chǎn)生詳細的報表；總的來說，統(tǒng)一安全綜合管理平臺是一個對貴州電信信息系統(tǒng)平臺上的各類安全設備進行全面監(jiān)控和管理，并實現(xiàn)設備之間的互動、聯(lián)動，以及實現(xiàn)數(shù)據(jù)分析、報警、響應及決策支持的綜合管理系統(tǒng)。 主要問題以及建設必要性貴州電信行業(yè)信息網(wǎng)絡系統(tǒng)是一個龐大的省廣域網(wǎng)，擁有多級子網(wǎng)且分布廣泛，網(wǎng)絡管理人員可能需要隨時掌握多達上百臺的主要設備以及系統(tǒng)的運行狀況，其中包括了網(wǎng)絡設備、主機服務系統(tǒng)、網(wǎng)絡安全產(chǎn)品等許多重要設備，管理人員往往需要花費大量的時間精力來分別處理這些信息。因此在進行有效、統(tǒng)一的管理方面存在很多問題，需要迫切解決。l 貴州電信行業(yè)全網(wǎng)網(wǎng)絡結構的縱深和龐大、設備種類的復雜性、網(wǎng)絡信息的多樣性是實現(xiàn)全網(wǎng)整體安全防御體系框架的難題，如何及時掌握各主機服務器的運行狀況、各種網(wǎng)絡設備的狀態(tài)性能以及各種安全設備狀態(tài)事件等，如何對跨地區(qū)、跨網(wǎng)絡的設備服務進行有效、統(tǒng)一的管理都是我們急需解決的問題。l 目前信息網(wǎng)絡安全的技術產(chǎn)品眾多，從防病毒到防火墻、加密機，再到入侵檢測、身份認證、網(wǎng)絡安全掃描、安全審計等，市場上的信息安全類產(chǎn)品已多達十幾個大類，各種品牌更是不計其數(shù)。同樣，在貴州電信行業(yè)信息網(wǎng)絡安全整體建設中也將涉及許多技術和產(chǎn)品，如何使將這些安全產(chǎn)品與安全技術融合為一個整體是十分重要的，因此建設有必要一個共同的平臺能夠?qū)⒕W(wǎng)絡中所有的資源統(tǒng)一管理，充分發(fā)揮各產(chǎn)品的功效，在保障信息安全上發(fā)揮出更強大效用。l 在信息安全體系的建設中各產(chǎn)品都有基于自身的管理模式，每使用一種產(chǎn)品將帶來一種新的管理模式，因此管理員可能需要了解各種產(chǎn)品的管理模式與方法，會收集到許多以各種方式體現(xiàn)的安全事件信息，如何在這一大堆信息中進行判斷、找出真正需要的信息并切實了解當前網(wǎng)絡的狀況將是管理員非常頭痛的事情。在貴州電信行業(yè)信息網(wǎng)絡系統(tǒng)中，實現(xiàn)統(tǒng)一管理將為信息管理帶來極大的方便性、準確性和高效性。l 目前市場上無論是傳統(tǒng)意義上的網(wǎng)管系統(tǒng)，還是各類層出不窮的安全產(chǎn)品，都只能解決部分問題。而且各類產(chǎn)品之間缺乏互操作性，很難做到協(xié)同調(diào)度、統(tǒng)一管理，從而也無法保證整個網(wǎng)絡策略上的完整性和行動上的一致性。這種局面不僅會加重網(wǎng)絡管理人員的負擔，勢必也會大大增加整個網(wǎng)絡的維護費用。而隨著貴州電信行業(yè)信息化的發(fā)展，也會出現(xiàn)同樣的問題。l 現(xiàn)有的安全產(chǎn)品中非所有的系統(tǒng)都采用SNMP作為管理結構，例如在入侵檢測和防火墻產(chǎn)品中，許多廠商采用了Checkpoint提出的OPSEC規(guī)范，此外許多產(chǎn)品的管理已經(jīng)偏向于采用基于WEB和XML數(shù)據(jù)表示的管理模式，并應用CIM模型。許多國內(nèi)廠商的安全產(chǎn)品的管理機制采用了WEB機制。但是目前大多數(shù)的安全管理產(chǎn)品大多還是基于傳統(tǒng)的SNMP，所實現(xiàn)的功能實際上大多還是在傳統(tǒng)網(wǎng)管系統(tǒng)和系統(tǒng)管理軟件的基礎上的擴展，因此對于各種不支持SNMP的安全系統(tǒng)難以實現(xiàn)統(tǒng)一管理。l 對全網(wǎng)的統(tǒng)一管理將體現(xiàn)在技術和管理兩個方面之上，整個技術平臺將要與以后實施的安全策略和管理制度相匹配。根據(jù)目前的網(wǎng)絡規(guī)模，比較適合采用集中管理與區(qū)域自治相結合的管理方式。而且具體的管理方法在實施過程中將根據(jù)實際的情況加以改進。因此，統(tǒng)一安全綜合管理平臺需要根據(jù)實際貴州電信信息網(wǎng)絡系統(tǒng)的管理模式來定制開發(fā)，以適應特定的管理要求?；谝陨系姆治?，需要達到對貴州電信行業(yè)網(wǎng)絡統(tǒng)一管理是十分必要的，只有這樣才能真正實現(xiàn)全網(wǎng)的整體安全體系框架。統(tǒng)一安全綜合管理平臺的實施將采用基于貴州電信信息系統(tǒng)計劃的安全設施建設計劃，在現(xiàn)有系統(tǒng)的基礎上，參照國際流行的安全管理框架、規(guī)范和標準，并充分考慮現(xiàn)有各產(chǎn)品的管理體系，在基于原有的產(chǎn)品上進行一定的定制開發(fā)來實現(xiàn)。 系統(tǒng)總體目標統(tǒng)一安全綜合管理平臺是貴州電信信息安全系統(tǒng)建設必要的組成部分。它為系統(tǒng)管理員和用戶提供對整個安全體系的監(jiān)管。它在計算機網(wǎng)絡應用體系與各類安全技術、安全產(chǎn)品、安全防御措施等安全手段之間搭起橋梁，使得各類安全手段能與現(xiàn)有的計算機網(wǎng)絡應用體系緊密的結合實現(xiàn)無縫連接。促成計算機網(wǎng)絡安全與計算機網(wǎng)絡應用的真正的一體化，使得計算機網(wǎng)絡應用體系逐步過渡向安全的計算機網(wǎng)絡應用體系。在貴州電信安全系統(tǒng)中，統(tǒng)一安全綜合管理平臺主要達到以下的總體目標和功能：實現(xiàn)對貴州電信信息系統(tǒng)中所有安全設施的統(tǒng)一監(jiān)控和管理。根據(jù)貴州電信信息系統(tǒng)上配置的各個安全系統(tǒng)，有針對性地進行統(tǒng)一的監(jiān)控管理。包括：l 監(jiān)視各個安全子系統(tǒng)的各個部件的運行狀況。l 發(fā)現(xiàn)各個安全系統(tǒng)中的運行異常情況。l 向各個安全子系統(tǒng)發(fā)布相應的總體安全策略。l 通過統(tǒng)一安全綜合管理平臺系統(tǒng)，實現(xiàn)對各個安全子系統(tǒng)的實時操控。l 收集各個安全子系統(tǒng)執(zhí)行安全策略的結果。統(tǒng)一安全綜合管理平臺系統(tǒng)對各個安全系統(tǒng)的監(jiān)控和管理可以利用各個安全子系統(tǒng)中已有的中心和分中心進行信息采集和控制，也可以采用直接與安全設備交互的方式進行，主要取決于各個安全子系統(tǒng)自身的構架以及提供的管理接口。實現(xiàn)貴州電信信息系統(tǒng)各類安全設施之間的互動和聯(lián)動。系統(tǒng)提供自動響應功能，在網(wǎng)絡中實現(xiàn)對各類相關的安全設施之間的互動與聯(lián)動，并對聯(lián)動的狀況進行監(jiān)控。系統(tǒng)通過兩種方式來實現(xiàn)安全設施之間的聯(lián)動：l 利用原有的設備之間的互動功能，例如：入侵檢測系統(tǒng)與防火墻之間的互動，以及審計系統(tǒng)與身份驗證系統(tǒng)之間的互動等。系統(tǒng)根據(jù)原有安全系統(tǒng)之間能夠?qū)崿F(xiàn)的互操作功能來統(tǒng)一設置互動的策略，并監(jiān)視這些設施之間的互動情況。l 系統(tǒng)通過從收集各個安全系統(tǒng)中產(chǎn)生的各類數(shù)據(jù)，并采用自動或手動響應引擎，根據(jù)實現(xiàn)設定的安全策略以及規(guī)則，對相關的安