freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

網(wǎng)絡(luò)安全技術(shù)建議書(編輯修改稿)

2024-07-20 01:06 本頁面
 

【文章內(nèi)容簡介】 由于全網(wǎng)存在眾多網(wǎng)絡(luò)和主機(jī)設(shè)備,但缺乏統(tǒng)一的日志管理系統(tǒng),我們建議在安全管理網(wǎng)段部署一套日志分析系統(tǒng)用于網(wǎng)絡(luò)設(shè)備和主機(jī)系統(tǒng)的日志管理。建議采用三級結(jié)構(gòu)的日志分析系統(tǒng),第一級為需要記錄日志的主機(jī)或設(shè)備,該主機(jī)配置syslog日志指向日志服務(wù)器;第二級為日志服務(wù)器,負(fù)責(zé)日志接受,同步處理入數(shù)據(jù)庫以及日志的統(tǒng)計(jì)分析;第三級為日志服務(wù)器的console,用于配置日志系統(tǒng)安全策略,接受日志系統(tǒng)報(bào)警和監(jiān)視日志系統(tǒng)分析統(tǒng)計(jì)結(jié)果。對于日志分析系統(tǒng)的產(chǎn)品選型,考慮如下因素:l 集中收集和監(jiān)控系統(tǒng)日志。l 日志收集和分析Agent與Console運(yùn)行在不同平臺(tái),兩者的分離使日志分析系統(tǒng)更具有層次性結(jié)構(gòu)的特點(diǎn),便于未來升級和集中管理。l 每秒接受日志的速度。l 日志服務(wù)器應(yīng)支持常用數(shù)據(jù)庫,可將日志信息存儲(chǔ)在數(shù)據(jù)庫中。l 持多種設(shè)備類型及數(shù)量,是否支持標(biāo)準(zhǔn)syslog協(xié)議。l 是否提供二次開發(fā)接口。 集中認(rèn)證及一次性口令系統(tǒng)廣電總局由于主機(jī)系統(tǒng)和網(wǎng)絡(luò)設(shè)備繁多,在以往的管理模式下,用戶認(rèn)證和授權(quán)都存在較大的安全隱患,主要表現(xiàn)在主機(jī)和網(wǎng)絡(luò)設(shè)備的口令認(rèn)證,以及網(wǎng)絡(luò)設(shè)備的用戶權(quán)限控制上。為了保證全網(wǎng)管理中用戶身份驗(yàn)證的可靠性,我們建議在網(wǎng)管中心部署一套集中認(rèn)證及一次性口令系統(tǒng),全網(wǎng)關(guān)鍵網(wǎng)絡(luò)設(shè)備和主要業(yè)務(wù)系統(tǒng)的用戶驗(yàn)證都集中在該服務(wù)器商,便于對于這些設(shè)備的集中管理。用戶身份認(rèn)證是一個(gè)完善的安全策略方案中必不可少的模塊,特別是在存在著通過遠(yuǎn)程訪問方式訪問系統(tǒng)資源的情況下。對用戶進(jìn)行身份認(rèn)證可以了解誰試圖訪問特定資源,這對于保護(hù)資源是必需的。除了認(rèn)證用戶身份以外,用戶驗(yàn)證還可以定義了每個(gè)用戶能夠訪問的資源,這就為多種資源并存的環(huán)境提供了增強(qiáng)的控制和更好的安全性。目前,常用的驗(yàn)證方法包括Challenge and Response,digital certificates,tokens,RADIUS和S/Key。一次性口令密碼保護(hù)解決方案是利用雙重密碼: 靜態(tài)及動(dòng)態(tài)密碼 , 靜態(tài)密碼:用戶自己默記的個(gè)人口令, 動(dòng)態(tài)密碼:由擁有一個(gè)令牌,每六十秒變換出一個(gè)獨(dú)一無二、不能預(yù)測的密碼。由于動(dòng)態(tài)口令每分鐘更改一次,即使靜態(tài)密碼被猜中,而動(dòng)態(tài)密碼被猜出的機(jī)會(huì)趨于0。這樣在很大程度上避免了由于用戶主觀上的失誤而造成的安全漏洞。目前,常見的這類系統(tǒng)的基礎(chǔ)是“token”標(biāo)記,它是一個(gè)數(shù)字編碼,與用戶永久性ID號(hào)一起生成一個(gè)唯一的、不會(huì)被發(fā)覺的口令,而且僅能使用一次?!皹?biāo)記”的產(chǎn)生有兩種方式,它可以由一個(gè)硬設(shè)備——像信用卡般大小的電子計(jì)算器,每60秒鐘生成并顯示一個(gè)新的未知的隨機(jī)代碼,也可以由基于工作站的軟件公用程序而產(chǎn)生。當(dāng)“標(biāo)記”擁有者登錄到網(wǎng)絡(luò)時(shí),當(dāng)前代碼已被鍵入到該擁有者的PIN中,服務(wù)器和標(biāo)志發(fā)生器在時(shí)間上是同步的,因此編碼的改變可共享。另外,這種代碼比起常規(guī)口令模式的優(yōu)點(diǎn)在于它不可能被盜用,因?yàn)樗偸窃诟淖兛诹?。我們建議選用了一套1~25用戶的一次性動(dòng)態(tài)口令集中認(rèn)證系統(tǒng),負(fù)責(zé)重要設(shè)備和系統(tǒng)的口令認(rèn)證。本次安全項(xiàng)目建議購買7個(gè)令牌卡,具體部署如下:n 認(rèn)證中心放置在網(wǎng)管中心;n 2塊令牌用于關(guān)鍵網(wǎng)絡(luò)設(shè)備的用戶驗(yàn)證,1塊作為備份;n 3塊令牌用于重要服務(wù)器用戶驗(yàn)證,1塊作為備份;我們建議利舊廣電總局目前已有的Sun E250服務(wù)器負(fù)責(zé)RSA系統(tǒng)運(yùn)行。 防病毒體系對于廣電總局來說數(shù)據(jù)的安全是最重要的,而病毒是對數(shù)據(jù)造成嚴(yán)重威脅的主要因素之一。然而保護(hù)網(wǎng)絡(luò)免受愈演愈烈的計(jì)算機(jī)病毒威脅已不是一件簡單的事情。目前已知的計(jì)算機(jī)病毒超過20,000種,并且每月發(fā)現(xiàn)的新病毒超過300種,即每天都有10余種新病毒出現(xiàn)。很多事實(shí)表明,病毒比其他安全威脅造成的經(jīng)濟(jì)損失都大的多。從CIH到Code Red,以及最近的Nimda計(jì)算機(jī)病毒的相繼發(fā)生,造成信息傳輸量暴增、系統(tǒng)負(fù)荷量過重等問題,凸顯出網(wǎng)絡(luò)安全防病毒機(jī)制的迫切需求。傳統(tǒng)的防病毒策略往往只注重桌面平臺(tái)的病毒防范,就像目前廣電總局內(nèi)部曾經(jīng)購買的瑞星防病毒單機(jī)版。這樣雖然可以保證桌面平臺(tái)避免病毒的威脅,但沒有從根本上杜絕病毒在網(wǎng)絡(luò)上傳播,無法解決由于病毒造成的網(wǎng)絡(luò)流量異常、系統(tǒng)服務(wù)過載等這類嚴(yán)重威脅網(wǎng)絡(luò)正常服務(wù)的問題。隨著分布式網(wǎng)絡(luò)計(jì)算、文檔駐留宏、群件等新技術(shù)的出現(xiàn)以及網(wǎng)絡(luò)的廣泛應(yīng)用,網(wǎng)絡(luò)早已經(jīng)成為病毒的主要傳播途徑。網(wǎng)絡(luò)的脆弱性成倍增加,保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)已不再是簡單的在客戶機(jī)上安裝桌面病毒掃描程序就可以解決的問題了。面對當(dāng)前的網(wǎng)絡(luò)安全形勢,我們迫切需要一套單一、集中、全面的防病毒解決方案。在防病毒產(chǎn)品的選型上,我們認(rèn)為一個(gè)成熟優(yōu)秀的、高效可靠的防病毒產(chǎn)品應(yīng)具有以下特點(diǎn):l 先進(jìn)的體系結(jié)構(gòu)設(shè)計(jì)l 先進(jìn)的防殺病毒技術(shù)l 能夠在線實(shí)時(shí)查殺病毒l 準(zhǔn)確無誤的報(bào)警功能l 及時(shí)、方便地更新病毒定義代碼l 快速、有效地處理未知病毒l 多平臺(tái)的支持l 功能強(qiáng)大的控制臺(tái),便于管理與維護(hù)而針對網(wǎng)絡(luò)這個(gè)層次而設(shè)計(jì)的防病毒產(chǎn)品,我們認(rèn)為其重要功能還應(yīng)該包括能夠?qū)W(wǎng)絡(luò)進(jìn)行實(shí)時(shí)病毒監(jiān)控、支持病毒有效地隔離。針對目前世界上主流的病毒產(chǎn)品和國內(nèi)知名的病毒產(chǎn)品,包括McAfee VirusScan、Norton AntiVirus、Kill系列、VRV、TrendMicro InterScan等產(chǎn)品,應(yīng)從綜合評估,包括反病毒的整體解決方案、查殺病毒的技術(shù)和種類、系統(tǒng)資源的占用、掃描病毒的方式、處置病毒的方式、日志的管理、病毒庫的及時(shí)更新以及各公司的技術(shù)實(shí)力和對廣電總局內(nèi)網(wǎng)的實(shí)用性等方面考慮。建立全方位、多層次的、整體的網(wǎng)絡(luò)防病毒解決方案。 鑒于廣電總局內(nèi)網(wǎng)對物理隔離的嚴(yán)格要求,我們建議防病毒系統(tǒng)的病毒庫及掃描引擎升級工組有系統(tǒng)管理員通過手工下載并存儲(chǔ)在軟盤上進(jìn)行手動(dòng)安裝升級(只需對病毒集中控制端進(jìn)行手工操作,其他用戶主機(jī)將由病毒集中控制中心自動(dòng)分發(fā)并安裝) 業(yè)務(wù)系統(tǒng)安全 OA業(yè)務(wù)的安全廣電總局的OA業(yè)務(wù)運(yùn)行在兩臺(tái)SUN E3500平臺(tái)上,OA業(yè)務(wù)的核心進(jìn)程主要有WEB服務(wù)與數(shù)據(jù)庫服務(wù)。目前,所有用戶通過瀏覽器訪問OA業(yè)務(wù)主機(jī),輸入個(gè)人用戶名及密碼后登錄該系統(tǒng)處理日常OA業(yè)務(wù),服務(wù)器采用標(biāo)準(zhǔn)80端口提供服務(wù),所以用戶帳號(hào)及密碼都是以明碼方式在網(wǎng)絡(luò)上傳播,任何人竊聽或截獲用戶密碼及帳號(hào),都可以偽裝成該用戶進(jìn)行相關(guān)破壞活動(dòng)。針對廣電總局的OA業(yè)務(wù)系統(tǒng),應(yīng)通過相應(yīng)的安全增強(qiáng)手段加強(qiáng)OA業(yè)務(wù)的安全性,具體參考如下:1. 采用SSL加密訪問機(jī)制提供OA業(yè)務(wù)服務(wù)。確保用戶在進(jìn)入自己OA系統(tǒng)時(shí)的帳號(hào)、密碼以及隨后的通訊數(shù)據(jù)的安全性。2. 采用CA認(rèn)證機(jī)制,建立維護(hù)廣電總局OA用戶的證書管理中心。采用SSL及CA認(rèn)證系統(tǒng)需要滿足以下安全需求:1. 身份認(rèn)證每個(gè)使用者必須擁有唯一的可靠的身份認(rèn)證標(biāo)識(shí),安全系統(tǒng)能夠?qū)γ總€(gè)訪問者的身份進(jìn)行有效識(shí)別,使用者也要對安全系統(tǒng)進(jìn)行認(rèn)證,也就是使用者——系統(tǒng)之間的雙向身份認(rèn)證。2. 訪問控制對不同的信息資源和用戶設(shè)定不同的權(quán)限,系統(tǒng)根據(jù)每個(gè)訪問者的身份確定他的訪問權(quán)限,保證只允許授權(quán)的用戶訪問授權(quán)的資源。對于OA資源中的目錄和文件進(jìn)行細(xì)粒度的權(quán)限劃分,確保每個(gè)使用者只能訪問授權(quán)的OA資源。3. 數(shù)據(jù)保密信息的傳輸過程加密,保證通信內(nèi)容不被他人捕獲,不會(huì)泄露敏感信息。4. 數(shù)據(jù)完整性對關(guān)鍵的數(shù)據(jù)信息,防止信息被非法入侵者篡改。5. 防止否認(rèn)防止信息發(fā)出者對自己發(fā)出的信息進(jìn)行抵賴,提供數(shù)字化的操作信息憑證。身份認(rèn)證身份認(rèn)證采用基于證書的公鑰密碼體制來實(shí)現(xiàn)。l 公鑰密碼算法公鑰密碼算法使用兩個(gè)不同的密鑰,即解密密鑰Kd(私有密鑰)和加密密鑰Ke(公開密鑰),信息加密時(shí)使用Ke,密文解密時(shí)使用Kd。Kd和Ke是緊密相關(guān),一一對應(yīng)的。一般統(tǒng)稱私鑰Kd和公鑰Ke為“公私密鑰對”。公私密鑰對由特殊的密碼學(xué)算法產(chǎn)生,密碼學(xué)的理論可以保證,在人類現(xiàn)有的計(jì)算水平下,由公鑰Ke推算出私鑰Kd是幾乎不可能的。使用者在使用時(shí),將自己的私鑰Kd保存起來,而將自己的公鑰Ke對外公開。l 證書(Certificate)和證書中心CA(Certificate Authority)要實(shí)現(xiàn)基于公鑰密碼算法的身份認(rèn)證求,就必須建立一種信任及信任驗(yàn)證機(jī)制,即每個(gè)網(wǎng)絡(luò)上的實(shí)體必須有一個(gè)可以被驗(yàn)證的數(shù)字標(biāo)識(shí),這就是“數(shù)字證書(Certificate)”。數(shù)字證書是各實(shí)體在網(wǎng)上信息交流及商務(wù)交易活動(dòng)中的身份證明,具有唯一性。證書基于公鑰密碼體制,它將用戶的公開密鑰(Ke)同用戶本身的屬性(例如姓名,單位等)聯(lián)系在一起。這就意味著應(yīng)有一個(gè)網(wǎng)上各方都信任的機(jī)構(gòu),專門負(fù)責(zé)對各個(gè)實(shí)體的身份進(jìn)行審核,并簽發(fā)和管理數(shù)字證書,這個(gè)機(jī)構(gòu)就是證書中心CA。CA用自己的私鑰對所有的用戶屬性、證書屬性和用戶的公鑰進(jìn)行數(shù)字簽名,產(chǎn)生用戶的數(shù)字證書。在基于證書的安全通信中,證書是證明用戶合法身份和提供用戶合法公鑰的憑證,是建立保密通信的基礎(chǔ)。因此,作為網(wǎng)絡(luò)可信機(jī)構(gòu)的證書管理設(shè)施,CA的主要職能就是管理和維護(hù)它所簽發(fā)的證書,提供各種證書服務(wù),包括:證書的簽發(fā)、更新、回收、歸檔等等。目前,國際電力聯(lián)盟ITU發(fā)布了數(shù)字證書的國際標(biāo)準(zhǔn)——,:l 認(rèn)證協(xié)議——安全套接層協(xié)議SSL(Secure Socket Layer)安全套接層SSL協(xié)議目前Internet上使用最廣泛的安全協(xié)議,兩大主流瀏覽器——Netscape Navigator和Microsoft 。該協(xié)議向TCP/IP的客戶/服務(wù)器模式提供了客戶端和服務(wù)器的身份認(rèn)證、會(huì)話密鑰
點(diǎn)擊復(fù)制文檔內(nèi)容
黨政相關(guān)相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1