【正文】 則，用戶將被拒之網(wǎng)絡(luò)之外。 網(wǎng)絡(luò)加密傳送與認(rèn)證 對(duì)網(wǎng)絡(luò)用戶的用戶名和口令進(jìn)行驗(yàn)證是防止非法訪問(wèn)的第一道防線。 現(xiàn)在流行的 PGP 和 SSL 等加密技術(shù)將常規(guī)密碼和公鑰密碼 結(jié)合在一起使用，利用DES 或 IDEA 來(lái)加密信息，而采用 RSA 來(lái)傳遞會(huì)話密鑰。加密數(shù)據(jù)的速率較低。 公鑰密碼的優(yōu)點(diǎn)是可以適應(yīng)網(wǎng)絡(luò)的開放性要求，且密鑰管理問(wèn)題也較為簡(jiǎn)單，尤其可方便的實(shí)現(xiàn)數(shù)字簽名和驗(yàn)證。比較著名的公鑰密碼算法有： RSA、 DiffeHellman 等。因此，其密鑰管理成為系統(tǒng)安全的重要因 素。比較著名的常規(guī)密碼算法有：美國(guó)的 DES 及其各種變形、歐洲的 IDEA、RC RC5 以及以代換密碼和轉(zhuǎn)輪密碼為代表的古典密碼等。如果按照收發(fā)雙方密鑰是否相同來(lái)分類，可以將這些加密算法分為對(duì)稱（私鑰）密碼算法和不對(duì)稱（公鑰）密碼算法。信息加密過(guò)程是由形形色色的加密算法來(lái) 具體實(shí)施。 加密與認(rèn)證 更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 對(duì)稱與不對(duì)稱加密信息加密的目的 對(duì)稱與不對(duì)稱加密信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)絡(luò)會(huì)話的完整性。 防火墻的基本類型 實(shí)現(xiàn)防火墻的技術(shù)包括兩大類型：包過(guò)濾 (PF)、應(yīng)用級(jí)防火墻。一般來(lái)說(shuō)，防火墻擅長(zhǎng)于保護(hù)設(shè)備服務(wù)，而不擅長(zhǎng)保護(hù)數(shù)據(jù)。 防火墻并不是萬(wàn)能的，它在很多方面存在弱點(diǎn)。網(wǎng)絡(luò)安全體系不應(yīng)該提供外部系統(tǒng)跨越安全系統(tǒng)直接到達(dá)受保護(hù)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)的途徑。根據(jù)防火墻的位置，可以分為外部防火墻和內(nèi)部防火墻。 防火墻 防火墻在網(wǎng)絡(luò)中的地位與它的名字非常相似，它根據(jù)網(wǎng)絡(luò)安全水平和可信任關(guān)系將網(wǎng)絡(luò)劃分成一些相對(duì)獨(dú)立的子網(wǎng)，兩側(cè)間的通信受到防火墻的檢查控制。路由器、虛擬局域網(wǎng) (VLAN)、防火墻是當(dāng)前主要的網(wǎng)絡(luò)分段手段。 網(wǎng)絡(luò)隔離與防火墻技術(shù) 網(wǎng)絡(luò)隔離 根據(jù)功能、保密水平、安全水平等要求的 差異將網(wǎng)絡(luò)進(jìn)行分段隔離，對(duì)整個(gè)網(wǎng)絡(luò)的安全性有很多好處。另一類是對(duì)輻射的防護(hù)，這類防護(hù)措施又可分為以下兩種：一是采用各種電磁屏蔽措施，如對(duì)設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時(shí)對(duì)機(jī)房的下水管、暖氣管和金屬更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 門窗進(jìn)行屏蔽和隔離；二是干擾的防護(hù)措施，即在計(jì)算機(jī)系統(tǒng)工作的同時(shí)，利用干擾裝置產(chǎn)生一種與計(jì)算機(jī)系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來(lái)掩蓋計(jì)算機(jī)系統(tǒng)的工作頻率和信息特征。 抑制和防止電磁泄漏是物理安全的一個(gè)主要問(wèn)題。 從這一模型可以得出如下結(jié)論：對(duì)資源的訪問(wèn) 控制是安全保密的核心，而對(duì)用戶的身份認(rèn)證或服務(wù)器的地址的認(rèn)證是訪問(wèn)控制的前提。網(wǎng)絡(luò)層的訪問(wèn)控制主要指防火墻等過(guò)濾機(jī)制。在網(wǎng)絡(luò)層，主體是客戶機(jī)，資源是服務(wù)器或網(wǎng)絡(luò)服務(wù)。因此，我們?cè)趫D 3 中給出了各種安全服務(wù)之間的關(guān)系模型。這種投影所得到的結(jié)果將直接指導(dǎo)我們網(wǎng)絡(luò)安全方案的設(shè)計(jì)和實(shí)施。為直觀起見，同時(shí)也為了便于提出可實(shí)施的安全方案，我們把這一模型投影到系統(tǒng)單元平面，并把系統(tǒng)單元分成網(wǎng)絡(luò)平臺(tái)和應(yīng)用平臺(tái)兩個(gè)層次，形成一個(gè)二維結(jié)構(gòu)。通過(guò)技術(shù)手段和行政管理手段，安全管理將涉及到各系統(tǒng)單元在各個(gè)協(xié) 議層次提供的各種安全服務(wù)。 1) 通信平臺(tái)，信息網(wǎng)絡(luò)的通信平臺(tái)； 2) 網(wǎng)絡(luò)平臺(tái)，信息網(wǎng)絡(luò)的網(wǎng)絡(luò)系統(tǒng)； 3) 系統(tǒng)平臺(tái)，信息網(wǎng)絡(luò)的操作系統(tǒng)平臺(tái)； 4) 應(yīng)用平臺(tái)，信息網(wǎng)絡(luò)各種應(yīng)用的開發(fā)、運(yùn)行平臺(tái)； 5) 物理環(huán)境，信息網(wǎng)絡(luò)運(yùn)行的物理環(huán)境及人員管理。與 TCP/IP 層次對(duì)應(yīng)，可以把會(huì)話層、表示、應(yīng)用層統(tǒng)一為 “應(yīng)用層 ”。 安全體系的具體模型介紹如下： 安全 服務(wù)維 安全服務(wù) 具體如下： 1) 身份認(rèn)證，用于確認(rèn)所聲明的身份的有效性； 2) 訪問(wèn)控制，防止非授權(quán)使用資源或以非授權(quán)的方式使用資源； 3) 數(shù)據(jù)保密，數(shù)據(jù)存儲(chǔ)和傳輸時(shí)加密，防止數(shù)據(jù)竊取、竊聽； 4) 數(shù)據(jù)完整，防止數(shù)據(jù)篡改； 5) 不可抵賴，取兩種形式的一種，用于防止發(fā)送者企圖否認(rèn)曾經(jīng)發(fā)送過(guò)數(shù)據(jù)或其內(nèi)容和用以防止接收者對(duì)所收到數(shù)據(jù)或內(nèi)容的抗否認(rèn)； 6) 審計(jì)管理，設(shè)置審計(jì)記錄措施，分析審計(jì)記錄； 7) 可用性、可靠性，在系統(tǒng)降級(jí)或受到破壞時(shí)能使系統(tǒng)繼續(xù)完成其功能，使得在不利的條件下盡可能少地受到侵害者的 破壞。 為了系統(tǒng)、科學(xué)地分析安全方案涉及的各種安全問(wèn)題，在大量調(diào)查研究的基 礎(chǔ)上，我們重點(diǎn)分析、借鑒了 提出的三維安全體系結(jié)構(gòu)，并在其基礎(chǔ)上提出了能夠指導(dǎo)安全方案總體設(shè)計(jì)的安全體系（見圖），它反映了信息系統(tǒng)安全需求和體系結(jié)構(gòu)的共性。 安全方案必須架構(gòu)在科學(xué)的安全體系和安全框架之上。網(wǎng)絡(luò)管理員配置不當(dāng)或者網(wǎng)絡(luò)應(yīng) 用升級(jí)不及時(shí)造成的安全漏洞、使用脆弱的用戶口令、隨意使用普通網(wǎng)絡(luò)站點(diǎn)下載的軟件、在防火墻內(nèi)部架設(shè)撥號(hào)服務(wù)器卻沒有對(duì)帳號(hào)認(rèn)證等嚴(yán)格限制、用戶安全意識(shí)不強(qiáng)，將自己的帳號(hào)隨意轉(zhuǎn)借他人或與別人共享等 等，這些管理落實(shí)上的問(wèn)題都是無(wú)論多么精妙的安全策略和網(wǎng)絡(luò)安全體系都更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 不能解決的，都會(huì)使網(wǎng) 絡(luò)處于危險(xiǎn)之中。 事實(shí)上，對(duì)于網(wǎng)絡(luò)企業(yè)網(wǎng)或者 ISP 的公網(wǎng)來(lái)說(shuō)，管理的失敗是網(wǎng)絡(luò)安全體系失敗的非常重要的原因。其中的時(shí)間差往往是成敗的歸因。網(wǎng)絡(luò)安全管理員和黑客通過(guò)研究或其它渠道都有可能率先獲知。這些安全漏洞的發(fā)現(xiàn)依賴于艱辛的 測(cè)試和研究。 其次，網(wǎng)絡(luò)設(shè)備和軟件不可能是完美的，在設(shè)計(jì)開發(fā)過(guò)程中必然會(huì)出現(xiàn)缺陷和漏洞。另外，設(shè)計(jì)編程人員為了自便或測(cè)試目的也經(jīng)常設(shè)置一些 后門 。這些 內(nèi)奸 ，可以接收特 殊病毒、 接收來(lái)自網(wǎng)絡(luò)或無(wú)線電指令來(lái)觸發(fā) CPU 的自殺功能、搜集和發(fā)送敏感信息、將敏感信息隱藏在網(wǎng)絡(luò)協(xié)議層中傳輸?shù)取? 從技術(shù)角度分析，網(wǎng)絡(luò)安全體系失敗的原因有以下幾種原因： 首先，從芯片、操作系統(tǒng)到應(yīng)用程序，任何一個(gè)環(huán)節(jié)都可能被開發(fā)者留下 后門 。并且，通常情況下，防守者總是擁有對(duì)網(wǎng)絡(luò)安全體系更為準(zhǔn)確的了解。攻擊者的做法則是耐心地收集、測(cè)試可能出現(xiàn)的漏洞，只要找到 一處，則攻擊往往就成功了多半。這是由攻擊和防守的特性決定的。 更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 網(wǎng)絡(luò)安全系統(tǒng)為什么會(huì)失敗 網(wǎng)絡(luò)安全概念中有一個(gè) 木桶 理論，講的是一個(gè)淺顯而重要的原則：一個(gè)桶能裝的水量不取決于桶有多高，而取決于組成該桶的最短的那塊木條的高度。競(jìng)爭(zhēng)對(duì)手出于競(jìng)爭(zhēng)目的， 為打擊對(duì)手的商業(yè)信譽(yù)可能會(huì)發(fā)動(dòng)攻擊行為。值得注意的是當(dāng)前出于政治目的和商業(yè)競(jìng)爭(zhēng)目的的網(wǎng)絡(luò)攻擊日益增多。國(guó)家機(jī)密、商業(yè)競(jìng)爭(zhēng)、對(duì)顧主單位的不滿、對(duì)網(wǎng)絡(luò)安全技術(shù)的挑戰(zhàn)、對(duì)企業(yè)核心機(jī)密的企望、網(wǎng)絡(luò)接入帳號(hào)、信用卡號(hào)等金 錢利益的誘惑、利用攻擊網(wǎng)絡(luò)站點(diǎn)而出名、對(duì)網(wǎng)絡(luò)的好奇心等，當(dāng)然其它一些原因也都可能引起攻擊者的蓄意攻擊行為。攻擊行為從攻擊者開始在接觸目標(biāo)機(jī)的那個(gè)時(shí)刻起可以說(shuō)就已經(jīng)開始了。 最后一種是當(dāng)前 Inter 網(wǎng)絡(luò)所面臨的最大威脅，是電子商務(wù)、政府 、 企業(yè)、個(gè)人 上網(wǎng)等順利發(fā)展的最大障礙，也是企業(yè)網(wǎng)絡(luò)安全策略最需要解決的問(wèn)題。 這些威脅可能來(lái)源于各種各樣的因素： 可能是有意的，也可能是無(wú)意的；可能是來(lái)源于企業(yè)外部的， 也可能是內(nèi)部人員造成的；可能是人為的，也可能是自然力造成的。 更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 2 網(wǎng)絡(luò)安全的威脅 網(wǎng)絡(luò) 面臨的安全威脅大體可分為兩種： 一、 是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的威脅 。國(guó)際調(diào)查顯示，目前 55%的企業(yè)網(wǎng)沒有自己的安全策略。它使網(wǎng)絡(luò)建設(shè)和管理過(guò)程中的安全工作避免盲目性。網(wǎng)絡(luò)安全工作要有法可依。應(yīng)當(dāng)盡快組織自己的 IT 部門或購(gòu)買其它公司的相應(yīng)服務(wù)來(lái)確立自己企業(yè)網(wǎng)的安全策略，并且下決心去實(shí)施，并且定期地檢查實(shí)際情況與安全策略的差距。所以，不管在設(shè)計(jì)網(wǎng)絡(luò)安全方案時(shí)，還是在確認(rèn)事故、攻擊、入侵等級(jí)時(shí)都顯得無(wú)所適從。 目前我國(guó)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全產(chǎn)品的認(rèn)證研究剛開始起步，尚沒有對(duì)計(jì)算機(jī)安全發(fā)布權(quán)威性的標(biāo)準(zhǔn)方案。 我們的企業(yè)也是如此，如果您的企業(yè)沒有一套好的網(wǎng)絡(luò)安全策略，那么你們企業(yè)的一切資料都是公開的，不安全的。不夸張地說(shuō)，它在下個(gè)世紀(jì)里完全可以與核武器對(duì)一個(gè)國(guó)家的重要性相提并論。換言之 ，網(wǎng)絡(luò) 的安全，包括 網(wǎng)絡(luò) 上的信息數(shù)據(jù)安全 和網(wǎng)絡(luò)設(shè)備服務(wù)的運(yùn)行安全，日益成為與國(guó)家、政府、企業(yè)、個(gè)人的利益 息息 相關(guān)的 大事情 。更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 協(xié)同辦公系統(tǒng) 安全解決方案 更多協(xié)同辦公 OA 系統(tǒng)資料請(qǐng)?jiān)L問(wèn)： 1 引言 ........................................................................................................................ 4 2 網(wǎng)絡(luò)安全的威脅 ...