亚洲天堂男人在线,在线观看99,中文国产成人精品久久一

前言：我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡(luò)安全解決方案文章，供您閱讀參考。期待這些文章能為您帶來(lái)啟發(fā)，助您在寫作的道路上更上一層樓。

第1篇

【關(guān)鍵詞】網(wǎng)絡(luò)；安全；技術(shù)防范；對(duì)策

【中圖分類號(hào)】TP393.08 【文獻(xiàn)標(biāo)識(shí)碼】B 【文章編號(hào)】1672-5158（2013）01―0445―02

引言

近年來(lái)，隨著經(jīng)濟(jì)社會(huì)的快速發(fā)展，互聯(lián)網(wǎng)得到快速增長(zhǎng)，互聯(lián)網(wǎng)的應(yīng)用領(lǐng)域不斷擴(kuò)張，已經(jīng)從傳統(tǒng)領(lǐng)域拓展到非傳統(tǒng)領(lǐng)域，而且影響力越來(lái)越大。據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）近期的《中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示：截至2012年12月底，手機(jī)網(wǎng)民數(shù)量為4.2億，中國(guó)網(wǎng)民數(shù)達(dá)到5.64億，全年新增網(wǎng)民5090萬(wàn)人，普及率為42.1%；微博用戶規(guī)模為3.09億，較2011年底增長(zhǎng)了5873萬(wàn)。域名總數(shù)為1341萬(wàn)個(gè)，其中“.CN”域名總數(shù)為751萬(wàn)，“.中國(guó)”域名總數(shù)為28萬(wàn)。中國(guó)網(wǎng)站總數(shù)（即網(wǎng)站的域名注冊(cè)者在中國(guó)境內(nèi)的網(wǎng)站數(shù)）回升至268萬(wàn)個(gè)（去年底只有183萬(wàn)）。網(wǎng)絡(luò)安全從大的方面講，關(guān)系國(guó)家安全、社會(huì)穩(wěn)定；從小的方面講，網(wǎng)絡(luò)安全涉及個(gè)人信息安全、財(cái)產(chǎn)安全，因此，積極研究探討適應(yīng)新形勢(shì)發(fā)展要求的網(wǎng)絡(luò)安全方案，對(duì)確保網(wǎng)絡(luò)安全，提升網(wǎng)絡(luò)服務(wù)質(zhì)量具有十分重要的現(xiàn)實(shí)意義。

1 加強(qiáng)網(wǎng)絡(luò)安全的現(xiàn)實(shí)意義

隨著信息化技術(shù)的不斷發(fā)展，網(wǎng)絡(luò)已經(jīng)成為一種聯(lián)通各地、各個(gè)領(lǐng)域的重要基礎(chǔ)設(shè)施，計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展為人們的生產(chǎn)、生活、工作帶來(lái)了極大便利，拉近了全球的距離。但在看到網(wǎng)絡(luò)給人們帶來(lái)便捷的同時(shí)，還要清醒地認(rèn)識(shí)到網(wǎng)絡(luò)作為一個(gè)面向公眾的開放系統(tǒng)，如果網(wǎng)絡(luò)安全意識(shí)不強(qiáng)、網(wǎng)絡(luò)安全防范措施不力，就會(huì)產(chǎn)生網(wǎng)絡(luò)安全隱患。特別是隨著信息網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)得到廣泛普及和應(yīng)用，應(yīng)用層次不斷深入，應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴(kuò)展，已經(jīng)被行政部門、金融機(jī)構(gòu)、企業(yè)廣泛應(yīng)用，網(wǎng)絡(luò)在這些領(lǐng)域的廣泛應(yīng)用，也進(jìn)―步加大了網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。如何保持網(wǎng)絡(luò)的穩(wěn)定安全，防止諸如黑客攻擊、非正常入侵等安全問(wèn)題的發(fā)生，是一項(xiàng)重要任務(wù)。

由于網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜、涉及終端眾多、系統(tǒng)開放，網(wǎng)絡(luò)系統(tǒng)面臨的威脅和風(fēng)險(xiǎn)比較多，歸納起來(lái)主要來(lái)自外部的人為影響和自然環(huán)境的影響，這些威脅有的是對(duì)網(wǎng)絡(luò)設(shè)備的安全運(yùn)行存在威脅，有的是對(duì)網(wǎng)絡(luò)中的信息安全存在威脅。這些威脅的集中起來(lái)主要有：非法授權(quán)訪問(wèn)，假冒合法用戶，病毒破壞，線路竊聽，黑客入侵，干擾系統(tǒng)正常運(yùn)行，修改或刪除數(shù)據(jù)等。這些威脅一旦成為現(xiàn)實(shí)，將對(duì)網(wǎng)絡(luò)系統(tǒng)產(chǎn)生致命的影響，嚴(yán)重的可能會(huì)導(dǎo)致系統(tǒng)癱瘓，傳輸信息被非法獲取和傳播，會(huì)給相關(guān)機(jī)構(gòu)和網(wǎng)絡(luò)用戶造成不可挽回的損失。

在網(wǎng)絡(luò)快速發(fā)展的新形勢(shì)下，全面加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，提升網(wǎng)絡(luò)安全等級(jí)，對(duì)確保和維護(hù)網(wǎng)絡(luò)用戶利益，維護(hù)單位整體形象都具有十分重要我。特別是在當(dāng)前，終端用戶往往會(huì)在終端中存儲(chǔ)大量的信息資料，工作手段也越來(lái)越依賴于網(wǎng)絡(luò)，一旦網(wǎng)絡(luò)安全方面出現(xiàn)問(wèn)題，造成信息的丟失或不能及時(shí)流通，或者被篡改、增刪、破壞或竊用，都將帶來(lái)難以彌補(bǔ)的巨大損失，因此，積極研究探索與網(wǎng)絡(luò)發(fā)展同步的網(wǎng)絡(luò)安全解決方案，全面加強(qiáng)網(wǎng)絡(luò)安全建設(shè)，是各級(jí)網(wǎng)絡(luò)管理部門及用戶的重要職責(zé)，必須要高度重視，扎實(shí)推進(jìn)。

2 信息系統(tǒng)安全威脅與風(fēng)險(xiǎn)分析

認(rèn)真分析信鼠系統(tǒng)安全威脅與存在的風(fēng)險(xiǎn)，是進(jìn)行風(fēng)險(xiǎn)管理、制定網(wǎng)絡(luò)安全方案的前提和基礎(chǔ)。通過(guò)進(jìn)行有效的系統(tǒng)安全威脅與風(fēng)險(xiǎn)分析，可以幫助相關(guān)機(jī)構(gòu)和用戶選擇合作的控制措施來(lái)降低風(fēng)險(xiǎn)。

2.1 物理安全風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)物理安全是整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提，相關(guān)的物理安全風(fēng)險(xiǎn)主要有：地震、水災(zāi)、火災(zāi)等環(huán)境事故造成整個(gè)系統(tǒng)毀滅；電源故障造成設(shè)備斷電以至操作系統(tǒng)引導(dǎo)失敗或數(shù)據(jù)庫(kù)信息丟失；設(shè)備被盜、被毀造成數(shù)據(jù)丟失或信息泄漏；電磁輻射可能造成數(shù)據(jù)信息被竊取或偷閱；報(bào)警系統(tǒng)的設(shè)計(jì)不足可能造成原本可以防止但實(shí)際發(fā)生了的事故。

2.2 鏈路傳輸風(fēng)險(xiǎn)分析

網(wǎng)絡(luò)安全不僅是入侵者到企業(yè)內(nèi)部網(wǎng)上進(jìn)行攻擊、竊取或其它破壞，他們完全有可能在傳輸線路上安裝竊聽裝置，竊取你在網(wǎng)上傳輸?shù)闹匾獢?shù)據(jù)，再通過(guò)一些技術(shù)讀出數(shù)據(jù)信息，造成泄密或者做一些篡改來(lái)破壞數(shù)據(jù)的完整性；以上種種不安全因素都對(duì)網(wǎng)絡(luò)構(gòu)成嚴(yán)重的安全危脅。

2.3 網(wǎng)絡(luò)結(jié)構(gòu)的安全風(fēng)險(xiǎn)分析

來(lái)自與公網(wǎng)互聯(lián)的安全危脅，基于Internet公網(wǎng)的開放性、國(guó)際性與自由性，內(nèi)部網(wǎng)絡(luò)將面臨更加嚴(yán)重的安全危脅。一些黑客會(huì)制造病毒透過(guò)網(wǎng)絡(luò)進(jìn)行傳播，還會(huì)影響到與本系統(tǒng)網(wǎng)絡(luò)有連接的外單位網(wǎng)絡(luò)；影響所及，還可能涉及法律、金融等安全敏感領(lǐng)域。

內(nèi)部網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)互聯(lián)安全威脅。如果系統(tǒng)內(nèi)部局域網(wǎng)絡(luò)與系統(tǒng)外部網(wǎng)絡(luò)間沒(méi)有采取一定的安全防護(hù)措施，內(nèi)部網(wǎng)絡(luò)容易造到來(lái)自外網(wǎng)一些不懷好意的入侵者的攻擊。入侵者通過(guò)網(wǎng)絡(luò)監(jiān)聽等先進(jìn)手段獲得內(nèi)部網(wǎng)用戶的用戶名、口令等信息，進(jìn)而假冒內(nèi)部合法身份進(jìn)行非法登錄，竊取內(nèi)部網(wǎng)重要信息。惡意攻擊，入侵者通過(guò)發(fā)送大量PING包對(duì)內(nèi)部網(wǎng)重要服務(wù)器進(jìn)行攻擊，使得服務(wù)器超負(fù)荷工作以至拒絕服務(wù)甚至系統(tǒng)癱瘓。

內(nèi)部局域網(wǎng)的安全威脅。據(jù)調(diào)查在已有的網(wǎng)絡(luò)安全攻擊事件中約70%是來(lái)自內(nèi)部網(wǎng)絡(luò)的侵犯。比如內(nèi)部人員故意泄漏內(nèi)部網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)；安全管理員有意透露其用戶名及口令；內(nèi)部不懷好意員工編些破壞程序在內(nèi)部網(wǎng)上傳播或者內(nèi)部人員通過(guò)各種方式盜取他人信息傳播出去。這些都將對(duì)網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重威脅。

2.4 系統(tǒng)的安全風(fēng)險(xiǎn)分析

系統(tǒng)的安全往往歸結(jié)于操作系統(tǒng)的安全性，決定于網(wǎng)絡(luò)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全性。目前的操作系統(tǒng)或應(yīng)用系統(tǒng)無(wú)論是Windows還是其它任何商用UNIX操作系統(tǒng)以及其它廠商開發(fā)的應(yīng)用系統(tǒng)，系統(tǒng)本身必定存在安全漏洞。這些安全漏洞都將存在重大安全隱患。但是從實(shí)際應(yīng)用上，系統(tǒng)的安全程度跟對(duì)其進(jìn)行安全配置及系統(tǒng)的應(yīng)用面有很大關(guān)系，操作系統(tǒng)如果沒(méi)有采用相應(yīng)的安全配置，則其是漏洞百出，掌握一般攻擊技術(shù)的人都可能入侵得手。因此，必須要高度重視系統(tǒng)的安全風(fēng)險(xiǎn)，科學(xué)進(jìn)行系統(tǒng)安全配置，從而有效降低系統(tǒng)風(fēng)險(xiǎn)。

2.5 應(yīng)用的安全風(fēng)險(xiǎn)分析

應(yīng)用系統(tǒng)的安全涉及很多方面。應(yīng)用系統(tǒng)是動(dòng)態(tài)的、不斷變化的。應(yīng)用的安全性也是動(dòng)態(tài)的。這就需要我們對(duì)不同的應(yīng)用，檢測(cè)安全漏洞，采取相應(yīng)的安全措施，降低應(yīng)用的安全風(fēng)險(xiǎn)。比如由于資源共享、使用電子郵件系統(tǒng)、受病毒侵害、數(shù)據(jù)信息被非法竊取，篡改等，這些都是應(yīng)用層面應(yīng)當(dāng)防范的安全風(fēng)險(xiǎn)。

2.6 管理的安全風(fēng)險(xiǎn)分析

內(nèi)部管理人員或員工把內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、管理員用戶名及口令以及系統(tǒng)的一些重要信息傳播給外人帶來(lái)信息泄漏風(fēng)險(xiǎn)。機(jī)房存在惡意的入侵者，內(nèi)部不滿的員工有的可能熟悉服務(wù)器、小程序、腳本和系統(tǒng)的弱點(diǎn)。利用網(wǎng)絡(luò)開些小玩笑，甚至破壞。一些網(wǎng)絡(luò)系統(tǒng)管理由于責(zé)權(quán)不明，管理混亂、安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風(fēng)險(xiǎn)。

3 網(wǎng)絡(luò)安全解決方案

可以通過(guò)配置諸如：標(biāo)識(shí)、密鑰管理、安全管理、系統(tǒng)保護(hù)、鑒別、授權(quán)、訪問(wèn)控制、抗抵賴、受保護(hù)通信、入侵檢測(cè)與抑制、完整性證明、恢復(fù)安全狀態(tài)、病毒檢測(cè)與根除等技術(shù)類安全控制來(lái)有效防止給定類型的風(fēng)險(xiǎn)與威脅；通過(guò)建立相關(guān)的安全管理機(jī)制，實(shí)現(xiàn)管理在的安全控制；通過(guò)建立一整套嚴(yán)謹(jǐn)?shù)目刂浦改希瑢?shí)現(xiàn)操作類的安全控制，從而實(shí)現(xiàn)信息系統(tǒng)安全控制。

3.1 做好物理防護(hù)

保證計(jì)算機(jī)信息系統(tǒng)各種設(shè)備的物理安全是保障整個(gè)網(wǎng)絡(luò)系統(tǒng)安全的前提。物理安全是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備、設(shè)施以及其它媒體免遭地震、水災(zāi)、火災(zāi)等環(huán)境事故以及人為操作失誤或錯(cuò)誤及各種計(jì)算機(jī)犯罪行為導(dǎo)致的破壞過(guò)程。要嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)建設(shè)網(wǎng)絡(luò)，防止人為降低建設(shè)標(biāo)準(zhǔn)。確保設(shè)備安全，采取有力措施搞好防盜、防毀、防電磁信息輻射泄漏、防止線路截獲、抗電磁干擾及電源保護(hù)等。

3.2 確保系統(tǒng)安全

要認(rèn)真判斷網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)是否合理；線路是否有冗余；路由是否冗余，防止單點(diǎn)失敗等。工行網(wǎng)絡(luò)在設(shè)計(jì)時(shí)，比較好的考慮了這些因素，可以說(shuō)網(wǎng)絡(luò)結(jié)構(gòu)是比較合理的、比較安全的。對(duì)于操作系統(tǒng)要盡可能采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進(jìn)行必要的安全配置、關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用、對(duì)一些保存有用戶信息及其口令的關(guān)鍵文件，對(duì)使用權(quán)限進(jìn)行嚴(yán)格限制；加強(qiáng)口令字的使用，增加口令復(fù)雜程度、不要使用與用戶身份有關(guān)的、容易猜測(cè)的信息作為口令，并及時(shí)給系統(tǒng)打補(bǔ)丁、系統(tǒng)內(nèi)部的相互調(diào)用不對(duì)外公開。通過(guò)配備操作系統(tǒng)安全掃描系統(tǒng)對(duì)操作系統(tǒng)進(jìn)行安全性掃描，發(fā)現(xiàn)其中存在的安全漏洞，并有針對(duì)性地進(jìn)行對(duì)網(wǎng)絡(luò)設(shè)備重新配置或升級(jí)。在應(yīng)用系統(tǒng)安全上，應(yīng)用服務(wù)器盡量不要開放一些沒(méi)有經(jīng)常用的協(xié)議及協(xié)議端口號(hào)。充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能，對(duì)用戶所訪問(wèn)的信息做記錄，為事后審查提供依據(jù)。

3.3 突出網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全是整個(gè)安全解決方案的重中之重，要從訪問(wèn)控制、通信保密、入侵檢測(cè)、網(wǎng)絡(luò)安全掃描系統(tǒng)、防病毒等方面，采取切實(shí)可行的對(duì)策措施，確保網(wǎng)絡(luò)安全。要嚴(yán)格落實(shí)《用戶授權(quán)實(shí)施細(xì)則》、《口令字及帳戶管理規(guī)范》、《權(quán)限管理制度》、《安全責(zé)任制度》等安全管理制度。設(shè)置虛擬子網(wǎng)，各子網(wǎng)間不能實(shí)現(xiàn)互訪，實(shí)現(xiàn)初級(jí)訪問(wèn)控制。設(shè)置高等級(jí)防火墻，通過(guò)制定嚴(yán)格的安全策略實(shí)現(xiàn)內(nèi)外網(wǎng)絡(luò)或內(nèi)部網(wǎng)絡(luò)不同信任域之間的隔離與訪問(wèn)控制。利用防火墻并經(jīng)過(guò)嚴(yán)格配置，可以阻止各種不安全訪問(wèn)通過(guò)防火墻，從而降低安全風(fēng)險(xiǎn)。但是，網(wǎng)絡(luò)安全不可能完全依靠防火墻單一產(chǎn)品來(lái)實(shí)現(xiàn)，網(wǎng)絡(luò)安全是個(gè)整體的，必須配相應(yīng)的安全產(chǎn)品，作為防火墻的必要補(bǔ)充。入侵檢測(cè)系統(tǒng)就是最好的安全產(chǎn)品，入侵檢測(cè)系統(tǒng)是根據(jù)已有的、最新的攻擊手段的信息代碼對(duì)進(jìn)出網(wǎng)段的所有操作行為進(jìn)行實(shí)時(shí)監(jiān)控、記錄，并按制定的策略實(shí)行響應(yīng)（阻斷、報(bào)警、發(fā)送E-mail）。建立網(wǎng)絡(luò)掃描系統(tǒng)，對(duì)網(wǎng)絡(luò)系統(tǒng)中的所有操作系統(tǒng)進(jìn)行安全性掃描，檢測(cè)操作系統(tǒng)存在的安全漏洞，并產(chǎn)生報(bào)表，并自動(dòng)進(jìn)行相關(guān)修復(fù)。通過(guò)預(yù)防病毒技術(shù)、檢測(cè)病毒技術(shù)、殺毒技術(shù)，實(shí)施反病毒措施，防止病毒進(jìn)入網(wǎng)絡(luò)進(jìn)行傳播擴(kuò)散。

3.4 確保應(yīng)用安全

應(yīng)用是信息系統(tǒng)安全應(yīng)當(dāng)關(guān)注的重要內(nèi)容，要通過(guò)規(guī)范用戶的行為，來(lái)實(shí)現(xiàn)應(yīng)用安全。要嚴(yán)格控制內(nèi)部員工對(duì)網(wǎng)絡(luò)共享資源的使用，尤其要限制共享資源的濫用，在內(nèi)部子網(wǎng)中一般不隨意開放共享目錄，否則較容易因?yàn)槭韬龆谂c員工間交換信息時(shí)泄漏重要信息。對(duì)有經(jīng)常交換信息需求的用戶，在共享時(shí)也必須加上必要的口令認(rèn)證機(jī)制，即只有通過(guò)口令的認(rèn)證才允許訪問(wèn)數(shù)據(jù)。雖然說(shuō)用戶名加口令的機(jī)制不是很安全，但對(duì)一般用戶而言，還是起到一定的安全防護(hù)，即使有刻意破解者，只要口令設(shè)得復(fù)雜些，也得花費(fèi)相當(dāng)長(zhǎng)的時(shí)間。適當(dāng)配置資源控制，要精心設(shè)置訪問(wèn)權(quán)限，并拒絕未經(jīng)授權(quán)人員的登錄，減少有意或無(wú)意的案例漏洞。對(duì)數(shù)據(jù)庫(kù)服務(wù)器中的數(shù)據(jù)庫(kù)必須做安全備份，通過(guò)網(wǎng)絡(luò)備份系統(tǒng)，可以對(duì)數(shù)據(jù)庫(kù)進(jìn)行遠(yuǎn)程備份存儲(chǔ)。

第2篇

摘要隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終。關(guān)鍵詞信息安全；pki；ca；vpn 1 引言隨著計(jì)算機(jī)網(wǎng)絡(luò)的出現(xiàn)和互聯(lián)網(wǎng)的飛速發(fā)展，企業(yè)基于網(wǎng)絡(luò)的計(jì)算機(jī)應(yīng)用也在迅速增加，基于網(wǎng)絡(luò)信息系統(tǒng)給企業(yè)的經(jīng)營(yíng)管理帶來(lái)了更大的經(jīng)濟(jì)效益，但隨之而來(lái)的安全問(wèn)題也在困擾著用戶，在2003年后，木馬、蠕蟲的傳播使企業(yè)的信息安全狀況進(jìn)一步惡化。這都對(duì)企業(yè)信息安全提出了更高的要求。隨著信息化技術(shù)的飛速發(fā)展，許多有遠(yuǎn)見的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的it技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。面對(duì)這瞬息萬(wàn)變的市場(chǎng)，企業(yè)就面臨著如何提高自身核心競(jìng)爭(zhēng)力的問(wèn)題，而其內(nèi)部的管理問(wèn)題、效率問(wèn)題、考核問(wèn)題、信息傳遞問(wèn)題、信息安全問(wèn)題等，又時(shí)刻在制約著自己，企業(yè)采用pki技術(shù)來(lái)解決這些問(wèn)題已經(jīng)成為當(dāng)前眾多企業(yè)提高自身競(jìng)爭(zhēng)力的重要手段。在下面的描述中，以某公司為例進(jìn)行說(shuō)明。 2 信息系統(tǒng)現(xiàn)狀 2.1 信息化整體狀況 1)計(jì)算機(jī)網(wǎng)絡(luò) 某公司現(xiàn)有計(jì)算機(jī)500余臺(tái)，通過(guò)內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過(guò)防火墻與外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過(guò)交換機(jī)連接。

圖1 2)應(yīng)用系統(tǒng) 經(jīng)過(guò)多年的積累，某公司的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。 2.2 信息安全現(xiàn)狀為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，某公司實(shí)施了計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，部署了防火墻、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，極大地提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，這些產(chǎn)品在此后防范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮了很大的作用。 3 風(fēng)險(xiǎn)與需求分析 3.1 風(fēng)險(xiǎn)分析通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論： (1)經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。 (2)計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。通過(guò)對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在： (1)系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部，并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。美國(guó)聯(lián)邦調(diào)查局(fbi)和計(jì)算機(jī)安全機(jī)構(gòu)(csi)等權(quán)威機(jī)構(gòu)的研究也證明了這一點(diǎn)：超過(guò)80%的信息安全隱患是來(lái)自組織內(nèi)部，這些隱患直接導(dǎo)致了信息被內(nèi)部人員所竊取和破壞。信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。 (2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過(guò)程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。 3.2 需求分析如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)： (1)某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。 (2)網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。 (3)信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。 (4)信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。 4 設(shè)計(jì)原則安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。 4.1 標(biāo)準(zhǔn)化原則本方案參照信息安全方面的國(guó)家法規(guī)與標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。 4.2 系統(tǒng)化原則信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。 4.3 規(guī)避風(fēng)險(xiǎn)原則安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題，在規(guī)劃與應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)與應(yīng)用系統(tǒng)的平滑連接。 4.4 保護(hù)投資原則由于信息安全理論與技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。 4.5 多重保護(hù)原則任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。 4.6 分步實(shí)施原則由于某公司應(yīng)用擴(kuò)展范圍廣闊，隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大及應(yīng)用的增加，系統(tǒng)脆弱性也會(huì)不斷增加。一勞永逸地解決安全問(wèn)題是不現(xiàn)實(shí)的。針對(duì)安全體系的特性，尋求安全、風(fēng)險(xiǎn)、開銷的平衡，采取“統(tǒng)一規(guī)劃、分步實(shí)施”的原則。即可滿足某公司安全的基本需求，亦可節(jié)省費(fèi)用開支。

5 設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署信息安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。信息安全防范體系模型顯示安全防范是一個(gè)動(dòng)態(tài)的過(guò)程，事前、事中和事后的技術(shù)手段應(yīng)當(dāng)完備，安全管理應(yīng)貫穿安全防范活動(dòng)的始終，如圖2所示。圖2 網(wǎng)絡(luò)與信息安全防范體系模型信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過(guò)與計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過(guò)本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。 5.1 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用pki/ca數(shù)字認(rèn)證服務(wù)。pki(public key infrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的pki/ca數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：身份認(rèn)證(authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。數(shù)據(jù)的機(jī)密性(confidentiality)：對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來(lái)完成。數(shù)據(jù)的完整性(integrity)：確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。不可抵賴性(non-repudiation)：防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。 5.2 邊界防護(hù)和網(wǎng)絡(luò)的隔離 vpn(virtual private network)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴? 通過(guò)安裝部署vpn系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程lan的安全連接。集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。集中的安全策略管理可以對(duì)整個(gè)vpn網(wǎng)絡(luò)的安全策略進(jìn)行集中管理和配置。 5.3 安全電子郵件電子郵件是internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。目前廣泛應(yīng)用的電子郵件客戶端軟件如 outlook 支持的 s/mime( secure multipurpose internet mail extensions )，它是從 pem(privacy enhanced mail) 和 mime(internet 郵件的附件標(biāo)準(zhǔn) ) 發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織 ( 根證書 ) 之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次， s/mime 將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。 5.4 桌面安全防護(hù) 對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來(lái)自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。 1)電子簽章系統(tǒng) 利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無(wú)縫嵌入office系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。 2) 安全登錄系統(tǒng) 安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。 3)文件加密系統(tǒng) 文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的安全存儲(chǔ)。由于密鑰保存在智能密碼鑰匙中，加密算法采用國(guó)際標(biāo)準(zhǔn)安全算法或國(guó)家密碼管理機(jī)構(gòu)指定安全算法，從而保證了存儲(chǔ)數(shù)據(jù)的安全性。 5.5 身份認(rèn)證身份認(rèn)證是指計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)確認(rèn)操作者身份的過(guò)程。基于pki的身份認(rèn)證方式是近幾年發(fā)展起來(lái)的一種方便、安全的身份認(rèn)證技術(shù)。它采用軟硬件相結(jié)合、一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。usb key是一種usb接口的硬件設(shè)備，它內(nèi)置單片機(jī)或智能卡芯片，可以存儲(chǔ)用戶的密鑰或數(shù)字證書，利用usb key內(nèi)置的密碼算法實(shí)現(xiàn)對(duì)用戶身份的認(rèn)證。基于pki的usb key的解決方案不僅可以提供身份認(rèn)證的功能，還可構(gòu)建用戶集中管理與認(rèn)證系統(tǒng)、應(yīng)用安全組件、客戶端安全組件和證書管理系統(tǒng)通過(guò)一定的層次關(guān)系和邏輯聯(lián)系構(gòu)成的綜合性安全技術(shù)體系，從而實(shí)現(xiàn)上述身份認(rèn)證、授權(quán)與訪問(wèn)控制、安全審計(jì)、數(shù)據(jù)的機(jī)密性、完整性、抗抵賴性的總體要求。 6 方案的組織與實(shí)施方式網(wǎng)絡(luò)與信息安全防范體系流程主要由三大部分組成：攻擊前的防范、攻擊過(guò)程中的防范和攻擊后的應(yīng)對(duì)。安全管理貫穿全流程如圖3所示。網(wǎng)絡(luò)與信息安全防范體系模型流程不僅描述了安全防范的動(dòng)態(tài)過(guò)程，也為本方案的實(shí)施提供了借鑒。圖3 因此在本方案的組織和實(shí)施中，除了工程的實(shí)施外，還應(yīng)重視以下各項(xiàng)工作： (1)在初步進(jìn)行風(fēng)險(xiǎn)分析基礎(chǔ)上，方案實(shí)施方應(yīng)進(jìn)行進(jìn)一步的風(fēng)險(xiǎn)評(píng)估，明確需求所在，務(wù)求有的放矢，確保技術(shù)方案的針對(duì)性和投資的回報(bào)。 (2)把應(yīng)急響應(yīng)和事故恢復(fù)作為技術(shù)方案的一部分，必要時(shí)可借助專業(yè)公司的安全服務(wù)，提高應(yīng)對(duì)重大安全事件的能力。 (3)該方案投資大，覆蓋范圍廣，根據(jù)實(shí)際情況，可采取分地區(qū)、分階段實(shí)施的方式。 (4)在方案實(shí)施的同時(shí)，加強(qiáng)規(guī)章制度、技術(shù)規(guī)范的建設(shè)，使信息安全的日常工作進(jìn)一步制度化、規(guī)范化。 7 結(jié)論本文以某公司為例，分析了網(wǎng)絡(luò)安全現(xiàn)狀，指出目前存在的風(fēng)險(xiǎn)，隨后提出了一整套完整的解決方案，涵蓋了各個(gè)方面，從技術(shù)手段的改進(jìn)，到規(guī)章制度的完善；從單機(jī)系統(tǒng)的安全加固，到整體網(wǎng)絡(luò)的安全管理。本方案從技術(shù)手段上、從可操作性上都易于實(shí)現(xiàn)、易于部署，為眾多行業(yè)提供了網(wǎng)絡(luò)安全解決手段。也希望通過(guò)本方案的實(shí)施，可以建立較完善的信息安全體系，有效地防范信息系統(tǒng)來(lái)自各方面的攻擊和威脅，把風(fēng)險(xiǎn)降到最低水平。參考文獻(xiàn) [1] 國(guó)家信息安全基礎(chǔ)設(shè)施研究中心、國(guó)家信息安全工程技術(shù)研究中心.《電子政務(wù)總體設(shè)計(jì)與技術(shù)實(shí)現(xiàn)》

第3篇

關(guān)鍵詞:網(wǎng)絡(luò)安全威脅;安全需求;防火墻;IDS;網(wǎng)絡(luò)安全

中圖分類號(hào):C913.3文獻(xiàn)標(biāo)識(shí)碼:A文章編號(hào):1005-5312(2010)12-0088-01

一、網(wǎng)絡(luò)安全概述

(一)網(wǎng)絡(luò)安全的基本概念

網(wǎng)絡(luò)安全包括物理安全和邏輯安全。對(duì)于物理安全,需要加強(qiáng)計(jì)算機(jī)房管理,如門衛(wèi)、出入者身份檢查、下班鎖門以及各種硬件安全手段等預(yù)防措施;而對(duì)于后者,則需要用口令、文件許可和查帳等方法來(lái)實(shí)現(xiàn)。

(二)網(wǎng)絡(luò)面臨的主要攻擊

⑴ 緩沖區(qū)溢出。

⑵ 遠(yuǎn)程攻擊。

⑶ 口令破解。

⑷ 超級(jí)權(quán)限。

⑸ 拒絕服務(wù)(DDOS)。

二、安全需求

通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)分析,我們需要制定合理的安全策略及安全方案來(lái)確保網(wǎng)絡(luò)系統(tǒng)的機(jī)密性、完整性、可用性、可控性與可審查性。即,

可用性: 授權(quán)實(shí)體有權(quán)訪問(wèn)數(shù)據(jù)。

機(jī)密性: 信息不暴露給未授權(quán)實(shí)體或進(jìn)程。

完整性: 保證數(shù)據(jù)不被未授權(quán)修改。

可控性: 控制授權(quán)范圍內(nèi)的信息流向及操作方式。

可審查性:對(duì)出現(xiàn)的安全問(wèn)題提供依據(jù)與手段。

訪問(wèn)控制:需要由防火墻將內(nèi)部網(wǎng)絡(luò)與外部不可信任的網(wǎng)絡(luò)隔離,對(duì)與外部網(wǎng)絡(luò)交換數(shù)據(jù)的內(nèi)部網(wǎng)絡(luò)及其主機(jī)、所交換的數(shù)據(jù)進(jìn)行嚴(yán)格的訪問(wèn)控制。同樣,對(duì)內(nèi)部網(wǎng)絡(luò),由于不同的應(yīng)用業(yè)務(wù)以及不同的安全級(jí)別,也需要使用防火墻將不同的LAN或網(wǎng)段進(jìn)行隔離,并實(shí)現(xiàn)相互的訪問(wèn)控制。

數(shù)據(jù)加密:數(shù)據(jù)加密是在數(shù)據(jù)傳輸、存儲(chǔ)過(guò)程中防止非法竊取、篡改信息的有效手段。

安全審計(jì): 是識(shí)別與防止網(wǎng)絡(luò)攻擊行為、追查網(wǎng)絡(luò)泄密行為的重要措施之一。具體包括兩方面的內(nèi)容,一是采用網(wǎng)絡(luò)監(jiān)控與入侵防范系統(tǒng),識(shí)別網(wǎng)絡(luò)各種違規(guī)操作與攻擊行為,即時(shí)響應(yīng)(如報(bào)警)并進(jìn)行阻斷;二是對(duì)信息內(nèi)容的審計(jì),可以防止內(nèi)部機(jī)密或敏感信息的非法泄漏

三、網(wǎng)絡(luò)安全防護(hù)策略

個(gè)人建議采用如下的安全拓?fù)浼軜?gòu)來(lái)確保網(wǎng)站的安全性,其中我們主要采用以下五項(xiàng)高強(qiáng)度的安全防護(hù)措施:如圖3-1所示:

(一)層層布防

從上圖中,我們可以看到,我們將安全層次劃分為四個(gè)層次,不同的層次采用不同的策略進(jìn)行有效的安全防護(hù)。

第一個(gè)層次,是外部Internet,是不能有效確定其安全風(fēng)險(xiǎn)的層次,我們的安全策略就是要重點(diǎn)防護(hù)來(lái)自于第一個(gè)層次的攻擊。

第二個(gè)層次,是通過(guò)路由器后進(jìn)入網(wǎng)站的第一個(gè)安全屏障。該層主要由防火墻進(jìn)行防護(hù)和訪問(wèn)控制,防火墻在安全規(guī)則上,只開放WWW,POP3,SMTP等少數(shù)端口和服務(wù),完全封閉其他不必要的服務(wù)端口,阻擋來(lái)自于外部的攻擊企圖。同時(shí),為了反映防火墻之內(nèi)的實(shí)際安全狀態(tài),部署網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)(IDS)。入侵檢測(cè)系統(tǒng)可以檢測(cè)出外部穿過(guò)防火墻之后的和網(wǎng)絡(luò)內(nèi)部經(jīng)過(guò)交換機(jī)對(duì)外的所有數(shù)據(jù)流中,有無(wú)非法的訪問(wèn)內(nèi)網(wǎng)的企圖、對(duì)WWW服務(wù)器和郵件服務(wù)器等關(guān)鍵業(yè)務(wù)平臺(tái)的攻擊行為和內(nèi)部網(wǎng)絡(luò)中的非法行為。對(duì)DDOS攻擊行為及時(shí)報(bào)警,并通過(guò)與防火墻的聯(lián)動(dòng)及時(shí)阻斷,網(wǎng)絡(luò)遭受DDOS攻擊。

第三個(gè)層次,是一個(gè)中心網(wǎng)絡(luò)的核心層,部署了網(wǎng)絡(luò)處置中心的所有重要的服務(wù)器。在該層次中,部署了網(wǎng)站保護(hù)系統(tǒng),防范網(wǎng)頁(yè)被非法篡改。

此外,還部署網(wǎng)絡(luò)漏洞掃描系統(tǒng),定期或不定期的對(duì)接服務(wù)器區(qū)進(jìn)行漏洞掃描,幫助網(wǎng)管人員及時(shí)了解和修補(bǔ)網(wǎng)絡(luò)中的安全漏洞。這種掃描服務(wù)可以由網(wǎng)絡(luò)安全管理人員完成,或者由安全服務(wù)的安全廠商及其高級(jí)防黑客技術(shù)人員完成。

第四個(gè)層次,是網(wǎng)絡(luò)安全中心網(wǎng)絡(luò)的數(shù)據(jù)存儲(chǔ)中心,放置了數(shù)據(jù)庫(kù)服務(wù)器和數(shù)據(jù)庫(kù)備份服務(wù)器。在該層次中,部署了防火墻,對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)通過(guò)防火墻進(jìn)行過(guò)濾,保證數(shù)據(jù)的安全性。

(二)多種防護(hù)手段

我們?cè)O(shè)計(jì)的高強(qiáng)度安全防護(hù)措施,包括多種防護(hù)手段,即有靜態(tài)的防護(hù)手段,如防火墻,又有動(dòng)態(tài)的防護(hù)手段,如網(wǎng)絡(luò)IDS、網(wǎng)絡(luò)防病毒系統(tǒng)。同時(shí),也考慮到了恢復(fù)和響應(yīng)技術(shù),如網(wǎng)站保護(hù)和恢復(fù)系統(tǒng)。不同的防護(hù)手段針對(duì)不同的安全需求,解決不同的安全問(wèn)題,使得網(wǎng)絡(luò)防護(hù)過(guò)程中不留安全死角。

(三)防火墻系統(tǒng)

防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測(cè))出入網(wǎng)絡(luò)的信息流,且本身具有較強(qiáng)的抗攻擊能力。它是提供信息安全服務(wù),實(shí)現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。

防火墻可通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況,以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。在此次的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)完成后,防火墻將承擔(dān)起對(duì)合法地址用戶的路由和對(duì)私網(wǎng)地址用戶的地址轉(zhuǎn)換任務(wù)(NAT),同時(shí),將根據(jù)需要對(duì)進(jìn)出訪問(wèn)進(jìn)行控制。防火墻可將網(wǎng)絡(luò)分成若干個(gè)區(qū)域,Trust(可信任區(qū),連接內(nèi)部局域網(wǎng)),Untrust(不信任區(qū),連接Internet ),DMZ(中立區(qū),連接對(duì)外的WEB server、e-Mail server 等)之后,還可以由客戶自行定義安全區(qū)域。

(四)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的作用

通過(guò)使用網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng),我們可以做到:發(fā)現(xiàn)誰(shuí)在攻擊網(wǎng)絡(luò):解決網(wǎng)絡(luò)防護(hù)的問(wèn)題(網(wǎng)絡(luò)出入口、DMZ、關(guān)鍵網(wǎng)段)。了解接網(wǎng)絡(luò)如何被攻擊:例如,如果有人非法訪問(wèn)服務(wù)器,需要知道他們是怎么做的,這樣可以防止再次發(fā)生同樣的情況。IDS可以提供攻擊特征描述,還可以進(jìn)行逐條的記錄回放,使網(wǎng)絡(luò)系統(tǒng)免受二次攻擊。

處置中心網(wǎng)絡(luò)的內(nèi)部危險(xiǎn):放置在網(wǎng)絡(luò)中的IDS會(huì)識(shí)別不同的安全事件。減輕潛在威脅:可以安裝在特定的網(wǎng)絡(luò)中,確定依具體情況而定的或是所懷疑的威脅,通過(guò)策略阻斷和其它安全產(chǎn)品進(jìn)行全面防護(hù)。事后取證:從相關(guān)的事件和活動(dòng)的多個(gè)角度提供具有標(biāo)準(zhǔn)格式的獨(dú)特?cái)?shù)據(jù)。實(shí)現(xiàn)安全事件來(lái)源追查。 DDOS攻擊防范:通過(guò)實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)流量,及時(shí)發(fā)現(xiàn)異常流量并報(bào)警,通過(guò)和防火墻聯(lián)動(dòng),對(duì)DDOS攻擊進(jìn)行阻斷。

四、安全服務(wù)

網(wǎng)絡(luò)是個(gè)動(dòng)態(tài)的系統(tǒng),它的變化包括網(wǎng)絡(luò)設(shè)備的調(diào)整,網(wǎng)絡(luò)配置的變化,各種操作系統(tǒng)、應(yīng)用程序的變化,管理人員的變化。即使最初制定的安全策略十分可靠,但是隨著網(wǎng)絡(luò)結(jié)構(gòu)和應(yīng)用的不斷變化,安全策略可能失效,必須及時(shí)進(jìn)行相應(yīng)的調(diào)整。由于這方面相對(duì)比較復(fù)雜、篇幅所限,在此就不累述了,有興趣讀者可以另行查閱相關(guān)資料。

五、總結(jié)

毫無(wú)疑問(wèn),安全是一個(gè)動(dòng)態(tài)的問(wèn)題。在做未來(lái)的計(jì)劃時(shí),既要考慮用戶環(huán)境的發(fā)展,也要考慮風(fēng)險(xiǎn)的發(fā)展,這樣才能讓安全在操作進(jìn)程中占有一席之地。最謹(jǐn)慎、最安全的人會(huì)將他們的信息放在屋子里鎖好,妥善地保護(hù)起來(lái)。歸納起來(lái),對(duì)網(wǎng)絡(luò)安全的解決方案從人員安全、物理層安全、邊界安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用程序和數(shù)據(jù)安全這幾方面入手即可。上述幾個(gè)方面做好之后,我們就可以讓一個(gè)網(wǎng)絡(luò)系統(tǒng):

進(jìn)不來(lái): 通過(guò)物理隔離等手段,阻止非授權(quán)用戶進(jìn)入網(wǎng)絡(luò)。

拿不走: 使用屏蔽、防下載機(jī)制,實(shí)現(xiàn)對(duì)用戶的權(quán)限控制。

讀不懂: 通過(guò)認(rèn)證和加密技術(shù),確信信息不暴露給未經(jīng)授權(quán)的人或程序。

改不了: 使用數(shù)據(jù)完整性鑒別機(jī)制,保證只有允許的人才能修改數(shù)據(jù)。

走不脫: 使用日志、安全審計(jì)、監(jiān)控技術(shù)使得攻擊者不能抵賴自己的行為。

參考文獻(xiàn):

[1]沈昌祥.信息安全縱論[M].武漢:湖北科學(xué)技術(shù)出版社.2002年版.

[2]杜宇峰.網(wǎng)絡(luò)安全與防護(hù)[J].電腦知識(shí)與技術(shù).2007(18).