企業(yè)內(nèi)部網(wǎng)信息安全建設的技術要求、配置方案及建議_第1頁
企業(yè)內(nèi)部網(wǎng)信息安全建設的技術要求、配置方案及建議_第2頁
企業(yè)內(nèi)部網(wǎng)信息安全建設的技術要求、配置方案及建議_第3頁
企業(yè)內(nèi)部網(wǎng)信息安全建設的技術要求、配置方案及建議_第4頁
企業(yè)內(nèi)部網(wǎng)信息安全建設的技術要求、配置方案及建議_第5頁
已閱讀5頁,還剩52頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權,請進行舉報或認領

文檔簡介

1、企業(yè)內(nèi)部網(wǎng)網(wǎng)信息安全全建設的技術要求求、配置方方案及建議議美國安泰成成發(fā)國際集集團公司企業(yè)網(wǎng)網(wǎng)絡絡安全解決決方案引言 19999年已經(jīng)經(jīng)到來, 人類處在在21世紀前前夜。19998年是是全球信息息革命和IInterrnet新新騰飛的一一年?!皫挶ㄕā? 用戶超超億, 網(wǎng)上協(xié)協(xié)同攻破密密碼等等創(chuàng)創(chuàng)造性的應應用層出不不窮。Innternnet已成成為全新的的傳播媒體體, 克林頓頓丑聞材料料在48小時內(nèi)內(nèi)就有20000萬人人上網(wǎng)觀看看。電子商商務發(fā)展更更出人意料料, 網(wǎng)上購購物僅圣誕誕節(jié)就突破破3億美元的的銷售額, 比預計計的全年220億還多多。美國對對“Inteernett經(jīng)濟”投資達到到12

2、400億, 第二代代Inteernett正式啟動動,第三代智智能網(wǎng)絡已已在醞釀, 以Inteernett為代表和和主體的信信息網(wǎng)絡必必將在211世紀成為為人類生產(chǎn)產(chǎn)、生活、自下而上上的一個基基本方式。世界各國國都以戰(zhàn)略略眼光注視視著它的發(fā)發(fā)展, 并在積積極謀取網(wǎng)網(wǎng)上的優(yōu)勢勢和主動權權。但是IInterrnet網(wǎng)網(wǎng)的信息安安全問題在在19988年也較突突出, 除兩千千年蟲問題題已進入倒倒計時外,下面摘錄錄上電報導導: 病毒感染染事件19998年增增加了二倍倍, 宏病毒毒入侵案件件占60%, 已超超過13000種, 而19966只有40種。 網(wǎng)上攻擊擊事件大幅幅上升, 對50個國家的的抽樣調(diào)查查顯

3、示: 去年有733%的單位位受到各種種形式的入入侵, 而19966年是42%。據(jù)估計計, 世界上上已有兩千千萬人具有有進行攻擊擊的潛力。 網(wǎng)上經(jīng)濟濟詐騙增長長了五倍, 估計金金額達到66億美元, 而同年暴暴力搶劫銀銀行的損失失才59000萬。一一份調(diào)查報報告中說: 有48%的企企業(yè)受過網(wǎng)網(wǎng)上侵害, 其中損損失最多的的達一百萬萬美元。 對美軍的的非絕密計計算機系統(tǒng)統(tǒng)的攻擊試試驗表明, 成功率率達到888%。而被被主動查出出的只占55%。19988年5月美CIAA局長在信信息安全的的報告中正正式宣布:“信息戰(zhàn)戰(zhàn)威脅確實實存在。” 網(wǎng)上賭博博盛行, 去年在2000個網(wǎng)點點上的賭博博金額達到到60億美

4、元元, 預計今今年還會增增加一倍。 網(wǎng)上色情情泛濫, 通過瀏覽覽器、電子子郵件等方方式大量擴擴散。由于于問題嚴重重,西方12個國家家的警方在在去年九月月進行了一一次聯(lián)合行行動, 共抓96人, 其中一一個網(wǎng)址竟竟有25萬張黃黃色圖像。聯(lián)合國科科教文組織織決定今年年一月召開開會議, 研究遏制制網(wǎng)上色情情。 歐盟正式式發(fā)表了對對網(wǎng)上有害害和非法信信息內(nèi)容的的處理法規(guī)規(guī)。 電子郵件件垃圾已被被新聞界選選為19998年Inteernett壞消息之之一, 美國一一家網(wǎng)絡公公司一年傳傳送的電子子郵件中有有三分之一一是電子垃垃圾。 網(wǎng)上違反反保密和密密碼管制的的問題已成成為各國政政府關注的的一個焦點點。 暴露

5、個人人隱私問題題突出, 例如通過過美國一個個網(wǎng)站很容容易量到別別人的經(jīng)濟濟收入信息息, 另一網(wǎng)網(wǎng)址只要輸輸入車牌號號碼就可查查到車主地地址, 為此這這些網(wǎng)址已已被封閉。在電子郵郵件內(nèi)傳播播個人隱私私的情況更更為嚴重。 帶有政治治性的網(wǎng)上上攻擊在11998年年有較大增增加, 包括篡篡改政府機機構的網(wǎng)頁頁,侵入競選選對手的網(wǎng)網(wǎng)站竊取信信息, 在東南南亞經(jīng)濟危危機中散布布謠言, 偽造世界界熱點地區(qū)區(qū)的現(xiàn)場照照片, 煽動民民族糾紛等等等, 已引起起各國政府府的高度重重視。 我國的情情況也大致致相仿。一一方面Innternnet上網(wǎng)網(wǎng)人數(shù)增加加, 僅下半半年年就由由117萬劇劇增到2110萬, 另一方方

6、面, 同一時時期內(nèi)外電電對在我國國發(fā)生的IInterrnet安安全事件的的報道數(shù)量量也大增, 比19977年全年還還多6倍, 其中包包括經(jīng)濟犯犯罪、竊密密、黑客入入侵, 造謠惑惑眾等等。以上報導導只是全部部景觀的一一角,卻預示著著下一個世世紀全球信信息安全形形勢不容樂樂觀。我國國正處于網(wǎng)網(wǎng)絡發(fā)展的的初級階段段, 又面臨臨著發(fā)達國國家信息優(yōu)優(yōu)勢的壓力力, 要在信信息化進程程中趨利避避害,從一開始始就做好信信息安全工工作十分重重要。這是是這項工作作難度也非非常大, 經(jīng)常遇到到十分困難難的選擇, 甚至非非難。人們們對于“該不該”和“能不能”抓好信息息安全也尚有有不同的看看法。我們們應當充分分相信我國

7、國的制度優(yōu)優(yōu)越性和人人民的智慧慧與覺悟, 積極尋尋求解決中中國特色的的Inteernett安全問題題的辦法。在此, 僅就企業(yè)業(yè)內(nèi)部網(wǎng)的的信息安全全的建設作作一個詳細細的討論。1企業(yè)網(wǎng)網(wǎng)絡的現(xiàn)狀狀世紀之交,信信息化已成成為國際性性發(fā)展趨勢勢,作為國國民經(jīng)濟信信息化的基基礎,企業(yè)業(yè)信息化建建設受到國國家和企業(yè)業(yè)的廣泛重重視。企業(yè)信息化化,企業(yè)網(wǎng)網(wǎng)絡的建設設是基礎,從從計算機網(wǎng)網(wǎng)絡技術和和應用發(fā)展展的現(xiàn)狀來來看,Inntrannet是得得到廣泛認認同的企業(yè)業(yè)網(wǎng)絡模式式。Inttraneet并不完完全是原來來局域網(wǎng)的的概念,通通過與Innternnet的聯(lián)聯(lián)結,企業(yè)業(yè)網(wǎng)絡的范范圍可以是是跨地區(qū)的的,甚

8、至跨跨國界的?,F(xiàn)在,Innternnet的發(fā)發(fā)展已成燎燎原之勢,隨隨著WWWW上商業(yè)活活動的激增增,Inttraneet也應運運而生。近近幾年,許許多有遠見見的企業(yè)領領導者都已已感到企業(yè)業(yè)信息化的的重要性,陸續(xù)建立立起了自己己的企業(yè)網(wǎng)網(wǎng)和Inttraneet并通過過各種WAAN線路與與Inteernett相連。國國際互聯(lián)網(wǎng)網(wǎng)Inteernett在帶來巨巨大的資源源和信息訪訪問的方便便的同時,它它也帶來了了巨大的潛潛在的危險險,至今仍仍有很多企企業(yè)仍然沒沒有感到企企業(yè)網(wǎng)安全全的重要性性。在我國國網(wǎng)絡急劇劇發(fā)展還是是近幾年的的事,而在在國外企業(yè)業(yè)網(wǎng)領域出出現(xiàn)的安全全事故已經(jīng)經(jīng)是數(shù)不勝勝數(shù)。因此此,

9、我們應應該在積極極進行企業(yè)業(yè)網(wǎng)建設的的同時,就就應借鑒國國外企業(yè)網(wǎng)網(wǎng)建設和管管理的經(jīng)驗驗,在網(wǎng)絡絡安全上多多考慮一些些,將企業(yè)業(yè)網(wǎng)中可能能出現(xiàn)的危危險和漏洞洞降到最低低。使已經(jīng)經(jīng)花了不少少財力、人人力和時間間后,建立立起來的網(wǎng)網(wǎng)絡真正達達到預想的的效果。從總體上來來說,企業(yè)業(yè)網(wǎng)絡建設設以下幾方方面的誤區(qū)區(qū):解決方方案上的誤誤區(qū)、應用用開發(fā)上的的誤區(qū)和系系統(tǒng)管理上上的誤區(qū)。 解解決方案上上的誤區(qū)在解決方案案上的誤區(qū)區(qū)主要包括括:認為只要肯肯花錢就萬萬事大吉了了。誠然,投投資是企業(yè)業(yè)網(wǎng)絡建設設的基本,但但并非所有有的東西都都能直接買買來。事實實上,數(shù)據(jù)據(jù)、應用軟軟件、網(wǎng)絡絡系統(tǒng)管理理及網(wǎng)絡的的應用

10、水平平等都不是是簡單買來來了事的。不根據(jù)實際際需求,盲盲目認為購購買的硬件件、軟件產(chǎn)產(chǎn)品越先進進越好,甚甚至要求達達到10年年不落后等等要求。這這種提法本本身就不科科學,信息息技術的發(fā)發(fā)展是日新新月異的,110年前誰誰也不知道道現(xiàn)在的計計算機會發(fā)發(fā)展到如此此水平,同同樣,100年后如何何也無法預預料。這樣樣一來,后后果是可以以想到的:平臺越先先進,設備備越昂貴,技技術越復雜雜,建設的的投入與產(chǎn)產(chǎn)出相比一一定很高,這這當然不是是企業(yè)需要要得到的結結果。認為有了網(wǎng)網(wǎng)絡、服務務器、數(shù)據(jù)據(jù)庫、聯(lián)通通了Intterneet就能要要什么就有有什么了,忽忽視總體數(shù)數(shù)據(jù)體系規(guī)規(guī)劃和組織織、應用系系統(tǒng)開發(fā),數(shù)數(shù)

11、據(jù)的采集集、傳輸、加工、存存儲和查詢詢等具體應應用工作。而缺少這這些,網(wǎng)絡絡的作用就就不能充分分發(fā)揮出來來,這恰恰恰與企業(yè)網(wǎng)網(wǎng)絡建設的的初衷相違違。認為可以“畢其功于于一役”地搞企業(yè)業(yè)網(wǎng)絡建設設,實際上上,這是一一項長期的的工作。認為只要找找到好的供供應商、系系統(tǒng)集成商商就肯定可可以把網(wǎng)絡絡建好,沒沒有想到只只有良好的的合作才能能獲得成功功,只有建建立自己的的技術隊伍伍才能保持持成功之果果。 應應用開發(fā)上上的誤區(qū)應用開發(fā)是是企業(yè)網(wǎng)絡絡系統(tǒng)建設設中的重要要內(nèi)容,也也是網(wǎng)絡建建設成功與與否的關鍵鍵。不少企企業(yè)網(wǎng)絡建建設項目中中,在應用用開發(fā)方面面也存在一一些誤區(qū):認為只要有有好的計算算機專業(yè)人人員

12、去干就就可以了,業(yè)業(yè)務人員不不參與應用用開發(fā)工作作,甚至不不很好地配配合。事實實上,由于于專業(yè)計算算機人員缺缺少具體業(yè)業(yè)務知識和和經(jīng)驗,無無法獨立開開發(fā)出很適適合業(yè)務部部門的應用用軟件。認為凡是業(yè)業(yè)務部門、業(yè)務人員員提出的需需求都要進進行開發(fā)。在應用開開發(fā)的范圍圍上,不進進行認真地地分析,不不分主次。實際上,許許多現(xiàn)成的的工具軟件件已包含了了許多功能能,例如EEXECLL,但由于于不重視業(yè)業(yè)務人員計計算機技能能的提高,一一切功能都都寄希望于于開發(fā)。這這就造成開開發(fā)成本的的提高和工工作重點的的分散。認為只有采采用最新潮潮的開發(fā)工工具和最時時髦的開發(fā)發(fā)語言才能能開發(fā)好的的軟件,而而不顧自己己的實際

13、需需求,也不不問那些工工具和語言言到底有什什么用。認為開發(fā)軟軟件與操作作軟件一樣樣容易,所所以不重視視開發(fā)人員員的工作,隨隨意提出需需求,之后后又隨意改改動。這樣樣的改動,很很可能給開開發(fā)增加許許多工作量量,更為嚴嚴重的是,破破壞開發(fā)的的總體規(guī)劃劃,導致開開發(fā)進度的的延遲。企業(yè)高級領領導認為開開發(fā)工作是是下面的事事情,不參參與總體規(guī)規(guī)劃,卻對對開發(fā)抱著著過高的期期望,以為為開發(fā)結果果一定應符符合自己的的想象。1.3 系統(tǒng)統(tǒng)管理上的的誤區(qū)企業(yè)網(wǎng)絡效效果的發(fā)揮揮離不開系系統(tǒng)管理,決決不僅僅是是安裝好企企業(yè)網(wǎng)絡的的設備,配配置好軟件件那么簡單單,同樣一一個運行良良好的企業(yè)業(yè)網(wǎng)離不開開人的管理理,系統(tǒng)

14、管管理在網(wǎng)絡絡建設和維維護中是至至關重要的的,目前在在系統(tǒng)管理理方面存在在的誤區(qū)主主要包括:認為系統(tǒng)管管理只要有有計算機人人員就可以以了,不建建立規(guī)范、有效的管管理制度,沒沒有想到系系統(tǒng)管理實實際上是企企業(yè)管理中中必不可少少的一部分分。認為系統(tǒng)管管理就是對對計算機、網(wǎng)絡設備備、系統(tǒng)軟軟件的管理理,沒考慮慮到對企業(yè)業(yè)整體信息息資源的管管理,不注注重對數(shù)據(jù)據(jù)信息的規(guī)規(guī)范化、標標準化管理理。認為系統(tǒng)管管理簡單,費費用不高,投投入的財力力、人力、物力不足足。有許多多企業(yè)的系系統(tǒng)管理員員只會“玩”PC而已已,網(wǎng)管軟軟件也被當當作是可有有可無的東東西。殊不不知,隨著著網(wǎng)絡技術術的發(fā)展和和信息的增增多,系統(tǒng)

15、統(tǒng)管理工作作是相當復復雜和繁重重的。認為系統(tǒng)管管理工作只只是輔助性性工作,不不能為企業(yè)業(yè)創(chuàng)造直接接效益,可可以不予重重視。結果果導致專業(yè)業(yè)計算機人人才流失,只只好使用非非專業(yè)人員員,使管理理效果大打打折扣。認為只有看看的見的東東西才值錢錢,因而不不愿意在服服務上花錢錢。在系統(tǒng)統(tǒng)管理上無無法得到專專業(yè)廠商的的支持,導導致管理水水平業(yè)余而而落后。 Inttraneet與網(wǎng)絡絡安全技術術 2.1 信息息安全的重重要性和內(nèi)內(nèi)涵長期以來, 人們把把信息安全全理解為對對信息的機機密性、完完整性和可可獲性的保保護, 這固然然是對的, 但這個個觀念是在在二十多年年前主機時時代形成的的。當時人人們需要保保護的是

16、設設在專用機機房內(nèi)的主主機以及數(shù)數(shù)據(jù)的安全全性, 因此它它是面向單單機、面向向數(shù)據(jù)的。八十年代代進入了微微機和局域域網(wǎng)時代, 計算機機已從專用用機房內(nèi)解解放到分散散的辦公桌桌面乃至家家庭, 由于它它的用戶/網(wǎng)絡結構構比較簡單單、對稱,所以既要要依靠技術術措施保護護,還要制定定人人必須須遵守的規(guī)規(guī)定。因此此, 這個時時代的信息息安全是面面向網(wǎng)管、面向規(guī)約約的。九十十年代進入入了互聯(lián)網(wǎng)網(wǎng)時代, 每個用戶戶有都可以以聯(lián)接、使使用乃至控控制散布在在世界上各各個角落的的上網(wǎng)計算算機, 因此Intterneet的信息息安全內(nèi)容容更多, 更為強調(diào)調(diào)面向連接接、面向用用戶(“人”)。因為在在這個嶄新新的世界里

17、里, 人與計計算機的關關系發(fā)生了了質(zhì)的變化化。人、網(wǎng)網(wǎng)、環(huán)境相相結合, 形成了一一個復雜的的巨系統(tǒng)。通過網(wǎng)上上的協(xié)同和和交流, 人的智能能和計算機機快速運行行的能力匯匯集并融合合起來, 創(chuàng)造了新新的社會生生產(chǎn)力, 豐富著大大量應用(電子商務務, 網(wǎng)上購購物等等)和滿足著著人們的各各種社會需需要(交流、學學習、醫(yī)療療、消費、娛樂、安安全感、安安全環(huán)境等等等)。在這個個復雜巨系系統(tǒng)中, “人”以資源使使用者的身身份出現(xiàn), 是系統(tǒng)統(tǒng)的主體, 處于主主導地位, 而系統(tǒng)統(tǒng)的資源(包括硬軟軟件、通訊訊網(wǎng)、數(shù)據(jù)據(jù)、信息內(nèi)內(nèi)容等)則是客體體, 它是為為主體即“人”服務的, 與此相適適應, 信息安安全的主體體也

18、是“人”(包括用戶戶、團體、社會和國國家), 其目的主主要是保證證主體對信信息資源的的控制??煽梢赃@樣說說: 面向數(shù)數(shù)據(jù)的安全全概念是前前述的保密密性、完整整性和可獲獲性, 而面向向使用者的的安全概念念則是鑒別別、授權、訪問控制制、抗否認認性和可服服務性以及及在于內(nèi)容容的個人隱隱私、知識識產(chǎn)權等的的保護。這這兩者結合合就是信息息安全體系系結構中的的安全服務務功能), 而這些些安全問題題又要依靠靠密碼、數(shù)數(shù)字簽名、身份驗證證技術、防防火墻、安安全審計、災難恢復復、防病毒毒、防黑客客入侵等安安全機制(措施)加以解決決。其中密密碼技術和和管理是信信息安全的的核心, 安全標準準和系統(tǒng)評評估是信息息安全

19、的基基礎??傊畯臍v史史的、人網(wǎng)網(wǎng)大系統(tǒng)的的概念出發(fā)發(fā), 現(xiàn)代的的信息安全全涉及到個個人權益、企業(yè)生存存、金融風風險防范、社會穩(wěn)定定和國家的的安全。它它是物理安安全、網(wǎng)絡絡安全、數(shù)數(shù)據(jù)安全、信息內(nèi)容容安全、信信息基礎設設施安全與與公共、國國家信息安安全的總和和。信息安安全的完整整內(nèi)涵是和和信息安全全的方法論論相匹配的的, 信息安安全系統(tǒng)是是一個多維維、多因素素、多層次次、多目標標的系統(tǒng)。因此, 有必要從從方法論的的角度去理理解現(xiàn)有的的信息安全全模式。 1. 分分析與綜合合的辯證思思維方法: 要在分分析過程中中從整體上上把握好分分析要素的的內(nèi)部矛盾盾, 例如:*在威脅脅分析中的的環(huán)境災害害與人員失

20、失誤、無意意疏忽與有有意破壞、外部人員員與內(nèi)部職職員、竊密密篡改與拒拒絕服務、個人行為為與有組織織的信息戰(zhàn)戰(zhàn)威脅等關關系。 在脆弱弱性分析中中的軟件、協(xié)議缺陷陷與嵌入后后門、網(wǎng)絡絡層、系統(tǒng)統(tǒng)層、應用用層薄弱環(huán)環(huán)節(jié)的關聯(lián)聯(lián)等。 在攻擊分分析中的利利用技術漏漏洞與社會會工程、行行為模式與與隱蔽方式式等關系。 在綜合方方法上則應應該面向過過程, 著眼發(fā)發(fā)展: 風險管理理的綜合方方法: 立足于于盡量減少少風險, 實行資產(chǎn)產(chǎn)評估, 風險估算算, 重點選選擇, 綜合平平衡, 政策制制定, 系統(tǒng)實實施, 審計監(jiān)監(jiān)管等的全全過程和全全面質(zhì)量管管理。 安全評估估的綜合方方法: 面向設設計過程, 強調(diào)系系統(tǒng)總體評

21、評價。在評評估標準上上掌握好傳傳統(tǒng)與現(xiàn)實實、國際通通用互認和和中國特點點的關系。在保護輪輪廓內(nèi)掌握握好安全功功能和保障障的關系。 2. 從從系統(tǒng)復雜雜性的觀點點理解和解解決安全問問題: 信息安安全是過程程、政策、標準、管管理、指導導、監(jiān)控、法規(guī)、培培訓和工具具技術的有有機總和。這需要在在不同層面面上面向目目標, 用定性性與定量相相結合、技技術措施與與專家經(jīng)驗驗相結合的的綜合集成成方法加以以解決。對對信息內(nèi)容容的管理則則要從源頭頭、傳遞、網(wǎng)關、服服務網(wǎng)站和和用戶層面面進行綜合合治理。以以創(chuàng)新精神神跟上網(wǎng)絡絡和安全技技術的新發(fā)發(fā)展我們處處在網(wǎng)絡調(diào)調(diào)整發(fā)展和和科技突飛飛猛進的時時代, 信息安安全技術

22、是是具有對抗抗性的敏感感技術, 面對日益益迫切的需需要, 唯一的的出路就是是自主創(chuàng)新。但但是自主創(chuàng)創(chuàng)新并不排排斥吸取國國外的先進進技術相反反, 只有密密切跟蹤國國際信息安安全技術的的新進民才才能知已 知彼, 為我所用用, 在技術術創(chuàng)新上以以下發(fā)展值值得注意: 1. 在在信息安全全系統(tǒng)的構構建、模式式、評估方方面 風險管理理技術已由由傳統(tǒng)的相相對固定的的模式向靈靈活的不斷斷反饋、不不斷演進的的彈性模式式轉(zhuǎn)化, 強調(diào)可測測量的方法法體系, 形成所謂謂“有適應能能力的風險險管理模式式”。 十年前, 信息安安全系統(tǒng)構構建理念是是“自上而下下”即頂層設設計。從IInterrnet的的歷史特點點和發(fā)展現(xiàn)現(xiàn)

23、實出發(fā), 需要先先“自下而上上”赴, 接著“上下結合合”, 然后再再在網(wǎng)絡的的確定范圍圍內(nèi)從全局局上規(guī)劃, 構成安安全體系。系統(tǒng)安全全不能作到到一勞永逸逸, 需要動動態(tài)的構建建模型。在安全功能能、服務的的配置上, 過去是是先從整體體定義入手手, 但是Intterneet量個多多元化的應應用環(huán)境, 而且日日新月異。因此現(xiàn)實實的解決辦辦法是“分而治之之”。各種應應用, 各個部部門, 先在統(tǒng)統(tǒng)一的規(guī)范范下, “從我做起起”或者分層層分步實施施。這在相相當一段時時間內(nèi), 是推動網(wǎng)網(wǎng)絡發(fā)展、激勵安全全應用的現(xiàn)現(xiàn)實途徑。 新的安全全協(xié)議不斷斷出現(xiàn), 有的已趨趨于成熟, 例如大大家熟知IIPv6已已被公認安

24、安全性較強強, 又能比比IPv44提供更好好的互連互互通功能, 很有可可能進入主主流, 如何使使我們的安安全產(chǎn)品能能同時支持持IPv66已提到日日程上 人類社會向向來是正義義與邪惡并并存,在科科學技術進進步的同時時人類也面面臨新的威威脅,計算算機技術的的發(fā)展帶來來的計算機機犯罪就是是其中典型型的例子。下面談談談實施一個個完整的安安全體系應應該考慮的的問題。 國國內(nèi)的信息息系統(tǒng)安全全嗎? 在國家范范圍的網(wǎng)絡絡建設方面面, 國家電電信事業(yè)迅迅速發(fā)展, 取得了了巨大的成成績。 但但是, 國家通通信網(wǎng)絡的的交換機及及其通信設設備有相當當一部分由由于沒有經(jīng)經(jīng)過安全檢檢測, 安全問問題沒有保保證, 這是由

25、由于安全檢檢測工作的的建設滯后后造成的。交換機的嵌嵌入操作系系統(tǒng)的安全全性也存在在問題。通通信業(yè)務的的計算機系系統(tǒng)也多采采用開放式式的操作系系統(tǒng), 安全級級別都很低低, 也沒有有附加安全全措施。這這些系統(tǒng)不不能抵抗黑黑客的攻擊擊與信息炸炸彈的攻擊擊。在國家家政府部門門, 應當說說對信息系系統(tǒng)的安全全性還是重重視的, 但苦于沒沒有好的解解決問題的的方案和安安全建設經(jīng)經(jīng)費不足, 行業(yè)系系統(tǒng)安全問問題還是相相當嚴重的的,計算機系系統(tǒng)也多采采用開放式式的操作系系統(tǒng), 安全級級別較低。不能抵抗抗黑客的攻攻擊與信息息炸彈的攻攻擊。有些些系統(tǒng)網(wǎng)絡絡多路出口口, 對信息息系統(tǒng)安全全沒有概念念,完全沒有有安全措

26、施施, 更談不不上安全管管理與安全全策略的制制定。有的的行業(yè)的信信息系統(tǒng)業(yè)業(yè)務是在沒沒有安全保保障的情況況下發(fā)展的的。在金融領域域, 有些系系統(tǒng)采用了了開放操作作系統(tǒng)UNNIX。在在系統(tǒng)采購購時, 有些單單位沒有采采購安全系系統(tǒng)或安全全系統(tǒng)建設設不完善。這些系統(tǒng)統(tǒng)安全級別別較低, 安全問題題是普遍性性的。有的的商品交易易所與證券券公司使用用的信息系系統(tǒng)采用的的是微機網(wǎng)網(wǎng)絡系統(tǒng), 已經(jīng)出出現(xiàn)內(nèi)外黑黑客的攻擊擊, 應當說說問題已經(jīng)經(jīng)相當嚴重重。在產(chǎn)業(yè)發(fā)展展決策方面面, 當然改改革開放以以來取得巨巨大成績, 在行業(yè)業(yè)規(guī)劃方面面一度存在在輕系統(tǒng)重重應用的發(fā)發(fā)展思路, 對目前前出現(xiàn)的信信息系統(tǒng)安安全問題

27、是是有影響的的。行業(yè)部部門應當重重視系統(tǒng)軟軟件的建設設工作, 因為單靠靠企業(yè)發(fā)展展系統(tǒng)軟件件是不可能能在較短的的時間內(nèi)取取得地位的的, 要在系系統(tǒng)軟件領領域占有一一席之地應應當成為國國策, 甚至不不亞于芯片片建設的重重要性。要要加強信息息系統(tǒng)安全全的標準化化工作,要啟動信信息系統(tǒng)安安全建設的的內(nèi)需, 要明確信信息系統(tǒng)安安全建設的的要求和規(guī)規(guī)范。應當當引起我們們注意的是是操作系統(tǒng)統(tǒng)、網(wǎng)絡系系統(tǒng)與數(shù)據(jù)據(jù)庫管理系系統(tǒng)的安全全問題,是信息系系統(tǒng)的核心心技術, 沒有系統(tǒng)統(tǒng)的安全就就沒有信息息的安全。我們應當當特別注意意, 我國在在信息系統(tǒng)統(tǒng)安全方面面與美國是是不平等的的。在信息息系統(tǒng)安全全管理部門門信息

28、系統(tǒng)統(tǒng)產(chǎn)品的認認證和檢測測工作剛剛剛開始, 任重而道道遠2.3 影響網(wǎng)絡絡信息安全全的因素 現(xiàn)現(xiàn)今的網(wǎng)絡絡信息安全全存在的威威脅主要表表現(xiàn)在以下下幾個方面面。 11.非授權權訪問。指指對網(wǎng)絡設設備及信息息資源進行行非正常使使用或越權權使用等。 22.冒充合合法用戶。主要指利利用各種假假冒或欺騙騙的手段非非法獲得合合法用戶的的使用權限限,以達到到占用合法法用戶資源源的目的。 33.破壞數(shù)數(shù)據(jù)的完整整性。指使使用非法手手段,刪除除、修改、重發(fā)某些些重要信息息,以干擾擾用戶的正正常使用。 44.干擾系系統(tǒng)正常運運行。指改改變系統(tǒng)的的正常運行行方法,減減慢系統(tǒng)的的響應時間間等手段。 55.病毒與與惡意

29、攻擊擊。指通過過網(wǎng)絡傳播播病毒或惡惡意Javva、XAActivve等。 66.線路竊竊聽。指利利用通信介介質(zhì)的電磁磁泄漏或搭搭線竊聽等等手段獲取取非法信息息。2.4 計算機安安全分類及及基本功能能 根根據(jù)國家計計算機安全全規(guī)范,可可把計算機機的安全大大致分為三三類。一是是實體安全全,包括機機房、線路路,主機等等;二是網(wǎng)網(wǎng)絡與信息息安全,包包括網(wǎng)絡的的暢通、準準確及其網(wǎng)網(wǎng)上的信息息安全;三三是應用安安全,包括括程序開發(fā)發(fā)運行、輸輸入輸出、數(shù)據(jù)庫等等的安全。下面重點點探討第二二類網(wǎng)絡與與信息的安安全問題。 網(wǎng)網(wǎng)絡信息安安全需求可可以歸結為為以下幾類類: 11.基本安安全類 包包括訪問控控制、授權

30、權、認證、加密和內(nèi)內(nèi)容安全等等。 訪訪問控制是是提供企業(yè)業(yè)內(nèi)部與外外界及內(nèi)部部不同信息息源之間隔隔離的基本本機制,也也是企業(yè)的的基本要求求。但是提提供隔離不不是最終目目的,企業(yè)業(yè)利用Innternnet技術術的最終目目的應當是是在安全的的前題下提提供方便的的信息訪問問,這就是是授權需求求。同時,用戶也希希望對授權權的人的身身份進行有有效的識別別,這就是是認證的需需求。為了了保證信息息在存儲和和傳輸中不不被纂改、竊聽等需需要加密功功能,同時時,為了實實施對進出出企業(yè)網(wǎng)的的流量進行行有效的控控制,就需需要引入內(nèi)內(nèi)容安全要要求。 22.管理與與記帳類 包包括安全策策略管理、企業(yè)范圍圍內(nèi)的集中中管理、

31、記記帳、實時時監(jiān)控,報報警等功能能。 33.網(wǎng)絡互互聯(lián)設備安安全類 包包括路由器器安全管理理、遠程訪訪問服務器器安全管理理、通信服服務器安全全管理、交交換機安全全管理等。 44.連接控控制類主要為發(fā)布布企業(yè)消息息的服務器器提供可靠靠的連接服服務,包括括負載均衡衡、高可靠靠性以及流流量管理等等。2.5 安全缺口口安全策略經(jīng)經(jīng)常會與用用戶方便性性相矛盾,從而產(chǎn)生生相反的壓壓力,使安安全措施與與安全策略略相脫節(jié)。這種情況況稱為安全全缺口。為為什么會存存在安全缺缺口呢?有有下面四個個因素: 11、網(wǎng)絡設設備種類繁繁多當前使使用的有各各種各樣的的網(wǎng)絡設備備,從Wiindowws NTT和UNIIX 服務

32、務器到防火火墻、路由由器和Weeb服務器器,每種設設備均有其其獨特的安安全狀況和和保密功能能; 22、訪問方方式的多樣樣化一般來來說,您的的網(wǎng)絡環(huán)境境存在多種種進出方式式,許多過過程拔號登登錄點以及及新的Innternnet訪問問方式可能能會使安全全策略的設設立復雜化化; 33、網(wǎng)絡的的不斷變化化網(wǎng)絡不不是靜態(tài)的的,一直都都處于發(fā)展展變化中。啟用新的的硬件設備備和操作系系統(tǒng),實施施新的應用用程序和WWeb服務務器時,安安全配置也也有不盡相相同;4、用戶保保安專業(yè)知知識的缺乏乏許多組組織所擁有有的對網(wǎng)絡絡進行有效效保護的保保安專業(yè)知知識十分有有限,這實實際上是造造成安全缺缺口最為主主要的一點點。

33、2.6 網(wǎng)絡安全全評估 為為堵死安全全策略和安安全措施之之間的缺口口,必須從從以下三方方面對網(wǎng)絡絡安全狀況況進行評估估: 11、 從企企業(yè)外部進進行評估:考察企業(yè)業(yè)計算機基基礎設施中中的防火墻墻; 22、從企業(yè)業(yè)內(nèi)部進行行評估:考考察內(nèi)部網(wǎng)網(wǎng)絡系統(tǒng)中中的計算機機;3、從應用用系統(tǒng)進行行評估:考考察每臺硬硬件設備上上運行的操操作系統(tǒng)。2.7 計算機網(wǎng)網(wǎng)絡的安全全策略2.7.11 物理安安全策略 物物理安全策策略的目的的是保護計計算機系統(tǒng)統(tǒng)、網(wǎng)絡服服務器、打打印機等硬硬件實體和和信鏈路免免受自然災災害、人為為破壞和搭搭線攻擊;驗證用戶戶的身份和和使用權限限、防用戶戶越權操作作;確保計計算機系統(tǒng)統(tǒng)有

34、一個良良好的電磁磁兼容工作作環(huán)境;建建立完備的的安全管理理制度,防防止非法進進入計算機機控制室和和各種偷竊竊、破壞活活動的發(fā)生生。抑制和防止止電磁泄漏漏(即TEEMPESST技術)是是物理安全全策略的一一個主要問問題。目前前主要防護護措施有兩兩類:一類類是對傳導導發(fā)射的防防護,主要要采取對電電源線和信信號線加裝裝性能良好好的濾波器器,減小傳傳輸阻抗和和導線間的的交叉耦合合。另一類類是對輻射射的防護,這這類防護措措施又可分分為以下兩兩種:一是采用各各種電磁屏屏蔽措施,如如對設備的的金屬屏蔽蔽和各種接接插件的屏屏蔽,同時時對機房的的下水管、暖氣管和和金屬門窗窗進行屏蔽蔽和隔離;二是干擾的的防護措施

35、施,即在計計算機系統(tǒng)統(tǒng)工作的同同時,利用用干擾裝置置產(chǎn)生一種種與計算機機系統(tǒng)輻射射相關的偽偽噪聲向空空間輻射來來掩蓋計算算機系統(tǒng)的的工作頻率率和信息特特征。2.7.22 訪問控控制策略 訪訪問控制是是網(wǎng)絡安全全防范和保保護的主要要策略,它它的主要任任務是保證證網(wǎng)絡資源源不被非法法使用和非非常訪問。它也是維維護網(wǎng)絡系系統(tǒng)安全、保護網(wǎng)絡絡資源的重重要手段。各種安全全策略必須須相互配合合才能真正正起到保護護作用,但但訪問控制制可以說是是保證網(wǎng)絡絡安全最重重要的核心心策略之一一。下面我我們分述各各種訪問控控制策略。1) 入網(wǎng)網(wǎng)訪問控制制 入入網(wǎng)訪問控控制為網(wǎng)絡絡訪問提供供了第一層層訪問控制制。它控制制

36、哪些用戶戶能夠登錄錄到服務器器并獲取網(wǎng)網(wǎng)絡資源,控控制準許用用戶入網(wǎng)的的時間和準準許他們在在哪臺工作作站入網(wǎng)。 用用戶的入網(wǎng)網(wǎng)訪問控制制可分為三三個步驟:用戶名的的識別與驗驗證、用戶戶口令的識識別與驗證證、用戶帳帳號的缺省省限制檢查查。三道關關卡中只要要任何一關關未過,該該用戶便不不能進入該該網(wǎng)絡。 對對網(wǎng)絡用戶戶的用戶名名和口令進進行驗證是是防止非法法訪問的第第一道防線線。用戶注注冊時首先先輸入用戶戶名和口令令,服務器器將驗證所所輸入的用用戶名是否否合法。如如果驗證合合法,才繼繼續(xù)驗證用用戶輸入的的口令,否否則,用戶戶將被拒之之網(wǎng)絡之外外。用戶的的口令是用用戶入網(wǎng)的的關鍵所在在。為保證證口令

37、的安安全性,用用戶口令不不能顯示在在顯示屏上上,口令長長度應不少少于6個字符,口口令字符最最好是數(shù)字字、字母和和其他字符符的混合,用用戶口令必必須經(jīng)過加加密,加密密的方法很很多,其中中最常見的的方法有:基于單向向函數(shù)的口口令加密,基基于測試模模式的口令令加密,基基于公鑰加加密方案的的口令加密密,基于平平方剩余的的口令加密密,基于多多項式共享享的口令加加密,基于于數(shù)字簽名名方案的口口令加密等等。經(jīng)過上上述方法加加密的口令令,即使是是系統(tǒng)管理理員也難以以得到它。用戶還可可采用一次次性用戶口口令,也可可用便攜式式驗證器(如如智能卡)來來驗證用戶戶的身份。 網(wǎng)網(wǎng)絡管理員員應該可以以控制和限限制普通用用

38、戶的帳號號使用、訪訪問網(wǎng)絡的的時間、方方式。用戶戶名或用戶戶帳號是所所有計算機機系統(tǒng)中最最基本的安安全形式。用戶帳號號應只有系系統(tǒng)管理員員才能建立立。用戶口口令應是每每用戶訪問問網(wǎng)絡所必必須提交的的“證件”、用戶可可以修改自自己的口令令,但系統(tǒng)統(tǒng)管理員應應該可以控控制口令的的以下幾個個方面的限限制:最小小口令長度度、強制修修改口令的的時間間隔隔、口令的的唯一性、口令過期期失效后允允許入網(wǎng)的的寬限次數(shù)數(shù)。 用用戶名和口口令驗證有有效之后,再再進一步履履行用戶帳帳號的缺省省限制檢查查。網(wǎng)絡應應能控制用用戶登錄入入網(wǎng)的站點點、限制用用戶入網(wǎng)的的時間、限限制用戶入入網(wǎng)的工作作站數(shù)量。當用戶對對交費網(wǎng)絡

39、絡的訪問“資費”用盡時,網(wǎng)網(wǎng)絡還應能能對用戶的的帳號加以以限制,用用戶此時應應無法進入入網(wǎng)絡訪問問網(wǎng)絡資源源。網(wǎng)絡應應對所有用用戶的訪問問進行審計計。如果多多次輸入口口令不正確確,則認為為是非法用用戶的入侵侵,應給出出報警信息息。2) 網(wǎng)絡絡的權限控控制網(wǎng)絡的權限限控制是針針對網(wǎng)絡非非法操作所所提出的一一種安全保保護措施。用戶和用用戶組被賦賦予一定的的權限。網(wǎng)網(wǎng)絡控制用用戶和用戶戶組可以訪訪問哪些目目錄、子目目錄、文件件和其他資資源??梢砸灾付ㄓ脩魬魧@些文文件、目錄錄、設備能能夠執(zhí)行哪哪些操作。受托者指指派和繼承承權限屏蔽蔽(IRMM)可作為為其兩種實實現(xiàn)方式。受托者指指派控制用用戶和用戶戶

40、組如何使使用網(wǎng)絡服服務器的目目錄、文件件和設備。繼承權限限屏蔽相當當于一個過過濾器,可可以限制子子目錄從父父目錄那里里繼承哪些些權限。我我們可以根根據(jù)訪問權權限將用戶戶分為以下下幾類:特殊用戶(即即系統(tǒng)管理理員);一般用戶,系系統(tǒng)管理員員根據(jù)他們們的實際需需要為他們們分配操作作權限;審計用戶,負負責網(wǎng)絡的的安全控制制與資源使使用情況的的審計。用用戶對網(wǎng)絡絡資源的訪訪問權限可可以用一個個訪問控制制表來描述述。3) 目錄錄級安全控控制網(wǎng)絡應允許許控制用戶戶對目錄、文件、設設備的訪問問。用戶在在目錄一級級指定的權權限對所有有文件和子子目錄有效效,用戶還還可進一步步指定對目目錄下的子子目錄和文文件的權

41、限限。對目錄錄和文件的的訪問權限限一般有八八種:系統(tǒng)管理員員權限(SSuperrvisoor);讀權限(RRead)、;寫權限(WWritee);創(chuàng)建權限(Create);刪除權限(Erase);修改權限(Modify);文件查找權權限(Fiile SScan);存取控制權權限(Acccesss Conntroll);用戶對文件件或目標的的有效權限限取決于以以下二個因因素:用戶戶的受托者者指派、用用戶所在組組的受托者者指派、繼繼承權限屏屏蔽取消的的用戶權限限。一個網(wǎng)網(wǎng)絡系統(tǒng)管管理員應當當為用戶指指定適當?shù)牡脑L問權限限,這些訪訪問權限控控制著用戶戶對服務器器的訪問。八種訪問問權限的有有效組合可可

42、以讓用戶戶有效地完完成工作,同同時又能有有效地控制制用戶對服服務器資源源的訪問,從從而加強了了網(wǎng)絡和服服務器的安安全性。4) 屬性性安全控制制當用文件、目錄和網(wǎng)網(wǎng)絡設備時時,網(wǎng)絡系系統(tǒng)管理員員應給文件件、目錄等等指定訪問問屬性。屬屬性安全控控制可以將將給定的屬屬性與網(wǎng)絡絡服務器的的文件、目目錄和網(wǎng)絡絡設備聯(lián)系系起來。屬性安全在在權限安全全的基礎上上提供更進進一步的安安全性。網(wǎng)網(wǎng)絡上的資資源都應預預先標出一一組安全屬屬性。用戶戶對網(wǎng)絡資資源的訪問問權限對應應一張訪問問控制表,用用以表明用用戶對網(wǎng)絡絡資源的訪訪問能力。屬性設置可可以覆蓋已已經(jīng)指定的的任何受托托者指派和和有效權限限。屬性往往往能控制

43、制以下幾個個方面的權權限:向某某個文件寫寫數(shù)據(jù)、拷拷貝一個文文件、刪除除目錄或文文件、查看看目錄和文文件、執(zhí)行行文件、隱隱含文件、共享、系系統(tǒng)屬性等等。網(wǎng)絡的的屬性可以以保護重要要的目錄和和文件,防防止用戶對對目錄和文文件的誤刪刪除、執(zhí)執(zhí)行修改、顯示等。5) 網(wǎng)絡絡服務器安安全控制 網(wǎng)網(wǎng)絡允許在在服務器控控制臺上執(zhí)執(zhí)行一系列列操作。用用戶使用控控制臺可以以裝載和卸卸載模塊,可可以安裝和和刪除軟件件等操作。網(wǎng)絡服務務器的安全全控制包括括可以設置置口令鎖定定服務器控控制臺,以以防止非法法用戶修改改、刪除重重要信息或或破壞數(shù)據(jù)據(jù);可以設設定服務器器登錄時間間限制、非非法訪問者者檢測和關關閉的時間間間

44、隔。6) 網(wǎng)絡絡監(jiān)測和鎖鎖定控制 網(wǎng)網(wǎng)絡管理員員應對網(wǎng)絡絡實施監(jiān)控控,服務器器應記錄用用戶對網(wǎng)絡絡資源的訪訪問,對非非法的網(wǎng)絡絡訪問,服服務器應以以圖形或文文字或聲音音等形式報報警,以引引起網(wǎng)絡管管理員的注注意。如果果不法之徒徒試圖進入入網(wǎng)絡,網(wǎng)網(wǎng)絡服務器器應會自動動記錄企圖圖嘗試進入入網(wǎng)絡的次次數(shù),如果果非法訪問問的次數(shù)達達到設定數(shù)數(shù)值,那么么該帳戶將將被自動鎖鎖定。7) 網(wǎng)絡絡端口和節(jié)節(jié)點的安全全控制 網(wǎng)網(wǎng)絡中服務務器的端口口往往使用用自動回呼呼設備、靜靜默調(diào)制解解調(diào)器加以以保護,并并以加密的的形式來識識別節(jié)點的的身份。自自動回呼設設備用于防防止假冒合合法用戶,靜靜默調(diào)制解解調(diào)器用以以防范

45、黑客客的自動撥撥號程序?qū)τ嬎銠C進進行攻擊。網(wǎng)絡還常常對服務器器端和用戶戶端采取控控制,用戶戶必須攜帶帶證實身份份的驗證器器(如智能能卡、磁卡卡、安全密密碼發(fā)生器器)。在對對用戶的身身份進行驗驗證之后,才才允許用戶戶進入用戶戶端。然后后,用戶端端和服務器器端再進行行相互驗證證2.8 確保網(wǎng)絡絡安全的措措施 由由于網(wǎng)絡安安全的目的的是保障用用戶的重要要信息的安安全,因此此限制直接接接觸十分分重要。如如果用戶的的網(wǎng)絡連入入Inteernett,那麼最最好盡可能能地把與IInterrnet連連接的機器器與網(wǎng)絡的的其余部分分隔離開來來。實現(xiàn)這這個目標的的最安全的的方法是將將Inteernett服務器與

46、與網(wǎng)絡實際際隔開。當當然,這種種解決方案案增加了機機器管理的的難度。但但是如果有有人闖入隔隔離開的機機器,那麼麼網(wǎng)絡的其其余部分不不會受到牽牽連。 最最重要的是是限制訪問問。不要讓讓不需要進進入網(wǎng)關的的人都進入入網(wǎng)關。在在機器上用用戶僅需要要一個用戶戶帳號,嚴嚴格限制它它的口令。只有在使使用su時才允允許進入根根帳號。這這個方法保保留一份使使用根帳號號者的記錄錄。 在在Inteernett服務器上上提供的一一些服務有有FTP、HTTPP、遠程登登陸和WAAIS(廣廣域信息服服務)。但但是,F(xiàn)TTP和HTTTP是使使用最普遍遍的服務。它們還有有潛力泄露露出乎用戶戶意料之外外的秘密。 與與任何其它

47、它Inteernett服務一樣樣,F(xiàn)TPP一直是(而而且仍是)易易于被濫用用的。值得得一提的弱弱點涉及幾幾個方面。第一個危危險是配置置不當。它它使站點的的訪問者(或或潛在攻擊擊者)能夠夠獲得更多多超出其預預期的數(shù)據(jù)據(jù)。 他他們一旦進進入,下一一個危險是是可能破壞壞信息。一一個未經(jīng)審審查的攻擊擊者可以抹抹去用戶的的整個FTTP站點。 最最后一個危危險不必長長篇累牘,這這是因為它它不會造成成破壞,而而且是低水水平的。它它由用戶的的FTP站站點構成,對對于交換文文件的人來來說,用戶戶的FTPP站點成為為“麻木不仁仁的窩臟點點”。這些文文件無所不不包,可以以是盜版軟軟件,也可可以是色情情畫。這種種交換

48、如何何進行的呢呢?簡單的的很。發(fā)送送者發(fā)現(xiàn)了了一個他們們有權寫入入和拷入可可疑文件的的FTP站站點。通過過某些其它它方法,發(fā)發(fā)送者通知知它們的同同伙文件可可以使用。 所所有這些問問題都是由由未正確規(guī)規(guī)定許可條條件而引起起的。最大大的一個問問題可能是是允許FTTP用戶有有機會寫入入。當用戶戶通過FTTP訪問一一個系統(tǒng)時時,這一般般是FTPP用戶所做做的事。因因此,F(xiàn)TTP用戶可可以訪問,用用戶的訪問問者也可以以使用。所所有這些問問題都是由由未正確規(guī)規(guī)定許可條條件而引起起的。最大大的一個問問題可能是是允許FTTP用戶有有機會寫入入。當用戶戶通過FTTP訪問一一個系統(tǒng)時時,這一般般是FTPP用戶所做

49、做的事。因因此,F(xiàn)TTP用戶可可以訪問,用用戶的訪問問者也可以以訪問。 一一般說來,F(xiàn)FTP用戶戶不是用戶戶的系統(tǒng)中中已經(jīng)有的的。因此,用用戶要建立立FTP用用戶。無論論如何要保保證將外殼殼設置為真真正外殼以以外的東西西。這一步步驟防止FFTP用戶戶通過遠程程登錄進行行注冊(用用戶或許已已經(jīng)禁止遠遠程登錄,但但是萬一用用戶沒有這這樣做,確確認一下也也不會有錯錯)。 將將所有文件件和目錄的的主人放在在根目錄下下,不要放放在ftpp下。這個個預防措施施防止FTTP用戶修修改用戶仔仔細構思出出的口令。然后,將將口令規(guī)定定為7555(讀和執(zhí)執(zhí)行,但不不能寫,除除了主人之之外)。在在用戶希望望匿名用戶戶

50、訪問的所所有目錄上上做這項工工作。盡管管這個規(guī)定定允許他們們讀目錄,但但它也防止止他們把什什麼東西放放到目錄中中來。 用用戶還需要要編制某些些可用的庫庫。然而,由由于用戶已已經(jīng)在以前前建立了必必要的目錄錄,因此這這一步僅執(zhí)執(zhí)行一部分分。因此,用用戶需要做做的一切是是將/ussr/liib/liibe.sso.1和/usrr/libb/libbsockk-et.so/11拷貝到fftp/uusr/llib中。接著將ftp/usr/lib上上的口令改改為5555,并建立立主接收器器。最后,用戶戶需要在ftp/dev/中建立/dev/nulll和/devv/soccksyss設備結點點。用戶可可以用

51、mkknod手手工建立它它們。然而而,讓系統(tǒng)統(tǒng)為用戶工工作會更加加容易。SSCO文檔檔說用cppio,但但是coppy(非cp)很管管用。如果用戶想想建立一個個人們都可可用留下文文件的目錄錄,那麼可可將它稱作作輸入。允允許其他人人寫入這個個目錄,但但不能讀。這個預防防措施防止止它成為麻麻木不仁的的窩臟點。人們可以以在這里放放入他們想想放的任何何東西,但但是他們不不能將它們們?nèi)〕觥H缛绻脩粽J認為信息比比較適合共共享,那麼麼將拷貝到到另一個目目錄中。2.9 提高企業(yè)業(yè)內(nèi)部網(wǎng)安安全性的幾幾個步驟限制對網(wǎng)關關的訪問。限制網(wǎng)關關上的帳號號數(shù)。不要要允許在網(wǎng)網(wǎng)絡上進行行根注冊;不要信任任任何人。網(wǎng)網(wǎng)關不

52、信任任任何機器器。沒有一一臺機器應應該信任網(wǎng)網(wǎng)關;不要用NFFS向網(wǎng)關關傳輸或接接收來自網(wǎng)網(wǎng)關的任何何文件系統(tǒng)統(tǒng);不要在網(wǎng)關關上使用NNIS(網(wǎng)網(wǎng)絡信息服服務);制訂和執(zhí)行行一個非網(wǎng)網(wǎng)關機器上上的安全性性方針;關閉所有多多余服務和和刪除多余余程序刪除網(wǎng)關的的所有多余余程序(遠遠程登錄、rloggin、FTTP等等);定期閱讀系系統(tǒng)記錄。3. IIntraanet安安全解決方方案3.1 Intrranett安全解決決方案 過過去我們往往往把信息息安全局限限于通信保保密,局限限于對信息息加密功能能要求,其其實網(wǎng)絡信信息安全牽牽涉到方方方面面的問問題,是一一個極其復復雜的系統(tǒng)統(tǒng)工程。從從簡化的角角度

53、來看,要實施一一個完整的的網(wǎng)絡與信信息安全體體系,至少少應包括三三類措施,并且三者者缺一不可可。一是社社會的法律律政策、企企業(yè)的規(guī)章章制度以及及安全教育育等外部軟軟環(huán)境。在在該方面政政府有關部部門、企業(yè)業(yè)的主要領領導應當扮扮演重要的的角色。二二是技術方方面的措施施,如防火火墻技術、網(wǎng)絡防毒毒、信息加加密存儲通通信、身份份認證、授授權等。只只有技術措措施并不能能保證百分分之百的安安全。三是是審計和管管理措施,該方面措措施同時包包含了技術術與社會措措施。其主主要措施有有:實時監(jiān)監(jiān)控企業(yè)安安全狀態(tài)、提供實時時改變安全全策略的能能力、對現(xiàn)現(xiàn)有的安全全系統(tǒng)實施施漏洞檢查查等,以防防患于未然然。 企企業(yè)要

54、實施施一個安全全的系統(tǒng)應應該三管齊齊下。其中中法律、企企業(yè)領導層層的重視應應處于最重重要的位置置。沒有社社會的參與與就不可能能實施安全全保障。 網(wǎng)網(wǎng)絡信息安安全包括了了建立安全全環(huán)境的幾幾個重要組組成部分,其中安全全的基石是是社會法律律、法規(guī)與與手段,這這部分用于于建立一套套安全管理理標準和方方法。 第第二部分為為增強的用用戶認證,用戶認證證在網(wǎng)絡和和信息的安安全中屬于于技術措施施的第一道道大門,最最后防線為為審計和數(shù)數(shù)據(jù)備份,不加強這這道大門的的建設,整整個安全體體系就會較較脆弱。用用戶認證的的主要目的的是提供訪訪問控制和和不可抵賴賴的作用。用戶認證證方法按其其層次不同同可以根據(jù)據(jù)以下三種種

55、因素提供供認證。 11.用戶持持有的證件件,如大門門鑰匙、門門卡等等; 22.用戶知知道的信息息,如密碼碼; 33.用戶特特有的特征征,如指紋紋、聲音、視網(wǎng)膜掃掃描等等。 根根據(jù)在認證證中采用因因素的多少少,可以分分為單因素素認證、雙雙因素認證證,多因素素認證等方方法。 第第三部分是是授權,這這主要為特特許用戶提提供合適的的訪問權限限,并監(jiān)控控用戶的活活動,使其其不越權使使用。該部部分與訪問問控制(常常說的隔離離功能)是是相對立的的。隔離不不是管理的的最終目的的,管理的的最終目的的是要加強強信息有效效、安全的的使用,同同時對不同同用戶實施施不同訪問問許可。 第第四部分是是加密。在在上述的安安全

56、體系結結構中,加加密主要滿滿足以下幾幾個需求。 11.認證識別用用戶身份,提供訪問問許可; 22.一致性性保證數(shù)數(shù)據(jù)不被非非法篡改; 33.隱密性性保護數(shù)數(shù)據(jù)不被非非法用戶查查看; 44.不可抵抵賴使信息息接收者無無法否認曾曾經(jīng)收到的的信息。 加加密是信息息安全應用用中最早開開展的有效效手段之一一,數(shù)據(jù)通通過加密可可以保證在在存取與傳傳送的過程程中不被非非法查看、篡改、竊竊取等。在在實際的網(wǎng)網(wǎng)絡與信息息安全建設設中,利用用加密技術術至少應能能解決以下下問題: 11.鑰匙的的管理,包包括數(shù)據(jù)加加密鑰匙、私人證書書、私密等等的保證分分發(fā)措施; 22.建立權權威鑰匙分分發(fā)機構; 33.保證數(shù)數(shù)據(jù)完整

57、性性技術; 44.數(shù)據(jù)加加密傳輸; 55.數(shù)據(jù)存存儲加密等等。 第第五部分為為審計和監(jiān)監(jiān)控,確切切說,還應應包括數(shù)據(jù)據(jù)備份,這這是系統(tǒng)安安全的最后后一道防線線。系統(tǒng)一一旦出了問問題,這部部分可以提提供問題的的再現(xiàn)、責責任追查、重要數(shù)據(jù)據(jù)復原等保保障。在網(wǎng)絡和信信息安全模模型中,這這五個部分分是相輔相相成、缺一一不可的。其中底層層是上層保保障的基礎礎,如果缺缺少下面各各層次的安安全保障,上一層的的安全措施施則無從說說起。如果果一個企業(yè)業(yè)沒有對授授權用戶的的操作規(guī)范范、安全政政策和教育育等方面制制定有效的的管理標準準,那么對對用戶授權權的控制過過程以及事事后的審計計等的工作作就會變得得非常困難難。

58、3.2 網(wǎng)絡信息息安全產(chǎn)品品 為為了實施上上面提出的的安全體系系,可采用用防火墻產(chǎn)產(chǎn)品來滿足足其要求。 采采用NettScreeen 公公司的硬件件防火墻解解決方案NNetSccreenn-10 & NeetScrreen-100可可以滿足以以下功能。 (1)訪問問控制 實實施企業(yè)網(wǎng)網(wǎng)與外部、企業(yè)內(nèi)部部不同部門門之間的隔隔離。其關關鍵在于應應支持目前前Inteernett中的所有有協(xié)議,包包括傳統(tǒng)的的面向連接接的協(xié)議、無連接協(xié)協(xié)議、多媒媒體、視頻頻、商業(yè)應應用協(xié)議以以及用戶自自定義協(xié)議議等。 (2)普通通授權與認認證 提提供多種認認證和授權權方法,控控制不同的的信息源。 (3)內(nèi)容容安全 對對

59、流入企業(yè)業(yè)內(nèi)部的網(wǎng)網(wǎng)絡信息流流實施內(nèi)部部檢查,包包括URLL過濾等等等。 (4)加密密 提提供防火墻墻與防火墻墻之間、防防火墻與移移動用戶之之間信息的的安全傳輸輸。 (5)網(wǎng)絡絡設備安全全管理 目目前一個企企業(yè)網(wǎng)絡可可能會有多多個連通外外界的出口口,如連接接ISP的的專線、撥撥號線等,同時,在在大的企業(yè)業(yè)網(wǎng)內(nèi)不同同部門和分分公司之間間可能亦會會有由多級級網(wǎng)絡設備備隔離的小小網(wǎng)絡。根根據(jù)信息源源的分布情情況,有必必要對不同同網(wǎng)絡和資資源實施不不同的安全全策略和多多種級別的的安全保護護,如可以以在防火墻墻上實施路路由器、交交換機、訪訪問服務器器的安全管管理。 (6)集中中管理 實實施一個企企業(yè)一種

60、安安全策略,實現(xiàn)集中中管理、集集中監(jiān)控等等。 (7)提供供記帳、報報警功能 實實施移動方方式的報警警功能,包包括E-mmail、SNMPP等。 企業(yè)業(yè)如何選擇擇合適的防防火墻 計算機網(wǎng)絡絡將有效的的實現(xiàn)資源源共享,但但資源共享享和信息安安全是一對對矛盾。隨隨著資源共共享進一步步加強,隨隨之而來的的信息安全全問題也日日益突出。并不是每一一款防火墻墻都適應于于每個用戶戶的需求,根根據(jù)用戶需需求的不同同,所需要要的防火墻墻可能完全全不同。下下面列舉了了幾種網(wǎng)絡絡中的防火火墻應用。 INTEERNETT或信息發(fā)發(fā)布服務 這種情況非非常普遍,IISP或IICP,企企業(yè)的網(wǎng)頁頁,在INNTERNNET上提

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論