煙草行業(yè)計算機網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范

煙草行業(yè)計算機網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范PAGEPAGE14煙草行業(yè)計算機網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范煙草行業(yè)計算機網(wǎng)絡(luò)和信息安全技術(shù)與管理規(guī)范國煙辦〔2003〕17號國家煙草專賣局信息化工作領(lǐng)導(dǎo)小組辦公室國家煙草專賣局煙草經(jīng)濟信息中心二二年十二月

目錄TOC\o"1-1"\h\z\t"標(biāo)題2,2"前言 11概述 22信息安全概述 32.1P2DR模型 32.2縱深防御體系 52.3計算機網(wǎng)絡(luò)信息安全 52.4信息安全的系統(tǒng)工程思想 72.5信息系統(tǒng)的安全策略和目標(biāo) 92.6系統(tǒng)安全威脅 102.7煙草行業(yè)的信息安全防范對象 103信息安全法規(guī)、政策和標(biāo)準(zhǔn) 123.1國家的法律、法規(guī)和政策 123.2國家標(biāo)準(zhǔn)和要求 133.3行業(yè)要求和規(guī)范 133.4其它專用安全標(biāo)準(zhǔn) 134信息安全技術(shù)和產(chǎn)品 144.1系統(tǒng)的安全結(jié)構(gòu) 144.2通信系統(tǒng)安全結(jié)構(gòu) 154.3網(wǎng)絡(luò)系統(tǒng)安全結(jié)構(gòu) 164.4主機與系統(tǒng)安全結(jié)構(gòu) 224.5數(shù)據(jù)與應(yīng)用系統(tǒng)安全結(jié)構(gòu) 254.6安全產(chǎn)品選型原則和依據(jù) 314.7主要安全產(chǎn)品的指標(biāo)參數(shù) 325煙草行業(yè)信息安全系統(tǒng)建設(shè)的目標(biāo)、原則和要求 385.1信息安全系統(tǒng)建設(shè)的主要目標(biāo) 385.2信息安全系統(tǒng)建設(shè)的基本原則 385.3信息安全系統(tǒng)建設(shè)的階段性目標(biāo) 385.4信息安全系統(tǒng)建設(shè)的基本要求 395.5各級網(wǎng)絡(luò)信息安全系統(tǒng)建設(shè)的具體要求 416安全管理的組織、制度和職責(zé) 426.1安全管理的主要內(nèi)容 426.2安全管理體系 437安全事故處理和匯報 507.1事件處理目標(biāo) 507.2系統(tǒng)安全事件處理優(yōu)先級 507.3記錄系統(tǒng)安全事件 507.4系統(tǒng)安全事件核實與判斷 517.5系統(tǒng)安全事件現(xiàn)場處理方案選擇 527.6系統(tǒng)安全事件處理服務(wù)和過程 547.7系統(tǒng)安全事件后處理 55附錄一各級網(wǎng)絡(luò)系統(tǒng)信息安全建設(shè)建議方案 57附錄二常用端口和網(wǎng)站 66結(jié)束語 68前言隨著我國信息化戰(zhàn)略的推進(jìn)，計算機和互聯(lián)網(wǎng)（Internet）的廣泛應(yīng)用，社會信息化程度逐步提高，信息安全問題也日漸突出。網(wǎng)絡(luò)和信息安全關(guān)系到國家的安全，為此，國務(wù)院及有關(guān)部門陸續(xù)發(fā)布了《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》、《計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》、《計算機病毒防治管理辦法》、《中華人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》、《商用密碼管理條例》等規(guī)定，對網(wǎng)絡(luò)安全方面做出了一些具體規(guī)定。煙草行業(yè)信息化建設(shè)不斷發(fā)展，計算機網(wǎng)絡(luò)和信息系統(tǒng)與行業(yè)生產(chǎn)、經(jīng)營和管理業(yè)務(wù)的關(guān)聯(lián)越來越緊密，保證整個網(wǎng)絡(luò)信息系統(tǒng)安全可靠的運轉(zhuǎn)已是行業(yè)信息化建設(shè)的重要基礎(chǔ)工作之一。根據(jù)國家有關(guān)規(guī)定，國家煙草專賣局對計算機網(wǎng)絡(luò)和信息系統(tǒng)中涉及信息安全的工作及相關(guān)的技術(shù)、管理進(jìn)行了規(guī)范，已經(jīng)頒布執(zhí)行的有《煙草行業(yè)計算機信息網(wǎng)絡(luò)安全保護(hù)規(guī)定》（國煙辦[1998]305號）、《煙草行業(yè)計算機信息系統(tǒng)保密管理暫行規(guī)定》（國煙保[1999]373號）和修訂后的《煙草行業(yè)計算機網(wǎng)絡(luò)建設(shè)技術(shù)規(guī)范》（國煙辦[2002]348號）等。這些規(guī)定和規(guī)范對保障煙草行業(yè)計算機網(wǎng)絡(luò)（行業(yè)內(nèi)聯(lián)網(wǎng)）的統(tǒng)一、暢通、可靠和完整起到了重要作用。隨著行業(yè)信息化水平的不斷提高以及計算機信息安全技術(shù)的進(jìn)步，適時地將這些國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及規(guī)范進(jìn)行整理歸納，并結(jié)合行業(yè)實際情況，引入當(dāng)前的新技術(shù)標(biāo)準(zhǔn)和管理手段，在保證資源共享的前提下，統(tǒng)籌規(guī)劃，專項制定信息安全方面的技術(shù)和管理規(guī)范非常必要。本規(guī)范從煙草行業(yè)計算機網(wǎng)絡(luò)建設(shè)的實際出發(fā)，在技術(shù)和管理上規(guī)范了煙草行業(yè)各單位計算機網(wǎng)絡(luò)與信息系統(tǒng)的安全建設(shè)，主要包括信息安全概述，信息安全法規(guī)、政策和標(biāo)準(zhǔn)，信息安全技術(shù)和產(chǎn)品，煙草行業(yè)信息安全系統(tǒng)建設(shè)的目標(biāo)、原則和要求，安全管理的組織、制度和職責(zé)，安全事故處理和匯報，煙草行業(yè)各級網(wǎng)絡(luò)系統(tǒng)信息安全建設(shè)建議方案等七方面內(nèi)容。行業(yè)內(nèi)各單位務(wù)必重視信息安全工作，嚴(yán)格執(zhí)行規(guī)范中的有關(guān)規(guī)定和要求，保證煙草行業(yè)計算機網(wǎng)絡(luò)安全可靠的運行，以促進(jìn)行業(yè)持續(xù)穩(wěn)定健康發(fā)展。本規(guī)范由國家煙草專賣局信息化工作領(lǐng)導(dǎo)小組辦公室、煙草經(jīng)濟信息中心負(fù)責(zé)解釋并監(jiān)督執(zhí)行。本規(guī)范由國家煙草專賣局煙草經(jīng)濟信息中心和上海復(fù)旦光華信息科技股份有限公司編制。本規(guī)范的主要起草人：高一軍、黃云海、遲誠、田朝陽、楊矗松本規(guī)范已經(jīng)有關(guān)方面專家評審?fù)ㄟ^。

1概述本規(guī)范包括以下幾部分內(nèi)容：信息安全概述信息安全法規(guī)、政策和標(biāo)準(zhǔn)信息安全技術(shù)和產(chǎn)品煙草行業(yè)信息安全建設(shè)目標(biāo)、原則和要求安全管理的組織、制度和職責(zé)安全事故處理和匯報煙草行業(yè)各級網(wǎng)絡(luò)系統(tǒng)信息安全建設(shè)建議方案本規(guī)范首先介紹了計算機網(wǎng)絡(luò)信息安全的技術(shù)和管理理念，從安全技術(shù)介紹入手，提出了計算機系統(tǒng)的安全建設(shè)指導(dǎo)原則，并給出了一些建設(shè)性的意見和方案。另外，還針對行業(yè)計算機網(wǎng)絡(luò)的管理，特別是煙草行業(yè)的安全管理制度與組織結(jié)構(gòu)保障提出要求和建議。由于計算機網(wǎng)絡(luò)和信息安全工作的特殊性，在本規(guī)范中，對信息安全事故處理等方面做出相應(yīng)的建議和規(guī)定。

2信息安全概述本節(jié)首先介紹計算機網(wǎng)絡(luò)與信息系統(tǒng)整體安全的思想，從系統(tǒng)工程角度對計算機系統(tǒng)信息安全工作的內(nèi)容和步驟進(jìn)行了闡述。然后，從整體安全角度出發(fā)，說明系統(tǒng)安全的策略及目標(biāo)，并針對煙草行業(yè)的計算機系統(tǒng)的脆弱性進(jìn)行風(fēng)險分析，說明煙草行業(yè)防護(hù)的重點，在說明信息系統(tǒng)安全的重要性的同時，也給出了安全體系建設(shè)的出發(fā)點。2.1P2DR模型整個規(guī)范的主導(dǎo)思想是圍繞著P2DR模型的思想建立一個完整的信息安全體系框架。P2DR模型包含四個主要部分：Policy（安全策略）、Protection（防護(hù)）、Detection（檢測）和Response（響應(yīng)）。防護(hù)、檢測和響應(yīng)組成了一個完整的、動態(tài)的安全循環(huán)，在安全策略的整體指導(dǎo)下保證信息系統(tǒng)的安全。P2DR是由PDR（Protection、Detection、Response）模型引伸出的概念模型，增加了Policy功能，并突出了管理策略在信息安全工程中的主導(dǎo)地位。本規(guī)范的幾個重要部分，如建設(shè)方案部分就是圍繞著建立一個防護(hù)體系和檢測體系（Protection、Detection）提出的，第六章制度與組織則是圍繞著策略（Policy）討論的，第七部分安全事件的處理與匯報正是對于安全事件的響應(yīng)（Response）。信息安全建設(shè)應(yīng)該借鑒P2DR安全模型。防護(hù)（Protect）的目的在于阻止侵入系統(tǒng)或延遲侵入信息系統(tǒng)的時間，為檢測和反應(yīng)提供更多的時間。檢測（Detect）和發(fā)現(xiàn)的目的在于作出反應(yīng)。反應(yīng)（Response）是為了修復(fù)漏洞，避免損失或打擊犯罪。信息系統(tǒng)安全不僅是定性的，同時還是定量的，不僅是技術(shù)的，還是管理的。信息系統(tǒng)安全概念要求是面向空間、時間、功能和人員的全方位的動態(tài)安全概念，這些還需要相應(yīng)制度與組織的保障（屬Policy范疇）。構(gòu)成信息系統(tǒng)安全的核心環(huán)節(jié)：安全防護(hù)、安全檢測、安全事件反應(yīng)和安全管理。本規(guī)范采用的基本方法是建立四個層次的安全循環(huán)體系。其核心循環(huán)層是P2DR循環(huán)，它是安全系統(tǒng)漏洞與攻擊事件的防護(hù)、檢測、反應(yīng)和管理的循環(huán)。P2DR循環(huán)層要求基于時間，形成快速反應(yīng)。第二層循環(huán)是安全服務(wù)和過程的循環(huán)，安全服務(wù)和過程的目標(biāo)是確保核心P2DR循環(huán)的快速反應(yīng)，在這層循環(huán)中主要實施信息安全員、網(wǎng)絡(luò)管理員、系統(tǒng)管理員和系統(tǒng)維護(hù)運行員的日常安全管理工作，包括煙草信息系統(tǒng)工作中非常重要的信息備份和恢復(fù)等工作。第三層循環(huán)是安全結(jié)構(gòu)層的循環(huán)，在這層循環(huán)中要不斷地對信息系統(tǒng)的安全結(jié)構(gòu)進(jìn)行再建設(shè)、維護(hù)、升級、改變結(jié)構(gòu)、完善結(jié)構(gòu)體系等工作，使系統(tǒng)保持安全運行的良好狀態(tài)。它是通過系統(tǒng)結(jié)構(gòu)的不斷完善來確保安全服務(wù)和過程以及核心層P2DR循環(huán)的快速反應(yīng)。第四層是在安全概念、安全策略、安全總體等宏觀安全體系內(nèi)建立的不斷完善的循環(huán)體制，是一種宏觀意義上的循環(huán)體制。由于P2DR循環(huán)是安全的核心循環(huán)，討論信息系統(tǒng)安全的基本方法應(yīng)當(dāng)針對安全防護(hù)、安全檢測、安全事件反應(yīng)和安全管理四個環(huán)節(jié)進(jìn)行重點討論。1．安全防護(hù)的基本方法信息系統(tǒng)安全防護(hù)的基本方法就是不斷地修改和完善安全計劃和防護(hù)指南，并自上而下地貫徹和執(zhí)行所制定的計劃和指南。在制定計劃和指南時要考慮下面幾方面的問題：確認(rèn)你的信息系統(tǒng)要保護(hù)的對象和內(nèi)容；確認(rèn)你的信息系統(tǒng)安全的威脅是什么；確認(rèn)保護(hù)你的財產(chǎn)的成本效益；了解你的信息系統(tǒng)的安全脆弱性和存在的風(fēng)險；制定安全防護(hù)策略。2．安全檢測的基本方法信息系統(tǒng)安全檢測的基本方法就是不斷地修改和完善安全計劃和檢測指南，并自上而下地貫徹和執(zhí)行所制定的計劃和指南。在制定計劃和指南時要考慮下面幾方面的問題：確認(rèn)你的信息系統(tǒng)要檢測的對象和內(nèi)容；確認(rèn)你的信息系統(tǒng)安全的時間性（時間復(fù)雜性）；確認(rèn)檢測你的系統(tǒng)的成本效益；確認(rèn)你的檢測系統(tǒng)的可生存性；制定安全檢測策略。3．安全事件反應(yīng)的基本方法信息系統(tǒng)安全事件反應(yīng)的基本方法就是不斷地修改和完善安全計劃和反應(yīng)指南，并自上而下地貫徹和執(zhí)行所制定的計劃和指南。在制定計劃和指南時要考慮下面幾方面的問題：確認(rèn)信息系統(tǒng)安全事件反應(yīng)的內(nèi)容；確認(rèn)你的信息系統(tǒng)安全事件反應(yīng)的時間性；確認(rèn)反應(yīng)處理的成本效益；制定安全反應(yīng)策略。4．安全制度與組織的建設(shè)P2DR模型和PDR模型最大的區(qū)別就在于Policy（安全策略）的引入。PDR模型與以前的安全模型的區(qū)別在于引入了檢測時間的概念，與以往的靜態(tài)防護(hù)模型相比，它引入了一個動態(tài)防護(hù)的概念，這就更能體現(xiàn)網(wǎng)絡(luò)安全的復(fù)雜性。但是對于現(xiàn)在的大型網(wǎng)絡(luò)而言，一個動態(tài)的只考慮技術(shù)層面解決手段的模型也無法更好的解決安全問題，因為網(wǎng)絡(luò)安全、信息安全是一個整體的問題。PDR存在一個致命的弱點，就是忽略了內(nèi)在的變化因素，如人員的流動、人員的素質(zhì)差異和策略貫徹的不穩(wěn)定性。所以本規(guī)范著重強調(diào)了P（Policy）的重要性，相關(guān)制度與體制的建議主要借鑒ISO17799標(biāo)準(zhǔn)中的內(nèi)容與思想。5．其它安全模型簡介安全模型除了上面介紹的P2DR外，常用的還有下面幾個：PDCA：Plan—Do—Check—Action（計劃—執(zhí)行—檢查—措施）PDR：Protect—Detect—Response（防護(hù)—檢測—響應(yīng)）PPDRR(P2DR2)：Policy—Protect—Detect—Response—Recover（策略—防護(hù)—檢測—響應(yīng)—恢復(fù)）MPPDRR(MP2DR2)：Manage—Protect—Detect—Response—Recover（管理—防護(hù)—檢測—響應(yīng)—恢復(fù)）此外，還有在上述基礎(chǔ)上添加一些其它字母的，如S—Supervising等。其中P2DR和MP2DR2都是PDR模型的擴展，主要是由于入侵檢測產(chǎn)品繼防火墻之后成為又一個被接受的重要概念后產(chǎn)生的。因此推崇這些模型的廠商中具備入侵檢測和防火墻產(chǎn)品的廠商較多，并注重檢測和響應(yīng)。目前，P2DR更為人所知。這一系列的模型主要特點是比較實用，能夠轉(zhuǎn)化為系列的產(chǎn)品來實施，但主要偏向于網(wǎng)絡(luò)和系統(tǒng)層次的安全。雖然P2DR每一個字母都可以擴展成為廣義上的安全定義，但一般來說該模型如果用在諸如身份驗證、授權(quán)管理等上層應(yīng)用安全的情況下則比較牽強。PDCA主要是與BS7799配套的模型。BS7799（ISO17799）是一個信息安全系統(tǒng)建設(shè)的參考標(biāo)準(zhǔn)（InformationSecurityManagementSystems，ISMS）,是從宏觀角度對安全建設(shè)的參考，包括技術(shù)方面與管理方面。但是比較抽象，需要與實際系統(tǒng)結(jié)合，進(jìn)行解釋才有實際的含義。PDCA抽象和宏觀了一點，放之四海而皆準(zhǔn)。類似于BS7799的標(biāo)準(zhǔn)還有很多，如CC，TCSEC，ITSEC等，我國也有系列的國標(biāo)。目前，這些標(biāo)準(zhǔn)大都只能夠起到宏觀上指導(dǎo)的作用，真正將它們用于安全評估，可操作性較差，所以在煙草行業(yè)的規(guī)范中，在構(gòu)建網(wǎng)絡(luò)和系統(tǒng)層次的安全框架中我們主要參考P2DR模型。2.2縱深防御體系作為P2DR模型的一個有效補充，縱深防御體系是基于網(wǎng)絡(luò)安全域概念的一個在信息安全系統(tǒng)建設(shè)中的一個重要原則。即根據(jù)功能、結(jié)構(gòu)、重要性等因素劃分網(wǎng)絡(luò)安全域。根據(jù)每個安全域的不同，分別研究和設(shè)計不同的網(wǎng)絡(luò)安全方案。建立縱深防御體系重點需要考慮如下因素:網(wǎng)絡(luò)信息安全域的劃分與隔離控制內(nèi)聯(lián)網(wǎng)安全服務(wù)與控制策略（Intranet）外聯(lián)網(wǎng)安全服務(wù)與控制策略（Extranet)互聯(lián)網(wǎng)安全服務(wù)與控制策略（Internet）公共干線的安全服務(wù)與控制策略（有線、無線、衛(wèi)星）計算環(huán)境的安全服務(wù)機制多級設(shè)防與科學(xué)部署策略全局安全檢測、集成管理、聯(lián)動控制與恢復(fù)（PDR）在本規(guī)范中，具體的安全建設(shè)方案主要就是遵循P2DR模型和縱深防御體系的理論撰寫的。在考慮到各級網(wǎng)絡(luò)的現(xiàn)狀，提供必要的防護(hù)手段的情況下，也盡量考慮到不同網(wǎng)絡(luò)安全域的不同安全建設(shè)要求，提供不同的安全防護(hù)手段。2.3計算機網(wǎng)絡(luò)信息安全計算機網(wǎng)絡(luò)信息安全在學(xué)術(shù)研究上是一門綜合性學(xué)科，在工程實踐上是一項系統(tǒng)工程。目前有關(guān)計算機信息系統(tǒng)安全的定義不統(tǒng)一，國際標(biāo)準(zhǔn)化組織（ISO）定義：“為數(shù)據(jù)處理系統(tǒng)建立和采取的技術(shù)和管理的安全保護(hù)，保護(hù)計算機硬件、軟件和數(shù)據(jù)不因偶然和惡意的原因而遭到破壞、更改和泄露?！睆挠嬎銠C信息系統(tǒng)形態(tài)和運行過程出發(fā)，可把安全內(nèi)容分為：實體安全、運行安全、數(shù)據(jù)安全和管理安全四個方面。實體安全是指保護(hù)計算機設(shè)備、設(shè)施（含網(wǎng)絡(luò)）以及其它媒體免遭地震、水災(zāi)、火災(zāi)、有毒氣體和其它環(huán)境事故（如電磁污染等）破壞的措施、過程。運行安全是指為保障系統(tǒng)功能的安全實現(xiàn)，提供一套安全措施（如安全評估、審計跟蹤、備份與恢復(fù)、應(yīng)急措施），來保護(hù)信息處理過程的安全。數(shù)據(jù)安全是指防止信息資源被故意的或偶然的非授權(quán)泄露、更改、破壞，或使信息被非法系統(tǒng)辨識、控制和否認(rèn)。即確保信息的完整性、保密性、可用性、可控性和不可否認(rèn)性。管理安全是指通過采用有關(guān)的法律法規(guī)和規(guī)章制度以及安全管理手段，確保系統(tǒng)安全生存和運營。管理手段是對安全服務(wù)和安全機制進(jìn)行管理，把管理信息分配到有關(guān)的安全服務(wù)和安全機制中去，并收集與它們的操作有關(guān)的信息。按照比較通行的說法，計算機網(wǎng)絡(luò)安全包括實體安全、運行安全和信息安全三個方面的內(nèi)容。其中信息安全是計算機網(wǎng)絡(luò)與信息系統(tǒng)安全建設(shè)的核心。安全是有協(xié)議層次的，ISO制定的網(wǎng)絡(luò)安全體系結(jié)構(gòu)，確定了五種基本安全服務(wù)和八種安全機制，從協(xié)議層次的角度看和OSI七層形成如下圖所示的對應(yīng)關(guān)系：而對應(yīng)于每一個網(wǎng)絡(luò)協(xié)議層次都有相應(yīng)的安全手段和保護(hù)側(cè)重。物理層安全：主要防止物理通路的損壞，防止線路竊聽和干擾。鏈路層安全：主要防止線路竊聽。常用保護(hù)手段為鏈路加密。網(wǎng)絡(luò)層安全：網(wǎng)絡(luò)層安全主要解決網(wǎng)絡(luò)互聯(lián)時在網(wǎng)絡(luò)通信層的安全問題，需要解決的問題有網(wǎng)絡(luò)設(shè)備安全、網(wǎng)絡(luò)進(jìn)出控制、撥號網(wǎng)絡(luò)的安全、網(wǎng)絡(luò)和鏈路層數(shù)據(jù)加密、防火墻應(yīng)用、病毒防范、入侵檢測（防黑客）、安全審計等。應(yīng)用層安全：煙草行業(yè)的應(yīng)用主要分為辦公自動化（OA）應(yīng)用系統(tǒng)和各種業(yè)務(wù)應(yīng)用系統(tǒng)。OA應(yīng)用包括對外部和內(nèi)部的信息共享以及各種跨局域網(wǎng)的應(yīng)用方式，其安全需求是在信息共享的同時，保證信息資源的合法訪問及通信隱秘性。業(yè)務(wù)應(yīng)用系統(tǒng)的安全性主要考慮應(yīng)用系統(tǒng)能與系統(tǒng)層和網(wǎng)絡(luò)層的安全服務(wù)無縫連接。需要解決的問題有身份認(rèn)證、訪問控制、數(shù)據(jù)保密性和完整性（安全通信）、內(nèi)容審計、記錄與抗抵賴等。系統(tǒng)層安全：包括操作系統(tǒng)的安全配置、操作系統(tǒng)的漏洞檢測、操作系統(tǒng)的漏洞修補。安全管理：安全管理貫穿在安全的各個層次實施，本身可以從不同的視角加以描述。從全局管理角度看，要制定全局的安全管理策略。從用戶管理角度看，要實現(xiàn)統(tǒng)一的用戶角色劃分策略。從資源管理角度看，要實現(xiàn)資源的分布配置和統(tǒng)一的資源目錄管理。從技術(shù)管理角度看，要針對各個層面的要求實現(xiàn)統(tǒng)一的安全配置和管理。2.4信息安全的系統(tǒng)工程思想一般認(rèn)為，一個大型的信息系統(tǒng)安全體系覆蓋了通信平臺、網(wǎng)絡(luò)平臺、系統(tǒng)平臺、應(yīng)用平臺，覆蓋網(wǎng)絡(luò)的各個層次，覆蓋各項安全功能，是一個多維度全方位的安全結(jié)構(gòu)模型。安全體系的建立，既涉及安全理論與技術(shù)，又涉及安全策略與管理。就安全技術(shù)而言，它涵蓋了現(xiàn)代通信技術(shù)、計算機技術(shù)、網(wǎng)絡(luò)技術(shù)、密碼技術(shù)等，本身是一項跨學(xué)科的綜合性信息系統(tǒng)工程，需要從設(shè)施、技術(shù)到管理整個經(jīng)營運作體系的通盤考慮，必須以系統(tǒng)工程的方法進(jìn)行設(shè)計。對信息安全的理解著重是以下三個基本要點：安全技術(shù)、層次結(jié)構(gòu)和安全生命周期。2.4.1安全技術(shù)安全技術(shù)是構(gòu)成信息安全的安全基礎(chǔ)設(shè)施，位于所有其它組成之下，提供了技術(shù)構(gòu)成和組織過程的保護(hù)?；诎踩A(chǔ)設(shè)施中相應(yīng)的標(biāo)準(zhǔn)和技術(shù)，提供相關(guān)的安全服務(wù)內(nèi)容。下圖列舉了主要的一些安全技術(shù)，并給出了各種安全技術(shù)之間內(nèi)在的層次水平。圖的底層部分是核心技術(shù)層次，這類的安全產(chǎn)品及技術(shù)涉及計算機科學(xué)的本質(zhì)，對國計民生有重大意義，其技術(shù)的水平和難度也是最高的，但也是最不為普通用戶所理解并涉及的。圖的最上層，是一系列安全技術(shù)構(gòu)成的功能相對獨立的產(chǎn)品，它們技術(shù)成熟，易于在網(wǎng)絡(luò)和信息系統(tǒng)中應(yīng)用，也最接近普通用戶。所有這些產(chǎn)品可以從安全技術(shù)本身的視角出發(fā)，按其產(chǎn)品投入水平、技術(shù)能力、產(chǎn)品價值等從核心層到平臺層到應(yīng)用層不同層次、不同等級的安全技術(shù)排列。這可以幫助技術(shù)人員理解紛繁復(fù)雜的安全概念、技術(shù)和產(chǎn)品，從整體上形成對安全技術(shù)整體框架的認(rèn)識和理解。2.4.2層次結(jié)構(gòu)在安全技術(shù)基礎(chǔ)之上，體現(xiàn)的則是安全的策略、服務(wù)、管理和平臺之間層次關(guān)系，這種關(guān)系可以用下圖三維結(jié)構(gòu)說明。每一種安全技術(shù)都可以形成不同的安全產(chǎn)品，并側(cè)重在不同的技術(shù)點上發(fā)揮其作用；同樣，不同的安全產(chǎn)品可以在不同的協(xié)議層次上為系統(tǒng)增強安全性，也是側(cè)重于不同層次的增強，沒有一種安全產(chǎn)品可以包容所有的安全層次。一個網(wǎng)絡(luò)信息系統(tǒng)是由一個個子系統(tǒng)構(gòu)成的，各種系統(tǒng)平臺以及平臺間是一個有機的整體，平臺間的層次關(guān)系也直接影響著整體安全的水平。在各個方向上理解安全，都存在著安全管理這一層次。安全產(chǎn)品和技術(shù)層次上需要對產(chǎn)品進(jìn)行統(tǒng)一的歸并管理，系統(tǒng)協(xié)議層次上需要強化各個層面的安全防護(hù)措施，各個系統(tǒng)平臺之間也需要一個管理體制進(jìn)行協(xié)助合作，可以說，安全管理的要求無處不在。2.4.3安全生命周期系統(tǒng)的安全體系是一個不斷發(fā)展變化的體系，這個系統(tǒng)的周期模型可以用下圖表示：根據(jù)這個周期模型，系統(tǒng)安全的生命周期一直是圍繞系統(tǒng)安全政策、標(biāo)準(zhǔn)及評估準(zhǔn)則進(jìn)行的，這些是信息安全工作的靈魂。系統(tǒng)安全工作一般是從系統(tǒng)的安全評估開始的，建立系統(tǒng)脆弱性及風(fēng)險性模型，對系統(tǒng)安全問題進(jìn)行全面而深入的理解，之后，制定安全計劃，對各種問題逐一加以解決，這個計劃可以是長期計劃，也可以是短期應(yīng)急措施。計劃制定完成后，需要對各個計劃和方案進(jìn)行論證評定，考慮系統(tǒng)的成本、能力及水平等綜合因素后，選擇切實可行的計劃加以實施。同時，進(jìn)行人員的培養(yǎng)和基本知識的普及，加強系統(tǒng)中每個人的安全能力與安全意識。安全系統(tǒng)建成后，進(jìn)行正常的運轉(zhuǎn)，降低系統(tǒng)安全風(fēng)險，維護(hù)系統(tǒng)的安全。但是，并不是每個安全系統(tǒng)都可以承受各種安全威脅和潛在的攻擊，系統(tǒng)一定會經(jīng)歷安全體系無法抵消的緊急事件，此時，系統(tǒng)需要緊急響應(yīng)并試圖恢復(fù)系統(tǒng)運行。安全系統(tǒng)經(jīng)過一段時間后，會因系統(tǒng)自身變化或是技術(shù)水平的變化導(dǎo)致系統(tǒng)安全形勢的變化，需要重新進(jìn)行安全評估工作，因此，系統(tǒng)安全這一工作過程會周而復(fù)始地不斷進(jìn)行，使得整個系統(tǒng)的安全水平得到不斷提升。按照這個理念，一個信息系統(tǒng)的安全工作首先需要確立自己的安全策略及安全目標(biāo)，然后從分析這個系統(tǒng)安全威脅入手，找出系統(tǒng)安全威脅及系統(tǒng)自身脆弱性的方面，從系統(tǒng)的風(fēng)險出發(fā)，才能有效地制定安全計劃。2.5信息系統(tǒng)的安全策略和目標(biāo)2.5.1安全策略信息系統(tǒng)的安全策略可以劃分為網(wǎng)絡(luò)安全策略和計算機安全策略，要根據(jù)層次、范圍制定不同的安全策略。安全策略是包括信息系統(tǒng)安全的設(shè)計、采購、測試、開發(fā)、防護(hù)、檢測、反應(yīng)、管理和培訓(xùn)等方面的綜合體。具體包括：根據(jù)具體威脅分析，制定并設(shè)計安全系統(tǒng)結(jié)構(gòu)；根據(jù)系統(tǒng)現(xiàn)狀，確認(rèn)信息系統(tǒng)存在的安全風(fēng)險及脆弱性；確定安全防護(hù)、檢測的目的、對象以及內(nèi)容；建立安全防護(hù)、檢測以及反應(yīng)體系；確認(rèn)安全體系中使用的安全產(chǎn)品；制定安全服務(wù)內(nèi)容及流程；制定安全事件處理的規(guī)范；建立安全管理制度；制定體系化的安全培訓(xùn)制度。2.5.2信息系統(tǒng)安全目標(biāo)建設(shè)信息系統(tǒng)的安全體系的目標(biāo)可以根據(jù)需求而有所不同，但是安全建設(shè)的一般目標(biāo)可以描述如下：維持信息系統(tǒng)的防護(hù)、檢測和反應(yīng)的結(jié)構(gòu)、功能及時間性安全指標(biāo)，建立系統(tǒng)的安全結(jié)構(gòu)指標(biāo)、安全服務(wù)和過程要求；保護(hù)系統(tǒng)和用戶的信息資源和資產(chǎn)；維護(hù)信息系統(tǒng)安全服務(wù)的信息和行為的完整性；維持經(jīng)濟和社會效益；避免由于信息系統(tǒng)的安全結(jié)構(gòu)引起的安全事件。2.6系統(tǒng)安全威脅對于計算機信息系統(tǒng)，常見的安全風(fēng)險主要有：系統(tǒng)設(shè)計者有意建立或因偶然故障而存在的“后門”計算機系統(tǒng)操作過程中的人為錯誤、意外事故、疏漏和權(quán)限錯誤計算機系統(tǒng)出錯引起的拒絕使用電磁輻射引起的信息泄漏內(nèi)部人員進(jìn)行數(shù)據(jù)偷竊的犯罪行為火災(zāi)和自然災(zāi)害偽造文件和記錄硬件故障假冒別人的訪問代碼進(jìn)入系統(tǒng)不準(zhǔn)確的或過時的信息故意破壞傳輸路徑錯誤搭線竊聽和乘機而入應(yīng)用系統(tǒng)編程錯誤數(shù)據(jù)庫系統(tǒng)被非法侵入對已刪除信息的搜尋和復(fù)原非授權(quán)處理和惡意攻擊計算機病毒等等。這些都是系統(tǒng)安全不可忽視的因素。2.7煙草行業(yè)的信息安全防范對象本規(guī)范適用于煙草系統(tǒng)的計算機軟硬件設(shè)備和系統(tǒng)、計算機網(wǎng)絡(luò)設(shè)備和系統(tǒng)、通信網(wǎng)絡(luò)設(shè)備和系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)的安全問題，以及其它與煙草有關(guān)的自動監(jiān)控設(shè)備與系統(tǒng)、自動化電子設(shè)備與系統(tǒng)的安全問題，涉及到計算機軟件、計算機硬件、計算機局域網(wǎng)、計算機城域網(wǎng)、通信網(wǎng)絡(luò)、廣域網(wǎng)、內(nèi)聯(lián)網(wǎng)站點、互聯(lián)網(wǎng)站點、信息基礎(chǔ)設(shè)施、外部設(shè)備以及煙草應(yīng)用智能化電子設(shè)備與系統(tǒng)等。本規(guī)范涉及到的防護(hù)對象為：硬件：計算機終端、微機、工作站、服務(wù)器、主機、打印機、磁盤設(shè)備、網(wǎng)絡(luò)連接設(shè)備、路由器、交換機、調(diào)制解調(diào)器、通信終端、通信傳輸設(shè)備、通信線路、計算機網(wǎng)絡(luò)線路等。軟件：應(yīng)用源程序、應(yīng)用目標(biāo)程序、診斷程序、測試程序、各類支持和資源程序、開發(fā)工具程序、操作系統(tǒng)程序、數(shù)據(jù)庫管理程序、網(wǎng)絡(luò)管理程序、系統(tǒng)管理程序、監(jiān)控程序等。系統(tǒng)：系統(tǒng)結(jié)構(gòu)、軟硬件平臺、計算機系統(tǒng)、計算機局域網(wǎng)系統(tǒng)、計算機區(qū)域網(wǎng)系統(tǒng)、計算機廣域網(wǎng)系統(tǒng)、內(nèi)聯(lián)網(wǎng)系統(tǒng)、互聯(lián)網(wǎng)系統(tǒng)、通信網(wǎng)絡(luò)系統(tǒng)及其它電子化系統(tǒng)。具體包括煙草業(yè)務(wù)系統(tǒng)（產(chǎn)購銷）以及辦公自動化系統(tǒng)。數(shù)據(jù)：設(shè)備和系統(tǒng)存儲器和緩沖器中的數(shù)據(jù)、磁盤中的數(shù)據(jù)、在信道上傳輸?shù)臄?shù)據(jù)、數(shù)據(jù)庫中的數(shù)據(jù)、存儲介質(zhì)中的數(shù)據(jù)等。行為：軟件、硬件、系統(tǒng)的正常工作功能和保障系統(tǒng)工作行為的完整性、異常處理行為的完整性等。文檔：軟件、硬件、系統(tǒng)的數(shù)據(jù)文檔和用戶文檔、維護(hù)文檔、測試文檔、管理文檔、支持文檔和其它相關(guān)文檔。支持介質(zhì)：紙介質(zhì)、磁介質(zhì)、光盤介質(zhì)等。環(huán)境：計算機機房、終端柜臺、機房所在建筑、建筑周界等。人員：信息系統(tǒng)安全員（1SSO）、網(wǎng)絡(luò)安全員（NSO）、系統(tǒng)管理員、操作員、安全測評人員、安全總體人員、安全監(jiān)控人員、用戶、設(shè)備供應(yīng)商（設(shè)計人員和開發(fā)人員）、系統(tǒng)集成商及維護(hù)人員等。

3信息安全法規(guī)、政策和標(biāo)準(zhǔn)信息系統(tǒng)的安全標(biāo)準(zhǔn)都是從防護(hù)意義上討論的安全標(biāo)準(zhǔn)。強制標(biāo)準(zhǔn)適用于所有煙草信息系統(tǒng)，安全性標(biāo)準(zhǔn)適用于信息處理、信息傳送、信息模型化與信息標(biāo)準(zhǔn)和人機接口（HCI）。下面列出在信息安全方面國際和國內(nèi)以及煙草行業(yè)內(nèi)部的法規(guī)、政策及標(biāo)準(zhǔn)。3.1國家的法律、法規(guī)和政策《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》（國務(wù)院令147號）本條例規(guī)定了信息系統(tǒng)安全公民所應(yīng)負(fù)的責(zé)任以及公安部門的權(quán)限及處理方法?！吨腥A人民共和國計算機信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)管理暫行規(guī)定》（國務(wù)院令195號）本規(guī)定明確了單位及個人在接入互聯(lián)網(wǎng)中所應(yīng)負(fù)的責(zé)任?！队嬎銠C信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》（公安部令32號）本辦法自一九九七年十二月十二日起施行，規(guī)定了中華人民共和國境內(nèi)的安全專用產(chǎn)品進(jìn)入市場銷售的銷售許可證制度?！吨腥A人民共和國保守國家秘密法》本法規(guī)規(guī)定了國家秘密的范圍和密級，保密制度及法律責(zé)任?！吨腥A人民共和國保守國家秘密法實施辦法》（國家保密局）本辦法規(guī)定了中華人民共和國保守國家秘密法的實施辦法?！队嬎銠C信息系統(tǒng)保密管理暫行規(guī)定》（國家保密局國保發(fā)[1998]1號）本規(guī)定規(guī)定了涉及采集、存儲、處理、傳遞、輸出國家秘密信息的計算機信息系統(tǒng)的管理要求?！队嬎銠C信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》（國家保密局）本規(guī)定明確了進(jìn)行國際聯(lián)網(wǎng)的個人、法人和其它組織，互聯(lián)單位和接入單位的職責(zé)和應(yīng)遵守的原則?！队嬎銠C信息網(wǎng)絡(luò)國際互聯(lián)網(wǎng)安全保護(hù)管理辦法》（公安部）本法規(guī)于1997年12月11日經(jīng)國務(wù)院批準(zhǔn)，1997年12月30日由公安部發(fā)布，規(guī)定了計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理的具體內(nèi)容?！渡逃妹艽a管理條例》（國務(wù)院令273號）本條例規(guī)定了不涉及國家秘密內(nèi)容的信息進(jìn)行加密保護(hù)或者安全認(rèn)證所使用的密碼技術(shù)和密碼產(chǎn)品（商用密碼）的科研、生產(chǎn)、銷售和使用原則?！吨泄仓醒腙P(guān)于加強新形勢下保密工作的決定》該文件指明了涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)的建設(shè)原則?！队嬎銠C病毒防治管理辦法》該辦法是為了加強對計算機病毒的預(yù)防和治理，保護(hù)計算機信息系統(tǒng)安全，保障計算機的應(yīng)用與發(fā)展，根據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護(hù)條例》的規(guī)定而制定的。由中華人民共和國公安部于2000年4月26日頒布，即日起開始實施。3.2國家標(biāo)準(zhǔn)和要求GB17859-1999 計算機信息系統(tǒng)安全保護(hù)等級劃分與準(zhǔn)則GB9361-1988 計算站場地安全要求GB2887-1989 計算站場地技術(shù)要求GB50174-1993 電子計算機機房建設(shè)規(guī)范GB9254-1998 信息技術(shù)設(shè)備的無線電騷擾限值和測量方法GJB3433-1998 軍用計算機網(wǎng)絡(luò)安全體系結(jié)構(gòu)BMB2-1998 使用現(xiàn)場的信息設(shè)備電磁泄露發(fā)射檢查測試方法和安全判斷BMB3-1999 處理涉密信息電磁屏蔽室的技術(shù)要求和測量方法BMB4-2000 電磁干擾器技術(shù)要求和測量方法等3.3行業(yè)要求和規(guī)范《煙草行業(yè)計算機信息網(wǎng)絡(luò)安全保護(hù)規(guī)定》（國煙辦[1998]305號）《煙草行業(yè)計算機信息系統(tǒng)保密管理暫行規(guī)定》（國煙保[1999]373號）《煙草行業(yè)計算機網(wǎng)絡(luò)建設(shè)技術(shù)規(guī)范》（國煙辦[2002]348號）《新聞報道和網(wǎng)絡(luò)發(fā)布信息管理規(guī)定》（國煙辦[2001]141號）3.4其它專用安全標(biāo)準(zhǔn)其它專用的安全標(biāo)準(zhǔn)還有很多，如應(yīng)用平臺實體安全標(biāo)準(zhǔn)，是指除公共操作環(huán)境網(wǎng)絡(luò)信息平臺中除操作系統(tǒng)之外的運營支持、管理支持、開發(fā)支持、集成支持和應(yīng)用支持平臺意義上的安全標(biāo)準(zhǔn)。1．?dāng)?shù)據(jù)管理服務(wù)如下強制標(biāo)準(zhǔn)用于與要求的信任級別一致的數(shù)據(jù)管理服務(wù)：NCSC—TG一021，版本1，可信數(shù)據(jù)庫管理系統(tǒng)說明，1991年4月；2．軟件工程服務(wù)安全（SEMC）3．類屬安全性服務(wù)（GSS）——應(yīng)用程序接口（API）安全4．?dāng)?shù)據(jù)交換服務(wù)安全數(shù)據(jù)交換是指系統(tǒng)與外部環(huán)境進(jìn)行數(shù)據(jù)和信息的交換的服務(wù)。這些服務(wù)包括文檔交換、圖形數(shù)據(jù)交換、地理數(shù)據(jù)交換、圖象數(shù)據(jù)交換、時間數(shù)據(jù)交換、多媒體數(shù)據(jù)交換等。5．分布式計算服務(wù)安全標(biāo)準(zhǔn)（DCE）DCE鑒別和安全規(guī)范是DCE的開放組規(guī)范草案。6．開放系統(tǒng)安全標(biāo)準(zhǔn)這些標(biāo)準(zhǔn)構(gòu)成了一個相對完整的安全標(biāo)準(zhǔn)體系，是專業(yè)人員從事系統(tǒng)安全建設(shè)時所必須遵循的基本準(zhǔn)則。7．ISO17799/BS7799ISO17799是一個詳細(xì)的安全標(biāo)準(zhǔn)，涵蓋安全問題的各個方面。

4信息安全技術(shù)和產(chǎn)品本節(jié)首先從系統(tǒng)的安全結(jié)構(gòu)開始，簡要介紹計算機網(wǎng)絡(luò)與信息系統(tǒng)安全的技術(shù)及產(chǎn)品，然后，從建設(shè)一個整體系統(tǒng)安全角度出發(fā)，針對煙草行業(yè)的計算機系統(tǒng)的實際，提出了一些安全系統(tǒng)的建設(shè)原則，作為安全系統(tǒng)建設(shè)需要考慮并遵循的基本原則。4.1系統(tǒng)的安全結(jié)構(gòu)煙草行業(yè)計算機網(wǎng)絡(luò)與信息系統(tǒng)安全體系是一個跨地域、跨平臺、跨廠商的大型網(wǎng)絡(luò)。在這樣的網(wǎng)絡(luò)中，除了技術(shù)與產(chǎn)品以外，安全策略與管理，到項目實施與經(jīng)營運作是一個綜合的系統(tǒng)工程。煙草行業(yè)計算機網(wǎng)絡(luò)與信息安全系統(tǒng)總體框架示意圖煙草行業(yè)計算機網(wǎng)絡(luò)與信息安全系統(tǒng)總體框架如上圖所示，在邏輯上清晰的表示出基于安全基礎(chǔ)設(shè)施、以安全策略為指導(dǎo)，通過統(tǒng)一的安全管理平臺，提供全面的安全服務(wù)內(nèi)容，覆蓋從物理通信到網(wǎng)絡(luò)、系統(tǒng)平臺直至數(shù)據(jù)和應(yīng)用平臺的各個層面的安全需求，從而形成完整的信息安全體系架構(gòu)。安全基礎(chǔ)設(shè)施，位于所有其它組成之下，提供了技術(shù)構(gòu)成和組織過程的保護(hù)?；诎踩A(chǔ)設(shè)施中相應(yīng)的標(biāo)準(zhǔn)和技術(shù)，提供相關(guān)的安全服務(wù)內(nèi)容。4.2通信系統(tǒng)安全結(jié)構(gòu)4.2.1通信系統(tǒng)物理安全1．通信系統(tǒng)物理安全的主要內(nèi)容環(huán)境安全：環(huán)境安全需要對物理安全保護(hù)對象的安全風(fēng)險等級進(jìn)行評估，并采取相應(yīng)的安全防護(hù)措施，建立關(guān)鍵設(shè)備工作環(huán)境以及主機機房的安全防護(hù)系統(tǒng)。設(shè)備安全：對關(guān)鍵設(shè)備采取防盜、防毀、防電磁輻射泄露、防止線路截聽、抗電磁干擾及電源保護(hù)等方面的安全保護(hù)措施，并對關(guān)鍵物理設(shè)備制定實體設(shè)備訪問控制規(guī)則，控制對設(shè)備的非授權(quán)訪問。存儲介質(zhì)安全：對信息系統(tǒng)中使用的各類磁盤、光盤和磁帶等關(guān)鍵的存儲介質(zhì)實施嚴(yán)格的安全管理，按照其內(nèi)容的重要程度實行分級的安全管理和控制，并對關(guān)鍵存儲介質(zhì)的存儲和維護(hù)過程進(jìn)行管理，確保介質(zhì)中存儲信息在保存和使用過程中的安全性；2．通信系統(tǒng)物理安全的具體措施機房環(huán)境：計算機網(wǎng)絡(luò)與信息安全系統(tǒng)相關(guān)子系統(tǒng)的布線系統(tǒng)應(yīng)符合系統(tǒng)的安全保密要求，同時應(yīng)配備防火、防水、防震、防雷電等各種物理安全保障措施，保證機房的物理環(huán)境安全。在核心機房建立監(jiān)控系統(tǒng)，通過攝像頭，對機房的日常情況進(jìn)行監(jiān)控。網(wǎng)絡(luò)設(shè)備保護(hù)：主交換機，路由器等網(wǎng)絡(luò)設(shè)備都將放置在中心機房，各樓層的配線架、交換機等設(shè)備均有相應(yīng)的物理保護(hù)措施，避免外部人員偷改線路或者網(wǎng)絡(luò)設(shè)備配置。機房建設(shè)：實施屏蔽機房，機房要安裝門禁系統(tǒng)，并有配套的管理措施嚴(yán)格控制對機房物理環(huán)境的訪問。存儲介質(zhì)安全管理：對信息系統(tǒng)中使用的存儲介質(zhì)（如磁盤、光盤以及磁帶等）進(jìn)行嚴(yán)格管理，并建立相應(yīng)的制度，包括介質(zhì)的使用制度、存儲制度、維護(hù)制度以及銷毀處理制度等。防電磁輻射：盡量采用低輻射顯示器，以減少信息泄漏。4.2.2通信系統(tǒng)加密1．通信系統(tǒng)加密的主要內(nèi)容通信系統(tǒng)加密，包括數(shù)據(jù)鏈路層以及網(wǎng)絡(luò)層通信的加密措施。由于在廣域連接中，公網(wǎng)線路的信道是含有不安全因素的，所以在網(wǎng)絡(luò)的鏈路層需要做到防止數(shù)據(jù)包被黑客竊取，造成重要的信息如密碼等關(guān)鍵數(shù)據(jù)泄漏等事故發(fā)生。2．通信系統(tǒng)加密的技術(shù)措施通信系統(tǒng)加密的技術(shù)措施主要使用采用通信信道加密的措施，具體包括鏈路加密機以及網(wǎng)絡(luò)加密機等。鏈路安全保護(hù)措施主要是鏈路加密設(shè)備，如各種鏈路加密機。它對所有用戶數(shù)據(jù)一起加密，用戶數(shù)據(jù)通過通信線路送到另一節(jié)點后立即解密。一般，線路加密產(chǎn)品主要用于電話網(wǎng)、DDN、專線、衛(wèi)星點對點通信環(huán)境，它包括異步線路密碼機和同步線路密碼機。異步線路密碼機主要用于電話網(wǎng)，同步線路密碼機則可用于許多專線環(huán)境。線路加密的主要問題是，網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和連接方式可能不斷的變化，如果線路變更，則加密機也必須變更。此外，每一條線路的兩端都需要線路加密機，實現(xiàn)的代價較大。網(wǎng)絡(luò)加密機具有很好的網(wǎng)絡(luò)適應(yīng)性，其工作與物理線路無關(guān)，若廣域網(wǎng)主通信鏈路進(jìn)行擴容、改造時，不需要做任何硬件方面的改造，只需要配置參數(shù)做簡單的修改即可，節(jié)省大量經(jīng)費和人力。此外網(wǎng)絡(luò)加密機實現(xiàn)了多點對多點的加密，而鏈路加密機局限于點對點的加密。3．加密設(shè)備目前國內(nèi)開發(fā)并提供的主要保密設(shè)備包括：E1信道加密機；X.25信道加密機；FrameRelay加密機；ATM加密機；終端加密機；網(wǎng)絡(luò)加密機等。4.3網(wǎng)絡(luò)系統(tǒng)安全結(jié)構(gòu)4.3.1安全域的劃分1．安全域的定義對于一個嚴(yán)密和安全的系統(tǒng)，系統(tǒng)管理要有明確的任務(wù)和責(zé)任。為了規(guī)范安全管理，必須指定網(wǎng)絡(luò)安全的范圍。這個基本單元就稱為“安全域”。安全管理必須明確所管理和控制的范圍，即信息安全系統(tǒng)所控制的網(wǎng)絡(luò)服務(wù)器的范圍，這就是安全域的概念。沒有安全域的安全管理是不現(xiàn)實的。一個計算機網(wǎng)絡(luò)信息系統(tǒng)可能需要一個獨立的安全域，也可能需要幾個安全域。配置合適的安全域需要考慮以下幾個因素：單位的規(guī)模、目的、需要和特殊的需求、安全性、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，以及管理模式和開銷等。2．安全域的劃分根據(jù)煙草行業(yè)計算機網(wǎng)絡(luò)與信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、具體的應(yīng)用以及安全等級的需求，進(jìn)行安全域的劃分，主要分為以下四個安全域：核心業(yè)務(wù)應(yīng)用安全域：指煙草主要的應(yīng)用業(yè)務(wù)系統(tǒng)；辦公自動化安全域：指OA系統(tǒng)；公共信息服務(wù)安全域：包括Web服務(wù)、DNS服務(wù)以及郵件服務(wù)等；關(guān)鍵部門安全域：如人事部門、財務(wù)部門等。3．安全域劃分的主要技術(shù)安全域劃分的主要技術(shù)包括：邏輯隔離技術(shù)（VLAN-虛擬局域網(wǎng)）技術(shù)；物理隔離技術(shù)。4.3.2安全路由器路由器作為網(wǎng)絡(luò)之間數(shù)據(jù)通信的核心設(shè)備，其本身的安全性能尤為關(guān)鍵，因為作為網(wǎng)絡(luò)轉(zhuǎn)接設(shè)備的路由器，需要不斷接收與發(fā)送路由信息及IP數(shù)據(jù)報，而路由信息與敏感IP數(shù)據(jù)報的安全正是網(wǎng)絡(luò)安全防護(hù)的核心。因此，強化路由器本身的安全防范往往可以收到事半功倍之效。安全路由器應(yīng)該具備以下主要功能：1．網(wǎng)絡(luò)的互聯(lián)路由器面向網(wǎng)絡(luò)層的數(shù)據(jù)報。高性能安全路由器不僅可以實現(xiàn)不同的局域網(wǎng)的互聯(lián)，而且可以實現(xiàn)局域網(wǎng)與廣域網(wǎng)的互聯(lián)以及廣域網(wǎng)與廣域網(wǎng)的互聯(lián)。為了實現(xiàn)網(wǎng)絡(luò)的互聯(lián)，路由器必須能完成如下幾個功能：地址映射、數(shù)據(jù)轉(zhuǎn)換、路由選擇、協(xié)議轉(zhuǎn)換。2．網(wǎng)絡(luò)的隔離路由器不僅可以根據(jù)局域網(wǎng)的地址和協(xié)議類型，而且可以根據(jù)網(wǎng)絡(luò)號、主機的網(wǎng)絡(luò)地址、地址掩碼、數(shù)據(jù)類型來監(jiān)控、“攔截”和過濾信息。而橋只能根據(jù)局域網(wǎng)的地址和協(xié)議類型來隔離信息。這種隔離功能不僅可以避免廣播風(fēng)暴，提高網(wǎng)絡(luò)性能，更主要的是有利于提高網(wǎng)絡(luò)的安全和保密性。因為路由器連接的網(wǎng)絡(luò)間是彼此獨立的子網(wǎng)，便于分割一個大網(wǎng)為若干獨立部分進(jìn)行管理和維護(hù)。因此現(xiàn)代組網(wǎng)技術(shù)往往采用路由器，許多安全和管理工作也在路由器上實現(xiàn)（如在路由器上實現(xiàn)部分防火墻的功能）。3．流量的控制路由器可以有很強的流量控制能力，可以采用優(yōu)化的路由算法來均衡網(wǎng)絡(luò)負(fù)載，從而有效地控制擁塞，避免因擁塞而使網(wǎng)絡(luò)性能下降。4．身份認(rèn)證路由器中的身份認(rèn)證主要包括訪問路由器時的身份認(rèn)證、對端路由器的身份認(rèn)證和路由信息的身份認(rèn)證。5．訪問控制包括：對于路由器的訪問控制，需要進(jìn)行口令的分級保護(hù)；基于IP地址的訪問控制；基于用戶的訪問控制。6．?dāng)?shù)據(jù)加密為了避免因為數(shù)據(jù)竊聽而造成的信息泄漏，有必要對所傳輸?shù)男畔⑦M(jìn)行加密，只有與之通信的對端才能對此密文進(jìn)行解密。通過對路由器所發(fā)送的報文進(jìn)行加密，即使在Internet上進(jìn)行傳輸，也能保證數(shù)據(jù)的私有性、完整性以及報文內(nèi)容的真實性。7．安全管理內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的每一個數(shù)據(jù)報文都會通過路由器，在路由器上進(jìn)行報文的審計可以提供網(wǎng)絡(luò)運行的必要信息，有助于分析網(wǎng)絡(luò)的運行情況。因此，在建設(shè)網(wǎng)絡(luò)系統(tǒng)或進(jìn)行網(wǎng)絡(luò)改造時要選購具有安全特性的路由器。4.3.3防火墻1．防火墻技術(shù)防火墻是部署在不同網(wǎng)絡(luò)安全域之間的一系列部件的組合。它是信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制（允許、拒絕、監(jiān)測）出入網(wǎng)絡(luò)的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻實現(xiàn)網(wǎng)與網(wǎng)之間的訪問隔離，以保護(hù)整個網(wǎng)絡(luò)抵御來自其它網(wǎng)絡(luò)的入侵者。防火墻技術(shù)可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，按實現(xiàn)的技術(shù)手段總的來說可以分為以下幾種類型：包過濾防火墻：數(shù)據(jù)包過濾（PacketFiltering）防火墻是在網(wǎng)絡(luò)層對數(shù)據(jù)包進(jìn)行分析、過濾。過濾的依據(jù)是系統(tǒng)內(nèi)設(shè)置的過濾規(guī)則，稱為訪問控制表（AccessControlTable）。通過檢查數(shù)據(jù)流中每一個數(shù)據(jù)包的源地址、目的地址、所用端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。其特點是：速度快、費用低，并且對用戶透明，但是對網(wǎng)絡(luò)的保護(hù)很有限，因為它只檢查地址和端口，對網(wǎng)絡(luò)更高協(xié)議層的信息無理解能力。應(yīng)用級防火墻：應(yīng)用級防火墻主要工作在應(yīng)用層。應(yīng)用級防火墻往往又稱為應(yīng)用級網(wǎng)關(guān)，它此時也起到一個網(wǎng)關(guān)的作用。應(yīng)用級防火墻檢查進(jìn)出的數(shù)據(jù)包，通過自身（網(wǎng)關(guān)）復(fù)制傳遞數(shù)據(jù)，防止在受信主機與非受信主機間直接建立聯(lián)系。其特點是：訪問控制能力強，但對每種應(yīng)用協(xié)議都需提供相應(yīng)的代理程序，同時網(wǎng)絡(luò)性能比較低?；旌闲头阑饓Γ杭淳哂邪^濾防火墻和應(yīng)用級防火墻的特點，同時增加了一些其它功能，如具有狀態(tài)檢測技術(shù)、應(yīng)用代理、網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）、虛擬專網(wǎng)（VPN）等功能。2．防火墻的主要功能無論何種類型防火墻，從總體上看，都應(yīng)具有以下基本功能：過濾進(jìn)、出網(wǎng)絡(luò)的數(shù)據(jù)；管理進(jìn)、出網(wǎng)絡(luò)的訪問行為；封堵某些禁止的業(yè)務(wù)；網(wǎng)絡(luò)地址轉(zhuǎn)換；記錄通過防火墻的信息內(nèi)容和活動；對網(wǎng)絡(luò)攻擊的檢測和告警。防火墻作為一種被動的、靜態(tài)的安全防護(hù)技術(shù)是安全系統(tǒng)建設(shè)的一個基礎(chǔ)設(shè)施，在煙草行業(yè)計算機網(wǎng)絡(luò)與信息安全系統(tǒng)中，防火墻保證各安全域（或安全子系統(tǒng)）之間進(jìn)行通信的基本安全機制：提供網(wǎng)絡(luò)訪問控制、應(yīng)用代理、檢測并防止部分攻擊行為、網(wǎng)絡(luò)地址轉(zhuǎn)換等功能。通過防火墻產(chǎn)品的部署，再配合其它安全產(chǎn)品和技術(shù)，如安全管理平臺、入侵檢測與安全審計、漏洞掃描、病毒防范等，形成一個主動與被動互補的、動靜結(jié)合的、多層次的、完善的安全防護(hù)體系，保證系統(tǒng)的安全。3．防火墻產(chǎn)品目前主要的防火墻產(chǎn)品有：軟件防火墻：主要為百兆防火墻；硬件防火墻：百兆防火墻、千兆防火墻。4.3.4入侵檢測系統(tǒng)1．入侵檢測技術(shù)入侵檢測系統(tǒng)（IDS）是實時網(wǎng)絡(luò)違規(guī)自動識別和響應(yīng)系統(tǒng)。它位于有敏感數(shù)據(jù)需要保護(hù)的網(wǎng)絡(luò)上或網(wǎng)絡(luò)上任何有風(fēng)險存在的地方，通過實時截獲網(wǎng)絡(luò)數(shù)據(jù)流，能夠識別、記錄入侵和破壞性代碼流，尋找網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問嘗試。當(dāng)發(fā)現(xiàn)網(wǎng)絡(luò)違規(guī)模式和未授權(quán)的網(wǎng)絡(luò)訪問時，入侵檢測系統(tǒng)能夠根據(jù)系統(tǒng)安全策略做出反應(yīng)，包括實時報警、事件登錄，自動阻斷通信連接或執(zhí)行用戶自定義的安全策略等。主要的入侵檢測技術(shù)分為如下兩類：基于模式匹配（signature-based）的入侵檢測技術(shù)：需要預(yù)先定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。檢測主要判別所搜集到的數(shù)據(jù)特征是否在所收集到的入侵模式庫中出現(xiàn)。這種檢測技術(shù)的核心是分析各種入侵行為的特征，并建立入侵特征庫?；诋惓０l(fā)現(xiàn)（anomaly-based）的入侵檢測技術(shù)：先定義一組系統(tǒng)“正?！鼻闆r的閥值，如CPU利用率、內(nèi)存利用率、文件校驗和等（這類數(shù)據(jù)可以人為定義，也可以通過觀察系統(tǒng)、并用統(tǒng)計的辦法得出），然后將系統(tǒng)運行時的數(shù)值與所定義的“正?！鼻闆r比較，得出是否有被攻擊的跡象。這種檢測方式的核心在于如何分析系統(tǒng)運行情況。除上述技術(shù)外，還有基于審計的入侵檢測技術(shù)、基于連接的入侵檢測技術(shù)、基于協(xié)議分析的入侵檢測技術(shù)、基于神經(jīng)網(wǎng)絡(luò)的入侵檢測技術(shù)以及基于專家系統(tǒng)的入侵檢測技術(shù)等。2．入侵檢測系統(tǒng)的主要功能按獲得原始數(shù)據(jù)的方法可以將入侵檢測系統(tǒng)分為基于網(wǎng)絡(luò)的入侵檢測和基于主機的入侵檢測系統(tǒng)。由于網(wǎng)絡(luò)入侵檢測系統(tǒng)與主機入侵檢測系統(tǒng)各有優(yōu)缺點，因此目前的入侵檢測系統(tǒng)結(jié)合了兩種入侵檢測系統(tǒng)來實現(xiàn)，形成分布式的入侵檢測系統(tǒng)，并使用了多種入侵檢測技術(shù)，包括使用了模式匹配技術(shù)、異常檢測技術(shù)、基于協(xié)議分析的檢測技術(shù)、基于連接的檢測技術(shù)等。因此在入侵檢測的功能、檢測的性能以及誤報率上有了很大的改進(jìn)。入侵檢測系統(tǒng)的主要功能要求如下：實時性要求：如果攻擊或者攻擊的企圖能夠盡快的被發(fā)現(xiàn)，這就使得有可能查找出攻擊者的位置，阻止進(jìn)一步的攻擊活動，有可能把破壞控制在最小限度，并能夠記錄下攻擊者攻擊過程的全部網(wǎng)絡(luò)活動，并可作為證據(jù)回放。實時入侵檢測可以避免常規(guī)情況下，管理員通過對系統(tǒng)日志進(jìn)行審計以查找入侵者或入侵行為線索時的種種不便與技術(shù)上的限制?？蓴U展性要求：因為存在成千上萬種不同的已知和未知的攻擊手段，它們的攻擊行為特征也各不相同。所以必須建立一種機制，把入侵檢測系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開。一個已經(jīng)建立的入侵檢測系統(tǒng)必須能夠保證在新的攻擊類型出現(xiàn)時，可以通過某種機制在無需對入侵檢測系統(tǒng)本身進(jìn)行改動的情況下，使系統(tǒng)能夠檢測到新的攻擊行為。并且在入侵檢測系統(tǒng)的整體功能設(shè)計上，也必須建立一種可以擴展的結(jié)構(gòu)，以便系統(tǒng)結(jié)構(gòu)本身能夠適應(yīng)未來可能出現(xiàn)的擴展要求。適應(yīng)性要求：入侵檢測系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量計算機網(wǎng)絡(luò)環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變，比如增加環(huán)境中的計算機系統(tǒng)數(shù)量，改變計算機系統(tǒng)類型時，入侵檢測系統(tǒng)應(yīng)當(dāng)依然能夠不作改變而正常工作。適應(yīng)性也包括入侵檢測系統(tǒng)本身對其宿主平臺的適應(yīng)性，即跨平臺工作的能力，適應(yīng)其宿主平臺軟、硬件配置的各種不同情況。安全性與可用性要求：入侵檢測系統(tǒng)必須盡可能的完善與健壯，不能向其宿主計算機系統(tǒng)以及其所屬的計算機環(huán)境中引入新的安全問題及安全隱患。并且入侵檢測系統(tǒng)應(yīng)該在設(shè)計和實現(xiàn)中，能夠有針對性的考慮幾種可以預(yù)見的、對應(yīng)于該入侵檢測系統(tǒng)的類型與工作原理的攻擊威脅，及其相應(yīng)的抵御方法，確保該入侵檢測系統(tǒng)的安全性與可用性。有效性要求：能夠證明根據(jù)某一設(shè)計所建立的入侵檢測系統(tǒng)是切實有效的。即對于攻擊事件的錯報與漏報能夠控制在一定范圍內(nèi)。3．入侵檢測產(chǎn)品目前主要的入侵檢測產(chǎn)品有：主機入侵檢測產(chǎn)品；網(wǎng)絡(luò)入侵檢測產(chǎn)品；分布式入侵檢測產(chǎn)品（包含主機入侵檢測以及網(wǎng)絡(luò)入侵檢測系統(tǒng)）。4.3.5網(wǎng)絡(luò)安全審計系統(tǒng)1．網(wǎng)絡(luò)安全審計網(wǎng)絡(luò)安全審計系統(tǒng)主要是監(jiān)控來自網(wǎng)絡(luò)內(nèi)部和外部的用戶活動，偵察系統(tǒng)中現(xiàn)存的和潛在的威脅，對與安全有關(guān)的活動的相關(guān)信息進(jìn)行識別、記錄、存儲和分析，對突發(fā)事件進(jìn)行報警和響應(yīng)。審計系統(tǒng)自身的數(shù)據(jù)具備防銷毀、防篡改的特性，能夠為網(wǎng)絡(luò)犯罪案件的偵破和取證提供精確、寶貴的輔助數(shù)據(jù)。它可以在內(nèi)部局域網(wǎng)上建立完善的安全預(yù)警和安全應(yīng)急反應(yīng)體系，為信息系統(tǒng)的安全運行提供保障。網(wǎng)絡(luò)層的安全監(jiān)控與審計又包括入侵檢測與預(yù)警、數(shù)據(jù)分析和內(nèi)容檢測、系統(tǒng)緊急反饋等幾個方面。2．網(wǎng)絡(luò)安全審計系統(tǒng)的主要功能典型應(yīng)用的審計：審計系統(tǒng)能夠?qū)τ诰W(wǎng)絡(luò)上最常見的典型應(yīng)用進(jìn)行細(xì)化的審計，提供符合條件設(shè)置的典型應(yīng)用的詳細(xì)信息，以提供更加詳盡的偵破輔助和取證功能。審計系統(tǒng)可實現(xiàn)對HTTP、Telnet、FTP、SMTP、POP等典型應(yīng)用的操作進(jìn)行審計，能夠監(jiān)視網(wǎng)絡(luò)上這些應(yīng)用的所有行為，并根據(jù)預(yù)先設(shè)定的規(guī)則產(chǎn)生報警，甚至能夠阻斷正在利用這些應(yīng)用進(jìn)行非授權(quán)訪問等的入侵和破壞行為。用戶自定義數(shù)據(jù)傳輸審計：審計系統(tǒng)能夠提供用戶對特定應(yīng)用進(jìn)行審計。例如對于某些內(nèi)部網(wǎng)絡(luò)上運行的某些基于客戶/服務(wù)器（C/S）結(jié)構(gòu)的應(yīng)用系統(tǒng)，可以在審計系統(tǒng)中配置這些應(yīng)用中所采用的端口號或者IP地址，以實現(xiàn)對此應(yīng)用的審計。具體可實現(xiàn)IP-端口組合規(guī)則設(shè)定、反向規(guī)則設(shè)定、面向連接的數(shù)據(jù)截獲、面向連接的瀏覽等功能。流量監(jiān)測：審計系統(tǒng)的流量監(jiān)測功能，包括實時流量監(jiān)測和歷史流量記錄。具體可監(jiān)測服務(wù)器的流量、客戶機的流量、近期應(yīng)用的流量、其它服務(wù)監(jiān)測、各種流量的記錄查詢，同時產(chǎn)生各種流量曲線圖以及統(tǒng)計報表等。文件共享審計：審計系統(tǒng)提供的文件共享審計是指對在Windows（9x/NT）中使用的基于NetBiosOverTCP/IP的文件共享應(yīng)用進(jìn)行審計。用戶可以指定受到審計的機器（通常是重要任務(wù)使用的客戶機）以及文件名或目錄名列表（通常是重要文件）。凡是對指定的機器或文件采用“網(wǎng)上鄰居”方式進(jìn)行文件共享的活動將會被記錄和報警。文件共享記錄的內(nèi)容包括：源、目的主機的IP地址和主機名、采用的用戶名、對文件進(jìn)行的操作（如讀、寫、刪除等）、相關(guān)的文件名。主機服務(wù)審計：審計系統(tǒng)提供的主機服務(wù)審計主要是通過對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)分析來確定網(wǎng)絡(luò)上的各個計算機所開放的服務(wù)端口，并根據(jù)確定的規(guī)則對某些主機突然開放陌生的服務(wù)端口的情況進(jìn)行報警。例如：可對活躍主機服務(wù)端口、特定主機的固定服務(wù)端口進(jìn)行審計監(jiān)控，及時發(fā)現(xiàn)非法端口的使用，發(fā)現(xiàn)木馬、蠕蟲等的活動。實時阻斷和報警響應(yīng)：審計系統(tǒng)允許用戶在設(shè)定規(guī)則的時候指定所采用的響應(yīng)措施，報警和阻斷是最基本的響應(yīng)措施。阻斷，審計系統(tǒng)可采用旁路阻斷的方式對基于TCP連接上的應(yīng)用出現(xiàn)違規(guī)操作和入侵的情況進(jìn)行連接阻斷，使違規(guī)操作不能繼續(xù)下去。旁路式的阻斷不同于傳統(tǒng)防火墻的過濾措施，對現(xiàn)有網(wǎng)絡(luò)數(shù)據(jù)傳輸不產(chǎn)生影響，不影響正常的應(yīng)用。報警，審計系統(tǒng)提供的報警包括在控制臺界面上顯示報警信息和聲音報警、向網(wǎng)管軟件的報警、向防火墻報警等。用戶可以對不同的報警級別指定使用不同的報警聲音。審計數(shù)據(jù)和系統(tǒng)管理：審計系統(tǒng)采用數(shù)據(jù)庫對審計數(shù)據(jù)進(jìn)行管理，提供用戶對歷史審計數(shù)據(jù)進(jìn)行查詢、瀏覽、刪除、轉(zhuǎn)存、報表制作等操作，并可以通過界面完成各種代理（Agent）的參數(shù)設(shè)定。由于數(shù)據(jù)采用數(shù)據(jù)庫方式存儲，所以也支持用戶在數(shù)據(jù)庫存儲的數(shù)據(jù)的基礎(chǔ)上進(jìn)行二次開發(fā)，實現(xiàn)特殊的統(tǒng)計功能。4.3.6VPN系統(tǒng)1．VPN定義虛擬專用網(wǎng)絡(luò)（VirtualPrivateNetwork，VPN）技術(shù)是利用“不可靠”的公用互聯(lián)網(wǎng)絡(luò)作為信息傳輸媒介（在傳輸過程中信息容易被竊?。?，通過附加的安全隧道、用戶認(rèn)證和訪問控制等技術(shù)實現(xiàn)與專用網(wǎng)絡(luò)相類似的安全性能，從而實現(xiàn)對重要信息的安全傳輸。2．VPN技術(shù)以及種類（1）實現(xiàn)VPN的主要技術(shù)安全隧道技術(shù)（SecureTunnelingTechnology）：通過將待傳輸?shù)脑夹畔⒔?jīng)過加密和協(xié)議封裝處理后再嵌套裝入另一種協(xié)議的數(shù)據(jù)包送入網(wǎng)絡(luò)中，像普通數(shù)據(jù)包一樣進(jìn)行傳輸。經(jīng)過這樣的處理，只有源端和目標(biāo)端的用戶對隧道中的嵌套信息能進(jìn)行解釋和處理，而對于其它用戶而言只是無意義的信息。VPN的隧道協(xié)議包括：第二層隧道協(xié)議，它在數(shù)據(jù)鏈路層實現(xiàn)數(shù)據(jù)封裝，常用的有PPTP、L2TP等；第三層隧道協(xié)議，它在網(wǎng)絡(luò)層實現(xiàn)數(shù)據(jù)封裝，如IPSec。用戶認(rèn)證技術(shù)（UserAuthenticationTechnology）：在正式的隧道連接開始之前需要確認(rèn)用戶的身份，以便系統(tǒng)進(jìn)一步實施資源訪問控制或用戶授權(quán)。訪問控制技術(shù)（AccessControlTechnology）：由VPN服務(wù)的提供者與最終網(wǎng)絡(luò)信息資源的提供者共同協(xié)商確定特定用戶對特定資源的訪問權(quán)限，以此實現(xiàn)基于用戶的訪問控制，以實現(xiàn)對信息資源的最大限度的保護(hù)。（2）VPN的種類VPDN（VirtualPrivateDialNetwork）：在移動用戶和企業(yè)局域網(wǎng)之間的VPN，稱為VPDN。其過程如下：用戶撥號網(wǎng)絡(luò)服務(wù)提供商（NSP）的網(wǎng)絡(luò)訪問服務(wù)器NAS（NetworkAccessServer），發(fā)出PPP連接請求，NAS收到呼叫后，在用戶和NAS之間建立PPP鏈路，然后，NAS對用戶的身份進(jìn)行驗證，確定是否為合法用戶，確認(rèn)后就啟動VPDN功能，與企業(yè)總部內(nèi)部連接，訪問各種資源。內(nèi)聯(lián)網(wǎng)VPN（IntranetVPN）：在企業(yè)遠(yuǎn)程分支機構(gòu)的局域網(wǎng)和企業(yè)總部局域網(wǎng)之間的VPN。通過Internet這一公共網(wǎng)絡(luò)將企業(yè)在各地分支機構(gòu)的局域網(wǎng)連到企業(yè)總部的局域網(wǎng)，以便企業(yè)內(nèi)部的資源共享。外聯(lián)網(wǎng)VPN（ExtranetVPN）：在供應(yīng)商、商業(yè)合作伙伴的局域網(wǎng)和企業(yè)局域網(wǎng)之間的VPN。由于不同企業(yè)網(wǎng)絡(luò)環(huán)境的差異性，該產(chǎn)品必須能兼容不同的操作平臺和協(xié)議。由于用戶的多樣性，企業(yè)的網(wǎng)絡(luò)管理員還應(yīng)該設(shè)置特定的訪問控制表ACL（AccessControlList），根據(jù)訪問者的身份、網(wǎng)絡(luò)地址等參數(shù)來確定相應(yīng)的訪問權(quán)限，開放部分資源而非全部資源給遠(yuǎn)程的用戶。3．VPN設(shè)備目前主要的VPN設(shè)備有：防火墻VPN網(wǎng)關(guān)；專用VPN網(wǎng)關(guān)；VPN軟件客戶端等。4.4主機與系統(tǒng)安全結(jié)構(gòu)4.4.1訪問控制系統(tǒng)傳統(tǒng)操作系統(tǒng)本身簡單的訪問控制機制不能滿足實際的安全需求，存在很多的安全隱患。因此，需要在計算機網(wǎng)絡(luò)與信息系統(tǒng)中采用先進(jìn)的訪問控制系統(tǒng)完善計算機系統(tǒng)的訪問控制，嚴(yán)格劃分、管理、控制用戶的權(quán)限和行為，達(dá)到更高層次的安全級別。在信息系統(tǒng)中，對于核心業(yè)務(wù)服務(wù)器以及關(guān)鍵數(shù)據(jù)庫服務(wù)器采用主機訪問控制措施，增強系統(tǒng)的安全等級。主機訪問控制系統(tǒng)應(yīng)該具有以下功能：1．用戶認(rèn)證訪問控制系統(tǒng)可以限制用戶登錄的終端、用戶登錄的時間段、用戶的登錄次數(shù)和控制用戶登錄時輸入錯誤口令的次數(shù)。2．口令質(zhì)量控制對系統(tǒng)的安全威脅有許多種，但是威脅最大的是普遍存在的口令選擇不當(dāng)所構(gòu)成的威脅。訪問控制系統(tǒng)應(yīng)可以幫助安全管理人員實施這些口令質(zhì)量控制的規(guī)范，強制用戶按照規(guī)章制度的規(guī)定選擇口令，從而消除最大的安全隱患。3．訪問控制商用操作系統(tǒng)的安全級別一般最高達(dá)到C2級。它采取自主存取控制（DAC）按用戶意愿進(jìn)行存取控制。訪問控制系統(tǒng)對資源的保護(hù)采用訪問控制列表（ACL）的方式，使操作系統(tǒng)的安全級別達(dá)到B1級，大大提高了操作系統(tǒng)的安全性。4．取消“超級用戶”訪問控制系統(tǒng)把管理的權(quán)限付給三個角色：安全管理員、審計員和口令管理員。安全管理員制定、實施安全策略、建立、修改和維護(hù)用戶屬性；但是不能修改用戶的口令，也不能改變策略的審計屬性；這兩部分工作分別由口令管理員和審計員負(fù)責(zé)。這三個角色互相制約，任何一個人的操作都可以得到其它人的監(jiān)督，共同完成安全管理功能。這樣，即便是操作系統(tǒng)的超級用戶，也無法超越授權(quán)訪問資源，從而解決了上述商用需求和技術(shù)實現(xiàn)之間的矛盾。5．審計日志功能訪問控制系統(tǒng)提供了強大的實施跟蹤和安全審計的功能，提供了詳盡而完善的審計日志，審計員可以隨時察看各種被訪問控制系統(tǒng)記錄和禁止的訪問控制信息，分析其中問題，與安全管理員一起細(xì)化訪問控制策略，以更好地保護(hù)系統(tǒng)。除了以上這些功能外，訪問控制系統(tǒng)對UNIX操作系統(tǒng)提供的特殊功能有：目錄和文件保護(hù)、特權(quán)進(jìn)程保護(hù)、進(jìn)程保護(hù)、網(wǎng)絡(luò)連接保護(hù)、授予普通用戶超級權(quán)利等額外的功能。訪問控制系統(tǒng)對Windows操作系統(tǒng)提供的額外特殊的保護(hù)有：注冊表保護(hù)、文件保護(hù)、限制管理員帳號權(quán)限、任務(wù)委派、增強文件保護(hù)、增強口令保護(hù)、程序路徑保護(hù)等手段。4.4.2漏洞掃描系統(tǒng)1．網(wǎng)絡(luò)安全檢測技術(shù)網(wǎng)絡(luò)安全檢測技術(shù)是對網(wǎng)絡(luò)進(jìn)行風(fēng)險評估的重要措施，通過使用網(wǎng)絡(luò)安全性分析系統(tǒng)，可以及時發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)中最薄弱的環(huán)節(jié)，檢查報告系統(tǒng)存在的弱點、漏洞與不安全配置，建議補救措施和安全策略，達(dá)到增強網(wǎng)絡(luò)安全性的目的。實現(xiàn)網(wǎng)絡(luò)安全檢測的主要技術(shù)是漏洞掃描，包括網(wǎng)絡(luò)漏洞掃描、主機系統(tǒng)漏洞掃描以及數(shù)據(jù)庫系統(tǒng)漏洞掃描等幾個部分。漏洞掃描（也叫漏洞檢測）目前已經(jīng)越來越為網(wǎng)絡(luò)安全管理員所重視。因為，利用系統(tǒng)設(shè)計、配置和管理中的漏洞來攻擊系統(tǒng)是最為典型的技術(shù)型攻擊手段。專家認(rèn)為，如果系統(tǒng)在建立時就具備嚴(yán)密的安全環(huán)境，那么成功的技術(shù)入侵事件數(shù)量就會大大減少。漏洞掃描就是對重要計算機信息系統(tǒng)進(jìn)行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術(shù)通常采用兩種策略，即被動式策略和主動式策略。被動式策略是基于主機的檢測（SystemScanner），對系統(tǒng)中不合適的設(shè)置、脆弱的口令以及其它同安全規(guī)則相抵觸的對象進(jìn)行檢查；而主動式策略是基于網(wǎng)絡(luò)的檢測（NetworkScanner），通過執(zhí)行一些腳本文件對系統(tǒng)進(jìn)行攻擊，并記錄它的反應(yīng)，從而發(fā)現(xiàn)其中的漏洞。漏洞掃描的結(jié)果實際上就是系統(tǒng)安全性能的一個評估，它指出了哪些攻擊是可能的，因此成為安全方案的一個重要組成部分。2．網(wǎng)絡(luò)安全檢測的內(nèi)容網(wǎng)絡(luò)安全檢測主要包括兩個部分：安全漏洞掃描以及系統(tǒng)安全加固和裁剪。（1）安全漏洞掃描包括如下內(nèi)容：制定安全定時掃描策略；掃描分析；對系統(tǒng)中主機、服務(wù)器、路由器設(shè)備進(jìn)行安全掃描，以發(fā)現(xiàn)操作系統(tǒng)、網(wǎng)絡(luò)、系統(tǒng)應(yīng)用程序等存在的主要弱點和漏洞；出具漏洞數(shù)據(jù)分析報表；對檢測結(jié)果進(jìn)行綜合統(tǒng)計分析，提出有效的安全加固專家建議；完成系統(tǒng)漏洞的修補工作，配合制定相應(yīng)的管理措施。（2）系統(tǒng)加固專家建議的內(nèi)容包括：經(jīng)過驗證的漏洞信息，漏洞被利用的可能性，一旦被利用后對系統(tǒng)造成的危害；采用補丁軟件和系統(tǒng)安全加固策略，以及這些策略可能對系統(tǒng)帶來的影響；采用多種安全手段來控制和避免漏洞的優(yōu)選方案，以及優(yōu)選方案所涉及的相關(guān)安全產(chǎn)品（如安全審計系統(tǒng)），系統(tǒng)平臺和網(wǎng)絡(luò)設(shè)備的具體規(guī)則配置；相關(guān)的管理措施建議；設(shè)備的系統(tǒng)加固與漏洞修補建議；系統(tǒng)的綜合安全分析與安全措施建議。3．漏洞掃描產(chǎn)品目前主要的漏洞掃描產(chǎn)品有：網(wǎng)絡(luò)掃描器；主機掃描器；數(shù)據(jù)庫掃描器。4.4.3病毒防范系統(tǒng)隨著計算機技術(shù)的不斷發(fā)展，病毒也變得越來越復(fù)雜和高級。從最簡單的DOS引導(dǎo)病毒到現(xiàn)代的宏病毒和變形病毒，病毒在不斷的進(jìn)化之中。隨著近年Internet的發(fā)展，E-MAIL和一批網(wǎng)絡(luò)工具的出現(xiàn)改變了人類信息的傳播方式和生活，同時也使計算機病毒的種類迅速增加，擴散速度大大加快，出現(xiàn)了一批新的傳播方式和表現(xiàn)力的病毒。病毒的主發(fā)地點和傳播方式已經(jīng)由以往的單機之間的介質(zhì)傳染完成了向網(wǎng)絡(luò)系統(tǒng)的轉(zhuǎn)化，如CIH、Melisa、CodeRed、NIMDA等網(wǎng)絡(luò)病毒對企業(yè)及個人用戶的破壞性和傳染力是以往的病毒類型所不可比擬的。因此如何建立一套完整的主動病毒防護(hù)體系是信息化建設(shè)面臨的主要問題之一。1．病毒防范的主要內(nèi)容病毒防范主要是指在網(wǎng)絡(luò)環(huán)境下，能夠及時地檢測、清除、報告各種已知和未知的計算機病毒，在病毒造成破壞前能夠及時地采取措施，控制病毒的傳播和破壞。其主要技術(shù)有：預(yù)防病毒技術(shù)：它通過自身常駐系統(tǒng)內(nèi)存，優(yōu)先獲得系統(tǒng)的控制權(quán)，監(jiān)視和判斷系統(tǒng)中是否有病毒存在，進(jìn)而阻止計算機病毒進(jìn)入計算機系統(tǒng)和對系統(tǒng)進(jìn)行破壞。這類技術(shù)有：加密可執(zhí)行程序、引導(dǎo)區(qū)保護(hù)、系統(tǒng)監(jiān)控與讀寫控制（如防病毒卡等）。病毒診斷技術(shù)：它是通過對計算機病毒的特征來進(jìn)行判斷的技術(shù)，如自身校驗、關(guān)鍵字、文件長度的變化等。常見的病毒檢測方法有：特征代碼法、校驗和法、行為監(jiān)測法、軟件模擬法、VICE先知掃描法等。解毒技術(shù)：它通過對計算機病毒的分析，開發(fā)出具有刪除病毒程序并恢復(fù)原文件的軟件。網(wǎng)絡(luò)病毒檢測技術(shù)：通過檢測網(wǎng)絡(luò)上常規(guī)應(yīng)用（如FTP、Email）的信息流，及時地檢測各種網(wǎng)絡(luò)病毒。2．病毒防殺系統(tǒng)的主要功能（1）病毒的診殺功能能夠查殺包括宏病毒、E-mail病毒、特洛伊木馬程序以及黑客程序在內(nèi)的大多數(shù)流行病毒；掃描壓縮文件內(nèi)各文件是否染毒，支持多種壓縮文件格式；靈活的設(shè)置功能，用戶能夠根據(jù)自己的需要進(jìn)行設(shè)置掃描和殺除病毒的參數(shù)。（2）智能監(jiān)控功能實時監(jiān)控對文件的各類操作，必要的時候可以及時關(guān)閉對文件的訪問權(quán)限，達(dá)到阻止病毒傳播的作用。（3）全方位的網(wǎng)絡(luò)病毒檢測能對服務(wù)器以及客戶端的全方位病毒防護(hù)；快速反饋和預(yù)警功能，配合病毒防殺軟件可以有效地防止用戶的計算機不受病毒入侵。（4）突發(fā)事件的迅速反饋通過整個系統(tǒng)的協(xié)同工作，管理員只需在控制臺就可以了解到整個網(wǎng)絡(luò)中各客戶端的工作狀態(tài)，對于突發(fā)的計算機病毒爆發(fā)時間可以及時掌握，并做出最快速的反應(yīng)。（5）強大的管理功能基于防殺病毒政策的集中式管理；定期自動進(jìn)行客戶端病毒診殺；軟件的自動升級和安裝管理；防殺病毒數(shù)據(jù)庫的自動更新；報警、統(tǒng)計等其它管理功能；日志記錄。3．病毒防殺產(chǎn)品目前主要的病毒防殺產(chǎn)品有：病毒防殺網(wǎng)關(guān)；服務(wù)器病毒防殺產(chǎn)品；桌面病毒防殺產(chǎn)品；群件病毒防殺產(chǎn)品（包括Exchange以及LotusNotes群件系統(tǒng)）；硬件防毒墻（網(wǎng)關(guān)）等。4.5數(shù)據(jù)與應(yīng)用系統(tǒng)安全結(jié)構(gòu)4.5.1信息加密和完整性1．主要內(nèi)容信息加密和完整性主要包括：加密算法、加密軟件、密鑰系統(tǒng)和密鑰管理系統(tǒng)、信息摘錄、數(shù)字簽名等。2．加密算法加密系統(tǒng)劃分為對稱密鑰系統(tǒng)、公開密鑰系統(tǒng)和混合密鑰系統(tǒng)。（1）對稱密鑰系統(tǒng)DES算法：數(shù)據(jù)加密標(biāo)準(zhǔn)，用來保護(hù)敏感而不機密的信息。DES被大量用于金融和通信領(lǐng)域，例如加密PIN。除非發(fā)現(xiàn)DES算法有新的致命缺陷和弱點，或是在解密方法上有新的突破，DES算法是當(dāng)前最安全的私有密鑰加密算法?？梢詫嵤┤蜠ES（即3DES算法）；RC2：私有可變密鑰長度的數(shù)據(jù)分組密碼，用于商業(yè)加密；RC4：私有可變密鑰長度的數(shù)據(jù)流密碼，用于商業(yè)加密；RC5：私有可變密鑰長度的數(shù)據(jù)塊密碼，用于商業(yè)加密，允許用戶自己定義密鑰長度，數(shù)據(jù)分組長度以及加密的迭代次數(shù)；IDEA：國際數(shù)據(jù)加密算法，密鑰128位，被用于PGP程序加密文件和電子郵件。（2）公開密鑰系統(tǒng)RSA：是當(dāng)前最著名、應(yīng)用最廣泛的公開密鑰加密算法，它的安全性是基于大整數(shù)素因子分解的困難性，而大整數(shù)因子分解問題是數(shù)學(xué)上的著名難題，至今沒有有效的方法予以解決，因此可以確保RSA算法的安全性。RSA方法的優(yōu)點主要在于原理簡單，易于使用。DSA（DataSignatureAlgorithm）：是基于離散對數(shù)的公鑰密碼技術(shù)。DSA是基于有限域離散對數(shù)問題的數(shù)字簽名標(biāo)準(zhǔn)，它僅提供數(shù)字簽名，不提供數(shù)據(jù)加密功能。ECC（EllipticCurveCryptography）：是基于有限域上橢圓曲線的離散對數(shù)計算困難性。橢圓曲線密碼系統(tǒng)安全強度不但依賴于在橢圓曲線上離散對數(shù)的分解難度，也依賴于曲線的選擇和體制，目前200比特長的橢圓曲線密碼體制已經(jīng)有相當(dāng)高的安全強度。ECC算法的優(yōu)點是安全性能更高、計算量小和處理速度快、存儲空間占用小等。3．信息完整性和抗抵賴技術(shù)信息完整性和抗抵賴主要是通過數(shù)字簽名技術(shù)實現(xiàn)的。數(shù)字簽名是某人利用專用的密鑰加密的消息摘要，用于信息的完整性確認(rèn)，也是抗抵賴的重要方法。消息摘要是密碼的檢查值、Hash值或消息確認(rèn)碼（MAC）。消息摘要函數(shù)有：MD2、MD4、MD5、SHA、HAVAL、checksum以及MAC等。4．加密軟件DES加密程序：通用的數(shù)字加密標(biāo)準(zhǔn)。PGP加密程序（PrettyGoodPrivacy）：PGP程序既可以使用公開密鑰加密，也可以用私有密鑰加密。該加密軟件是由PhilZimmermann編寫的程序，后被MIT在Internet上發(fā)布。PGP加密軟件允許使用RSA公開密鑰、IDEA密鑰和DES密鑰加密算法，還可以實現(xiàn)數(shù)字簽名。4.5.2身份認(rèn)證與授權(quán)體系1．主要內(nèi)容身份認(rèn)證與授權(quán)系統(tǒng)的主要內(nèi)容包括PKI體系、身份認(rèn)證體系以及授權(quán)管理與訪問控制體系。2．PKI體系（1）PKI的基本原理PKI（PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施），從字面上理解，PKI就是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。由于通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)、電子政務(wù)、電子事務(wù)等活動缺少物理的接觸，因而使得用電子方式驗證信任關(guān)系變得至關(guān)重要。而PKI技術(shù)恰好是一種適合電子商務(wù)、電子政務(wù)、電子事務(wù)的密碼技術(shù)，它能夠有效地解決電子商務(wù)應(yīng)用中的機密性、真實性、完整性、不可否認(rèn)性和存取控制等安全問題。通常，一個實用的PKI體系應(yīng)該是安全的、易用的、靈活的和經(jīng)濟的。它必須充分考慮互操作性和可擴展性。它所包含的認(rèn)證機構(gòu)（CA）、注冊機構(gòu)（RA）、策略管理、密鑰（Key）與證書（Certificate）管理、密鑰備份與恢復(fù)、撤銷系統(tǒng)等功能模塊應(yīng)該有機地結(jié)合在一起。在加密應(yīng)用中，發(fā)送者利用接收者的公開密鑰對要發(fā)送的敏感信息進(jìn)行加密，然后把加密后的密文發(fā)送給接收者；接收者收到密文后，再用自己的私鑰進(jìn)行解密，這樣就安全保密地得到了原始的敏感信息。在這里，接收者的公鑰是完全公開的，任何想給接收者發(fā)送保密信息的人都可以公開、自由地得到接收者的公鑰；而接收者的私鑰則是需要嚴(yán)格保護(hù)的，絕對不能泄漏給其它人，這樣，就算在密文的發(fā)送過程中，密文被別有用心的人截獲、拷貝，但由于沒有私鑰，也是不能解密的。數(shù)字簽名是防止網(wǎng)上交易時進(jìn)行偽造和欺騙的一種有效手段。發(fā)送者在自己要公布或發(fā)送的電子文檔上“簽名”，接收者通過驗證簽名的真實性確認(rèn)文檔是否被篡改過。在公布一份電子文檔時，發(fā)送者首先對要公布的文檔進(jìn)行哈希（Hash）運算，然后發(fā)送者就可以用自己的簽名私鑰對Hash運算得出的簡潔數(shù)據(jù)進(jìn)行加密簽名；接收者收到簽名文檔后，用發(fā)送者的公鑰進(jìn)行解密，得到解密后的Hash運算結(jié)果和文檔。此時，接收者只需要計算出該文檔的Hash運算結(jié)果并與解密得到的Hash運算結(jié)果進(jìn)行比較，即可知道該文檔的真?zhèn)巍Ｔ跀?shù)字簽名應(yīng)用中，發(fā)送者的公鑰可以很方便地得到，而他的私鑰則需要嚴(yán)格的保密。（2）PKI的功能模塊PKI的核心是信任關(guān)系的管理。第三方信任和直接信任是所有網(wǎng)絡(luò)安全產(chǎn)品實現(xiàn)的基礎(chǔ)。所謂第三方信任是指兩個人可以通過第三方間接地達(dá)到彼此信任。當(dāng)兩個陌生人都和同一個第三方彼此信任并且第三方也擔(dān)保他們的可信度時，這兩個陌生人就可以做到彼此信任。在任何大規(guī)模的網(wǎng)絡(luò)里，基于第三方的信任是必要并且有效的。當(dāng)在很多人中建立第三方信任時，就需要有一個權(quán)威中心來確保信任度。CA（CertificationAuthority）就是這樣一個確保信任度的權(quán)威實體，它的主要職責(zé)是頒發(fā)證書、驗證用戶身份的真實性。我們可以把CA看成是一個國家的護(hù)照簽發(fā)中心。護(hù)照是由權(quán)威中心（護(hù)照簽發(fā)中心）頒發(fā)的一種安全文件。它是護(hù)照持有者的一種紙質(zhì)身份證明，任何信任該國護(hù)照簽發(fā)中心的其它國家也會信任該國護(hù)照簽發(fā)中心所簽發(fā)的護(hù)照。由CA簽發(fā)的網(wǎng)絡(luò)用戶電子身份證明——證書就像護(hù)照一樣，任何相信該CA的人，按照第三方信任原則，也都應(yīng)當(dāng)相信持有證明的該用戶。當(dāng)然，就像護(hù)照需要防偽一樣，CA也要采取一系列相應(yīng)的措施來防止電子證書被偽造或篡改。構(gòu)建一個具有較強安全性的CA是至關(guān)重要的，這不僅與密碼學(xué)有關(guān)系，而且與整個PKI系統(tǒng)的構(gòu)架和模型有關(guān)。此外，靈活性也是CA能否得到市場認(rèn)同的一個關(guān)鍵，它必須支持各種通用的國際標(biāo)準(zhǔn)，能夠很好地和其它廠家的CA產(chǎn)品兼容。RA（RegistrationAuthority）是用戶和CA的接口。它所獲得的用戶標(biāo)識的準(zhǔn)確性是CA頒發(fā)證書的基礎(chǔ)。RA不僅要支持面對面的登記，也必須支持遠(yuǎn)程登記，如通過電子郵件、瀏覽器等方式登記。要確保整個PKI系統(tǒng)的安全、靈活，就必須設(shè)計和實現(xiàn)網(wǎng)絡(luò)化、安全的且易于操作的RA系統(tǒng)。在PKI系統(tǒng)中，制定并實現(xiàn)科學(xué)的安全策略是非常重要的。這些安全策略必須適應(yīng)不同的需求并且能夠通過CA和RA技術(shù)融入到CA和RA的系統(tǒng)實現(xiàn)中。同時，這些策略應(yīng)該符合密碼學(xué)和系統(tǒng)安全的要求，科學(xué)地應(yīng)用密碼學(xué)與網(wǎng)絡(luò)安全的理論，并且具有良好的可擴展性和互用性。為了確保數(shù)據(jù)的安全性，定期更新密鑰、恢復(fù)意外損壞的密鑰（比如硬盤等物理介質(zhì)突然損壞）是非常重要的。設(shè)計和實現(xiàn)健全的密鑰管理方案，保證安全的密鑰備份、更新、恢復(fù)，也是關(guān)系到整個PKI系統(tǒng)強健性、安全性、可用性的重要因素。此外，PKI系統(tǒng)還需要構(gòu)建一個安全有效的撤銷系統(tǒng)。證書是用來證明證書持有者身份的電子介質(zhì)，它是用來綁定證書持有者身份和其相應(yīng)公鑰的。通常，這種綁定在已頒發(fā)證書的整個生命周期里都是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況，如果這個證書還沒有到期，就需要進(jìn)行證書撤銷。證書撤銷的理由是各種各樣的，可能包括從工作變動到對密鑰的懷疑等一系列原因。因此，需要采取一種有效和可信的方法，能在證書自然過期之前撤銷它。證書撤銷的實現(xiàn)方法有多種：一種方法是利用周期性的發(fā)布機制撤銷證書；另一種方法采用在線查詢機制，隨時查詢被撤銷的證書。3．身份認(rèn)證由于網(wǎng)絡(luò)空間中的虛擬和匿名特性，在信息系統(tǒng)進(jìn)行基于用戶身份的訪問控制時必須首先對用戶的真實身份進(jìn)行驗證。身份認(rèn)證技術(shù)的核心是利用被認(rèn)證方的某些第三方無法偽造的特征信息來確認(rèn)被認(rèn)證方身份的真實性。根據(jù)認(rèn)證過程中所使用的認(rèn)證信息來分，用戶身份認(rèn)證技術(shù)大致包括以下幾類：（1）口令方式采用口令方式進(jìn)行身份認(rèn)證，口令長度必須大于10位，更換周期小于一個月，并且口令由系統(tǒng)自動生成，記錄更改情況，口令在數(shù)據(jù)庫中加密保存，加密傳輸。（2）基于秘密信息的認(rèn)證手段基于秘密信息的認(rèn)證手段主要依賴于數(shù)字簽名技術(shù)通過簽名信息的唯一性驗證來間接地進(jìn)行身份認(rèn)證。目前最成熟的技術(shù)是數(shù)字證書認(rèn)證技術(shù)，利用可信第三方機構(gòu)發(fā)放的數(shù)字證書來確認(rèn)網(wǎng)絡(luò)用戶的身份，其作用相當(dāng)于網(wǎng)絡(luò)空間的電子身份證。（3）動態(tài)口令身份認(rèn)證動態(tài)口令身份認(rèn)證系統(tǒng)一般由動態(tài)口令卡與身份認(rèn)證服務(wù)器組成，為面向外界提供服務(wù)的計算機系統(tǒng)和企業(yè)的內(nèi)部網(wǎng)絡(luò)資源提供強大的身份認(rèn)證服務(wù)功能。動態(tài)口令卡使用“密鑰——時間（事件）”雙因素，自動產(chǎn)生動態(tài)口令，彌補了傳統(tǒng)靜態(tài)口令安全漏洞，抵御未經(jīng)授權(quán)的訪問和針對口令的攻擊。動態(tài)口令卡每次使用時變換一次口令，攻擊者沒有辦法推測出用戶的下一次登錄口令。身份認(rèn)證服務(wù)器和動態(tài)口令卡之間使用時間同步技術(shù)，保證授權(quán)用戶的可靠使用。（4）基于物理安全性的認(rèn)證手段基于物理安全性的認(rèn)證手段主要依賴于用戶自身特有的某些生物學(xué)信息（一般是具有唯一區(qū)別特性的生物學(xué)信息，包括指紋、聲紋、虹膜等）或用戶所持有的特定硬件（包括IC卡、USBKey等方法）。4．授權(quán)管理體系通過用戶身份認(rèn)證系統(tǒng)對用戶的身份進(jìn)行確認(rèn)之后，即可對用戶的訪問請求根據(jù)系統(tǒng)運行環(huán)境和訪問控制策略進(jìn)行授權(quán)，以確定用戶對他人資源、網(wǎng)絡(luò)資源和信息資源的訪問權(quán)限。實施有效的訪問授權(quán)的基礎(chǔ)是系統(tǒng)訪問授權(quán)規(guī)則的制定，這需要結(jié)合安全管理體系對企業(yè)內(nèi)部工作流程和安全職責(zé)劃分進(jìn)行調(diào)研。授權(quán)管理實現(xiàn)的主要功能是在確認(rèn)用戶身份的情況下，對于該用戶訪問系統(tǒng)資源進(jìn)行控制。目前的比較通用的授權(quán)管理技術(shù)是：采用規(guī)范ACL描述用戶的授權(quán)信息；采用授權(quán)管理中心進(jìn)行集中授權(quán)；提供各種實施授權(quán)查詢和控制的API和接口；在操作系統(tǒng)或應(yīng)用平臺上增加嵌入型的授權(quán)管理模塊。4.5.3數(shù)據(jù)備份與恢復(fù)系統(tǒng)1．備份的主要技術(shù)（1）直接附加存儲DAS（DirectAttachedStorage）DAS備份是以服務(wù)器