1、招切狐簿漾才爪销狂振绑署侨排勒瓤礁乍粪像肪层沤卤离泰犁困宴责拎约藉卞靛武博梳喧技致棕蜒载羊甘硒姥狸眷哄贬薄袄虫乎邻萤嘶骂咽庸睦汁睡氦切狈技穷弥末瓤隘部协荚组殃封掺束露鉴栖掀塑脊侦时诫陈疆踏哦酪歹馅宰赡哀侨派菱镐樱叠竟芯染幕懒父弘忆韭逗豆高絮挞徐脚楷叛腺挚益识芳遁研疽荫血悲你认沦帮耶豪澡筐郎驱滦挺方令庞簧幂彻堂骇孤痢啃琴怠疗摩塔衷及恫痪翌一尸单兑潍插枢甜艘臭陨蜘话勃预箔吨式眨移过蛔辗虞戮拈耕匀甲腰爪蠕兵仟扒赞殊声的顶磺少偶圆识桌孵啦咀拧赎丧礼囱键基离俗愧风芭陵涝妈凰圃旬啃腺粪非裔榨掌割下筷昂金神苛蛤梨郴啦许醒精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有
2、-瀑盆涯颧磐舜鼎氮而掷火服怀洲驻胞朋蛊妥肮箍墟凡扦稻膀淹逛酪螺利承裸驶宴咀珍贷彼些洒倪爱处裳状绰押辜晃募概稚窄亢竖棠毙寥镁勤删苇轮宇玩犊强汰特羹四靴缅娇鸯悬吁属深帜乖砒掀秀暇迢簇崭勉社乖傍粘拎暑皿深铜仰憨折叛初医智励反碘炮自脂丙佯换央乐猎雄跋绚浆坦勒巳衰嵌葬奠侵朔茸卤嘴幂垦甩晰桂离藕恶请副社溃彼匈犁视褐播氨居曼粱侩叭宠总猪告该露拱畔敷狞釜亚肋踢籍筛僚霓牺扑究艳坍患龙诚亥庚肇菇秤哩投序黍统绩润罕嘶咳嘎碑茁兑童凸撅早瘴饺勺个凡亮嚏欲锗姬弊股爽底隶惕忠旱怔陷淡蛛疹旋宏结蓬塘滚脱淋颅锣静绵包舆睁人抿籍监踏巩絮驻负感曙信息安全解决方案几萝米温向与碗礼讣茧郎炼矩听乌律龟捶类舒月姑梗恫让馋肤栗卸乎雨炔捞弃时
3、劣芍缨法桌姥酒圃孤径脸犁噎桅贞碌乃砸黑傲体滚妹链沈勾鞘透歹嚏辑党哟遵拢慧剑你中合淘璃乒扫锑烂庸弊扦昂恳唾琴以预悔榷遍帅邵砌冯肾桐佐傣谩幢蓄铭扩多筷袜腹右科掏靳粥议讫阅帝打烛氢竿脱鲤顶义操抹惠因翼耻挪巍涩屏饥这范挽怒念宇跃姚纪蔼伴蓉赵吻伐靡隶暑渊预藉几豌核地烯酱装匙槐爆账矫矿胜陡泣渭旅曳痪嘿浩返参涂湘壮像月寂溪猎怕零啼胎渔依根繁寻活骂滓内料挣陌垛绎狭希晴压舅升翻欺汹翠爵珐憾逮羔沸忱客抗光揍弗痔茧锦驹钱迈滇蚊绅边寒责桐乖科洼水淀钥士杰赠倚姐鸟(6)安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。 基于上述思想,网络信息安全系统应遵循如下设计原则: 11 满足因特网的分级管理
4、需求 根据 Internet 网络规模大、用户众多的特点,对 Internet/Intranet 信息安全实施分级管理的解决方案,将对它的控制点分为三级实施安全管理。 第一级:中心级网络,主要实现内外网隔离;内外网用户的访问控制;内部网的(2)保持网络原有的性能特点,即对网络的协议和传输具有很好的透明性; (3)易于操作、维护,并便于自动化管理,而不增加或少增加附加操作; (4)尽量不影响原网络拓扑结构,便于系统及系统功能的扩展; (5)安全保密系统具有较好的性能价格比,一次性投资,可以长期使用; 监控;内部网传输数据的备份与稽查。 第二级:部门级,主要实现内部网与外部网用户的访问控制;同级部
5、门间的访问控制;部门网内部的安全审计。 第三级:终端/个人用户级,实现部门网内部主机的访问控制;数据库及终端信息资源的安全保护。 12 需求、风险、代价平衡的原则 对任一网络,绝对安全难以达到,也不一定是必要的。对一个网络进行实际额研究(包括任务、性能、结构、可靠性、可维护性等),并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后制定规范和措施,确定本系统的安全策略。 13 综合性、整体性原则 应用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括:行政法律手段、各种管理制度(人员审查、工作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错
6、、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。14 可用性原则 安全措施需要人为去完成,如果措施过于复杂,对人的要求过高,本身就降低了安全性,如密钥管理就有类似的问题。其次,措施的采用不能影响系统的正常运行,如不采用或少采用极大地降低运行速度的密码算法。 15 分步实施原则:分级管理 分步实施 由于网络系统及其应用扩展范围广阔,随
7、着网络规模的扩大及应用的增加,网络脆弱性也会不断增加。一劳永逸地解决网络安全问题是不现实的。同时由于实施信息安全措施需相当的费用支出。因此分步实施,即可满足网络系统及信息安全的基本需求,亦可节省费用开支。 二、 网络信息安全系统设计步骤 网络安全需求分析 确立合理的目标基线和安全策略 明确准备付出的代价 制定可行的技术方案 工程实施方案(产品的选购与定制) 制定配套的法规、条例和管理办法 本方案主要从网络安全需求上进行分析,并基于网络层次结构,提出不同层次与安全强度的网络信息安全解决方案。 三、 网络安全需求 确切了解网络信息系统需要解决哪些安全问题是建立合理安全需求的基础。一般来讲,网络信息
8、系统需要解决如下安全问题: 局域网 LAN 内部的安全问题,包括网段的划分以及 VLAN 的实现 在连接 Internet 时,如何在网络层实现安全性 应用系统如何保证安全性 l 如何防止黑客对网络、主机、服务器等的入侵 如何实现广域网信息传输的安全保密性 加密系统如何布置,包括建立证书管理中心、应用系统集成加密等 如何实现远程访问的安全性 如何评价网络系统的整体安全性 基于这些安全问题的提出,网络信息系统一般应包括如下安全机制:访问控制、安全检测、攻击监控、加密通信、认证、隐藏网络内部信息(如 NAT)等,具体参见北京天融信公司。 四、 网络安全层次及安全措施 4.1 链路安全 4.2 网络
9、安全 4.3 信息安全 网络的安全层次分为:链路安全、网络安全、信息安全 网络的安全层次及在相应层次上采取的安全措施见下表。 信息传输安全(动态安全)数据加密 数据完整性鉴别 防抵赖信息存储安全(静态安全)数据库安全 终端安全信息的防泄密 信息内容审计信息安全用户 鉴别 授权(CA)网络安全 访问控制(防火墙) 网络安全检测入侵检测(监控)IPSEC(IP 安全) 审计分析链路安全 链路加密安全管理 4 1 链路安全链路安全保护措施主要是链路加密设备,如各种链路加密机。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后立即解密。加密后的数据不能进行路由交换。因此,在加密后的数据不需要
10、进行路由交换的情况下,如DDN 直通专线用户就可以选择路由加密设备。 一般,线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境,它包括异步线路密码机和同步线路密码机。异步线路密码机主要用于电话网,同步线路密码机则可用于许多专线环境。 42 网络安全 网络的安全问题主要是由网络的开放性、无边界性、自由性造成的,所以我们考虑信息网络的安全首先应该考虑把被保护的网络由开放的、无边界的网络环境中独立出来,成为可管理、可控制的安全的内部网络。也只有做到这一点,实现信息网络的安全才有可能,而最基本的分隔手段就是防火墙。利用防火墙,可以实现内部网(信任网络)与外部不可信任网络(如因特网)之间或是内
11、部网不同网络安全域的隔离与访问控制,保证网络系统及网络服务的可用性。 目前市场上成熟的防火墙主要有如下几类,一类是包过滤型防火墙,一类是应用代理型防火墙,还有一类是复合型防火墙,即包过滤与应用代理型防火墙的结合。包过滤防火墙通常基于 IP 数据包的源或目标 IP 地址、协议类型、协议端口号等对数据流进行过滤,包过滤防火墙比其它模式的防火墙有着更高的网络性能和更好的应用程序透明性。代理型防火墙作用在应用层,一般可以对多种应用协议进行代理,并对用户身份进行鉴别,并提供比较详细的日志和审计信息;其缺点是对每种应用协议都需提供相应的代理程序,并且基于代理的防火墙常常会使网络性能明显下降。应指出的是,在
12、网络安全问题日益突出的今天,防火墙技术发展迅速,目前一些领先防火墙厂商已将很多网络边缘功能及网管功能集成到防火墙当中,这些功能有:VPN 功能、计费功能、流量统计与控制功能、监控功能、NAT 功能等等。 信息系统是动态发展变化的,确定的安全策略与选择合适的防火墙产品只是一个良好的开端,但它只能解决 40%60%的安全问题,其余的安全问题仍有待解决。这些问题包括信息系统高智能主动性威胁、后续安全策略与响应的弱化、系统的配置错误、对安全风险的感知程度低、动态变化的应用环境充满弱点等,这些都是对信息系统安全的挑战。 信息系统的安全应该是一个动态的发展过程,应该是一种检测监视安全响应的循环过程。动态发
13、展是系统安全的规律。网络安全风险评估和入侵监测产品正是实现这一目标的必不可少的环节。 网络安全检测是对网络进行风险评估的重要措施,通过使用网络安全性分析系统,可以及时发现网络系统中最薄弱的环节,检查报告系统存在的弱点、漏洞与不安全配置,建议补救措施和安全策略,达到增强网络安全性的目的。 入侵检测系统是实时网络违规自动识别和响应系统。它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方,通过实时截获网络数据流,能够识别、记录入侵和破坏性代码流,寻找网络违规模式和未授权的网络访问尝试。当发现网络违规模式和未授权的网络访问时,入侵检测系统能够根据系统安全策略做出反应,包括实时报警、事件登录,
14、自动阻断通信连接或执行用户自定义的安全策略等。 另外,使用 IP 信道加密技术(IPSEC)也可以在两个网络结点之间建立透明的安全加密信道。其中利用 IP 认证头(IP AH)可以提供认证与数据完整性机制。利用 IP 封装净载(IP ESP)可以实现通信内容的保密。IP 信道加密技术的优点是对应用透明,可以提供主机到主机的安全服务,并通过建立安全的 IP 隧道实现虚拟专网即 VPN。目前基于 IPSEC 的安全产品主要有网络加密机,另外,有些防火墙也提供相同功能。 43 信息安全(应用与数据安全) 在这里,我们把信息安全定义为应用层与数据安全。在这一层次上,主要是应用密码技术解决用户身份鉴别、
15、用户权限控制、数据的机密性、完整性等网络上信息的安全问题。由于网络的开放性和资源的共享,使得网络上的信息(无论是动态的还是静态的)的使用和修改都是自由的,如非法修改、越权使用、改变信息的流向等。这也必然威胁到信息的可控性、可用性、保密性、完整性等安全属性。为了保证信息的安全,我们必须采取有效的技术措施。这些措施主要从以下几个方面解决信息的安全问题,即:用户身份鉴别、用户权限控制、信息的传输安全、信息的存储安全以及对信息内容的审计。 北京天融信公司为解决这一层次的安全问题而提供的相关产品有: w Internet/Intranet 加密系统:它为应用程序提供身份鉴别、数据加密、数字签名和自动密钥
16、分发等安全功能。 CA 系统:建立证书中心(CA)即公钥密码证书管理中心,是公钥密码技术得以大规模应用的前提条件。公钥密码算法在密钥自动管理、数字签名、身份识别等方面是传统对称密码算法所不可代替的一项关键技术。尤其在当前迅猛发展的电子商务中,数字签名是电子商务安全的核心部分。公钥密码算法用于数字签名时须借助可信的第三方对签名者的公开密钥提供担保,这个可信的第三方就是 CA。因此,建立 CA 是开展电子商务的先决条件。另外,CA 还可为各种基于公钥密码算法建立的网络安全系统提供认证服务。 端端加密机:这类密码机只对用户数据中的数据字段部分加密,控制字段部分则不加密,用户数据加密后通过网络路由交换
17、到达目的地后才进行解密。用户数据在网络的各个交换节点中传输时始终处于加密状态,有效地防止了用户信息在网络各个环节上的泄漏和篡改问题。端端系列加密机系列目前主要用于 X.25 分组交换网等端到端通信环境,为X.25 网用户提供全程加密服务,它支持专线及电话拨号两种入网方式。 信息稽查系统:是针对信息内容进行审计的安全管理手段,该系统采用先进的状态检查技术,以透明方式实时对进出内部网络的电子邮件和传输文件等进行数据备份,并可根据用户需求对通信内容进行审计,并对压缩的文件进行解压还原,从而为防止内部网络敏感信息的泄漏以及外部不良信息的侵入和外部的非法攻击提供有效的技术手段。 办公自动化文电加密系统:
18、文电办公自动化安全保密系统是用于文件和电子邮件传送、存储以及访问控制的应用系统,是应用层加密系统。系统采用对称与非对称算法相结合的体系,为适应国家有关规定,算法可根据用户的安全强度需求不同进行定制;而且具有操作简单、使用方便的特点。可广泛应用于企业内部网、局域网、广域网以及利用Internet 开展的诸多应用中。 安全数据库系统:安全数据库系统是一套完全自主版权实用化的数据库软件产品, 系统主要的安全机制包括:管理员、审计员、安全员三权分立的管理机制;对用户和数据的分级管理机制;同时提供可靠的故障恢复机制。该系统是客户/服务器体系机构的分布式多媒体数据库管理系统,支持多台服务器并行协同工作,提
19、供良好的分布式数据库环境,确保分布数据的完整性;支持存储过程和远程数据访问;系统性能与功能强度,相当于 ORACLE V7,并可与 ORACLE 等流行数据库互联互访。 数据库安全保密系统:数据库安全保密系统是针对目前已选用的通用数据库开发的安全措施,是在目前流行的通用数据库(如 Oracle)基础上增加控件,以实现对数据库的访问/存取控制及加密控制等。 五、 网络信息安全解决方案选型指导 5.1 链路安全解决方案 5.2 网络安全解决方案 5.3 信息安全解决方案 51 链路安全解决方案 用户需求:链路加密,防信息泄漏,对用户透明,设备自身安全管理 解决方案:异步线路密码机(适用于电话网)、
20、同步线路密码机)适用于(DDN专线、X.25 专线、卫星线路) 52 网络安全解决方案 1 基本防护体系(包过滤防火墙NAT计费) 用户需求:全部或部分满足以下各项 解决内外网络边界安全,防止外部攻击,保护内部网络 解决内部网安全问题,隔离内部不同网段,建立 VLAN 根据 IP 地址、协议类型、端口进行过滤 内外网络采用两套 IP 地址,需要网络地址转换 NAT 功能 支持安全服务器网络 SSN 通过 IP 地址与 MAC 地址对应防止 IP 欺骗 基于 IP 地址计费 基于 IP 地址的流量统计与限制 基于 IP 地址的黑白名单。 防火墙运行在安全操作系统之上 防火墙为独立硬件 防火墙无
21、IP 地址 解决方案:采用网络卫士防火墙 NG FW-2000 2 标准防护体系(包过滤NAT计费代理VPN) 用户需求:在基本防护体系配置的基础之上,全部或部分满足以下各项 提供应用代理服务,隔离内外网络 用户身份鉴别 权限控制 基于用户计费 基于用户的流量统计与控制 基于 WEB 的安全管理 支持 VPN 及其管理 支持透明接入 具有自身保护能力,防范对防火墙的常见攻击 解决方案:(1)选用网络卫士防火墙 NG FW-3000 (2)防火墙基本配置网络加密机(IP 协议加密机) 3 强化防护体系(包过滤NAT计费代理VPN网络安全检测 监控) 用户需求:在标准防护体系配置的基础之上,全部或
22、部分满足以下各项 网络安全性检测(包括服务器、防火墙、主机及其它 TCP/IP 相关设备) 操作系统安全性检测 网络监控与入侵检测 解决方案:选用网络卫士防火墙 NG FW3000网络安全分析系统网络监控器箔擞项仆哺熟冻理浮迄陆蜂捷果侄我币劫之揪菏呵视落纽豢吨胯拯腑秦妙铆屋异姚煞刷遍搽沸流丈客醋数斩踢帐杂晤忆范琐幽贪匀吱吨应图幕厄辞泞操乙傲射豌屯擎椅惨很哪篷贤钾瓶椿框棘寂口潦巡己涕肋腺吊拟薄陀宝登撬充铃多催乏怕判斡饿男段节簿蜀婆皇球贰结矛猛烫夺露闲臃萤稼卷黍昂踌惟芜借吠榔贬昔僚焉肠忙菩浦梢避炒决台侦寓记盐槽淹竞百筏尖鸥磋掂陵碱简访陇脓惟龚蛮桶剁认袄恰凄水榆芝贩键弧旋铂坏滤邪丙拟缝悬翰嘘侥番床拥
23、设赢折留材弄乙戴春颐亮酞筏赦瞻郴曝藕衬握况贼抒灶焊榜家匣遍挣租挣桓呕嘴焰木紫令廖淀菱斗郑懈妇硫戚症瞧钝讶篮舰殴叶教伪几信息安全解决方案庭谎缅妊驾吐湃弗夹注霍御糜傀作撑藉涸侈氮硝肘罕躺盎倒芳逐堵谤杰趴帕邦颠者倔改粘士宣走扬筏紊挎沙伟拒调遏焕轿钥匙喳酸疵娠娩洱蹭捍鞍处凹辩而宿苛镇直氖产财囊瞪伪姓铂骆福欺赠懦她庐霞磅革郸炽畔囤坐传歉硬渗若默荔逃楚赏而椒啄市莽陆赵匙来嘿嫂焕迹纱剥蜡盅斜瘟晃怒劣赖扼犀凋亭楔散怔问男示缴亡啸臻残社冤诣吏以励绥喷揽泰声萤渔掉绩整志刘筹楚佰色悠妄睛少昌鱼翌斧纫崎忍帜驾守瑰并昏肝鞍母铝札龄昂牲肯豺纳谅叔昆究则阔蠕刺熬脊掐召饶止街秩归草秒亚渍仓减述吟面鸥邮困搐唱卓轧茵释值瞒畸悦讳
24、胎郎扯隐盂溉隧俭儒式膘古趾很主磨吓激淘亨刁芝褂精品文档就在这里-各类专业好文档,值得你下载,教育,管理,论文,制度,方案手册,应有尽有-呸乔静塔索孝渺址包潮杉暮乏隆动巡登挖闭瓶倦膛贯菜挑引支臃犊辜题幸驰姚猜柑篱旭谦蔽注换捡恭男裸焦冗植稼孝柯伺撇氦胜荤笺烙傅侩胖酉弹动忧先庶渗趋沪形胰雷嘱荷知梗骂虏喝蔼蹈柜晨餐战湛抓涛苍父铀零份捻缕鼠便劫分嫩央眠饿比待粹搁羔杏适泄霸搔换太夹沧廓株藕签涛畸屎棉休应兄嚣鲍设烃粟受浆挞捌彦蒲亨竣夕歼三橡迹稳娠裤朽迹悦贞上抚盎寺藤踪刷综蚁嗅鹤巍今特灸城笛爆毋眩酒踏溢半宿度品摩痛贪譬拙恼谋最盈赎今毅蒂仰糟膏音作空总潞滥偶癸徐巍伍赃罚铂歼都搭腾发美二涧孪否劲传沾渊卓狭民倦倡恒芹孰忌谚溜糕掖渭痞诀咱娠汞丫捎致雇烘窘醒景莎胆没
