1、企業(yè)內(nèi)部網(wǎng)網(wǎng)信息安全全建設(shè)的技術(shù)要求求、配置方方案及建議議美國(guó)安泰成成發(fā)國(guó)際集集團(tuán)公司企業(yè)網(wǎng)網(wǎng)絡(luò)絡(luò)安全解決決方案引言 19999年已經(jīng)經(jīng)到來(lái), 人類(lèi)處在在21世紀(jì)前前夜。19998年是是全球信息息革命和IInterrnet新新騰飛的一一年。“帶寬爆炸炸”, 用戶(hù)超超億, 網(wǎng)上協(xié)協(xié)同攻破密密碼等等創(chuàng)創(chuàng)造性的應(yīng)應(yīng)用層出不不窮。Innternnet已成成為全新的的傳播媒體體, 克林頓頓丑聞材料料在48小時(shí)內(nèi)內(nèi)就有20000萬(wàn)人人上網(wǎng)觀看看。電子商商務(wù)發(fā)展更更出人意料料, 網(wǎng)上購(gòu)購(gòu)物僅圣誕誕節(jié)就突破破3億美元的的銷(xiāo)售額, 比預(yù)計(jì)計(jì)的全年220億還多多。美國(guó)對(duì)對(duì)“Inteernett經(jīng)濟(jì)”投資達(dá)到到12

2、400億, 第二代代Inteernett正式啟動(dòng)動(dòng),第三代智智能網(wǎng)絡(luò)已已在醞釀, 以Inteernett為代表和和主體的信信息網(wǎng)絡(luò)必必將在211世紀(jì)成為為人類(lèi)生產(chǎn)產(chǎn)、生活、自下而上上的一個(gè)基基本方式。世界各國(guó)國(guó)都以戰(zhàn)略略眼光注視視著它的發(fā)發(fā)展, 并在積積極謀取網(wǎng)網(wǎng)上的優(yōu)勢(shì)勢(shì)和主動(dòng)權(quán)權(quán)。但是IInterrnet網(wǎng)網(wǎng)的信息安安全問(wèn)題在在19988年也較突突出, 除兩千千年蟲(chóng)問(wèn)題題已進(jìn)入倒倒計(jì)時(shí)外,下面摘錄錄上電報(bào)導(dǎo)導(dǎo): 病毒感染染事件19998年增增加了二倍倍, 宏病毒毒入侵案件件占60%, 已超超過(guò)13000種, 而19966只有40種。 網(wǎng)上攻擊擊事件大幅幅上升, 對(duì)50個(gè)國(guó)家的的抽樣調(diào)查查顯

3、示: 去年有733%的單位位受到各種種形式的入入侵, 而19966年是42%。據(jù)估計(jì)計(jì), 世界上上已有兩千千萬(wàn)人具有有進(jìn)行攻擊擊的潛力。 網(wǎng)上經(jīng)濟(jì)濟(jì)詐騙增長(zhǎng)長(zhǎng)了五倍, 估計(jì)金金額達(dá)到66億美元, 而同年暴暴力搶劫銀銀行的損失失才59000萬(wàn)。一一份調(diào)查報(bào)報(bào)告中說(shuō): 有48%的企企業(yè)受過(guò)網(wǎng)網(wǎng)上侵害, 其中損損失最多的的達(dá)一百萬(wàn)萬(wàn)美元。 對(duì)美軍的的非絕密計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)的攻擊試試驗(yàn)表明, 成功率率達(dá)到888%。而被被主動(dòng)查出出的只占55%。19988年5月美CIAA局長(zhǎng)在信信息安全的的報(bào)告中正正式宣布:“信息戰(zhàn)戰(zhàn)威脅確實(shí)實(shí)存在。” 網(wǎng)上賭博博盛行, 去年在2000個(gè)網(wǎng)點(diǎn)點(diǎn)上的賭博博金額達(dá)到到60億美

4、元元, 預(yù)計(jì)今今年還會(huì)增增加一倍。 網(wǎng)上色情情泛濫, 通過(guò)瀏覽覽器、電子子郵件等方方式大量擴(kuò)擴(kuò)散。由于于問(wèn)題嚴(yán)重重,西方12個(gè)國(guó)家家的警方在在去年九月月進(jìn)行了一一次聯(lián)合行行動(dòng), 共抓96人, 其中一一個(gè)網(wǎng)址竟竟有25萬(wàn)張黃黃色圖像。聯(lián)合國(guó)科科教文組織織決定今年年一月召開(kāi)開(kāi)會(huì)議, 研究遏制制網(wǎng)上色情情。 歐盟正式式發(fā)表了對(duì)對(duì)網(wǎng)上有害害和非法信信息內(nèi)容的的處理法規(guī)規(guī)。 電子郵件件垃圾已被被新聞界選選為19998年Inteernett壞消息之之一, 美國(guó)一一家網(wǎng)絡(luò)公公司一年傳傳送的電子子郵件中有有三分之一一是電子垃垃圾。 網(wǎng)上違反反保密和密密碼管制的的問(wèn)題已成成為各國(guó)政政府關(guān)注的的一個(gè)焦點(diǎn)點(diǎn)。 暴露

5、個(gè)人人隱私問(wèn)題題突出, 例如通過(guò)過(guò)美國(guó)一個(gè)個(gè)網(wǎng)站很容容易量到別別人的經(jīng)濟(jì)濟(jì)收入信息息, 另一網(wǎng)網(wǎng)址只要輸輸入車(chē)牌號(hào)號(hào)碼就可查查到車(chē)主地地址, 為此這這些網(wǎng)址已已被封閉。在電子郵郵件內(nèi)傳播播個(gè)人隱私私的情況更更為嚴(yán)重。 帶有政治治性的網(wǎng)上上攻擊在11998年年有較大增增加, 包括篡篡改政府機(jī)機(jī)構(gòu)的網(wǎng)頁(yè)頁(yè),侵入競(jìng)選選對(duì)手的網(wǎng)網(wǎng)站竊取信信息, 在東南南亞經(jīng)濟(jì)危危機(jī)中散布布謠言, 偽造世界界熱點(diǎn)地區(qū)區(qū)的現(xiàn)場(chǎng)照照片, 煽動(dòng)民民族糾紛等等等, 已引起起各國(guó)政府府的高度重重視。 我國(guó)的情情況也大致致相仿。一一方面Innternnet上網(wǎng)網(wǎng)人數(shù)增加加, 僅下半半年年就由由117萬(wàn)劇劇增到2110萬(wàn), 另一方方

6、面, 同一時(shí)時(shí)期內(nèi)外電電對(duì)在我國(guó)國(guó)發(fā)生的IInterrnet安安全事件的的報(bào)道數(shù)量量也大增, 比19977年全年還還多6倍, 其中包包括經(jīng)濟(jì)犯犯罪、竊密密、黑客入入侵, 造謠惑惑眾等等。以上報(bào)導(dǎo)導(dǎo)只是全部部景觀的一一角,卻預(yù)示著著下一個(gè)世世紀(jì)全球信信息安全形形勢(shì)不容樂(lè)樂(lè)觀。我國(guó)國(guó)正處于網(wǎng)網(wǎng)絡(luò)發(fā)展的的初級(jí)階段段, 又面臨臨著發(fā)達(dá)國(guó)國(guó)家信息優(yōu)優(yōu)勢(shì)的壓力力, 要在信信息化進(jìn)程程中趨利避避害,從一開(kāi)始始就做好信信息安全工工作十分重重要。這是是這項(xiàng)工作作難度也非非常大, 經(jīng)常遇到到十分困難難的選擇, 甚至非非難。人們們對(duì)于“該不該”和“能不能”抓好信息息安全也尚有有不同的看看法。我們們應(yīng)當(dāng)充分分相信我國(guó)

7、國(guó)的制度優(yōu)優(yōu)越性和人人民的智慧慧與覺(jué)悟, 積極尋尋求解決中中國(guó)特色的的Inteernett安全問(wèn)題題的辦法。在此, 僅就企業(yè)業(yè)內(nèi)部網(wǎng)的的信息安全全的建設(shè)作作一個(gè)詳細(xì)細(xì)的討論。1企業(yè)網(wǎng)網(wǎng)絡(luò)的現(xiàn)狀狀世紀(jì)之交，信信息化已成成為國(guó)際性性發(fā)展趨勢(shì)勢(shì)，作為國(guó)國(guó)民經(jīng)濟(jì)信信息化的基基礎(chǔ)，企業(yè)業(yè)信息化建建設(shè)受到國(guó)國(guó)家和企業(yè)業(yè)的廣泛重重視。企業(yè)信息化化，企業(yè)網(wǎng)網(wǎng)絡(luò)的建設(shè)設(shè)是基礎(chǔ)，從從計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)技術(shù)和和應(yīng)用發(fā)展展的現(xiàn)狀來(lái)來(lái)看，Inntrannet是得得到廣泛認(rèn)認(rèn)同的企業(yè)業(yè)網(wǎng)絡(luò)模式式。Inttraneet并不完完全是原來(lái)來(lái)局域網(wǎng)的的概念，通通過(guò)與Innternnet的聯(lián)聯(lián)結(jié)，企業(yè)業(yè)網(wǎng)絡(luò)的范范圍可以是是跨地區(qū)的的，甚

8、至跨跨國(guó)界的?，F(xiàn)在，Innternnet的發(fā)發(fā)展已成燎燎原之勢(shì)，隨隨著WWWW上商業(yè)活活動(dòng)的激增增，Inttraneet也應(yīng)運(yùn)運(yùn)而生。近近幾年，許許多有遠(yuǎn)見(jiàn)見(jiàn)的企業(yè)領(lǐng)領(lǐng)導(dǎo)者都已已感到企業(yè)業(yè)信息化的的重要性,陸續(xù)建立立起了自己己的企業(yè)網(wǎng)網(wǎng)和Inttraneet并通過(guò)過(guò)各種WAAN線路與與Inteernett相連。國(guó)國(guó)際互聯(lián)網(wǎng)網(wǎng)Inteernett在帶來(lái)巨巨大的資源源和信息訪訪問(wèn)的方便便的同時(shí)，它它也帶來(lái)了了巨大的潛潛在的危險(xiǎn)險(xiǎn)，至今仍仍有很多企企業(yè)仍然沒(méi)沒(méi)有感到企企業(yè)網(wǎng)安全全的重要性性。在我國(guó)國(guó)網(wǎng)絡(luò)急劇劇發(fā)展還是是近幾年的的事，而在在國(guó)外企業(yè)業(yè)網(wǎng)領(lǐng)域出出現(xiàn)的安全全事故已經(jīng)經(jīng)是數(shù)不勝勝數(shù)。因此此，

9、我們應(yīng)應(yīng)該在積極極進(jìn)行企業(yè)業(yè)網(wǎng)建設(shè)的的同時(shí)，就就應(yīng)借鑒國(guó)國(guó)外企業(yè)網(wǎng)網(wǎng)建設(shè)和管管理的經(jīng)驗(yàn)驗(yàn)，在網(wǎng)絡(luò)絡(luò)安全上多多考慮一些些，將企業(yè)業(yè)網(wǎng)中可能能出現(xiàn)的危危險(xiǎn)和漏洞洞降到最低低。使已經(jīng)經(jīng)花了不少少財(cái)力、人人力和時(shí)間間后，建立立起來(lái)的網(wǎng)網(wǎng)絡(luò)真正達(dá)達(dá)到預(yù)想的的效果。從總體上來(lái)來(lái)說(shuō),企業(yè)業(yè)網(wǎng)絡(luò)建設(shè)設(shè)以下幾方方面的誤區(qū)區(qū)：解決方方案上的誤誤區(qū)、應(yīng)用用開(kāi)發(fā)上的的誤區(qū)和系系統(tǒng)管理上上的誤區(qū)。 解解決方案上上的誤區(qū)在解決方案案上的誤區(qū)區(qū)主要包括括：認(rèn)為只要肯肯花錢(qián)就萬(wàn)萬(wàn)事大吉了了。誠(chéng)然，投投資是企業(yè)業(yè)網(wǎng)絡(luò)建設(shè)設(shè)的基本，但但并非所有有的東西都都能直接買(mǎi)買(mǎi)來(lái)。事實(shí)實(shí)上，數(shù)據(jù)據(jù)、應(yīng)用軟軟件、網(wǎng)絡(luò)絡(luò)系統(tǒng)管理理及網(wǎng)絡(luò)的的應(yīng)用

10、水平平等都不是是簡(jiǎn)單買(mǎi)來(lái)來(lái)了事的。不根據(jù)實(shí)際際需求，盲盲目認(rèn)為購(gòu)購(gòu)買(mǎi)的硬件件、軟件產(chǎn)產(chǎn)品越先進(jìn)進(jìn)越好，甚甚至要求達(dá)達(dá)到10年年不落后等等要求。這這種提法本本身就不科科學(xué)，信息息技術(shù)的發(fā)發(fā)展是日新新月異的，110年前誰(shuí)誰(shuí)也不知道道現(xiàn)在的計(jì)計(jì)算機(jī)會(huì)發(fā)發(fā)展到如此此水平，同同樣，100年后如何何也無(wú)法預(yù)預(yù)料。這樣樣一來(lái)，后后果是可以以想到的：平臺(tái)越先先進(jìn)，設(shè)備備越昂貴，技技術(shù)越復(fù)雜雜，建設(shè)的的投入與產(chǎn)產(chǎn)出相比一一定很高，這這當(dāng)然不是是企業(yè)需要要得到的結(jié)結(jié)果。認(rèn)為有了網(wǎng)網(wǎng)絡(luò)、服務(wù)務(wù)器、數(shù)據(jù)據(jù)庫(kù)、聯(lián)通通了Intterneet就能要要什么就有有什么了，忽忽視總體數(shù)數(shù)據(jù)體系規(guī)規(guī)劃和組織織、應(yīng)用系系統(tǒng)開(kāi)發(fā)，數(shù)數(shù)

11、據(jù)的采集集、傳輸、加工、存存儲(chǔ)和查詢(xún)?cè)兊染唧w應(yīng)應(yīng)用工作。而缺少這這些，網(wǎng)絡(luò)絡(luò)的作用就就不能充分分發(fā)揮出來(lái)來(lái)，這恰恰恰與企業(yè)網(wǎng)網(wǎng)絡(luò)建設(shè)的的初衷相違違。認(rèn)為可以“畢其功于于一役”地搞企業(yè)業(yè)網(wǎng)絡(luò)建設(shè)設(shè)，實(shí)際上上，這是一一項(xiàng)長(zhǎng)期的的工作。認(rèn)為只要找找到好的供供應(yīng)商、系系統(tǒng)集成商商就肯定可可以把網(wǎng)絡(luò)絡(luò)建好，沒(méi)沒(méi)有想到只只有良好的的合作才能能獲得成功功，只有建建立自己的的技術(shù)隊(duì)伍伍才能保持持成功之果果。 應(yīng)應(yīng)用開(kāi)發(fā)上上的誤區(qū)應(yīng)用開(kāi)發(fā)是是企業(yè)網(wǎng)絡(luò)絡(luò)系統(tǒng)建設(shè)設(shè)中的重要要內(nèi)容，也也是網(wǎng)絡(luò)建建設(shè)成功與與否的關(guān)鍵鍵。不少企企業(yè)網(wǎng)絡(luò)建建設(shè)項(xiàng)目中中，在應(yīng)用用開(kāi)發(fā)方面面也存在一一些誤區(qū)：認(rèn)為只要有有好的計(jì)算算機(jī)專(zhuān)業(yè)人人員

12、去干就就可以了，業(yè)業(yè)務(wù)人員不不參與應(yīng)用用開(kāi)發(fā)工作作，甚至不不很好地配配合。事實(shí)實(shí)上，由于于專(zhuān)業(yè)計(jì)算算機(jī)人員缺缺少具體業(yè)業(yè)務(wù)知識(shí)和和經(jīng)驗(yàn)，無(wú)無(wú)法獨(dú)立開(kāi)開(kāi)發(fā)出很適適合業(yè)務(wù)部部門(mén)的應(yīng)用用軟件。認(rèn)為凡是業(yè)業(yè)務(wù)部門(mén)、業(yè)務(wù)人員員提出的需需求都要進(jìn)進(jìn)行開(kāi)發(fā)。在應(yīng)用開(kāi)開(kāi)發(fā)的范圍圍上，不進(jìn)進(jìn)行認(rèn)真地地分析，不不分主次。實(shí)際上，許許多現(xiàn)成的的工具軟件件已包含了了許多功能能，例如EEXECLL，但由于于不重視業(yè)業(yè)務(wù)人員計(jì)計(jì)算機(jī)技能能的提高，一一切功能都都寄希望于于開(kāi)發(fā)。這這就造成開(kāi)開(kāi)發(fā)成本的的提高和工工作重點(diǎn)的的分散。認(rèn)為只有采采用最新潮潮的開(kāi)發(fā)工工具和最時(shí)時(shí)髦的開(kāi)發(fā)發(fā)語(yǔ)言才能能開(kāi)發(fā)好的的軟件，而而不顧自己己的實(shí)際

13、需需求，也不不問(wèn)那些工工具和語(yǔ)言言到底有什什么用。認(rèn)為開(kāi)發(fā)軟軟件與操作作軟件一樣樣容易，所所以不重視視開(kāi)發(fā)人員員的工作，隨隨意提出需需求，之后后又隨意改改動(dòng)。這樣樣的改動(dòng)，很很可能給開(kāi)開(kāi)發(fā)增加許許多工作量量，更為嚴(yán)嚴(yán)重的是，破破壞開(kāi)發(fā)的的總體規(guī)劃劃，導(dǎo)致開(kāi)開(kāi)發(fā)進(jìn)度的的延遲。企業(yè)高級(jí)領(lǐng)領(lǐng)導(dǎo)認(rèn)為開(kāi)開(kāi)發(fā)工作是是下面的事事情，不參參與總體規(guī)規(guī)劃，卻對(duì)對(duì)開(kāi)發(fā)抱著著過(guò)高的期期望，以為為開(kāi)發(fā)結(jié)果果一定應(yīng)符符合自己的的想象。1.3 系統(tǒng)統(tǒng)管理上的的誤區(qū)企業(yè)網(wǎng)絡(luò)效效果的發(fā)揮揮離不開(kāi)系系統(tǒng)管理，決決不僅僅是是安裝好企企業(yè)網(wǎng)絡(luò)的的設(shè)備，配配置好軟件件那么簡(jiǎn)單單，同樣一一個(gè)運(yùn)行良良好的企業(yè)業(yè)網(wǎng)離不開(kāi)開(kāi)人的管理理，系統(tǒng)

14、管管理在網(wǎng)絡(luò)絡(luò)建設(shè)和維維護(hù)中是至至關(guān)重要的的，目前在在系統(tǒng)管理理方面存在在的誤區(qū)主主要包括：認(rèn)為系統(tǒng)管管理只要有有計(jì)算機(jī)人人員就可以以了，不建建立規(guī)范、有效的管管理制度，沒(méi)沒(méi)有想到系系統(tǒng)管理實(shí)實(shí)際上是企企業(yè)管理中中必不可少少的一部分分。認(rèn)為系統(tǒng)管管理就是對(duì)對(duì)計(jì)算機(jī)、網(wǎng)絡(luò)設(shè)備備、系統(tǒng)軟軟件的管理理，沒(méi)考慮慮到對(duì)企業(yè)業(yè)整體信息息資源的管管理，不注注重對(duì)數(shù)據(jù)據(jù)信息的規(guī)規(guī)范化、標(biāo)標(biāo)準(zhǔn)化管理理。認(rèn)為系統(tǒng)管管理簡(jiǎn)單，費(fèi)費(fèi)用不高，投投入的財(cái)力力、人力、物力不足足。有許多多企業(yè)的系系統(tǒng)管理員員只會(huì)“玩”P(pán)C而已已，網(wǎng)管軟軟件也被當(dāng)當(dāng)作是可有有可無(wú)的東東西。殊不不知，隨著著網(wǎng)絡(luò)技術(shù)術(shù)的發(fā)展和和信息的增增多，系統(tǒng)

15、統(tǒng)管理工作作是相當(dāng)復(fù)復(fù)雜和繁重重的。認(rèn)為系統(tǒng)管管理工作只只是輔助性性工作，不不能為企業(yè)業(yè)創(chuàng)造直接接效益，可可以不予重重視。結(jié)果果導(dǎo)致專(zhuān)業(yè)業(yè)計(jì)算機(jī)人人才流失，只只好使用非非專(zhuān)業(yè)人員員，使管理理效果大打打折扣。認(rèn)為只有看看的見(jiàn)的東東西才值錢(qián)錢(qián)，因而不不愿意在服服務(wù)上花錢(qián)錢(qián)。在系統(tǒng)統(tǒng)管理上無(wú)無(wú)法得到專(zhuān)專(zhuān)業(yè)廠商的的支持，導(dǎo)導(dǎo)致管理水水平業(yè)余而而落后。 Inttraneet與網(wǎng)絡(luò)絡(luò)安全技術(shù)術(shù) 2.1 信息息安全的重重要性和內(nèi)內(nèi)涵長(zhǎng)期以來(lái), 人們把把信息安全全理解為對(duì)對(duì)信息的機(jī)機(jī)密性、完完整性和可可獲性的保保護(hù), 這固然然是對(duì)的, 但這個(gè)個(gè)觀念是在在二十多年年前主機(jī)時(shí)時(shí)代形成的的。當(dāng)時(shí)人人們需要保保護(hù)的是

16、設(shè)設(shè)在專(zhuān)用機(jī)機(jī)房?jī)?nèi)的主主機(jī)以及數(shù)數(shù)據(jù)的安全全性, 因此它它是面向單單機(jī)、面向向數(shù)據(jù)的。八十年代代進(jìn)入了微微機(jī)和局域域網(wǎng)時(shí)代, 計(jì)算機(jī)機(jī)已從專(zhuān)用用機(jī)房?jī)?nèi)解解放到分散散的辦公桌桌面乃至家家庭, 由于它它的用戶(hù)/網(wǎng)絡(luò)結(jié)構(gòu)構(gòu)比較簡(jiǎn)單單、對(duì)稱(chēng),所以既要要依靠技術(shù)術(shù)措施保護(hù)護(hù),還要制定定人人必須須遵守的規(guī)規(guī)定。因此此, 這個(gè)時(shí)時(shí)代的信息息安全是面面向網(wǎng)管、面向規(guī)約約的。九十十年代進(jìn)入入了互聯(lián)網(wǎng)網(wǎng)時(shí)代, 每個(gè)用戶(hù)戶(hù)有都可以以聯(lián)接、使使用乃至控控制散布在在世界上各各個(gè)角落的的上網(wǎng)計(jì)算算機(jī), 因此Intterneet的信息息安全內(nèi)容容更多, 更為強(qiáng)調(diào)調(diào)面向連接接、面向用用戶(hù)(“人”)。因?yàn)樵谠谶@個(gè)嶄新新的世界里

17、里, 人與計(jì)計(jì)算機(jī)的關(guān)關(guān)系發(fā)生了了質(zhì)的變化化。人、網(wǎng)網(wǎng)、環(huán)境相相結(jié)合, 形成了一一個(gè)復(fù)雜的的巨系統(tǒng)。通過(guò)網(wǎng)上上的協(xié)同和和交流, 人的智能能和計(jì)算機(jī)機(jī)快速運(yùn)行行的能力匯匯集并融合合起來(lái), 創(chuàng)造了新新的社會(huì)生生產(chǎn)力, 豐富著大大量應(yīng)用(電子商務(wù)務(wù), 網(wǎng)上購(gòu)購(gòu)物等等)和滿(mǎn)足著著人們的各各種社會(huì)需需要(交流、學(xué)學(xué)習(xí)、醫(yī)療療、消費(fèi)、娛樂(lè)、安安全感、安安全環(huán)境等等等)。在這個(gè)個(gè)復(fù)雜巨系系統(tǒng)中, “人”以資源使使用者的身身份出現(xiàn), 是系統(tǒng)統(tǒng)的主體, 處于主主導(dǎo)地位, 而系統(tǒng)統(tǒng)的資源(包括硬軟軟件、通訊訊網(wǎng)、數(shù)據(jù)據(jù)、信息內(nèi)內(nèi)容等)則是客體體, 它是為為主體即“人”服務(wù)的, 與此相適適應(yīng), 信息安安全的主體體也

18、是“人”(包括用戶(hù)戶(hù)、團(tuán)體、社會(huì)和國(guó)國(guó)家), 其目的主主要是保證證主體對(duì)信信息資源的的控制?？煽梢赃@樣說(shuō)說(shuō): 面向數(shù)數(shù)據(jù)的安全全概念是前前述的保密密性、完整整性和可獲獲性, 而面向向使用者的的安全概念念則是鑒別別、授權(quán)、訪問(wèn)控制制、抗否認(rèn)認(rèn)性和可服服務(wù)性以及及在于內(nèi)容容的個(gè)人隱隱私、知識(shí)識(shí)產(chǎn)權(quán)等的的保護(hù)。這這兩者結(jié)合合就是信息息安全體系系結(jié)構(gòu)中的的安全服務(wù)務(wù)功能), 而這些些安全問(wèn)題題又要依靠靠密碼、數(shù)數(shù)字簽名、身份驗(yàn)證證技術(shù)、防防火墻、安安全審計(jì)、災(zāi)難恢復(fù)復(fù)、防病毒毒、防黑客客入侵等安安全機(jī)制(措施)加以解決決。其中密密碼技術(shù)和和管理是信信息安全的的核心, 安全標(biāo)準(zhǔn)準(zhǔn)和系統(tǒng)評(píng)評(píng)估是信息息安全

19、的基基礎(chǔ)?？傊畯臍v史史的、人網(wǎng)網(wǎng)大系統(tǒng)的的概念出發(fā)發(fā), 現(xiàn)代的的信息安全全涉及到個(gè)個(gè)人權(quán)益、企業(yè)生存存、金融風(fēng)風(fēng)險(xiǎn)防范、社會(huì)穩(wěn)定定和國(guó)家的的安全。它它是物理安安全、網(wǎng)絡(luò)絡(luò)安全、數(shù)數(shù)據(jù)安全、信息內(nèi)容容安全、信信息基礎(chǔ)設(shè)設(shè)施安全與與公共、國(guó)國(guó)家信息安安全的總和和。信息安安全的完整整內(nèi)涵是和和信息安全全的方法論論相匹配的的, 信息安安全系統(tǒng)是是一個(gè)多維維、多因素素、多層次次、多目標(biāo)標(biāo)的系統(tǒng)。因此, 有必要從從方法論的的角度去理理解現(xiàn)有的的信息安全全模式。 1. 分分析與綜合合的辯證思思維方法: 要在分分析過(guò)程中中從整體上上把握好分分析要素的的內(nèi)部矛盾盾, 例如:*在威脅脅分析中的的環(huán)境災(zāi)害害與人員失

20、失誤、無(wú)意意疏忽與有有意破壞、外部人員員與內(nèi)部職職員、竊密密篡改與拒拒絕服務(wù)、個(gè)人行為為與有組織織的信息戰(zhàn)戰(zhàn)威脅等關(guān)關(guān)系。 在脆弱弱性分析中中的軟件、協(xié)議缺陷陷與嵌入后后門(mén)、網(wǎng)絡(luò)絡(luò)層、系統(tǒng)統(tǒng)層、應(yīng)用用層薄弱環(huán)環(huán)節(jié)的關(guān)聯(lián)聯(lián)等。 在攻擊分分析中的利利用技術(shù)漏漏洞與社會(huì)會(huì)工程、行行為模式與與隱蔽方式式等關(guān)系。 在綜合方方法上則應(yīng)應(yīng)該面向過(guò)過(guò)程, 著眼發(fā)發(fā)展: 風(fēng)險(xiǎn)管理理的綜合方方法: 立足于于盡量減少少風(fēng)險(xiǎn), 實(shí)行資產(chǎn)產(chǎn)評(píng)估, 風(fēng)險(xiǎn)估算算, 重點(diǎn)選選擇, 綜合平平衡, 政策制制定, 系統(tǒng)實(shí)實(shí)施, 審計(jì)監(jiān)監(jiān)管等的全全過(guò)程和全全面質(zhì)量管管理。 安全評(píng)估估的綜合方方法: 面向設(shè)設(shè)計(jì)過(guò)程, 強(qiáng)調(diào)系系統(tǒng)總體評(píng)

21、評(píng)價(jià)。在評(píng)評(píng)估標(biāo)準(zhǔn)上上掌握好傳傳統(tǒng)與現(xiàn)實(shí)實(shí)、國(guó)際通通用互認(rèn)和和中國(guó)特點(diǎn)點(diǎn)的關(guān)系。在保護(hù)輪輪廓內(nèi)掌握握好安全功功能和保障障的關(guān)系。 2. 從從系統(tǒng)復(fù)雜雜性的觀點(diǎn)點(diǎn)理解和解解決安全問(wèn)問(wèn)題: 信息安安全是過(guò)程程、政策、標(biāo)準(zhǔn)、管管理、指導(dǎo)導(dǎo)、監(jiān)控、法規(guī)、培培訓(xùn)和工具具技術(shù)的有有機(jī)總和。這需要在在不同層面面上面向目目標(biāo), 用定性性與定量相相結(jié)合、技技術(shù)措施與與專(zhuān)家經(jīng)驗(yàn)驗(yàn)相結(jié)合的的綜合集成成方法加以以解決。對(duì)對(duì)信息內(nèi)容容的管理則則要從源頭頭、傳遞、網(wǎng)關(guān)、服服務(wù)網(wǎng)站和和用戶(hù)層面面進(jìn)行綜合合治理。以以創(chuàng)新精神神跟上網(wǎng)絡(luò)絡(luò)和安全技技術(shù)的新發(fā)發(fā)展我們處處在網(wǎng)絡(luò)調(diào)調(diào)整發(fā)展和和科技突飛飛猛進(jìn)的時(shí)時(shí)代, 信息安安全技術(shù)

22、是是具有對(duì)抗抗性的敏感感技術(shù), 面對(duì)日益益迫切的需需要, 唯一的的出路就是是自主創(chuàng)新。但但是自主創(chuàng)創(chuàng)新并不排排斥吸取國(guó)國(guó)外的先進(jìn)進(jìn)技術(shù)相反反, 只有密密切跟蹤國(guó)國(guó)際信息安安全技術(shù)的的新進(jìn)民才才能知已 知彼, 為我所用用, 在技術(shù)術(shù)創(chuàng)新上以以下發(fā)展值值得注意: 1. 在在信息安全全系統(tǒng)的構(gòu)構(gòu)建、模式式、評(píng)估方方面 風(fēng)險(xiǎn)管理理技術(shù)已由由傳統(tǒng)的相相對(duì)固定的的模式向靈靈活的不斷斷反饋、不不斷演進(jìn)的的彈性模式式轉(zhuǎn)化, 強(qiáng)調(diào)可測(cè)測(cè)量的方法法體系, 形成所謂謂“有適應(yīng)能能力的風(fēng)險(xiǎn)險(xiǎn)管理模式式”。 十年前, 信息安安全系統(tǒng)構(gòu)構(gòu)建理念是是“自上而下下”即頂層設(shè)設(shè)計(jì)。從IInterrnet的的歷史特點(diǎn)點(diǎn)和發(fā)展現(xiàn)現(xiàn)

23、實(shí)出發(fā), 需要先先“自下而上上”赴, 接著“上下結(jié)合合”, 然后再再在網(wǎng)絡(luò)的的確定范圍圍內(nèi)從全局局上規(guī)劃, 構(gòu)成安安全體系。系統(tǒng)安全全不能作到到一勞永逸逸, 需要?jiǎng)觿?dòng)態(tài)的構(gòu)建建模型。在安全功能能、服務(wù)的的配置上, 過(guò)去是是先從整體體定義入手手, 但是Intterneet量個(gè)多多元化的應(yīng)應(yīng)用環(huán)境, 而且日日新月異。因此現(xiàn)實(shí)實(shí)的解決辦辦法是“分而治之之”。各種應(yīng)應(yīng)用, 各個(gè)部部門(mén), 先在統(tǒng)統(tǒng)一的規(guī)范范下, “從我做起起”或者分層層分步實(shí)施施。這在相相當(dāng)一段時(shí)時(shí)間內(nèi), 是推動(dòng)網(wǎng)網(wǎng)絡(luò)發(fā)展、激勵(lì)安全全應(yīng)用的現(xiàn)現(xiàn)實(shí)途徑。 新的安全全協(xié)議不斷斷出現(xiàn), 有的已趨趨于成熟, 例如大大家熟知IIPv6已已被公認(rèn)安

24、安全性較強(qiáng)強(qiáng), 又能比比IPv44提供更好好的互連互互通功能, 很有可可能進(jìn)入主主流, 如何使使我們的安安全產(chǎn)品能能同時(shí)支持持IPv66已提到日日程上 人類(lèi)社會(huì)向向來(lái)是正義義與邪惡并并存,在科科學(xué)技術(shù)進(jìn)進(jìn)步的同時(shí)時(shí)人類(lèi)也面面臨新的威威脅,計(jì)算算機(jī)技術(shù)的的發(fā)展帶來(lái)來(lái)的計(jì)算機(jī)機(jī)犯罪就是是其中典型型的例子。下面談?wù)務(wù)剬?shí)施一個(gè)個(gè)完整的安安全體系應(yīng)應(yīng)該考慮的的問(wèn)題。 國(guó)國(guó)內(nèi)的信息息系統(tǒng)安全全嗎? 在國(guó)家范范圍的網(wǎng)絡(luò)絡(luò)建設(shè)方面面, 國(guó)家電電信事業(yè)迅迅速發(fā)展, 取得了了巨大的成成績(jī)。 但但是, 國(guó)家通通信網(wǎng)絡(luò)的的交換機(jī)及及其通信設(shè)設(shè)備有相當(dāng)當(dāng)一部分由由于沒(méi)有經(jīng)經(jīng)過(guò)安全檢檢測(cè), 安全問(wèn)問(wèn)題沒(méi)有保保證, 這是由

25、由于安全檢檢測(cè)工作的的建設(shè)滯后后造成的。交換機(jī)的嵌嵌入操作系系統(tǒng)的安全全性也存在在問(wèn)題。通通信業(yè)務(wù)的的計(jì)算機(jī)系系統(tǒng)也多采采用開(kāi)放式式的操作系系統(tǒng), 安全級(jí)級(jí)別都很低低, 也沒(méi)有有附加安全全措施。這這些系統(tǒng)不不能抵抗黑黑客的攻擊擊與信息炸炸彈的攻擊擊。在國(guó)家家政府部門(mén)門(mén), 應(yīng)當(dāng)說(shuō)說(shuō)對(duì)信息系系統(tǒng)的安全全性還是重重視的, 但苦于沒(méi)沒(méi)有好的解解決問(wèn)題的的方案和安安全建設(shè)經(jīng)經(jīng)費(fèi)不足, 行業(yè)系系統(tǒng)安全問(wèn)問(wèn)題還是相相當(dāng)嚴(yán)重的的,計(jì)算機(jī)系系統(tǒng)也多采采用開(kāi)放式式的操作系系統(tǒng), 安全級(jí)級(jí)別較低。不能抵抗抗黑客的攻攻擊與信息息炸彈的攻攻擊。有些些系統(tǒng)網(wǎng)絡(luò)絡(luò)多路出口口, 對(duì)信息息系統(tǒng)安全全沒(méi)有概念念,完全沒(méi)有有安全措

26、施施, 更談不不上安全管管理與安全全策略的制制定。有的的行業(yè)的信信息系統(tǒng)業(yè)業(yè)務(wù)是在沒(méi)沒(méi)有安全保保障的情況況下發(fā)展的的。在金融領(lǐng)域域, 有些系系統(tǒng)采用了了開(kāi)放操作作系統(tǒng)UNNIX。在在系統(tǒng)采購(gòu)購(gòu)時(shí), 有些單單位沒(méi)有采采購(gòu)安全系系統(tǒng)或安全全系統(tǒng)建設(shè)設(shè)不完善。這些系統(tǒng)統(tǒng)安全級(jí)別別較低, 安全問(wèn)題題是普遍性性的。有的的商品交易易所與證券券公司使用用的信息系系統(tǒng)采用的的是微機(jī)網(wǎng)網(wǎng)絡(luò)系統(tǒng), 已經(jīng)出出現(xiàn)內(nèi)外黑黑客的攻擊擊, 應(yīng)當(dāng)說(shuō)說(shuō)問(wèn)題已經(jīng)經(jīng)相當(dāng)嚴(yán)重重。在產(chǎn)業(yè)發(fā)展展決策方面面, 當(dāng)然改改革開(kāi)放以以來(lái)取得巨巨大成績(jī), 在行業(yè)業(yè)規(guī)劃方面面一度存在在輕系統(tǒng)重重應(yīng)用的發(fā)發(fā)展思路, 對(duì)目前前出現(xiàn)的信信息系統(tǒng)安安全問(wèn)題

27、是是有影響的的。行業(yè)部部門(mén)應(yīng)當(dāng)重重視系統(tǒng)軟軟件的建設(shè)設(shè)工作, 因?yàn)閱慰靠科髽I(yè)發(fā)展展系統(tǒng)軟件件是不可能能在較短的的時(shí)間內(nèi)取取得地位的的, 要在系系統(tǒng)軟件領(lǐng)領(lǐng)域占有一一席之地應(yīng)應(yīng)當(dāng)成為國(guó)國(guó)策, 甚至不不亞于芯片片建設(shè)的重重要性。要要加強(qiáng)信息息系統(tǒng)安全全的標(biāo)準(zhǔn)化化工作,要啟動(dòng)信信息系統(tǒng)安安全建設(shè)的的內(nèi)需, 要明確信信息系統(tǒng)安安全建設(shè)的的要求和規(guī)規(guī)范。應(yīng)當(dāng)當(dāng)引起我們們注意的是是操作系統(tǒng)統(tǒng)、網(wǎng)絡(luò)系系統(tǒng)與數(shù)據(jù)據(jù)庫(kù)管理系系統(tǒng)的安全全問(wèn)題,是信息系系統(tǒng)的核心心技術(shù), 沒(méi)有系統(tǒng)統(tǒng)的安全就就沒(méi)有信息息的安全。我們應(yīng)當(dāng)當(dāng)特別注意意, 我國(guó)在在信息系統(tǒng)統(tǒng)安全方面面與美國(guó)是是不平等的的。在信息息系統(tǒng)安全全管理部門(mén)門(mén)信息

28、系統(tǒng)統(tǒng)產(chǎn)品的認(rèn)認(rèn)證和檢測(cè)測(cè)工作剛剛剛開(kāi)始, 任重而道道遠(yuǎn)2.3 影響網(wǎng)絡(luò)絡(luò)信息安全全的因素 現(xiàn)現(xiàn)今的網(wǎng)絡(luò)絡(luò)信息安全全存在的威威脅主要表表現(xiàn)在以下下幾個(gè)方面面。 11.非授權(quán)權(quán)訪問(wèn)。指指對(duì)網(wǎng)絡(luò)設(shè)設(shè)備及信息息資源進(jìn)行行非正常使使用或越權(quán)權(quán)使用等。 22.冒充合合法用戶(hù)。主要指利利用各種假假冒或欺騙騙的手段非非法獲得合合法用戶(hù)的的使用權(quán)限限,以達(dá)到到占用合法法用戶(hù)資源源的目的。 33.破壞數(shù)數(shù)據(jù)的完整整性。指使使用非法手手段,刪除除、修改、重發(fā)某些些重要信息息,以干擾擾用戶(hù)的正正常使用。 44.干擾系系統(tǒng)正常運(yùn)運(yùn)行。指改改變系統(tǒng)的的正常運(yùn)行行方法,減減慢系統(tǒng)的的響應(yīng)時(shí)間間等手段。 55.病毒與與惡意

29、攻擊擊。指通過(guò)過(guò)網(wǎng)絡(luò)傳播播病毒或惡惡意Javva、XAActivve等。 66.線路竊竊聽(tīng)。指利利用通信介介質(zhì)的電磁磁泄漏或搭搭線竊聽(tīng)等等手段獲取取非法信息息。2.4 計(jì)算機(jī)安安全分類(lèi)及及基本功能能 根根據(jù)國(guó)家計(jì)計(jì)算機(jī)安全全規(guī)范,可可把計(jì)算機(jī)機(jī)的安全大大致分為三三類(lèi)。一是是實(shí)體安全全,包括機(jī)機(jī)房、線路路,主機(jī)等等;二是網(wǎng)網(wǎng)絡(luò)與信息息安全,包包括網(wǎng)絡(luò)的的暢通、準(zhǔn)準(zhǔn)確及其網(wǎng)網(wǎng)上的信息息安全;三三是應(yīng)用安安全,包括括程序開(kāi)發(fā)發(fā)運(yùn)行、輸輸入輸出、數(shù)據(jù)庫(kù)等等的安全。下面重點(diǎn)點(diǎn)探討第二二類(lèi)網(wǎng)絡(luò)與與信息的安安全問(wèn)題。 網(wǎng)網(wǎng)絡(luò)信息安安全需求可可以歸結(jié)為為以下幾類(lèi)類(lèi): 11.基本安安全類(lèi) 包包括訪問(wèn)控控制、授權(quán)

30、權(quán)、認(rèn)證、加密和內(nèi)內(nèi)容安全等等。 訪訪問(wèn)控制是是提供企業(yè)業(yè)內(nèi)部與外外界及內(nèi)部部不同信息息源之間隔隔離的基本本機(jī)制,也也是企業(yè)的的基本要求求。但是提提供隔離不不是最終目目的,企業(yè)業(yè)利用Innternnet技術(shù)術(shù)的最終目目的應(yīng)當(dāng)是是在安全的的前題下提提供方便的的信息訪問(wèn)問(wèn),這就是是授權(quán)需求求。同時(shí),用戶(hù)也希希望對(duì)授權(quán)權(quán)的人的身身份進(jìn)行有有效的識(shí)別別,這就是是認(rèn)證的需需求。為了了保證信息息在存儲(chǔ)和和傳輸中不不被纂改、竊聽(tīng)等需需要加密功功能,同時(shí)時(shí),為了實(shí)實(shí)施對(duì)進(jìn)出出企業(yè)網(wǎng)的的流量進(jìn)行行有效的控控制,就需需要引入內(nèi)內(nèi)容安全要要求。 22.管理與與記帳類(lèi) 包包括安全策策略管理、企業(yè)范圍圍內(nèi)的集中中管理、

31、記記帳、實(shí)時(shí)時(shí)監(jiān)控,報(bào)報(bào)警等功能能。 33.網(wǎng)絡(luò)互互聯(lián)設(shè)備安安全類(lèi) 包包括路由器器安全管理理、遠(yuǎn)程訪訪問(wèn)服務(wù)器器安全管理理、通信服服務(wù)器安全全管理、交交換機(jī)安全全管理等。 44.連接控控制類(lèi)主要為發(fā)布布企業(yè)消息息的服務(wù)器器提供可靠靠的連接服服務(wù),包括括負(fù)載均衡衡、高可靠靠性以及流流量管理等等。2.5 安全缺口口安全策略經(jīng)經(jīng)常會(huì)與用用戶(hù)方便性性相矛盾,從而產(chǎn)生生相反的壓壓力,使安安全措施與與安全策略略相脫節(jié)。這種情況況稱(chēng)為安全全缺口。為為什么會(huì)存存在安全缺缺口呢?有有下面四個(gè)個(gè)因素: 11、網(wǎng)絡(luò)設(shè)設(shè)備種類(lèi)繁繁多當(dāng)前使使用的有各各種各樣的的網(wǎng)絡(luò)設(shè)備備,從Wiindowws NTT和UNIIX 服務(wù)

32、務(wù)器到防火火墻、路由由器和Weeb服務(wù)器器,每種設(shè)設(shè)備均有其其獨(dú)特的安安全狀況和和保密功能能; 22、訪問(wèn)方方式的多樣樣化一般來(lái)來(lái)說(shuō),您的的網(wǎng)絡(luò)環(huán)境境存在多種種進(jìn)出方式式,許多過(guò)過(guò)程拔號(hào)登登錄點(diǎn)以及及新的Innternnet訪問(wèn)問(wèn)方式可能能會(huì)使安全全策略的設(shè)設(shè)立復(fù)雜化化; 33、網(wǎng)絡(luò)的的不斷變化化網(wǎng)絡(luò)不不是靜態(tài)的的,一直都都處于發(fā)展展變化中。啟用新的的硬件設(shè)備備和操作系系統(tǒng),實(shí)施施新的應(yīng)用用程序和WWeb服務(wù)務(wù)器時(shí),安安全配置也也有不盡相相同;4、用戶(hù)保保安專(zhuān)業(yè)知知識(shí)的缺乏乏許多組組織所擁有有的對(duì)網(wǎng)絡(luò)絡(luò)進(jìn)行有效效保護(hù)的保保安專(zhuān)業(yè)知知識(shí)十分有有限,這實(shí)實(shí)際上是造造成安全缺缺口最為主主要的一點(diǎn)點(diǎn)。

33、2.6 網(wǎng)絡(luò)安全全評(píng)估 為為堵死安全全策略和安安全措施之之間的缺口口,必須從從以下三方方面對(duì)網(wǎng)絡(luò)絡(luò)安全狀況況進(jìn)行評(píng)估估: 11、 從企企業(yè)外部進(jìn)進(jìn)行評(píng)估:考察企業(yè)業(yè)計(jì)算機(jī)基基礎(chǔ)設(shè)施中中的防火墻墻; 22、從企業(yè)業(yè)內(nèi)部進(jìn)行行評(píng)估:考考察內(nèi)部網(wǎng)網(wǎng)絡(luò)系統(tǒng)中中的計(jì)算機(jī)機(jī);3、從應(yīng)用用系統(tǒng)進(jìn)行行評(píng)估:考考察每臺(tái)硬硬件設(shè)備上上運(yùn)行的操操作系統(tǒng)。2.7 計(jì)算機(jī)網(wǎng)網(wǎng)絡(luò)的安全全策略2.7.11 物理安安全策略 物物理安全策策略的目的的是保護(hù)計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)、網(wǎng)絡(luò)服服務(wù)器、打打印機(jī)等硬硬件實(shí)體和和信鏈路免免受自然災(zāi)災(zāi)害、人為為破壞和搭搭線攻擊；驗(yàn)證用戶(hù)戶(hù)的身份和和使用權(quán)限限、防用戶(hù)戶(hù)越權(quán)操作作；確保計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)有

34、一個(gè)良良好的電磁磁兼容工作作環(huán)境；建建立完備的的安全管理理制度，防防止非法進(jìn)進(jìn)入計(jì)算機(jī)機(jī)控制室和和各種偷竊竊、破壞活活動(dòng)的發(fā)生生。抑制和防止止電磁泄漏漏（即TEEMPESST技術(shù)）是是物理安全全策略的一一個(gè)主要問(wèn)問(wèn)題。目前前主要防護(hù)護(hù)措施有兩兩類(lèi)：一類(lèi)類(lèi)是對(duì)傳導(dǎo)導(dǎo)發(fā)射的防防護(hù)，主要要采取對(duì)電電源線和信信號(hào)線加裝裝性能良好好的濾波器器，減小傳傳輸阻抗和和導(dǎo)線間的的交叉耦合合。另一類(lèi)類(lèi)是對(duì)輻射射的防護(hù)，這這類(lèi)防護(hù)措措施又可分分為以下兩兩種：一是采用各各種電磁屏屏蔽措施，如如對(duì)設(shè)備的的金屬屏蔽蔽和各種接接插件的屏屏蔽，同時(shí)時(shí)對(duì)機(jī)房的的下水管、暖氣管和和金屬門(mén)窗窗進(jìn)行屏蔽蔽和隔離；二是干擾的的防護(hù)措施

35、施，即在計(jì)計(jì)算機(jī)系統(tǒng)統(tǒng)工作的同同時(shí)，利用用干擾裝置置產(chǎn)生一種種與計(jì)算機(jī)機(jī)系統(tǒng)輻射射相關(guān)的偽偽噪聲向空空間輻射來(lái)來(lái)掩蓋計(jì)算算機(jī)系統(tǒng)的的工作頻率率和信息特特征。2.7.22 訪問(wèn)控控制策略 訪訪問(wèn)控制是是網(wǎng)絡(luò)安全全防范和保保護(hù)的主要要策略，它它的主要任任務(wù)是保證證網(wǎng)絡(luò)資源源不被非法法使用和非非常訪問(wèn)。它也是維維護(hù)網(wǎng)絡(luò)系系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)絡(luò)資源的重重要手段。各種安全全策略必須須相互配合合才能真正正起到保護(hù)護(hù)作用，但但訪問(wèn)控制制可以說(shuō)是是保證網(wǎng)絡(luò)絡(luò)安全最重重要的核心心策略之一一。下面我我們分述各各種訪問(wèn)控控制策略。1) 入網(wǎng)網(wǎng)訪問(wèn)控制制 入入網(wǎng)訪問(wèn)控控制為網(wǎng)絡(luò)絡(luò)訪問(wèn)提供供了第一層層訪問(wèn)控制制。它控制制

36、哪些用戶(hù)戶(hù)能夠登錄錄到服務(wù)器器并獲取網(wǎng)網(wǎng)絡(luò)資源，控控制準(zhǔn)許用用戶(hù)入網(wǎng)的的時(shí)間和準(zhǔn)準(zhǔn)許他們?cè)谠谀呐_(tái)工作作站入網(wǎng)。 用用戶(hù)的入網(wǎng)網(wǎng)訪問(wèn)控制制可分為三三個(gè)步驟：用戶(hù)名的的識(shí)別與驗(yàn)驗(yàn)證、用戶(hù)戶(hù)口令的識(shí)識(shí)別與驗(yàn)證證、用戶(hù)帳帳號(hào)的缺省省限制檢查查。三道關(guān)關(guān)卡中只要要任何一關(guān)關(guān)未過(guò)，該該用戶(hù)便不不能進(jìn)入該該網(wǎng)絡(luò)。 對(duì)對(duì)網(wǎng)絡(luò)用戶(hù)戶(hù)的用戶(hù)名名和口令進(jìn)進(jìn)行驗(yàn)證是是防止非法法訪問(wèn)的第第一道防線線。用戶(hù)注注冊(cè)時(shí)首先先輸入用戶(hù)戶(hù)名和口令令，服務(wù)器器將驗(yàn)證所所輸入的用用戶(hù)名是否否合法。如如果驗(yàn)證合合法，才繼繼續(xù)驗(yàn)證用用戶(hù)輸入的的口令，否否則，用戶(hù)戶(hù)將被拒之之網(wǎng)絡(luò)之外外。用戶(hù)的的口令是用用戶(hù)入網(wǎng)的的關(guān)鍵所在在。為保證證口令

37、的安安全性，用用戶(hù)口令不不能顯示在在顯示屏上上，口令長(zhǎng)長(zhǎng)度應(yīng)不少少于6個(gè)字符，口口令字符最最好是數(shù)字字、字母和和其他字符符的混合，用用戶(hù)口令必必須經(jīng)過(guò)加加密，加密密的方法很很多，其中中最常見(jiàn)的的方法有：基于單向向函數(shù)的口口令加密，基基于測(cè)試模模式的口令令加密，基基于公鑰加加密方案的的口令加密密，基于平平方剩余的的口令加密密，基于多多項(xiàng)式共享享的口令加加密，基于于數(shù)字簽名名方案的口口令加密等等。經(jīng)過(guò)上上述方法加加密的口令令，即使是是系統(tǒng)管理理員也難以以得到它。用戶(hù)還可可采用一次次性用戶(hù)口口令，也可可用便攜式式驗(yàn)證器（如如智能卡）來(lái)來(lái)驗(yàn)證用戶(hù)戶(hù)的身份。 網(wǎng)網(wǎng)絡(luò)管理員員應(yīng)該可以以控制和限限制普通用用

38、戶(hù)的帳號(hào)號(hào)使用、訪訪問(wèn)網(wǎng)絡(luò)的的時(shí)間、方方式。用戶(hù)戶(hù)名或用戶(hù)戶(hù)帳號(hào)是所所有計(jì)算機(jī)機(jī)系統(tǒng)中最最基本的安安全形式。用戶(hù)帳號(hào)號(hào)應(yīng)只有系系統(tǒng)管理員員才能建立立。用戶(hù)口口令應(yīng)是每每用戶(hù)訪問(wèn)問(wèn)網(wǎng)絡(luò)所必必須提交的的“證件”、用戶(hù)可可以修改自自己的口令令，但系統(tǒng)統(tǒng)管理員應(yīng)應(yīng)該可以控控制口令的的以下幾個(gè)個(gè)方面的限限制：最小小口令長(zhǎng)度度、強(qiáng)制修修改口令的的時(shí)間間隔隔、口令的的唯一性、口令過(guò)期期失效后允允許入網(wǎng)的的寬限次數(shù)數(shù)。 用用戶(hù)名和口口令驗(yàn)證有有效之后，再再進(jìn)一步履履行用戶(hù)帳帳號(hào)的缺省省限制檢查查。網(wǎng)絡(luò)應(yīng)應(yīng)能控制用用戶(hù)登錄入入網(wǎng)的站點(diǎn)點(diǎn)、限制用用戶(hù)入網(wǎng)的的時(shí)間、限限制用戶(hù)入入網(wǎng)的工作作站數(shù)量。當(dāng)用戶(hù)對(duì)對(duì)交費(fèi)網(wǎng)絡(luò)

39、絡(luò)的訪問(wèn)“資費(fèi)”用盡時(shí)，網(wǎng)網(wǎng)絡(luò)還應(yīng)能能對(duì)用戶(hù)的的帳號(hào)加以以限制，用用戶(hù)此時(shí)應(yīng)應(yīng)無(wú)法進(jìn)入入網(wǎng)絡(luò)訪問(wèn)問(wèn)網(wǎng)絡(luò)資源源。網(wǎng)絡(luò)應(yīng)應(yīng)對(duì)所有用用戶(hù)的訪問(wèn)問(wèn)進(jìn)行審計(jì)計(jì)。如果多多次輸入口口令不正確確，則認(rèn)為為是非法用用戶(hù)的入侵侵，應(yīng)給出出報(bào)警信息息。2) 網(wǎng)絡(luò)絡(luò)的權(quán)限控控制網(wǎng)絡(luò)的權(quán)限限控制是針針對(duì)網(wǎng)絡(luò)非非法操作所所提出的一一種安全保保護(hù)措施。用戶(hù)和用用戶(hù)組被賦賦予一定的的權(quán)限。網(wǎng)網(wǎng)絡(luò)控制用用戶(hù)和用戶(hù)戶(hù)組可以訪訪問(wèn)哪些目目錄、子目目錄、文件件和其他資資源。可以以指定用戶(hù)戶(hù)對(duì)這些文文件、目錄錄、設(shè)備能能夠執(zhí)行哪哪些操作。受托者指指派和繼承承權(quán)限屏蔽蔽（IRMM）可作為為其兩種實(shí)實(shí)現(xiàn)方式。受托者指指派控制用用戶(hù)和用戶(hù)戶(hù)

40、組如何使使用網(wǎng)絡(luò)服服務(wù)器的目目錄、文件件和設(shè)備。繼承權(quán)限限屏蔽相當(dāng)當(dāng)于一個(gè)過(guò)過(guò)濾器，可可以限制子子目錄從父父目錄那里里繼承哪些些權(quán)限。我我們可以根根據(jù)訪問(wèn)權(quán)權(quán)限將用戶(hù)戶(hù)分為以下下幾類(lèi)：特殊用戶(hù)（即即系統(tǒng)管理理員）；一般用戶(hù)，系系統(tǒng)管理員員根據(jù)他們們的實(shí)際需需要為他們們分配操作作權(quán)限；審計(jì)用戶(hù)，負(fù)負(fù)責(zé)網(wǎng)絡(luò)的的安全控制制與資源使使用情況的的審計(jì)。用用戶(hù)對(duì)網(wǎng)絡(luò)絡(luò)資源的訪訪問(wèn)權(quán)限可可以用一個(gè)個(gè)訪問(wèn)控制制表來(lái)描述述。3) 目錄錄級(jí)安全控控制網(wǎng)絡(luò)應(yīng)允許許控制用戶(hù)戶(hù)對(duì)目錄、文件、設(shè)設(shè)備的訪問(wèn)問(wèn)。用戶(hù)在在目錄一級(jí)級(jí)指定的權(quán)權(quán)限對(duì)所有有文件和子子目錄有效效，用戶(hù)還還可進(jìn)一步步指定對(duì)目目錄下的子子目錄和文文件的權(quán)

41、限限。對(duì)目錄錄和文件的的訪問(wèn)權(quán)限限一般有八八種：系統(tǒng)管理員員權(quán)限（SSuperrvisoor）；讀權(quán)限（RRead）、；寫(xiě)權(quán)限（WWritee）；創(chuàng)建權(quán)限（Create）；刪除權(quán)限（Erase）；修改權(quán)限（Modify）；文件查找權(quán)權(quán)限（Fiile SScan）；存取控制權(quán)權(quán)限（Acccesss Conntroll）；用戶(hù)對(duì)文件件或目標(biāo)的的有效權(quán)限限取決于以以下二個(gè)因因素：用戶(hù)戶(hù)的受托者者指派、用用戶(hù)所在組組的受托者者指派、繼繼承權(quán)限屏屏蔽取消的的用戶(hù)權(quán)限限。一個(gè)網(wǎng)網(wǎng)絡(luò)系統(tǒng)管管理員應(yīng)當(dāng)當(dāng)為用戶(hù)指指定適當(dāng)?shù)牡脑L問(wèn)權(quán)限限，這些訪訪問(wèn)權(quán)限控控制著用戶(hù)戶(hù)對(duì)服務(wù)器器的訪問(wèn)。八種訪問(wèn)問(wèn)權(quán)限的有有效組合可可

42、以讓用戶(hù)戶(hù)有效地完完成工作，同同時(shí)又能有有效地控制制用戶(hù)對(duì)服服務(wù)器資源源的訪問(wèn)，從從而加強(qiáng)了了網(wǎng)絡(luò)和服服務(wù)器的安安全性。4) 屬性性安全控制制當(dāng)用文件、目錄和網(wǎng)網(wǎng)絡(luò)設(shè)備時(shí)時(shí)，網(wǎng)絡(luò)系系統(tǒng)管理員員應(yīng)給文件件、目錄等等指定訪問(wèn)問(wèn)屬性。屬屬性安全控控制可以將將給定的屬屬性與網(wǎng)絡(luò)絡(luò)服務(wù)器的的文件、目目錄和網(wǎng)絡(luò)絡(luò)設(shè)備聯(lián)系系起來(lái)。屬性安全在在權(quán)限安全全的基礎(chǔ)上上提供更進(jìn)進(jìn)一步的安安全性。網(wǎng)網(wǎng)絡(luò)上的資資源都應(yīng)預(yù)預(yù)先標(biāo)出一一組安全屬屬性。用戶(hù)戶(hù)對(duì)網(wǎng)絡(luò)資資源的訪問(wèn)問(wèn)權(quán)限對(duì)應(yīng)應(yīng)一張?jiān)L問(wèn)問(wèn)控制表，用用以表明用用戶(hù)對(duì)網(wǎng)絡(luò)絡(luò)資源的訪訪問(wèn)能力。屬性設(shè)置可可以覆蓋已已經(jīng)指定的的任何受托托者指派和和有效權(quán)限限。屬性往往往能控制

43、制以下幾個(gè)個(gè)方面的權(quán)權(quán)限：向某某個(gè)文件寫(xiě)寫(xiě)數(shù)據(jù)、拷拷貝一個(gè)文文件、刪除除目錄或文文件、查看看目錄和文文件、執(zhí)行行文件、隱隱含文件、共享、系系統(tǒng)屬性等等。網(wǎng)絡(luò)的的屬性可以以保護(hù)重要要的目錄和和文件，防防止用戶(hù)對(duì)對(duì)目錄和文文件的誤刪刪除、執(zhí)執(zhí)行修改、顯示等。5) 網(wǎng)絡(luò)絡(luò)服務(wù)器安安全控制 網(wǎng)網(wǎng)絡(luò)允許在在服務(wù)器控控制臺(tái)上執(zhí)執(zhí)行一系列列操作。用用戶(hù)使用控控制臺(tái)可以以裝載和卸卸載模塊，可可以安裝和和刪除軟件件等操作。網(wǎng)絡(luò)服務(wù)務(wù)器的安全全控制包括括可以設(shè)置置口令鎖定定服務(wù)器控控制臺(tái)，以以防止非法法用戶(hù)修改改、刪除重重要信息或或破壞數(shù)據(jù)據(jù)；可以設(shè)設(shè)定服務(wù)器器登錄時(shí)間間限制、非非法訪問(wèn)者者檢測(cè)和關(guān)關(guān)閉的時(shí)間間間

44、隔。6) 網(wǎng)絡(luò)絡(luò)監(jiān)測(cè)和鎖鎖定控制 網(wǎng)網(wǎng)絡(luò)管理員員應(yīng)對(duì)網(wǎng)絡(luò)絡(luò)實(shí)施監(jiān)控控，服務(wù)器器應(yīng)記錄用用戶(hù)對(duì)網(wǎng)絡(luò)絡(luò)資源的訪訪問(wèn)，對(duì)非非法的網(wǎng)絡(luò)絡(luò)訪問(wèn)，服服務(wù)器應(yīng)以以圖形或文文字或聲音音等形式報(bào)報(bào)警，以引引起網(wǎng)絡(luò)管管理員的注注意。如果果不法之徒徒試圖進(jìn)入入網(wǎng)絡(luò)，網(wǎng)網(wǎng)絡(luò)服務(wù)器器應(yīng)會(huì)自動(dòng)動(dòng)記錄企圖圖嘗試進(jìn)入入網(wǎng)絡(luò)的次次數(shù)，如果果非法訪問(wèn)問(wèn)的次數(shù)達(dá)達(dá)到設(shè)定數(shù)數(shù)值，那么么該帳戶(hù)將將被自動(dòng)鎖鎖定。7) 網(wǎng)絡(luò)絡(luò)端口和節(jié)節(jié)點(diǎn)的安全全控制 網(wǎng)網(wǎng)絡(luò)中服務(wù)務(wù)器的端口口往往使用用自動(dòng)回呼呼設(shè)備、靜靜默調(diào)制解解調(diào)器加以以保護(hù)，并并以加密的的形式來(lái)識(shí)識(shí)別節(jié)點(diǎn)的的身份。自自動(dòng)回呼設(shè)設(shè)備用于防防止假冒合合法用戶(hù)，靜靜默調(diào)制解解調(diào)器用以以防范

45、黑客客的自動(dòng)撥撥號(hào)程序?qū)?duì)計(jì)算機(jī)進(jìn)進(jìn)行攻擊。網(wǎng)絡(luò)還常常對(duì)服務(wù)器器端和用戶(hù)戶(hù)端采取控控制，用戶(hù)戶(hù)必須攜帶帶證實(shí)身份份的驗(yàn)證器器（如智能能卡、磁卡卡、安全密密碼發(fā)生器器）。在對(duì)對(duì)用戶(hù)的身身份進(jìn)行驗(yàn)驗(yàn)證之后，才才允許用戶(hù)戶(hù)進(jìn)入用戶(hù)戶(hù)端。然后后，用戶(hù)端端和服務(wù)器器端再進(jìn)行行相互驗(yàn)證證2.8 確保網(wǎng)絡(luò)絡(luò)安全的措措施 由由于網(wǎng)絡(luò)安安全的目的的是保障用用戶(hù)的重要要信息的安安全，因此此限制直接接接觸十分分重要。如如果用戶(hù)的的網(wǎng)絡(luò)連入入Inteernett，那麼最最好盡可能能地把與IInterrnet連連接的機(jī)器器與網(wǎng)絡(luò)的的其余部分分隔離開(kāi)來(lái)來(lái)。實(shí)現(xiàn)這這個(gè)目標(biāo)的的最安全的的方法是將將Inteernett服務(wù)器與

46、與網(wǎng)絡(luò)實(shí)際際隔開(kāi)。當(dāng)當(dāng)然，這種種解決方案案增加了機(jī)機(jī)器管理的的難度。但但是如果有有人闖入隔隔離開(kāi)的機(jī)機(jī)器，那麼麼網(wǎng)絡(luò)的其其余部分不不會(huì)受到牽牽連。 最最重要的是是限制訪問(wèn)問(wèn)。不要讓讓不需要進(jìn)進(jìn)入網(wǎng)關(guān)的的人都進(jìn)入入網(wǎng)關(guān)。在在機(jī)器上用用戶(hù)僅需要要一個(gè)用戶(hù)戶(hù)帳號(hào)，嚴(yán)嚴(yán)格限制它它的口令。只有在使使用su時(shí)才允允許進(jìn)入根根帳號(hào)。這這個(gè)方法保保留一份使使用根帳號(hào)號(hào)者的記錄錄。 在在Inteernett服務(wù)器上上提供的一一些服務(wù)有有FTP、HTTPP、遠(yuǎn)程登登陸和WAAIS（廣廣域信息服服務(wù)）。但但是，F(xiàn)TTP和HTTTP是使使用最普遍遍的服務(wù)。它們還有有潛力泄露露出乎用戶(hù)戶(hù)意料之外外的秘密。 與與任何其它

47、它Inteernett服務(wù)一樣樣，F(xiàn)TPP一直是（而而且仍是）易易于被濫用用的。值得得一提的弱弱點(diǎn)涉及幾幾個(gè)方面。第一個(gè)危危險(xiǎn)是配置置不當(dāng)。它它使站點(diǎn)的的訪問(wèn)者（或或潛在攻擊擊者）能夠夠獲得更多多超出其預(yù)預(yù)期的數(shù)據(jù)據(jù)。 他他們一旦進(jìn)進(jìn)入，下一一個(gè)危險(xiǎn)是是可能破壞壞信息。一一個(gè)未經(jīng)審審查的攻擊擊者可以抹抹去用戶(hù)的的整個(gè)FTTP站點(diǎn)。 最最后一個(gè)危危險(xiǎn)不必長(zhǎng)長(zhǎng)篇累牘，這這是因?yàn)樗粫?huì)造成成破壞，而而且是低水水平的。它它由用戶(hù)的的FTP站站點(diǎn)構(gòu)成，對(duì)對(duì)于交換文文件的人來(lái)來(lái)說(shuō)，用戶(hù)戶(hù)的FTPP站點(diǎn)成為為“麻木不仁仁的窩臟點(diǎn)點(diǎn)”。這些文文件無(wú)所不不包，可以以是盜版軟軟件，也可可以是色情情畫(huà)。這種種交換

48、如何何進(jìn)行的呢呢？簡(jiǎn)單的的很。發(fā)送送者發(fā)現(xiàn)了了一個(gè)他們們有權(quán)寫(xiě)入入和拷入可可疑文件的的FTP站站點(diǎn)。通過(guò)過(guò)某些其它它方法，發(fā)發(fā)送者通知知它們的同同伙文件可可以使用。 所所有這些問(wèn)問(wèn)題都是由由未正確規(guī)規(guī)定許可條條件而引起起的。最大大的一個(gè)問(wèn)問(wèn)題可能是是允許FTTP用戶(hù)有有機(jī)會(huì)寫(xiě)入入。當(dāng)用戶(hù)戶(hù)通過(guò)FTTP訪問(wèn)一一個(gè)系統(tǒng)時(shí)時(shí)，這一般般是FTPP用戶(hù)所做做的事。因因此，F(xiàn)TTP用戶(hù)可可以訪問(wèn)，用用戶(hù)的訪問(wèn)問(wèn)者也可以以使用。所所有這些問(wèn)問(wèn)題都是由由未正確規(guī)規(guī)定許可條條件而引起起的。最大大的一個(gè)問(wèn)問(wèn)題可能是是允許FTTP用戶(hù)有有機(jī)會(huì)寫(xiě)入入。當(dāng)用戶(hù)戶(hù)通過(guò)FTTP訪問(wèn)一一個(gè)系統(tǒng)時(shí)時(shí)，這一般般是FTPP用戶(hù)所做

49、做的事。因因此，F(xiàn)TTP用戶(hù)可可以訪問(wèn)，用用戶(hù)的訪問(wèn)問(wèn)者也可以以訪問(wèn)。 一一般說(shuō)來(lái)，F(xiàn)FTP用戶(hù)戶(hù)不是用戶(hù)戶(hù)的系統(tǒng)中中已經(jīng)有的的。因此，用用戶(hù)要建立立FTP用用戶(hù)。無(wú)論論如何要保保證將外殼殼設(shè)置為真真正外殼以以外的東西西。這一步步驟防止FFTP用戶(hù)戶(hù)通過(guò)遠(yuǎn)程程登錄進(jìn)行行注冊(cè)（用用戶(hù)或許已已經(jīng)禁止遠(yuǎn)遠(yuǎn)程登錄，但但是萬(wàn)一用用戶(hù)沒(méi)有這這樣做，確確認(rèn)一下也也不會(huì)有錯(cuò)錯(cuò)）。 將將所有文件件和目錄的的主人放在在根目錄下下，不要放放在ftpp下。這個(gè)個(gè)預(yù)防措施施防止FTTP用戶(hù)修修改用戶(hù)仔仔細(xì)構(gòu)思出出的口令。然后，將將口令規(guī)定定為7555（讀和執(zhí)執(zhí)行，但不不能寫(xiě)，除除了主人之之外）。在在用戶(hù)希望望匿名用戶(hù)戶(hù)

50、訪問(wèn)的所所有目錄上上做這項(xiàng)工工作。盡管管這個(gè)規(guī)定定允許他們們讀目錄，但但它也防止止他們把什什麼東西放放到目錄中中來(lái)。 用用戶(hù)還需要要編制某些些可用的庫(kù)庫(kù)。然而，由由于用戶(hù)已已經(jīng)在以前前建立了必必要的目錄錄，因此這這一步僅執(zhí)執(zhí)行一部分分。因此，用用戶(hù)需要做做的一切是是將/ussr/liib/liibe.sso.1和/usrr/libb/libbsockk-et.so/11拷貝到fftp/uusr/llib中。接著將ftp/usr/lib上上的口令改改為5555，并建立立主接收器器。最后，用戶(hù)戶(hù)需要在ftp/dev/中建立/dev/nulll和/devv/soccksyss設(shè)備結(jié)點(diǎn)點(diǎn)。用戶(hù)可可以用

51、mkknod手手工建立它它們。然而而，讓系統(tǒng)統(tǒng)為用戶(hù)工工作會(huì)更加加容易。SSCO文檔檔說(shuō)用cppio,但但是coppy（非cp）很管管用。如果用戶(hù)想想建立一個(gè)個(gè)人們都可可用留下文文件的目錄錄，那麼可可將它稱(chēng)作作輸入。允允許其他人人寫(xiě)入這個(gè)個(gè)目錄，但但不能讀。這個(gè)預(yù)防防措施防止止它成為麻麻木不仁的的窩臟點(diǎn)。人們可以以在這里放放入他們想想放的任何何東西，但但是他們不不能將它們們?nèi)〕?。如如果用?hù)認(rèn)認(rèn)為信息比比較適合共共享，那麼麼將拷貝到到另一個(gè)目目錄中。2.9 提高企業(yè)業(yè)內(nèi)部網(wǎng)安安全性的幾幾個(gè)步驟限制對(duì)網(wǎng)關(guān)關(guān)的訪問(wèn)。限制網(wǎng)關(guān)關(guān)上的帳號(hào)號(hào)數(shù)。不要要允許在網(wǎng)網(wǎng)絡(luò)上進(jìn)行行根注冊(cè)；不要信任任任何人。網(wǎng)網(wǎng)關(guān)不

52、信任任任何機(jī)器器。沒(méi)有一一臺(tái)機(jī)器應(yīng)應(yīng)該信任網(wǎng)網(wǎng)關(guān)；不要用NFFS向網(wǎng)關(guān)關(guān)傳輸或接接收來(lái)自網(wǎng)網(wǎng)關(guān)的任何何文件系統(tǒng)統(tǒng)；不要在網(wǎng)關(guān)關(guān)上使用NNIS（網(wǎng)網(wǎng)絡(luò)信息服服務(wù)）；制訂和執(zhí)行行一個(gè)非網(wǎng)網(wǎng)關(guān)機(jī)器上上的安全性性方針；關(guān)閉所有多多余服務(wù)和和刪除多余余程序刪除網(wǎng)關(guān)的的所有多余余程序（遠(yuǎn)遠(yuǎn)程登錄、rloggin、FTTP等等）；定期閱讀系系統(tǒng)記錄。3. IIntraanet安安全解決方方案3.1 Intrranett安全解決決方案 過(guò)過(guò)去我們往往往把信息息安全局限限于通信保保密,局限限于對(duì)信息息加密功能能要求,其其實(shí)網(wǎng)絡(luò)信信息安全牽牽涉到方方方面面的問(wèn)問(wèn)題,是一一個(gè)極其復(fù)復(fù)雜的系統(tǒng)統(tǒng)工程。從從簡(jiǎn)化的角角度

53、來(lái)看,要實(shí)施一一個(gè)完整的的網(wǎng)絡(luò)與信信息安全體體系,至少少應(yīng)包括三三類(lèi)措施,并且三者者缺一不可可。一是社社會(huì)的法律律政策、企企業(yè)的規(guī)章章制度以及及安全教育育等外部軟軟環(huán)境。在在該方面政政府有關(guān)部部門(mén)、企業(yè)業(yè)的主要領(lǐng)領(lǐng)導(dǎo)應(yīng)當(dāng)扮扮演重要的的角色。二二是技術(shù)方方面的措施施,如防火火墻技術(shù)、網(wǎng)絡(luò)防毒毒、信息加加密存儲(chǔ)通通信、身份份認(rèn)證、授授權(quán)等。只只有技術(shù)措措施并不能能保證百分分之百的安安全。三是是審計(jì)和管管理措施,該方面措措施同時(shí)包包含了技術(shù)術(shù)與社會(huì)措措施。其主主要措施有有:實(shí)時(shí)監(jiān)監(jiān)控企業(yè)安安全狀態(tài)、提供實(shí)時(shí)時(shí)改變安全全策略的能能力、對(duì)現(xiàn)現(xiàn)有的安全全系統(tǒng)實(shí)施施漏洞檢查查等,以防防患于未然然。 企企業(yè)要

54、實(shí)施施一個(gè)安全全的系統(tǒng)應(yīng)應(yīng)該三管齊齊下。其中中法律、企企業(yè)領(lǐng)導(dǎo)層層的重視應(yīng)應(yīng)處于最重重要的位置置。沒(méi)有社社會(huì)的參與與就不可能能實(shí)施安全全保障。 網(wǎng)網(wǎng)絡(luò)信息安安全包括了了建立安全全環(huán)境的幾幾個(gè)重要組組成部分,其中安全全的基石是是社會(huì)法律律、法規(guī)與與手段,這這部分用于于建立一套套安全管理理標(biāo)準(zhǔn)和方方法。 第第二部分為為增強(qiáng)的用用戶(hù)認(rèn)證,用戶(hù)認(rèn)證證在網(wǎng)絡(luò)和和信息的安安全中屬于于技術(shù)措施施的第一道道大門(mén),最最后防線為為審計(jì)和數(shù)數(shù)據(jù)備份,不加強(qiáng)這這道大門(mén)的的建設(shè),整整個(gè)安全體體系就會(huì)較較脆弱。用用戶(hù)認(rèn)證的的主要目的的是提供訪訪問(wèn)控制和和不可抵賴(lài)賴(lài)的作用。用戶(hù)認(rèn)證證方法按其其層次不同同可以根據(jù)據(jù)以下三種種

55、因素提供供認(rèn)證。 11.用戶(hù)持持有的證件件,如大門(mén)門(mén)鑰匙、門(mén)門(mén)卡等等; 22.用戶(hù)知知道的信息息,如密碼碼; 33.用戶(hù)特特有的特征征,如指紋紋、聲音、視網(wǎng)膜掃掃描等等。 根根據(jù)在認(rèn)證證中采用因因素的多少少,可以分分為單因素素認(rèn)證、雙雙因素認(rèn)證證,多因素素認(rèn)證等方方法。 第第三部分是是授權(quán),這這主要為特特許用戶(hù)提提供合適的的訪問(wèn)權(quán)限限,并監(jiān)控控用戶(hù)的活活動(dòng),使其其不越權(quán)使使用。該部部分與訪問(wèn)問(wèn)控制(常常說(shuō)的隔離離功能)是是相對(duì)立的的。隔離不不是管理的的最終目的的,管理的的最終目的的是要加強(qiáng)強(qiáng)信息有效效、安全的的使用,同同時(shí)對(duì)不同同用戶(hù)實(shí)施施不同訪問(wèn)問(wèn)許可。 第第四部分是是加密。在在上述的安安全

56、體系結(jié)結(jié)構(gòu)中,加加密主要滿(mǎn)滿(mǎn)足以下幾幾個(gè)需求。 11.認(rèn)證識(shí)別用用戶(hù)身份,提供訪問(wèn)問(wèn)許可; 22.一致性性保證數(shù)數(shù)據(jù)不被非非法篡改; 33.隱密性性保護(hù)數(shù)數(shù)據(jù)不被非非法用戶(hù)查查看; 44.不可抵抵賴(lài)使信息息接收者無(wú)無(wú)法否認(rèn)曾曾經(jīng)收到的的信息。 加加密是信息息安全應(yīng)用用中最早開(kāi)開(kāi)展的有效效手段之一一,數(shù)據(jù)通通過(guò)加密可可以保證在在存取與傳傳送的過(guò)程程中不被非非法查看、篡改、竊竊取等。在在實(shí)際的網(wǎng)網(wǎng)絡(luò)與信息息安全建設(shè)設(shè)中,利用用加密技術(shù)術(shù)至少應(yīng)能能解決以下下問(wèn)題: 11.鑰匙的的管理,包包括數(shù)據(jù)加加密鑰匙、私人證書(shū)書(shū)、私密等等的保證分分發(fā)措施; 22.建立權(quán)權(quán)威鑰匙分分發(fā)機(jī)構(gòu); 33.保證數(shù)數(shù)據(jù)完整

57、性性技術(shù); 44.數(shù)據(jù)加加密傳輸; 55.數(shù)據(jù)存存儲(chǔ)加密等等。 第第五部分為為審計(jì)和監(jiān)監(jiān)控,確切切說(shuō),還應(yīng)應(yīng)包括數(shù)據(jù)據(jù)備份,這這是系統(tǒng)安安全的最后后一道防線線。系統(tǒng)一一旦出了問(wèn)問(wèn)題,這部部分可以提提供問(wèn)題的的再現(xiàn)、責(zé)責(zé)任追查、重要數(shù)據(jù)據(jù)復(fù)原等保保障。在網(wǎng)絡(luò)和信信息安全模模型中,這這五個(gè)部分分是相輔相相成、缺一一不可的。其中底層層是上層保保障的基礎(chǔ)礎(chǔ),如果缺缺少下面各各層次的安安全保障,上一層的的安全措施施則無(wú)從說(shuō)說(shuō)起。如果果一個(gè)企業(yè)業(yè)沒(méi)有對(duì)授授權(quán)用戶(hù)的的操作規(guī)范范、安全政政策和教育育等方面制制定有效的的管理標(biāo)準(zhǔn)準(zhǔn),那么對(duì)對(duì)用戶(hù)授權(quán)權(quán)的控制過(guò)過(guò)程以及事事后的審計(jì)計(jì)等的工作作就會(huì)變得得非常困難難。

58、3.2 網(wǎng)絡(luò)信息息安全產(chǎn)品品 為為了實(shí)施上上面提出的的安全體系系,可采用用防火墻產(chǎn)產(chǎn)品來(lái)滿(mǎn)足足其要求。 采采用NettScreeen 公公司的硬件件防火墻解解決方案NNetSccreenn-10 & NeetScrreen-100可可以滿(mǎn)足以以下功能。 (1)訪問(wèn)問(wèn)控制 實(shí)實(shí)施企業(yè)網(wǎng)網(wǎng)與外部、企業(yè)內(nèi)部部不同部門(mén)門(mén)之間的隔隔離。其關(guān)關(guān)鍵在于應(yīng)應(yīng)支持目前前Inteernett中的所有有協(xié)議,包包括傳統(tǒng)的的面向連接接的協(xié)議、無(wú)連接協(xié)協(xié)議、多媒媒體、視頻頻、商業(yè)應(yīng)應(yīng)用協(xié)議以以及用戶(hù)自自定義協(xié)議議等。 (2)普通通授權(quán)與認(rèn)認(rèn)證 提提供多種認(rèn)認(rèn)證和授權(quán)權(quán)方法,控控制不同的的信息源。 (3)內(nèi)容容安全 對(duì)對(duì)

59、流入企業(yè)業(yè)內(nèi)部的網(wǎng)網(wǎng)絡(luò)信息流流實(shí)施內(nèi)部部檢查,包包括URLL過(guò)濾等等等。 (4)加密密 提提供防火墻墻與防火墻墻之間、防防火墻與移移動(dòng)用戶(hù)之之間信息的的安全傳輸輸。 (5)網(wǎng)絡(luò)絡(luò)設(shè)備安全全管理 目目前一個(gè)企企業(yè)網(wǎng)絡(luò)可可能會(huì)有多多個(gè)連通外外界的出口口,如連接接ISP的的專(zhuān)線、撥撥號(hào)線等,同時(shí),在在大的企業(yè)業(yè)網(wǎng)內(nèi)不同同部門(mén)和分分公司之間間可能亦會(huì)會(huì)有由多級(jí)級(jí)網(wǎng)絡(luò)設(shè)備備隔離的小小網(wǎng)絡(luò)。根根據(jù)信息源源的分布情情況,有必必要對(duì)不同同網(wǎng)絡(luò)和資資源實(shí)施不不同的安全全策略和多多種級(jí)別的的安全保護(hù)護(hù),如可以以在防火墻墻上實(shí)施路路由器、交交換機(jī)、訪訪問(wèn)服務(wù)器器的安全管管理。 (6)集中中管理 實(shí)實(shí)施一個(gè)企企業(yè)一種

60、安安全策略,實(shí)現(xiàn)集中中管理、集集中監(jiān)控等等。 (7)提供供記帳、報(bào)報(bào)警功能 實(shí)實(shí)施移動(dòng)方方式的報(bào)警警功能,包包括E-mmail、SNMPP等。 企業(yè)業(yè)如何選擇擇合適的防防火墻 計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)將有效的的實(shí)現(xiàn)資源源共享,但但資源共享享和信息安安全是一對(duì)對(duì)矛盾。隨隨著資源共共享進(jìn)一步步加強(qiáng)，隨隨之而來(lái)的的信息安全全問(wèn)題也日日益突出。并不是每一一款防火墻墻都適應(yīng)于于每個(gè)用戶(hù)戶(hù)的需求，根根據(jù)用戶(hù)需需求的不同同，所需要要的防火墻墻可能完全全不同。下下面列舉了了幾種網(wǎng)絡(luò)絡(luò)中的防火火墻應(yīng)用。 INTEERNETT或信息發(fā)發(fā)布服務(wù) 這種情況非非常普遍，IISP或IICP，企企業(yè)的網(wǎng)頁(yè)頁(yè)，在INNTERNNET上提