企业内部网信息安全建设的技术要求、配置方案及建议

1、企业内部网网信息安全全建设的技术要求求、配置方方案及建议议美国安泰成成发国际集集团公司企业网网络络安全解决决方案引言 19999年已经经到来, 人类处在在21世纪前前夜。19998年是是全球信息息革命和IInterrnet新新腾飞的一一年。“带宽爆炸炸”, 用户超超亿, 网上协协同攻破密密码等等创创造性的应应用层出不不穷。Innternnet已成成为全新的的传播媒体体, 克林顿顿丑闻材料料在48小时内内就有20000万人人上网观看看。电子商商务发展更更出人意料料, 网上购购物仅圣诞诞节就突破破3亿美元的的销售额, 比预计计的全年220亿还多多。美国对对“Inteernett经济”投资达到到12

2、400亿, 第二代代Inteernett正式启动动,第三代智智能网络已已在酝酿, 以Inteernett为代表和和主体的信信息网络必必将在211世纪成为为人类生产产、生活、自下而上上的一个基基本方式。世界各国国都以战略略眼光注视视着它的发发展, 并在积积极谋取网网上的优势势和主动权权。但是IInterrnet网网的信息安安全问题在在19988年也较突突出, 除两千千年虫问题题已进入倒倒计时外,下面摘录录上电报导导: 病毒感染染事件19998年增增加了二倍倍, 宏病毒毒入侵案件件占60%, 已超超过13000种, 而19966只有40种。 网上攻击击事件大幅幅上升, 对50个国家的的抽样调查查显

3、示: 去年有733%的单位位受到各种种形式的入入侵, 而19966年是42%。据估计计, 世界上上已有两千千万人具有有进行攻击击的潜力。 网上经济济诈骗增长长了五倍, 估计金金额达到66亿美元, 而同年暴暴力抢劫银银行的损失失才59000万。一一份调查报报告中说: 有48%的企企业受过网网上侵害, 其中损损失最多的的达一百万万美元。 对美军的的非绝密计计算机系统统的攻击试试验表明, 成功率率达到888%。而被被主动查出出的只占55%。19988年5月美CIAA局长在信信息安全的的报告中正正式宣布:“信息战战威胁确实实存在。” 网上赌博博盛行, 去年在2000个网点点上的赌博博金额达到到60亿美

4、元元, 预计今今年还会增增加一倍。 网上色情情泛滥, 通过浏览览器、电子子邮件等方方式大量扩扩散。由于于问题严重重,西方12个国家家的警方在在去年九月月进行了一一次联合行行动, 共抓96人, 其中一一个网址竟竟有25万张黄黄色图像。联合国科科教文组织织决定今年年一月召开开会议, 研究遏制制网上色情情。 欧盟正式式发表了对对网上有害害和非法信信息内容的的处理法规规。 电子邮件件垃圾已被被新闻界选选为19998年Inteernett坏消息之之一, 美国一一家网络公公司一年传传送的电子子邮件中有有三分之一一是电子垃垃圾。 网上违反反保密和密密码管制的的问题已成成为各国政政府关注的的一个焦点点。 暴露

5、个人人隐私问题题突出, 例如通过过美国一个个网站很容容易量到别别人的经济济收入信息息, 另一网网址只要输输入车牌号号码就可查查到车主地地址, 为此这这些网址已已被封闭。在电子邮邮件内传播播个人隐私私的情况更更为严重。 带有政治治性的网上上攻击在11998年年有较大增增加, 包括篡篡改政府机机构的网页页,侵入竞选选对手的网网站窃取信信息, 在东南南亚经济危危机中散布布谣言, 伪造世界界热点地区区的现场照照片, 煽动民民族纠纷等等等, 已引起起各国政府府的高度重重视。 我国的情情况也大致致相仿。一一方面Innternnet上网网人数增加加, 仅下半半年年就由由117万剧剧增到2110万, 另一方方

6、面, 同一时时期内外电电对在我国国发生的IInterrnet安安全事件的的报道数量量也大增, 比19977年全年还还多6倍, 其中包包括经济犯犯罪、窃密密、黑客入入侵, 造谣惑惑众等等。以上报导导只是全部部景观的一一角,却预示着着下一个世世纪全球信信息安全形形势不容乐乐观。我国国正处于网网络发展的的初级阶段段, 又面临临着发达国国家信息优优势的压力力, 要在信信息化进程程中趋利避避害,从一开始始就做好信信息安全工工作十分重重要。这是是这项工作作难度也非非常大, 经常遇到到十分困难难的选择, 甚至非非难。人们们对于“该不该”和“能不能”抓好信息息安全也尚有有不同的看看法。我们们应当充分分相信我国

7、国的制度优优越性和人人民的智慧慧与觉悟, 积极寻寻求解决中中国特色的的Inteernett安全问题题的办法。在此, 仅就企业业内部网的的信息安全全的建设作作一个详细细的讨论。1企业网网络的现状状世纪之交，信信息化已成成为国际性性发展趋势势，作为国国民经济信信息化的基基础，企业业信息化建建设受到国国家和企业业的广泛重重视。企业信息化化，企业网网络的建设设是基础，从从计算机网网络技术和和应用发展展的现状来来看，Inntrannet是得得到广泛认认同的企业业网络模式式。Inttraneet并不完完全是原来来局域网的的概念，通通过与Innternnet的联联结，企业业网络的范范围可以是是跨地区的的，甚

8、至跨跨国界的。现在，Innternnet的发发展已成燎燎原之势，随随着WWWW上商业活活动的激增增，Inttraneet也应运运而生。近近几年，许许多有远见见的企业领领导者都已已感到企业业信息化的的重要性,陆续建立立起了自己己的企业网网和Inttraneet并通过过各种WAAN线路与与Inteernett相连。国国际互联网网Inteernett在带来巨巨大的资源源和信息访访问的方便便的同时，它它也带来了了巨大的潜潜在的危险险，至今仍仍有很多企企业仍然没没有感到企企业网安全全的重要性性。在我国国网络急剧剧发展还是是近几年的的事，而在在国外企业业网领域出出现的安全全事故已经经是数不胜胜数。因此此，

9、我们应应该在积极极进行企业业网建设的的同时，就就应借鉴国国外企业网网建设和管管理的经验验，在网络络安全上多多考虑一些些，将企业业网中可能能出现的危危险和漏洞洞降到最低低。使已经经花了不少少财力、人人力和时间间后，建立立起来的网网络真正达达到预想的的效果。从总体上来来说,企业业网络建设设以下几方方面的误区区：解决方方案上的误误区、应用用开发上的的误区和系系统管理上上的误区。 解解决方案上上的误区在解决方案案上的误区区主要包括括：认为只要肯肯花钱就万万事大吉了了。诚然，投投资是企业业网络建设设的基本，但但并非所有有的东西都都能直接买买来。事实实上，数据据、应用软软件、网络络系统管理理及网络的的应用

10、水平平等都不是是简单买来来了事的。不根据实际际需求，盲盲目认为购购买的硬件件、软件产产品越先进进越好，甚甚至要求达达到10年年不落后等等要求。这这种提法本本身就不科科学，信息息技术的发发展是日新新月异的，110年前谁谁也不知道道现在的计计算机会发发展到如此此水平，同同样，100年后如何何也无法预预料。这样样一来，后后果是可以以想到的：平台越先先进，设备备越昂贵，技技术越复杂杂，建设的的投入与产产出相比一一定很高，这这当然不是是企业需要要得到的结结果。认为有了网网络、服务务器、数据据库、联通通了Intterneet就能要要什么就有有什么了，忽忽视总体数数据体系规规划和组织织、应用系系统开发，数数

11、据的采集集、传输、加工、存存储和查询询等具体应应用工作。而缺少这这些，网络络的作用就就不能充分分发挥出来来，这恰恰恰与企业网网络建设的的初衷相违违。认为可以“毕其功于于一役”地搞企业业网络建设设，实际上上，这是一一项长期的的工作。认为只要找找到好的供供应商、系系统集成商商就肯定可可以把网络络建好，没没有想到只只有良好的的合作才能能获得成功功，只有建建立自己的的技术队伍伍才能保持持成功之果果。 应应用开发上上的误区应用开发是是企业网络络系统建设设中的重要要内容，也也是网络建建设成功与与否的关键键。不少企企业网络建建设项目中中，在应用用开发方面面也存在一一些误区：认为只要有有好的计算算机专业人人员

12、去干就就可以了，业业务人员不不参与应用用开发工作作，甚至不不很好地配配合。事实实上，由于于专业计算算机人员缺缺少具体业业务知识和和经验，无无法独立开开发出很适适合业务部部门的应用用软件。认为凡是业业务部门、业务人员员提出的需需求都要进进行开发。在应用开开发的范围围上，不进进行认真地地分析，不不分主次。实际上，许许多现成的的工具软件件已包含了了许多功能能，例如EEXECLL，但由于于不重视业业务人员计计算机技能能的提高，一一切功能都都寄希望于于开发。这这就造成开开发成本的的提高和工工作重点的的分散。认为只有采采用最新潮潮的开发工工具和最时时髦的开发发语言才能能开发好的的软件，而而不顾自己己的实际

13、需需求，也不不问那些工工具和语言言到底有什什么用。认为开发软软件与操作作软件一样样容易，所所以不重视视开发人员员的工作，随随意提出需需求，之后后又随意改改动。这样样的改动，很很可能给开开发增加许许多工作量量，更为严严重的是，破破坏开发的的总体规划划，导致开开发进度的的延迟。企业高级领领导认为开开发工作是是下面的事事情，不参参与总体规规划，却对对开发抱着着过高的期期望，以为为开发结果果一定应符符合自己的的想象。1.3 系统统管理上的的误区企业网络效效果的发挥挥离不开系系统管理，决决不仅仅是是安装好企企业网络的的设备，配配置好软件件那么简单单，同样一一个运行良良好的企业业网离不开开人的管理理，系统

14、管管理在网络络建设和维维护中是至至关重要的的，目前在在系统管理理方面存在在的误区主主要包括：认为系统管管理只要有有计算机人人员就可以以了，不建建立规范、有效的管管理制度，没没有想到系系统管理实实际上是企企业管理中中必不可少少的一部分分。认为系统管管理就是对对计算机、网络设备备、系统软软件的管理理，没考虑虑到对企业业整体信息息资源的管管理，不注注重对数据据信息的规规范化、标标准化管理理。认为系统管管理简单，费费用不高，投投入的财力力、人力、物力不足足。有许多多企业的系系统管理员员只会“玩”PC而已已，网管软软件也被当当作是可有有可无的东东西。殊不不知，随着着网络技术术的发展和和信息的增增多，系统

15、统管理工作作是相当复复杂和繁重重的。认为系统管管理工作只只是辅助性性工作，不不能为企业业创造直接接效益，可可以不予重重视。结果果导致专业业计算机人人才流失，只只好使用非非专业人员员，使管理理效果大打打折扣。认为只有看看的见的东东西才值钱钱，因而不不愿意在服服务上花钱钱。在系统统管理上无无法得到专专业厂商的的支持，导导致管理水水平业余而而落后。 Inttraneet与网络络安全技术术 2.1 信息息安全的重重要性和内内涵长期以来, 人们把把信息安全全理解为对对信息的机机密性、完完整性和可可获性的保保护, 这固然然是对的, 但这个个观念是在在二十多年年前主机时时代形成的的。当时人人们需要保保护的是

16、设设在专用机机房内的主主机以及数数据的安全全性, 因此它它是面向单单机、面向向数据的。八十年代代进入了微微机和局域域网时代, 计算机机已从专用用机房内解解放到分散散的办公桌桌面乃至家家庭, 由于它它的用户/网络结构构比较简单单、对称,所以既要要依靠技术术措施保护护,还要制定定人人必须须遵守的规规定。因此此, 这个时时代的信息息安全是面面向网管、面向规约约的。九十十年代进入入了互联网网时代, 每个用户户有都可以以联接、使使用乃至控控制散布在在世界上各各个角落的的上网计算算机, 因此Intterneet的信息息安全内容容更多, 更为强调调面向连接接、面向用用户(“人”)。因为在在这个崭新新的世界里

17、里, 人与计计算机的关关系发生了了质的变化化。人、网网、环境相相结合, 形成了一一个复杂的的巨系统。通过网上上的协同和和交流, 人的智能能和计算机机快速运行行的能力汇汇集并融合合起来, 创造了新新的社会生生产力, 丰富着大大量应用(电子商务务, 网上购购物等等)和满足着着人们的各各种社会需需要(交流、学学习、医疗疗、消费、娱乐、安安全感、安安全环境等等等)。在这个个复杂巨系系统中, “人”以资源使使用者的身身份出现, 是系统统的主体, 处于主主导地位, 而系统统的资源(包括硬软软件、通讯讯网、数据据、信息内内容等)则是客体体, 它是为为主体即“人”服务的, 与此相适适应, 信息安安全的主体体也

18、是“人”(包括用户户、团体、社会和国国家), 其目的主主要是保证证主体对信信息资源的的控制。可可以这样说说: 面向数数据的安全全概念是前前述的保密密性、完整整性和可获获性, 而面向向使用者的的安全概念念则是鉴别别、授权、访问控制制、抗否认认性和可服服务性以及及在于内容容的个人隐隐私、知识识产权等的的保护。这这两者结合合就是信息息安全体系系结构中的的安全服务务功能), 而这些些安全问题题又要依靠靠密码、数数字签名、身份验证证技术、防防火墙、安安全审计、灾难恢复复、防病毒毒、防黑客客入侵等安安全机制(措施)加以解决决。其中密密码技术和和管理是信信息安全的的核心, 安全标准准和系统评评估是信息息安全

19、的基基础。总之从历史史的、人网网大系统的的概念出发发, 现代的的信息安全全涉及到个个人权益、企业生存存、金融风风险防范、社会稳定定和国家的的安全。它它是物理安安全、网络络安全、数数据安全、信息内容容安全、信信息基础设设施安全与与公共、国国家信息安安全的总和和。信息安安全的完整整内涵是和和信息安全全的方法论论相匹配的的, 信息安安全系统是是一个多维维、多因素素、多层次次、多目标标的系统。因此, 有必要从从方法论的的角度去理理解现有的的信息安全全模式。 1. 分分析与综合合的辩证思思维方法: 要在分分析过程中中从整体上上把握好分分析要素的的内部矛盾盾, 例如:*在威胁胁分析中的的环境灾害害与人员失

20、失误、无意意疏忽与有有意破坏、外部人员员与内部职职员、窃密密篡改与拒拒绝服务、个人行为为与有组织织的信息战战威胁等关关系。 在脆弱弱性分析中中的软件、协议缺陷陷与嵌入后后门、网络络层、系统统层、应用用层薄弱环环节的关联联等。 在攻击分分析中的利利用技术漏漏洞与社会会工程、行行为模式与与隐蔽方式式等关系。 在综合方方法上则应应该面向过过程, 着眼发发展: 风险管理理的综合方方法: 立足于于尽量减少少风险, 实行资产产评估, 风险估算算, 重点选选择, 综合平平衡, 政策制制定, 系统实实施, 审计监监管等的全全过程和全全面质量管管理。 安全评估估的综合方方法: 面向设设计过程, 强调系系统总体评

21、评价。在评评估标准上上掌握好传传统与现实实、国际通通用互认和和中国特点点的关系。在保护轮轮廓内掌握握好安全功功能和保障障的关系。 2. 从从系统复杂杂性的观点点理解和解解决安全问问题: 信息安安全是过程程、政策、标准、管管理、指导导、监控、法规、培培训和工具具技术的有有机总和。这需要在在不同层面面上面向目目标, 用定性性与定量相相结合、技技术措施与与专家经验验相结合的的综合集成成方法加以以解决。对对信息内容容的管理则则要从源头头、传递、网关、服服务网站和和用户层面面进行综合合治理。以以创新精神神跟上网络络和安全技技术的新发发展我们处处在网络调调整发展和和科技突飞飞猛进的时时代, 信息安安全技术

22、是是具有对抗抗性的敏感感技术, 面对日益益迫切的需需要, 唯一的的出路就是是自主创新。但但是自主创创新并不排排斥吸取国国外的先进进技术相反反, 只有密密切跟踪国国际信息安安全技术的的新进民才才能知已 知彼, 为我所用用, 在技术术创新上以以下发展值值得注意: 1. 在在信息安全全系统的构构建、模式式、评估方方面 风险管理理技术已由由传统的相相对固定的的模式向灵灵活的不断断反馈、不不断演进的的弹性模式式转化, 强调可测测量的方法法体系, 形成所谓谓“有适应能能力的风险险管理模式式”。 十年前, 信息安安全系统构构建理念是是“自上而下下”即顶层设设计。从IInterrnet的的历史特点点和发展现现

23、实出发, 需要先先“自下而上上”赴, 接着“上下结合合”, 然后再再在网络的的确定范围围内从全局局上规划, 构成安安全体系。系统安全全不能作到到一劳永逸逸, 需要动动态的构建建模型。在安全功能能、服务的的配置上, 过去是是先从整体体定义入手手, 但是Intterneet量个多多元化的应应用环境, 而且日日新月异。因此现实实的解决办办法是“分而治之之”。各种应应用, 各个部部门, 先在统统一的规范范下, “从我做起起”或者分层层分步实施施。这在相相当一段时时间内, 是推动网网络发展、激励安全全应用的现现实途径。 新的安全全协议不断断出现, 有的已趋趋于成熟, 例如大大家熟知IIPv6已已被公认安

24、安全性较强强, 又能比比IPv44提供更好好的互连互互通功能, 很有可可能进入主主流, 如何使使我们的安安全产品能能同时支持持IPv66已提到日日程上 人类社会向向来是正义义与邪恶并并存,在科科学技术进进步的同时时人类也面面临新的威威胁,计算算机技术的的发展带来来的计算机机犯罪就是是其中典型型的例子。下面谈谈谈实施一个个完整的安安全体系应应该考虑的的问题。 国国内的信息息系统安全全吗? 在国家范范围的网络络建设方面面, 国家电电信事业迅迅速发展, 取得了了巨大的成成绩。 但但是, 国家通通信网络的的交换机及及其通信设设备有相当当一部分由由于没有经经过安全检检测, 安全问问题没有保保证, 这是由

25、由于安全检检测工作的的建设滞后后造成的。交换机的嵌嵌入操作系系统的安全全性也存在在问题。通通信业务的的计算机系系统也多采采用开放式式的操作系系统, 安全级级别都很低低, 也没有有附加安全全措施。这这些系统不不能抵抗黑黑客的攻击击与信息炸炸弹的攻击击。在国家家政府部门门, 应当说说对信息系系统的安全全性还是重重视的, 但苦于没没有好的解解决问题的的方案和安安全建设经经费不足, 行业系系统安全问问题还是相相当严重的的,计算机系系统也多采采用开放式式的操作系系统, 安全级级别较低。不能抵抗抗黑客的攻攻击与信息息炸弹的攻攻击。有些些系统网络络多路出口口, 对信息息系统安全全没有概念念,完全没有有安全措

26、施施, 更谈不不上安全管管理与安全全策略的制制定。有的的行业的信信息系统业业务是在没没有安全保保障的情况况下发展的的。在金融领域域, 有些系系统采用了了开放操作作系统UNNIX。在在系统采购购时, 有些单单位没有采采购安全系系统或安全全系统建设设不完善。这些系统统安全级别别较低, 安全问题题是普遍性性的。有的的商品交易易所与证券券公司使用用的信息系系统采用的的是微机网网络系统, 已经出出现内外黑黑客的攻击击, 应当说说问题已经经相当严重重。在产业发展展决策方面面, 当然改改革开放以以来取得巨巨大成绩, 在行业业规划方面面一度存在在轻系统重重应用的发发展思路, 对目前前出现的信信息系统安安全问题

27、是是有影响的的。行业部部门应当重重视系统软软件的建设设工作, 因为单靠靠企业发展展系统软件件是不可能能在较短的的时间内取取得地位的的, 要在系系统软件领领域占有一一席之地应应当成为国国策, 甚至不不亚于芯片片建设的重重要性。要要加强信息息系统安全全的标准化化工作,要启动信信息系统安安全建设的的内需, 要明确信信息系统安安全建设的的要求和规规范。应当当引起我们们注意的是是操作系统统、网络系系统与数据据库管理系系统的安全全问题,是信息系系统的核心心技术, 没有系统统的安全就就没有信息息的安全。我们应当当特别注意意, 我国在在信息系统统安全方面面与美国是是不平等的的。在信息息系统安全全管理部门门信息

28、系统统产品的认认证和检测测工作刚刚刚开始, 任重而道道远2.3 影响网络络信息安全全的因素 现现今的网络络信息安全全存在的威威胁主要表表现在以下下几个方面面。 11.非授权权访问。指指对网络设设备及信息息资源进行行非正常使使用或越权权使用等。 22.冒充合合法用户。主要指利利用各种假假冒或欺骗骗的手段非非法获得合合法用户的的使用权限限,以达到到占用合法法用户资源源的目的。 33.破坏数数据的完整整性。指使使用非法手手段,删除除、修改、重发某些些重要信息息,以干扰扰用户的正正常使用。 44.干扰系系统正常运运行。指改改变系统的的正常运行行方法,减减慢系统的的响应时间间等手段。 55.病毒与与恶意

29、攻击击。指通过过网络传播播病毒或恶恶意Javva、XAActivve等。 66.线路窃窃听。指利利用通信介介质的电磁磁泄漏或搭搭线窃听等等手段获取取非法信息息。2.4 计算机安安全分类及及基本功能能 根根据国家计计算机安全全规范,可可把计算机机的安全大大致分为三三类。一是是实体安全全,包括机机房、线路路,主机等等;二是网网络与信息息安全,包包括网络的的畅通、准准确及其网网上的信息息安全;三三是应用安安全,包括括程序开发发运行、输输入输出、数据库等等的安全。下面重点点探讨第二二类网络与与信息的安安全问题。 网网络信息安安全需求可可以归结为为以下几类类: 11.基本安安全类 包包括访问控控制、授权

30、权、认证、加密和内内容安全等等。 访访问控制是是提供企业业内部与外外界及内部部不同信息息源之间隔隔离的基本本机制,也也是企业的的基本要求求。但是提提供隔离不不是最终目目的,企业业利用Innternnet技术术的最终目目的应当是是在安全的的前题下提提供方便的的信息访问问,这就是是授权需求求。同时,用户也希希望对授权权的人的身身份进行有有效的识别别,这就是是认证的需需求。为了了保证信息息在存储和和传输中不不被纂改、窃听等需需要加密功功能,同时时,为了实实施对进出出企业网的的流量进行行有效的控控制,就需需要引入内内容安全要要求。 22.管理与与记帐类 包包括安全策策略管理、企业范围围内的集中中管理、

31、记记帐、实时时监控,报报警等功能能。 33.网络互互联设备安安全类 包包括路由器器安全管理理、远程访访问服务器器安全管理理、通信服服务器安全全管理、交交换机安全全管理等。 44.连接控控制类主要为发布布企业消息息的服务器器提供可靠靠的连接服服务,包括括负载均衡衡、高可靠靠性以及流流量管理等等。2.5 安全缺口口安全策略经经常会与用用户方便性性相矛盾,从而产生生相反的压压力,使安安全措施与与安全策略略相脱节。这种情况况称为安全全缺口。为为什么会存存在安全缺缺口呢?有有下面四个个因素: 11、网络设设备种类繁繁多当前使使用的有各各种各样的的网络设备备,从Wiindowws NTT和UNIIX 服务

32、务器到防火火墙、路由由器和Weeb服务器器,每种设设备均有其其独特的安安全状况和和保密功能能; 22、访问方方式的多样样化一般来来说,您的的网络环境境存在多种种进出方式式,许多过过程拔号登登录点以及及新的Innternnet访问问方式可能能会使安全全策略的设设立复杂化化; 33、网络的的不断变化化网络不不是静态的的,一直都都处于发展展变化中。启用新的的硬件设备备和操作系系统,实施施新的应用用程序和WWeb服务务器时,安安全配置也也有不尽相相同;4、用户保保安专业知知识的缺乏乏许多组组织所拥有有的对网络络进行有效效保护的保保安专业知知识十分有有限,这实实际上是造造成安全缺缺口最为主主要的一点点。

33、2.6 网络安全全评估 为为堵死安全全策略和安安全措施之之间的缺口口,必须从从以下三方方面对网络络安全状况况进行评估估: 11、 从企企业外部进进行评估:考察企业业计算机基基础设施中中的防火墙墙; 22、从企业业内部进行行评估:考考察内部网网络系统中中的计算机机;3、从应用用系统进行行评估:考考察每台硬硬件设备上上运行的操操作系统。2.7 计算机网网络的安全全策略2.7.11 物理安安全策略 物物理安全策策略的目的的是保护计计算机系统统、网络服服务器、打打印机等硬硬件实体和和信链路免免受自然灾灾害、人为为破坏和搭搭线攻击；验证用户户的身份和和使用权限限、防用户户越权操作作；确保计计算机系统统有

34、一个良良好的电磁磁兼容工作作环境；建建立完备的的安全管理理制度，防防止非法进进入计算机机控制室和和各种偷窃窃、破坏活活动的发生生。抑制和防止止电磁泄漏漏（即TEEMPESST技术）是是物理安全全策略的一一个主要问问题。目前前主要防护护措施有两两类：一类类是对传导导发射的防防护，主要要采取对电电源线和信信号线加装装性能良好好的滤波器器，减小传传输阻抗和和导线间的的交叉耦合合。另一类类是对辐射射的防护，这这类防护措措施又可分分为以下两两种：一是采用各各种电磁屏屏蔽措施，如如对设备的的金属屏蔽蔽和各种接接插件的屏屏蔽，同时时对机房的的下水管、暖气管和和金属门窗窗进行屏蔽蔽和隔离；二是干扰的的防护措施

35、施，即在计计算机系统统工作的同同时，利用用干扰装置置产生一种种与计算机机系统辐射射相关的伪伪噪声向空空间辐射来来掩盖计算算机系统的的工作频率率和信息特特征。2.7.22 访问控控制策略 访访问控制是是网络安全全防范和保保护的主要要策略，它它的主要任任务是保证证网络资源源不被非法法使用和非非常访问。它也是维维护网络系系统安全、保护网络络资源的重重要手段。各种安全全策略必须须相互配合合才能真正正起到保护护作用，但但访问控制制可以说是是保证网络络安全最重重要的核心心策略之一一。下面我我们分述各各种访问控控制策略。1) 入网网访问控制制 入入网访问控控制为网络络访问提供供了第一层层访问控制制。它控制制

36、哪些用户户能够登录录到服务器器并获取网网络资源，控控制准许用用户入网的的时间和准准许他们在在哪台工作作站入网。 用用户的入网网访问控制制可分为三三个步骤：用户名的的识别与验验证、用户户口令的识识别与验证证、用户帐帐号的缺省省限制检查查。三道关关卡中只要要任何一关关未过，该该用户便不不能进入该该网络。 对对网络用户户的用户名名和口令进进行验证是是防止非法法访问的第第一道防线线。用户注注册时首先先输入用户户名和口令令，服务器器将验证所所输入的用用户名是否否合法。如如果验证合合法，才继继续验证用用户输入的的口令，否否则，用户户将被拒之之网络之外外。用户的的口令是用用户入网的的关键所在在。为保证证口令

37、的安安全性，用用户口令不不能显示在在显示屏上上，口令长长度应不少少于6个字符，口口令字符最最好是数字字、字母和和其他字符符的混合，用用户口令必必须经过加加密，加密密的方法很很多，其中中最常见的的方法有：基于单向向函数的口口令加密，基基于测试模模式的口令令加密，基基于公钥加加密方案的的口令加密密，基于平平方剩余的的口令加密密，基于多多项式共享享的口令加加密，基于于数字签名名方案的口口令加密等等。经过上上述方法加加密的口令令，即使是是系统管理理员也难以以得到它。用户还可可采用一次次性用户口口令，也可可用便携式式验证器（如如智能卡）来来验证用户户的身份。 网网络管理员员应该可以以控制和限限制普通用用

38、户的帐号号使用、访访问网络的的时间、方方式。用户户名或用户户帐号是所所有计算机机系统中最最基本的安安全形式。用户帐号号应只有系系统管理员员才能建立立。用户口口令应是每每用户访问问网络所必必须提交的的“证件”、用户可可以修改自自己的口令令，但系统统管理员应应该可以控控制口令的的以下几个个方面的限限制：最小小口令长度度、强制修修改口令的的时间间隔隔、口令的的唯一性、口令过期期失效后允允许入网的的宽限次数数。 用用户名和口口令验证有有效之后，再再进一步履履行用户帐帐号的缺省省限制检查查。网络应应能控制用用户登录入入网的站点点、限制用用户入网的的时间、限限制用户入入网的工作作站数量。当用户对对交费网络

39、络的访问“资费”用尽时，网网络还应能能对用户的的帐号加以以限制，用用户此时应应无法进入入网络访问问网络资源源。网络应应对所有用用户的访问问进行审计计。如果多多次输入口口令不正确确，则认为为是非法用用户的入侵侵，应给出出报警信息息。2) 网络络的权限控控制网络的权限限控制是针针对网络非非法操作所所提出的一一种安全保保护措施。用户和用用户组被赋赋予一定的的权限。网网络控制用用户和用户户组可以访访问哪些目目录、子目目录、文件件和其他资资源。可以以指定用户户对这些文文件、目录录、设备能能够执行哪哪些操作。受托者指指派和继承承权限屏蔽蔽（IRMM）可作为为其两种实实现方式。受托者指指派控制用用户和用户户

40、组如何使使用网络服服务器的目目录、文件件和设备。继承权限限屏蔽相当当于一个过过滤器，可可以限制子子目录从父父目录那里里继承哪些些权限。我我们可以根根据访问权权限将用户户分为以下下几类：特殊用户（即即系统管理理员）；一般用户，系系统管理员员根据他们们的实际需需要为他们们分配操作作权限；审计用户，负负责网络的的安全控制制与资源使使用情况的的审计。用用户对网络络资源的访访问权限可可以用一个个访问控制制表来描述述。3) 目录录级安全控控制网络应允许许控制用户户对目录、文件、设设备的访问问。用户在在目录一级级指定的权权限对所有有文件和子子目录有效效，用户还还可进一步步指定对目目录下的子子目录和文文件的权

41、限限。对目录录和文件的的访问权限限一般有八八种：系统管理员员权限（SSuperrvisoor）；读权限（RRead）、；写权限（WWritee）；创建权限（Create）；删除权限（Erase）；修改权限（Modify）；文件查找权权限（Fiile SScan）；存取控制权权限（Acccesss Conntroll）；用户对文件件或目标的的有效权限限取决于以以下二个因因素：用户户的受托者者指派、用用户所在组组的受托者者指派、继继承权限屏屏蔽取消的的用户权限限。一个网网络系统管管理员应当当为用户指指定适当的的访问权限限，这些访访问权限控控制着用户户对服务器器的访问。八种访问问权限的有有效组合可可

42、以让用户户有效地完完成工作，同同时又能有有效地控制制用户对服服务器资源源的访问，从从而加强了了网络和服服务器的安安全性。4) 属性性安全控制制当用文件、目录和网网络设备时时，网络系系统管理员员应给文件件、目录等等指定访问问属性。属属性安全控控制可以将将给定的属属性与网络络服务器的的文件、目目录和网络络设备联系系起来。属性安全在在权限安全全的基础上上提供更进进一步的安安全性。网网络上的资资源都应预预先标出一一组安全属属性。用户户对网络资资源的访问问权限对应应一张访问问控制表，用用以表明用用户对网络络资源的访访问能力。属性设置可可以覆盖已已经指定的的任何受托托者指派和和有效权限限。属性往往往能控制

43、制以下几个个方面的权权限：向某某个文件写写数据、拷拷贝一个文文件、删除除目录或文文件、查看看目录和文文件、执行行文件、隐隐含文件、共享、系系统属性等等。网络的的属性可以以保护重要要的目录和和文件，防防止用户对对目录和文文件的误删删除、执执行修改、显示等。5) 网络络服务器安安全控制 网网络允许在在服务器控控制台上执执行一系列列操作。用用户使用控控制台可以以装载和卸卸载模块，可可以安装和和删除软件件等操作。网络服务务器的安全全控制包括括可以设置置口令锁定定服务器控控制台，以以防止非法法用户修改改、删除重重要信息或或破坏数据据；可以设设定服务器器登录时间间限制、非非法访问者者检测和关关闭的时间间间

44、隔。6) 网络络监测和锁锁定控制 网网络管理员员应对网络络实施监控控，服务器器应记录用用户对网络络资源的访访问，对非非法的网络络访问，服服务器应以以图形或文文字或声音音等形式报报警，以引引起网络管管理员的注注意。如果果不法之徒徒试图进入入网络，网网络服务器器应会自动动记录企图图尝试进入入网络的次次数，如果果非法访问问的次数达达到设定数数值，那么么该帐户将将被自动锁锁定。7) 网络络端口和节节点的安全全控制 网网络中服务务器的端口口往往使用用自动回呼呼设备、静静默调制解解调器加以以保护，并并以加密的的形式来识识别节点的的身份。自自动回呼设设备用于防防止假冒合合法用户，静静默调制解解调器用以以防范

45、黑客客的自动拨拨号程序对对计算机进进行攻击。网络还常常对服务器器端和用户户端采取控控制，用户户必须携带带证实身份份的验证器器（如智能能卡、磁卡卡、安全密密码发生器器）。在对对用户的身身份进行验验证之后，才才允许用户户进入用户户端。然后后，用户端端和服务器器端再进行行相互验证证2.8 确保网络络安全的措措施 由由于网络安安全的目的的是保障用用户的重要要信息的安安全，因此此限制直接接接触十分分重要。如如果用户的的网络连入入Inteernett，那麽最最好尽可能能地把与IInterrnet连连接的机器器与网络的的其余部分分隔离开来来。实现这这个目标的的最安全的的方法是将将Inteernett服务器与

46、与网络实际际隔开。当当然，这种种解决方案案增加了机机器管理的的难度。但但是如果有有人闯入隔隔离开的机机器，那麽麽网络的其其余部分不不会受到牵牵连。 最最重要的是是限制访问问。不要让让不需要进进入网关的的人都进入入网关。在在机器上用用户仅需要要一个用户户帐号，严严格限制它它的口令。只有在使使用su时才允允许进入根根帐号。这这个方法保保留一份使使用根帐号号者的记录录。 在在Inteernett服务器上上提供的一一些服务有有FTP、HTTPP、远程登登陆和WAAIS（广广域信息服服务）。但但是，FTTP和HTTTP是使使用最普遍遍的服务。它们还有有潜力泄露露出乎用户户意料之外外的秘密。 与与任何其它

47、它Inteernett服务一样样，FTPP一直是（而而且仍是）易易于被滥用用的。值得得一提的弱弱点涉及几几个方面。第一个危危险是配置置不当。它它使站点的的访问者（或或潜在攻击击者）能够够获得更多多超出其预预期的数据据。 他他们一旦进进入，下一一个危险是是可能破坏坏信息。一一个未经审审查的攻击击者可以抹抹去用户的的整个FTTP站点。 最最后一个危危险不必长长篇累牍，这这是因为它它不会造成成破坏，而而且是低水水平的。它它由用户的的FTP站站点构成，对对于交换文文件的人来来说，用户户的FTPP站点成为为“麻木不仁仁的窝脏点点”。这些文文件无所不不包，可以以是盗版软软件，也可可以是色情情画。这种种交换

48、如何何进行的呢呢？简单的的很。发送送者发现了了一个他们们有权写入入和拷入可可疑文件的的FTP站站点。通过过某些其它它方法，发发送者通知知它们的同同伙文件可可以使用。 所所有这些问问题都是由由未正确规规定许可条条件而引起起的。最大大的一个问问题可能是是允许FTTP用户有有机会写入入。当用户户通过FTTP访问一一个系统时时，这一般般是FTPP用户所做做的事。因因此，FTTP用户可可以访问，用用户的访问问者也可以以使用。所所有这些问问题都是由由未正确规规定许可条条件而引起起的。最大大的一个问问题可能是是允许FTTP用户有有机会写入入。当用户户通过FTTP访问一一个系统时时，这一般般是FTPP用户所做

49、做的事。因因此，FTTP用户可可以访问，用用户的访问问者也可以以访问。 一一般说来，FFTP用户户不是用户户的系统中中已经有的的。因此，用用户要建立立FTP用用户。无论论如何要保保证将外壳壳设置为真真正外壳以以外的东西西。这一步步骤防止FFTP用户户通过远程程登录进行行注册（用用户或许已已经禁止远远程登录，但但是万一用用户没有这这样做，确确认一下也也不会有错错）。 将将所有文件件和目录的的主人放在在根目录下下，不要放放在ftpp下。这个个预防措施施防止FTTP用户修修改用户仔仔细构思出出的口令。然后，将将口令规定定为7555（读和执执行，但不不能写，除除了主人之之外）。在在用户希望望匿名用户户

50、访问的所所有目录上上做这项工工作。尽管管这个规定定允许他们们读目录，但但它也防止止他们把什什麽东西放放到目录中中来。 用用户还需要要编制某些些可用的库库。然而，由由于用户已已经在以前前建立了必必要的目录录，因此这这一步仅执执行一部分分。因此，用用户需要做做的一切是是将/ussr/liib/liibe.sso.1和/usrr/libb/libbsockk-et.so/11拷贝到fftp/uusr/llib中。接着将ftp/usr/lib上上的口令改改为5555，并建立立主接收器器。最后，用户户需要在ftp/dev/中建立/dev/nulll和/devv/soccksyss设备结点点。用户可可以用

51、mkknod手手工建立它它们。然而而，让系统统为用户工工作会更加加容易。SSCO文档档说用cppio,但但是coppy（非cp）很管管用。如果用户想想建立一个个人们都可可用留下文文件的目录录，那麽可可将它称作作输入。允允许其他人人写入这个个目录，但但不能读。这个预防防措施防止止它成为麻麻木不仁的的窝脏点。人们可以以在这里放放入他们想想放的任何何东西，但但是他们不不能将它们们取出。如如果用户认认为信息比比较适合共共享，那麽麽将拷贝到到另一个目目录中。2.9 提高企业业内部网安安全性的几几个步骤限制对网关关的访问。限制网关关上的帐号号数。不要要允许在网网络上进行行根注册；不要信任任任何人。网网关不

52、信任任任何机器器。没有一一台机器应应该信任网网关；不要用NFFS向网关关传输或接接收来自网网关的任何何文件系统统；不要在网关关上使用NNIS（网网络信息服服务）；制订和执行行一个非网网关机器上上的安全性性方针；关闭所有多多余服务和和删除多余余程序删除网关的的所有多余余程序（远远程登录、rloggin、FTTP等等）；定期阅读系系统记录。3. IIntraanet安安全解决方方案3.1 Intrranett安全解决决方案 过过去我们往往往把信息息安全局限限于通信保保密,局限限于对信息息加密功能能要求,其其实网络信信息安全牵牵涉到方方方面面的问问题,是一一个极其复复杂的系统统工程。从从简化的角角度

53、来看,要实施一一个完整的的网络与信信息安全体体系,至少少应包括三三类措施,并且三者者缺一不可可。一是社社会的法律律政策、企企业的规章章制度以及及安全教育育等外部软软环境。在在该方面政政府有关部部门、企业业的主要领领导应当扮扮演重要的的角色。二二是技术方方面的措施施,如防火火墙技术、网络防毒毒、信息加加密存储通通信、身份份认证、授授权等。只只有技术措措施并不能能保证百分分之百的安安全。三是是审计和管管理措施,该方面措措施同时包包含了技术术与社会措措施。其主主要措施有有:实时监监控企业安安全状态、提供实时时改变安全全策略的能能力、对现现有的安全全系统实施施漏洞检查查等,以防防患于未然然。 企企业要

54、实施施一个安全全的系统应应该三管齐齐下。其中中法律、企企业领导层层的重视应应处于最重重要的位置置。没有社社会的参与与就不可能能实施安全全保障。 网网络信息安安全包括了了建立安全全环境的几几个重要组组成部分,其中安全全的基石是是社会法律律、法规与与手段,这这部分用于于建立一套套安全管理理标准和方方法。 第第二部分为为增强的用用户认证,用户认证证在网络和和信息的安安全中属于于技术措施施的第一道道大门,最最后防线为为审计和数数据备份,不加强这这道大门的的建设,整整个安全体体系就会较较脆弱。用用户认证的的主要目的的是提供访访问控制和和不可抵赖赖的作用。用户认证证方法按其其层次不同同可以根据据以下三种种

55、因素提供供认证。 11.用户持持有的证件件,如大门门钥匙、门门卡等等; 22.用户知知道的信息息,如密码码; 33.用户特特有的特征征,如指纹纹、声音、视网膜扫扫描等等。 根根据在认证证中采用因因素的多少少,可以分分为单因素素认证、双双因素认证证,多因素素认证等方方法。 第第三部分是是授权,这这主要为特特许用户提提供合适的的访问权限限,并监控控用户的活活动,使其其不越权使使用。该部部分与访问问控制(常常说的隔离离功能)是是相对立的的。隔离不不是管理的的最终目的的,管理的的最终目的的是要加强强信息有效效、安全的的使用,同同时对不同同用户实施施不同访问问许可。 第第四部分是是加密。在在上述的安安全

56、体系结结构中,加加密主要满满足以下几几个需求。 11.认证识别用用户身份,提供访问问许可; 22.一致性性保证数数据不被非非法篡改; 33.隐密性性保护数数据不被非非法用户查查看; 44.不可抵抵赖使信息息接收者无无法否认曾曾经收到的的信息。 加加密是信息息安全应用用中最早开开展的有效效手段之一一,数据通通过加密可可以保证在在存取与传传送的过程程中不被非非法查看、篡改、窃窃取等。在在实际的网网络与信息息安全建设设中,利用用加密技术术至少应能能解决以下下问题: 11.钥匙的的管理,包包括数据加加密钥匙、私人证书书、私密等等的保证分分发措施; 22.建立权权威钥匙分分发机构; 33.保证数数据完整

57、性性技术; 44.数据加加密传输; 55.数据存存储加密等等。 第第五部分为为审计和监监控,确切切说,还应应包括数据据备份,这这是系统安安全的最后后一道防线线。系统一一旦出了问问题,这部部分可以提提供问题的的再现、责责任追查、重要数据据复原等保保障。在网络和信信息安全模模型中,这这五个部分分是相辅相相成、缺一一不可的。其中底层层是上层保保障的基础础,如果缺缺少下面各各层次的安安全保障,上一层的的安全措施施则无从说说起。如果果一个企业业没有对授授权用户的的操作规范范、安全政政策和教育育等方面制制定有效的的管理标准准,那么对对用户授权权的控制过过程以及事事后的审计计等的工作作就会变得得非常困难难。

58、3.2 网络信息息安全产品品 为为了实施上上面提出的的安全体系系,可采用用防火墙产产品来满足足其要求。 采采用NettScreeen 公公司的硬件件防火墙解解决方案NNetSccreenn-10 & NeetScrreen-100可可以满足以以下功能。 (1)访问问控制 实实施企业网网与外部、企业内部部不同部门门之间的隔隔离。其关关键在于应应支持目前前Inteernett中的所有有协议,包包括传统的的面向连接接的协议、无连接协协议、多媒媒体、视频频、商业应应用协议以以及用户自自定义协议议等。 (2)普通通授权与认认证 提提供多种认认证和授权权方法,控控制不同的的信息源。 (3)内容容安全 对对

59、流入企业业内部的网网络信息流流实施内部部检查,包包括URLL过滤等等等。 (4)加密密 提提供防火墙墙与防火墙墙之间、防防火墙与移移动用户之之间信息的的安全传输输。 (5)网络络设备安全全管理 目目前一个企企业网络可可能会有多多个连通外外界的出口口,如连接接ISP的的专线、拨拨号线等,同时,在在大的企业业网内不同同部门和分分公司之间间可能亦会会有由多级级网络设备备隔离的小小网络。根根据信息源源的分布情情况,有必必要对不同同网络和资资源实施不不同的安全全策略和多多种级别的的安全保护护,如可以以在防火墙墙上实施路路由器、交交换机、访访问服务器器的安全管管理。 (6)集中中管理 实实施一个企企业一种

60、安安全策略,实现集中中管理、集集中监控等等。 (7)提供供记帐、报报警功能 实实施移动方方式的报警警功能,包包括E-mmail、SNMPP等。 企业业如何选择择合适的防防火墙 计算机网络络将有效的的实现资源源共享,但但资源共享享和信息安安全是一对对矛盾。随随着资源共共享进一步步加强，随随之而来的的信息安全全问题也日日益突出。并不是每一一款防火墙墙都适应于于每个用户户的需求，根根据用户需需求的不同同，所需要要的防火墙墙可能完全全不同。下下面列举了了几种网络络中的防火火墙应用。 INTEERNETT或信息发发布服务 这种情况非非常普遍，IISP或IICP，企企业的网页页，在INNTERNNET上提