信息安全解决方案

（6）安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。基于上述思想，网络信息安全系统应遵循如下设计原则：满足因特网的分级管理需求InternetInternet/Intranet实施分级管理的解决方案，将对它的控制点分为三级实施安全管理。第一级：中心级网络，主要实现内外网隔离；内外网用户的访问控制；内部网的保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；易于操作、维护，并便于自动化管理，而不增加或少增加附加操作；尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；监控；内部网传输数据的备份与稽查。控制；部门网内部的安全审计。第三级：终端/个人用户级，实现部门网内部主机的访问控制；数据库及终端信息资源的安全保护。需求、风险、代价平衡的原则综合性、整体性原则行政法律手段、各种管理制度（人员审查、工作流程、维护保障制度等）业措施（等可用性原则行，如不采用或少采用极大地降低运行速度的密码算法。分步实施原则：分级管理分步实施的基本需求，亦可节省费用开支。二、网络信息安全系统设计步骤网络安全需求分析确立合理的目标基线和安全策略明确准备付出的代价制定可行的技术方案工程实施方案（产品的选购与定制）制定配套的法规、条例和管理办法安全强度的网络信息安全解决方案。三、网络安全需求来讲，网络信息系统需要解决如下安全问题： LAN的实现Internet 应用系统如何保证安全性l服务器等的入侵如何实现广域网信息传输的安全保密性 成加密等如何实现远程访问的安全性如何评价网络系统的整体安全性通信、认证、隐藏网络内部信息（如NAT）等，具体参见北京天融信公司<<ÍøÂçÐÅÏ¢°²È«°×ƤÊé>。四、网络安全层次及安全措施4.14.24.3信息传输（动态数据加密安全）信息传输（动态数据加密安全）数据完整性鉴别防抵赖信息安全信息存储（安全）终端安全信息的防泄密信息内容审计安全管理用户 鉴别 授权（CA）网络安全访问控制 网络安全检（防火墙)测入侵检测（监控)）审计分析链路安全链路加密4．1链路安全DDN直通专线用户就可以选择路由加密设备。一般，线路加密产品主要用于电话网、DDN、专线、卫星点对点通信环境，它包IP也可以在两个网络结点之间建立透明的安全加密信道。其中利用IPAH）可以提供认证与数据完整性机制。利IP（IPESP）可以实现通信内容的保密。IPIPVPN。目前基于IPSEC火墙也提供相同功能。信息安全（应用与数据安全）（无论是动态的还是静态的）的使用和修改都是自由的，如非法修改、越权使用、改变信息信息的存储安全以及对信息内容的审计。北京天融信公司为解决这一层次的安全问题而提供的相关产品有： wInternet/Intranet鉴别、数据加密、数字签名和自动密钥分发等安全功能。 CA建立证书中心CA。因此，建立CA X.25X.25网用户提供全程加密服务，它支持专线及电话拨号两种入网方式。 信息稽查系统：是针对信息内容进行审计的安全管理手漏以及外部不良信息的侵入和外部的非法攻击提供有效的技术手段。 文电办公自动化安全保密系统方便的特点。可广泛应用于企业内部网、局域网、广域网以及利用Internet 用化的数据库软件产品，系统主要的安全机制包括：管理员、审计员、靠的故障恢复机制。该系统是客户/服务器体系机构的分布式多媒体数据ORACLEV7，ORACLE 选用的通用数据库开发的安全措施，是在目前流行的通用数据库（如Oracle）基础上增加控件，以实现对数据库的访问/存取控制及加密控制等。五、网络信息安全解决方案选型指导5.15.25.3链路安全解决方案用户需求：链路加密，防信息泄漏，对用户透明，设备自身安全管理解决方案：异步线路密码机（适用于电话网）、同步线路密码机）适用于（DDN专线、X.25专线、卫星线路）网络安全解决方案基本防护体系（包过滤防火墙＋NAT＋计费用户需求：全部或部分满足以下各项解决内外网络边界安全，防止外部攻击，保护内部网络VLANIPIPNATSSNIPMACIPIPIPIP防火墙运行在安全操作系统之上防火墙为独立硬件IP解决方案：采用网络卫士防火墙NGFW-2000标准防护体系（包过滤＋NAT＋计费＋代理＋VPN）用户需求：在基本防护体系配置的基础之上，全部或部分满足以下各项提供应用代理服务，隔离内外网络用户身份鉴别权限控制基于用户计费基于用户的流量统计与控制WEBVPN支持透明接入解决方案：选用NGFW-3000防火墙基本配置＋网络加密机（IP）强化防护体系（包过滤＋NAT＋计费＋代理＋VPN用户需