信息安全解决方案

15.1信息安全体系结构现状15.2网络安全需求15.3网络安全产品15.4某大型企业网络安全解决方案案例15.5电子政务安全平台实施方案小结习题20世纪80年代中期，美国国防部为适应军事计算机的保密需要，在20世纪70年代的基础理论研究成果计算机保密模型(Bell＆Lapadula模型)的基础上，制定了“可信计算机系统安全评价准则”(TCSEC)，其后又对网络系统、数据库等方面作出了一系列安全解释，形成了安全信息系统体系结构的最早原则。至今，美国已研制出符合TCSEC要求的安全系统(包括安全操作系统、安全数据库、安全网络部件)达100多种，但这些系统仍有局限性，还没有真正达到形式化描述和证明的最高级安全系统。15.1信息安全体系结构现状1989年，确立了基于OSI参考模型的信息安全体系结构，1995年在此基础上进行修正，颁布了信息安全体系结构的标准，具体包括五大类安全服务、八大种安全机制和相应的安全管理标准(详见1.4.1节)。

20世纪90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)，但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CCforITSEC)。CC综合了国际上已有的评测准则和技术标准的精华，给出了框架和原则要求，但它仍然缺少综合解决信息的多种安全属性的理论模型依据。标准于1999年7月通过国际标准化组织的认可，被确立为国际标准，编号为ISO/IEC15408。ISO/IEC15408标准对安全的内容和级别给予了更完整的规范，为用户对安全需求的选取提供了充分的灵活性。然而，国外研制的高安全级别的产品对我国是封锁禁售的，即使出售给我们，其安全性也难以令人放心。安全体系结构理论与技术主要包括安全体系模型的建立及其形式化描述与分析，安全策略和机制的研究，检验和评估系统安全性的科学方法和准则的建立，符合这些模型、策略和准则的系统的研制(比如安全操作系统、安全数据库系统等)。

我国在系统安全的研究及应用方面与先进国家和地区存在着很大的差距。近几年来，我国进行了安全操作系统、安全数据库、多级安全机制的研究，但由于自主安全内核受控于人，难以保证没有漏洞，而且大部分有关的工作都以美国1985年的TCSEC标准为主要参照系。开发的防火墙、安全路由器、安全网关、黑客入侵检测系统等产品和技术，主要集中在系统应用环境的较高层次上，在完善性、规范性、实用性上还存在许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大的差距，其理论基础和自主的技术手段也有待于发展和强化。然而，我国的系统安全的研究与应用毕竟已经起步，具备了一定的基础和条件。1999年10月，我国发布了“计算机信息系统安全保护等级划分准则”，该准则为安全产品的研制提供了技术支持，也为安全系统的建设和管理提供了技术指导。Linux开放源代码为我们自主研制安全操作系统提供了前所未有的机遇。作为信息系统赖以支持的基础系统软件——操作系统，其安全性是关键。长期以来，我国广泛使用的主流操作系统都是从国外引进的。从国外引进的操作系统，其安全性难以令人放心。具有我国自主版权的安全操作系统产

品在我国各行各业都迫切需要。我国的政府、国防、金融等机构对操作系统的安全都有各自的要求，都迫切需要找到一

个既满足功能、性能要求，又具备足够的安全可信度的操作系统。Linux的发展及其在国际上的广泛应用，在我国也产生了广泛的影响，只要其安全问题得到妥善解决，就会得到我国各行各业的普遍接受。网络安全需求主要包括下述几种需求。

1.物理安全需求

由于重要信息可能会通过电磁辐射或线路干扰而被泄漏，因此需要对存放机密信息的机房进行必要的设计，如

构建屏蔽室、采用辐射干扰机等，以防止电磁辐射泄漏机密信息。此外，还可对重要的设备和系统进行备份。15.2网络安全需求

2.访问控制需求

网络需要防范非法用户的非法访问和合法用户的非授权访问。非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下，网络的安全主要是靠主机系统自身的安全设置(如用户名及口令)简单控制的。但对于用户名及口令的保护方式，对有攻击目的的人而言，根本就不是一种障碍。他们可以通过对网络上信息的监听或者通过猜测得到用户名及口令，这对他们而言都不是难事，而且只需花费很少的时间。因此，要采取一定的访问控制手段，防范来自非法用户的攻击，保证只有合法用户才能访问合法资源。合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部分信息是可以对外开放的，而有些信息是要求保密或具有一定的隐私性的。

外部用户被允许访问一定的信息，但他们同时有可能通过一些手段越权访问别人不允许他访问的信息，从而会造成他人的信息泄密，因此必须加密访问控制的机制，对服务及访问权限进行严格控制。3.加加密密需需求求与与CA系系统统构构建建加密密传传输输是是网网络络安安全全的的重重要要手手段段之之一一。。信信息息的的泄泄漏漏很很多多都都是是在在链链路路上上被被搭搭线线窃窃取取的的，，数数据据也也可可能能因因为为在在链链路路上上被被截截获获、、被被篡篡改改后后传传输输给给对对方方，，造造成成数数据据的的真真实实性性、、完完整整性性得得不不到到保保证证。。如如果果利利用用加加密密设设备备对对传传输输数数据据进进行行加加密密，，使使得得在在网网上上的的数数据据以以密密文文传传输输(因因为为数数据据是是密密文文)，，那那么么即即使使在在传传输输过过程程中中被被截截获获，，入入侵侵者者也也读读不不懂懂，，而而且且加加密密还还能能通通过过先先进进的的技技术术手手段段对对数数据据传传输输过过程程中中的的完完整整性性、、真真实实性性进进行行鉴鉴别别，，从从而而保保证证数数据据的的保保密密性性、、完完整整性性及及可可靠靠性性。。因因此此，，必必须须配配备备加加密密设设备备对对数数据据进进行行传传输输加加密密。。网络络系系统统采采用用加加密密措措施施，，而而加加密密系系统统通通常常都都通通过过加加密密密密钥钥来来实实现现，，但但密密钥钥的的分分发发及及管管理理的的可可靠靠性性却却存存在在安安全全问问题题。。为为解解决决此此问问题题，，提提出出了了CA系系统统的的构构建建，，即即通通过过信信任任的的第第三三方方来来确确保保通通信信双双方方互互相相交交换换信信息息。。4.入入侵侵检检测测系系统统需需求求防火火墙墙是是实实现现网网络络安安全全最最基基本本、、最最经经济济、、最最有有效效的的措措施施之之一一。。防防火火墙墙可可以以对对所所有有的的访访问问进进行行严严格格控控制制(允允许许、、禁禁止止、、报报警警)，，但但防防火火墙墙不不可可能能完完全全防防止止有有些些新新的的攻攻击击或或那那些些不不经经过过防防火火墙墙的的其其他他攻攻击击。。所所以以，，为为确确保保网网络络更更加加安安全全，，必必须须配配备备入入侵侵检检测测系系统统，，对对透透过过防防火火墙墙的的攻攻击击进进行行检检测测，，并并做做相相应应的的反反应应(记记录录、、报报警警、、阻阻断断)。。5.安安全全风风险险评评估估系系统统需需求求网络络系系统统和和操操作作系系统统存存在在安安全全漏漏洞洞(如如安安全全配配置置不不严严密密等等)等等是是使使黑黑客客等等入入侵侵者者的的攻攻击击屡屡屡屡得得手手的的重重要要因因素素。。入入侵侵者者通通常常都都是是通通过过一一些些程程序序来来探探测测网网络络中中系系统统存存在在的的一一些些安安全全漏漏洞洞，，然然后后通通过过发发现现的的安安全全漏漏洞洞，，采采取取相相应应的的技技术术进进行行攻攻击击，，因因此此，，必必需需配配备备网网络络安安全全扫扫描描系系统统和和系系统统安安全全扫扫描描系系统统来来检检测测网网络络中中存存在在的的安安全全漏漏洞洞，，并并采采取取相相应应的的措措施施填填补补系系统统漏漏洞洞，，对对网网络络设设备备等等存存在在的的不不安安全全配配置置重重新新进进行行安安全全配配置置。。6.防防病病毒毒系系统统需需求求病毒毒的的危危害害性性极极大大并并且且传传播播极极为为迅迅速速，，必必须须配配备备从从单单机机到到服服务务器器的的整整套套防防病病毒毒软软件件，，实实现现全全网网的的病病毒毒安安全全防防护护。。必必须须配配备备从从服服务务器器到到单单机机的的整整套套防防病病毒毒软软件件，，防防止止病病毒毒入入侵侵主主机机并并扩扩散散到到全全网网，，实实现现全全网网的的病病毒毒安安全全防防护护，，以以确确保保整整个个单单位位的的业业务务数数据据不不受受到到病病毒毒的的破破坏坏，，日日常常工工作作不不受受病病毒毒的的侵侵扰扰。。由由于于新新病病毒毒的的出出现现比比较较快快，，因因此此要要求求防防病病毒毒系系统统的的病病毒毒代代码码库库的的更更新新周周期期必必须须比比较较短短。。7.漏漏洞洞扫描描需求求在网络络建设设中必必须部部署漏漏洞扫扫描系系统，，它能能主动动检测测本地地主机机系统统存在在安全全性弱弱点的的程序序，采采用模模仿黑黑客入入侵的的手法法对目目标网网络中中的工工作站站、服服务器器、数数据库库等各各种系系统以以及路路由器器、交交换机机、防防火墙墙等网网络设设备可可能存存在的的安全全漏洞洞进行行逐项项检查查，测测试该该系统统上有有没有有安全全漏洞洞存在在，然然后就就将扫扫描结结果向向系统统管理理员提提供周周密、、可靠靠的安安全性性分析析报告告，从从而让让管理理人员员从扫扫描出出来的的安全全漏洞洞报告告中了了解网网络中中服务务器提提供的的各种种服务务及这这些服服务呈呈现在在网络络上的的安全全漏洞洞，在在系统统安全全防护护中做做到有有的放放矢，，及时时修补补漏洞洞，从从根本本上解解决网网络安安全问问题，，有效效地阻阻止入入侵事事件的的发生生。8.电电磁磁泄漏漏防护护需求求计算机机系统统和网网络系系统在在工作作时会会产生生电磁磁辐射射，信信息以以电信信号方方式传传输时时也会会产生生电磁磁辐射射，造造成电电磁泄泄漏。。对重重要的的保密密计算算机，，应使使用屏屏蔽技技术、、电磁磁干扰扰技术术和传传输加加密技技术，，避免免因电电磁泄泄漏而而引起起的信信息泄泄密。。解决网网络信信息安安全问问题的的主要要途径径是利利用密密码技技术和和网络络访问问控制制技术术。密密码技技术用用于隐隐蔽传传输信信息、、认证证用户户身份份等。。网络络访问问控制制技术术用于于对系系统进进行安安全保保护，，抵抗抗各种种外来来攻击击。目目前，，在市市场上上比较较流行行，而而又能能够代代表未未来发发展方方向的的安全全产品品大致致有以以下几几类。。15.3网网络络安全全产品品1.防防火火墙防火墙墙在某某种意意义上上可以以说是是一种种访问问控制制产品品。它它在内内部网网络与与不安安全的的外部部网络络之间间设置置障碍碍，阻阻止外外界对对内部部资源源的非非法访访问，，防止止内部部对外外部的的不安安全访访问。。防防火墙墙的主主要技技术有有包过过滤技技术、、应用用网关关技术术和代代理服服务技技术。。防火火墙能能够较较为有有效地地防止止黑客客利用用不安安全的的服务务对内内部网网络进进行的的攻击击，并并且能能够实实现数数据流流的监监控、、过滤滤、记记录和和报告告功能能，较较好地地隔断断内部部网络络与外外部网网络的的连接接。但但它本本身可可能存存在安安全问问题，，也可可能会会是一一个潜潜在的的瓶颈颈。2.安安全路路由器器由于WAN连接接需要要专用用的路路由器器设备备，因因而可可通过过路由由器来来控制制网络络传输输。通通常采采用访访问控控制列列表技技术来来控制制网络络信息息流。。3.虚虚拟拟专用用网(VPN)虚虚拟拟专用用网(VPN)是在在公共共数据据网络络上通通过采采用数数据加加密技技术和和访问问控制制技术术来实实现两两个或或多个个可信信内部部网之之间的的互连连。VPN的构构架通通常都都要求求采用用具有有加密密功能能的路路由器器或防防火墙墙，以以实现现数据据在公公共信信道上上的可可信传传递。。4.安安全服服务器器安全服服务器器主要要针对对一个个局域域网内内部信信息存存储、、传输输的安安全保保密问问题，，其实实现功功能包包括对对局域域网资资源的的管理理和控控制，，对局局域网网内用用户的的管理理，以以及对对局域域网中中所有有安全全相关关事件件的审审计和和跟踪踪。5.电电子签签证机机构———CA和和PKI产产品电电子签签证机机构(CA)作作为通通信的的第三三方，，为各各种服服务提提供可可信任任的认认证服服务。。CA可向向用户户发行行电子子证书书，为为用户户提供供成员员身份份验证证和密密钥管管理等等功能能。PKI产品品可以以提供供更多多的功功能和和更好好的服服务，，可作作为所所有应应用的的计算算基础础结构构的核核心部部件。。6.用用户认认证产产品由于IC卡卡技术术的日日益成成熟和和完善善，IC卡卡被更更为广广泛地地用于于用户户认证证产品品中，，用来来存储储用户户的个个人私私钥，，并与与其他他技术术(如如动态态口令令)相相结合合，对对用户户身份份进行行有效效的识识别。。同时时，还还可将将IC卡上上的个个人私私钥与与数字字签名名技术术相结结合，，实现现数字字签名名机制制。随随着模模式识识别技技术的的发展展，诸诸如指指纹、、视网网膜、、脸部部特征征等高高级的的身份份识别别技术术也会会投入入应用用，并并与数数字签签名等等现有有技术术结合合，使使得对对于用用户身身份的的认证证和识识别功功能更更趋完完善。。7.安安全管管理中中心由于网网上的的安全全产品品较多多，且且分布布在不不同的的位置置，这这就需需要建建立一一套集集中管管理的的机制制和设设备，，即安安全管管理中中心。。它用用来给给各网网络安安全设设备分分发密密钥，，监控控网络络安全全设备备的运运行状状态，，负责责收集集网络络安全全设备备的审审计信信息等等。8.入入侵侵检测测系统统(IDS)入侵检检测作作为传传统保保护机机制(比如如访问问控制制、身身份识识别等等)的的有效效补充充，形形成了了信息息系统统中不不可或或缺的的反馈馈链。。9.安安全全数据据库由于大大量的的信息息存储储在计计算机机数据据库内内，有有些信信息是是有价价值的的，也也是敏敏感的的，需需要保保护，，安全全数据据库可可以确确保数数据库库的完完整性性、可可靠性性、有有效性性、机机密性性、可可审计计性及及存取取控制制与用用户身身份识识别等等。但是，，我们们也应应该看看到密密码技技术与与通信信技术术、计计算机机技术术以及及芯片片技术术的融融合正正日益益紧密密，其其产品品的分分界线线越来来越模模糊，，彼此此也越越来越越不能能分割割。在在一个个计算算机系系统中中，很很难简简单地地划分分某个个设备备是密密码设设备，，某个个设备备是通通信设设备。。而这这种融融合的的最终终目的的还是是在于于为用用户提提供高高可信信任的的、安安全的的计算算机和和网络络信息息系统统。网络安安全问问题的的解决决是一一个综综合性性问题题，涉涉及诸诸多因因素，，包括括技术术、产产品和和管理理等。。国际际上已已有众众多的的网络络安全全解决决方案案和产产品，，但由由于出出口政政策和和自主主性等等问题题，目目前还还不能能直接接用于于解决决我国国自己己的网网络安安全问问题，，因此此我国国的网网络安安全问问题只只能借借鉴这这些先先进技技术和和产品品自行行解决决。可可幸的的是，，目前前国内内已有有一些些网络络安全全问题题解决决方案案和产产品。。不过过，这这些解解决方方案和和产品品与国国外同同类产产品相相比尚尚有一一定的的差距距。安全解解决方方案的的目标标是在在不影影响企企业局局域网网当前前业务务的前前提下下，实实现对对其局局域网网全面面的安安全管管理。。将将安全全策略略、硬硬件及及软件件等方方法结结合起起来，，构成成一个个统一一的防防御系系统，，可有有效阻阻止非非法用用户进进入网网络，，减少少网络络的安安全风风险。。15.4某某大型型企业业网络络安全全解决决方案案实例例创建一一种安安全方方案意意味着着设计计一种种如何何处理理计算算机安安全问问题的的计划划，也也就是是尽力力在黑黑客征征服系系统以以前保保护系系统。。通通常，，设计计一套套安全全方案案涉及及以下下步骤骤:(1)网网络络安全全需求求分析析。确确切了了解网网络信信息系系统需需要解解决哪哪些安安全问问题是是建立立合理理安全全需求求的基基础。。(2)确确立立合理理的安安全策策略。。(3)制制订订可行行的技技术方方案，，包包括工工程实实施方方案(产品品的选选购与与订制制)、、制订订管理理办法法等。。15.4.1威威胁分分析威胁就就是将将会对对资产产造成成不利利影响响的潜潜在的的事件件或行行为，，包括括自然然的、、故意意的以以及偶偶然的的情况况。可可以说说威胁胁是不不可避避免的的，我我们必必须采采取有有效的的措施施，以以降低低各种种情况况造成成的威威胁。。1.边边界界网络络设备备安全全威胁胁边界网网络设设备面面临的的威胁胁主要要有以以下两两点:(1)入入侵者者通过过控制制边界界网络络设备备进一一步了了解网网络拓拓扑结结构，，利用用网络络渗透透搜集集信息息，为为扩大大网络络入侵侵范围围奠定定基础础。比比如，，入侵侵者可可以利利用这这些网网络设设备的的系统统(Cisco的IOS)漏漏洞或或者配配置漏漏洞，，实现现对其其控制制。(2)通通过各各种手手段对对网络络设备备实施施拒绝绝服务务攻击击，使使网络络设备备瘫痪痪，从从而造造成网网络通通信的的瘫痪痪。2.信信息息基础础安全全平台台威胁胁信息基基础平平台主主要是是指支支撑各各种应应用与与业务务运行行的各各种操操作系系统。。操作作系统统主要要有Windows系列列与UNIX系系统。。相对对边界界网络络设备备来说说，熟熟知操操作系系统的的人员员的范范围要要广得得多，，而且且在网网络上上，很很容易易就能能找到到许多多针对对各种种操作作系统统的漏漏洞的的详细细描述述，所所以，，针对对操作作系统统和数数据库库的入入侵攻攻击在在网网络中中也是是最常常见的的。不管是是什么么操作作系统统，只只要它它运行行于网网络上上，就就必然然会有有或多多或少少的端端口服服务暴暴露在在网络络上，，而这这些端端口服服务又又恰恰恰可能能存在在致命命的安安全漏漏洞，，这无无疑会会给该该系统统带来来严重重的安安全威威胁，，从而而也给给系统统所在在的网网络带带来很很大的的安全全威胁胁。3.内内部部网络络的失失误操操作行行为由于人人员的的技术术水平平的局局限性性以及及经验验的不不足，，可能能会出出现各各种意意想不不到的的操作作失误误，势势必会会对系系统或或者网网络的的安全全产生生较大大的影影响。。4.源源自自内部部网络络的恶恶意攻攻击与与破坏坏据统计计，有有70%的的网络络攻击击来自自于网网络的的内部部。对对于网网络内内部的的安全全防范范会明明显地地弱于于对于于网络络外部部的安安全防防范，，而且且由于于内部部人员员对于于内部部网络络的熟熟悉程程度一一般是是很高高的，，因此此，由由网络络内部部发起起的攻攻击也也就必必然更更容易易成功功，一一旦旦攻击击成功功，其其强烈烈的攻攻击目目的也也就必必然促促成了了更为为隐蔽蔽和严严重的的网络络破坏坏。5.网网络病毒毒威胁在网络环环境下，，网络病病毒除了了具有可可传播性性、可执执行性、、破坏性性、可触触发性等等计算机机病毒的的共性外外，还具具有一些些新的特特点，网网络病毒毒的这些些新的特特点都会会对网络络与应用用造成极极大的威威胁。15.4.2制制订订策略根据网络络系统的的实际安安全需求求，结合合网络安安全体系系模型，，建议采采用如下下网络安安全防护护措施。。1.访访问控制制建议在网网络的各各个入口口处部署署防火墙墙，对进进入企业业网络系系统的网网络用户户进行访访问控制制，主要要实现如如下防护护功能:(1)对对网络络用户进进行身份份验证，，保证网网络用户户的合法法性;(2)能够够屏蔽流流行的攻攻击手段段;(3)对远远程访问问的用户户提供通通信线路路的加密密连接;(4)能能提供供完整的的日志和和审计功功能。2.VPN防防火墙系系统防火墙是是指设置置在不同同网络或或网络安安全域之之间的一一系列部部件的组组合。它它是不同同网络或或网络安安全域之之间信息息的唯一一出入口口，能根根据网络络的安全全政策控控制(允允许、拒拒绝、监监测)出出入网络络的信息息流。防防火墙可可以确定定哪些内内部服务务允许外外部访问问，哪些些外人被被许可访访问所允允许的内内部服务务，哪些些外部服服务可由由内部人人员访问问。并并且且防火墙墙本身具具有较强强的抗攻攻击能力力，它是是提供信信息安全全服务，，实现网网络和信信息安全全的基础础设施。。同时网络络通信要要对用户户“透明明”，部部署带VPN功功能的防防火墙，，可以同同时实现现“虚虚拟”和和“专用用”的安安全特性性，充分分利用已已有公共共网络基基础设施施的高效效性。VPN实实现的协协议有IPSec、、L2F、、L2TP、PPTP、MPPE、、SSL等。其其中互联联网络层层的安全全标准是是IPSec，，事实证证明，基基于IPSec技术构构建的VPN是是应用最最广、安安全特性性最完备备的实现现形式。。3.入入侵检测测系统在传统的的网络安安全概念念里，似似乎配置置了防火火墙就标标志着网网络的安安全，其其实不然然，防火火墙仅仅仅是部署署在网络络边界的的安全设设备，它它的作用用是防止止外部的的非法入入侵，仅仅仅相当当于计算算机网络络的第一一道防线线。虽然然通过防防火墙可可以隔离离大部分分的外部部攻击，，但是仍仍然会有有小部分分攻击通通过正常常的访问问的漏洞洞渗透到到内部网网络。另另外，据据统计，，有70％以上上的攻击击事件来来自内部部网络，，也就是是说内部部人员作作案，而而这恰恰恰是防火火墙的盲盲区。入入侵检测测系统(IDS)可以以弥补防防火墙的的不足，，为网络络安全提提供实时时的入侵侵检测及及采取相相应的防防护手段段，如记记录证据据用于跟跟踪、恢恢复、断断开网络络连接等等。入侵检测测系统是是实时的的网络违违规自动动识别和和响应系系统。它它运行于于有敏感感数据需需要保护护的网络络上，通通过实时时监听网网络数据据流，识识别、记记录入侵侵和破坏坏性代码码流，寻寻找网络络违规模模式和未未授权的的网络访访问尝试试。当发发现网络络违规模模式和未未授权的的网络访访问尝试试时，入入侵检测测系统能能够根据据系统安安全策略略作出反反应。该该系统可可安装于于防火墙墙前后，，可以对对攻击防防火墙本本身的数数据流进进行响应应，同时时可以对对穿透防防火墙的的数据流流进行响响应。在被保护护的局域域网中，，入侵检检测设备备应安装装于易受受到攻击击的服务务器或防防火墙附附近。这这些保护护措施主主要是为为了监控控经过出出口及对对重点服服务器进进行访问问的数据据流。入入侵检测测报警日日志的功功能是对对所有对对网络络系统有有可能造造成危害害的数据据流进行行报警及及响应。。由于网网络攻击击大多来来自于网网络的出出口位置置，因此此入侵检检测在此此处将承承担实时时监测大大量出入入整个网网络的具具有破坏坏性的数数据流的的任务。。这些数数据流引引起的报报警日志志，可作作为系统统受到网网络攻击击的主要要证据。。入入侵侵检测、、防火墙墙和漏洞洞扫描联联动体系系示意图图如图15-4-1所所示。图15-4-1入侵检测、防火墙和漏洞扫描联动体系示意图4.漏漏洞扫描描系统网络的应应用越来来越广泛泛，而网网络不可可避免的的安全问问题也就就越来越越突出，，如今，，每天都都有数十十种有关关操作系系统、网网络软件件、应用用软件的的安全漏漏洞被公公布，利利用这些些漏洞可可以很容容易地破破坏乃至至完全地地控制系系统;另另外，由由于管理理员的疏疏忽或者者技术水水平的限限制所造造成的配配置漏洞洞也是广广泛存在在的，这这对于系系统的威威胁同样样很严重重。动态安全全的概念念是帮助助管理员员主动发发现问题题。最有有效的方方法是定定期对网网络系统统进行安安全性分分析，及及时发现现并修正正存在的的弱点和和漏洞，，保证系系统的安安全性。。因此企企业网络络系统需需要一套套帮助管管理员监监控网络络通信数数据流、、发现网网络漏洞洞并解决决问题的的工具，，以保证证整体网网络系统统平台安安全。在企业网网络系统统网络漏漏洞扫描描系统配配置中，，我们建建议采用用启明星星辰公司司的“天天镜”网网络漏洞洞扫描系系统。天天镜网络络漏洞扫扫描系统统包括了了网络模模拟攻击击、漏洞洞检测、、报告服服务进程程、提取取对象信信息、评评测风险险、提供供安全建建议和改改进措施施等功能能，帮助助用户控控制可能能发生的的安全事事件，最最大可能能地消除除安全隐隐患。该该系统具具有强大大的漏洞洞检测能能力和检检测效率率、贴贴切用户户需求的的功能定定义、灵灵活多样样的检测测方式、、详尽的的漏洞修修补方案案和友好好的报表表系统以以及方便便的在线线升级等等优点。。通过在企业网网络系统网络络进行自动的的安全漏洞检检测和分析析，我们可以以做到以下几几点:(1)对企业网网络系统网络络重要服务器器和PC进行行漏洞扫描，，发现由于安安全管理配置置不当、疏忽忽或操作系统统本身存在的的漏洞(这些些漏洞会使系系统中的资料料容易被网络络上怀有恶意意的人窃取，，甚至造成系系统本身的崩崩溃)，生成成详细的可视视化报告，同同时向管理人人员提出相应应的解决办法法及安全建议议。(2)对对企业网络系系统网络边界界组件、基础础组件和其他他系统进行漏漏洞扫描，检检查系统的潜潜在问题，发发现操作系统统存在的漏洞洞和安全隐患患。(3)漏洞洞扫描系统对对网络及各种种系统进行定定期或不定期期的扫描监测测，并向安全全管理员提供供系统最新的的漏洞报告，，使管理员能能够随时了解解网络系统当当前存在的漏漏洞并及时采采取相应的措措施进行修补补。(4)通过过漏洞扫描的的结果，对系系统进行加固固和优化。

在核核心交换机上上接入一台装装有漏洞扫描描系统软件的的PC或笔记记本电脑，直直接输入目标标主机的IP地址，对其其系统的漏洞洞进行扫描。。5.防病毒毒系统一般计算机的的病毒有超过过20%是通通过网络下载载文档时感染染的，另外有有26%是经经电子邮件的的附加文档感感染的，这就就需要一套方方便、易用的的病毒扫描器器，使企业的的计算机环境境免受病毒和和其他恶意代代码的攻击。。建建议采用三层层防病毒部署署体系来实现现对企业网络络的病毒防护护。1)E-mail网关关防病毒系统统在在企业网络系系统建成之后后，网络成了了病毒传播的的主要途径。。如果在某网网络上有一个个用户不小心心扩散了一个个被病毒感染染的文档，其其结果将可能能是毁灭性的的。为了阻止止这些“可疑疑的候选文件件”，需要对对电子邮件进进行严格的审审查。事实上上，嵌入Word文档中中的宏病毒通通常通过网络络发送至未察察觉的用户。。

防病毒软软件需要对这这一易受攻击击的区域进行行保护，对所所有通过网关关出入的电子子邮件进行扫扫描，一旦检检测到病毒，，能够自动动将该文件隔隔离并向系统统管理员发出出警告。它同同时对内容进进行过滤(以以阻止病毒欺欺骗)和创建建历史记录(以跟踪每个个检测到的病病毒起源)。。一般来说，基基于邮件系统统的病毒发作作主要是从客客户端开始的的，同时这种种病毒感染的的对象主要是是基于Windows平平台的主机和和服务器，对对其他平台没没有感染能力力，所以，我我们主要是对对邮件的内容容进行病毒查查杀。2)服务器器病毒系统

如果果服务器被感感染，其感染染文件将成为为病毒感染的的源头，它们们会迅速从桌桌面感染发展展到整个网络络的病毒爆发发。因此，基基于服务器的的病毒保护是是XXX网络络系统的重点点之一。所以以，建议对在在各个局域网网的交换区与与局域网内部部网段上的服服务器进行特特别的保护，，将病毒扫描描技术和服务务器的管理能能力结合在一一起(用于NovellNetWare、MicrosoftNT和UNIX服务器)，对服务器器接收和发送送的被病毒感感染的文件以以及已经存在在于其他服务务器的病毒进进行检测。一一旦检测到病病毒，立刻将将该感染文件件隔离或删除除。3)客户端端防病毒系统统在在XXX网络络系统中有大大量的个人用用户，桌面系系统和远程PC是主要的的病毒感染源源。根据统计计，50%以以上的病毒是是通过软盘进进入系统的，，因此对桌面面系统的病毒毒应严加防范范。为了确保保检测和清除除经访问入口口所进入的普普通和新发现现的病毒，桌桌面系统都需需要安装防病病毒软件。另另外，这种防防病毒软件要要能够将隐藏藏于电子邮件件附件中的病病毒在对其他他用户造成感感染之前清除除。当发现病毒已已进入时，正正是采取病毒毒响应计划的的时候。病毒毒响应计划的的主要目的是是利用每种可可能的方法来来彻底清除所所有的病毒。。如果有足够够的备份，不不会丢失太多多数据，就应应考虑彻底删删掉感染系统统中的所有数数据，再重新新配置。下一一步就需要分分析病毒是如如何进来的以以及要干些什什么，这项工工作和删除病病毒一样重要要，因为在所所有被感染的的系统中，有有90%的系系统会在三个个月内以同样样或相似的方方式再次被感感染。15.4.3应用部部署方案通过对网络整整体进行系统统分析，并考考虑目前网上上运行的业务务需求，本方方案对原有网网络系统进行行全面的安全全加强，主要要实现以下目目的:(1)保保障现有的的关键应用长长期、可靠地地运行，避免免病毒和黑客客的攻击。

(2)防止内内、外部人员员的非法访问问，特别是要要对内部人员员的非法访问问进行控制。。(3)确保保网络平台上上数据交换的的安全性，杜杜绝内、外部部黑客的攻击击。(4)方便便内部授权人人员(如公司司领导、出差差员工等)从从互联网上远远程方便、安安全地访问内内部网络，实实现信息的最最大可用性。。(5)能对对网络的异常常行为进行监监控，并做出出回应，建立立动态防护体体系。为为了实现现上述目的，，我们采用了了主动防御体体系和被动防防御体系相结结合的全面网网络安全解决决方案，如图图15-4-2所示。图15-4-2某大型企业网络防御布置示意图该防御体系由由漏洞扫描与与入侵检测联联动系统、入入侵检测与防防火墙的联动动系统及防病病毒系统组成成。用户主动动防范攻击行行为，尤其是是防范从单位位内部发起的的攻击。对在在企业内网发发起的攻击和和攻破了防火火墙的黑客攻攻击行为，可可以依靠入侵侵检测系统阻阻断和发现攻攻击的行为，，同时通过与与防火墙的互互动，自动修修改策略设置置上的漏洞，，阻挡攻击的的继续进入。。本方案在交交换机上连入入入侵检测系系统，并将其其与交换机相相连的端口设设置为镜像像端口，由IDS传感器器对防火墙的的内口、关键键服务器进行行监听，并进进行分析、报报警和响应;在入侵检检测的控制台台上观察检测测结果，并形形成报表打印印输出。在实现防火墙墙和入侵检测测系统的联动动后，防火墙墙“访问控制制策略”会动动态地添加阻阻断的策略。。“漏洞扫描描系统”是一一种网络维护护人员使用的的安全分析工工具，主动发发现网络系统统中的漏洞，，修改防火墙墙和入侵检测测系统中不适适当的设置，，防患于未然然。同同时，防火火墙主要起到到对外防止黑黑客入侵，对对内进行访问问控制和授权权员工从外网网安全接入的的作用，在这这里主要发挥挥防火墙和VPN的双重重作用。(1)保障障局域网不受受来自外网的的黑客攻击，，主要担当防防火墙功能。。(2)能够够根据需要，，让外网向Internet的访问问提供服务，，如Web、、E-mail、DNS等服务。。(3)对对外网用户访访问(Internet)提供灵活活的访问控制制功能，如可可以控制任何何一个内部员员工能否上网网，能访问哪哪些网站，能能不能收发E-mail、ftp等等，能够在什什么时间上网网等。简而言言之，对外网网用户能够基基于“六元组组”(即源地地址、目的地地址、源端口口号、目的端端口号、协议议、时间)进进行灵活的访访问控制。(4)下属属单位能够通通过防火墙与与安全客户端端软件之间的的安全互联，，建立通过Internet相连的的“虚拟专用用网”，解决决在网上传输输的内部信息息安全问题，，方便管理，，并极大地降降低了成本。。企业根据自身身的需要，网网络防病毒系系统应选用赛赛门铁克、趋趋势科技、瑞瑞星等知名品品牌系统。整整个系统的实实施过程应保保持流畅和平平稳，做到尽尽量不影响既既有网络系统统的正常工作作;安装在在原有应用系系统上的防毒毒产品必须保保证其稳定性性，不影响其其他应用的功功能;在安安装过程中应应尽量减少关关闭和重启整整个系统;防防病毒系统统的管理层次次与结构应尽尽量符合机关关自身的管理理结构;防防病毒系统的的升级和部署署功能应做到到完全自动化化，整个系系统应具有每每日更新的能能力;应做做到能够对整整个系统进行行集中的管理理和监控，并并能集中生成成日志报告与与统计信息。。15.5.1电子政政务平台

政务务平台是一个个高质量、高高效率、智能能化的办公系系统，该平台台以数据库为为基础，利用用了文件传输输、电子邮件件、短消息等等现代数字通通信与Internet技术。随着着网络的发展展与普及，政政府行业单位位也由局域网网扩充到广域域网。互联网网的开放性会会使政府网络络受到来自外外部互联网的的安全威胁、、内部网络与与外部网络互互联的安全威威胁和内部网网络的安全威威胁。15.5电电子政务安安全平台实施施方案国家保密局于于2000年年1月1日起颁布实实施的《计算算机信息系统统国际互联网网保密管理规规定》，对国国家机要部门门使用互联网网规定如下:涉及国家家秘密的计算算机信息系统统，不得直接接或间接地与与国际互联网网或其他公共共信息网络相相连接，必须须实行物理隔隔离。2001年12月月，国家公安安部发布的《《端设备隔离离

部件安全全技术要求》》中对物理隔隔离做了明确确的定义:公公共网络和和专网在网络络物理连线上上是完全隔离离的，且没有有任何公用的的存储信息息。2002年7月，国家信信息化领导小小组颁布的《《国家信息化化领导小组关关于我国电子子政务建设指指导意见》中中规定:电电子政务网络络由政务内网网和政务外网网构成，两网网之间物理隔隔离，政务外外网与互联网网之间逻辑隔隔离。此外，，国家保密局局在保密知识识培训中也多多次指出，网网络之间只有有在线路、设设备和存储储3个方面均均实现了独立立，才满足物物理隔离的要要求。15.5.2物理隔隔离物理隔离产品品是用来解决决网络安全问问题的。尤其其是在那些需需要绝对保证证安全的保密密网、专网和和特种网络与与互联网进行行连接时，为为了防止来自自互联网的攻攻击和保证这这些高安全性性网络的保密密性、安全性性、完整性、、防抵赖和高高可用性，几几乎全部要求求采用物理隔隔离技术。学术界一般认认为，最早提提出物理隔离离技术的应该该是以色列和和美国的军方方，但是到目目前为止，并并没有完整的的关于物理隔隔离技术的定定义和标准。。从不同时期期的用词也可可以看出，物物理隔离技术术一直在演变变和发展。较较早的用词为为PhysicalDisconnection，直译译为物理断开开。这种情况况是完全可以以理解的，保保密网与互联联网连接后，，出现很多问问题，在没有有解决安全问问题或没有解解决问题的技技术手段之前前，先断开再再说。后来来有PhysicalSeparation，直译为物物理分开。后后期发现完全全断开也不是是办法，互联联网总还是要要用的，采取取的策略多为为该连

的连连，不该连的的不连，这样样的该连的部部分与不该连连的部分要分分开。事实上，没有有与互联网相相连的系统不不多，互联网网的用途还是是很大，因此此，希望能将将一部分高安安全性的网络络隔离封闭起起来。后来多多使用PhysicalGap，，直译为物理理隔离，意为为通过制造物物理的豁口，，来达到隔离离的目的。现现在，一般用用GapTechnology来来表示物理隔隔离，它已成成为互联网上上的一个专用用名词。物理隔离技术术不是要替代代防火墙、入入侵检测、漏漏洞扫描和防防病毒系统，，相反，它是是用户“深度度防御”的安安全策略的另另一块基石。。物理隔离技技术是绝对要要解决互联网网的安全问题题，而不是什什么其他的问问题。物物理隔离离的指导思想想与防火墙有有很大的不同同:防火墙墙的思路是在在保障互联互互通的前提下下，尽可能安安全，而物理理隔离的思路路是在保证必必须安全的前前提下，尽可可能互联互通通。目前物理隔离离的技术路线线有3种:网网络开关(NetworkSwitcher)、实时时交换(Real-timeSwitch)和单向连接接(OneWayLink)。。网网络开关是在在一个系统里里安装两套虚虚拟系统和一一个数据系统统，数据被写写入到一个虚虚拟系统，然然后交换到数数据系统，再再交换到另一一个虚拟系统统。实实时交换相相当于在两个个系统之间共共用一个交换换设备，交换换设备连接到到网络A，得得到数据，然然后交换到网网络B。单向连接早期期指数据向一一个方向移动动，一般指从从高安全性的的网络向低安安全性的网络络移动。物物理隔离的一一个特征就是是内网与外网网永不连接，，内网和外网网在同一时间间最多只有一一个同隔离设设备建立非TCP/IP协议的数据据连接。其数数据传输机制制是存储和转转发。物理隔隔离的好处是是明显的，即即使外网在最最坏的情况下下，内网也不不会有任何破破坏。修复外外网系统也非非常容易。15.5.3电子政政务平台安全全解决方案政务平台的安安全解决方案案见图15-5-1。它它主要包括括防火墙系统统、入侵检测测系统、漏洞洞扫描系统、、网络防病毒毒系统、安全全管理系统、、物理隔离等等设备。首先先，将整个网网络系统分为为两部分:(1)内外外系统:与与政府专网相相连，主要功功能是内部办办公，并且含含有一些涉密密文件。(2)外网系统统:与互联联网连接，主主要功能是对对外发布信息息，由政府网网站服务器组组成。图15-5-1政府机构网络系统方案图安装防火墙将将外网系统与与互联网隔离离，安装物理理隔离系统将将内网与外网网系统隔离。。本方案中的的防火墙系统统、入侵检测测系统、漏洞洞扫描系统、、网络防病毒毒系统、安全全管理系统具具体的作用可可以参考15.4节的相相关内容。物理隔离可以以采用一些安安全公司的知知名产品。一一般来说，隔隔离模块采用用专用的双通通道隔离交换换卡实现，通通过内嵌的安安全芯片完成成内、外网主主机模块间安安全的数据交交换。内、外外网主机模块块间不存在任任何网络连接接，因此不存存在基于网络络协议的数据据转发。隔离离交换模块是是内、外网主主机模块间数数据交换的唯唯一通道，本本身没有操作作系统和应用用编程接口，，所有的控制制逻辑和传输输逻辑固化在在安全芯片中中，自主实现现内、外网数数据的交换和和验证。在极极端情况下，，即使黑客攻攻破了外网主主机模块，但但由于无从了了解隔离交换换模块的工作作机制，因此此无法进行渗渗透，内网系系统的安全仍仍然可以保障障。由内、外网主主机模块分别别负责接收来来自所连接网网络的访问请请求，两模块块间没有直接接的物理连接接，形成一个个物理隔断，，从而保证了了可信网和非非可信网之间间没有数据包包的交换，没没有网络连接接的建立。在在此前前提下，通过过专有硬件实实现网络间信信息的实时交交换。这种交交换并不是数数据包的转发发，而是应用用层数据的静静态读写操作作，因此可信信网的用户可可以通过安全全隔离与信息息交换系统放放心地访问非非可信网的资资源，而不必必担心可信网网的安全会受受到影响。物理隔离具有有比防火墙更更高的安全性性能，可在涉涉密网络之间间、涉密网络络不同安全域域之间、涉密密网络与内部部网之间、内内部网与互联联网之间信任任地进行信息息交换。当前前，物理隔离离产品较多，，很多都集成成了访问控制制、负载均衡衡、协议分析析等功能。国国内主流的物物理隔离设备备有联想网御御SIS-3000系列列安全隔离网网闸、天行安安全隔离网闸闸、伟思安全全隔离与信息息交换系统、、中网物理隔隔离网闸等。。(1)安全全体系结构理理论与技术主主要包括:安安全体系模模型的建立及及其形式化描描述与分析，，安全策略和和机制的研究究，检验和评评估系统安全全性的科学方方法和准则的的建立，符合合这些模型、、策略和准则则的系统的研研制(比如安安全操作系统统、安全数据据库系统等)。小结结(2)网络络安全研究内内容包括网络络安全整体解解决方案的设设计与分析以以及网络安全全产品的研发发等。目前，，在市场上比比较流行的安安全产品有防防火墙、安全全路由器、虚虚拟专用网(VPN)、、安全服务器器、PKI、、用户认证产产品、安全管管理中心、入入侵检测系统统(IDS)、安全数据据库、安全操操作系统等。。(3)网络络安全需求包包括物理安全全需求、访问问控制需求、、加密需求与与CA系统构构建、入侵检检测系统需求求、安全风险险评估系统需需求、防病毒毒系统需求、、漏洞扫描需需求、电磁泄泄漏防护需求求。网络威胁胁一般包含边边界网络设备备安全威胁、、信息基础安安全平台威胁胁、内部网络络的失误操作作行为、源自自内部网络的的恶意攻击与与破坏和网络络病毒威胁等等。(4)根据据网络系统的的实际安全需需求，结合网网络安全体系系模型，一般般采用防火墙墙、入侵检测测、漏洞扫描描、防病毒、、VPN、物物理隔离等网网络安全防护护措施。一、填空题1.20世纪80年年代中期，美美国国防部为为适应军事计计算机的保密密需要，在20世纪70年代的基础础理论研究成成果计算机保保密模型(Bell＆＆Lapadula模型型)的基础上上，制订了。2.我国1999年10月发布了了，为安全产品品的研制提供供了技术支持持，也为安全全系统的建设设和管理提供供了技术指导导。习题题3.网络安安全包括和逻辑安全。。指网络系统中中各通信、计计算机设备及及相关设施的的物