企业信息化建设中的网络安全机制研究.doc

第1章 绪论1.1 企业信息化安全建设的背景在当今全球一体化的商业环境中，信息的重要性被广泛接受，信息系统在商业和政府组织中得到了真正的广泛的应用。许多企业对信息系统不断增长的依赖性，加上企业在信息系统上业务运作风险的不断增大，使得信息安全成为企业管理越来越关键的一部分。现实世界的任何系统都是由一串复杂的环节组成的，安全措施必须渗透到系统的所有地方，其中一些环节甚至是系统的设计者、实现者和使用者都不知道的。因此，不安全因素总是存在，没有一个系统是完美的，没有一项技术是万能的。我国政府主管部门以及各行各业己经认识到了信息安全的重要性。政府部门开始出台一系列相关策略，直接牵引、推进信息安全的应用和发展。由政府主导的各大信息系统工程和信息化程度要求非常高的相关行业，也开始出台针对信息安全技术产品的应用标准和规范，安全技术、产品、市场在发展，很多企业都在制定符合不同业务信息系统和网络安全等级需要的综合性安全策略和计划。长期以来，人们对保障信息安全的手段偏重于依靠技术，从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等等。致力于安全技术和产品研发的企业不遗余力地投入资源，新的技术和产品不断涌现;其它企业也更加相信安全产品，把仅有的预算也都投入到安全产品的采购上。事实上，仅仅依靠技术和产品来保障信息安全的愿望往往难以实现，许多复杂、多变的安全威胁和隐患靠产品是无法消除的。“三分技术，七分管理”这个在其他领域总结出来的实践经验和原则，在信息安全领域也同样适用。据有关部门统计，在所有的计算机安全事件中，约有52%是人为因素造成的，25%是由火灾、水灾等自然灾害引起，技术错误占10%，组织内部人员作案占10%，仅有3%左右是由外部不法人员的攻击造成的。简单归类，管理方面因素所占比重高达70%以上，而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此，管理已经成为信息安全保障能力的重要基础。总结近年来发达国家信息安全领域的发展和演变，可以看到以下规律和趋势：企业信息化的不断发展导致企业对信息安全的重视，信息安全的核心逐渐从信息安全技术转移到信息安全管理。信息安全策略是一个企业解决信息安全问题最重要的步骤，也是企业整个信息安全机制的基础。信息安全策略明确规定了企业需要保护什么，为什么需要保护和由谁保护，没有合理的信息安全策略，再好的信息安全专家和安全工具也没有价值。一个企业的信息安全策略可以反映出这个企业对现实安全威胁和未来安全风险的预期，也可以反应出企业内部业务人员和技术人员对安全风险的认识和应对。1.2 企业信息化安全建设的意义随着信息安全事件的不断发生，信息安全问题已经逐渐得到企业领导者和管理者的广泛重视，除了安全技术的不断投资，很多管理者也开始重视企业信息化建设中的网络安全管理问题。在学者和专家的推动下，很多国内企业相继开始了信息安全机制的建设，然而，国内企业在进行信息安全机制建设时，经常出现的情况是：刚开始时热情高涨，文档制度一大堆，一段时间以后，这些文档制度就被束之高阁，一切又回到旧轨道，致使企业的信息安全策略得不到真正的实施。因此，本研究的意义就在于，在中国的现实环境中，结合国内外的研究成果，找出企业信息化建设中网络安全机制出现的问题，找出影响企业信息安全建设的关键因素，有针对性的提出政策建议，帮助解决信息安全策略实施难的问题，提高企业的信息安全水平。第2章 企业信息化建设中网络安全机制现状分析2.1 通用的信息安全评估标准在信息安全领域，信息安全标准是一个非常重要的方面，它既是信息安全理论研究的结果，又是信息安全保障体系的重要组成部分。在广泛阅读现有文献的基础上，本文对信息安全标准的研究现状做一个简要的回顾。(1)开展信息安全标准研究的组织信息安全标准化工作兴起于20世纪70年代中期，80年代有了较快的发展，90年代引起了世界各国的普遍关注。目前世界上有近300个国际和区域性组织在制定标准或技术规则，与信息安全标准有关的国际组织主要有以下四个：ISO(国际标准化组织)。ISO/IEC JTC1(信息技术标准化委员会)所属SC27(安全技术分委员会)的前身是SC20(数据加密技术分委员会)，主要从事信息技术安全的一般方法和技术的标准化工作。而ISO/TC68负责银行业务应用范围内有关信息安全标准的制定，主要制定行业应用标准，与SC27有着密切的联系。ISO/IEC JTC1负责制定的标准主要是开放系统互连、密钥管理、数字签名、安全评估等方面的内容。IEC(国际电工委员会)。IEC除了在信息安全标准化方面与ISO联合成立了JTC1分委员会外，还在电信、电子系统、信息技术和电磁兼容等方面成立技术委员会(如TC56可靠性、TC74 IT设备安全和功效、TC77电磁兼容、TC108音频/视频、信息技术和通信技术电子设备的安全等)，并且制定相关国际标准(如信息技术设备安全IEC60950等)。ITU(国际电信联盟)。ITUSG17负责研究网络安全标准，包括通信安全项目、安全架构和框架、计算安全、安全管理、用于安全的生物测定、安全通信服务。此外SG16和下一代网络核心组也在通信安全、H.323网络安全、下一代网络安全等标准方面进行研究。IETF(Internet工程任务组)。IETF标准制定的具体工作由各个工作组承担。Internet工程任务组分成八个工作组，分别负责Internet路由、传输、应用等八个领域，其著名的IKE和IPSec都在RFC系列之中，还有电子邮件、网络认证和密码及其他安全协议标准。国内的安全标准组织主要有CITS(信息技术安全标准化技术委员会)以及CCSA(中国通信标准化协会)下辖的网络与信息安全技术工作委员会。CITS成立于1984年，在国家标准化管理委员会和信息产业部的共同领导下，负责全国信息技术领域以及与ISO/IEC JTCl相对应的标准化工作。目前下设24个分技术委员会和特别工作组，是国内最大的标准化技术委员会，也是具有广泛代表性、权威性和军民结合的信息安全标准化组织。CITS主要负责信息安全的通用框架、方法、技术和机制的标准化及归口国内外对应的标准化工作，其中技术安全包括开放式安全体系结构、各种安全信息交换的语义规则、有关的应用程序接口和协议引用安全功能的接口等。CCSA成立于2002年，是国内企事业单位自愿联合组织起来的、经业务主管部门批准的、开展通信技术领域标准化活动的组织。CCSA下设了有线网络信息安全、无线网络信息安全、安全管理和安全基础设施四个工作组，分别负责研究以下课题:有线网络中电话网、互联网、传输网、接入网等在内的所有电信网络相关的安全标准;无线网络中接入、核心网、业务等相关的安全标准以及安全管理工作;安全基础设施工作组中网管安全以及安全基础设施相关的标准1。(2)信息安全标准研究的分类目前国际上通行的与信息安全有关的标准，可以分成三类：第一类：互操作标准目前的互操作标准主要有对称加密标准DES，3DES，IDEA以及被普遍看好的AES、非对称加密标准RSA， VPN标准IPSec、传输层加密标准SSL、安全电子邮件标准S-MIME、安全电子交易标准SET、通用脆弱性描述标准CVE。这些都是经过一个自发的选择过程后被普遍采用的算法和协议，是所谓的“事实标准”。第二类：技术与工程标准当前比较有影响力的技术与工程标准主要有六个：信息产品通用测评准则(ISO/IEC15408)。 ISO/IEC 15408旨在支持产品(最终是指己经在系统中安装了的产品)中IT安全特征的技术性评估。它还有一个重要作用，即可以用于描述用户对安全性的技术需求。安全系统工程能力成熟度模型(SSE-CMM)。该模型定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。信息系统软件过程评估(ISO/IEC 15504)。 ISO/IEC 15504提供了一个软件过程评估的框架。它可以被任何组织用于软件的设计、管理、监督、控制以及提高获得、供应、开发、操作、升级和支持的能力。它提供了一种结构化的软件过程评估方法。信息和相关技术控制目标(COBIT)。COBIT是安全与信息技术管理和控管的标准，它归纳了世界上18项相关的来源，形成了一套专供企业经营者、使用者、IT专家、MIS稽核员来强化和评估IT管理和控制之规范。美国TCSEC(桔皮书)。该标准为计算机安全产品的评测提供了测试内容和方法，指导信息安全产品的制造和应用。它将安全分为四个方面和七个安全级别，四个方面即安全政策、可说明性、安全保障和文档，安全级别从低到高依次为D,C1, C2, B1, B2, B3和A级。第三类：信息安全管理标准得到广泛认可的信息安全管理标准当首推BS 7799。 BS 7799最初是由英国贸工部(DTI)于1993年立项的，是业界、政府和商业机构共同倡导的，旨在开发一套可供开发、实施和测量有效安全管理惯例并提供贸易伙伴间信任的通用框架。1995年，BS 7799-1：1995信息安全管理实施细则首次出版(其前身是1993年发布的PD 0005)，它提供了一套综合性的、由信息安全最佳惯例构成的实施细则，目的是为确定各类信息系统通用控制提供唯一的参考基准。1998年，BS 7799-2：1998信息安全管理体系规范公布，这是对BS 7799-1的有效补充，它规定了信息安全管理体系的要求和对信息安全控制的要求，是一个组织信息安全管理体系评估的基础，可以作为认证的依据。至此，BS 7799标准初步成型。ISO/IEC 17799：2000由BS7799版本2 发展而来，于2000年12月发布，它描述了工业和商业使用的信息系统最基本的信息安全控制，对于建立可信任的商业支撑环境非常重要。它一共定义了127条共10组安全控制，ISO/IEC 17799：2000分成12章，每章针对一个信息安全专题或领域1。2.2 企业信息安全发展现状随着计算机网络的不断发展，信息的处理和传递突破了时间和地域的限制，网络化与全球化成为了世界潮流。与此同时，信息安全问题也越来越多的受到人们的关注，信息安全机制建设也在企业中逐渐开展起来，但是进行信息安全机制建设的企业大多都是大型企业，针对中小型企业的信息安全解决方案寥寥无几6。目前，我国企业信息安全已摆脱了单纯模仿，开始进入自主创新的新阶段。但仍存在许多问题，主要表现在以下几点：1缺乏自主的计算机网络和软件核心技术我国企业信息化建设过程中缺乏自主技术支撑。我国计算机安全存在这么一个严重的问题：CPU芯片、操作系统和数据库、网关软件大多依赖进口。我国企业计算机网络所使用的网管设备和软件基本上都是从国外引进的产品，这些因素使我国企业信息安全性能大大降低，被认为是易窥视和易打击的“玻璃网”。2网络安全管理不够目前，我国企业的网络建设总体上处于一种分散管理的状态，极大地妨碍了国家有关法规的贯彻执行，难以防范境外情报机构和黑客的攻击。全局管理的缺乏，使得我国企业的网络安全水平极端的不平衡，大量企业网站的安全水平低下，网络入侵事故频发。3安全意识淡薄企业经营者注重的是企业效益，对网络安全没有充分重视，安全意识淡薄，对信息安全领域的投入和管理远远不能满足安全防范的要求。如果缺乏周密有效的安全措施，就无法发现和及时查堵安全漏洞。目前，我国大多企业的网络信息安全处于被动的封堵漏洞状态，没有形成主动防范、积极应对的安全意识5。第3章 企业信息化建设中信息安全策略的制定3.1 信息安全风险分析信息安全风险分析也叫信息安全风险评估，是一种主动识别信息安全风险的过程。信息安全风险分析研究信息安全风险的基本要素，并对这些要素进行量化，明确企业要保护的信息资产和代价，信息安全风险分析的结果是对信息资产重要性的一种间接度量。信息安全风险分析的目的是保证信息安全控制与信息安全风险分析相适应，因为对任何一个企业来说，一般不存在不计成本的信息安全策略。信息安全策略的制定者要根据被保护信息资产的重要性来决定要采用的信息安全控制的级别。为了确定企业的信息安全控制，必须要进行全面的信息安全风险分析。3.1.1 信息安全分析方法信息安全控制应该与信息安全风险相当，管理者总要关心哪些安全控制措施是适当的，哪些信息安全代价是有效的，要回答这个问题，则要经过一个调查和分析的过程。信息安全风险分析就是要把这个过程变得更为客观。信息安全风险分析过程包括问卷调查、风险调查、风险分析和报告生成等步骤。常见的信息安全风险分析方法有：数量分析、定性分析和影响分析等。(1)数量分析数量分析要用到两种基本数据：信息安全事故发生的概率和信息安全事故发生后造成的损失，用信息安全事故损失乘以发生概率，做出“年度损失预期”图表，然后将信息安全事故按风险大小排序，选择安全控制。这个方法简单易行，被不少组织采用。数量风险分析方法的缺点是数据不精确、不可靠。而安全控制对策经常纠缠在大量的潜在安全事故中，事故发生概率不太容易估计。(2)定性分析定性分析不需要概率数据，直接进行损失估计。定性分析可以从多种角度进行，比如可以从可用性角度、适应性角度或者关键性角度。组织可以从对自己最重要和最需要保护的角度出发进行分析。定性分析以过去的信息安全事故为依据，是使用的最广泛的风险分析方法。(3)影响分析影响分析确定信息安全威胁对业务资产的影响，判断这种威胁是否会导致信息安全事故，发生信息安全事故的危害有多大，影响分析量化业务资产的价值，帮助管理者选择安全控制。许多组织需要遵守某些基线标准，有些是因为法律规定，有些是因为企业的发展策略需要，在影响分析中也需要考虑这些需求。规模分析是在20实际80年代开发计算机系统时必须进行的一种分析，在规模分析中分析对系统的多种需求，比如并发用户数目、数据类型、数据数量、期待响应时间，进而推导出最小的系统需求。随着计算机系统处理能力的增强，正式的规模分析似乎意义不大了。但是在制定信息安全策略时，规模分析仍不能忽略，因为即便是同样的系统，规模不同，信息安全策略也会不同。3.1.2 信息安全风险分析的审核信息安全风险审核可以在不同的层次以不同深度进行。审核应按照审核程序进行，当原来信息安全风险分析的根据发生变化，出现重大信息安全事故和新的信息安全脆弱性，或者组织结构与技术结构发生大的改变时，都应该进行阶段性审核。通过信息安全风险分析的审核，判断：1. 信息安全风险分析是否适合业务需求的变化。2. 信息安全风险分析是否考虑新的信息安全威胁和脆弱性。3. 信息安全控制是否适当和有效。4. 根据所记录的信息安全事故的数量、影响和种类，信息安全分析是否得当。5. 审核对业务效率的影响和代价。3.1.3 安全控制选择的考虑一个组织需要建立有弹性的信息安全策略，既不能反应过度，也不能将组织的信息系统暴露在信息安全威胁下弃置不管，所选择的信息安全策略取决于对该组织的规模、财政资源、威胁程度和安全风险等风险的权衡。根据信息安全风险分析结果选择信息安全控制时，应该注意下面的几点：1. 代价合理信息安全同时意味着开销，而这些开销不能直接产生利润，因此应该尽量将信息安全代价调整到合理的范围，通过准确的信息安全风险分析过程，才能够让人信服的回答到底多大的安全代价才是合理的。2. 适当的信息安全目标信息安全的目标必须是适当的，直接针对现存的信息安全威胁和潜在的影响，否则将导致过度或者不必要的信息安全开销。信息安全风险分析有助于更好的实现信息安全目标，使信息安全策略更容易。从某个信息系统到一个部门进而到整个组织，通过信息安全风险分析可以很快发现最需要解决的信息安全风险。3. 一致性信息安全分析的范围并不局限在信息系统直接管理和控制的部门，还应该包括非计算机的工作系统和使用其他设备的系统。一个组织内部的信息安全情况有时候并不均衡，有些部门可能比另外一些部门需要更严格的安全控制。4. 文档化应该将信息安全控制的选择过程和结果以文档形式记录，使未来的评审和修改更容易。结果的记录可以参照下表：表3- 1信息安全控制评价表威胁候选控制价格风险减少非授权用户修改数据库访问控制￥25，00080%Web服务器拒绝服务防火墙￥10，00060%病 毒电子邮件防病毒扫描￥5，00070%客户防病毒扫描￥10，00080%电子邮件附件安全策略￥50060%信息安全风险分析工作比较耗费时间，它要求分析者有丰富的安全知识，安全风险分析工作的效率与安全知识有关，因此分析工作应该由信息安全专家来做。信息安全风险分析设计业务管理人员和信息系统人员，业务管理人员决定组织在一定时间内愿意接受的安全风险级别，并且考虑对业务潜在的影响。信息系统管理员负责决定采用什么样的安全控制和安全管理规程。安全风险分析不是直接的信息截取，对按需求的理解需要主动性，因此在风险分析阶段应该经常把这两类人员召集到一起讨论，把安全问题和业务问题联系起来考虑。风险评价技术可以应用于整个组织，也可以应用于一个或者几个部门，还可以应用于某个信息系统，某个系统构件或者是某项服务。对于特别重要的信息系统，甚至可以按照设计、开发、测试、验收分阶段进行信息安全风险分析。在信息安全风险分析中需要获取和分析大量有用信息，如果使用有助于交流和决策的工具，也会对信息安全风险分析工作有帮助。3.2信息安全策略的编制原则信息安全策略如果可读性好，就容易收到预期效果。信息安全策略包含的内容越多，雇员在理解和执行信息安全策略方面付出的努力也就越多，如果信息安全策略包括模糊和不能理解的叙述，就会影响信息安全目标的实现，也会给雇员造成困扰。从有利于信息安全策略实施的角度出发，组织的信息安全策略应该满足以下两项基本要求：第一，策略要具备易读性信息安全策略如果可读性好，就容易收到预期效果。信息安全策略包含的内容越多，雇员在理解和执行信息安全策略方面需要付出的努力就越多，如果信息安全策略包含模糊和不能理解的叙述，就会影响信息安全目标的实现，也会给雇员造成困扰。编写文件时就要考虑到易读性，在某个文件内部，如果按照读者来组织内容，就能够减少读者翻阅文件的时间，这一点与系统管理员手册不同，系统管理员手册的组织方式不一定适合普通读者的阅读习惯。另外，读者已经知道的内容和将要参考的内容在编排上应该尽量有所区别，这样可以让读者集中注意力到需要关注的地方，比如读者需要执行的任务和需要担负的责任。对于大型文件，比如有一个主文件和多个其他附件，就应该有一个读者指南。信息安全策略的书写风格应该反映组织的文化，从而确保其被组织成员所接受。各种术语是应用于特定的商业环境的，为一个制造工厂制定的信息安全策略并不要求一个财务服务公司能得到相同的理解。对于组织成员来说，信息安全策略应该是清晰的和广泛的，要避免使用不必要的术语。第二，策略要具备实用性管理者可能经常会说，我们的组织也有信息安全策略，但是实际上并没有发挥它们的作用，而是被搁置在某个角落里。当组织发生安全事故时，管理者和雇员依靠的仍然是自己的经验，而不是参考经过细致研究后制定出来的信息安全策略，即使在一些大企业和重要政府部门里，这种情况也经常出现。信息安全策略是针对信息安全威胁的，在实际的信息系统中，信息安全威胁是确确实实存在的，增加信息安全策略的针对性，就句以增强信息安全策略的实用性。3.3信息安全策略的制定信息安全策略的种类根据不同企业的实际情况而有所不同，普遍存在的信息安全策略种类如表3- 2所示，各个组织可以根据具体情况对这些策略进行调整、细分或者合并。表3-2 信息安全策略的种类策略名称含 义加密策略阐述组织内部计算机设备使用的加密算法的要求使用策略阐述组织内部计算机设备使用、计算机服务使用和对雇员的信息安全要求电子邮件使用策略阐述组织关于电子邮件的接受、转发、存放和使用等要求采购与评价策略阐述组织设备采购规程和采购设备评价的要求口令防护策略阐述组织关于建立、保护和改变口令的要求信息分类和保密策略阐述组织的信息分类和各类信息的信息安全要求服务器安全策略阐述组织内部服务器的最低安全配置要求数据库安全策略阐述数据库数据存储、检索、更新等安全要求应用服务器提供策略阐述应用服务器提供商必须执行的最低信息安全标准，达到这个标准后该服务提供商的服务才能考虑在该组织的项目中被使用防病毒策略阐述组织内所有计算机的病毒检测和预防的要求，明确在哪些环节必须进行计算机病毒检测审计策略阐述组织信息安全审计要求，比如审计小姐组成、权限、事故调查、信息安全风险分析、信息安全策略符合程度评价、对用户和系统活动进行监控等活动的要求Internet接入策略阐述组织对接入Internet的计算机设备及其操作系统的安全要求线路连接策略阐述诸如传真发送和接受、模拟线路与计算机连接、拨号连接和网络连接等方面的要求第三方网络连接策略阐述与第三方组织的网络连接时的安全要求，包括标准要求、法律要求和合同要求等非军事区安全策略阐述位于组织非军事区域的设备和网络的信息安全要求内部实验室安全策略阐述信息安全内部实验室的信息安全要求，保证组织的保密信息和技术的安全，保证实验室活动不影响产品服务的安全和企业利益远程访问策略阐述从组织外部的主机或者网络连接到组织的网络进行外部访问的安全要求路由器安全策略阐述组织内部路由器和交换机的最低安全配置要求VPN安全策略阐述组织使用VPN接入的安全要求无线通信策略阐述组织无线系统接入的安全要求3.3.1物理和环境安全控制策略物理安全控制指保护组织信息系统的物理防护措施，包括：办公室进入控制、计算机房进入控制、闲置设备安全控制、连接断开控制、防火控制、存储设备防篡改、设施防盗窃和防野蛮操作控制。1安全区为防止非授权访问对业务基础信息的损害和干扰，关键和敏感的业务信息处理设施应该放置在安全区，安全区应该有明显的安全边界，有相应的安全隔离和入口管理措施。进行物理防护，防止非授权服务、损害和干扰的发生。物理隔离层可以是墙、用身份卡控制的门或者手工登记台，地点和强度可以根据安全风险评估的结果决定。2办公区域安全控制(1)事先考虑可能发生的火灾、洪水、爆炸、骚乱和其他形式的自然与人为灾难带来的损害；(2)所有避免公众访问的关键设施都应有明确的内部标志；(3)传真机和复印机等可能泄露保密信息的设备应该放置在安全区内，避免非授权访问；(4)安装安全监视和探测系统，对门窗进行探查；(5)危险和易燃材料应该存放在距离办公区足够安全的距离之外；(6)信息系统恢复设备和备份介质应该位于主地点足够安全的距离之外，避免主工作区发生灾难时的影响。3线路安全电力线路和通信线路要防止拦截和损坏，这方面的安全控制包括：(1)进入信息处理设施的电力线路或者通信线路应该是地下的，并给予适当的保护；(2)网线应防止非授权截获；(3)动力线应该和通信线隔离，防止相互干扰；(4)对敏感信息和关键系统应该考虑更进一步的安全控制；4设备维护进行正确的设备维护，保证其连续可用性和完整性，关于设备维护的安全控制有：(1)按照供货商规定的时间间隔和规范进行正确维护；(2)只有经过授权的人员才能进行维修；(3)对于所有可能的保障进行的预防性维护和实际发生的故障进行的修正性维护都进行记录。将设备送出维护时，考虑采取适当的安全控制，并且严格遵守厂商的维护要求。5设备报废处理和重用如果在设备的报废处理和重用方面不够仔细，就可能泄漏保密信息。因此，包含保密信息的存储设备报废时应该进行物理销毁或者安全覆盖，而不能简单的使用标准的删除操作。所有包含存储介质的设备，在丢弃之前都应该检查是否已经覆盖了保密数据和删除了软件许可证，在丢弃包含保密数据的存储设备时，进行风险分析，确定使用它的项目是否被毁坏、修复或者丢弃。3.3.2 数据加密策略数据加密和解密可以通过硬件或者软件方式实现。数据可以在计算机上加密，加密存储在文件中，并使用常规协议用过网络进行传输。加密是保证计算机或者传输数据的机密性的最直接方式。MD5数据加密算法是保证企业信息安全的一种重要技术，下面我将重点介绍一下这种技术：1md5简介：md5是message-digest algorithm 5（信息摘要算法）的简称，它的作用是让大容量信息在用数字签名软件签署私人密匙前被“压缩”成一种保密的格式（就是把一个任意长度的字节串变换成一定长的大整数）。它们都需要获得一个随机长度的信息并产生一个128位的信息摘要。目前md5广泛用于加密和解密技术上，比如用户的密码就是以md5（或其它类似的算法）经加密后存储在文件系统中。当用户登录的时候，系统把用户输入的密码计算成md5值,然后再去和保存在文件系统中的md5值进行比较，进而确定输入的密码是否正确。同样也可以将用户加密后的密码存储于数据库中，然后再进行比较以确定用户登录系统的合法性。这不但可以避免用户的密码被具有系统管理员权限的用户知道，而且还在一定程度上增加了密码被破解的难度。2md5算法简述：md5以512位分组来处理输入的信息，且每一分组又被划分为16个32位子分组，经过了一系列的处理后，算法的输出由四个32位分组组成，将这四个32位分组级联后将生成一个128位散列值。在md5算法中，首先需要对信息进行填充，使其字节长度对512求余的结果等于448。因此，信息的字节长度（bits length）将被扩展至n512+448，即n64+56个字节（bytes），n为一个正整数。填充的方法如下，在信息的后面填充一个1和无数个0，直到满足上面的条件时才停止用0对信息的填充。然后，在这个结果后面附加一个以64位二进制表示的填充前信息长度。经过这两步的处理，现在的信息字节长度为n512+448+64=(n+1)512，即长度恰好是512的整数倍。3md5加密算法在企业信息安全中的应用：随着网络技术的广泛使用，企业信息数据的安全越来越受到人们的关注。在企业信息管理系统中，经常需要用户权限信息存储于数据库，当不同的用户登录时，根据数据库中的信息进行相关验证，但数据库中的信息也受到各方面因素的影响而使安全性受到威胁，因此如何保证数据库的安全变得越来越重要。由于MD5是一个安全性较高的算法，因此将它应用于企业信息管理中可以解决数据修正的问题。应用实例：(1)首先，在SQL Server中创建一个包含UserName和Password的名为Users表。(2)加密用户登录帐号用户登录表单为：创建帐号：用户名:密码：处理登录表单中密码，就是将用户密码加密后写入到数据库，其主要的源程序如下：1.创建连接2.创建Command对象Dim strSQL as String=INSERT INTO Users (Username, Password)& VALUES(Username, Password)Dim obj Cmd as New Sql Comm and (strSQL, objConn)3.创建参数Dim param Username as Sql ParameterParam Username=New Sql Parameter(Username”, Sql DbType VarChar,25)Param Username. Value=txt Username. TextObj Cmd. Parameters. Add(param Username)加密密码字段Dim md5 Hasher as New MD5 Cryp toServiceProvider()Dim hashed Bytes as Byte()Dim encoder as New UTF 8Encoding()hashedBytes=md5 Hasher. Compute Hash(encoder.GetBytes(txtPwd.Tex t)Dim param Pwd as SqlParameterparam Pwd=New SqlParameter(Password,SqlDbType.Binary,16)param Pwd.Value=hashedBytesobjCmd.Parameters.Add(param Pwd)插入数据库objConn.Open()objCmd.ExecuteNonQuery()objConn.Close()(3)验证用户登录信息下面是对用户登录进行验证的ASP.NET源程序代码:Const strConnString as StringstrConnString=Data Source=;Initial Catalog=testUser Id=sa;Password=;Dim objConn as New SqlConnection(strConnString)Dim strSQL as String=SELECT COUNT (3) FORUsers&WHERE Username=Username AND PasswordPasswordDim objCmd as New SqlComm and(strSQL,objConn)Dim param Username as SqlParameterParam Username=New SqlParameter(Username Sql DbType. VarChar,25)Param Username.Value=tx t Username.T ex tobjCmd. Parameters. Add(param Username)加密密码Dim md5 Hasher as New MD5 Cryp toServiceProvider()Dim hashed Data Bytes as Byte()Dim encoder as New UTF 8Encoding()Hashed DataBytes=md5Hasher.ComputeHash(encode GetBytes(txtPwd. T ex t)Dim param Pwd as Sql Parameterparam Pwd=New SqlParameter(Password,SqlDb Type. Binary,16)param Pwd. Value=hashed DataBytesobjCmd.Parameters.Add(param Pwd)objConn. Open()Dim Results as Intger=objCmd. ExecuteScalar()objConn. Close()If Results=1 then合法Else不合法End Sub 3.3.3 网络安全策略如果一个企业的网络安全薄弱的话，组织将处在高风险之中，有一个有效网络安全策略去覆盖这些风险，是及其重要的。对于那些负责网络安全的雇员应该给予适当的训练，减少被黑客攻击的可能。同时需要构筑一个足够的抵抗这些攻击的防护体系，保证各种网络防护设施到位，确定网络层次的访问点，确保当前的访问是可操作的，应考虑下述保护机制：(1) 安装入侵检测软件，记录对本系统的访问和访问企图；目前业内对入侵检测的解决方案是采用IDS(入侵监测系统)。入侵监测系统处于防火墙之后对网络活动进行实时检测。许多情况下，由于可以记录和禁止网络活动，所以入侵监测系统是防火墙的延续。它们可以和防火墙或路由器配合工作。入侵监测系统IDS与系统扫描器system scanner不同。系统扫描器是根据攻击特征数据库来扫描系统漏洞的，它更关注配置上的漏洞而不是当前进出你的主机的流量。在遭受攻击的主机上，即使正在运行着扫描程序，也无法识别这种攻击；IDS扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤从主机网卡到网线上的流量，提供实时报警。网络扫描器检测主机上先前设置的漏洞，而IDS监视和记录网络流量。如果在同一台主机上运行IDS和扫描器的话，配置合理的IDS会发出许多报警。通过IDS的报警，网络管理员可以做出相应的解决措施；(2) 模式分析，确定在线活动的变化，识别犯罪攻击企图；(3) 访问控制列表和机制，记录某些特定文件的活动，比如读、写、执行、删除等操作；(4) 系统帐户记录；(5) 网络使用分析，在用户授权级别上识别应用访问和进行报告；(6) 通过网络包侦收软件探查攻击源；(7) 阻断软件，阻止某些特定、不信任的网址和计算机的连接。3.3.4 灾难策略灾难策略反映企业面临灾难时的应对，企业应该制定经过批准的详细计划和规程，规定当特定的情况发生时要采取的行动，这些计划应该考虑各种意外，比如数据瘫痪、通信损失、病毒感染、系统丧失可用性等。这方面两个重要的计划是：(1)业务应急计划。应急计划是针对意外事件或者环境变化的计划，应急计划必须明确开始执行的条件和随后紧急时期的组织命令链；(2)灾难恢复计划。灾难恢复计划是处理灾难造成的问题的总体计划，它重在处理紧急的危机，保证人员的健康和安全，阻止危机的进一步蔓延和继续。3.3.5 企业局域网安全策略在分析企业局域网的安全风险时，应考虑到企业网络的特点，进行有针对性的风险分析，并设计相应的安全策略。(1)病毒、蠕虫是企业局域网上最大的安全威胁，必须建立企业级的网络防病毒机制，部署企业级的网络防病毒产品，应建立系统补丁自动分发机制；(2)网络用户数目较大，必须制定安全策略，使满足一定条件的用户才可以接入公司网络。用户接入控制是企业信息安全管理工作的基础，它包括对接入网络计算机的信息获取、企业安全策略(如密码策略、软件策略、服务策略、外设策略)的设定与分发等；(3)内部网络中存在许多不同的子网，不同的子网有不同的安全性，因此在进行安全方案设计时，应考虑将不同功能和安全级别的网络进行逻辑或物理的分离，合理设置VLAN；(4)安全方案设计时应充分考虑控制Internet连接的相关风险.包括控制可能通过Internet引入病毒.防止黑客攻击。制定远程访问管理规则，垃圾、病毒邮件过滤，不良网站过滤等；(5)网络中一些服务器，如Web服务器需要允许外部直接访问，这时应采取加固系统、防火墙技术、访问认证、防病毒系统、网络隔离、内容过滤等措施，避免公开服务器的安全风险扩散到内部；(6)企业应用系统的设计应充分考虑安全方面的因素，如加强身份认证、日志审计等，防止攻击、泄密事件的发生；(7)移动存储设备的大量使用也带来了一系列的安全问题，应该从管理到技术两方面解决这一问题；(8)当网络出现攻击行为或网络受到其他一些安全威胁时（如内部人员的违规操作等），应进行实时的检测、监控、报告与预警，事故发生后，应能提供攻击行为的追踪线索。总之，要保证局域网中的信息安全，在进行安全风险和需求分析时，应结合企业局城网络的特点，根据潜在的安全风险、安全产品的功能、价格等因素进行综合细致的考虑10。3.4 企业信息安全网络体系设计如果企业需要构建一个大型网络，那么就需要进行网络体系设计。网络体系的设计一般包括物理网络隔离、逻辑隔离、防火墙体系结构、基于广域网的网络体系结构、虚拟专用网等。下面我就来介绍一下有关内容：1.物理网络隔离如果一个以太网有很多节点，就必须创建单独的物理网络，这些被分隔开的网络通过路由器连接在一起，如此之大的网络空间加大了出现网络安全问题的风险。因此，必须采取一些措施来降低这种安全风险。(1)可以使用过滤路由器来限制分隔开的物理网络之间的访问。过滤路由器是基于图3-1所示的一套规则，来控制两个或两个以上网段之间的IP数据包。过滤路由器通过使用过滤规则对IP传输进行过滤。路由器网段1网段2图3-1 基于路由器的网络体系结构(2)使用交换机来隔离服务器、用户组和部门之间的网络传输为了避免组织内不必要的网络传输，应该使用一个交换机来隔离组织内部各服务器和部门之间的传输。因此，如果黑客或者内部用户从某一特定PC上开始对网络进行监控，那么他只能看到在特定网段上传输的有限分组。2.逻辑隔离将访问限制在一个单独网络内的另一个方法就是将网络划分成逻辑上独立的分区。每个逻辑分区看起来都像是一个独立的网络，有一个独立的用户账号数据库。各分区的管理员可以控制对逻辑网络分区内部资源的访问。在逻辑上隔开网络，也限制了用户访问网络上的所有资源，因此增加了信息和网络的安全性。一个逻辑网络不能访问其他逻辑网络上的资源，除非网络之间存在信任关系。3.防火墙体系结构如果想保护企业人网络不受因特网或其他外部通信连接的影响，就要求企业配置一台能将内网和外网进行隔离的防火墙。防火墙是一台或者一套设备或软件，它能将可信网络安全地连接到不可信或者公共网络。由于分组必须流经防火墙，因此，它采用一套规则来对分组进行授权，防火墙启用这套规则来加强站点的安全策略。4.虚拟专用网虚拟专用网（VPN）的目的是为了解决跨因特网的站点间的安全连接问题。与点对点或者帧中继WAN通信相比，VPN对两个可信主机的会话进行了加密，可以使用路由器和具有相同加密软件的PC机来实现。该技术的特点在于必须通过公众网络传送敏感信息，尽管是经过加密的，但也不能保证这些敏感信息的绝对安全。VPN使用因特网传输信息，因此无法保证数据的交付，但是加密机制可以保证数据的机密性。使用这种穿过防火墙的加密隧道将会绕过部分安全机制，因此，VPN无论是用于站点连接，还是方便用户访问，都决不能忽视系统的安全问题。5.防病毒体系结构企业信息网络通常采用网络防病毒系统，对全网统一部署防病毒策略，实现全网的整体防病毒。网络防病毒系统主要包括以下内容：客户端防病毒在企业信息网络中所有接入网络的客户端计算机上安装客户端防病毒程序，实时监控进出计算机的信息，定期自动对所有文件进行扫描，保护客户端计算机免受病毒侵扰。网关防病毒在网关处安装防病毒墙，对出入网关的数据包进行检查，及时发现并清除企图进入受保护网络的病毒。邮件防病毒在邮件服务器安装邮件防病毒，对所有用户收发的邮件进行病毒扫描和清除，避免病毒通过邮件进行传播。服务器防病毒在服务器上安装服务器防病毒程序，服务器的操作系统可以是WINDOWS，UNIX，LINUX等，在Lotus Notes，Microsoft Exchange等群件服务器中安装群件防毒程序，实时监控进出服务器的信息，并定期对所有文件进行扫描，保护服务器端操作系统及应用系统免受病毒的破坏，也避免终端计算机因访问感染病毒的服务器而感染病毒2。第4章 企业信息安全策略的实施企业信息安全策略制定出来之后，最重要的问题就是要使其得到有效的实施。企业的信息安全策略只有通过实施，才能对企业的信息安全产生积极的影响。4.1企业信息安全策略成功的要素(1)管理者支持安全策略成功最重要的因素就是管理支持。管理层重视，下面的雇员就会认真起来，就可以使用奖惩处分手段推行安全策略，甚至把遵守安全策略作为个人表现的一个衡量指标，如果领导不支持，再好的信息安全策略也将是废纸一张。(2)企业文化信息安全策略与企业文化有很大的关系，企业文化直接影响到信息安全策略有关的管理支持、信息安全策略的措辞、信息安全策略的发布和实施，而企业的高层管理者对信息安全的认识和逻辑、以往的管理策略、企业各种内部服务、企业人员的道德规范以及组织中的其他因素都会对信息安全策略有影响。(3)技术人员选择制定和实施信息安全策略需要信息安全技术人员的参与，寻找符合条件的人员不是一件简单的事情。如果本组织没有合适的人员，有时候选择应用服务提供商或者是安全服务提供商可能更为明智。(4)安全工具当信息安全策略明确，信息安全人员调度到位并且经过培训，下面的问题就是如何建立起保护关键信息资产的结构。这其中的关键是使用信息安全工具。抵御外部入侵者的第一条防线是防火墙、逻辑访问控制和物理访问控制。这条防线的目标是在企业的网络周围建立起一个虚拟的墙，控制和保护所有进出的访问。防火墙的目标是阻止非授权用户访问企业网络上的计算机资源，防止未授权的特定信息的输出。(5)重视安全计划安全计划就是要考虑当发生了最坏的情况时怎么办。 因为设计再好的防线也有失效的时候，当这种情况发生时，就需要执行事先设计的计划，两个最重要的计划是灾难恢复计划和事故响应计划。4.2培训用户的了解、培训和参与是策略被接受的关键因素。让雇员了解和服从信息安全策略都需要时间，在信息安全策略的实施中，要注意下面的问题：(1)颁布方法信息安全策略的颁布是很重要的，没有颁布或者颁布不好就如同不存在一样，对于要颁布的信息安全策略进行适当的控制和说明是非常必要的。以最适合的形式将信息安全策略的内容和宣传材料传达给雇员，可选择的手段包括纸介质、计算机帮助文件、W