信息技术赵泽茂第十五章

15.1信息安全体系结构现状15.2网络安全需求15.3网络安全产品15.4某大型企业网络安全解决方案案例15.5电子政务安全平台实施方案小结习题20世纪80年代中期，美国国防部为适应军事计算机的保密需要，在20世纪70年代的基础理论研究成果计算机保密模型(Bell＆Lapadula模型)的基础上，制定了“可信计算机系统安全评价准则”(TCSEC)，其后又对网络系统、数据库等方面作出了一系列安全解释，形成了安全信息系统体系结构的最早原则。至今，美国已研制出符合TCSEC要求的安全系统(包括安全操作系统、安全数据库、安全网络部件)达100多种，但这些系统仍有局限性，还没有真正达到形式化描述和证明的最高级安全系统。15.1信息安全体系结构现状1989年，确立了基于OSI参考模型的信息安全体系结构，1995年在此基础上进行修正，颁布了信息安全体系结构的标准，具体包括五大类安全服务、八大种安全机制和相应的安全管理标准(详见1.4.1节)。

20世纪90年代初，英、法、德、荷四国针对TCSEC准则只考虑保密性的局限，联合提出了包括保密性、完整性、可用性概念的“信息技术安全评价准则”(ITSEC)，但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方(美国国家安全局和国家技术标准研究所、加、英、法、德、荷)共同提出了“信息技术安全评价通用准则”(CCforITSEC)。CC综合了国际上已有的评测准则和技术标准的精华，给出了框架和原则要求，但它仍然缺少综合解决信息的多种安全属性的理论模型依据。标准于1999年7月通过国际标准化组织的认可，被确立为国际标准，编号为ISO/IEC15408。ISO/IEC15408标准对安全的内容和级别给予了更完整的规范，为用户对安全需求的选取提供了充分的灵活性。然而，国外研制的高安全级别的产品对我国是封锁禁售的，即使出售给我们，其安全性也难以令人放心。安全体系结构理论与技术主要包括安全体系模型的建立及其形式化描述与分析，安全策略和机制的研究，检验和评估系统安全性的科学方法和准则的建立，符合这些模型、策略和准则的系统的研制(比如安全操作系统、安全数据库系统等)。

我国在系统安全的研究及应用方面与先进国家和地区存在着很大的差距。近几年来，我国进行了安全操作系统、安全数据库、多级安全机制的研究，但由于自主安全内核受控于人，难以保证没有漏洞，而且大部分有关的工作都以美国1985年的TCSEC标准为主要参照系。开发的防火墙、安全路由器、安全网关、黑客入侵检测系统等产品和技术，主要集中在系统应用环境的较高层次上，在完善性、规范性、实用性上还存在许多不足，特别是在多平台的兼容性、多协议的适应性、多接口的满足性方面存在很大的差距，其理论基础和自主的技术手段也有待于发展和强化。然而，我国的系统安全的研究与应用毕竟已经起步，具备了一定的基础和条件。1999年10月，我国发布了“计算机信息系统安全保护等级划分准则”，该准则为安全产品的研制提供了技术支持，也为安全系统的建设和管理提供了技术指导。Linux开放源代码为我们自主研制安全操作系统提供了前所未有的机遇。作为信息系统赖以支持的基础系统软件——操作系统，其安全性是关键。长期以来，我国广泛使用的主流操作系统都是从国外引进的。从国外引进的操作系统，其安全性难以令人放心。具有我国自主版权的安全操作系统产

品在我国各行各业都迫切需要。我国的政府、国防、金融等机构对操作系统的安全都有各自的要求，都迫切需要找到一

个既满足功能、性能要求，又具备足够的安全可信度的操作系统。Linux的发展及其在国际上的广泛应用，在我国也产生了广泛的影响，只要其安全问题得到妥善解决，就会得到我国各行各业的普遍接受。网络安全需求主要包括下述几种需求。

1.物理安全需求

由于重要信息可能会通过电磁辐射或线路干扰而被泄漏，因此需要对存放机密信息的机房进行必要的设计，如

构建屏蔽室、采用辐射干扰机等，以防止电磁辐射泄漏机密信息。此外，还可对重要的设备和系统进行备份。15.2网络安全需求

2.访问控制需求

网络需要防范非法用户的非法访问和合法用户的非授权访问。非法用户的非法访问也就是黑客或间谍的攻击行为。在没有任何防范措施的情况下，网络的安全主要是靠主机系统自身的安全设置(如用户名及口令)简单控制的。但对于用户名及口令的保护方式，对有攻击目的的人而言，根本就不是一种障碍。他们可以通过对网络上信息的监听或者通过猜测得到用户名及口令，这对他们而言都不是难事，而且只需花费很少的时间。因此，要采取一定的访问控制手段，防范来自非法用户的攻击，保证只有合法用户才能访问合法资源。合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源。一般来说，每个成员的主机系统中，有一部分信息是可以对外开放的，而有些信息是要求保密或具有一定的隐私性的。

外部用户被允许访问一定的信息，但他们同时有可能通过一些手段越权访问别人不允许他访问的信息，从而会造成他人的信息泄密，因此必须加密访问控制的机制，对服务及访问权限进行严格控制。3.加加密密需求求与CA系系统构构建加密传传输是是网络络安全全的重重要手手段之之一。。信息息的泄泄漏很很多都都是在在链路路上被被搭线线窃取取的，，数据据也可可能因因为在在链路路上被被截获获、被被篡改改后传传输给给对方方，造造成数数据的的真实实性、、完整整性得得不到到保证证。如如果利利用加加密设设备对对传输输数据据进行行加密密，使使得在在网上上的数数据以以密文文传输输(因因为数数据是是密文文)，，那么么即使使在传传输过过程中中被截截获，，入侵侵者也也读不不懂，，而且且加密密还能能通过过先进进的技技术手手段对对数据据传输输过程程中的的完整整性、、真实实性进进行鉴鉴别，，从而而保证证数据据的保保密性性、完完整性性及可可靠性性。因因此，，必须须配备备加密密设备备对数数据进进行传传输加加密。。网络系系统采采用加加密措措施，，而加加密系系统通通常都都通过过加密密密钥钥来实实现，，但密密钥的的分发发及管管理的的可靠靠性却却存在在安全全问题题。为为解决决此问问题，，提出出了CA系系统的的构建建，即即通过过信任任的第第三方方来确确保通通信双双方互互相交交换信信息。。4.入入侵侵检测测系统统需求求防火墙墙是实实现网网络安安全最最基本本、最最经济济、最最有效效的措措施之之一。。防火火墙可可以对对所有有的访访问进进行严严格控控制(允许许、禁禁止、、报警警)，，但防防火墙墙不可可能完完全防防止有有些新新的攻攻击或或那些些不经经过防防火墙墙的其其他攻攻击。。所以以，为为确保保网络络更加加安全全，必必须配配备入入侵检检测系系统，，对透透过防防火墙墙的攻攻击进进行检检测，，并做做相应应的反反应(记录录、报报警、、阻断断)。。5.安安全全风险险评估估系统统需求求网络系系统和和操作作系统统存在在安全全漏洞洞(如如安全全配置置不严严密等等)等等是使使黑客客等入入侵者者的攻攻击屡屡屡得得手的的重要要因素素。入入侵者者通常常都是是通过过一些些程序序来探探测网网络中中系统统存在在的一一些安安全漏漏洞，，然后后通过过发现现的安安全漏漏洞，，采取取相应应的技技术进进行攻攻击，，因此此，必必需配配备网网络安安全扫扫描系系统和和系统统安全全扫描描系统统来检检测网网络中中存在在的安安全漏漏洞，，并采采取相相应的的措施施填补补系统统漏洞洞，对对网络络设备备等存存在的的不安安全配配置重重新进进行安安全配配置。。6.防防病病毒系系统需需求病毒的的危害害性极极大并并且传传播极极为迅迅速，，必须须配备备从单单机到到服务务器的的整套套防病病毒软软件，，实现现全网网的病病毒安安全防防护。。必须须配备备从服服务器器到单单机的的整套套防病病毒软软件，，防止止病毒毒入侵侵主机机并扩扩散到到全网网，实实现全全网的的病毒毒安全全防护护，以以确保保整个个单位位的业业务数数据不不受到到病毒毒的破破坏，，日常常工作作不受受病毒毒的侵侵扰。。由由于新新病毒毒的出出现比比较快快，因因此要要求防防病毒毒系统统的病病毒代代码库库的更更新周周期必必须比比较短短。7.漏漏洞洞扫扫描描需需求求在网网络络建建设设中中必必须须部部署署漏漏洞洞扫扫描描系系统统，，它它能能主主动动检检测测本本地地主主机机系系统统存存在在安安全全性性弱弱点点的的程程序序，，采采用用模模仿仿黑黑客客入入侵侵的的手手法法对对目目标标网网络络中中的的工工作作站站、、服服务务器器、、数数据据库库等等各各种种系系统统以以及及路路由由器器、、交交换换机机、、防防火火墙墙等等网网络络设设备备可可能能存存在在的的安安全全漏漏洞洞进进行行逐逐项项检检查查，，测测试试该该系系统统上上有有没没有有安安全全漏漏洞洞存存在在，，然然后后就就将将扫扫描描结结果果向向系系统统管管理理员员提提供供周周密密、、可可靠靠的的安安全全性性分分析析报报告告，，从从而而让让管管理理人人员员从从扫扫描描出出来来的的安安全全漏漏洞洞报报告告中中了了解解网网络络中中服服务务器器提提供供的的各各种种服服务务及及这这些些服服务务呈呈现现在在网网络络上上的的安安全全漏漏洞洞，，在在系系统统安安全全防防护护中中做做到到有有的的放放矢矢，，及及时时修修补补漏漏洞洞，，从从根根本本上上解解决决网网络络安安全全问问题题，，有有效效地地阻阻止止入入侵侵事事件件的的发发生生。。8.电电磁磁泄泄漏漏防防护护需需求求计算算机机系系统统和和网网络络系系统统在在工工作作时时会会产产生生电电磁磁辐辐射射，，信信息息以以电电信信号号方方式式传传输输时时也也会会产产生生电电磁磁辐辐射射，，造造成成电电磁磁泄泄漏漏。。对对重重要要的的保保密密计计算算机机，，应应使使用用屏屏蔽蔽技技术术、、电电磁磁干干扰扰技技术术和和传传输输加加密密技技术术，，避避免免因因电电磁磁泄泄漏漏而而引引起起的的信信息息泄泄密密。。解决决网网络络信信息息安安全全问问题题的的主主要要途途径径是是利利用用密密码码技技术术和和网网络络访访问问控控制制技技术术。。密密码码技技术术用用于于隐隐蔽蔽传传输输信信息息、、认认证证用用户户身身份份等等。。网网络络访访问问控控制制技技术术用用于于对对系系统统进进行行安安全全保保护护，，抵抵抗抗各各种种外外来来攻攻击击。。目目前前，，在在市市场场上上比比较较流流行行，，而而又又能能够够代代表表未未来来发发展展方方向向的的安安全全产产品品大大致致有有以以下下几几类类。。15.3网网络络安安全全产产品品1.防防火火墙墙防火火墙墙在在某某种种意意义义上上可可以以说说是是一一种种访访问问控控制制产产品品。。它它在在内内部部网网络络与与不不安安全全的的外外部部网网络络之之间间设设置置障障碍碍，，阻阻止止外外界界对对内内部部资资源源的的非非法法访访问问，，防防止止内内部部对对外外部部的的不不安安全全访访问问。。防防火火墙墙的的主主要要技技术术有有包包过过滤滤技技术术、、应应用用网网关关技技术术和和代代理理服服务务技技术术。。防防火火墙墙能能够够较较为为有有效效地地防防止止黑黑客客利利用用不不安安全全的的服服务务对对内内部部网网络络进进行行的的攻攻击击，，并并且且能能够够实实现现数数据据流流的的监监控控、、过过滤滤、、记记录录和和报报告告功功能能，，较较好好地地隔隔断断内内部部网网络络与与外外部部网网络络的的连连接接。。但但它它本本身身可可能能存存在在安安全全问问题题，，也也可可能能会会是是一一个个潜潜在在的的瓶瓶颈颈。。2.安安全路路由器由于WAN连接接需要专专用的路路由器设设备，因因而可通通过路由由器来控控制网络络传输。。通常采采用访问问控制列列表技术术来控制制网络信信息流。。3.虚虚拟专用用网(VPN)虚虚拟拟专用网网(VPN)是是在公共共数据网网络上通通过采用用数据加加密技术术和访问问控制技技术来实实现两个个或多个个可信内内部网之之间的互互连。VPN的的构架通通常都要要求采用用具有加加密功能能的路由由器或防防火墙，，以实现现数据在在公共信信道上的的可信传传递。4.安安全服服务器安全服务务器主要要针对一一个局域域网内部部信息存存储、传传输的安安全保密密问题，，其实现现功能包包括对局局域网资资源的管管理和控控制，对对局域网网内用户户的管理理，以及及对局域域网中所所有安全全相关事事件的审审计和跟跟踪。5.电电子签签证机构构——CA和PKI产产品电电子签证证机构(CA)作为通通信的第第三方，，为各种种服务提提供可信信任的认认证服务务。CA可向用用户发行行电子证证书，为为用户提提供成员员身份验验证和密密钥管理理等功能能。PKI产品品可以提提供更多多的功能能和更好好的服务务，可作作为所有有应用的的计算基基础结构构的核心心部件。。6.用用户认认证产品品由于IC卡技术术的日益益成熟和和完善，，IC卡卡被更为为广泛地地用于用用户认证证产品中中，用来来存储用用户的个个人私钥钥，并与与其他技技术(如如动态口口令)相相结合，，对用户户身份进进行有效效的识别别。同时时，还可可将IC卡上的的个人私私钥与数数字签名名技术相相结合，，实现数数字签名名机制。。随着模模式识别别技术的的发展，，诸如指指纹、视视网膜、、脸部特特征等高高级的身身份识别别技术也也会投入入应用，，并与数数字签名名等现有有技术结结合，使使得对于于用户身身份的认认证和识识别功能能更趋完完善。7.安安全管管理中心心由于网上上的安全全产品较较多，且且分布在在不同的的位置，，这就需需要建立立一套集集中管理理的机制制和设备备，即安安全管理理中心。。它用来来给各网网络安全全设备分分发密钥钥，监控控网络安安全设备备的运行行状态，，负责收收集网络络安全设设备的审审计信息息等。8.入入侵检测测系统(IDS)入侵检测测作为传传统保护护机制(比如访访问控制制、身份份识别等等)的有有效补充充，形成成了信息息系统中中不可或或缺的反反馈链。。9.安安全数据据库由于大量量的信息息存储在在计算机机数据库库内，有有些信息息是有价价值的，，也是敏敏感的，，需要保保护，安安全数据据库可以以确保数数据库的的完整性性、可靠靠性、有有效性、、机密性性、可审审计性及及存取控控制与用用户身份份识别等等。但是，我我们也应应该看到到密码技技术与通通信技术术、计算算机技术术以及芯芯片技术术的融合合正日益益紧密，，其产品品的分界界线越来来越模糊糊，彼此此也越来来越不能能分割。。在一个个计算机机系统中中，很难难简单地地划分某某个设备备是密码码设备，，某个设设备是通通信设备备。而这这种融合合的最终终目的还还是在于于为用户户提供高高可信任任的、安安全的计计算机和和网络信信息系统统。网络安全全问题的的解决是是一个综综合性问问题，涉涉及诸多多因素，，包括技技术、产产品和管管理等。。国际上上已有众众多的网网络安全全解决方方案和产产品，但但由于出出口政策策和自主主性等问问题，目目前还不不能直接接用于解解决我国国自己的的网络安安全问题题，因此此我国的的网络安安全问题题只能借借鉴这些些先进技技术和产产品自行行解决。。可幸的的是，目目前国内内已有一一些网络络安全问问题解决决方案和和产品。。不过，，这些解解决方案案和产品品与国外外同类产产品相比比尚有一一定的差差距。安全解决决方案的的目标是是在不影影响企业业局域网网当前业业务的前前提下，，实现对对其局域域网全面面的安全全管理。。将将安全全策略、、硬件及及软件等等方法结结合起来来，构成成一个统统一的防防御系统统，可有有效阻止止非法用用户进入入网络，，减少网网络的安安全风险险。15.4某某大型企企业网络络安全解解决方案案实例创建一种种安全方方案意味味着设计计一种如如何处理理计算机机安全问问题的计计划，也也就是尽尽力在黑黑客征服服系统以以前保护护系统。。通常常，设计计一套安安全方案案涉及以以下步骤骤:(1)网络络安全需需求分析析。确切切了解网网络信息息系统需需要解决决哪些安安全问题题是建立立合理安安全需求求的基础础。(2)确确立合合理的安安全策略略。(3)制制订可可行的技技术方案案，包包括工程程实施方方案(产产品的选选购与订订制)、、制订管管理办法法等。威威胁胁分析威胁就是是将会对对资产造造成不利利影响的的潜在的的事件或或行为，，包括自自然的、、故意的的以及偶偶然的情情况。可可以说威威胁是不不可避免免的，我我们必须须采取有有效的措措施，以以降低各各种情况况造成的的威胁。。1.边边界网络络设备安安全威胁胁边界网络络设备面面临的威威胁主要要有以下下两点:(1)入入侵者者通过控控制边界界网络设设备进一一步了解解网络拓拓扑结构构，利用用网络渗渗透搜集集信息，，为扩大大网络入入侵范围围奠定基基础。比比如，入入侵者可可以利用用这些网网络设备备的系统统(Cisco的IOS)漏漏洞或者者配置漏漏洞，实实现对其其控制。。(2)通通过各各种手段段对网络络设备实实施拒绝绝服务攻攻击，使使网络设设备瘫痪痪，从而而造成网网络通信信的瘫痪痪。2.信信息基础础安全平平台威胁胁信息基础础平台主主要是指指支撑各各种应用用与业务务运行的的各种操操作系统统。操作作系统主主要有Windows系列与与UNIX系统统。相对对边界网网络设备备来说，，熟知操操作系统统的人员员的范围围要广得得多，而而且在网网络上，，很容易易就能找找到许多多针对各各种操作作系统的的漏洞的的详细描描述，所所以，针针对操作作系统和和数据库库的入侵侵攻击在在

网络络中也是是最常见见的。不管是什什么操作作系统，，只要它它运行于于网络上上，就必必然会有有或多或或少的端端口服务务暴露在在网络上上，而这这些端口口服务又又恰恰可可能存在在致命的的安全漏漏洞，这这无疑会会给该系系统带来来严重的的安全威威胁，从从而也给给系统所所在的网网络带来来很大的的安全威威胁。3.内内部网络络的失误误操作行行为由于人员员的技术术水平的的局限性性以及经经验的不不足，可可能会出出现各种种意想不不到的操操作失误误，势必必会对系系统或者者网络的的安全产产生较大大的影响响。4.源源自内部部网络的的恶意攻攻击与破破坏据统计，，有70%的网网络攻击击来自于于网络的的内部。。对于网网络内部部的安全全防范会会明显地地弱于对对于网络络外部的的安全防防范，而而且由于于内部人人员对于于内部网网络的熟熟悉程度度一般是是很高的的，因此此，由网网络内部部发起的的攻击也也就必然然更容易易成功，，一旦旦攻击成成功，其其强烈的的攻击目目的也就就必然促促成了更更为隐蔽蔽和严重重的网络络破坏。。5.网网络病毒毒威胁在网络环环境下，，网络病病毒除了了具有可可传播性性、可执执行性、、破坏性性、可触触发性等等计算机机病毒的的共性外外，还具具有一些些新的特特点，网网络病毒毒的这些些新的特特点都会会对网络络与应用用造成极极大的威威胁。制制订订策略根据网络络系统的的实际安安全需求求，结合合网络安安全体系系模型，，建议采采用如下下网络安安全防护护措施。。1.访访问控制制建议在网网络的各各个入口口处部署署防火墙墙，对进进入企业业网络系系统的网网络用户户进行访访问控制制，主要要实现如如下防护护功能:(1)对对网络络用户进进行身份份验证，，保证网网络用户户的合法法性;(2)能够够屏蔽流流行的攻攻击手段段;(3)对远远程访问问的用户户提供通通信线路路的加密密连接;(4)能能提供供完整的的日志和和审计功功能。2.VPN防防火墙系系统防火墙是是指设置置在不同同网络或或网络安安全域之之间的一一系列部部件的组组合。它它是不同同网络或或网络安安全域之之间信息息的唯一一出入口口，能根根据网络络的安全全政策控控制(允允许、拒拒绝、监监测)出出入网络络的信息息流。防防火墙可可以确定定哪些内内部服务务允许外外部访问问，哪些些外人被被许可访访问所允允许的内内部服务务，哪些些外部服服务可由由内部人人员访问问。并并且且防火墙墙本身具具有较强强的抗攻攻击能力力，它是是提供信信息安全全服务，，实现网网络和信信息安全全的基础础设施。。同时网络络通信要要对用户户“透明明”，部部署带VPN功功能的防防火墙，，可以同同时实现现“虚虚拟”和和“专用用”的安安全特性性，充分分利用已已有公共共网络基基础设施施的高效效性。VPN实实现的协协议有IPSec、、L2F、、L2TP、PPTP、MPPE、、SSL等。其其中互联联网络层层的安全全标准是是IPSec，，事实证证明，基基于IPSec技术构构建的VPN是是应用最最广、安安全特性性最完备备的实现现形式。。3.入入侵检测测系统在传统的的网络安安全概念念里，似似乎配置置了防火火墙就标标志着网网络的安安全，其其实不然然，防火火墙仅仅仅是部署署在网络络边界的的安全设设备，它它的作用用是防止止外部的的非法入入侵，仅仅仅相当当于计算算机网络络的第一一道防线线。虽然然通过防防火墙可可以隔离离大部分分的外部部攻击，，但是仍仍然会有有小部分分攻击通通过正常常的访问问的漏洞洞渗透到到内部网网络。另另外，据据统计，，有70％以上上的攻击击事件来来自内部部网络，，也就是是说内部部人员作作案，而而这恰恰恰是防火火墙的盲盲区。入入侵检测测系统(IDS)可以以弥补防防火墙的的不足，，为网络络安全提提供实时时的入侵侵检测及及采取相相应的防防护手段段，如记记录证据据用于跟跟踪、恢恢复、断断开网络络连接等等。入侵检检测系系统是是实时时的网网络违违规自自动识识别和和响应应系统统。它它运行行于有有敏感感数据据需要要保护护的网网络上上，通通过实实时监监听网网络数数据流流，识识别、、记录录入侵侵和破破坏性性代码码流，，寻找找网络络违规规模式式和未未授权权的网网络访访问尝尝试。。当发发现网网络违违规模模式和和未授授权的的网络络访问问尝试试时，，入侵侵检测测系统统能够够根据据系统统安全全策略略作出出反应应。该该系系统可可安装装于防防火墙墙前后后，可可以对对攻击击防火火墙本本身的的数据据流进进行响响应，，同时时可以以对穿穿透防防火墙墙的数数据流流进行行响应应。在被保保护的的局域域网中中，入入侵检检测设设备应应安装装于易易受到到攻击击的服服务器器或防防火墙墙附近近。这这些些保护护措施施主要要是为为了监监控经经过出出口及及对重重点服服务器器进行行访问问的数数据流流。入入侵检检测报报警日日志的的功能能是对对所有有对网网络络系统统有可可能造造成危危害的的数据据流进进行报报警及及响应应。由由于网网络攻攻击大大多来来自于于网络络的出出口位位置，，因此此入侵侵检测测在此此处将将承担担实时时监测测大量量出入入整个个网络络的具具有破破坏性性的数数据流流的任任务。。这些些数据据流引引起的的报警警日志志，可可作为为系统统受到到网络络攻击击的主主要证证据。。入入侵侵检测测、防防火墙墙和漏漏洞扫扫描联联动体体系示示意图图如图图15-4-1所示示。图15-4-1入侵检测、防火墙和漏洞扫描联动体系示意图4.漏漏洞洞扫描描系统统网络的的应用用越来来越广广泛，，而网网络不不可避避免的的安全全问题题也就就越来来越突突出，，如今今，每每天都都有数数十种种有关关操作作系统统、网网络软软件、、应用用软件件的安安全漏漏洞被被公布布，利利用这这些漏漏洞可可以很很容易易地破破坏乃乃至完完全地地控制制系统统;另另外，，由于于管理理员的的疏忽忽或者者技术术水平平的限限制所所造成成的配配置漏漏洞也也是广广泛存存在的的，这这对于于系统统的威威胁同同样很很严重重。动态安安全的的概念念是帮帮助管管理员员主动动发现现问题题。最最有效效的方方法是是定期期对网网络系系统进进行安安全性性分析析，及及时发发现并并修正正存在在的弱弱点和和漏洞洞，保保证系系统的的安全全性。。因此此企业业网络络系统统需要要一套套帮助助管理理员监监控网网络通通信数数据流流、发发现网网络漏漏洞并并解决决问题题的工工具，，以保保证整整体网网络系系统平平台安安全。。在企业网网络系统统网络漏漏洞扫描描系统配配置中，，我们建建议采用用启明星星辰公司司的“天天镜”网网络漏洞洞扫描系系统。天天镜网络络漏洞扫扫描系统统包括了了网络模模拟攻击击、漏洞洞检测、、报告服服务进程程、提取取对象信信息、评评测风险险、提供供安全建建议和改改进措施施等功能能，帮助助用户控控制可能能发生的的安全事事件，最最大可能能地消除除安全隐隐患。该该系统具具有强大大的漏洞洞检测能能力和检检测效率率、贴贴切用户户需求的的功能定定义、灵灵活多样样的检测测方式、、详尽的的漏洞修修补方案案和友好好的报表表系统以以及方便便的在线线升级等等优点。。通过在企企业网络络系统网网络进行行自动的的安全漏漏洞检测测和分析析，我我们可以以做到以以下几点点:(1)对企企业网络络系统网网络重要要服务器器和PC进行漏漏洞扫描描，发现现由于安安全管理理配置不不当、疏疏忽或操操作系统统本身存存在的漏漏洞(这这些漏洞洞会使系系统中的的资料容容易被网网络上怀怀有恶意意的人窃窃取，甚甚至造成成系统本本身的崩崩溃)，，生成详详细的可可视化报报告，同同时向管管理人员员提出相相应的解解决办法法及安全全建议。。(2)对对企业网网络系统统网络边边界组件件、基础础组件和和其他系系统进行行漏洞扫扫描，检检查系统统的潜在在问题，，发现操操作系统统存在的的漏洞和和安全隐隐患。(3)漏漏洞扫扫描系统统对网络络及各种种系统进进行定期期或不定定期的扫扫描监测测，并向向安全管管理员提提供系统统最新的的漏洞报报告，使使管理员员能够随随时了解解网络系系统当前前存在的的漏洞并并及时采采取相应应的措施施进行修修补。(4)通通过漏漏洞扫描描的结果果，对系系统进行行加固和和优化。。在在核核心交换换机上接接入一台台装有漏漏洞扫描描系统软软件的PC或笔笔记本电电脑，直直接输入入目标主主机的IP地址址，对其其系统的的漏洞进进行扫描描。5.防防病毒系系统一般计算算机的病病毒有超超过20%是通通过网络络下载文文档时感感染的，，另外有有26%是经电电子邮件件的附加加文档感感染的，，这就需需要一套套方便、、易用的的病毒扫扫描器，，使企业业的计算算机环境境免受病病毒和其其他恶意意代码的的攻击。。建建议议采用三三层防病病毒部署署体系来来实现对对企业网网络的病病毒防护护。1)E-mail网网关防病病毒系统统在在企企业网络络系统建建成之后后，网络络成了病病毒传播播的主要要途径。。如果在在某网络络上有一一个用户户不小心心扩散了了一个被被病毒感感染的文文档，其其结果将将可能是是毁灭性性的。为为了阻止止这些““可疑的的候选文文件”，，需要对对电子邮邮件进行行严格的的审查。。事实上上，嵌入入Word文档档中的宏宏病毒通通常通过过网络发发送至未未察觉的的用户。。

防病病毒软件件需要对对这一易易受攻击击的区域域进行保保护，对对所有通通过网关关出入的的电子邮邮件进行行扫描，，一旦检检测到病病毒，能能够自动动将该该文件隔隔离并向向系统管管理员发发出警告告。它同同时对内内容进行行过滤(以阻止止病毒欺欺骗)和和创建历历史记录录(以跟跟踪每个个检测到到的病毒毒起源)。一般来说说，基于于邮件系系统的病病毒发作作主要是是从客户户端开始始的，同同时这种种病毒感感染的对对象主要要是基于于Windows平台台的主机机和服务务器，对对其他平平台没有有感染能能力，所所以，我我们主要要是对邮邮件的内内容进行行病毒查查杀。2)服服务器病病毒系统统如如果果服务器器被感染染，其感感染文件件将成为为病毒感感染的源源头，它它们会迅迅速从桌桌面感染染发展到到整个网网络的病病毒爆发发。因此此，基于于服务器器的病毒毒保护是是XXX网络系系统的重重点之一一。所以以，建议议对在各各个局域域网的交交换区与与局域网网内部网网段上的的服务器器进行特特别的保保护，将将病毒扫扫描技术术和服务务器的管管理能力力结合在在一起(用于NovellNetWare、MicrosoftNT和和UNIX服务务器)，，对服务务器接收收和发送送的被病病毒感染染的文件件以及已已经存在在于其他他服务器器的病毒毒进行检检测。一一旦检测测到病毒毒，立刻刻将该感感染文件件隔离或或删除。。3)客客户端防防病毒系系统在在XXX网络系系统中有有大量的的个人用用户，桌桌面系统统和远程程PC是是主要的的病毒感感染源。。根据统统计，50%以以上的病病毒是通通过软盘盘进入系系统的，，因此对对桌面系系统的病病毒应严严加防范范。为了了确保检检测和清清除经访访问入口口所进入入的普通通和新发发现的病病毒，桌桌面系统统都需要要安装防防病毒软软件。另另外，这这种防病病毒软件件要能够够将隐藏藏于电子子邮件附附件中的的病毒在在对其他他用户造造成感染染之前清清除。当发现病病毒已进进入时，，正是采采取病毒毒响应计计划的时时候。病病毒响应应计划的的主要目目的是利利用每种种可能的的方法来来彻底清清除所有有的病毒毒。如果果有足够够的备份份，不会会丢失太太多数据据，就应应考虑彻彻底删掉掉感染系系统中的的所有数数据，再再重新配配置。下下一步就就需要分分析病毒毒是如何何进来的的以及要要干些什什么，这这项工作作和删除除病毒一一样重要要，因为为在所有有被感染染的系统统中，有有90%的系统统会在三三个月内内以同样样或相似似的方式式再次被被感染。。应应用用部署方方案通过对网网络整体体进行系系统分析析，并考考虑目前前网上运运行的业业务需求求，本方方案对原原有网络络系统进进行全面面的安全全加强，，主要实实现以下下目的:(1)保保障现有有的关键键应用长长期、可可靠地运运行，避避免病毒毒和黑客客的攻击击。(2)防防止内内、外部部人员的的非法访访问，特特别是要要对内部部人员的的非法访访问进行行控制。。(3)确确保网络络平台上上数据交交换的安安全性，，杜绝内内、外部部黑客的的攻击。。(4)方方便内内部授权权人员(如公司司领导、、出差员员工等)从互联联网上远远程方便便、安全全地访问问内部网网络，实实现信息息的最大大可用性性。(5)能能对网网络的异异常行为为进行监监控，并并做出回回应，建建立动态态防护体体系。为为了实实现上述述目的，，我们采采用了主主动防御御体系和和被动防防御体系系相结合合的全面面网络安安全解决决方案，，如图15-4-2所所示。图15-4-2某大型企业网络防御布置示意图该防御体体系由漏漏洞扫描描与入侵侵检测联联动系统统、入侵侵检测与与防火墙墙的联动动系统及及防病毒毒系统组组成。用用户主动动防范攻攻击行为为，尤其其是防范范从单位位内部发发起的攻攻击。对对在企业业内网发发起的攻攻击和攻攻破了防防火墙的的黑客攻攻击行为为，可以以依靠入入侵检测测系统阻阻断和发发现攻击击的行为为，同时时通过与与防火墙墙的互动动，自动动修改策策略设置置上的漏漏洞，阻阻挡攻击击的继续续进入。。本方案案在交换换机上连连入入侵侵检测系系统，并并将其与与交换机机相连的的端口设设置为为镜像端端口，由由IDS传感器器对防火火墙的内内口、关关键服务务器进行行监听，，并进行行分析、、报警和和响应;在入入侵检测测的控制制台上观观察检测测结果，，并形成成报表打打印输出出。在实现防防火墙和和入侵检检测系统统的联动动后，防防火墙““访问控控制策略略”会动动态地添添加阻断断的策略略。“漏漏洞扫描描系统””是一种种网络维维护人员员使用的的安全分分析工具具，主动动发现网网络系统统中的漏漏洞，修修改防火火墙和入入侵检测测系统中中不适当当的设置置，防患患于未然然。同同时，防防火墙主主要起到到对外防防止黑客客入侵，，对内进进行访问问控制和和授权员员工从外外网安全全接入的的作用，，在这里里主要发发挥防火火墙和VPN的的双重作作用。(1)保障障局域网不受受来自外网的的黑客攻击，，主要担当防防火墙功能。。(2)能够够根据需要，，让外网向Internet的访问问提供服务，，如Web、、E-mail、DNS等服务。。(3)对对外网用户访访问(Internet)提供灵活活的访问控制制功能，如可可以控制任何何一个内部员员工能否上网网，能访问哪哪些网站，能能不能收发E-mail、ftp等等，能够在什什么时间上网网等。简而言言之，对外网网用户能够基基于“六元组组”(即源地地址、目的地地址、源端口口号、目的端端口号、协议议、时间)进进行灵活的访访问控制。(4)下属属单位能够通通过防火墙与与安全客户端端软件之间的的安全互联，，建立通过Internet相连的的“虚拟专用用网”，解决决在网上传输输的内部信息息安全问题，，方便管理，，并极大地降降低了成本。。企业根据自身身的需要，网网络防病毒系系统应选用赛赛门铁克、趋趋势科技、瑞瑞星等知名品品牌系统。整整个系统的实实施过程应保保持流畅和平平稳，做到尽尽量不影响既既有网络系统统的正常工作作;安装在在原有应用系系统上的防毒毒产品必须保保证其稳定性性，不影响其其他应用的功功能;在安安装过程中应应尽量减少关关闭和重启整整个系统;防防病毒系统统的管理层次次与结构应尽尽量符合机关关自身的管理理结构;防防病毒系统的的升级和部署署功能应做到到完全自动化化，整个系系统应具有每每日更新的能能力;应做做到能够对整整个系统进行行集中的管理理和监控，并并能集中生成成日志报告与与统计信息。。15.5.1电子政政务平台

政务务平台是一个个高质量、高高效率、智能能化的办公系系统，该平台台以数据库为为基础，利用用了文件传输输、电子邮件件、短消息等等现代数字通通信与Internet技术。随着着网络的发展展与普及，政政府行业单位位也由局域网网扩充到广域域网。互联网网的开放性会会使政府网络络受到来自外外部互联网的的安全威胁、、内部网络与与外部网络互互联的安全威威胁和内部网网络的安全威威胁。15.5电电子政务安安全平台实施施方案国家保密局于于2000年年1月1日起颁布实实施的《计算算机信息系统统国际互联网网保密管理规规定》，对国国家机要部门门使用互联网网规定如下:涉及国家家秘密的计算算机信息系统统，不得直接接或间接地与与国际互联网网或其他公共共信息网络相相连接，必须须实行物理隔隔离。2001年12月月，国家公安安部发布的《《端设备隔离离

部件安全全技术要求》》中对物理隔隔离做了明确确的定义:公公共网络和和专网在网络络物理连线上上是完全隔离离的，且没有有任何公用的的存储信息息。2002年7月，国家信信息化领导小小组颁布的《《国家信息化化领导小组关关于我国电子子政务建设指指导意见》中中规定:电电子政务网络络由政务内网网和政务外网网构成，两网网之间物理隔隔离，政务外外网与互联网网之间逻辑隔隔离。此外，，国家保密局局在保密知识识培训中也多多次指出，网网络之间只有有在线路、设设备和存储储3个方面均均实现了独立立，才满足物物理隔离的要要求。15.5.2物理隔隔离物理隔离产品品是用来解决决网络安全问问题的。尤其其是在那些需需要绝对保证证安全的保密密网、专网和和特种网络与与互联网进行行连接时，为为了防止来自自互联网的攻攻击和保证这这些高安全性性网络的保密密性、安全性性、完整性、、防抵赖和高高可用性，几几乎全部要求求采用物理隔隔离技术。学术界一般认认为，最早提提出物理隔离离技术的应该该是以色列和和美国的军方方，但是到目目前为止，并并没有完整的的关于物理隔隔离技术的定定义和标准。。从不同时期期的用词也可可以看出，物物理隔离技术术一直在演变变和发展。较较早的用词为为PhysicalDisconnection，直译译为物理断开开。这种情况况是完全可以以理解的，保保密网与互联联网连接后，，出现很多问问题，在没有有解决安全问问题或没有解解决问题的技技术手段之前前，先断开再再说。后来来有PhysicalSeparation，直译为物物理分开。后后期发现完全全断开也不是是办法，互联联网总还是要要用的，采取取的策略多为为该连

的连连，不该连的的不连，这样样的该连的部部分与不该连连的部分要分分开。事实上，没有有与互联网相相连的系统不不多，互联网网的用途还是是很大，因此此，希望能将将一部分高安安全性的网络络隔离封闭起起来。后来多多使用PhysicalGap，，直译为物理理隔离，意为为通过制造物物理的豁口，，来达到隔离离的目的。现现在，一般用用GapTechnology来来表示物理隔隔离，它已成成为互联网上上的一个专用用名词。物理隔离技术术不是要替代代防火墙、入入侵检测、漏漏洞扫描和防防病毒系统，，相反，它是是用户“深度度防御”的安安全策略的另另一块基石。。物理隔离技技术是绝对要要解决互联网网的安全问题题，而不是什什么其他的问问题。物物理隔离离的指导思想想与防火墙有有很大的不同同:防火墙墙的思路是在在保障互联互互通的前提下下，尽可能安安全，而物理理隔离的思路路是在保证必必须安全的前前提下，尽可可能互联互通通。目前物理隔离离的技术路线线有3种:网网络开关(NetworkSwitcher)、实时时交换(Real-timeSwitch)和单向连接接(OneWayLink)。。网网络开关是在在一个系统里里安装两套虚虚拟系统和一一个数据系统统，数据被写写入到一个虚虚拟系统，然然后交换到数数据系统，再再交换到另一一个虚拟系统统。实实时交换相相当于在两个个系统之间共共用一个交换换设备，交换换设备连接到到网络A，得得到数据，然然后交换到网网络B。单向连接早期期指数据向一一个方向移动动，一般指从从高安全性的的网络向低安安全性的网络络移动。物物理隔离的一一个特征就是是内网与外网网永不连接，，内网和外网网在同一时间间最多只有一一个同隔离设设备建立非TCP/IP协议的数据据连接。其数数据传输机制制是存储和转转发。物理隔隔离的好处是是明显的，即即使外网在最最坏的情况下下，内网也不不会有任何破破坏。修复外外网系统也非非常容易。15.5.3电子政政务平台安全全解决方案政务平台的安安全解决方案案见图15-5-1。它它主要包括括防火墙系统统、入侵检测测系统、漏洞洞扫描系统、、网络防病毒毒系统、安全全管理系统、、物理隔离等等设备。首先先，将整个网网络系统分为为两部分:(1)内外外系统:与与政府专网相相连，主要功功能是内部办办公，并且含含有一些涉密密文件。(2)外网系