政府网络安全解决方案.doc

政府网络安全解决方案 第一章 前言以Internet为代表的全球性信息化浪潮日益深刻信息网络技术的应用正日益普及和广泛应用层次正在深入应用领域从传统的小型业务系统逐渐向大型关键业务系统扩展典型的如行政部门业务系统金融业务系统企业商务系统等伴随网络的普及安全日益成为影响网络效能的重要问题而Internet所具有的开放性国际性和自由性在增加应用自由度的同时对安全提出了更高的要求如何使信息网络系统不受黑客和工业间谍的入侵已成为政府机构企事业单位信息化健康发展所要考虑的重要事情之一政府机构从事的行业性质是跟国家紧密联系的所涉及信息可以说都带有机密性所以其信息安全问题如敏感信息的泄露黑客的侵扰网络资源的非法使用以及计算机病毒等都将对政府机构信息安全构成威胁为保证政府网络系统的安全有必要对其网络进行专门安全设计北京天融信网络安全技术有限公司是我国最早专业从事因特网Internet及计算机通信网络信息安全研究产品开发与系统集成的高新技术企业之一公司自创立之初即立足于这样一个信念信息安全关系到国家的主权和利益必须走自强不息的民族产业之路自1995年起公司便积极致力于信息安全的探索和研究并于1996年6月成功开发生产出我国第一套具有自主版权的防火墙系统目前天融信公司已成功开发出了防火墙系列产品和其他信息安全产品并分别获得了公安部国家安全部国家保密局国家商业密码管理委员会等国家安全主管部门的许可或认证在国内的邮电电子教育科研国防等行业及国家政府部门企事业单位得到广泛应用赢得了政府社会和用户的广泛赞誉为开创我国信息安全事业作出了积极贡献第二章 网络系统分析21 基本网络结构如今随着网络发展及普及政府行业单位也从原来单机到局域网并扩展到广域网把分布在全国各地的系统内单位通过网络互连起来从整体上提高了办事效率以下是某个政府机关单一个全国网络系统结构示意图如图示国家局网络一方面通过宽带网与国家局直属单位互连另一方面国家局网络经电信公司的专网与各省局单位网络互连而各省局单位又通过专网与其各自的下属地市局单位互连本行业系统各局域网经广域线路互连构成一个全国性的企业网Intranet22 网络应用对于各级网络系统通过本地局域网用户间可以共享网络资源如文件服务器打印机等对于各级用户之间根据用户应用需要通过广域网络各级用户之间可以利用电子邮件互相进行信息交流而单位间通过网络互相提供浏览器访问方式对外部用户发布信息提供游览查询等服务如发布一些政策规划网上报税等各级用户间还有行业数据需要通过网络进行交换而这些数据大多都可能涉及到秘密信息各级单位通过网络召开电视电话会议比如计论有关一些国家政策性的内容因此其内容在网上传输也需要保密通过网络使用单位系统内部的IP电话第三章 网络安全风险分析网络应用给人们带来了无尽的好处但随着网络应用扩大网络安全风险也变得更加严重和复杂原来由单个计算机安全事故引起的损害可能传播到其他系统和主机引起大范围的瘫痪和损失另外加上缺乏安全控制机制和对网络安全政策及防护意识的认识不足这些风险正日益加重而这些风险与网络系统结构和系统的应用等因素密切相关下面从物理安全链路安全网络安全系统安全应用安全及管理安全进行分类描述31 物理安全风险分析网络物理安全是整个网络系统安全的前提物理安全的风险主要有地震水灾火灾等环境事故造成整个系统毁灭电源故障造成设备断电以至操作系统引导失败或数据库信息丢失设备被盗被毁造成数据丢失或信息泄漏电磁辐射可能造成数据信息被窃取或偷阅报警系统的设计不足可能造成原本可以防止但实际发生了的事故32 链路传输风险分析网络安全不仅是入侵者到企业内部网上进行攻击窃取或其它破坏他们完全有可能在传输线路上安装窃听装置窃取你在网上传输的重要数据再通过一些技术读出数据信息造成泄密或者做一些篡改来破坏数据的完整性以上种种不安全因素都对网络构成严重的安全危胁因此对于政府这样带有重要信息传输的网络数据在链路上传输必须加密并通过数字签名及认证技术来保数据在网上传输的真实性机密性可靠性及完整性33 网络结构的安全风险分析com公网互联的安全危胁如果政府内部网络与Internet公网有互连基于Internet公网的开放性国际性与自由性内部网络将面临更加严重的安全危胁因为每天黑客都在试图闯入Internet节点假如我们的网络不保持警惕可能连黑客怎么闯入的都不知道甚至会成为黑客入侵其他网络的跳板政府行业内部网络中其办公系统及各人主机上都有涉密信息假如内部网络的一台机器安全受损被攻击或者被病毒感染就会同时影响在同一网络上的许多其他系统透过网络传播还会影响到与本系统网络有连接的外单位网络影响所及还可能涉及法律金融等安全敏感领域对于政府行业网络系统国家也有规定是不能与互联网直接或间接与相连com络与系统外部网互联安全威胁如果系统内部局域网络与系统外部网络间没有采取一定的安全防护措施内部网络容易造到来自外网一些不怀好意的入侵者的攻击如入侵者通过Sniffer等嗅探程序来探测扫描网络及操作系统存在的安全漏洞如网络IP地址应用操作系统的类型开放哪些TCP端口号系统保存用户名和口令等安全信息的关键文件等并通过相应攻击程序对内网进行攻击入侵者通过网络监听等先进手段获得内部网用户的用户名口令等信息进而假冒内部合法身份进行非法登录窃取内部网重要信息恶意攻击入侵者通过发送大量PING包对内部网重要服务器进行攻击使得服务器超负荷工作以至拒绝服务甚至系统瘫痪com域网的安全威胁据调查在已有的网络安全攻击事件中约70是来自内部网络的侵犯比如内部人员故意泄漏内部网络的网络结构安全管理员有意透露其用户名及口令内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去种种因素都将网络安全构成很的威胁34系统的安全风险分析所谓系统安全通常是指网络操作系统应用系统的安全目前的操作系统或应用系统无论是Windows还是其它任何商用UNIX操作系统以及其它厂商开发的应用系统其开发厂商必然有其Back-Door而且系统本身必定存在安全漏洞这些后门或安全漏洞都将存在重大安全隐患但是从实际应用上系统的安全程度跟对其进行安全配置及系统的应用面有很大关系操作系统如果没有采用相应的安全配置则其是漏洞百出掌握一般攻击技术的人都可能入侵得手如果进行安全配置比如填补安全漏洞关闭一些不常用的服务禁止开放一些不常用而又比较敏感的端口等那么入侵者要成功进行内部网是不容易这需要相当高的技术水平及相当长时间因此应正确估价自己的网络风险并根据自己的网络风险大小作出相应的安全解决方案35 应用的安全风险分析应用系统的安全涉及很多方面应用系统是动态的不断变化的应用的安全性也是动态的这就需要我们对不同的应用检测安全漏洞采取相应的安全措施降低应用的安全风险com享政府网络系统内部必有自动化办鹟系统而办公网络应用通常是共享网络资源比如文件共打印机共享等由此就可能存在着员工有意无意把硬盘中重要信息目录共享长期暴露在网络邻居上可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密因为缺少必要的访问控制策略com件系统电子邮件为网系统用户提供电子邮件应用内部网用户可够通过拔号或其它方式进行电子邮件发送和接收这就存在被黑客跟踪或收到一些特洛伊木马病毒程序等由于许多用户安全意识比较淡薄对一些来历不明的邮件没有警惕性给入侵者提供机会给系统带来不安全因至素com害网络是病毒传播的最好最快的途径之一病毒程序可以通过网上下载电子邮件使用盗版光盘或软盘人为投放等传播途径潜入内部网因些病毒的危害的不可以轻视的网络中一旦有一台主机受病毒感染则病毒程序就完全可能在极短的时间内迅速扩散传播到网络上的所有主机可能造成信息泄漏文件丢失机器死机等不安全因素com息数据安全对对政府行业来说尤其重要数据在广域网线路上传输很难保证在传输过程中不被非法窃取篡改现今很多先进技术黑客或一些工业间谍会通过一些手段设法在线路上做些手脚获得在网上传输的数据信息也就造成的泄密这对政府行业用户来说是决不允许的36管理的安全风险分析内部管理人员或员工把内部网络结构管理员用户名及口令以及系统的一些重要信息传播给外人带来信息泄漏风险机房重地却是任何都可以进进出出来去自由存有恶意的入侵者便有机会得到入侵的条件内部不满的员工有的可能熟悉服务器小程序脚本和系统的弱点利用网络开些小玩笑甚至破坏如传出至关重要的信息错误地进入数据库删除数据等等这些都将给网络造成极大的安全风险管理是网络中安全得到保证的重要组成部分是防止来自内部网络入侵必须的部分责权不明管理混乱安全管理制度不健全及缺乏可操作性等都可能引起管理安全的风险即除了从技术上下功夫外还得依靠安全管理来实现第四章 网络安全需求及安全目标通过对网络结构网络安全风险分析再加上黑客病毒等安全危胁日益严重网络安全问题的解决势在必行针对不同安全风险必须采用相应的安全措施来解决使网络安全达到一定的安全目标41安全需求com安全需求针对重要信息可能通过电磁辐射或线路干扰等泄漏需要对存放机密信息的机房进行必要的设计如构建屏蔽室采用辐射干扰机防止电磁辐射泄漏机密信息对重要的设备进行备份对重要系统进行备份等安全保护com制需求com1非法用户非法访问非法用户的非法访问也就是黑客或间谍的攻击行为在没有任何防范措施的情况下网络的安全主要是靠主机系统自身的安全如用户名及口令字这些简单的控制但对于用户名及口令的保护方式对有攻出击目的的人而言根本就不是一种障碍他们可以通过对网络上信息的监听得到用户名及口令或者通过猜测用户及口令这都将不是难事而且可以说只要花费很少的时间因此要采取一定的访问控制手段防范来自非法用户的攻击严格控制只在合法用户才能访问合法资源com2合法用户非授权访问合法用户的非授权访问是指合法用户在没有得到许可的情况下访问了他本不该访问的资源一般来说每个成员的主机系统中有一部份信息是可以对外开放而有些信息是要求保密或具有一定的隐私性外部用户指数字福建网络合法用户被允许正常访问的一定的信息但他同时通过一些手段越权访问了别人不允许他访问的信息因此而造成他人的信息泄密所以还得加密访问控制的机制对服务及访问仅限过行严格控制com3假冒合法用户非法访问从管理上及实际需求上是要求合法用户可正常访问被许可的资源既然合法用户可以访问资源那么入侵者便会在用户下班或关机的情况下假冒合法用户的IP地址或用户名等资源进行非法访问因此必需从访问控制上做到防止假冒而过行的非法访问com需求加密传输是网络安全重要手段之一信息的泄漏很多都是在链路上被搭线窃取数据也可能因为在链路上被截获被篡改后传输给对方造成数据真实性完整性得不到保证如果利用加密设备对传输数据进行加密使得在网上传的数据以密文传输因为数据是密文所以即使在传输过程中被截获入侵者也读不懂而且加密机还能通过先进行技术手段对数据传输过程中的完整性真实性进行鉴别可以保证数据的保密性完整性及可靠性因此必需配备加密设备对数据进行传输加密com测系统需求也许有人认为网络配了防火墙就安全了就可以高枕无忧了其实这是一种错误的认识网络安全是整体的动态的不是单一产品能够完全实现防火墙是实现网络安全最基本最经济最有效的措施之一防火墙可以对所有的访问进行严格控制允许禁止报警但防火墙不可能完全防止有些新的攻击或那些不经过防火墙的其它攻击所以确保网络更加安全必须配备入侵检测系统对透过防火墙的攻击进行检测并做相应反应记录报警阻断com险评估系统需求网络系统存在安全漏洞如安全配置不严密等和操作系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素入侵者通常都是通过一些程来探测网络中系统中存在的一些安全漏洞然后通过发现的安全漏洞采取相就技术进行攻击因此必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞并采用相应的措施填补系统漏洞对网络设备等存在的不安全配置重新进行安全配置com系统需求针对防病毒危害性极大并且传播极为迅速必须配备从单机到服务器的整套防病毒软件实现全网的病毒安全防护com理体制健全的人的安全意识可以通过安全常识培训来提高人的行为的约束只能通过严格的管理体制并利用法律手段来实现comA系统由于网络系统必须采用加密措施而加密系统通常都通过加密密钥来实现而密钥的分发及管理的可靠性却存在安全问题构建CA系统就是在这个基础上提出的通过信任的第三方来确保通信双方互相交换信息42 安全目标基于以上的需求分析我们认为网络系统可以实现以下安全目标保护网络系统的可用性保护网络系统服务的连续性防范网络资源的非法访问及非授权访问防范入侵者的恶意攻击与破坏保护政府信息通过网上传输过程中的机密性完整性防范病毒的侵害实现网络的安全管理第五章 网络安全实现策略及产品选型原则网络安全防范是通过安全技术安全产品集成及安全管理来实现其中安全产品的集成便涉及如何选择网络安全产品在进行网络安全产品选型时应该要求网络安全产品满足两方面的要求一是安全产品必须符合国家有关安全管理部门的政策要求二是安全产品的功能与性能要求51满足国家管理部门的政策性方面要求针对相关的安全产品必须查看其是否得到相应的许可证如密码产品满足国家密码管理委员会的要求安全产品获得国家公安部颁发的销售许可证安全产品获得中国信息安全产品测评认证中心的测评认证安全产品获得总参谋部颁发的国防通信网设备器材进网许可证符合国家保密局有关国际联网管理规定以及涉密网审批管理规定52 安全产品的选型原则从安全产品自来选择必须考虑产品功能性能运行稳定性以及扩展性并且对安全产品还必须考查其产品自身的安全性第六章 网络安全方案设计原则在进行网络系统安全方案设计规划时应遵循以下原则61 需求风险代价平衡分析的原则对任一网络绝对安全难以达到也不一定是必要的对一个网络要进行实际的研究 包括任务性能结构可靠性可维护性等 并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析然后制定规范和措施确定系统的安全策略62 综合性整体性原则应运用系统工程的观点方法分析网络的安全及具体措施安全措施主要包括行政法律手段各种管理制度 人员审查工作流程维护保障制度等 以及专业技术措施 访问控制加密技术认证技术攻出检测技术容错防病毒等 一个较好的安全措施往往是多种方法适当综合的应用结果计算机网络的各个环节包括个人 使用维护管理 设备 含设施 软件 含应用系统 数据等在网络安全中的地位和影响作用也只有从系统整体的角度去看待分析才可能得到有效可行的措施不同的安全措施其代价效果对不同网络并不完全相同计算机网络安全应遵循整体安全性原则根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构63 一致性原则一致性原则主要是指网络安全问题应与整个网络的工作周期 或生命周期 同时存在制定的安全体系结构必须与网络的安全需求相一致安全的网络系统设计 包括初步或详细设计 及实施计划网络验证验收运行等都要有安全的内容及措施实际上在网络建设的开始就考虑网络安全对策比在网络建设好后再考虑安全措施不但容易且花费也少得多64 易操作性原则安全措施需要人去完成如果措施过于复杂对人的要求过高本身就降低了安全性其次措施的采用不能影响系统的正常运行65适应性及灵活性原则安全措施必须能随着网络性能及安全需求的变化而变化要容易适应容易修改和升级66 多重保护原则任何安全措施都不是绝对安全的都可能被攻破但是建立一个多重保护系统各层保护相互补充当一层保护被攻破时其它层保护仍可保护信息的安全67 可评价性原则如何预先评价一个安全设计并验证其网络的安全性这需要通过国家有关网络信息安全测评认证机构的评估来实现网络安全是整体的动态的网络安全的整体性是指一个安全系统的建立即包括采用相应的安全设备又包括相应的管理手段安全设备不是指单一的某种安全设备而是指几种安全设备的综合网络安全的动态性是指网络安全是随着环境时间的变化而变化的在一定环境下是安全的系统环境发生变化了如更换了某个机器原来安全的系统就变的不安全了在一段时间里安全的系统时间发生变化了如今天是安全的系统可能因为黑客发现了某种系统的漏洞明天就会变的不安全了原来的系统就会变的不安全所以建立网络安全系统不是一劳永逸的事情针对安全体系的特性我们可以采用统一规划分步实施的原则具体而言我们可以先对网络做一个比较全面的安全体系规划然后根据我们网络的实际应用状况先建立一个基础的安全防护体系保证基本的应有的安全性随着今后应用的种类和复杂程度的增加再在原来基础防护体系之上建立增强的安全防护体系对于政府行业网络安全体系的建立我们建议采取以上的原则先对整个网络进行整体的安全规划然后根据实际状况建立一个从防护检测响应的基础的安全防护体系提高整个网络基础的安全性保证应用系统的安全性第七章 网络安全体系结构通过对网络应用的全面了解按照安全风险需求分析结果安全策略以及网络的安全目标具体的安全控制系统可以从以下几个方面分述 物理安全系统安全网络安全应用安全管理安全71物理安全保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提物理安全是保护计算机网络设备设施以及其它媒体免遭地震水灾火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程它主要包括三个方面com 环境安全对系统所在环境的安全保护如区域保护和灾难保护参见国家标准GB5017393电子计算机机房设计规范国标GB288789计算站场地技术条件GB936188计算站场地安全要求com 设备安全设备安全主要包括设备的防盗防毁防电磁信息辐射泄漏防止线路截获抗电磁干扰及电源保护等设备冗余备份通过严格管理及提高员工的整体安全意识来实现com 媒体安全包括媒体数据的安全及媒体本身的安全显然为保证信息网络系统的物理安全除在网络规划和场地环境等要求之外还要防止系统信息在空间的扩散计算机系统通过电磁辐射使信息被截获而失密的案例已经很多在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害为了防止系统中的信息在空间上的扩散通常是在物理上采取一定的防护措施来减少或干扰扩散出去的空间信号这对重要的政策军队金融机构在兴建信息中心时都将成为首要设置的条件正常的防范措施主要在三个方面对主机房及重要信息存储收发部门进行屏蔽处理即建设一个具有高效屏蔽效能的屏蔽室用它来安装运行主要设备以防止磁鼓磁带与高辐射设备等的信号外泄为提高屏蔽室的效能在屏蔽室与外界的各项联系连接中均要采取相应的隔离措施和设计如信号线电话线空调消防控制线以及通风波导门的关起等对本地网局域网传输线路传导辐射的抑制由于电缆传输辐射信息的不可避免性现均采光缆传输的方式大多数均在Modem出来的设备用光电转换接口用光缆接出屏蔽室外进行传输对终端设备辐射的防范终端机尤其是CRT显示器由于上万伏高压电子流的作用辐射有极强的信号外泄但又因终端分散使用不宜集中采用屏蔽室的办法来防止故现在的要求除在订购设备上尽量选取低辐射产品外目前主要采取主动式的干扰设备如干扰机来破坏对应信息的窃取个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室这种方法虽降低了部份屏蔽效能但可大大改善工作环境使人感到在普通机房内一样工作72系统安全com 网络结构安全网络结构的安全主要指网络拓扑结构是否合理线路是否有冗余路由是否冗余防止单点失败等工行网络在设计时比较好的考虑了这些因素可以说网络结构是比较合理的比较安全的com统安全对于操作系统的安全防范可以采取如下策略尽量采用安全性较高的网络操作系统并进行必要的安全配置关闭一些起不常用却存在安全隐患的应用对一些保存有用户信息及其口令的关键文件如UNIX下rhostetchostpasswdshadowgroup等Windows NT下的LMHOSTSAM等使用权限进行严格限制加强口令字的使用增加口令复杂程度不要使用与用户身份有关的容易猜测的信息作为口令并及时给系统打补丁系统内部的相互调用不对外公开通过配备操作系统安全扫描系统对操作系统进行安全性扫描发现其中存在的安全漏洞并有针对性地进行对网络设备重新配置或升级com 应用系统安全在应用系统安全上应用服务器尽量不要开放一些没有经常用的协议及协议端口号如文件服务电子邮件服务器等应用系统可以关闭服务器上如HTTPFTPTELNETRLOGIN等服务还有就是加强登录身份认证确保用户使用的合法性并严格限制登录者的操作权限将其完成的操作限制在最小的范围内充分利用操作系统和应用系统本身的日志功能对用户所访问的信息做记录为事后审查提供依据73 网络安全网络安全是整个安全解决方案的关键从访问控制通信保密入侵检测网络安全扫描系统防病毒分别描述com 隔离与访问控制com1 严格的管理制度可制定的制度有用户授权实施细则口令字及帐户管理规范权限管理制度安全责任制度等com2 划分虚拟子网 VLAN 内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求利用三层交换机来划分虚拟子网VLAN在没有配置路的情况下不同虚拟子网间是不能够互相访问通过虚拟子网的划分能够实较粗略的访问控制com3 配备防火墙防火墙是实现网络安全最基本最经济最有效的安全措施之一防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制并且防火墙可以实现单向或双向控制对一些高层协议实现较细粒的访问控制com 通信保密数据的机密性与完整性主要是为了保护在网上传送的涉及企业秘密的信息经过配备加密设备使得在网上传送的数据是密文形式而不是明文可以选择以下几种方式com1 链路层加密对于连接各涉密网节点的广域网线路根据线路种类不同可以采用相应的链路级加密设备以保证各节点涉密网之间交换的数据都是加密传送以防止非授权用户读懂篡改传输的数据链路密码机配备示意图链路加密机由于是在链路级加密机制是采用点对点的加密解密即在有相互访问需求并且要求加密传输的各网点的每条外线线路上都得配一台链路加密机通过两端加密机的协商配合实现加密解密过程com2 网络层加密鉴于网络分布较广网点较多而且可能采用DDNFR等多种通讯线路如果采用多种链路加密设备的设计方案则增加了系统投资费用同时为系统维护升级扩展也带来了相应困难因此在这种情况下我们建议采用网络层加密设备VPNVPN是网络加密机是实现端至端的加密即一个网点只需配备一台VPN加密机根据具体策略来保护内部敏感信息和企业秘密的机密性真实性及完整性IPsec是在TCPIP体系中实现网络安全服务的重要措施而VPN设备正是一种符合IPsec标准的IP协议加密设备它通过利用跨越不安全的公共网络的线路建立IP安全隧道能够保护子网间传输信息的机密性完整性和真实性经过对VPN的配置可以让网络内的某些主机通过加密隧道让另一些主机仍以明文方式传输以达到安全传输效率的最佳平衡一般来说VPN设备可以一对一和一对多地运行并具有对数据完整性的保证功能它安装在被保护网络和路由器之间的位置设备配置见下图目前全球大部分厂商的网络安全产品都支持IPsec标准VPN设备配置示意图由于VPN设备不依赖于底层的具体传输链路它一方面可以降低网络安全设备的投资而另一方面更重要的是它可以为上层的各种应用提供统一的网络层安全基础设施和可选的虚拟专用网服务平台对政府行业网络系统这样一种大型的网络VPN设备可以使网络在升级提速时具有很好的扩展性鉴于VPN设备的突出优点应根据企业具体需求在各个网络结点与公共网络相连接的进出口处安装配备VPN设备com 入侵检测利用防火墙并经过严格配置可以阻止各种不安全访问通过防火墙从而降低安全风险但是网络安全不可能完全依靠防火墙单一产品来实现网络安全是个整体的必须配相应的安全产品作为防火墙的必要补充入侵检测系统就是最好的安全产品入侵检测系统是根据已有的最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控记录并按制定的策略实行响应阻断报警发送E-mail从而防止针对网络的攻击与犯罪行为入侵检测系统一般包括控制台和探测器网络引擎控制台用作制定及管理所有探测器网络引擎探测器网络引擎用作监听进出网络的访问行为根据控制台的指令执行相应行为由于探测器采取的是监听不是过滤数据包因此入侵检测系统的应用不会对网络系统性能造成多大影响com 扫描系统网络扫描系统可以对网络中所有部件Web站点防火墙路由器TCPIP及相关协议服务进行攻击性扫描分析和评估发现并报告系统存在的弱点和漏洞评估安全风险建议补救措施系统扫描系统可以对网络系统中的所有操作系统进行安全性扫描检测操作系统存在的安全漏洞并产生报表以供分析还会针对具体安全漏洞提出补救措施com 病毒防护由于在网络环境下计算机病毒有不可估量的威胁性和破坏力我们都知道政府网络系统中使用的操作系统一般均为WINDOWS系统比较容易感染病毒因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一反病毒技术包括预防病毒检测病毒和杀毒三种技术com1 预防病毒技术预防病毒技术通过自身常驻系统内存优先获得系统的控制权监视和判断系统中是否有病毒存在进而阻止计算机病毒进入计算机系统和对系统进行破坏这类技术有加密可执行程序引导区保护系统监控与读写控制如防病毒卡等com2 检测病毒技术检测病毒技术是通过对计算机病毒的特征来进行判断的技术如自身校验关键字文件长度的变化等来确定病毒的类型com3 杀毒技术杀毒技术通过对计算机病毒代码的分析开发出具有删除病毒程序并恢复原文件的软件反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件及电子邮件等进行频繁地扫描和监测一旦发现与病毒代码库中相匹配的病毒代码反病毒程序会采取相应处理措施清除更名或删除防止病毒进入网络进行传播扩散74 应用安全com 内部OA系统中资源共享严格控制内部员工对网络共享资源的使用在内部子网中一般不要轻易开放共享目录否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息对有经常交换信息需求的用户在共享时也必须加上必要的口令认证机制即只有通过口令的认证才允许访问数据虽然说用户名加口令的机制不是很安全但对一般用户而言还是起到一定的安全防护即使有刻意破解者只要口令设得复杂些也得花费相当长的时间com 信息存储对有涉及企业秘密信息的用户主机使用者在应用过程中应该做到尽量少开放一些不常用的网络服务对数据库服务器中的数据库必须做安全备份通过网络备份系统可以对数据库进行远程备份存储75 构建CA体系针对信息的安全性完整性正确性和不可否认性等问题目前国际上先进的方法是采用信息加密技术数字签名技术具体实现的办法是使用数字证书通过数字证书把证书持有者的公开密钥Public Key与用户的身份信息紧密安全地结合起来以实现身份确认和不可否认性签发数字证书的机构即数字证书认证中心CACertification Authority数字证书认证中心为用户签发数字证书为用户身份确认提供各种相应的服务在数字证书中有证书拥有者的甄别名称DNDistinguish Name并且还有其公开密钥对应于该公开密钥的私有密钥由证书的拥有者持有这对密钥的作用是用来进行数字签名和验证签名这样就能够保证通讯双方的真实身份同时采用数字签名技术还很好地解决了不可否认性的问题根据机构本身的特点可以考滤先构建一个本系统内部的CA系统即所有的证书只能限定在本系统内部使用有效随着不断发展及需求情况下可以对CA系统进行扩充与国家级CA系统互联实现不同企业间的交叉认证76安全管理com全的安全管理体制制定健全的安全管理体制将是网络安全得以实现的重要保证各政府机关单位可以根据自身的实际情况制定如安全操作流程安全事故的奖罚制度以及对任命安全管理人员的考查等com全管理平台构建安全管理平台将会降彽很多因为无意的人为因素而造成的风险构建安全管理平台从技术上如组成安全管理子网安装集中统一的安全管理软件如病毒软件管理系统网络设备管理系统以及网络安全设备统管理软件通过安全管理平台实现全网的安全管理com员的安全防范意识政府机关单位应该经常对单位员工进行网络安全防范意识的培训全面提高员工的整体网络安全防范意识