还剩19页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
系统整体安全处理方案IT2023-8主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传播中是密文的I,但在中央节点必须解密得到路由信息端到端加密是指信息由发送端自动加密,形成TCP/IP数据包,然后作为不可阅读和不可识别的数据穿过网络,当这些信息一旦抵达目的地,将自动解密、重组,成为可读数据端点加密是面向网络高层主体的,它不对下层协议进行信息加密,协议信息以明文的形式传播,顾客数据在中央节点不需解密端点加密系统的价格比较廉价,并且与链路加密和节点加密相比更可靠,更轻易设计、实现和维护端点加密还防止了其他加密系统所固有的同步问题,此外,从顾客的I角度出发,端点加密更自然些,在对数据信息进行加密的同步,不影响网络上其他的顾客()防火墙技术、内外网隔离、网络安全域的隔离2在内外部网络之间,设置防火墙(包括分组过滤和应用代理)实现内外网的隔离与访问控制是保护内部网络安全的重要措施之一防火墙可以表达为防火墙=过滤器+安全方略+网关防火墙可以监控进出网络的数据信息,从而完毕仅让安全、核准的数据信息进入,同步又地址对内部网络构成威胁的I数据进入任务一般,防火墙服务的I重要目的是限制他人进入内部网络、过滤掉不安全服务和非法顾客、限定访问的特殊站点等等防火墙的重要技术类型包括网络级数据包过滤器和应用级代理服务器由于网络级数据包过滤器和应用级代理服务器两种类型的防火墙系统各有优缺陷,因此在实际中,应将两者结合起来使用分组过滤器作用在网络层和传播层,只有满足过滤逻辑日勺数据包才被转发到对应的目的地出口端,其他数据包则被从数据流中丢弃应用代理,俗称“网关,作用在应用层,特点是完全隔绝了网络通信流,通过对多种应用服务编制专门的J代理程序,实现监视和控制应用层通信流的作用实际中的应用网关一般有专用工作站实现对于内部网络不一样网络安全域的隔离及访问控制,防火墙被用来隔离内部网络的一种网段与此外一种网段这样就能防止影响一种网段的问题穿过整个网络传播针对某些网络,在某些状况下,它的某些局域网的某个网段比另一种网段更受信任,或者某个网段比另一种更敏感,这样,在它们之间设置防火墙就可以限制局部网络安全问题对全局网络导致的影响()网络地址转换技术3网络地址转换技术也称为地址共享器或地址映射器,设计的初衷是为了处理网络IP地址局限性的问题,目前多用于网络安全内部主机向外部,主机连接时,使用同一种IP地址,相反的I外部主机要向内部主机连接时,必须通过网关映射到内部主机上它使外部网络看不到内部网络,从而隐藏内部网络,到达保密日勺目日勺,使系统的安全性提高,并且节省从ISP处得到欧J外部IP地址()4操作系统安全内核技术除了老式的网络安全技术以外,在操作系统层次上也应当考虑有关的网络安全问题,操作系统平台的安全措施包括采用安全性较高时操作系统;对操作系统进行安全配置;运用安全扫描系统检查操作系统的漏洞等()5身份验证技术身份验证是顾客向系统出示自己身份证明的过程身份识别是系统查核顾客身份证明的过程这两个过程是判明和确认通信双发真实身份的两个重要环节在拨号上网、主机登录、远程访问等都波及到身份验证技术日勺应用口令认证、数字证书认证是比较常用的I身份验证方式身份验证日勺载体可以存储在诸如USBKey、IC卡等介质上,还可以配置生物活体的I身份验证基于公开密钥的数字签名技术,一般采用不对称机密技术,通过对整个明文进行某种变换,得到一种值,作为核算签名接受者使用发送者的公开密钥对签名进行解密运算,如其成果为明文或与明文的某种运算成果一致,则签名有效,证明双方的身份是真实时当然,签名也可以采用多种方式6网络防病毒技术在网络环境下,计算机病毒具有不可估计的威胁性和破坏力假如不重视计算机网络防病毒,那也许给社会导致劫难性的后果,因此计算机病毒的防备也是网络安全技术中重要的一环网络防病毒技术包括防止病毒、检测病毒和消除病毒三种技术防止病毒技术,它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中与否由病毒存在,进而制止计算机病毒进入计算机系统和对系统进行破坏技术手段包括加密可执行程序、引导保护、系统监控与读写控制如防病毒卡等检测技术,通过对计算机病毒的特性来进行判断的侦测技术,如自身检查、关键字、文献长度变化等病毒检测一直是病毒防护的支柱,然而,伴随病毒的数目和也许的切入点时大量增长,识别古怪代码串的进程变得越来越复杂,并且轻易产生错误和疏忽因此,因此最新的防病毒技术应将病毒检测、多层数据保护和集中是管理等多种功能集成起来,形成多层次防御体系,既有稳健的病毒检测功能,又有客户机/服务器数据保护能力,也就是覆盖全网的多层次措施消除病毒技术,通过对计算机病毒的分析,开发出具有杀除病毒程序并恢复原文献日勺软件大量的病毒针对网上资源和应用程序进行袭击,这样的病毒存在于信息共享的网络中,因而要在网关上设防,在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域限制在最小的范围内网络防病毒技术是相对的,并不能封杀所有的病毒,对于出现的新类型的病毒,网络防病毒技术有也许出现滞后的现象,因此应及时更新病毒库()网络安全检测技术7网络安全取决于网络系统中最微弱的环节,因此,应及时的发现网络系统中最微弱日勺环节检测网络中最微弱环节日勺措施是定期对网络系统进行安全性分析,及时发现并修正存在的漏洞和弱点网络安全检测工具一般是一种网络安全性评估分析软件,其功能是用实践性的措施扫描分析网络系统,检查汇报系统中存在的弱点和漏洞,提议补救措施和安全方略,到达增强网络安全性的目的()安全审计与监控技术8审计是记录顾客使用计算机网络系统进行所有活动日勺过程,它是提高安全性的重要工具,不仅可以识别谁访问了系统,还能指出系统正被怎样的使用,对于确定与否有网络袭击的状况,审计信息对于确定问题和袭击源很重要同步,系统事件的记录可以更迅速和系统的识别问题,并且它是背面阶段事故处理的重要根据,为网络犯罪行为及泄密行为提供取证基础止匕外,通过对安全事件时不停搜集与积累并且加以分析,有选择性时对其中的某些站点或顾客进行审计跟踪,以便对发现或也许产生日勺破坏性行为提供有力的证据采用各层次的安全审计措施是网络安全系统的重要构成部分,对于审计数据的维护是其重要内容之一,提议网络系统建立安全审计中心或审计小组,对所有各层次的审计数据进行统一处理和管理()网络备份技术9备份技术为一种目日勺而存在尽量日勺全盘恢复运行计算机系统所需的数据和系统信息根据系统安全需求可选择的备份机制有场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络袭击及破坏数据完整性时起到保护作用,同步也是系统劫难恢复的前提之
一、信息安全技术及规划2信息安全技术重要波及到信息传播的安全、信息存储的安全以及对网络传播信息内容的审计三方面()鉴别技术1鉴别是对网络中的主体进行验证的过程,一般有三种方式验证主体身份一是只有该主体理解的秘密,如口令、密钥;而是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特性或能力,如指纹、声音、视网膜或签字等口令机制口令是互相约定的I代码,假设只有顾客和系统懂得口令有时由顾客选择,有时由系统分派智能卡访问不仅需要口令,也需要使用物理智能卡,在容许其进入系统之前检查与否容许其接触系统主体特性识别运用个人特性进行鉴别的方式具有很高的安全性目前已经有日勺设备包括视网膜鉴别仪、声音验证设备、手型识别器和指纹识别器等数据信息加密技术2数据信息加密技术目的是对传播中的I数据流信息加密,仪防止通信线路上的窃听、泄漏、篡改和破坏信息加密过程是由加密算法来实现的,以很小时代价提供很牢固的安全保护在多数状况下,信息加密是保证信息保密性的唯一措施数据完整性鉴别技术3对于动态传播的数据信息,许多协议保证信息完整性的措施大多是收错重传、丢弃后续包的措施,但黑客的袭击可以变化信息的内容,因此应采用有效的措施来保证信息日勺完整性()4防抵赖技术防抵赖技术包括对源和目的地双方的I证明,常用日勺措施是数字签名数字签名采用一定的数据互换协议,使得通信双方可以满足两个条件接受方可以鉴别发送方所宣称的身份,发送方后来不能否认它发送过数据这一事实实现防抵赖技术的途径重要有采用可信的第三方数字证书;使用时间戳;采用一种在线的第三方、数字签名与时间戳相结合等措施鉴于为保障数据传播的安全,需采用数据加密技术、数据完整性鉴别技术与防抵赖技术因此为节省投资、简化系统配置、便于管理、使用以便,有必要选用集成的安全保密技术措施及设备()5数据存储安全技术在信息系统中,存储的信息重要包括纯粹的数据信息和多种功能性文献信息两大类对于纯粹的数据信息的保护,以数据库信息的保护最为经典,而对多种功能文献的保护,终端安全很重要()6数据库安全技术对数据库系统所管理日勺数据和资源提供安全保护,一般包括如下几点:物理完整性,即数据可以免于物理方面的破坏,如调电、火灾等;逻辑完整性,可以保持数据库的I构造,如对一种字段的I修改不至于影响其他字段;元素完整性,包括在每个元素中的数据是精确的I;数据的加密;顾客鉴别,保证每隔顾客被对的识别,防止非法顾客的入侵;可获得性,指顾客一般可访问数据库和所有授权访问的数据;可审计性,可以追踪到谁访问过数据库要实现对数据库的安全保护,一种选择是安全数据库系统,即从系统的波及、实现、使用和管理等各个阶段都要遵照一定的系统安全方略;二是以既有的数据库系统所提供的功能为基础构建安全模块,意在加强既有数据库系统的安全性()信息内容审计技术7实时对进出内部网络日勺信息进行内容审计,以防止或追查也许时泄密行为
五、信息系统安全管理面对信息化安全的脆弱性,除了在网络设计上增长安全服务功能,完善系统的安全保密措施外,还必须花大力气加强网络和信息的安全管理,由于诸多的不安全原因恰恰反应在组织管理和人员管理等方面,而这又是计算机网络安全所必须考虑日勺基本问题,因此应引起个计算机网络应用部门的重视在建立管理体系、制度的同步,提议建立反应团体、诊断团体、监察团体,并且进行常常性的学习和培训I、信息系统安全管理原则1对于信息系统的安全管理,需要确定其安全管理原则,一般欧I,信息系统的安全管理原则有如下三个、多人负责原则1每一项与安全有关的操作和管理活动,都必须有两人或多人在场所进行的活动应当是与安全管理有关的各项活动访问控制使用证件的发放与回收;信息处理系统使用的媒介发放与回收;处理保密信息;硬件和软件的维护;
一、信息系统安全的含义错误!未定义书签二信息系统波及日勺内容错误!未定义书签三既有信息系统存在日勺突出问题错误!未定义书签、信息系统安全管理问题突出错误!未定义书签
1、缺乏信息化安全意识与对策错误!未定义书签
2、重安全技术,轻安全管理错误!未定义书签
3、系统管理意识淡薄错误!未定义书签4四信息系统安全技术及规划错误!未定义书签、网络安全技术及规划错误!未定义书签1()网络加密技术错误!未定义书签1()防火墙技术、内外网隔离、网络安全域的隔离错误!未定义书签2()网络地址转换技术错误!未定义书签3()操作系统安全内核技术错误!未定义书签4()身份验证技术错误!未定义书签5()网络防病毒技术错误!未定义书签6()网络安全检测技术错误!未定义书签7()安全审计与监控技术错误!未定义书签8()网络备份技术错误!未定义书签9系统软件的设计、实现和修改;重要程序和数据日勺删除和销毁等()、任期有限原则2一般的讲,任何人最佳不要长期担任与安全有关欧I职务,以免使他认为这个职务使专有时或永久性的为遵照任期有限原则,工作人员应不定期的循环任职,强制实行休假制度,并规定对工作人员进行轮番培训,以使任期有限制度切实可行()、职责分离原则3在信息系统工作日勺人员不要打听、理解或参与职责意外的I任何与安全有关的事情,出于对安全的考虑,下面每组内的两项信息处理工作提议分开计算机操作与计算机编程;机密资料的接受与发送;安全管理与系统管理;应用程序与系统程序日勺编制;访问证件的管理与其他工作;计算机操作与信息处理系统使用媒介的保管等、信息系统安全管理的工作内容2信息系统的安全管理部门应根据管理原则和该系统处理数据日勺保密性,制定对应日勺管理制度或采用对应的规范详细工作是根据工作的重要程度,确定该系统的安全等级根据确定的安全等级,确定安全管理范围;制定对应时机房管理制度对于安全等级规定较高的系统,要实行分区控制,限制工作人员出入与自己工作无关的区域出入管理可采用证件识别或安装自动识别登记系统,采用磁卡、身份卡等手段,对人员进行识别、登记管理;制定严格的I操作规范操作规范要根据职责分离和多人负责的原则,各负其责,不能超越自己日勺管理范围;制定完备的系统维护制度对系统进行维护时,应采用数据保护措施,如数据备份等维护时要首先经上级主管部门同意,并有安全管理人员在场,故障的原因、维护内容和维护前后的状况要详细记录;、信息安全技术及规划错误!未定义书签2()鉴别技术错误!未定义书签1()数据信息加密技术错误!未定义书签2()数据完整性鉴别技术错误!未定义书签3()防抵赖技术错误!未定义书签4()数据存储安全技术错误!未定义书签5()数据库安全技术错误!未定义书签6()信息内容审计技术错误!未定义书签7
五、信息系统安全管理错误!未定义书签、信息系统安全管理原则错误!未定义书签1()、多人负责原则错误!未定义书签1()、任期有限原则错误!未定义书签2()、职责分离原则错误!未定义书签
3、信息系统安全管理的工作内容错误!未定义书签2
一、信息系统安全的含义信息系统安全包括两方面日勺含义,一是信息安全,二是网络安全,波及到时试信息化过程中被保护信息系统的整体的安全,是信息系统体系性安全的综合详细来说,信息安全指的是信息的保密性、完整性和可用性的保持;网络安全重要从通信网络层面考虑,指的是使信息欧I传播和网络日勺运行可以得到安全的保障,内部和外部日勺非法袭击得到有效的防备和遏制信息系统安全概括的讲,根据保护目的I的规定和环境的状况,信息网络和信息系统的硬件、软件机器数据需要受到可靠的保护,通信、访问等操作要得到有效保障和合理的控制,不受偶尔的或者恶意袭击的原因而遭受到破坏、更改、泄漏,系统持续可靠正常时运行,网络服务不被中断信息化安全的保障波及网络上信息的保密性、完整性、可用性、真实性和可控性欧I有关技术和理论,波及到安全体系的建设,安全风险的评估、控制、管理、方略指定、制度贯彻、监督审计、持续改善等方面的工作信息化安全与一般的安全范围有许多不一样的特点,信息化安全有其特殊性,首先,信息化安全使不能完全到达但有需要不停追求时状态,所谓的安全是相对比较而言的另一方面,信息化安全是一种过程,是前进日勺方向,不是静止不变的只有将该过程针对保护目的资源不停时应用于网络和其支撑体系,才也许提高系统的安全性第三,在信息系统安全中,人一直是一种重要的角色,由于人的动机、素质、品德、责任、心情等原因,在管理、操作、袭击等方面有不一样体现,也许导致信息系统的安全问题第四,信息系统安全是一种不停对付袭击日勺循环过程,袭击和防御是循环中交替日勺矛盾性角色防御袭击的技术、方略和管理并不是一劳永逸的,需要更新适应性的发展需求第五,信息系统安全是需要定期进行风险评估欧I,风险存在和规避风险都是不停变化的信息系统安全波及时内容既有技术方面的问题,更重要的是管理方面的问题,两方面互相补充,缺一不可技术方面重要侧重于防备、记录、诊断、审计、分析、追溯多种袭击,管理方面侧重于对应于技术实现采用的人员、流程管理和规章制度因此,从某种意义上讲,信息系统安全不仅是技术难题,并且也是管理问题
二、信息系统波及的内容信息系统安全所波及到的重要内容包括•系统运行的安全重要侧重于保证信息处理和通信传播系统的安全其安全的I规定是保证系统正常运行,防止由于系统的瓦解和损坏而对系统存储、处理和传播日勺信息导致破坏和损失,防止物理日勺不安全导致运行的I不正常或瘫痪,防止由于电磁泄露而产生信息泄漏,干扰他人或受他人干扰•访问权限和系统信息资源保护对网络中的多种软硬件资源(主机、硬盘、文献、数据库、子网等)进行访问控制,防止未授权的顾客进行非法访问,访问权限控制技术包括口令设置、身份识别、路由设置、端口控制等系统信息资源保护包括身份认证、顾客口令鉴别、顾客存取权限控制、数据库存取权限控制、安全审计、计算机病毒防治、数据保密、数据备份、劫难恢复等,信息内容安全侧重与保护信息日勺保密性、真实性和完整性防止袭击者运用系统的漏洞进行窃听、冒充、诈骗等有损合法顾客日勺行为信息内容安全还包括信息传播产生后果的安全、信息过滤等,防止和控制非法、有害的信息进行传播后的后果•作业和交易的安全网络中的两个实体之间的信息交流不被非法窃取、篡改和冒充,保证信息在通信过程中的真实性、完整性、保密性和不可否认性作业和交易安全日勺技术包括数据加密、身份认证数字签名等,其关键是加密技术的I应用•人员和安全的规章制度保障:重大日勺信息化安全事故一般来自单位制止的内部,因此对于人员的管理、确定信息系统安全的基本方针和对应的规章管理制度,是信息系统安全不可缺乏的J一种部分在人员角色、流程、职责、考察、审计、聘任、辞退、辞职、培训、责任分散等方面,建立可操作的管理安全防备体系•安全体系整体日勺防备和应急反应功能对于信息系统波及到的安全问题,建立系统的防备体系,对也许出现的安全威胁和破坏进行预演,对出现的劫难、意外的破坏可以及时时恢复
三、既有信息系统存在的突出问题、信息系统安全管理问题突出1信息系统安全管理包括三个层次的内容组织建设、制度建设和人员意识组织建设问题是指有关信息安全管理机构的设置信息安全的管理包括安全规划、风险管理、应急反应计划、安全教育培训I、安全方略制定、安全系统的评估和审计等多方面日勺内容安全管理虽然有某些机构成立,不过各个机构的职责并不是很明确,建立的规章制度可贯彻性差,甚至没有规章制度对人日勺管理,还需要处理多人负责、责任到人、任期有限的问题领导对信息化还不够重视,没有形成群防群治的意识信息安全的教育和培训还不够、缺乏信息化安全意识与对策2管理层新在对信息资产所面临威胁的严重性认识局限性,或者只限于信息技术安全面,没有形成一种合理的信息化安全整体方针来指导和组织信息化安全管理工作,体现为缺乏完整的信息安全管理制度,缺乏对员工进行必要的I安全法律法规和安全风险防备教育和培训,既有的安全规章制度组织机构未能严格发挥作用、重安全技术,轻安全管理3虽然目前使用计算机、内部办公局域网来构建信息系统,不过对应的管理措施不到位,如系统运行、维护、开发等岗位不清,职责部分,存在一人身兼数职现象信息化安全大概70%以上的I问题是由于管理方面的原因导致时,也就是处理信息化安全问题,不仅仅从技术方面入手,同步更应当加强安全管理的工作、系统管理意识淡薄4既有的安全管理模式仍是老式的管理措施,出了问题才去想补救的措施,头疼医头,脚疼医脚,是一种就事论事,静态的管理措施,不是建立唉安全风险评估基础之上的动态时持续改善管理措施、信息系统安全技术及规划U!、网络安全技术及规划1由于互联网所存在日勺诸多不安全原因,使得网络使用者必须采用对应的网络安全技术来堵塞漏洞,保证提供通信服务的安全性迅速发展的网络安全技术能从不一样角度逐渐保护网络信息不受侵犯,网络安全的基本技术重要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术、检测审计技术、备份技术等网络加密技术1网络信息加密的目的是保护网内的数据、文献、口令和控制信息,保护网上传播的数据网络加密常用的措施有链路加密、端点加密和节点加密三种链路加密的目的是保护网路节点之间的链路信息安全;端点加密是对源端顾客到目日勺端顾客的数据提供加密保护;节点加密的目的是对源节点到目日勺节点之间的传播链路提供加密保护一般常用的加密措施是链路加密和端点加密链路加密侧重于在通信链路上而不考虑信源和信宿,是对保密信息通过各链路采用不一样附加密密钥提供安全保护链路加密是面向节点的,对于网络高层。