涉密部门网络系统安全体系的探讨.pdfVIP

角度来看，还应从实体安全、运行安全和信息资源安全j个方丽予以注重。实体安全是指环 境、设备和介质的安全；运行安全是指需要采取风险分析、审计跟踪、备份与恢复、应急等 措施；信息资源安全是指应该采取标识与鉴别、访问控制、审计、完整性、可用性、机密性 等技术措施。总之，在任何情况下，信息的安全和可靠是必须要保证的。 2．1网络安全问题的起因 、 从国内外已发生的安全事件来看，引起网络安全问题的原因是多方面的：“ 1)网络系统运行的网络协议由于并非专为安全通讯而设计，故存在各种安全隐患； 2)服务器的操作系统没有对系统进行必要的安全’发置，也没有经过及时修补升级，因 此存在着不少安全漏洞，这些暴露的弱点或缺陷导致系统易受某一个特定威胁的攻击； 3)缺乏先进的网络安全技术、工具、手段和产品，难以监测来自网络内部与外部的入 侵黑客和客户访问的流量控制，不能有效控制病毒、蠕虫、木马等恶意代码的危害，也就无 法评估网络系统的安全性； 4)没有备份的意识和有效的灾难恢复措施； 5)轻视来自环境、设备和介质的安全威胁； 6)更主要的是没有采用正确的信息安全策略。 2．2安全体系的五个层面 为了消除上述的安全隐患，需要在网络的统一‘框架下整体考虑每一4部分和每一环节的安 全性要求，对存在于网络实体、网络系统和网络应用的风险或威胁逐一进行分析，发现并找 出潜在的漏洞和安全隐患，并遵循相关的安全原则和政府对涉密信息网络安全所制定的规定 要求，用以指导信息安全体系的建立。安全体系是一个多维、多因素、多层次、多目标的系 统，它涉及了物理层安全、系统层安全、网络层安全、应用层安全和管理层安全。还需要考 虑在满足现有安全日标的基础上，为将来应用规模的拓展提供可扩展的安全空问，以适应网 络规模的调整，使其设计成可塑性强的系统。另外，应与具有相关必威体育官网网址资质的软硬件供应商 合作，以得到其专业的售后服务，如与安全相配套软硬件的及时升级等。以F就五个层而的 安全性问题进行探讨。 2．2．1物理层安全 它主要包括以下几个方面： 1)通讯链路安全，即网络系统之问的链路必须保证安全、可靠。如通信线路的带宽太 窄会使得当网络在遭受拒绝服务等攻击时成为瓶颁，甚至在正常信息传递请求过多时即造成 网络拥塞，从而导致正常服务不能保证甚至中止。 2)网络设备安全，即整个网络的安全首先要确保网络设备的安全，保证非授权用，1叼i 能访问被保护的服务器、交换机等设备。其涉及了物理设备的存放位置安全性、关键设备的 可靠性和备份。 3)物理环境安全，它是整个网络系统安全的重要环节和基础，其安全与否直接关系到 网络系统的安全。因此要高度重视物理环境安全，如防灾害、防电磁泄漏，设备环境的温度、 湿度、烟尘和不问断电源的保障。． 143 2．2．2系统层安全 它主要包括以F几个方丽： 1)操作系统的安全配置。刚络的安全程度是动态变化的，不可能是一‘个静态的结果， 需要随着网络环境的变化，并综合各种可能的影响安全的因素来制订整个网络的安全策略。 因此，经常伫I-：N用漏涧扫拂软件对刚络进行扫描，并参考相关操作系统的安全配置方案进行 安全配置，就显得尤为重要。 2)操作系统的漏洞检测，用以检测系统是否存在安全漏涮。漏涮检测除包括对一‘般的 操作系统进行漏洞检测和分析外，还包括对专用服务器和专用设备进行漏洲检测和分析。 3)操作系统的漏洞修补，即对检测出的安全漏洞进行修补。 2．2．3网络层安全 它主要解决网络通讯层的安全问题，其要解决的问题有以’FJL方面： 1)网络进出控制，即出口节点需要对进入网络的请求进行管理和控制。 2)防火墙应用，即被用来在内部网与外界(或公共网络服务器)之问建立一道安全屏 障，防．Ik；t-部网络用，、以非法手段通过外部网络进入内部网络，以保护内部网络资源和操作 环境的特殊网络互联设备，它对进、出内部网络的服务和访问进行控制和审计，即对两个或 多个网络之问传输的数据包实施检查，按照一。定的安全策略决定网络之问的通信是否被允 许，过滤或拦截刁i需要的信息包，同时监视网络运行状态，对通过防火墙的传输和企图突破 防火墙的传输进行日志记录和报警。 3)安全审计应用，即主要利用密码、访问控制和审计跟踪等技术手段，对敏感信息的 存储、转播和处理过程实施安全保护，以防范内部人员有意或无意涉及安全信息的行为，最 大限度地防止敏感信息的泄漏、被破坏和违规外传