做好信息安全技術體系建設 瞭解五大解決方案
鑑於信息安全面臨的是一場高技術的對抗,涉及技術、產品服務和基礎設施諸多領域。山東省軟件評測中心根據近年的工作實踐,結合目前網絡結構特點,建議採用如下解決方案來構建信息安全技術體系實現信息安全:
1、物理層安全解決方案:
從物理環境角度講,地震、水災、火災、雷擊等環境事故,電源故障、人爲操作失誤或錯誤、電磁干擾、線路截獲等,都對信息系統的安全構成威脅,保證信息系統各種設備的物理安全是保障整個網絡系統安全的前提。物理層的安全設計應從三個方面考慮:環境安全、設備安全、線路安全。採取的措施主要包括:機房屏蔽、電源接地、佈線隱蔽、傳輸加密等技術。另外,根據信息安全案例分析,凡是計算機同時具有內網和外網的應用需求,採取網絡安全隔離技術能有效實現信息安全,在計算機終端安裝隔離卡,使內網與外網之間從根本上實現物理隔離,防止涉密信息通過外網泄漏。
2、數據鏈路層安全解決方案:
主要是利用VLAN技術將內部網絡分成若干個安全級別不同的子網,從而實現內部一個網段與另一個網段的隔離。有效防止某一網段的安全問題在整個網絡傳播。因此,對於一個網絡,若某個網段比另一個網段更受信任,或某個網段的敏感度更高,將可信網段與不可信網段劃分在不同的VLAN中,即可限制局部網絡安全問題對全網造成影響。
3、網絡層安全解決方案:
①防火牆技術建議:防火牆是實現網絡信息安全的最基本設施,採用包過濾或代理技術使數據有選擇的通過,有效監控內部網和外部網之間的任何活動,防止惡意或非法訪問,保證內部網絡的安全。另外,如果有對外提供信息查詢等服務的要求,爲了控制對關鍵服務器的授權的訪問,應把對外公開服務器集合起來劃分爲一個專門的服務器子網,設置防火牆策略來保護對它們的訪問。
②***檢測技術(IDS)建議:IDS是近年出現的新型網絡安全技術,通過從計算機網絡系統中若干關鍵節點收集信息並加以分析,監控網絡中是否有違反安全策略的行爲或者是否存在***行爲,它能提供安全審計、監視、***識別和反***等多項功能,並採取相應的行動如斷開網絡連接、記錄***過程、跟蹤***源、緊急告警等,是安全防禦體系的一個重要組成部分。
③數據傳輸安全建議:爲保證數據傳輸的機密性和完整性,同時對撥號用戶的接入採用強制身份認證,建議在網絡中採用安全***系統。
4、應用層安全解決方案:
根據信息安全的特點,採用身份認證技術、防病毒技術以及對各種應用的安全性增強配置服務來保障網絡信息系統在應用層的安全。
①身份認證技術:公共密鑰基礎設施(簡稱PKI)是由硬件、軟件、各種產品、過程、標準和人構成的一體化的結構,正是由於它的存在,才能在信息處理過程中建立信任和信心。
PKI是一種遵循標準的密鑰管理平臺,它能夠爲所有網絡應用透明地提供採用加密和數字簽名等密碼服務所必需的密鑰和證書管理。PKI必須具有認證機關(CA)、證書庫、密鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等基本成分,構建PKI也將圍繞着這5大系統來構建。
②防病毒技術:病毒是系統最常見、威脅最大的安全隱患,建立一個全方位的病毒防範系統是信息安全體系建設的重要任務。
防病毒客戶端安裝在系統的關鍵主機中,如關鍵服務器、工作站和網管終端。在防病毒服務器端能夠交互式地操作防病毒客戶端進行病毒掃描和清殺,設定病毒防範策略。能夠從多層次進行病毒防範,第一層工作站、第二層服務器、第三層網關都能有相應的防毒軟件提供完整的、全面的防病毒保護。
5、系統層安全解決方案:
系統層安全主要包括兩個部分:操作系統安全以及數據庫安全。對於關鍵的服務器和工作站(如數據庫服務器、WWW服務器、代理服務器、Email服務器、病毒服務器、主域服務器、備份域控服務器和網管工作站)應該採用服務器版本的操作系統。典型的有:SUN Solaris、HP Unix、Windows NT Server、Windows Server 2008等。網管終端、辦公終端可以採用通用圖形窗口操作系統。
數據庫管理系統應具有如下能力:
自主訪問控制(DAC):用來決定用戶是否有權訪問數據庫對象;
驗證:保證只有授權的合法用戶才能註冊和訪問;
授權:對不同的用戶訪問數據庫授予不同的權限;
審計:監視各用戶對數據庫施加的動作;
數據庫管理系統應能夠提供與安全相關事件的審計能力。
需要指出的是,信息安全技術體系是一個不斷建設、不斷加固的過程。它是隨着應用系統的增多,信息安全重要性的增加而不斷升級的過程。必須有合理的成本和成本控制。信息安全技術和策略要遵循國家標準,從應用需求和財力的實際出發,與時俱進,以信息安全性得到可靠保證爲尺度進行建設。