网络信息安全解决方案(二)（AMT研究院 袁磊）

四、 网络安全层次及安全措施

4．3信息安全（应用与数据安全）

在这里，我们把信息安全定义为应用层与数据安全。在这一层次上，主要是应用密码技术解决用户身份鉴别、用户权限控制、数据的机密性、完整性等网络上信息的安全问题。由于网络的开放性和资源的共享，使得网络上的信息（无论是动态的还是静态的）的使用和修改都是自由的，如非法修改、越权使用、改变信息的流向等。这也必然威胁到信息的可控性、可用性、保密性、完整性等安全属性。为了保证信息的安全，我们必须采取有效的技术措施。这些措施主要从以下几个方面解决信息的安全问题，即：用户身份鉴别、用户权限控制、信息的传输安全、信息的存储安全以及对信息内容的审计。

为解决这一层次的安全问题目前可供的相关产品有：

·        Internet/Intranet加密系统：它为应用程序提供身份鉴别、数据加密、数字签名和自动密钥分发等安全功能。

·        CA系统：建立证书中心（CA）即公钥密码证书管理中心，是公钥密码技术得以大规模应用的前提条件。公钥密码算法在密钥自动管理、数字签名、身份识别等方面是传统对称密码算法所不可代替的一项关键技术。尤其在当前迅猛发展的电子商务中，数字签名是电子商务安全的核心部分。公钥密码算法用于数字签名时须借助可信的第三方对签名者的公开密钥提供担保，这个可信的第三方就是CA。因此，建立CA是开展电子商务的先决条件。另外，CA还可为各种基于公钥密码算法建立的网络安全系统提供认证服务。

·        端端加密机：这类密码机只对用户数据中的数据字段部分加密，控制字段部分则不加密，用户数据加密后通过网络路由交换到达目的地后才进行解密。用户数据在网络的各个交换节点中传输时始终处于加密状态，有效地防止了用户信息在网络各个环节上的泄漏和篡改问题。端端系列加密机系列目前主要用于X.25分组交换网等端到端通信环境，为X.25网用户提供全程加密服务，它支持专线及电话拨号两种入网方式。

·        信息稽查系统：是针对信息内容进行审计的安全管理手段，该系统采用先进的状态检查技术，以透明方式实时对进出内部网络的电子邮件和传输文件等进行数据备份，并可根据用户需求对通信内容进行审计，并对压缩的文件进行解压还原，从而为防止内部网络敏感信息的泄漏以及外部不良信息的侵入和外部的非法攻击提供有效的技术手段。

·        办公自动化文电加密系统：文电办公自动化安全保密系统是用于文件和电子邮件传送、存储以及访问控制的应用系统，是应用层加密系统。系统采用对称与非对称算法相结合的体系，为适应国家有关规定，算法可根据用户的安全强度需求不同进行定制；而且具有操作简单、使用方便的特点。可广泛应用于企业内部网、局域网、广域网以及利用Internet开展的诸多应用中。 

·        安全数据库系统：安全数据库系统是一套完全自主版权实用化的数据库软件产品，系统主要的安全机制包括：管理员、审计员、安全员三权分立的管理机制；对用户和数据的分级管理机制；同时提供可靠的故障恢复机制。该系统是客户/服务器体系机构的分布式多媒体数据库管理系统，支持多台服务器并行协同工作，提供良好的分布式数据库环境，确保分布数据的完整性；支持存储过程和远程数据访问；系统性能与功能强度，相当于ORACLE V7，并可与ORACLE等流行数据库互联互访。

·        数据库安全保密系统：数据库安全保密系统是针对目前已选用的通用数据库开发的安全措施，是在目前流行的通用数据库（如Oracle）基础上增加控件，以实现对数据库的访问/存取控制及加密控制等。

五、 网络信息安全解决方案选型指导

·        5.1链路安全解决方案

·        5.2网络安全解决方案

·        5.3信息安全解决方案

5．1 链路安全解决方案

用户需求：链路加密，防信息泄漏，对用户透明，设备自身安全管理

解决方案：异步线路密码机（适用于电话网）、同步线路密码机）适用于（DDN专线、X.25专线、卫星线路）

5．2 网络安全解决方案

1． 基本防护体系（包过滤防火墙＋NAT＋计费）

用户需求：全部或部分满足以下各项

·        解决内外网络边界安全，防止外部攻击，保护内部网络

·        解决内部网安全问题，隔离内部不同网段，建立VLAN

·        根据IP地址、协议类型、端口进行过滤

·        内外网络采用两套IP地址，需要网络地址转换NAT功能

·        支持安全服务器网络SSN

·        通过IP地址与MAC地址对应防止IP欺骗

·        基于IP地址计费

·        基于IP地址的流量统计与限制

·        基于IP地址的黑白名单。

·        防火墙运行在安全操作系统之上

·        防火墙为独立硬件

·        防火墙无IP地址

推荐解决方案：采用网络卫士防火墙NG FW-2000

2． 标准防护体系（包过滤＋NAT＋计费＋代理＋VPN）

用户需求：在基本防护体系配置的基础之上，全部或部分满足以下各项

·        提供应用代理服务，隔离内外网络

·        用户身份鉴别

·        权限控制

·        基于用户计费

·        基于用户的流量统计与控制

·        基于WEB的安全管理

·        支持VPN及其管理

·        支持透明接入

·        具有自身保护能力，防范对防火墙的常见攻击

推荐解决方案：

（1）选用网络卫士防火墙NG FW-3000

（2）防火墙基本配置＋网络加密机（IP协议加密机）

3． 强化防护体系（包过滤＋NAT＋计费＋代理＋VPN＋网络安全检测＋ 监控）

用户需求：在标准防护体系配置的基础之上，全部或部分满足以下各项

·        网络安全性检测（包括服务器、防火墙、主机及其它TCP/IP相关设备）

·        操作系统安全性检测

·        网络监控与入侵检测

推荐解决方案：选用网络卫士防火墙NG FW3000＋网络安全分析系统＋网络监控器

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友