做好信息安全技术体系建设 了解五大解决方案
鉴于信息安全面临的是一场高技术的对抗,涉及技术、产品服务和基础设施诸多领域。山东省软件评测中心根据近年的工作实践,结合目前网络结构特点,建议采用如下解决方案来构建信息安全技术体系实现信息安全:
1、物理层安全解决方案:
从物理环境角度讲,地震、水灾、火灾、雷击等环境事故,电源故障、人为操作失误或错误、电磁干扰、线路截获等,都对信息系统的安全构成威胁,保证信息系统各种设备的物理安全是保障整个网络系统安全的前提。物理层的安全设计应从三个方面考虑:环境安全、设备安全、线路安全。采取的措施主要包括:机房屏蔽、电源接地、布线隐蔽、传输加密等技术。另外,根据信息安全案例分析,凡是计算机同时具有内网和外网的应用需求,采取网络安全隔离技术能有效实现信息安全,在计算机终端安装隔离卡,使内网与外网之间从根本上实现物理隔离,防止涉密信息通过外网泄漏。
2、数据链路层安全解决方案:
主要是利用VLAN技术将内部网络分成若干个安全级别不同的子网,从而实现内部一个网段与另一个网段的隔离。有效防止某一网段的安全问题在整个网络传播。因此,对于一个网络,若某个网段比另一个网段更受信任,或某个网段的敏感度更高,将可信网段与不可信网段划分在不同的VLAN中,即可限制局部网络安全问题对全网造成影响。
3、网络层安全解决方案:
①防火墙技术建议:防火墙是实现网络信息安全的最基本设施,采用包过滤或代理技术使数据有选择的通过,有效监控内部网和外部网之间的任何活动,防止恶意或非法访问,保证内部网络的安全。另外,如果有对外提供信息查询等服务的要求,为了控制对关键服务器的授权的访问,应把对外公开服务器集合起来划分为一个专门的服务器子网,设置防火墙策略来保护对它们的访问。
②***检测技术(IDS)建议:IDS是近年出现的新型网络安全技术,通过从计算机网络系统中若干关键节点收集信息并加以分析,监控网络中是否有违反安全策略的行为或者是否存在***行为,它能提供安全审计、监视、***识别和反***等多项功能,并采取相应的行动如断开网络连接、记录***过程、跟踪***源、紧急告警等,是安全防御体系的一个重要组成部分。
③数据传输安全建议:为保证数据传输的机密性和完整性,同时对拨号用户的接入采用强制身份认证,建议在网络中采用安全***系统。
4、应用层安全解决方案:
根据信息安全的特点,采用身份认证技术、防病毒技术以及对各种应用的安全性增强配置服务来保障网络信息系统在应用层的安全。
①身份认证技术:公共密钥基础设施(简称PKI)是由硬件、软件、各种产品、过程、标准和人构成的一体化的结构,正是由于它的存在,才能在信息处理过程中建立信任和信心。
PKI是一种遵循标准的密钥管理平台,它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。PKI必须具有认证机关(CA)、证书库、密钥备份及恢复系统、证书作废处理系统、客户端证书处理系统等基本成分,构建PKI也将围绕着这5大系统来构建。
②防病毒技术:病毒是系统最常见、威胁最大的安全隐患,建立一个全方位的病毒防范系统是信息安全体系建设的重要任务。
防病毒客户端安装在系统的关键主机中,如关键服务器、工作站和网管终端。在防病毒服务器端能够交互式地操作防病毒客户端进行病毒扫描和清杀,设定病毒防范策略。能够从多层次进行病毒防范,第一层工作站、第二层服务器、第三层网关都能有相应的防毒软件提供完整的、全面的防病毒保护。
5、系统层安全解决方案:
系统层安全主要包括两个部分:操作系统安全以及数据库安全。对于关键的服务器和工作站(如数据库服务器、WWW服务器、代理服务器、Email服务器、病毒服务器、主域服务器、备份域控服务器和网管工作站)应该采用服务器版本的操作系统。典型的有:SUN Solaris、HP Unix、Windows NT Server、Windows Server 2008等。网管终端、办公终端可以采用通用图形窗口操作系统。
数据库管理系统应具有如下能力:
自主访问控制(DAC):用来决定用户是否有权访问数据库对象;
验证:保证只有授权的合法用户才能注册和访问;
授权:对不同的用户访问数据库授予不同的权限;
审计:监视各用户对数据库施加的动作;
数据库管理系统应能够提供与安全相关事件的审计能力。
需要指出的是,信息安全技术体系是一个不断建设、不断加固的过程。它是随着应用系统的增多,信息安全重要性的增加而不断升级的过程。必须有合理的成本和成本控制。信息安全技术和策略要遵循国家标准,从应用需求和财力的实际出发,与时俱进,以信息安全性得到可靠保证为尺度进行建设。