网络安全解决方案.docxVIP

网络安全解决方案安全建设目标总体安全性：全面有效的保护企业网络系统的安全，保护计算机硬件、软件、数据、网络不因偶然的或恶意破坏的原因遭到更改、泄漏和丢失，确保数据的完整性，大幅度地提高系统的安全性和保密性。可控与可管理性：可自动和手动分析网络安全状况，适时检测并及时发现记录潜在的安全威胁，制定安全策略，及时报警、阻断不良攻击行为，具有很强的可控性和可管理性。系统可用性：保持网络原有的性能特点，即对网络的协议和传输具有很好的透明性；尽量不影响原网络拓扑结构，便于系统及系统功能的扩展；易于操作、维护，并便于自动化管理，而不增加或少增加附加操作。可扩展特性：满足成都酒店的业务需求和企业可持续发展的要求，具有很强的可扩展性和柔韧性；安全保密系统具有较好的性能价格比，一次性投资，可以长期使用。合法性：安全与密码产品具有合法性，并便于安全管理单位与密码管理单位的检查与监督。安全建设手段防火墙作为一种有效的保护计算机网络安全技术性措施，防火墙是一种隔离控制技术，在某个机构的网络和不安全的网络（如Internet）之间设置屏障，阻止对信息资源的非法访问，也可以使用防火墙阻止专利信息从企业的网络上被非法输出。防火墙是一种被动防卫技术，它假设了网络的边界和服务，因此，防火墙最适合于部署在相对独立的企业内部网络与公网（主要为Internet）之间。作为对企业内网的安全性保护设备/节点，防火墙已经得到广泛的应用。通常企业为了维护内部的信息系统安全，在企业内网和Internet间安装防火墙。企业信息系统对于来自Internet的访问，采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问，也可以接收或拒绝TCP/IP上的某一类具体的应用。防火墙是企业网安全问题的流行方案，即把公共数据和服务置于防火墙外，使其对防火墙内部资源的访问受到限制。作为一种网络安全技术，防火墙具有简单实用的特点，并且透明度高，可以在不修改原有网络应用系统的情况下达到一定的安全要求。加密与数字签名数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。在网络应用中一般采取两种加密形式：对称密钥和非对称/公开密钥，采用何种加密算法则要结合具体应用环境和系统，而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外，密钥合理分配、加密效率与现有系统的结合性，以及投入产出分析都应在实际环境中具体考虑。对于对称密钥加密。其常见加密标准为DES等，当使用DES时，用户和接受方采用64位密钥对报文加密和解密，当对安全性有特殊要求时，则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术，秘密密钥效率高，它采用KDC来集中管理和分发密钥并以此为基础验证身份，但是并不适合Internet环境。在Internet中使用更多的是公钥系统。即公开密钥加密，它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后，将其中一个作为公钥公开，另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法，加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名，做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名，然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后，接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名，然后，用发布方公布的公钥对数字签名进行解密，如果成功，则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高，而且并不要求通信双方事先要建立某种信任关系或共享某种秘密，因此十分适合Internet网上使用。用户认证仅仅加密是不够的，全面的保护还要求认证和识别。它确保参与加密对话的人确实是其本人。用户认证可以依靠许多机制来实现，从安全卡到身份鉴别。前一个安全保护能确保只有经过授权的用户才能通过可靠终端进行公网/私网的交互式访问；后者则提供一种方法，用它生成某种形式的口令或数字签名，被访问的一方（通常是准入设备）据此来认证来自访问者的请求。用户管理的口令通常是前一种安全措施；硬件/软件解决方案则不仅正逐步成为数字身份认证的手段，同时它也可以被可信第三方用来完成用户数字身份（ID）的相关确认。网络防病毒随着Internet开拓性的发展，病毒可能为网络带来灾难性后果。Internet带来了两种不同的安全威胁。一种威胁是来自文件下载。这些被浏览的或是通过FTP下载的文件中可能存在病毒。而共享软件（public shareware）和各种可执行的文件，如格式化的介绍性文件（formatted presentation）已经成为病毒传播的重要途径。并且，Internet上还出现了Java和Active X形式的恶