内网信息系统高级安全策略.docVIP

内网信息系统高级安全策略 中智交通电子系统有限公司技术总监 何大为 一、公司概况 中智公司是在国务院领导的关怀和支持下，根据国家高新技术产业化发展规划的要求，由信息产业部发起成立的大型专业化IT企业。 公司注册资金￥5000万元，资产总额￥28000万元 公司总部设在北京市海淀区万寿路27号－信息产业部大厦，研发中心设在紫竹院路66号赛迪大厦。 二、网络安全现状 Internet、Intranet加剧全球性信息化。 信息网络技术的应用日益普及和深入。 网络安全成为网络应用的重大隐患。 由于网络安全的脆弱性而导致的经济损失，每年都在快速增长。 企业追加网络安全方面的资金。 各国政府开始重视，加强管理和加大投入。 信息产业部政策法规司副司长赵梅庄曾经在“第三十三届世界电信日纪念会暨互联网应用报告会”上说，中国政府正在加紧制定电信法，其中包含了互联网，尤其是网络安全的内容。 他说，中国现有的《电信管理条例》已经包含了部分内容，但还需要进一步规范，例如，对黑客、病毒的界定以及法律归属等问题需要进一步的研究。 三、攻击来自何方 外国政府 21％ 竞争对手 48％ 黑客 72％ 内部人员 89％ 四、如何保护内部网络的安全 设置防火墙 对数据进行加密 完善认证技术 使用入侵检测系统 设立防病毒体系 有效的数据保护 置防火墙 防火墙并非万能，但对于网络安全来说还是必不可少的。 防火墙是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是不被非法用户侵入。本质上，它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通讯，只允许授权的通讯。 按照一个企业的安全体系，一般可以在以下位置部署防火墙： 局域网内的VLAN之间控制信息流向时； Intranet与Internet之间连接时； 在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网ChinaPac，ChinaDDN，Farme Relay等连接）在总部的局域网和各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网。 总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用VPN组成虚拟专网。 在远程用户拨号访问时，加入虚拟专网。 数据加密 数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施，它以很小的代价提供很大的安全保护。在多数情况下，数据加密是保证信息机密性的唯一方法。据不完全统计，到目前为止，已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类，可以将这些加密算法分为常规密码算法和公钥密码算法。 在常规密码中，收信方和发信方使用相同的密钥，即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有：美国的DES及其各种变形，比如Triple DES、 GDES、New DES和DES的前身Lucifer；欧洲的IDEA；日本的FEALN、LOKI91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。 常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击，但其密钥必须通过安全的途径传送。因此，其密钥管理成为系统安全的重要因素。 在公钥密码中，收信方和发信方使用的密钥互不相同，而且几乎不可能从加密密钥推导解密密钥。比较著名的公钥密码算法有：RSA、背包密码、McEliece密码、Diffe Hellman、Rabin、Ong Fiat Shamir、零知识证明的算法、椭圆曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA，它能抵抗到目前为止已知的所有密码攻击。 公钥密码的优点是可以适应网络的开放性要求，且密钥管理问题也较为简单，尤其可方便的实现数字签名和验证。但其算法复杂，加密数据的速率较低。 认证技术 认证技术主要解决网络通讯过程中通讯双方的身份认可，数字签名作为身份认证技术中的一种具体技术，同时数字签名还可用于通信过程中的不可抵赖要求的实现。 认证过程通常涉及到加密和密钥交换。通常，加密可使用对称加密、不对称加密及两种加密方法的混合。 User Name/Password认证：该种认证方式是最常用的一种认证方式，用于操作系统登录、telnet、rlogin等，但此种认证方式过程不加密，即password容易被监听和解密。 使用摘要算法的认证：Radius（拨号认证协议）、OSPF（路由协议）、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法（MD5）进行认证，由于摘要算法是一个不可逆的过程，因此，由摘要信息是不能计算出共享的security ke