一种交换平台安全体系设计研究.docVIP

一种交换平台安全体系设计研究 　　[摘 要] 随着计算机网络技术的发展，网络安全越来越重要。文章从信息安全策略技术和管理两个方面出发，介绍信息安全体系的构成，详细阐述信息安全体系的基本要素以及相关的技术和管理构件，建构信息安全体系的技术构架和管理框架。 　　[关键词] 网络安全；安全架构；安全技术 　　[作者简介] 陈宝光，河北省信息资源管理中心，河北 石家庄，050071 　　[中图分类号] TP393.08 [文献标识码] A [文章编号] 1007-7723（2013）04-0021-0003 　　一、引 言 　　由于网络的开放性，交换与共享平台在提供高效、友好信息资源交换共享服务的同时，将不可避免地面临网络入侵、病毒侵袭、信息篡改等安全问题，从而为使用人员和管理部门带来了一定的威胁、风险和责任。 　　本体系从信息安全策略技术和管理两个方面出发，深入了解信息安全体系的构成，详细阐述信息安全体系的基本要素以及相关的技术和管理构件，详细阐述它们在信息安全系统中的地位和作用以及它们之间的关联性、互补性，采用纵深防御的战略思想，建构信息安全体系的技术构架和管理框架。 　　二、总体框架 　　信息安全是整体的、动态的，安全体系不是指单一的某种安全设备，而是指几种安全设备的综合。建立网络安全系统也不是一件一劳永逸的事情，针对安全体系的特性，可以采用“统一规划、分步实施”的原则。先对整个网络进行整体的安全规划，然后根据实际状况逐步建立一个安全防护体系，提高整个信息系统基础的安全性，保证应用系统的安全性。 　　信息安全体系包括三个要素：安全策略、管理和技术。 　　位于顶层的是平台安全总体策略，这是整个平台安全体系的基本标准，是所有安全行为的指导方针，是整个平台信息安全建设的依据，用于指导管理体系和技术体系来实现整体安全目标，因此它是信息安全的最核心问题，是平台安全规划的基础。 　　其次是在以上策略制度指导下制定的一系列针对系统自身漏洞和外部威胁的管理措施，即安全管理体系，包含法规、制度、培训、组织、程序等，是对安全策略的更具体化体现。 　　最下面的是安全技术体系，包括各种基础的安全技术、工具、产品和服务等，为整个安全体系提供基本的技术支撑。 　　信息网络的安全技术体系是根据网络不同层次采用不同的安全技术来缓解网络安全风险，层次化和体系化地解决网络安全问题。如图1所示。 　　三、安全技术 　　（一）物理安全 　　物理安全是保障整个平台网络与计算机信息系统各种设备的安全。物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击；确保计算机系统有一个良好的电磁兼容工作环境；防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全是信息安全的保障，是系统不可缺少或忽视的。 　　安全域划分 　　1.安全策略 　　（1）实施“分级保护”，依据安全等级要求确定平台安全等级并实施网络系统安全防护措施； 　　（2）实施“分域保护”，合理划分安全域，进行安全域边界保护和逻辑隔离，控制平台各安全域之间的访问； 　　对平台的所有网络访问行为进行监控和审计追踪； 　　（3）对操作系统、数据库系统进行严格的安全配置，及时更新安全补丁； 　　（4）部署网络防病毒系统，并定期更新病毒库，防止病毒和木马的入侵和攻击； 　　（5）定期对系统进行漏洞扫描和安全风险评估，及时发现系统存在的漏洞和风险，提出安全改进报告； 　　（6）建立完备的容灾备份和应急响应机制，建设平台统一的容灾体系和应急响应体系； 　　（7）建立有效的安全管理保障体系，以适应网络安全的动态性、复杂性和长期性特点。 　　2.部署漏洞扫描系统，定期扫描、及时堵塞漏洞 　　在网络安全体系的建设中， 安全扫描工具的运行相对独立，能较全面检测流行漏洞，检测最严重的安全问题，安装运行简单，可以大规模减少安全管理员的手工劳动，降低安全审计人员的劳动强度，有利于保持全网安全政策的统一和稳定。 　　3.Ca认证 　　有效地防止信息篡改的方法就是Ca认证。在交换平台的应用层实施细粒度的访问控制，实现对用户的身份鉴别、实现信息的保密性、完整性、真实性和抗抵赖性等保护。应用系统以基于数字证书以及相关的经国家有关部门认可的密码算法认证登录用户的真实身份，采用数字签名技术解决抗抵赖性和数据完整性的问题，利用安全系统提供的加密算法，解决信息的保密性问题。 　　4.终端管理 　　终端管理主要解决内网安全管理被动和执行力低下的问题，通过实现从“准入控制”、“主动防御”、“数据防泄密”、“桌面信息管理”和“终端审计”的动态闭环的内网管理体系，在应对内网安全威胁的斗争中，掌握主动权和制高点，依靠有限的安全控制手段，有效应对无