系统安全解决方案.docVIP

系统安全方案 物理级安全解决方案 保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前 提。物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火 灾等环境事故以及人为气乍失误或错误及各种计算机犯罪行为导致的破坏过程。 它主要包括三个方面： 环境安全 对系统所在环境的安全保护，如区域保护和灾难保护；（参见国家标准 GB50173-93《电子计算机机房设计规范》、国标GB2887-89《计算站场地 技术条件》、GB9361-88《计算站场地安全要求》 设备安全 设备安全主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截 获、抗电磁干扰及电源保护等；设备兀余备份；通过严格管理及提高员工的整 体安全意识来实现。 媒体安全 包括媒体数据的安全及媒体本身的安全。显然，为保证信息网络系统的物 理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的 扩散。计算机系统通过电磁辐射使信息被截获而失密的案例已经很多，在理论 和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示 技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统屮的信息 在空问丄的扩散，通常是在物理丄采取一?定的防护措施，来减少或干扰扩散岀 去的空间信号。这对重要的政策、军队、金融机构在兴建信息屮心时都将成为 首要设置的条件。 正常的防范措施主要在三个方面： 对主机房及重要信息存储、收发部门进行屏蔽处理，即建设一?个具有高效 屏蔽效能的屏蔽室，用它来安装运行主要设备，以防止磁鼓、磁带与高辐射设 备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接屮 均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以 及通风、波导，门的关起等。 对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不 可避免性，现均采光缆传输的方式，大多数均在Modem出来的设备用光电转换 接口，用光缆接出屏蔽室外进行传输。 对终端设备辐射的防范。终端机尤其是CRT显示器，由于上万伏高压电子 流的作用，辐射有极强的信号外泄，但又因终端分散使用不宜集屮采用屏蔽室 的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产站外，H前主 要采取主动式的干扰设备如干扰机来破坏对应信息的窃取，个别重要的首脑或 集屮的终端也可考虑采用有窗子的装饰性屏蔽室，这种方法虽降低了部份屏蔽 效能，但可大大改善工作环境，使人感到在普通机房内一样工作。 网络级安全解决方案 网络安全是整个安全解决方案的关键，从访问控制、通信保密、入侵检测、 网络安全扫描系统、防病毒分别描述。 隔离与访问控制 严格的管理制度可制定的制度 《用户授权实施细则》、《口令字及帐户管理规范》、《权限管理制度》、《安 全责任制度》等。 划分虚拟子网(VLAN) 内部网络根据不同用户安全级别或者根据不同部门的安全需求，利用三层 交换机来划分虚拟子网(VLAN),在没有配置路的情况下，不同虚拟子网间是 不能够互相访问。通过虚拟子网的划分，能够实较粗略的访问控制。 防火墙 防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙 通过制定严格的安全策略实现内外网络或内部网络不同信任域ZIhJ的隔离与访 问控制。并且防火墙可以实现单向或双向控制，对一?些高层协议实现较细粒的 访问控制。FortiGate产甜从网络层到应用层都实现了自由控制。 通信保密 数据的机密性与完整性，主要是为了保护在网JL传送的涉及企业秘密的信 息，经过配备加密设备，使得在网上传送的数据是密文形式，血不是明文。可 以选择以下几种方式。 链路层加密 对于连接各涉密网节点的广域网线路，根据线路种类不同可以采用相应的 链路级加密设备，以保证各节点涉密网之间交换的数据都是加密传送，以防止 非授权用户读懂、篡改传输的数据。 链路加密机由于是在链路级，加密机制是采用点对点的加密、解密。即在 有相互访问需求并且要求加密传输的各网点的每条外线线路丄都得配一台链路 加密机。通过两端加密机的协商配合实现加密、解密过程。 网络层加密 鉴于网络分布较广，网点较多，血且可能采用DDN、FR等多种通讯线路。 如果采用多种链路加密设备的设计方案则壇加了系统投资费用，同时为系统维 护、升级、扩展也带来了相应困难。因此在这种情况下我们建议采用网络层加 密设备(VPN) , VPN是网络加密机，是实现端至端的加密，即一个网点貝需 配备一台VPN加密机。根据具体策略，来保护内部敏感信息和企业秘密的机密 性、真实性及完整性。 IPsec是在TCP/IP体系屮实现网络安全服务的重要措施。而VPN设备正 是一种符合IPsec标准的IP协议加密设备。它通过利用跨越不安全的公共网络 的线路建立IP安全隧道，能够保护子网间传输信息的机密性、完整