企業(yè)網(wǎng)絡(luò)安全解決方案

《NEWT770網(wǎng)絡(luò)安全管理》結(jié)課考核企業(yè)網(wǎng)絡(luò)安全解決方案班級(jí)：姓名：學(xué)號(hào)：日期：【摘要】隨著信息技術(shù)和信息產(chǎn)業(yè)的發(fā)展，企業(yè)面臨日益增加的網(wǎng)絡(luò)安全威脅，采取措施加強(qiáng)安全防護(hù)愈顯重要，許多有遠(yuǎn)見(jiàn)的企業(yè)都認(rèn)識(shí)到依托先進(jìn)的IT技術(shù)構(gòu)建企業(yè)自身的業(yè)務(wù)和運(yùn)營(yíng)平臺(tái)將極大地提升企業(yè)的核心競(jìng)爭(zhēng)力，使企業(yè)在殘酷的競(jìng)爭(zhēng)環(huán)境中脫穎而出。經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。網(wǎng)絡(luò)安全防范應(yīng)做整體的考慮，全面覆蓋信息系統(tǒng)的各層次，針對(duì)網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、數(shù)據(jù)做全面的防范。【關(guān)鍵字】信息安全；網(wǎng)絡(luò)入侵；PKI；VPN；數(shù)據(jù)加密1引言以Internet為代表的全球性信息化浪潮，使得信息網(wǎng)絡(luò)技術(shù)的應(yīng)用日益普及，越來(lái)越多的企業(yè)建立了自己的企業(yè)網(wǎng)絡(luò)，并及Internet相聯(lián)。在網(wǎng)絡(luò)中存儲(chǔ)、傳輸和處理的信息有許多是重要的政府宏觀調(diào)控決策、商業(yè)經(jīng)濟(jì)信息、銀行資金轉(zhuǎn)賬、股票證券、能源資源數(shù)據(jù)、科研數(shù)據(jù)等重要信息。這些有的是敏感性信息，有的甚至是國(guó)家機(jī)密。所以不可避免會(huì)受到各種主動(dòng)或被動(dòng)的人為攻擊，如信息泄漏、信息竊取、數(shù)據(jù)篡改、數(shù)據(jù)增刪、計(jì)算機(jī)病毒等。近年來(lái)，垃圾郵件日益蔓延，企業(yè)網(wǎng)頁(yè)不時(shí)遭到黑客篡改攻擊，計(jì)算機(jī)病毒泛濫成災(zāi)，網(wǎng)絡(luò)信息系統(tǒng)中的各種犯罪活動(dòng)已經(jīng)嚴(yán)重危害著社會(huì)的發(fā)展和企業(yè)的安全，給全球的企業(yè)造成了巨大的損失。下面將以某企業(yè)為例主要對(duì)網(wǎng)絡(luò)入侵進(jìn)行分析并提出解決方案。2網(wǎng)絡(luò)整體分析2.1信息化整體狀況1）計(jì)算機(jī)網(wǎng)絡(luò)某企業(yè)計(jì)算機(jī)通過(guò)內(nèi)部網(wǎng)相互連接，根據(jù)公司統(tǒng)一規(guī)劃，通過(guò)防火墻及外網(wǎng)互聯(lián)。在內(nèi)部網(wǎng)絡(luò)中，各計(jì)算機(jī)在同一網(wǎng)段，通過(guò)交換機(jī)連接。2）應(yīng)用系統(tǒng)經(jīng)過(guò)多年的積累，該企業(yè)的計(jì)算機(jī)應(yīng)用已基本覆蓋了經(jīng)營(yíng)管理的各個(gè)環(huán)節(jié)，包括各種應(yīng)用系統(tǒng)和辦公自動(dòng)化系統(tǒng)。隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步完善，計(jì)算機(jī)應(yīng)用也由數(shù)據(jù)分散的應(yīng)用模式轉(zhuǎn)變?yōu)閿?shù)據(jù)日益集中的模式。2.2信息安全現(xiàn)狀為保障計(jì)算機(jī)網(wǎng)絡(luò)的安全，公司實(shí)施計(jì)算機(jī)網(wǎng)絡(luò)安全項(xiàng)目，基于當(dāng)時(shí)對(duì)信息安全的認(rèn)識(shí)和安全產(chǎn)品的狀況，信息安全的主要內(nèi)容是網(wǎng)絡(luò)安全，防止網(wǎng)絡(luò)入侵、防病毒服務(wù)器等網(wǎng)絡(luò)安全產(chǎn)品，為提升了公司計(jì)算機(jī)網(wǎng)絡(luò)的安全性，使其在范網(wǎng)絡(luò)攻擊事件、沖擊波等網(wǎng)絡(luò)病毒攻擊以及網(wǎng)絡(luò)和桌面日常保障等方面發(fā)揮作用。2.3網(wǎng)絡(luò)入侵行為分析網(wǎng)絡(luò)入侵威脅歸類來(lái)源主要分三大類：1）物理訪問(wèn)：指非法用戶能接觸機(jī)器，坐在了計(jì)算機(jī)面前，可以直接控制終端乃至整個(gè)系統(tǒng)。2）局域網(wǎng)內(nèi)用戶威脅：一般指局域網(wǎng)內(nèi)用戶，具有了一般權(quán)限后對(duì)主機(jī)進(jìn)行非法訪問(wèn)。3）遠(yuǎn)程入侵：外部人員在通過(guò)Internet或者撥號(hào)的方式遠(yuǎn)程非法訪問(wèn)主機(jī)獲取非法訪問(wèn)。2.4防火墻的局限性分析網(wǎng)絡(luò)服務(wù)器上各種各樣的應(yīng)用程序的弱點(diǎn)和操作系統(tǒng)的很類似，一個(gè)被開放的服務(wù)，如果存在漏洞，防火墻是無(wú)能為力的。防火墻技術(shù)是內(nèi)部網(wǎng)最重要的安全技術(shù)之一，是一個(gè)很好的安全策略，其主要功能就是控制對(duì)受保護(hù)網(wǎng)絡(luò)的非法訪問(wèn)，它通過(guò)監(jiān)視、限制、更改通過(guò)網(wǎng)絡(luò)的數(shù)據(jù)流，一方面盡可能屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，另一方面對(duì)內(nèi)屏蔽外部危險(xiǎn)站點(diǎn)，用以防范外對(duì)內(nèi)、內(nèi)對(duì)外的非法訪問(wèn)。但防火墻也有其明顯的局限性，有一種普遍存在的觀念認(rèn)為，防火墻可以識(shí)別攻擊并且凍結(jié)這些攻擊，這是其實(shí)是不對(duì)的。這里我們做一些介紹。1）防火墻難以防止應(yīng)用程序的漏洞：如果被防火墻視為正常服務(wù)的程序存在漏洞（如web服務(wù)），那么黑客利用這種漏洞成功就等于已經(jīng)繞過(guò)了防火墻。在這種情況下，他可以用最高的權(quán)限做任何事情，竊取數(shù)據(jù)，破解密碼，啟動(dòng)任何一個(gè)程序，甚至是任意轉(zhuǎn)帳，最后將系統(tǒng)日志刪去而輕松離去。在入侵者特別小心的情況下，如果不采取特殊措施，這種破壞無(wú)任何蛛絲馬跡可循。2）防火墻難于防內(nèi)：防火墻的安全控制只能作用于外對(duì)內(nèi)或內(nèi)對(duì)外，即：對(duì)外可屏蔽內(nèi)部網(wǎng)的拓?fù)浣Y(jié)構(gòu)，封鎖外部網(wǎng)上的用戶連接內(nèi)部網(wǎng)上的重要站點(diǎn)或某些端口，對(duì)內(nèi)可屏蔽外部危險(xiǎn)站點(diǎn)，但它很難解決內(nèi)部網(wǎng)控制內(nèi)部人員的安全問(wèn)題。即防外不防內(nèi)。而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有70%以上來(lái)自內(nèi)部攻擊，而對(duì)于金融證券業(yè)來(lái)說(shuō)，這種內(nèi)部的入侵行為更達(dá)到了80%以上。3）防火墻難于管理和配置，易造成安全漏洞防火墻的管理及配置相當(dāng)復(fù)雜，要想成功地維護(hù)防火墻，要求防火墻管理員對(duì)網(wǎng)絡(luò)安全攻擊的手段及其及系統(tǒng)配置的關(guān)系有相當(dāng)深刻的了解。防火墻的安全策略無(wú)法進(jìn)行集中管理。一般來(lái)說(shuō)，由多個(gè)系統(tǒng)（路由器、過(guò)濾器、代理服務(wù)器、網(wǎng)關(guān)、堡壘主機(jī)）組成的防火墻，管理上有所疏忽是在所難免的。而過(guò)于嚴(yán)密的過(guò)濾規(guī)則必將影響到系統(tǒng)的正常服務(wù)。隨著利用系統(tǒng)致命漏洞獲取最高權(quán)限的入侵方法的流行，根據(jù)美國(guó)財(cái)經(jīng)雜志統(tǒng)計(jì)資料表明，以前只有30%的入侵發(fā)生在有防火墻的情況下，而現(xiàn)在上升到超過(guò)了45%。4）防火墻安全控制的弱點(diǎn)防火墻的安全控制主要是基于IP地址的，難于為用戶在防火墻內(nèi)外提供一致的安全策略，許多防火墻對(duì)用戶的安全控制主要是基于用戶所用機(jī)器的IP地址而不是用戶身份，這樣就很難為同一用戶在防火墻內(nèi)外提供一致的安全控制策略，限制了企業(yè)網(wǎng)的物理范圍。5）防火墻不是一種動(dòng)態(tài)的防御系統(tǒng)：比如低級(jí)的入侵技術(shù)如BackOrifice后門，很多最新的防火墻版本能阻止這些行為，但只能做到80%。因?yàn)榉阑饓κ强孔R(shí)別入侵者發(fā)送的包中的頭8個(gè)字節(jié)來(lái)斷定它是BackOrifice的入侵的。有經(jīng)驗(yàn)的黑客完全可以利用更改包頭的辦法來(lái)進(jìn)行欺騙，繞過(guò)防火墻的訪問(wèn)控制。而相比之下，網(wǎng)絡(luò)入侵預(yù)警檢測(cè)系統(tǒng)能識(shí)別和分析可疑報(bào)文，從而達(dá)到防止未知入侵行為的目的（在已知的黑客攻擊手段中，大多數(shù)的攻擊行為都具有某種相似的特征）。3風(fēng)險(xiǎn)及需求分析3.1風(fēng)險(xiǎn)分析通過(guò)對(duì)我們信息系統(tǒng)現(xiàn)狀的分析，可得出如下結(jié)論：1）經(jīng)營(yíng)管理對(duì)計(jì)算機(jī)應(yīng)用系統(tǒng)的依賴性增強(qiáng)，計(jì)算機(jī)應(yīng)用系統(tǒng)對(duì)網(wǎng)絡(luò)的依賴性增強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大，網(wǎng)絡(luò)結(jié)構(gòu)日益復(fù)雜。計(jì)算機(jī)網(wǎng)絡(luò)和計(jì)算機(jī)應(yīng)用系統(tǒng)的正常運(yùn)行對(duì)網(wǎng)絡(luò)安全提出了更高的要求。2）計(jì)算機(jī)應(yīng)用系統(tǒng)涉及越來(lái)越多的企業(yè)關(guān)鍵數(shù)據(jù)，這些數(shù)據(jù)大多集中在公司總部數(shù)據(jù)中心，因此有必要加強(qiáng)各計(jì)算機(jī)應(yīng)用系統(tǒng)的用戶管理和身份的認(rèn)證，加強(qiáng)對(duì)數(shù)據(jù)的備份，并運(yùn)用技術(shù)手段，提高數(shù)據(jù)的機(jī)密性、完整性和可用性。通過(guò)對(duì)現(xiàn)有的信息安全體系的分析，也可以看出：隨著計(jì)算機(jī)技術(shù)的發(fā)展、安全威脅種類的增加，某公司的信息安全無(wú)論在總體構(gòu)成、信息安全產(chǎn)品的功能和性能上都存在一定的缺陷，具體表現(xiàn)在：1）系統(tǒng)性不強(qiáng)，安全防護(hù)僅限于網(wǎng)絡(luò)安全，系統(tǒng)、應(yīng)用和數(shù)據(jù)的安全存在較大的風(fēng)險(xiǎn)。目前實(shí)施的安全方案是基于當(dāng)時(shí)的認(rèn)識(shí)進(jìn)行的，主要工作集中于網(wǎng)絡(luò)安全，對(duì)于系統(tǒng)和應(yīng)用的安全防范缺乏技術(shù)和管理手段。如缺乏有效的身份認(rèn)證，對(duì)服務(wù)器、網(wǎng)絡(luò)設(shè)備和應(yīng)用系統(tǒng)的訪問(wèn)都停留在用戶名/密碼的簡(jiǎn)單認(rèn)證階段，很容易被冒充；又如數(shù)據(jù)備份缺乏整體方案和制度規(guī)范，容易造成重要數(shù)據(jù)的丟失和泄露。當(dāng)時(shí)的網(wǎng)絡(luò)安全的基本是一種外部網(wǎng)絡(luò)安全的概念，是基于這樣一種信任模型的，即網(wǎng)絡(luò)內(nèi)部的用戶都是可信的。在這種信任模型下，假設(shè)所有可能的對(duì)信息安全造成威脅的攻擊者都來(lái)自于組織外部，并且是通過(guò)網(wǎng)絡(luò)從外部使用各種攻擊手段進(jìn)入內(nèi)部網(wǎng)絡(luò)信息系統(tǒng)的。針對(duì)外部網(wǎng)絡(luò)安全，人們提出了內(nèi)部網(wǎng)絡(luò)安全的概念，它基于這樣一種信任模型：所有的用戶都是不可信的。在這種信任模型中，假設(shè)所有用戶都可能對(duì)信息安全造成威脅，并且可以各種更加方便的手段對(duì)信息安全造成威脅，比如內(nèi)部人員可以直接對(duì)重要的服務(wù)器進(jìn)行操控從而破壞信息，或者從內(nèi)部網(wǎng)絡(luò)訪問(wèn)服務(wù)器，下載重要的信息并盜取出去。內(nèi)部網(wǎng)絡(luò)安全的這種信任模型更符合現(xiàn)實(shí)的狀況。信息系統(tǒng)的安全防范是一個(gè)動(dòng)態(tài)過(guò)程，某公司缺乏相關(guān)的規(guī)章制度、技術(shù)規(guī)范，也沒(méi)有選用有關(guān)的安全服務(wù)。不能充分發(fā)揮安全產(chǎn)品的效能。2)原有的網(wǎng)絡(luò)安全產(chǎn)品在功能和性能上都不能適應(yīng)新的形勢(shì)，存在一定的網(wǎng)絡(luò)安全隱患，產(chǎn)品亟待升級(jí)。已購(gòu)買的網(wǎng)絡(luò)安全產(chǎn)品中，有不少在功能和性能上都不能滿足進(jìn)一步提高信息安全的要求。如為進(jìn)一步提高全網(wǎng)的安全性，擬對(duì)系統(tǒng)的互聯(lián)網(wǎng)出口進(jìn)行嚴(yán)格限制，原有的防火墻將成為企業(yè)內(nèi)網(wǎng)和公網(wǎng)之間的瓶頸。同時(shí)病毒的防范、新的攻擊手段也對(duì)防火墻提出了更多的功能上的要求，現(xiàn)有的防火墻不具備這些功能。網(wǎng)絡(luò)信息系統(tǒng)的安全建設(shè)建立在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上，這是信息化建設(shè)的內(nèi)在要求，系統(tǒng)主管部門和運(yùn)營(yíng)、應(yīng)用單位都必須做好本系統(tǒng)的信息安全風(fēng)險(xiǎn)評(píng)估工作。只有在建設(shè)的初期，在規(guī)劃的過(guò)程中，就運(yùn)用風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)管理的手段，用戶才可以避免重復(fù)建設(shè)和投資的浪費(fèi)。3.2需求分析如前所述，某公司信息系統(tǒng)存在較大的風(fēng)險(xiǎn)，信息安全的需求主要體現(xiàn)在如下幾點(diǎn)：某公司信息系統(tǒng)不僅需要安全可靠的計(jì)算機(jī)網(wǎng)絡(luò)，也需要做好系統(tǒng)、應(yīng)用、數(shù)據(jù)各方面的安全防護(hù)。為此，要加強(qiáng)安全防護(hù)的整體布局，擴(kuò)大安全防護(hù)的覆蓋面，增加新的安全防護(hù)手段。網(wǎng)絡(luò)規(guī)模的擴(kuò)大和復(fù)雜性的增加，以及新的攻擊手段的不斷出現(xiàn)，使某公司計(jì)算機(jī)網(wǎng)絡(luò)安全面臨更大的挑戰(zhàn)，原有的產(chǎn)品進(jìn)行升級(jí)或重新部署。信息安全工作日益增強(qiáng)的重要性和復(fù)雜性對(duì)安全管理提出了更高的要求，為此要加快規(guī)章制度和技術(shù)規(guī)范的建設(shè)，使安全防范的各項(xiàng)工作都能夠有序、規(guī)范地進(jìn)行。信息安全防范是一個(gè)動(dòng)態(tài)循環(huán)的過(guò)程，如何利用專業(yè)公司的安全服務(wù)，做好事前、事中和事后的各項(xiàng)防范工作，應(yīng)對(duì)不斷出現(xiàn)的各種安全威脅，也是某公司面臨的重要課題。4設(shè)計(jì)原則安全體系建設(shè)應(yīng)按照“統(tǒng)一規(guī)劃、統(tǒng)籌安排、統(tǒng)一標(biāo)準(zhǔn)、分步實(shí)施”的原則進(jìn)行，避免重復(fù)投入、重復(fù)建設(shè)，充分考慮整體和局部的利益。4.1標(biāo)準(zhǔn)化原則本方案參照信息安全方面的國(guó)家法規(guī)及標(biāo)準(zhǔn)和公司內(nèi)部已經(jīng)執(zhí)行或正在起草標(biāo)準(zhǔn)及規(guī)定，使安全技術(shù)體系的建設(shè)達(dá)到標(biāo)準(zhǔn)化、規(guī)范化的要求，為拓展、升級(jí)和集中統(tǒng)一打好基礎(chǔ)。4.2系統(tǒng)化原則信息安全是一個(gè)復(fù)雜的系統(tǒng)工程，從信息系統(tǒng)的各層次、安全防范的各階段全面地進(jìn)行考慮，既注重技術(shù)的實(shí)現(xiàn)，又要加大管理的力度，以形成系統(tǒng)化的解決方案。安全技術(shù)體系的建設(shè)涉及網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等方方面面，任何改造、添加甚至移動(dòng)，都可能影響現(xiàn)有網(wǎng)絡(luò)的暢通或在用系統(tǒng)的連續(xù)、穩(wěn)定運(yùn)行，這是安全技術(shù)體系建設(shè)必須面對(duì)的最大風(fēng)險(xiǎn)。本規(guī)劃特別考慮規(guī)避運(yùn)行風(fēng)險(xiǎn)問(wèn)題，在規(guī)劃及應(yīng)用系統(tǒng)銜接的基礎(chǔ)安全措施時(shí)，優(yōu)先保證透明化，從提供通用安全基礎(chǔ)服務(wù)的要求出發(fā)，設(shè)計(jì)并實(shí)現(xiàn)安全系統(tǒng)及應(yīng)用系統(tǒng)的平滑連接。4.4保護(hù)投資原則由于信息安全理論及技術(shù)發(fā)展的歷史原因和自身的資金能力，某公司分期、分批建設(shè)了一些整體的或區(qū)域的安全技術(shù)系統(tǒng)，配置了相應(yīng)的設(shè)施。因此，本方案依據(jù)保護(hù)信息安全投資效益的基本原則，在合理規(guī)劃、建設(shè)新的安全子系統(tǒng)或投入新的安全設(shè)施的同時(shí)，對(duì)現(xiàn)有安全系統(tǒng)采取了完善、整合的辦法，以使其納入總體安全技術(shù)體系，發(fā)揮更好的效能，而不是排斥或拋棄。4.5多重保護(hù)原則任何安全措施都不是絕對(duì)安全的，都可能被攻破。但是建立一個(gè)多重保護(hù)系統(tǒng)，各層保護(hù)相互補(bǔ)充，當(dāng)一層保護(hù)被攻破時(shí)，其它層保護(hù)仍可保護(hù)信息的安全。5設(shè)計(jì)思路及安全產(chǎn)品的選擇和部署信息安全又是相對(duì)的，需要在風(fēng)險(xiǎn)、安全和投入之間做出平衡，通過(guò)對(duì)某公司信息化和信息安全現(xiàn)狀的分析，對(duì)現(xiàn)有的信息安全產(chǎn)品和解決方案的調(diào)查，通過(guò)及計(jì)算機(jī)專業(yè)公司接觸，初步確定了本次安全項(xiàng)目的內(nèi)容。通過(guò)本次安全項(xiàng)目的實(shí)施，基本建成較完整的信息安全防范體系。5.1網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施證書認(rèn)證系統(tǒng)無(wú)論是企業(yè)內(nèi)部的信息網(wǎng)絡(luò)還是外部的網(wǎng)絡(luò)平臺(tái)，都必須建立在一個(gè)安全可信的網(wǎng)絡(luò)之上。目前，解決這些安全問(wèn)題的最佳方案當(dāng)數(shù)應(yīng)用PKI/CA數(shù)字認(rèn)證服務(wù)。PKI(PublicKeyInfrastructure，公鑰基礎(chǔ)設(shè)施)是利用公開密鑰理論和技術(shù)建立起來(lái)的提供在線身份認(rèn)證的安全體系，它從技術(shù)上解決了網(wǎng)上身份認(rèn)證、信息完整性和抗抵賴等安全問(wèn)題，為網(wǎng)絡(luò)應(yīng)用提供可靠的安全保障，向用戶提供完整的PKI/CA數(shù)字認(rèn)證服務(wù)。通過(guò)建設(shè)證書認(rèn)證中心系統(tǒng)，建立一個(gè)完善的網(wǎng)絡(luò)安全認(rèn)證平臺(tái)，能夠通過(guò)這個(gè)安全平臺(tái)實(shí)現(xiàn)以下目標(biāo)：身份認(rèn)證(Authentication)：確認(rèn)通信雙方的身份，要求通信雙方的身份不能被假冒或偽裝，在此體系中通過(guò)數(shù)字證書來(lái)確認(rèn)對(duì)方的身份。數(shù)據(jù)的機(jī)密性(Confidentiality):對(duì)敏感信息進(jìn)行加密，確保信息不被泄露，在此體系中利用數(shù)字證書加密來(lái)完成。數(shù)據(jù)的完整性(Integrity):確保通信信息不被破壞(截?cái)嗷虼鄹?，通過(guò)哈希函數(shù)和數(shù)字簽名來(lái)完成。不可抵賴性(Non-Repudiation):防止通信對(duì)方否認(rèn)自己的行為，確保通信方對(duì)自己的行為承認(rèn)和負(fù)責(zé)，通過(guò)數(shù)字簽名來(lái)完成，數(shù)字簽名可作為法律證據(jù)。5.2邊界防護(hù)和網(wǎng)絡(luò)的隔離VPN(VirtualPrivateNetwork)虛擬專用網(wǎng)，是將物理分布在不同地點(diǎn)的網(wǎng)絡(luò)通過(guò)公用骨干網(wǎng)(如Internet)連接而成的邏輯上的虛擬專用網(wǎng)。和傳統(tǒng)的物理方式相比，具有降低成本及維護(hù)費(fèi)用、易于擴(kuò)展、數(shù)據(jù)傳輸?shù)母甙踩浴Ｍㄟ^(guò)安裝部署VPN系統(tǒng)，可以為企業(yè)構(gòu)建虛擬專用網(wǎng)絡(luò)提供了一整套安全的解決方案。它利用開放性網(wǎng)絡(luò)作為信息傳輸?shù)拿襟w，通過(guò)加密、認(rèn)證、封裝以及密鑰交換技術(shù)在公網(wǎng)上開辟一條隧道，使得合法的用戶可以安全的訪問(wèn)企業(yè)的私有數(shù)據(jù)，用以代替專線方式，實(shí)現(xiàn)移動(dòng)用戶、遠(yuǎn)程LAN的安全連接。集成的防火墻功能模塊采用了狀態(tài)檢測(cè)的包過(guò)濾技術(shù)，可以對(duì)多種網(wǎng)絡(luò)對(duì)象進(jìn)行有效地訪問(wèn)監(jiān)控，為網(wǎng)絡(luò)提供高效、穩(wěn)定地安全保護(hù)。5.3安全電子郵件電子郵件是Internet上出現(xiàn)最早的應(yīng)用之一。隨著網(wǎng)絡(luò)的快速發(fā)展，電子郵件的使用日益廣泛，成為人們交流的重要工具，大量的敏感信息隨之在網(wǎng)絡(luò)上傳播。然而由于網(wǎng)絡(luò)的開放性和郵件協(xié)議自身的缺點(diǎn)，電子郵件存在著很大的安全隱患。目前廣泛應(yīng)用的電子郵件客戶端軟件如OUTLOOK支持的S/MIME(SecureMultipurposeInternetMailExtensions)，它是從PEM(PrivacyEnhancedMail)和MIME(Internet郵件的附件標(biāo)準(zhǔn))發(fā)展而來(lái)的。首先，它的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書認(rèn)證機(jī)構(gòu)，所有下一級(jí)的組織和個(gè)人的證書由上一級(jí)的組織負(fù)責(zé)認(rèn)證，而最上一級(jí)的組織(根證書)之間相互認(rèn)證，整個(gè)信任關(guān)系基本是樹狀的。其次，S/MIME將信件內(nèi)容加密簽名后作為特殊的附件傳送。保證了信件內(nèi)容的安全性。5.4桌面安全防護(hù)對(duì)企業(yè)信息安全的威脅不僅來(lái)自企業(yè)網(wǎng)絡(luò)外部，大量的安全威脅來(lái)自企業(yè)內(nèi)部。很早之前安全界就有數(shù)據(jù)顯示，近80%的網(wǎng)絡(luò)安全事件，是來(lái)自于企業(yè)內(nèi)部。同時(shí)，由于是內(nèi)部人員所為，這樣的安全犯罪往往目的明確，如針對(duì)企業(yè)機(jī)密和專利信息的竊取、財(cái)務(wù)欺騙等，因此，對(duì)于企業(yè)的威脅更為嚴(yán)重。對(duì)于桌面微機(jī)的管理和監(jiān)控是減少和消除內(nèi)部威脅的有效手段。桌面安全系統(tǒng)把電子簽章、文件加密應(yīng)用和安全登錄以及相應(yīng)的智能卡管理工具集成到一起，形成一個(gè)整體，是針對(duì)客戶端安全的整體解決方案。1）電子簽章系統(tǒng)利用非對(duì)稱密鑰體系保證了文檔的完整性和不可抵賴性。采用組件技術(shù)，可以無(wú)縫嵌入OFFICE系統(tǒng)，用戶可以在編輯文檔后對(duì)文檔進(jìn)行簽章，或是打開文檔時(shí)驗(yàn)證文檔的完整性和查看文檔的作者。2）安全登錄系統(tǒng)安全登錄系統(tǒng)提供了對(duì)系統(tǒng)和網(wǎng)絡(luò)登錄的身份認(rèn)證。使用后，只有具有指定智能密碼鑰匙的人才可以登錄計(jì)算機(jī)和網(wǎng)絡(luò)。用戶如果需要離開計(jì)算機(jī)，只需拔出智能密碼鑰匙，即可鎖定計(jì)算機(jī)。3）文件加密系統(tǒng)文件加密應(yīng)用系統(tǒng)保證了數(shù)據(jù)的