1999211998Internet482000僅圣誕節就突破3億美元的銷售額,比預計的全年20億還多。美國對1998199860%,199640688%。而被主5%1998年5CIA“信12961998Internet侵入競選對手的網站竊取信息,在東南亞經濟危機中散布謠言,偽造世界熱點地區的現場照片,煽動民族糾紛等等,已引起各國政府的高度重視。由117萬劇增到210萬,另一方面,同一時期內外電對在我國發生的Internet19976級階段,又面臨著發達國家信息優勢的壓力,要在信息化進程中趨利避害,從一開始就做好信息安全工作十分重要。這是這項工作難度也非常大,經常遇到十分困難的選擇,甚至非難。人們對于“該不該”和“能不能”抓好信息安全也尚有不同的看法。我們應當充分相信我國的制度優越性和人民的現在，InternetWWWEXECL，但由于不重視業務人員認為系統管理只要有計算機人員就可以了，不建立規范、有效的管許多企業的系統管理員只會“玩”PC認為系統管理工作只是輔助性工作，不能為企業創造直接效益，可使管理效果大打折扣。保護,這固然是對的,但這個觀念是在二十多年前主機時代形成的。當時向單機、面向數據的。八十年代進入了微機和局域網時代,計算機已從專單、對稱,所以既要依靠技術措施保護,還要制定人人必須遵守的規定。因此,這個時代的信息安全是面向網管、面向規約的。九十年代進入了互聯網時代,每個用戶有都可以聯接、使用乃至控制散布在世界上各個角落的Internet變化。人、網、環境相結合,形成了一個復雜的巨系統。通過網上的協同和交流,人的智能和計算機快速運行的能力匯集并融合起來,創造了新的社會生產力,豐富著大量應用(電子商務,網上購物等等)和滿足著人們的“于主導地位,而系統的資源(包括硬軟件、通訊網、數據、信息內容等)則是客體,它是為主體即“人”服務的,與此相適應,信息安全的主體也是“人”(包括用戶、團體、社會和國家),其目的主要是保證主體對信息資源的控制。可以這樣說:面向數據的安全概念是前述的保密性、完整性和可獲性,而面向使用者的安全概念則是鑒別、授權、訪問控制、抗否認性和可服務性以及在于內容的個人隱私、知識產權等的保護。這兩者結合就是信息安全體系結構中的安全服務功能),而這些安全問題又要依靠密碼、數字簽名、身份驗證技術、防火墻、安全審計、災難恢復、防病毒、防黑客入侵等安全機制(措施)加以解決。其中密碼技術和管理是信息安全的核心,安全標準和系統評估是信息安全的基礎。息安全的總和。信息安全的完整內涵是和信息安全的方法論相匹配的,信息安全系統是一個多維、多因素、多層次、多目標的系統。因此,有必要要素的內部矛盾,例如:*在威脅分析中的環境災害與人員失誤、無意疏忽風險管理的綜合方法:立足于盡量減少風險,實行資產評估,風險估算,重點選擇,綜合平衡,政策制定,系統實施,審計監管等的全過程和安全評估的綜合方法:面向設計過程,強調系統總體評價。在評估標標準、管理、指導、監控、法規、培訓和工具技術的有機總和。這需要在不同層面上面向目標,用定性與定量相結合、技術措施與專家經驗相結合的綜合集成方法加以解決。對信息內容的管理則要從源頭、傳遞、網關、服務網站和用戶層面進行綜合治理。以創新精神跟上網絡和安全技術的新發展我們處在網絡調整發展和科技突飛猛進的時代,信息安全技術是具有是自主創新并不排斥吸取國外的先進技術相反,只有密切跟蹤國際信息安全技術的新進民才能知已進的彈性模式轉化,強調可測量的方法體系,形成所謂“有適應能力的風十年前,信息安全系統構建理念是“自上而下”即頂層設計。從結合”,然后再在網絡的確定范圍內從全局上規劃,構成安全體系。系統安全不能作到一勞永逸,需要動態的構建模型。量個多元化的應用環境,而且日新月異。因此現實的解決辦法是“分而治“從我做起”或者分層分步實施。這在相當一段時間內,是推動網絡發展、激勵安全應用的現實途IPv6在國家范圍的網絡建設方面,國家電信事業迅速發展,取得了巨大的成但是,國家通信網絡的交換機及其通信設備有相當一部分由于沒有經過安全檢測,安全問題沒有保證,這是由于安全檢測工作的建設滯后造成也多采用開放式的操作系統,安全級別都很低,也沒有附加安全措施。這些,應當說對信息系統的安全性還是重視的,但苦于沒有好的解決問題的方案和安全建設經費不足,行業系統安全問題還是相當嚴重的,計算機系統也多采用開放式系統網絡多路出口,對信息系統安全沒有概念,完全沒有安全措施,在金融領域UNIX。在系統采購時,有是微機網絡系統,已經出現內外黑客的攻擊,應當說問題已經相當嚴重。在產業發展決策方面,當然改革開放以來取得巨大成績,在行業規劃方面一度存在輕系統重應用的發展思路,對目前出現的信息系統安全問題,因為單靠企業發展系統軟件是不可能在較短的時間內取得地位的,要在系統軟件領域占有一席之地應當成為國策,標準化工作,要啟動信息系統安全建設的內需,要明確信息系統安全建設的統的安全問題,是信息系統的核心技術,沒有系統的安全就沒有信息的安息系統安全管理部門信息系統產品的認證和檢測工作剛剛開始,任重而道Java、XActive網絡信息安全需求可以歸結為以下幾類1、網絡設備種類繁多——當前使用的有各種各樣的網絡設備,從WindowsNTUNIXWeb服務器,每種設備均有其獨特的安Internet訪問方式可能會使安全策略的設立復雜化;硬件設備和操作系統,實施新的應用程序和Web服務器時,安全配置也有不盡相1、從企業外部進行評估:考察企業計算機基礎設施中的防火墻2、從企業內部進行評估:考察內部網絡系統中的計算機3、從應用系統進行評估:（TEMPEST技術是物理安全策略的一個主要問題。6個字符，口令字符最好是數字、字母和其他字符的混合，用特殊用戶（即系統管理員（Supervisor；（Read（Write；（Create；（Erase；修改權限（Modify；文件查找權限（FileScan；存取控制權限（AccessControl；su時才允許進入根帳域信息服務。但是，FTPHTTP是使用最普遍的服務。它們還有潛力泄露出Internet服務一樣，FTP一直是（而且仍是）易于被濫用的。值FTP站點。FTPFTP站點成為“麻FTP站點。通過某些其它方法，發送者通知它們的同伙文件可以使用。FTP用戶FTPFTP用戶所做的事。因此，FTP用戶可以訪問，用戶的訪問者也可以訪問。一般說來，FTP用戶不是用戶的系統中已經有的。因此，用戶要建立用戶。無論如何要保證將外殼設置為真正外殼以外的東西。這一步驟防止FTPftp下。這個預防措施防FTP755（讀和執行，/usr/lib/libsock-et.so/1拷貝到~ftp/usr/lib~ftp/usr/lib555，mknod手工建立它們。然而，讓系統為用戶工作會更加容易。SCO文檔說cpio,copy（cp）很管用。NFS刪除網關的所有多余程序（遠程登錄、rlogin、FTP等等過去我們往往把信息安全局限于通信保密,局限于對信息加密功能要求,其實網絡信息安全牽涉到方方面面的問題,是一個極其復雜的系統工程。從簡化的角度來看,要實施一個完整的網絡與信息安全體系,至少應包括三類措施,并且三者措施,如防火墻技術、網絡防毒、信息加密存儲通信、身份認證、授權等。只有技術措施并不能保證百分之百的安全。三是審計和管理措施,該方面措施同時包含了技術與社會措施。其主要措施有:實時監控企業安全狀態、提供實時改變安全策略的能力、對現有的安全系統實施漏洞檢查等,以防患于未然。第二部分為增強的用戶認證,用戶認證在網絡和信息的安全中屬于技術措施的第一道大門,最后防線為審計和數據備份,不加強這道大門的建設,整個安全體用戶持有的證件,如大門鑰匙、門卡等等用戶知道的信息,如密碼用戶特有的特征,第四部分是加密。在上述的安全體系結構中,認證——識別用戶身份,提供訪問許可一致性——保證數據不被非法篡改隱密性——保護數據不被非法用戶查看鑰匙的管理,包括數據加密鑰匙、私人證書、私密等的保證分發措施建立權威鑰匙分發機構保證數據完整性技術數據加密傳輸第五部分為審計和監控,確切說,還應包括數據備份,這是系統安全的最后一道防線。系統一旦出了問題,這部分可以提供問題的再現、責任追查、重要數據復原等保障。為了實施上面提出的安全體系,NetScreenNetScreen-10&NetScreen-提供多種認證和授權方法,對流入企業內部的網絡信息流實施內部檢查,URL目前一個企業網絡可能會有多個連通外界的出口,ISP的專線、撥號實施一個企業一種安全策略,實施移動方式的報警功能,E-mail、SNMP這種情況非常普遍，ISPICP，INTERNETINTERNET，INTERNETIPIPIPIP（SourceIPAddressSpoofingAttacks）IPIP對付殘片攻擊（TinyFragment斷位移植（FragmentOffset）1IP（如應用層也不希望內部的用戶無限制的使用或濫用INTERNET。采用代理服務器，可以把企業的內部網絡隱藏起來，內部的用戶需要驗證和授權之后才可以去訪問電路級網關又稱線路級網關，它工作在會話層。它在兩主機收次建立TELNET、FTPRADIUS、智能RPC（遠程過程調用）UDP（用戶數據包）端口信息，而包過濾和代理服務則45M（T3。IPEXTRANETVPNAPIInternet(VPN)，VPNInternet，企業有得又有失，比如專用線路的高可靠性及安全性就是InternetVPN圍繞下屬辦事處，VPNVPNLANLANVPN這些地方有問題，網絡設計人員就要考慮采用更嚴格的安全措施。例如，VPNVPNVPNVPNVPNVPNT1(1.554Mbps),VPN基于軟件的VPN可能提供更多的靈活性。許多產品允許根據地址或協議打VPNVPNVPNVPN（DMZIPXSNAIPIPVPNIpsecIETF(InternetEngineeringTaskForce)TCP/IPVPN盡管大部分VPN可保留自己的認證數據庫，但網管員也希望借助于現有的證用戶：遠程認證撥入用戶服務器（Radius）或終端訪問控制器訪問系統VPNVPN注意，測試小組中一定要包括各種技術工種的員工，這一點對于保證VPNVPN。VPNVPNVPNDMZ證，他們只需同另一臺VPN服務器連接起來，這一臺服務器應位于第二個DMZDMZVPN（NATInternetVPN（DHCPDECAltavistaVPNVPNDMZ網絡管理員應該注意，網絡中中有一個千萬不能被篡改的地方是專用網絡的域名系統（DNS）IPDNSInternetVPNVPN對VPN進行配置時，網管員要為一系列因素設定參數，包括密鑰長度、主要與次要認證服務器及相關的共享秘密資源、連接和超時設置、證書核查VPN網管員還要讓認證和授權程序協調起來。兩者聽起來差不多，但有些微妙且重要的差別。認證是要證明遠程用戶是她或他聲稱的身份（要證明的則相反，即服務器可信。授權是要確定遠程用戶有權訪問何種網絡資VPNInternetVPNVPN認識到管理VPN的人不應該只是那些安裝和配置的人，最終用戶也需要接受InternetVPNVPN4、NetScreenRobertThomasSunNetScreen公司，任公司總裁。成到一起，創造新的業界性能紀錄。NetScreen創建新的體系結構并已取得了專（IpsecNetScreen科技公司已經為業界在虛擬專用網領域設立了新的安全解決系SequoiaCapital投資贊助。Sequoia是一家領先的風險投資公1974350家公司提供了最初的風險投資基金，3ComCiscoOracleSymantecYahoo公NetScreen50多名員工公司在全美的主要城市都設有辦事NetScreenNetScreen-100KeyLabs（VPN性能的產品。NetScreen保證這一點。199889月，NetScreen-10和NetScreen-100ICSA國際計算機安全協會)的防火墻認證。19989月，NetScreenVPN遠程存取客戶端軟件。199810月，NetScreenNetScreen-1000的產品。這VPN功能的產品。伴。HPHP提供集成解決系統，并在增強用戶的Internet上的應用。NetScreenHP選中的二家防火墻廠家的一家，而且是唯一一家基于硬件的產品。199812NetScreen產10000NetScreen產品。目前，NetScreen有NetScreen-10用于10MB傳輸的網絡。NetScreen-100用于100MB傳輸的網絡。NetScreen-100端口是自適應的端10MB100MB的網絡。NetScreen-1000不久將要面市，它將為那些大型企業和網絡主干的供應NetScreen-5目前正在測試階段。它的大小類似一個CDROM。它是為NetScreenVPNVPNNetScreenASIC芯片提供存取策略的功能。該功能以硬件方式實現，它比軟件防火墻有著無可比擬的速度優勢。CPU可專門負責管理數據功能。NetScreenPC平臺的防火墻的需管理多個部件所引起的性能NetScreen提供了多功能和高安全性能的無縫連接，NetScreen-1000,NetScreen-100NetScreen-101000M、100M10M的傳輸性能。NetScreen-1000VPN和流量管理于一身的防火墻產品。同樣，NetScreen-100是業界最快的防火墻，另外，NetScreen自動調整10M100M自適應。因為是基于硬件的設計，NetScreen是唯一一家安全解決系統的提供商，E3的線路。的系統設計保證了它的高性能，ASIC芯片可以獨自處理并過濾包。先進的多總NetScreen內，支持創紀錄的并行連接用戶數。NetScreen-1000TCP/IP并NetScreen-1004370個連接，（32個客戶），領先于它的最接近的競爭對手。根據獨立的測試機構，KeyLab的測試報告，NetScreen－10032000個并發用戶連接，NetScreen-1016000個并發連接。所有產品都5000個存取策略，并提供簡單易用的過濾界面。NetScreen全功能防火墻包括了包過濾、代理服務器和動態線路級過濾器。Ipsec協議兼容。絡密鑰交換（IKEISAKMPIP，DES，TripleDES。并且還支持（PKI，可以自VPN。NetScreen-1000VPNNetScreen-1000有著更高的吞吐量，更廣泛的安全性和更低的價位。NetScreenNetScreenIPNetScreen網絡界NetScreenVPN，即使有些產品可以在透明模式下工作，但它們也不VPN。ASICNetScreenIP地址和端口號。它通常由路由器來實現。但它TCP的連接后，就留下了可使黑客劫持端口號的漏洞。TCPNetScreen也可提供網絡層的URL過濾，并在不久的將來實現病毒掃NetScreenNetScreenMD5ESPIPSec2000個用戶或者設置一個Radius服務器來存儲用戶認證的信息。NetScreen產品可連接信任端口（Trusted）（Untrusted）然webInternetping(不信任端口（untrusted）1.60ping的)NetScreenconsole端口，使用命令行方式進行管理。如一個調制解調器。Console口的訪問也可因為安全原因設置為取消。NetScreen產品也可以通過telnet來管理。Telnet和WebVPNserverIP時很方便對于大型網NetScreensnmp的集中式管理，通過網絡管理軟件，的管理不僅如此，為安全起見，NetScreen可以關閉遠程的管理方式，而只使用．具有線速帶