使安全技术体系的建设达到标准化、规范化的要求，为拓展、升级和集中统一打好基础。
3.2  系统化原则
    信息安全是一个复杂的系统工程，从信息系统的各层次、安全防范的各阶段全面地进行
考虑，既注重技术的实现，又要加大管理的力度，以形成系统化的解决方案。
3.3  多重保护原则
    任何安全措施都不是绝对安全的，都可能被攻破。但是建立一个多重保护系统，各层保
护相互补充，当一层保护被攻破时，其它层保护仍可保护信息的安全。
3.4  分步实施原则
    由于某公司应用扩展范围广阔，随着网络规模的扩大及应用的增加，系统脆弱性也会不
断增加。一劳永逸地解决安全问题是不现实的。针对安全体系的特性，寻求安全、风险、开销

“

”

的平衡，采取 统一规划、分步实施 的原则。即可满足某公司安全的基本需求，亦可节省费
用开支。

5  设计思路及安全产品的选择和部署

    信息安全防范应做整体的考虑，全面覆盖信息系统的各层次，针对网络、系统、应用、数
据做全面的防范。信息安全防范体系模型显示安全防范是一个动态的过程，事前、事中和事
后的技术手段应当完备，安全管理应贯穿安全防范活动的始终，信息安全又是相对的，需
要在风险、安全和投入之间做出平衡，通过对某公司信息化和信息安全现状的分析，对现有
的信息安全产品和解决方案的调查，通过与计算机专业公司接触，初步确定了本次安全项
目的内容。通过本次安全项目的实施，基本建成较完整的信息安全防范体系。
4.1 网络安全基础设施
    证书认证系统无论是企业内部的信息网络还是外部的网络平台，都必须建立在一个安全
可信的网络之上。目前，解决这些安全问题的最佳方案当数应用

PKI/CA 数字认证服务 。

PKI(Public Key Infrastructure，公钥基础设施)是利用公开密钥理论和技术建立起来的
提供在线身份认证的安全体系，它从技术上解决了网上身份认证、信息完整性和抗抵赖等安
全问题，为网络应用提供可靠的安全保障，向用户提供完整的

PKI/CA 数字认证服务。通过

建设证书认证中心系统，建立一个完善的网络安全认证平台，能够通过这个安全平台实现
以下目标：
    身份认证(Authentication)：确认通信双方的身份，要求通信双方的身份不能被假冒或
伪装，在此体系中通过数字证书来确认对方的身份。
    数据的机密性(Confidentiality)：对敏感信息进行加密，确保信息不被泄露，在此体系
中利用数字证书加密来完成。
    数据的完整性(Integrity)：确保通信信息不被破坏(截断或篡改)，通过哈希函数和数字
签名来完成。
    不可抵赖性(Non-Repudiation)：防止通信对方否认自己的行为，确保通信方对自己的
行为承认和负责，通过数字签名来完成，数字签名可作为法律证据。
4.2  安全电子邮件
    电子邮件是 Internet 上出现最早的应用之一。随着网络的快速发展，电子邮件的使用日
益广泛，成为人们交流的重要工具，大量的敏感信息随之在网络上传播。然而由于网络的开
放性和邮件协议自身的缺点，电子邮件存在着很大的安全隐患。
       

 

目 前 广 泛 应 用 的 电 子 邮 件 客 户 端 软 件 如

OUTLOOK  

 

支 持 的

S/MIME( Secure 

Multipurpose Internet Mail Extensions )

 

，它是从

PEM(Privacy Enhanced Mail) 和 

MIME(Internet 

 

邮件的附件标准

) 发展而来的。首先，它的认证机制依赖于层次结构的证

书认证机构，所有下一级的组织和个人的证书由上一级的组织负责认证，而最上一级的组

 

织

( 

 

根证书

) 

 

之间相互认证，整个信任关系基本是树状的。其次，

S/MIME 将信件内容加

 

密签名后作为特殊的附件传送。 保证了信件内容的安全性。