息审计警告等功能

,高级防火墙还可实现基于用户的细粒度的访问控制。 

身份鉴别

——是对网络访问者权限的识别,一般通过三种方式验证主体身份,一是主体了解的

秘密

,如用户名、口令、密钥;二是主体携带的物品,如磁卡、IC 卡、动态口令卡和令牌卡等;三是

主体特征或能力

,如指纹、声音、视网膜、签名等。加密是为了防止网络上的窃听、泄漏、篡改和

破坏

,保证信息传输平安,对网上数据使用加密手段是最为有效的方式。目前加密可以在三个

层次来实现

,即链路层加密、网络层加密和应用层加密。链路加密侧重通信链路而不考虑信源

和信宿

,它对网络高层主体是透明的。网络层加密采用 IPSEC 核心协议,具有加密、认证双重

功能

,是在 IP 层实现的平安标准。通过网络加密可以构造企业内部的虚拟专网(VPN),使企业

在较少投资下得到平安较大的回报

,并保证用户的应用平安。 

平安监测

——采取信息侦听的方式寻找未授权的网络访问尝试和违规行为,包括网络系统的

扫描、预警、阻断、记录、跟踪等

,从而发现系统遭受的攻击伤害。网络扫描监测系统作为对付

电脑黑客最有效的技术手段

,具有实时、自适应、主动识别和响应等特征,广泛用于各行各业。

网络扫描是针对网络设备的平安漏洞进行检测和分析

,包括网络通信服务、路由器、防火墙、

邮件、

WEB 服务器等,从而识别能被入侵者利用非法进入的网络漏洞。网络扫描系统对检测

到的漏洞信息形成具体报告

,包括位置、具体描述和建议的改进方案,使网管能检测和管理平

安风险信息。

 

(2)操作系统 
操作系统是管理计算机资源的核心系统

,负责信息发送、管理设备存储空间和各种系统资源

的调度

,它作为应用系统的软件平台具有通用性和易用性,操作系统平安性直接关系到应用系

统的平安

,操作系统平安分为应用平安和平安漏洞扫描。 

应用平安

——面向应用选择可靠的操作系统,可以杜绝使用来历不明的软件。用户可安装操

作系统保护和恢复软件

,并作相应的备份。 

系统扫描

——基于主机的平安评估系统是对系统的平安风险级别进行划分,并提供完整的平

安漏洞检查列表

,通过不同版本的操作系统进行扫描分析,对扫描漏洞自动修补形成报告,保

护应用程序、数据免受盗用、破坏。

 

(3)应用系统 
办公系统文件

(邮件)的平安存储摘要:利用加密手段,配合相应的身份鉴别和密钥保护机制(IC

卡、

PCMCIA 平安 PC 卡等),使得存储于本机和网络服务器上的个人和单位重要文件处于平

安存储的状态

,使得他人即使通过各种手段非法获取相关文件或存储介质(硬盘等),也无法获

得相关文件的内容。

 

文件

(邮件)的平安传送摘要:对通过网络(远程或近程)传送给他人的文件进行平安处理(加密、

签名、完整性鉴别等

),使得被传送的文件只有指定的收件者通过相应的平安鉴别机制(IC 卡 、

PCMCIA PC 卡)才能解密并阅读,杜绝了文件在传送或到达对方的存储过程中被截获、篡改
等

,主要用于信息网中的报表传送、公文下发等。

业务系统的平安摘要

:主要面向业务管理和信息服务的平安需求。对通用信息服务系统(电子

邮件系统、

WEB 信息服务系统、FTP 服务系统等)采用基于应用开发平安软件,如平安邮件系

统、

WEB 页面保护等;对业务信息可以配合管理系统采取对信息内容的审计稽查,防止外部非

法信息侵入和内部敏感信息泄漏。
(二)数据平安 
数据平安牵涉到数据库的平安和数据本身平安

,针对两者应有相应的平安办法。 

数据库平安

——大中型企业一般采用具有一定平安级别的 SYBASE 或 ORACLE 大型分布

式数据库

,基于数据库的重要性,应在此基础上开发一些平安办法,增加相应控件,对数据库分

级管理并提供可靠的故障恢复机制

,实现数据库的访问、存取、加密控制。具体实现方法有平

安数据库系统、数据库保密系统、数据库扫描系统等。