方案設計

為(wèi)達到有(yǒu)效保護企業信息資源安(ān)全應用(yòng)的目的，信息安(ān)全方案要堅持最小(xiǎo)化原則，即僅使用(yòng)需要的系統服務(wù)，并必須能(néng)夠實現P2DR2安(ān)全架構的功能(néng)需求，即：Policy（安(ān)全策略）、Protection（防護）、Detection（檢測），Response（響應）和Recovery（恢複）五個方面的安(ān)全需求。在這裏将從以下幾個方面進行說明。

2．1　網絡安(ān)全因素

影響網絡安(ān)全的方面有(yǒu)物(wù)理(lǐ)安(ān)全、網絡隔離技(jì )術、加密與認證、網絡安(ān)全、網絡反病毒、網絡入侵檢測和最小(xiǎo)化原則等多(duō)種因素，它們是設計信息安(ān)全方案所必須考慮的，是制定信息安(ān)全方案的策略和技(jì )術實現的基礎。

2．1．1　物(wù)理(lǐ)安(ān)全

物(wù)理(lǐ)安(ān)全的目的是保護路由器、交換機、工(gōng)作(zuò)站、網絡服務(wù)器、打印機等硬件實體(tǐ)和通信鏈路免受自然災害、人為(wèi)破壞和搭線(xiàn)竊聽攻擊。驗證用(yòng)戶的身份和權限，防止越權操作(zuò)；确保網絡設備有(yǒu)一個良好的電(diàn)磁兼容環境，建立完備的機房安(ān)全管理(lǐ)制度，妥善保管備份磁帶和文(wén)檔資料；防止非法人員進入機房進行偷竊和破壞活動等。此外，抑制和防止電(diàn)磁洩漏也是物(wù)理(lǐ)安(ān)全的主要問題，往往采用(yòng)屏蔽措施和僞噪聲技(jì )術來解決。

2．1．2　網絡隔離技(jì )術

根據功能(néng)、保密水平、安(ān)全水平等要求的差異将網絡進行分(fēn)段隔離，對整個網絡的安(ān)全性有(yǒu)很(hěn)多(duō)好處。可(kě)以實現更為(wèi)細化的安(ān)全控制體(tǐ)系，将攻擊和入侵造成的威脅分(fēn)别限制在較小(xiǎo)的子網内，提高網絡的整體(tǐ)安(ān)全水平。路由器、虛拟局域網VLAN、防火牆是當前主要的網絡分(fēn)段手段。

2．1．3　加密與認證

信息加密的目的是保護網内的數據、文(wén)件、密碼和控制信息，保護網絡會話的完整性。按照收發雙方的密鑰是否相同來分(fēn)類，可(kě)以将加密算法分(fēn)為(wèi)對稱（私鑰）密碼算法和不對稱（公(gōng)鑰）密碼算法。在對稱密碼中(zhōng)，加密和解密使用(yòng)相同的密鑰，比較常見的密碼算法有(yǒu)：DES、3DES、IDEA、RC4、RC5等，對稱密碼的特點是有(yǒu)很(hěn)強的保密強度且運算速度快，但其必需通過安(ān)全的途徑傳送，因此密鑰管理(lǐ)至關重要。在不對稱密碼中(zhōng)，加密和解密使用(yòng)的密鑰互不相同，而且幾乎不可(kě)能(néng)從加密密鑰推導出解密密鑰。比較常見的密碼算法有(yǒu)：RSA、Diffe－Hellman等，公(gōng)鑰密碼的優點是可(kě)以适應網絡的開放性要求，且方便密鑰管理(lǐ)，尤其可(kě)實現方便的數字簽名(míng)和驗證，但其算法複雜，加密數據速率較低。