1涉密網(wǎng)絡(luò)安全管理的主要解決問(wèn)題

　　隨著涉密網(wǎng)絡(luò)技術(shù)的應(yīng)用和人們安全防范意識(shí)的增強(qiáng)。各種內(nèi)外網(wǎng)安全管理的技術(shù)也隨之增多。一時(shí)間，加強(qiáng)個(gè)人桌面管理及安全的身份識(shí)別，個(gè)人行為規(guī)范的終端管理軟件，涉密文件的保護(hù)加密軟件，為了保護(hù)計(jì)算機(jī)系統(tǒng)而開(kāi)發(fā)的防病毒軟件等，已經(jīng)逐步被人們認(rèn)識(shí)和接受。但是，這各種應(yīng)用軟件都需要在個(gè)人的系統(tǒng)中安裝一個(gè)管理程序，都有一套自己獨(dú)立的工作方式和策略，都需要進(jìn)行不同的分別化管理。這些系統(tǒng)獨(dú)立性明顯，各自的管理功能往往不夠全面，以點(diǎn)帶面的情況嚴(yán)重。在實(shí)際的應(yīng)用中會(huì)產(chǎn)生負(fù)效應(yīng)，比如：不同的軟件之間的功能重疊。不同的軟件都需要消耗額外的系統(tǒng)資源，導(dǎo)致沖突，引發(fā)系統(tǒng)穩(wěn)定性下降；安全系統(tǒng)各自獨(dú)立，沒(méi)有統(tǒng)一的管理方式，出現(xiàn)安全事件的時(shí)候不具備聯(lián)合“作戰(zhàn)”的能力。

　　因此，表面看涉密網(wǎng)絡(luò)的安全管理軟件是實(shí)現(xiàn)了一定的防護(hù)功能，但是其增加的管理復(fù)雜性，又很難保證整體安全性的完整和統(tǒng)一。按照動(dòng)態(tài)安全模式，一個(gè)安全系統(tǒng)的信息處理系統(tǒng)應(yīng)具備：檢測(cè)、保護(hù)，效應(yīng)這三個(gè)基本環(huán)節(jié)，以此保證系統(tǒng)的獨(dú)立工作的安全性�？傊�現(xiàn)代的涉密網(wǎng)絡(luò)安全管理技術(shù)缺乏一個(gè)整體性的平臺(tái)，將各種保護(hù)軟件進(jìn)行必要的整合和優(yōu)化，形成完整的保護(hù)及信息處理體系。

　　2涉密網(wǎng)絡(luò)安全管理涉及的安全事件描述

　　涉密網(wǎng)絡(luò)安全管理，主要的管理對(duì)象就是在網(wǎng)絡(luò)中威脅涉密網(wǎng)絡(luò)信息安全的用戶所采取的“非法”獲取數(shù)據(jù)的行為。這些“非法”主要是指利用技術(shù)手段違反安全規(guī)則，并以此獲得涉密信息。因此要進(jìn)行安全管理就應(yīng)當(dāng)將不安全的用戶行為進(jìn)行分類并進(jìn)行相應(yīng)的措施進(jìn)行管理才能達(dá)到保證安全的目的。

　　首先網(wǎng)絡(luò)安全涉及的概念有這樣幾個(gè)：(1)涉密網(wǎng)絡(luò)，即存在有機(jī)密數(shù)據(jù)傳輸?shù)膬?nèi)部網(wǎng)絡(luò)。(2)網(wǎng)絡(luò)行為，即用戶通過(guò)網(wǎng)絡(luò)的技術(shù)支持所實(shí)現(xiàn)的各種操作。(3)安全事件，即違反了某個(gè)個(gè)網(wǎng)絡(luò)安全規(guī)則，對(duì)網(wǎng)絡(luò)機(jī)密數(shù)據(jù)產(chǎn)生威脅的網(wǎng)絡(luò)事件，其中包括用戶、行為、時(shí)間這三個(gè)必備的屬性。4)安全行為，即針對(duì)產(chǎn)生網(wǎng)絡(luò)威脅安全事件的管理行為。包括的是時(shí)間，對(duì)象，動(dòng)作這三個(gè)基本屬性。

　　通過(guò)對(duì)網(wǎng)絡(luò)安全事件的記錄和統(tǒng)計(jì)，可以發(fā)現(xiàn)違反網(wǎng)絡(luò)安全規(guī)則的行為可以是訪問(wèn)敏感信息，竊聽(tīng)、誤用、機(jī)密文件傳輸?shù)�。這些行為可以是主動(dòng)的也可以足被動(dòng)的，而其具體的行為就是竊聽(tīng)、傳輸、訪問(wèn)。具體看安全事件的行為有這樣幾個(gè)實(shí)例：(1)主動(dòng)的訪問(wèn)敏感的信息，包括HTTP、BBS、聊天軟件等。(2)誤用的網(wǎng)絡(luò)行為，包括誤用物理鏈接。將內(nèi)外網(wǎng)絡(luò)連通，木馬病毒感染，導(dǎo)致內(nèi)外信息被盜。(3)網(wǎng)絡(luò)竊聽(tīng)，主要就是sniff行為。(4)機(jī)密文件的傳輸，涉密網(wǎng)絡(luò)中的機(jī)密文件被非法的進(jìn)行傳輸，包括郵件，聊天軟件、ftp文件等。

　　3涉密網(wǎng)絡(luò)的安全管理系統(tǒng)構(gòu)建

　　3.1安全管理硬件結(jié)構(gòu)

　　針對(duì)不同的網(wǎng)絡(luò)安全事件，涉密信息網(wǎng)絡(luò)的安全管理應(yīng)當(dāng)從幾個(gè)層面進(jìn)行全面的安全防護(hù)體系的構(gòu)建。其涉及的網(wǎng)絡(luò)系統(tǒng)包括，服務(wù)器、信息服務(wù)系統(tǒng)、數(shù)據(jù)庫(kù)服務(wù)系統(tǒng)，網(wǎng)絡(luò)存儲(chǔ)器等。

　　首先，應(yīng)當(dāng)明確應(yīng)用服務(wù)器是內(nèi)網(wǎng)絡(luò)實(shí)現(xiàn)連接和數(shù)據(jù)傳輸?shù)闹匾�通道。信息服�?wù)器、網(wǎng)絡(luò)存儲(chǔ)、數(shù)據(jù)服務(wù)器與應(yīng)用服務(wù)器相互聯(lián)系實(shí)現(xiàn)涉密信息的封閉式傳輸。這里的應(yīng)用服務(wù)器采用的服務(wù)運(yùn)算模式，主要是遠(yuǎn)程接入技術(shù)和軟件操作系統(tǒng)組成的策略技術(shù)為主導(dǎo)，專門負(fù)責(zé)基于網(wǎng)絡(luò)封閉計(jì)算的應(yīng)用交互，是具備獨(dú)立計(jì)算模式應(yīng)用的服務(wù)器，也是整個(gè)專網(wǎng)涉密信息安全傳輸?shù)幕�礎(chǔ)。信息服務(wù)器和網(wǎng)絡(luò)存儲(chǔ)、數(shù)據(jù)庫(kù)服務(wù)器都是通過(guò)這個(gè)服務(wù)器所建立起來(lái)的通道進(jìn)行涉密信息的傳遞，在一個(gè)封閉內(nèi)網(wǎng)環(huán)境中接受指定用戶對(duì)涉密信息的應(yīng)用請(qǐng)求，分別提供相應(yīng)的瀏覽、存儲(chǔ)、交互等服務(wù)。同時(shí)也識(shí)別和拒絕某些非法的安全事件的發(fā)生，并利用自身的軟件系統(tǒng)來(lái)抵御主動(dòng)的安全事件的訪問(wèn)。

　　3.2安全管理的軟件系統(tǒng)構(gòu)建

　　(1)操作系統(tǒng)和應(yīng)用軟件。這些軟件是最基本的網(wǎng)絡(luò)訪問(wèn)接入軟件，而網(wǎng)絡(luò)訪問(wèn)應(yīng)用接入軟件可以對(duì)操作系統(tǒng)進(jìn)行深入的訪問(wèn)。為此，安全化管理從操作系統(tǒng)的基本運(yùn)行機(jī)制入手將應(yīng)用邏輯和操作界面分開(kāi)，以實(shí)現(xiàn)整個(gè)內(nèi)部網(wǎng)絡(luò)的封閉和安全。

　　(2)應(yīng)用程序的完善，應(yīng)用程序主要是在操作系統(tǒng)的基礎(chǔ)上形成的具有特定功能的用于程序，實(shí)際上在內(nèi)部網(wǎng)絡(luò)是遠(yuǎn)程接入軟件實(shí)現(xiàn)功能的對(duì)象，即遠(yuǎn)程接入軟件實(shí)現(xiàn)連接后，就會(huì)使用這些應(yīng)用程序完成某項(xiàng)操作，而達(dá)到訪問(wèn)的目的。

　　(3)是最高級(jí)別的安全管理組件的應(yīng)用，有：基本安全管理組件；傳輸監(jiān)測(cè)組件，主要包括網(wǎng)絡(luò)數(shù)據(jù)捕獲、協(xié)議數(shù)據(jù)還原、敏感信息過(guò)濾及結(jié)果處理等四個(gè)子模塊；竊聽(tīng)檢測(cè)組件，竊聽(tīng)監(jiān)測(cè)安全組件主要包括共享式網(wǎng)絡(luò)Sniff行為。

　　3.3安全管理的具體措施

　　(1)客戶端卸載限制，客戶端經(jīng)控制臺(tái)授權(quán)安裝，未經(jīng)授權(quán)用戶將無(wú)法卸載，即卸載程序的存放和發(fā)起均在控制端，且客戶端的權(quán)限為使用權(quán)。(2)網(wǎng)絡(luò)連接限制，即客戶端通過(guò)控制臺(tái)分配的IP地址訪問(wèn)內(nèi)網(wǎng)，且1P地址與客戶端對(duì)應(yīng)計(jì)算機(jī)的MAC地址綁定，做到一個(gè)IP地址對(duì)應(yīng)一個(gè)MAC地址，從而將計(jì)算機(jī)進(jìn)行戶籍管理，客戶端每次訪問(wèn)內(nèi)網(wǎng)時(shí)均自動(dòng)與控制臺(tái)存儲(chǔ)的該計(jì)算機(jī)信息進(jìn)行核對(duì)，既防止了非授權(quán)計(jì)算機(jī)接入內(nèi)網(wǎng)，又能夠在違規(guī)事件發(fā)生的第一時(shí)間鎖定違規(guī)計(jì)算機(jī)，控制或限制其行為。(3)登陸限制，可以采用KEY登陸方式，可以是USB KEY，也可以是密碼KEY，也可以將二者綁定，結(jié)合使用。設(shè)置密碼復(fù)雜度策略和控制密碼輸入次數(shù)策略，對(duì)登陸進(jìn)行限制。(4)移動(dòng)存儲(chǔ)器限制，移動(dòng)存儲(chǔ)器在使用時(shí)應(yīng)當(dāng)在控制臺(tái)上進(jìn)行注冊(cè)，并設(shè)計(jì)其經(jīng)過(guò)控制臺(tái)的驗(yàn)證方可使用。對(duì)沒(méi)有注冊(cè)的移動(dòng)存儲(chǔ)器不予以驗(yàn)證而無(wú)法使用。同時(shí)應(yīng)保證沒(méi)有客戶端的計(jì)算機(jī)不能對(duì)其進(jìn)行驗(yàn)證，以此避免客戶利益非客戶端網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)的轉(zhuǎn)移和下載，保證涉密信息的安全。(5)客戶端的硬件限制，客戶端用戶在計(jì)算機(jī)上安裝的硬件設(shè)備可能存在失密隱患，諸如光驅(qū)，帶藍(lán)牙，紅外等無(wú)線收發(fā)數(shù)據(jù)的模塊�？梢酝ㄟ^(guò)在控制臺(tái)配置策略將光驅(qū)、藍(lán)牙，紅外等接口關(guān)閉，策略下發(fā)到客戶端后即可控制相應(yīng)端口的使用。以此保證非安全的硬件接入到涉密網(wǎng)絡(luò)中。

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：對(duì)涉密網(wǎng)絡(luò)安全管理技術(shù)的研究

本文網(wǎng)址：http://www.oesoe.com/html/support/11121510986.html