1704186790
1704186791
(1)数据传输的安全分析。重要数据业务数据泄漏是由于在同级局域网和上下级网络数据传输线路之间存在被窃听的威胁,同时局域网络内部也存在着内部攻击行为,登录通行字和一些敏感信息可能被侵袭者搭线窃取和篡改,造成泄密。如果没有专门的软件或硬件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式的“攻击”是相对比较容易成功的,只要使用现在可以很容易得到的“包检测”软件即可。
1704186792
1704186793
由于目前尚无安全的数据库及个人终端安全保护措施,还不能抵御来自网络上的各种对数据库及个人终端的攻击。同时一旦不法分子针对网上传输数据做出伪造、删除、窃取、窜改等攻击,都将造成十分严重的影响和损失。存储数据对于政府机关来说极为重要,通信线路的质量原因或者人为的恶意篡改,都将导致难以想象的后果,这也是网络犯罪的最大特征。
1704186794
1704186795
(2)数据传输安全技术。
1704186796
1704186797
为保证数据传输的机密性和完整性,建议在专用网络中采用安全VPN系统,统一安装VPN设备,对于移动用户安装VPN客户端软件。
1704186798
1704186799
在广域网传输线路上,可采用国家许可的网络层加密设备,在基于IPSEC国际标准协议基础上,采用VPN技术构建安全保密的虚拟专用网络。通过网络层加密设备之间的加解密机制、身份认证机制、数字签名机制,将集团专用网构造成一个安全封闭的网络,保证财务数据在广域网传输过程中的机密性、真实性和完整性。
1704186800
1704186801
4.系统级安全
1704186802
1704186803
(1)操作系统安全。其包括以下两个方面。
1704186804
1704186805
操作系统安全要求。关键的服务器和工作站(如数据库服务器、WWW服务器、代理服务器、Email服务器、病毒服务器、DHCP主域服务器、备份服务器和网管工作站)建议采用服务器版本的操作系统。典型的有SUN Solaris、HP Unix、Windows NT Server、Windows 2000 Server。网管终端、办公终端可以采用通用图形窗口操作系统,如Windows98、Windows NT Workstation/Server、Windows 2000等。
1704186806
1704186807
操作系统安全管理。操作系统因为设计和版本的问题,存在许多的安全漏洞;同时因为在使用中安全设置不当,也会增加安全漏洞,带来安全隐患。在没有其他更高安全级别的商用操作系统可供选择的情况下,安全关键在于操作系统的安全管理,适时安装安全补丁。为了加强操作系统的安全管理,要从物理安全、登录安全、用户安全、文件系统和打印机安全、注册表安全、RAS安全、数据安全、各应用系统安全等方面制订强化安全的措施。
1704186808
1704186809
(2)数据库安全。目前的商用数据库管理系统主要有Oracle、Sybase等。数据库管理系统应具有自主访问控制(DAC)能力(DAC用来决定用户是否有权访问数据库对象)、验证能力(保证只有授权的合法用户才能注册和访问)、授权(对不同的用户访问数据库授予不同的权限)、审计(监视各用户对数据库施加的动作)、数据库管理系统应能够提供与安全相关事件的审计能力(试图改变访问控制许可权、试图创建、拷贝、清除或执行数据库)、系统应提供在数据库级和纪录级标识数据库信息的能力等。
1704186810
1704186811
(3)网络设备安全。
1704186812
1704186813
在漏洞扫描与风险评估的基础上对网络设备进行安全性增强配置,下面以CISCO路由器的几个安全增强配置为例说明网络设备的安全性也是不容忽视的。
1704186814
1704186815
AAA方式配置:配置AAA方式来增加用户访问安全性。
1704186816
1704186817
路由命令审计配置:配置AAA命令记账来增强系统访问安全性。
1704186818
1704186819
5.应用级安全
1704186820
1704186821
(1)用户权限分级。
1704186822
1704186823
在编制应用系统程序时采取用户权限分级限制,设置相应的密码,采用分级密码管理。系统可以根据用户的账号,确定其进入应用系统的级别。为防止越权访问网络共享文件,提供了用户名/口令、信息用户权限、目录最大权限和文件属性等多级完善的保密措施。
1704186824
1704186825
(2)应用软件系统安全。
1704186826
1704186827
应用系统中采用模块授权和组织授权分离的模式。模块授权代表了用户可以使用的功能。组织授权代表了用户可以操作的数据范围。数据范围是指某一单位下的数据。
1704186828
1704186829
用户若想对某一单位的管理数据进行查询或其他操作,必须同时被授予相应的模块操作权和该单位的数据访问权。比如,若想查询某公司的销售数据,则用户必须被授予销售模块查询权,同时,还需被授予该公司的数据访问权。只要其中一个权限没有授予,就不能达到目标。这种权限管理的方式,从广度和深度两方面提供了应用系统的安全保障。
1704186830
1704186831
(3)Internet服务安全。
1704186832
1704186833
域名系统的安全策略:结合防火墙系统,采用分散的DNS服务器策略,建立防火墙DNS服务器和内部DNS服务器,屏蔽内部域名信息;配置内部DNS服务器为根名字服务器,删除所有引用外部DNS服务器的记录;防火墙DNS服务器设置访问控制列表保护,增加防火墙DNS服务器的Forwards选项,指定其他公开的DNS服务器来为外部域请求寻址;使用转发和伪记录隐藏所有内部DNS服务器数据。
1704186834
1704186835
WWW服务的安全策略:根据WEB服务器的资源等级,合理配置WEB服务器的访问权限,关键信息仅仅对指定用户开放;严格控制启用HTTP协议的远程请求通信和远程执行命令,防止随意的远程请求验证消耗系统资源;限制CGI程序的权限,禁止使用Suid运行CGI程序;防止用户使用PATH环境变量改变访问路径;仔细检查WEB服务器所用的Applet、Script和CGI程序,防止外部用户触发WEB服务器内部命令的运行。
1704186836
1704186837
邮件服务的安全策略:邮件服务器设置在网络防火墙后,防止外部用户直接访问邮件服务器资源;拒绝接收无邮件发送者明确地址的邮件和目标地址不符的邮件;对接收的邮件进行实时计算机病毒检测,发现带有计算机病毒的邮件进行清除,无法清除的则进行隔离;控制发出邮件的目标地址;对所有进出的邮件进行审计分析,防止关键信息的泄密。
1704186838
1704186839
(4)CA认证。
[
上一页 ]
[ :1.70418679e+09 ]
[
下一页 ]