方案設(shè)計

為達到有效保護企業(yè)信息資源安全應用的目的，信息安全方案要堅持最小化原則，即僅使用需要的系統(tǒng)服務，并必須能夠?qū)崿F(xiàn)P2DR2安全架構(gòu)的功能需求，即：Policy（安全策略）、Protection（防護）、Detection（檢測），Response（響應）和Recovery（恢復）五個方面的安全需求。在這里將從以下幾個方面進行說明。

2．1　網(wǎng)絡(luò)安全因素

影響網(wǎng)絡(luò)安全的方面有物理安全、網(wǎng)絡(luò)隔離技術(shù)、加密與認證、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)反病毒、網(wǎng)絡(luò)入侵檢測和最小化原則等多種因素，它們是設(shè)計信息安全方案所必須考慮的，是制定信息安全方案的策略和技術(shù)實現(xiàn)的基礎(chǔ)。

2．1．1　物理安全

物理安全的目的是保護路由器、交換機、工作站、網(wǎng)絡(luò)服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線竊聽攻擊。驗證用戶的身份和權(quán)限，防止越權(quán)操作；確保網(wǎng)絡(luò)設(shè)備有一個良好的電磁兼容環(huán)境，建立完備的機房安全管理制度，妥善保管備份磁帶和文檔資料；防止非法人員進入機房進行偷竊和破壞活動等。此外，抑制和防止電磁泄漏也是物理安全的主要問題，往往采用屏蔽措施和偽噪聲技術(shù)來解決。

2．1．2　網(wǎng)絡(luò)隔離技術(shù)

根據(jù)功能、保密水平、安全水平等要求的差異將網(wǎng)絡(luò)進行分段隔離，對整個網(wǎng)絡(luò)的安全性有很多好處?？梢詫崿F(xiàn)更為細化的安全控制體系，將攻擊和入侵造成的威脅分別限制在較小的子網(wǎng)內(nèi)，提高網(wǎng)絡(luò)的整體安全水平。路由器、虛擬局域網(wǎng)VLAN、防火墻是當前主要的網(wǎng)絡(luò)分段手段。

2．1．3　加密與認證

信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、密碼和控制信息，保護網(wǎng)絡(luò)會話的完整性。按照收發(fā)雙方的密鑰是否相同來分類，可以將加密算法分為對稱（私鑰）密碼算法和不對稱（公鑰）密碼算法。在對稱密碼中，加密和解密使用相同的密鑰，比較常見的密碼算法有：DES、3DES、IDEA、RC4、RC5等，對稱密碼的特點是有很強的保密強度且運算速度快，但其必需通過安全的途徑傳送，因此密鑰管理至關(guān)重要。在不對稱密碼中，加密和解密使用的密鑰互不相同，而且?guī)缀醪豢赡軓募用苊荑€推導出解密密鑰。比較常見的密碼算法有：RSA、Diffe－Hellman等，公鑰密碼的優(yōu)點是可以適應網(wǎng)絡(luò)的開放性要求，且方便密鑰管理，尤其可實現(xiàn)方便的數(shù)字簽名和驗證，但其算法復雜，加密數(shù)據(jù)速率較低。