我们做的不只是安全技术,我们做的更是服务!
当前位置: 首页 > 安全服务 > 业务范围 >
推荐文章

联系我们

0411-39938411

0411-39938412

1322537151

27099014

979285992

admin@qianfengkeji.com

业务范围

安全技术支撑平台

时间:2011-03-26 11:43
来源:前锋科技
作者:admin
需要服务请联系客服!QQ:1322537151,Tel:0411-39938411
内容介绍

    解决了网络中的信任问题,我们就可以在这样一个可信任的环境下利用现有的安全产品和技术无偏差地实施既定的安全策略,包括:访问控制、通讯加密、防病毒、日志与审计、漏洞扫描、入侵检测、物理安全等。这些策略的执行为整个网络构筑起了一个真实的安全环境抵御网络攻击,防止信息泄密,预防信息破坏,控制用户访问范围和权限。安全技术支撑平台就是指利用各类安全产品和技术建立的这样一个执行安全策略的环境。   

   基于这些安全技术,我们在网络安全技术支撑平台上应该实现的基本安全策略包括:

l 基于安全岛实现网络内网与对外服务网、专网间安全的数据交换。网络应用中势必要内网、专网和外网间的信息交换,然而基于内网数据保密性的考虑,我们不希望内网暴露在对外环境中遭到攻击,这种矛盾需要采用安全岛的策略来解决。安全岛是网络中为安全数据交换而设计的。

l 隔离网闸是网络安全岛中采用的一种核心产品。它和其他安全设备组合,就可构成实现安全数据交换的信息安全岛     

l 网络域访问控制。网络系统无论对系统内部设备还是对远程接入设备都需要控制其对网络的访问权限,限定其在合理的范围内使用网络。在网络边界利用防火墙的包过滤或代理技术,在网络内部采用 VLAN 技术,合理地划分网络范围并制定过滤策略,我们就能比较有效地实现网络域的访问控制。  

l 内部网的 INTERNET 访问策略。网络内网原则上必须与公众网络( INTERNET )物理隔离,但内网中用户在办公过程中也有访问 INTERNET 的需求,解决的方法是采用物理隔离卡将单一网络划分成物理隔离的双网,这样在保证内部网网络安全的同时,又使内网用户具有了方便的 INTERNET 访问能力   

l 身份识别 / 认证。利用安全基础平台提供的可信身份服务和安全 API 接口,我们可以对网络中每一项应用如数据库访问、网页访问、文件转发等建立起安全统一的身份识别 / 认证。同时,针对应用的不同特点和等级要求,在 CA 认证的基础上,我们还可以附加其它具有互补性的认证机制作为补充。如外网上的政府电子办事窗口就可以使用相较 CA 来说认证更快捷,注册使用更方便,管理简易的硬件身份认证系统。  

l 通讯加密。网络中重要数据在网上转发过程中都应加密传输,在网络内部利用安全基础平台提供的数字证书和安全 API 接口或 IPSEC 技术,能够实现机密数据的安全通讯。在网络的边界, VPN 或硬件加密机等同样能为通讯提供可靠的数据加密服务。    

l 防病毒。网络系统的防病毒软件应具备以下几个安全要素:一是该软件应基于网络环境设计,能监控到网络的各个角落;二是应具有自主同步升级能力;三是兼容性强,网络环境中可能包含各类操作系统,防病毒软件应对它们提供全面的支持。  

l 系统漏洞防护。系统漏洞由两方面原因产生:一是产品本身的设计漏洞;二是配置不当造成的漏洞。因此,首先在网络系统中,尤其是核心的数据库系统应该采用安全性较高、代码开放的操作系统;其次,应采用系统加固软件加固系统的安全性;第三是采用漏洞扫描工具发现问题,并修改系统配置,将系统服务减少到最低限度。

l 网页保护。对政府网站的网页防篡改涉及到政府形象的问题。网页保护目前有很多这样的产品,它通过系统进程实时监测保护方法防止未授权用户篡改网页。下图是根据以上安全策略设计出的安全支撑平台的组成结构图:

                                                     图2:网络安全支撑平台

响应与恢复机制:

网络系统中保存这大量的信息,必须建立一套响应与恢复机制确保出现自然灾害、系统崩溃、网络攻击或硬件故障情况时能得以恢复。

根据网络系统的特点,恢复系统应该具备以下条件:   

l 支持大容量存储   

l 支持异地备份与恢复   

l 跨平台的备份能力   

l 支持多种存储介质和备份模式   

l 支持自动恢复机制   

热点内容
关于我们 招贤纳士 联系我们 网站地图 设为首页 加入收藏      Copyright © 2011 前锋科技 版权所有