通过对网络的全面了解，按照安全策略的要求及风险分析的结果，整个网络措施应按系统体系建立。 具体的安全控制系统由以下几个方面组成：物理安全、网络安全、信息安全。

    保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。物理安全是保护计算机网络设备、设施以及其

它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致的破坏过程。主要包括三个方面

    环境安全：对系统所在环境的安全保护，如区域保护和灾难保护（参见国家标准GB50173－93《电子计算机机房设计规范》

国标GB2887－89《计算站场地技术条件》、GB9361－88《计算站场地安全要求》）

    ☆设备安全：主要包括设备的防盗、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等；

    ☆ 媒体安全：包括媒体数据的安全及媒体本身的安全。

    显然，为保证信息网络系统的物理安全，除在网络规划和场地、环境等要求之外，还要防止系统信息在空间的扩散。计算机

系统通过电磁辐射使信息被截获而失秘的案例已经很多，在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千

米的复原显示给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散，通常是在物理上探取一

定的防护措施，来减少或干扰扩散出去的空间信号。这对重要的政策、军队、金融机构在兴建信息中心时，都将成为首要设置的

条件。
正常的防范措施主要在三个方面：

☆对主机房及重要信息存储、收发部门进行屏蔽处理：即建设一个具有高效屏蔽效能的屏蔽室，用它来安装运行主要设备以防止

磁鼓，磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能，在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计，如信号线、电话线、空调、消防控制线，以及通风波导，门的关起等。

☆对本地网、局域网传输线路传导辐射的抑制，由于电缆传输辐射信息的不可避免性，现均采用了光缆传输的方式，大多数均在

Modem出来的设备用光电转换接口，用光缆接出屏蔽室外进行传输。

☆对终端设备辐射的防范 终端机尤其是CRT显示器,由于上万伏高压电子流的作用，辐射有极强的信号外泄，但又因终端分散使

用不宜集中采用屏蔽室的办法来防止，故现在的要求除在订购设备上尽量选取低辐射产品外，目前主要采取主动式的干扰设备如

干扰机来破坏对应信息的窃复，个别重要的首脑或集中的终端也可考虑采用有窗子的装饰性屏蔽室，此类虽降低了部份屏蔽效能

但可大大改善工作环境，使人感到在普通机房内一样工作。

1. 内外网隔离及访问控制系统
    在内部网与外部网之间，设置防火墙（包括分组过滤与应用代理）实现内外网的隔离 与访问控制是保护内部网安全的最主

要、同时也是最有效、最经济的措施之一。防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲有二大

类较为常用：分组过滤、应用代理。

☆分组过滤（Packet filtering）：用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定

是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。

☆应用代理（Application Proxy）：也叫应用网关（Application Gateway），它作用在应用层，特点是完全“阻隔”了网络

通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作

站实现。

    无论何种类型防火墙，从总体上看，都应具有以下五大基本功能：过滤进、出网络的数据；管理进、出网络的访问行为；封

堵某些禁止的业务；记录通过防火墙的信息内容和活动；对网络攻击的检测和告警。应该强调的是，防火墙是整体安全防护体系

的一个重要组成部分，而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中，才能实现真正的安全。
2. 内部网不同网络安全域的隔离及访问控制

    在这里，防火墙被用来隔离内部网络的一个网段与另一个网段。这样，就能防止影响一个网段的问题穿过整个网络传播。针

对某些网络，在某些情况下，它的一些局域网的某个网段比另一个网段更受信任，或者某个网段比另一个更敏感。而在它们之间

设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

3. 网络安全检测
    网络安全性分析系统 网络系统的安全性取决于网络系统中最薄弱的环节。如何及时发现网络系统中最薄弱的环节？如何最

大限度地保证网络系统的安全？最有效的方法是定期对网络系统进行安全性分析，及时发现并修正存在的弱点和漏洞。网络安全

检测工具通常是一个网络安全性评估分析软件，其功能是用实践性的方法扫描分析网络系统，检查报告系统存在的弱点和漏洞，

建议补求措施和安全策略，达到增强网络安全性的目的。

4. 审计与监控

    审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全性的重要工具。它不仅能够识别谁访问了系统，还

能指出系统正被怎样地使用。对于确定是否有网络攻击的情况，审计信息对于确定问题和攻击源很重要。同时，系统事件的记录

能够更迅速和系统地识别问题，并且它是后面阶段事故处理的重要依据。另外，通过对安全事件的不断收集与积累并且加以分析

有选择性地对其中的某些站点或用户进行审计跟踪，以便对发现或可能产生的破坏性行为提供有力的证据。因此，除使用一般的

网管软件和系统监控管理系统外，还应使用目前以较为成熟的网络监控设备或实时入侵检测设备，以便对进出各级局域网的常见

操作进行实时检查、监控、报警和阻断，从而防止针对网络的攻击与犯罪行为。

5. 网络反病毒
    由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力，一次计算机病毒的防范是网络安全性建设中重要的一环。网

络反病毒技术包括预防病毒、检测病毒和消毒三种技术：
    ☆预防病毒技术：它通过自身常驻系统内存，优先获得系统的控制权，监视和判断系统中是否有病毒存在，进而阻止计算机

      病毒进入计算机系统和对系统进行破坏。这类技术有，加密可执行程序、引导区保护、系统监控与读写控制（如防病毒卡

      等）。
    ☆检测病毒技术：它是通过对计算机病毒的特征来进行判断的技术，如自身校验、关键字、文件长度的变化等。

    ☆分析病毒技术：它通过对计算机病毒的分析，开发出具有删除病毒程序并恢复原文件的软件。
    网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测；在工作站上用防病毒芯片和对网络目录

及文件设置访问权限等。
6. 网络备份系统
    备份系统为一个目的而存在：尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份

机制有：场地内高速度、大容量自动的数据存储、备份与恢复；场地外的数据存储、备份与恢复；对系统设备的备份。备份不仅

在网络系统硬件故障或人为失误时起到保护作用，也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用，同时

亦是系统灾难恢复的前提之一。
    一般的数据备份操作有三种。一是全盘备份，即将所有文件写入备份介质；二是增量备份，只备份那些上次备份之后更改过

的文件，是最有效的备份方法；三是差分备份，备份上次全盘备份之后更改过的所有文件，其优点是只需两组磁带就可恢复最后

一次全盘备份的磁带和最后一次差分备份的磁带。 
    在确定备份的指导思想和备份方案之后，就要选择安全的存储媒介和技术进行数据备份，有“冷备份”和“热备份”两种。

热备份是指“在线”的备份，即下载备份的数据还在整个计算机系统和网络中，只不过传到令一个非工作的分区或是另一个非实

时处理的业务系统中存放。“冷备份”是指“不在线”的备份，下载的备份存放到安全的存储媒介中，而这种存储媒介与正在运

行的整个计算机系统和网络没有直接联系，在系统恢复时重新安装，有一部分原始的数据长期保存并作为查询使用。热备份的优

点是投资大，但调用快，使用方便，在系统恢复中需要反复调试时更显优势。热备份的具体做法是：可以在主机系统开辟一块非

工作运行空间，专门存放备份数据，即分区备份；另一种方法是，将数据备份到另一个子系统中，通过主机系统与子系统之间的

传输，同样具有速度快和调用方便的特点，但投资比较昂贵。冷备份弥补了热备份的一些不足，二者优势互补，相辅相成，因为

冷备份在回避风险中还具有便于保管的特殊优点。
    在进行备份的过程中，常使用备份软件，它一般应具有以下功能。保证备份数据的完整性，并具有对备份介质的管理能力；

支持多种备份方式，可以定时自动备份，还可设置备份自动启动和停止日期；支持多种校验手段（如字节校验、CRC循环冗余校

验、快速磁带扫描），以保证备份的正确性；提供联机数据备份功能；支持RAID容错技术和图像备份功能。

主要涉及到信息传输的安全、信息存储的安

全以及对网络传输信息内容的审计三方面。

1鉴别：

鉴别是对网络中的主体进行验证的过程，通常有三种方法验证主体身份。一是只有该主体了解的秘密，如口令、密钥；二是主体

携带的物品，如智能卡和令牌卡；三是只有该主体具有的独一无二的特征或能力，如指纹、声音、视网膜或签字等。
☆口令机制：口令是相互约定的代码，假设只有用户和系统知道。口令有时由用户选择，有时由系统分配。通常情况下，用户先

输入某种标志信息，比如用户名和ID号，然后系统询问用户口令，若口令与用户文件中的相匹配，用户即可进入访问。口令有多

种，如一次性口令，系统生成一次性口令的清单，第一次时必须使用X，第二次时必须使用Y，第三次时用Z,这样一直下去；还有

基于时间的口令，即访问使用的正确口令随时间变化，变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变，使其更

加难以猜测。
☆智能卡：访问不但需要口令，也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用

卡，一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数（ID）和其它数据的加密形式。ID保证

卡的真实性，持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份识别码（PIN）同时使用。若仅有卡而不知

PIN码，则不能进入系统。智能卡比传统的口令方法进行鉴别更好，但其携带不方便，且开户费用较高。
☆主体特征鉴别：利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括：视网膜扫描仪、声音验证设备、手型

识别器。

2 数据传输安全系统：

      数据传输加密技术 目的是对传输中的数据流加密，以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信

层次来区分，加密可以在通信的三个不同层次来实现，即链路加密（位于OSI网络层以下的加密），节点加密，端到端加密（传

输前对文件加密，位于OSI网络层以上的加密）。

    一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿，是对保密信息通过各

链路采用不同的加密密钥提供安全保护。链路加密是面向节点的，对于网络高层主体是透明的，它对高层的协议信息（地址、检

错、帧头帧尾）都加密，因此数据在传输中是密文的，但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动

加密，并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网，当这些信息一旦到达目的地，将自动重组、

解密，成为可读数据。端到端加密是面向网络高层主体的，它不对下层协议进行信息加密，协议信息以明文形式传输，用户数据

在中央节点不需解密。
    数据完整性鉴别技术:目前，对于动态传输的信息，许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法，

但黑客的攻击可以改变信息包内部的内容，所以应采取有效的措施来进行完整性控制。
☆报文鉴别：与数据链路层的CRC控制类似，将报文名字段（或域）使用一定的操作组成一个约束值,称为该报文的完整性检测向

量ICV（Integrated Check Vector）。然后将它与数据封装在一起进行加密，传输过程中由于侵入者不能对报文解密，所以也

就不能同时修改数据并计算新的ICV，这样，接收方收到数据后解密并计算ICV，若与明文中的ICV不同，则认为此报文无效。
☆校验和：一个最简单易行的完整性控制方法是使用校验和，计算出该文件的校验和值并与上次计算出的值比较。若相等，说明

文件没有改变；若不等，则说明文件可能被未察觉的行为改变了。校验和方式可以查错，但不能保护数据。
☆加密校验和：将文件分成小快，对每一块计算CRC校验值，然后再将这些CRC值加起来作为校验和。只要运用恰当的算法，这种

完整性控制机制几乎无法攻破。但这种机制运算量大，并且昂贵，只适用于那些完整性要求保护极高的情况。
☆消息完整性编码MIC（Message Integrity Code）:使用简单单向散列函数计算消息的摘要，连同信息发送给接收方，接收方

重新计算摘要，并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的

输出。因此，一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。
☆防抵赖技术：它包括对源和目的地双方的证明，常用方法是数字签名，数字签名采用一定的数据交换协议，使得通信双方能够

满足两个条件：接收方能够鉴别发送方所宣称的身份，发送方以后不能否认他发送过数据这一事实。比如，通信的双方采用公钥

体制，发方使用收方的公钥和自己的私钥加密的信息，只有收方凭借自己的私钥和发方的公钥解密之后才能读懂，而对于收方的

回执也是同样道理。另外实现防抵赖的途径还有：采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳

相结合等。
    鉴于为保障数据传输的安全，需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配

置、便于管理、使用方便，有必要选取集成的安全保密技术措施及设备。这种设备应能够为大型网络系统的主机或重点服务器提

供加密服务，为应用系统提供安全性强的数字签名和自动密钥分发功能，支持多种单向散列函数和校验码算法，以实现对数据完

整性的鉴别。

3 数据存储安全系统:
    在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护，以数据

库信息的保护最为典型。而对各种功能文件的保护，终端安全很重要。
    数据库安全：对数据库系统所管理的数据和资源提供安全保护，一般包括以下几点。☆一，物理完整性，即数据能够免于物

理方面破坏的问题，如掉电、火灾等；☆二，逻辑完整性，能够保持数据库的结构，如对一个字段的修改不至于影响其它字段；

☆三，元素完整性，包括在每个元素中的数据是准确的；☆四，数据的加密；☆五，用户鉴别，确保每个用户被正确识别，避免

非法用户入侵；☆六，可获得性，指用户一般可访问数据库和所有授权访问的数据；☆七，可审计性，能够追踪到谁访问过数据

库。
    要实现对数据库的安全保护，一种选择是安全数据库系统，即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完

整的系统安全策略；二是以现有数据库系统所提供的功能为基础构作安全模块，旨在增强现有数据库系统的安全性。
    终端安全：主要解决微机信息的安全保护问题，一般的安全功能如下。基于口令或（和）密码算法的身份验证，防止非法使

用机器；自主和强制存取控制，防止非法访问文件；多级权限管理，防止越权操作；存储设备安全管理，防止非法软盘拷贝和硬

盘启动；数据和程序代码加密存储，防止信息被窃；预防病毒，防止病毒侵袭；严格的审计跟踪，便于追查责任事故。

4 信息内容审计系统：

    实时对进出内部网络的信息进行内容审计，以防止或追查可能的泄密行为。因此，为了满足国家保密法的要求，在某些重要

或涉密网络，应该安装使用此系统。

    面对网络安全的脆弱性，除了在网络设计上增加安全服务功能，完善系统的安全保密措施外，还必须花大力气加强网络的安

全管理，因为诸多的不安全因素恰恰反映在组织管理和人员录用等方面，而这又是计算机网络安全所必须考虑的基本问题，所以

应引起各计算机网络应用部门领导的重视。
1 安全管理原则

网络信息系统的安全管理主要基于三个原则。

(1) 多人负责原则

    每一项与安全有关的活动，都必须有两人或多人在场。这些人应是系统主管领导指派的，他们忠诚可靠，能胜任此项工作；

他们应该签署工作情况记录以证明安全工作已得到保障。以下各项是与安全有关的活动：

  ① 访问控制使用证件的发放与回收；

  ② 信息处理系统使用的媒介发放与回收；

  ③ 处理保密信息；

  ④ 硬件和软件的维护；

  ⑤ 系统软件的设计、实现和修改；

  ⑥ 重要程序和数据的删除和销毁等；
(2) 任期有限原则

    一般地讲，任何人最好不要长期担任与安全有关的职务，以免使他认为这个职务是专有的或永久性的。为遵循任期有限原

则，工作人员应不定期地循环任职，强制实行休假制度，并规定对工作人员进行轮流培训，以使任期有限制度切实可行。

(3) 职责分离原则

    在信息处理系统工作的人员不要打听、了解或参与职责以外的任何与安全有关的事情，除非系统主管领导批准。出于对安全

的考虑，下面每组内的两项信息处理工作应当分开。

  ① 计算机操作与计算机编程；

  ② 机密资料的接收和传送；

  ③ 安全管理和系统管理；

  ④ 应用程序和系统程序的编制；

  ⑤ 访问证件的管理与其它工作；

  ⑥ 计算机操作与信息处理系统使用媒介的保管等。

2 安全管理的实现

信息系统的安全管理部门应根据管理原则和该系统处理数据的保密性，制订相应的管理制度或采用相应的规范。具体工作是：
  ① 根据工作的重要程度，确定该系统的安全等级。

  ② 根据确定的安全等级，确定安全管理的范围。

  ③ 制订相应的机房出入管理制度：对于安全等级要求较高的系统，要实行分区控制，限制工作人员出入与己无关的区域。出入

     管理可采用证件识别或安装自动识别登记系统，采用磁卡、身份卡等手段，对人员进行识别、登记管理。

  ④ 制订严格的操作规程：操作规程要根据职责分离和多人负责的原则，各负其责，不能超越自己的管辖范围。

  ⑤ 制订完备的系统维护制度：对系统进行维护时，应采取数据保护措施，如数据备份等。维护时要首先经主管部门批准，并有

     安全管理人员在场，故障的原因、维护内容和维护前后的情况要详细记录。

  ⑥ 制订应急措施：要制订系统在紧急情况下，如何尽快恢复的应急措施，使损失减至最小。建立人员雇用和解聘制度，对工作

     调动和离职人员要及时调整相应的授权。