方案設計

爲(for)達到(arrive)有效保護企業信息資源安全應用(use)的(of)目的(of)，信息安全方案要(want)堅持最小化原則，即僅使用(use)需要(want)的(of)系統服務，并必須能夠實現P2DR2安全架構的(of)功能需求，即：Policy（安全策略）、Protection（防護）、Detection（檢測），Response（響應）和(and)Recovery（恢複）五個(indivual)方面的(of)安全需求。在(exist)這(this)裏将從以(by)下幾個(indivual)方面進行說明。

2．1　網絡安全因素

影響網絡安全的(of)方面有物理安全、網絡隔離技術、加密與認證、網絡安全、網絡反病毒、網絡入侵檢測和(and)最小化原則等多種因素，它們(them)是(yes)設計信息安全方案所必須考慮的(of)，是(yes)制定信息安全方案的(of)策略和(and)技術實現的(of)基礎。

2．1．1　物理安全

物理安全的(of)目的(of)是(yes)保護路由器、交換機、工作(do)站、網絡服務器、打印機等硬件實體和(and)通信鏈路免受自然災害、人(people)爲(for)破壞和(and)搭線竊聽攻擊。驗證用(use)戶的(of)身份和(and)權限，防止越權操作(do)；确保網絡設備有一(one)個(indivual)良好的(of)電磁兼容環境，建立完備的(of)機房安全管理制度，妥善保管備份磁帶和(and)文檔資料；防止非法人(people)員進入機房進行偷竊和(and)破壞活動等。此外，抑制和(and)防止電磁洩漏也是(yes)物理安全的(of)主要(want)問題，往往采用(use)屏蔽措施和(and)僞噪聲技術來(Come)解決。

2．1．2　網絡隔離技術

根據功能、保密水平、安全水平等要(want)求的(of)差異将網絡進行分段隔離，對整個(indivual)網絡的(of)安全性有很多好處。可以(by)實現更爲(for)細化的(of)安全控制體系，将攻擊和(and)入侵造成的(of)威脅分别限制在(exist)較小的(of)子網内，提高網絡的(of)整體安全水平。路由器、虛拟局域網VLAN、防火牆是(yes)當前主要(want)的(of)網絡分段手段。

2．1．3　加密與認證

信息加密的(of)目的(of)是(yes)保護網内的(of)數據、文件、密碼和(and)控制信息，保護網絡會話的(of)完整性。按照收發雙方的(of)密鑰是(yes)否相同來(Come)分類，可以(by)将加密算法分爲(for)對稱（私鑰）密碼算法和(and)不(No)對稱（公鑰）密碼算法。在(exist)對稱密碼中，加密和(and)解密使用(use)相同的(of)密鑰，比較常見的(of)密碼算法有：DES、3DES、IDEA、RC4、RC5等，對稱密碼的(of)特點是(yes)有很強的(of)保密強度且運算速度快，但其必需通過安全的(of)途徑傳送，因此密鑰管理至關重要(want)。在(exist)不(No)對稱密碼中，加密和(and)解密使用(use)的(of)密鑰互不(No)相同，而且幾乎不(No)可能從加密密鑰推導出(out)解密密鑰。比較常見的(of)密碼算法有：RSA、Diffe－Hellman等，公鑰密碼的(of)優點是(yes)可以(by)适應網絡的(of)開放性要(want)求，且方便密鑰管理，尤其可實現方便的(of)數字簽名和(and)驗證，但其算法複雜，加密數據速率較低。