RSA身份认证解决方案.doc

网络安全认证方案
建议书
目录
第一章 网络信息安全需求概述 2
网络信息安全需求 2
信息安全风险评估 4
第二章需求分析 5
现行网络、信息及应用环境 5
存在的安全问题 5
第三章网络安全认证解决方案 7
方案概述 7
拨号服务器和VPN保护 11
UNIX/Linux主机保护 12
Web服务器保护 13
Windows NT/2000共享目录保护 14
Oracle数据库保护 15
LDAP目录 16
第四章 RSA ACE/Server功能详解 18
附录一:RSA公司介绍 19
第一章 网络信息安全需求概述
网络信息安全需求

是一种开放和标准的面向所有用户的技术,其资源通过网络共享。资源共享和信息安全是一对矛盾,的飞速发展,计算机网络的资源共享进一步加强,随之而来的信息安全问题便日益突出,网上的犯罪活动加速增长。
确保网络系统的信息安全是网络安全的目标,对网络系统而言,信息安全主要包括两个方面:信息的存储安全和信息的传输安全。
信息的存储安全就是指信息在静态存放状态下的安全,如是否会被非授权调用等,一般通过设置访问权限、身份识别、局部隔离等措施来保证。针对“外部”的访问、调用而言的访问控制技术是解决信息存储安全的主要途径。
在网络系统中,无论是任何调用指令,还是任何信息反馈均是通过网络传输实现的,所以网络信息传输上的安全就显得特别重要。信息的传输安全主要是指信息在动态传输过程中的安全。为确保网络信息的传输安全,尤其需要防止如下问题:
对网上传输的信息,攻击者只需在网络的传输链路上通过物理或逻辑的手段,就能对数据进行非法的截获与监听,进而得到用户或服务方的敏感信息。
对用户身份仿冒这一常见的网络攻击方式,传统的对策一般采用口令认证方式防护,但是,用于用户身份认证的口令在登录时常常是以明文的方式在网络上进行传输的,很容易就被攻击者在网络上截获,进而可以对用户的身份进行仿冒,使口令认证机制被攻破。
攻击者有可能对网络上的信息进行截获并且篡改其内容(增加、截去或改写),使用户无法获得准确、有用的信息或落入攻击者的陷阱。
某些用户可能对自己发出的信息进行恶意的否认,例如否认自己发出的转帐信息等。
在网络信息的存储、传输和使用过程中,网络安全通过保护网络程序、数据或者设备,使其免受非授权使用或访问,来达到保护信息和资源、保护客户和用户、保证私有性等目的。为了确保在各种攻击下,网络程序和数据在服务器、物理信道和主机上的安全性,网络安全必须有效地实现以下各种功能:
身份认证(Authentication)鉴定信息的真实性,核实源实体与接受实体是否与宣称的一致。
授权(Authorization)用一些特殊的参数表明访问(或存取)的权限。
保密(Confidentiality)使信息只被授权用户享用,取保通信机密。
完整性(Integrity)取保数据的完整和准确。
不可否认(Nonrepudiation)验明身份后,不拒绝传送和接受。
在所有功能中,身份认证(Authentication)是最基本最重要的环节,即使将授权、保密、完整性、不可否认等环节作的很完善,但如果盗用了合法的帐号和口令登录系统,系统仍然认为他是合法用户,给予他相应的访问权限,使系统处于危险状态。
信息安全风险评估
众所周知,计算机与信息犯罪在近年正在呈现出上升的趋势。FBI与计算机安全机构近期的研究表明,过去一年里在调查的公司中,32%的公司向执行官员报告发生严重事件,较前几年几乎翻了一翻;在调查过程中,报告遭受经济损失的公司中,平均损失高达760000美元,几乎相当于1998年以来经济损失总和的50%。很明显,攻击日益频繁,且导致越来越大的经济损失,因此各公司都必须采取有效措施,保护其信息资源。
如今,决定着电子商务进一步发展必要基础的信息安全技术得到不断发展,会话加密、防火墙、虚拟专用网和数字证书等技术都是信息安全解决方案的一部分。令人遗憾的是,虽然每种技术都旨在加强某一方面的信息安全,包括限制访问或防止机密数据被截获,但面队形形色色的信息犯罪,却没有一种单独应用的安全措施或方法能够消除所有风险。在这种情况下,各机构就需要根据受破坏可能性以及可能导致的损失程度,来评估预防措施的成本。例如,根据FBI/CSI的调查报告显示,最普遍的信息安全问题来自于病毒感染,根据数据显示,在能够确定损失数额的机构中,90%的危害是由病毒感染引起的,而因此导致的平均损失数额约为45500美元;约65%的被调查者则受到来自膝上型电脑系统被盗的影响,每年由此类事件所导致的平均损失约为8700