大数据背景下计算机信息安全及防护
             Computer Information Security and Protection in the Context of Big Data



                 （3）虚拟桌面
                 用户访问时，可利用虚拟桌面技术，提升敏感数据防护能力。应通过虚拟桌
             面技术，实现敏感数据不出数据接入区；支持零信任体系对虚拟桌面身份进行统
             一验证，确保虚拟桌面接入的安全可信。

                 （4）访问控制
                 访问控制可以分为网络访问控制、应用访问控制、服务访问控制和数据访问
             控制等。在用户访问应用数据资源过程中，利用安全防护体系中网络访问控制服
             务，实现安全访问相关的网络访问控制，使各组件只能访问授权的网络资源；或

             通过零信任体系对用户身份、应用身份进行统一验证，并进行应用级的权限控制。
                 （5）网络威胁防护
                 利用安全防护体系中的相关安全服务，实现网络入侵防御、应用攻击防护等，
             利用网络入侵防御服务，阻止或限制对数据资源的网络攻击和异常行为；利用应

             用安全防护服务，检测并阻止攻击应用的行为。
                 （6）网络安全检测
                 利用安全防护体系中的相关安全服务，检测网络流量，实现网络威胁检测、
             数据泄漏检测、攻击诱捕等；通过采集、分析网络流量，发现网络攻击行为，实

             现网络威胁检测；通过获取、还原、解析网络流量，检测数据传输过程中的指定
             信息，发现数据泄露行为，实现数据泄漏检测；通过模拟网络 / 应用环境，引诱
             并发现攻击行为，分析攻击特征及攻击手法，实现攻击诱捕。
                 （7）日志采集

                 在安全访问过程中，实时采集设备、应用、服务等相关日志、告警等数据，
             为安全监测分析提供后台数据支撑。
                 2. 数据交换需求
                 （1）设备准入控制

                 通过访问控制服务，对公共网络、专用网络等接入数据交换的设备进行准入
             控制及身份验证。
                 （2）交换控制
                 交换控制可以分为网络交换控制、接口 / 服务交换控制和数据交换控制。网

             络交换控制是通过网络交换控制服务，实现数据交换相关的网络控制，确保其他
             网络应用和服务只能访问已授权的网络资源。接口 / 服务请求是通过零信任体系


             ·92·