第八章  通信网络的运行管理及安全维护



                  5. 整合技术
                  结合多种网络安全技术以及入侵检测技术，以构建更为完善的计算机通信网
              络安全防护检测与响应架构，并在此基础上，强化对计算机通信网络安全状态的
              实时性检测，一旦发现网络异常情况，能够第一时间发出预警，并迅速作出应急

              处置。
                  （三）强化落实面向内部威胁的数据泄露防护
                  1. 面向内部威胁的数据泄漏主动防护
                  在网络层面落实对安全保护域的划分，从计算机通信网络终端以及存储端口

              组织展开访问控制，以确保内网的安全性达到理想水平。需要注意的是，这种面
              向内部威胁的数据泄漏主动防护技术有着一定的局限性，单纯对文件与进程之间
              的信息流进行约束与管理，而并没有对进程之间、进程与其他非文件资源之间的
              信息流落实有效限制。基于此，必须进一步优化约束限制，但这种方式也会降低

              系统的灵活性与可用性。实践中，可以依托虚拟化技术、可信基础设施，完成虚
              拟隔离环境的构建，形成不同隔离环境之间的可信通道，以构建可信性相对较强
              的虚拟保护域，结合私有隔离环境、公共隔离环境、底层的基础通信设施，以增
              强安全性，强化对计算机通信网络数据应用过程的隔离保护力度。在此基础上，

              还要进一步从数据存储层面落实安全保护域的划分，将加解密以及安全控制机制
              构建于存储设备内部以及终端系统中，以促使数据存储、处理以及使用的信任链
              形成。依托多组建可信平台的应用访问、使用网络数据，结合双向认证技术的应
              用，促使主机与硬盘之间的可信绑定成为现实，以确保计算机通信网络数据可以

              在非可信环境中以及远程终端内实现安全使用。
                  2. 面向内部威胁的数据泄漏主动防护
                  为确保计算机通信网络对可信主体的防护需求得到及时满足，需要落实面
              向可信主体约束的动态隔离机制的构建，以实现对虚拟隔离机制局限性的有效

              突破，以提升对可信主体约束与防护的有效性，降低存在于安全域中的数据信息
              泄漏问题的发生概率。在构建面向可行主体约束的动态隔离机制期间，需要在
              引入 CoDI 和 MoDI 操作的基础上，组织展开读隔离、写隔离、通信隔离。在此
              过程中，可以应用的方法手段主要包括文件管理，即统一管理副本文件，在独

              立安全区域内，对动态隔离过程中所形成的重定向文件副本进行有效存储，促
              使文件与程序具有较高的一致性：进程管理，即应用复制式迁移组织展开基于虚


                                                                                     227