网普技术论坛 网普科技  
» 游客:   网普主页 | 注册 | 登录 | 帮助
 

作者:
标题: 构建专业的网络安全体系[ZT] 上一主题 | 下一主题
网普科技
网普管理员

网普科技人民公仆


积分 3080
发贴 2863
注册 2004-6-26
来自 网普科技
状态 离线
#1  构建专业的网络安全体系[ZT]

1. 网络安全概述

    随着计算机的网络化和全球化,人们日常生活中的许多活动将逐步转移到网络上来。主要原因是由于网络交易的实时性、方便性、快捷性及低成本性。今天,几乎世界上每一个国家都高度依赖于通讯、能源、运输和公用事业网络,包括政府事务、国防、金融、工商业等社会生活的各个方面。地球上的每一个人均可方便地与另一端的用户通讯。企业用户可以通过网络进行信息发布、广告、营销、娱乐和客户支持等,同时可以直接与商业伙伴直接进行合同签订和商品交易,用户通过网络可以获得各种信息资源和服务,如购物、娱乐、求职、教育、医疗、投资等。

      然而,信息领域的犯罪也随之而来, 窃取信息、篡改数据和非法攻击等对系统使用者及全社会造成的危害和损失也特别巨大,并且日益增加。据统计,全球约20秒种就有一次计算机入侵事件发生,Internet上的网络防火墙约1/4被突破,约70%以上的网络信息主管人员报告因机密信息泄露而受到了损失。61%在过去的十二个月中遭到内部攻击,58%在过去的十二个月中遭到外部攻击。

    *

      大多数信息犯罪采用先进的技术手段,多于 45% 的攻击和高级黑客技术有关,如窃听器(sniffer),口令文件窃取、漏洞扫描探测、特洛伊木马程序(Trojan Horse)等
    *

      互联网上可以得到免费的黑客工具,黑客工具和技术手段迅速泛滥,难以通过传统方式约束。
    *

      事件发生的频率快速增加。
    *

      攻击方法和手段不断翻新。一个破解的系统漏洞会造成所有采用该系统的用户处于危险之中。

    网络安全是一个关系国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题,网络安全涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科。

    网络安全从其本质上来讲就是网络上的信息安全,是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全所要研究的领域。网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。

 

2. 网络安全的目标   

    网络安全的目标应当满足:

    *

      身份真实性:能对通讯实体身份的真实性进行鉴别。
    *

      信息机密性:保证机密信息不会泄露给非授权的人或实体。
    *

      信息完整性:保证数据的一致性,能够防止数据被非授权用户或实体建立、修改和破坏。
    *

      服务可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。
    *

      不可否认性:建立有效的责任机制,防止实体否认其行为。
    *

      系统可控性:能够控制使用资源的人或实体的使用方式。
    *

      系统易用性:在满足安全要求的条件下,系统应当操作简单、维护方便。
    *

      可审查性:对出现的网络安全问题提供调查的依据和手段

    网络安全的唯一真正目标是通过技术手段保证信息的安全。

3. 网络面临的安全威胁

    网络中的主机可能会受到非法入侵者的攻击,网络中的敏感数据有可能泄露和或被修改,从内部网向共网传送的信息可能被他人窃听或篡改等等,造成网络安全的威胁的原因可能是多方面的,有来自外部,也有可能来自企业网络内部。攻击者主要是利用了TCP/IP协议的安全漏洞和操作系统的安全漏洞。归纳起来,系统的安全威胁常表现为以下特征:

    *

      窃听:攻击者通过监视网络数据获得敏感信息。
    *

      重传:攻击者事先获得部分或全部信息,以后将此信息发送给接收者。
    *

      伪造:攻击者将伪造的信息发送给接收者。
    *

      篡改:攻击者对合法用户之间的通讯信息进行修改、删除、插入,再发送给接收者。
    *

      拒绝服务攻击:攻击者通过某种方法使系统响应减慢甚至瘫痪,阻止合法用户获得服务。
    *

      行为否认:通讯实体否认已经发生的行为。
    *

      非授权访问:没有预先经过同意,就使用网络或计算机资源被看作非授权访问。它主要有以下几种形式:假冒、身份攻击、非法用户进入网络系统进行违法操作、合法用户以未授权方式进行操作等。
    *

      传播病毒:通过网络传播计算机病毒,其破坏性非常高,而且用户很难防范。如众所周知的CIH病毒,最近出现的“爱虫” 病毒都具有极大的破坏性。

      信息受到侵犯的典型来源:(美国阿伯丁集团咨询报告)

       人为错误       ---- 35%
        人为忽略       ---- 25%
        不满意的雇员   ---- 15%
        外部攻击       ---- 10%
        火灾、水灾     ---- 10%
        其他           ---- 5%

 

4.    网络安全策略络

    安全策略是指在一个特定的环境里,为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:

1) 先进的网络安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;

2) 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;

3) 制订严格的法律、法规。计算机网络是一种新生事物。它的好多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。

 

5.  网络安全所涉及的内容

    随着信息社会的网络化,各国的政治、外交、国防、金融等越来越依赖于计算机网络。目前网络安全的地位日趋重要。网络安全所涉及的内容主要包括以下几个方面:

    *

      网络安全体系结构;
    *

      网络的攻击手段与防范措施;
    *

      网络安全设计;
    *

      网络安全标准制定,安全评测及认证;
    *

      网络安全检测技术;
    *

      网络安全设备;
    *

      安全管理,安全审计;
    *

      网络安全法律等。

6.  网络安全技术与安全机制

       网络安全技术设计到网络技术、通信技术、主机技术、操作系统和密码加密等多个方面,安全漏洞贯穿整个网络结构,建立全新的网络安全机制,必须深刻理解网络并提供直接的解决方案。最恰当的起点是:

    1.定义完善的安全管理模型
    2.建立长远的并且可实施的安全策略和目标
    3.彻底贯彻规范的安全防范措施
    4.建立恰当的安全评估尺度,并且进行经常性的规则审核

   网络管理人员或者专门的网络安全人员应该作到:

     --坚持实施标准的安全程序
     --实施合理有效的安全措施和技术方案
     --进行系统监视,对非法攻击和系统滥用进行正确的分析处理

      信息安全没有绝对的保证,风险和可能随时产生,一个新的系统级的漏洞(通过Internet发布)会使所有采用该系统的用户立刻处于危险之中,因此,建立适应性的安全机制是最大限度提高网络安全的良好方法,选用功能强大,技术先进,性能完善的系列化网络安全产品,全方位的构建网络防护体系,使网络系统安全机制可以达到:

                       安全防护-----风险分析-----系统监控-----实时响应

7.  网络安全解决方案  

       一个完整的网络安全解决方案所考虑的问题应当是非常全面的。保证网络安全需要靠一些安全技术,但是最重要的是要有详细的安全策略和良好的内部管理。

       在确立网络安全的目标和策略之后,还要确定实施网络安全所应付出的代价,然后选择确实可行的技术方案,方案实施完成之后最重要的是要加强管理,制定培训计划和网络安全管理措施。完整的安全解决方案应该覆盖网络的各个层次,并且与安全管理相结合。

      物理层的安全防护:在物理层上主要通过制定物理层面的管理规范和措施来提供安全解决方案。

      链路层安全保护:主要是链路加密设备对数据加密保护。它对所有用户数据一起加密,用户数据通过通信线路送到另一节点后解密。

      网络层和安全防护:网络层的安全防护是面向IP包的。网络层主要采用防火墙作为安全防护手段,实现初级的安全防护。在网络层也可以根据一些安全协议实施加密保护。在网络层也可实施相应的入侵检测。

      传输层的安全防护:传输层处于通信子网和资源子网之间,起着承上启下的作用。传输层也支持多种安全服务:
       1)对等实体认证服务;
       2)访问控制服务;
       3)数据保密服务;
       4)数据完整性服务;
       5)数据源点认证服务;

      应用层的安全防护:应用层的安全防护:原则上讲所有安全服务均可在应用层提供。在应用层可以实施强大的基于用户的身份认证。在应用层也是实施数据加密,访问控制的理想位置。在应用层还可加强数据的备份和恢复措施。应用层可以是对资源的有效性进行控制,资源包括各种数据和服务。应用层的安全防护是面向用户和应用程序的,因此可以实施细粒度的安全控制。

    要建立一个安全的内部网,一个完整的解决方案必须从多方面入手。

     加强主机本身的安全,减少漏洞;
     用系统漏洞检测软件定期对网络内部系统进行扫描分析,找出可能存在的安全隐患;
     建立完善的访问控制措施,安装防火墙,加强授权管理和认证;
     在线监控非法入侵和异常行为,实时报警和切断非法行为;
     加强数据备份和恢复措施;
     对敏感的设备和数据要建立隔离措施;
     对在公共网络上传输的敏感数据要加密;
     加强内部网的整体防病毒措施;
     建立详细的安全审计日志等。

8.网络的安全防范建议

      Internet是一个公共网络,网络中有很多不安全的因素。一般局域网和广域网应该有以下安全措施:

(1). 系统要尽量与公网隔离,要有相应的安全连接措施.
(2). 不同的工作范围的网络既要采用防火墙、安全路由器、保密网关等相互隔离,又要在政策循序时保证互通。
(3). 为了提供网络安全服务,各相应的环节应根据需要配置可单独评价的加密、数字签名、访问控制、数据完整性、业务流填充、路由控制、公证、鉴别审计等安全机制,并有相应的安全管理。
(4). 远程客户访问重要的应用服务要有鉴别服务器严格执行鉴别过程和访问控制。
(5). 网络和网络安全设备要经受住相应的安全测试。
(6). 在相应的网络层次和级别上设立密钥管理中心、访问控制中心、安全鉴别服务器、授权服务器等,负责访问控制以及密钥、证书等安全材料的产生、更换、配置和销毁等相应的安全管理活动。
(7). 信息传递系统要具有抗侦听、抗截获能力能对抗传输信息的纂改、删除、插入、重放、选取明文密码破译等主动攻击和被动攻击,保护信息的机密性,保证信息和系统的完整性。
(8). 涉及保密的信息在传输过程中,在保密装置以外不以明文形式出现。



天理路上甚宽,稍游心,胸中便觉广大宏朗;
人欲路上甚窄,才寄迹,眼前俱是荆棘泥涂。



网普科技,优质美国主机服务!
美国Linux主机,美国虚拟主机
支持PHP+MYSQL+cPanel+EMAIL
为用户负责,拒绝反动、赌博及色情内容! QQ:126818

发送QQ消息
2005-11-18 07:51 PM
查看资料  访问主页  发短消息  QQ   编辑帖子  引用回复 顶部
茱莉娅
THE BODY SHOP美容顾问

茱莉娅美体小铺


积分 3080
发贴 2863
注册 2009-5-21
来自 茱莉娅美体小铺
状态 离线
#1  赞助商信息The body shop

茱莉娅美体小铺
茱莉娅美体小铺淘宝店
茱莉娅美体小铺


茱莉娅美体小铺淘宝店
2005-11-18 07:51 PM
查看资料  访问主页  发短消息  QQ   编辑帖子  引用回复 顶部


可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题



论坛跳转:  




Powered by Discuz! 2.5 © 2001-2005 Comsenz Technology Ltd.
Processed in 0.006764 second(s), 7 queries, Gzip enabled
------------------------------------------------------------------------------
本论坛属网普科技交流与技术支持论坛!
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!
美国主机, 美国虚拟主机, cPanel+PHP+Mysql+Ftp+Email+Zend+GD2+国际域名支持
技术支持 QQ: 126818 EMail & MSN: support[AT]netpu.net
[ 联系我们 ] - [ 网普科技 ]