大部分的安全問題都是惡意的人為了獲得壹些利益或者傷害壹些人而故意造成的。可見,保證網絡安全不僅僅是使其免於編程錯誤。包括防範那些聰明的,通常狡猾的,專業的,時間和金錢都很豐富的人。同時,必須清醒地認識到,那些能讓無意中搞破壞的敵人停下來的方法,對那些習慣了犯罪的老兵作用不大。
網絡安全大致可以分為四個相互交織的部分:保密、認證、防拒絕和完整性控制。保密就是保護信息不被非授權訪問,這是人們提到網絡安全時最常見的內容。認證主要是指在透露敏感信息或進行交易之前,確認對方的身份。反抵賴主要與簽名有關。隱私和完整性是通過使用掛號郵件和文件鎖來實現的。2方案目標該方案主要從網絡層面考慮,將網絡系統設計為壹個支持各級用戶或用戶組的安全網絡。該網絡既保證了系統內部網絡安全,又實現了與互聯網或其他國內網絡的安全互聯。該方案可以保證網絡安全,滿足各種用戶的需求,如:可以滿足個人通話的私密性,也可以滿足企業客戶計算機系統的安全保障。數據庫不會被非法訪問和破壞,系統不會被病毒入侵。同時也可以防止反動淫穢等有害信息在網絡上傳播。
需要明確的是,安全技術並不能杜絕所有對網絡的入侵和破壞,它的作用只是最大限度的防範,在入侵和破壞發生後盡可能的減少損失。具體來說,網絡安全技術的主要功能如下:
1.采取多層防禦手段,最大限度降低被入侵和破壞的概率;
2.提供快速檢測非法使用和非法初始入口點的手段,並檢查和跟蹤入侵者的活動;
3.提供恢復受損數據和系統的方法,並將損失降至最低;
4.提供檢測入侵者的方法。
網絡安全技術是實現安全管理的基礎。近年來,網絡安全技術發展迅速,產生了非常豐富的理論和實踐內容。3安全需求通過對網絡系統的風險分析和需要解決的安全問題,我們需要制定合理的安全策略和安全方案,保證網絡系統的機密性、完整性、可用性、可控性和可審計性。也就是說,
可用性:授權實體可以訪問數據。
機密性:信息不會暴露給未經授權的實體或流程。
完整性:確保數據不會被擅自修改。
可控性:在授權範圍內控制信息流和運作方式。
可審計性:為出現的安全問題提供依據和手段。
訪問控制:內部網絡需要通過防火墻與外部不可信網絡隔離,內部網絡及其與外部網絡交換數據的主機以及交換的數據要嚴格控制。同樣,對於內部網絡,由於應用服務不同,安全級別不同,也需要使用防火墻隔離不同的局域網或網段,實現相互訪問控制。
數據加密:數據加密是防止數據傳輸和存儲過程中非法竊取和篡改信息的有效手段。
安全審計是識別和防範網絡攻擊、追蹤網絡漏洞的重要手段之壹。具體包括兩個方面:壹是采用網絡監控和入侵防禦系統,對網絡上的各種非法操作和攻擊進行識別,並立即響應(如報警)和阻斷;第二,對信息內容的審計可以防止內部機密或敏感信息的非法泄露。4風險分析網絡安全是網絡正常運行的前提。網絡安全不僅僅是單點安全,而是整個信息網絡的安全,需要從物理、網絡、系統、應用、管理等方面進行立體防護。要知道如何防護,首先需要知道安全風險來自哪裏。網絡安全體系必須包括技術和管理,涵蓋物理層、系統層、網絡層、應用層和管理層的多種風險類別。無論哪壹級別的安全措施不到位,都會存在很大的安全隱患,有可能造成網絡中斷。根據國內網絡系統的網絡結構和應用,從網絡安全、系統安全、應用安全和管理安全等方面進行綜合分析。
風險分析是網絡安全技術需要提供的壹項重要功能。它應該持續檢測網絡中的消息和事件,並分析入侵和破壞系統的風險。風險分析必須包括網絡中的所有相關組件。5解決方案5.1設計原則
鑒於網絡系統的實際情況,迫切需要解決網絡安全問題。考慮到技術難度和資金,設計應遵循以下思路:
1.大大提高了系統的安全性和保密性;
2.保持網絡原有的性能特征,即對網絡的協議和傳輸具有良好的透明性;
3.易於操作和維護,便於自動化管理,不增加或減少額外操作;
4.盡量不影響原有網絡拓撲,同時便於系統和系統功能的擴展;
5.安防系統性價比好,壹次性投入即可長期使用;
6.安全和密碼產品合法,並已獲得國家相關管理部門的認可或認證;
7.分步實施原則:分級管理分步實施。
5.2安全政策
鑒於以上分析,我們采用以下安全策略:
1.采用漏洞掃描技術對重要網絡設備進行風險評估,以確保信息系統盡可能在最佳狀態下運行。
2.采用各種安全技術構建防禦系統,主要包括:
(1)防火墻技術:在網絡的對外接口,采用防火墻技術在網絡層控制訪問。
(2) NAT技術:隱藏內部網絡信息。
(3) VPN:虛擬專用網(VPN)是企業網在互聯網等公共* * *網絡上的延伸,通過私有通道在公共* * *網絡上創建安全的私有連接。它連接遠程用戶、公司分支機構、公司業務夥伴等。與公司的企業網絡通過安全的數據通道形成壹個擴展的公司企業網絡。該網絡中的主機不會意識到公共網絡的存在,就好像所有的機器都在壹個網絡中壹樣。公網看似是本網專用,其實不是。
(4)網絡加密技術(Ipsec):利用網絡加密技術對公網中傳輸的IP包進行加密封裝,實現數據傳輸的機密性和完整性。可以解決公網中網絡數據傳輸的安全問題,也可以解決遠程用戶訪問內網的安全問題。
(5)認證:提供基於身份的認證,可用於各種認證機制。
(6)多層次多層次的企業級防病毒系統:采用多層次多層次的企業級防病毒系統,實現對病毒的全面防護。
(7)網絡實時監控:采用入侵檢測系統對主機和網絡進行監控和預警,進壹步提高網絡抵禦外來攻擊的能力。
3.實時響應和恢復:制定和完善安全管理制度,提高對網絡攻擊的實時響應和恢復能力。
4.建立分級管理和各級安全管理中心。
5.3防禦系統
我們利用防火墻技術、NAT技術、VPN技術、網絡加密技術(Ipsec)、身份認證技術、多級防病毒系統和入侵檢測技術,組成網絡安全防禦體系。
5.3.1物理安全
物理安全是保護計算機網絡設備、設施和其他介質免受地震、洪水、火災等環境事故,以及人為錯誤或失誤和各種計算機犯罪造成的破壞的過程。
為了保證信息網絡系統的物理安全,還需要防止系統信息在空間的傳播。通常會采取壹些物理防護措施來降低或幹擾空間信號的傳播。這是政府、軍隊和金融機構設立信息中心的首要條件。
為了保證網絡的正常運行,在物理安全方面應采取以下措施:
1.產品保證:主要指產品采購、運輸、安裝中的安全措施。
2.運營安全:網絡中的設備,尤其是安全產品,在使用過程中必須能夠得到廠商或供應商的快速技術支持服務。對於壹些關鍵設備和系統,應設置備份系統。
3.防電磁輻射:所有重要的涉密設備都需要配備防電磁輻射產品,如輻射幹擾機。
4.安全:主要是防盜、防火等。,包括網絡系統中所有網絡設備、計算機和安全設備的安全保護。
5.3.2防火墻技術
防火墻是壹種網絡安全手段,是在網絡通信過程中實施的壹種訪問控制措施。其主要目標是通過控制進出網絡的訪問權限並強制所有連接都經過這種檢查,來防止需要保護的網絡受到外部因素的幹擾和破壞。邏輯上;防火墻是壹個分隔符;限制器和分析器;其有效地監控內部網絡和因特網之間的任何活動,並確保內部網絡的安全。在物理實現上,防火墻是壹組硬件設備――路由器、計算機或其他特殊的硬件設備,它們位於網絡的特定位置。防火墻可以是壹個獨立的系統,也可以在路由器上實現網絡互聯。用防火墻實現網絡安全,必須考慮防火墻的網絡拓撲結構;
(1)屏蔽路由器:又稱包過濾防火墻。
(2)雙端口主機:雙端口主機是包過濾網關的替代方案。
(3)主機過濾結構:這種結構實際上是包過濾和代理的結合。
(4)屏蔽子網結構:這種防火墻是雙孔主機和屏蔽主機的變形。
根據防火墻采用的不同技術,我們可以將其分為四種基本類型:包過濾、網絡地址轉換——NAT、代理和監控。
5.3.2.1包過濾類型
包過濾產品是防火墻的初級產品,其技術基礎是網絡中的數據包傳輸技術。網絡上的數據是以包的形式傳輸的,數據被分成壹定大小的包,每個包都會包含壹些特定的信息,比如數據的源地址、目的地址、TCP/UDP源端口、目的端口等。防火墻可以通過讀取數據包中的地址信息來判斷這些“數據包”是否來自可信的安全站點。壹旦發現來自危險站點的數據包,防火墻將拒絕這些數據。系統管理員也可以根據實際情況靈活制定判斷規則。包過濾技術的優點是簡單實用,實施成本低。在應用環境簡單的情況下,能夠以較小的成本在壹定程度上保證系統的安全性。但是包過濾技術的缺陷也是顯而易見的。包過濾技術是壹種完全基於網絡層的安全技術,只能根據數據包的來源、目的、端口等網絡信息進行判斷,無法識別基於應用層的惡意入侵,如惡意Java小程序、郵件附帶的病毒等。有經驗的黑客可以輕易地偽造IP地址,騙過包過濾防火墻。
5.3.2.2網絡地址轉換
網絡地址轉換是壹種將IP地址轉換為臨時、外部和註冊IP地址的標準。它允許具有私有IP地址的內部網絡訪問互聯網。這也意味著不允許用戶獲得其網絡中每臺機器的註冊IP地址。當內網通過安全網卡訪問外網時,會產生壹條映射記錄。系統將外發源地址和源端口映射到壹個偽裝的地址和端口,通過不安全的網卡將偽裝的地址和端口連接到外網,從而對外隱藏真實的內網地址。外網通過不安全的網卡訪問內網時,並不知道內網的連接,只是通過開放的IP地址和端口請求訪問。OLM防火墻根據預定義的映射規則判斷該訪問是否安全。當符合規則時,防火墻認為訪問是安全的,可以接受訪問請求或將連接請求映射到不同的內部計算機。當不符合規則時,防火墻認為訪問不安全,不可接受,防火墻會屏蔽外部連接請求。網絡地址轉換的過程對用戶是透明的,用戶不需要設置,只需要做常規操作即可。
5.3.2.3代理類型
代理防火墻也可以稱為代理服務器,其安全性高於包過濾產品,並且已經開始向應用層發展。代理服務器位於客戶端和服務器之間,完全阻斷了兩者之間的數據交換。從客戶端的角度來看,代理服務器相當於壹個真實的服務器;從服務器的角度來看,代理服務器是壹個真正的客戶端。當客戶端需要使用服務器上的數據時,首先向代理服務器發送數據請求,然後代理服務器根據這個請求向服務器請求數據,然後代理服務器將數據傳輸給客戶端。由於外部系統與內部服務器之間沒有直接的數據通道,外部惡意侵權很難對企業內部網絡系統造成危害。代理防火墻的優點是安全性高,可以檢測和掃描應用層,對基於應用層的入侵和病毒非常有效。其缺點是對系統整體性能影響較大,對於客戶端可能生成的所有應用類型都必須壹壹設置代理服務器,大大增加了系統管理的復雜度。
以上回答來自:/html/96-3/3486.htm。