1網路安全解決方案主要內容
網路安全是一項動態的、整體的系統工程,從技術上來說,網路安全由安全的作業系統、應用系統、防病毒、防火牆、入侵檢測、網路監控、資訊審計、通訊加密、災難恢復、安全掃瞄等多個安全元件組成,乙個單獨的元件是無法確保您資訊網路的安全性。
網路安全解決方案主要針對一些普遍性問題和所應採用的相應安全技術及相關安全產品,主要內容包括:
★應用防病毒技術,建立全面的網路防病毒體系;
★應用防火牆技術,控制訪問許可權,實現網路安全集中管理;
★應用入侵檢測技術保護主機資源,防止內外網攻擊;
★應用安全漏洞掃瞄技術主動探測網路安全漏洞,進行定期網路安全評估與安全加固;
★應用**實時監控與恢復系統,實現**安全可靠的執行;
★應用網路安全緊急響應體系,防範安全突發事件。
防病毒方面:應用防病毒技術,建立全面的網路防病毒體系
隨著inter***的不斷發展,資訊科技已成為促進經濟發展、社會進步的巨大推動力:當今社會高度的計算機化資訊資源對任何人無論在任何時候、任何地方都變得極有價值。不管是儲存在工作站中、伺服器裡還是流通於inter***上的資訊都已轉變成為乙個關係事業成敗關鍵的策略點,這就使保證資訊的安全變得格外重要。
而2023年卻是不平凡的一年,是計算機病毒瘋狂肆虐的一年,紅色**病毒、尼姆達病毒、求職病毒觸動了資訊網路脆弱的安全神經,更使部分資訊網路使用者一度陷入通訊癱瘓的尷尬局面……
基於以上情況,我們認為系統可能會受到來自於多方面的病毒威脅,為了免受病毒所造成的損失,建議採用多層的病毒防衛體系。所謂的多層病毒防衛體系,是指在每台pc機上安裝單機版反病毒軟體,在伺服器上安裝基於伺服器的反病毒軟體,在閘道器上安裝基於閘道器的反病毒軟體。因為防止病毒的攻擊是每個員工的責任,人人都要做到自己使用的台式電腦上不受病毒的感染,從而保證整個企業網不受病毒的感染。
考慮到病毒在網路中儲存、傳播、感染的方式各異且途徑多種多樣,故相應地在構建網路防病毒系統時,應利用全方位的企業防毒產品,實施"層層設防、集中控制、以防為主、防殺結合"的策略。具體而言,就是針對網路中所有可能的病毒攻擊設定對應的防毒軟體,通過全方位、多層次的防毒系統配置,使網路沒有薄弱環節成為病毒入侵的缺口。
應用防火牆技術,控制訪問許可權,實現網路安全集中管理
防火牆技術是近年發展起來的重要網路安全技術,其主要作用是在網路入口處檢查網路通訊,根據客戶設定的安全規則,在保護內部網路安全的前提下,保障內外網路通訊。
在網路出口處安裝防火牆後,內部網路與外部網路進行了有效的隔離,所有來自外部網路的訪問請求都要通過防火牆的檢查,內部網路的安全有了很大的提高。防火牆可以完成以下具體任務:
-通過源位址過濾,拒絕外部非法ip位址,有效的避免了外部網路上與業務無關的主機的越權訪問;
-防火牆可以只保留有用的服務,將其他不需要的服務關閉,這樣做可以將系統受攻擊的可能性降低到最小限度,使黑客無機可乘;
-同樣,防火牆可以制定訪問策略,只有被授權的外部主機可以訪問內部網路的有限ip位址,保證外部網路只能訪問內部網路中的必要資源,與業務無關的操作將被拒絕;
-由於外部網路對內部網路的所有訪問都要經過防火牆,所以防火牆可以全面監視外部網路對內部網路的訪問活動,並進行詳細的記錄,通過分析可以得出可疑的攻擊行為;
-另外,由於安裝了防火牆後,網路的安全策略由防火牆集中管理,因此,黑客無法通過更改某一台主機的安全策略來達到控制其他資源訪問許可權的目的,而直接攻擊防火牆幾乎是不可能的。
-防火牆可以進行位址轉換工作,使外部網路使用者不能看到內部網路的結構,使黑客攻擊失去目標。
應用入侵檢測技術保護網路與主機資源,防止內外網攻擊
應用防火牆技術,經過細緻的系統配置,通常能夠在內外網之間提供安全的網路保護,降低網路的安全風險。但是,僅僅使用防火牆、網路安全還遠遠不夠。因為:
(1)入侵者可能尋找到防火牆背後敞開的後門;
(2)入侵者可能就在防火牆內;
(3)由於效能的限制,防火牆通常不能提供實時的入侵檢測能力。
入侵檢測系統是近年出現的新型網路安全技術,目的是提供實時的入侵檢測及採取相應的防護手段,如記錄證據用於跟蹤和恢復、斷開網路連線等。 實時入侵檢測能力之所以重要是因為它能夠對付來自內外網路的攻擊,其次是因為它能夠縮短黑客入侵的時間。
應用安全掃瞄技術主動探測網路安全漏洞,進行網路安全評估與安全加固
安全掃瞄技術是又一類重要的網路安全技術。安全掃瞄技術與防火牆、入侵檢測系統互相配合,能夠有效提高網路的安全性。
通過對網路的掃瞄,網路管理員可以了解網路的安全配置和執行的應用服務,及時發現安全漏洞,客觀評估網路風險等級。網路管理員可以根據掃瞄的結果更正網路安全漏洞和系統中的錯誤配置,在黑客攻擊前進行防範。如果說防火牆和網路監控系統是被動的防禦手段,那麼安全掃瞄就是一種主動的防範措施,可以有效避免黑客攻擊行為,做到防患於未然。
安全掃瞄工具源於黑客在入侵網路系統時所採用的工具,商品化的安全掃瞄工具為網路安全漏洞的發現提供了強大的支援。
應用**實時監控與恢復系統,實現**安全可靠的執行;
web服務系統是個讓外界了解您的視窗,它的正常執行將關係到您的形象。由於**伺服器系統在安全檢測中存在嚴重的安全漏洞,也是黑客入侵的極大目標,所以需要採用**監控與自動恢復系統,保護**伺服器的安全。
應用網路安全緊急響應體系,防範安全突發事件
網路安全作為一項動態工程,意味著她的安全程度會隨著時間的變化而發生改變。在資訊科技日新月異的今天,昔日固若金湯的網路安全策略,總難免會隨著時間的推進和環境的變化,而變得不堪一擊。因此,我們需要隨著時間和網路環境的變化或技術的發展而不斷調整自身的安全策略,並及時組建網路安全緊急響應體系,專人負責,防範安全突發事件。
緊急響應的目標
(1)故障定位及排除
目前依靠廣域網的響應時間過長,而一般的網路系統涉及到系統、裝置、應用等多個層面,因此如何將效能或故障等方面的問題準確定位在涉及到(線路、裝置、伺服器、作業系統、電子郵件)的具體位置,是本響應體系提供的基本功能。
(2)預防問題
通過在廣域網上對網路裝置和網路流量的實施監控和分析,預防問題的發生,在系統出現效能抖動時,就能及時發現,並建議系統管理員採用及時的處理。
(3)優化效能
通過對線路和其他系統進行透視化管理,利用管理系統提供的專家功能對系統的效能進行優化。
(4)提供整體網路執行的健康以及趨勢分析。
對網路系統整體的運**況作出長期的健康和趨勢報告,分析系統的使用情況,對新系統的規劃作出精確的基礎。
2. 安全技術體系分析模型介紹
安全方案必須架構在科學的安全體系和安全框架之上,因為安全框架是安全方案設計和分析的基礎。
為了系統、科學地分析網路安全系統涉及的各種安全問題,網路安全技術專家們提出了三維安全體系結構,並在其基礎上抽象地總結了能夠指導安全系統總體設計的三維安全體系(見圖1),它反映了資訊系統安全需求和體系結構的共性。具體說明如下:
圖1安全框架示意圖
安全服務維(第一維,x軸)定義了7種主要完全屬性。具體如下:
身份認證,用於確認所宣告的身份的有效性;
訪問控制,防止非授權使用資源或以非授權的方式使用資源;
資料保密,資料儲存和傳輸時加密,防止資料竊取、竊聽;
資料完整,防止資料篡改;
不可抵賴,取兩種形式的一種,用於防止傳送者企圖否認曾經傳送過資料或其內容和用以防止接收者對所收到資料或內容的抗否認;
審計管理,設定審計記錄措施,分析審計記錄;
可用性、可靠性,在系統降級或受到破壞時能使系統繼續完成其功能,使得在不利的條件下盡可能少地受到侵害者的破壞。
協議層次維(y軸)由iso/osi參考模型的七層構成。與tcp/ip層次對應,可以把會話層、表示、應用層統一為「應用層」。
系統單元維(z軸)描述了資訊網路基礎構件的各個成分。
通訊平台,資訊網路的通訊平台;
網路平台,資訊網路的網路系統;
系統平台,資訊網路的作業系統平台;
應用平台,資訊網路各種應用的開發、執行平台;
物理環境,資訊網路執行的物理環境及人員管理。
貫穿於安全體系的三個方面,各個層次的是安全管理。通過技術手段和行政管理手段,安全管理將涉及到各系統單元在各個協議層次提供的各種安全服務。
在圖1的安全體系分析模型中,完整地將網路安全系統的全部內容進行了科學和系統的歸納,詳盡地描述了網路安全系統所使用的技術、服務的物件和涉及的範圍(即網路層次)。對於上圖的理解,不妨簡單說明如下:
安全服務維是網路安全系統所提供可實現的全部技術手段;
網路協議維是網路安全系統應該將所採納之安全技術手段實施的範圍;
系統單元維是網路安全系統應該提供安全保護的物件。
作為乙個現實的網路安全系統,首先要考慮的是安全建議書所涉及的有哪些系統單元,然後根據這些系統單元的不同,確定該單元所需要的安全服務,再根據所需要的安全服務,確定這些安全服務在哪些osi層次實現。
在上述的三維結構的安全體系中,安全服務維是向網路系統的各個部分和每乙個層次,提供安全保證的各種技術手段和措施。雖然並不是每乙個應用網路都需要安全服務維提出的所有手段,但是對於乙個包含各種應用和具有一定規模的企業網路,這些安全措施應該都基本具備,因此安全服務維所涉及的所有安全服務措施,是網路安全系統的基本建設目標。
根據我們對企業網路系統應用現狀的認識,以及未來將要實現的各種應用目標了解,我們認為企業網路安全系統,最終需要全部實現圖1中安全服務維所提出的基本技術手段。
構築網路安全系統的最終目的是對網路資源或者說是保護物件,實施最有效的安全保護。
從網路的系統和應用平台對網路協議層次的依賴關係不難看出,只有對網路協議結構層次的所有層實施相應有效的技術措施,才能實現對網路資源的安全保護。
針對一般網路系統的結構和應用要求,為了達到保護網路資源的目的,必須在網路協議層實施相應的安全措施,如下表1。
表1 ( * 表示需要實施)
參考資料:
1. iso/iec 17799: information techniques ― security techniques ― code of practice for information security management (2nd edition)
網路安全知識總結
網路安全概述 網路安全的應用領域 1電子商務 2電子現金 3數字貨幣 4網路銀行 5電子政務 6 軍事機密 網路安全的主要威脅及技術隱患 1自然災害 意外事故 2硬體故障 軟體漏洞 3人為失誤 4計算機犯罪 黑客攻擊 5內部洩露 外部洩密 6資訊丟失 電子諜報 資訊戰 7網路協議中的缺陷 黑客採用的...
網路安全網路安全
1.ipconfig 的用法 ipconfig all 顯示本機tcp ip配置的詳細資訊 ipconfig release dhcp客戶端手工釋放ip位址 ipconfig renew dhcp客戶端手工向伺服器重新整理請求 ipconfig flushdns 清除本地dns快取內容 ipconf...
關於網路安全的知識
網路安全是指網路系統的硬體 軟體及其系統中的資料受到保護,不因偶然的或者惡意的原因而遭受到破壞 更改 洩露,系統連續可靠正常地執行,網路服務不中斷。網路安全從其本質上來講就是網路上的資訊保安。從廣義來說,凡是涉及到網路上資訊的保密性 完整性 可用性 真實性和可控性的相關技術和理論都是網路安全的研究領...