adobe
助理工程师
帖子
463
精华
1
无忧币 6655
积分 1793
阅读权限 40
|
发表于:2007-4-26 16:24
标题:IT安全系列:IT系统整体安全解决方案(二)
<上一帖 |
下一帖>
四、信息系统安全技术及规划
1、网络安全技术及规划
由于互联网所存在的诸多不安全因素,使得网络使用者必须采取相应的网络安全技术来堵塞漏洞,保证提供通信服务的安全性。快速发展的网络安全技术能从不同角度逐步保护网络信息不受侵犯,网络安全的基本技术主要包括网络加密技术、防火墙技术、网络地址转换技术、操作系统安全内核技术、身份验证技术、网络防病毒技术、检测审计技术、备份技术等。
•(1) 网络加密技术
网络信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。
链路加密的目的是保护网路节点之间的链路信息安全;端点加密是对源端用户到目的端用户的数据提供加密保护;节点加密的目的是对源节点到目的节点之间的传输链路提供加密保护。
一般常用的加密方法是链路加密和端点加密。链路加密侧重于在通信链路上而不考虑信源和信宿,是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息。端到端加密是指信息由发送端自动加密,形成TCP/IP数据包,然后作为不可阅读和不可识别的数据穿过网络,当这些信息一旦到达目的地,将自动解密、重组,成为可读数据。端点加密是面向网络高层主体的,它不对下层协议进行信息加密,协议信息以明文的形式传输,用户数据在中央节点不需解密。
端点加密系统的价格比较便宜,并且与链路加密和节点加密相比更可靠,更容易设计、实现和维护。端点加密还避免了其他加密系统所固有的同步问题,此外,从用户的角度出发,端点加密更自然些,在对数据信息进行加密的同时,不影响网络上其他的用户。
(2)防火墙技术、内外网隔离、网络安全域的隔离
在内外部网络之间,设置防火墙(包括分组过滤和应用代理)实现内外网的隔离与访问控制是保护内部网络安全的主要措施之一。防火墙可以表示为:防火墙=过滤器+安全策略+网关。防火墙可以监控进出网络的数据信息,从而完成仅让安全、核准的数据信息进入,同时又地址对内部网络构成威胁的数据进入任务。通常,防火墙服务的主要目的是:限制他人进入内部网络、过滤掉不安全服务和非法用户、限定访问的特殊站点等等。
防火墙的主要技术类型包括网络级数据包过滤器和应用级代理服务器。由于网络级数据包过滤器和应用级代理服务器两种类型的防火墙系统各有优缺点,因此在实际中,应将二者结合起来使用。分组过滤器作用在网络层和传输层,只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。应用代理,俗称"网关",作用在应用层,特点是完全隔绝了网络通信流,通过对各种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常有专用工作站实现。
对于内部网络不同网络安全域的隔离及访问控制,防火墙被用来隔离内部网络的一个网段与另外一个网段。这样就能防止影响一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个更敏感,这样,在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。
(3)网络地址转换技术
网络地址转换技术也称为地址共享器或地址映射器,设计的初衷是为了解决网络IP地址不足的问题,现在多用于网络安全。内部主机向外部主机连接时,使用同一个IP地址,相反的,外部主机要向内部主机连接时,必须通过网关映射到内部主机上。它使外部网络看不到内部网络,从而隐藏内部网络,达到保密的目的,使系统的安全性提高,并且节约从ISP处得到的外部IP地址。
(4)操作系统安全内核技术
除了传统的网络安全技术以外,在操作系统层次上也应该考虑相关的网络安全问题,操作系统平台的安全措施包括:采用安全性较高的操作系统;对操作系统进行安全配置;利用安全扫描系统检查操作系统的漏洞等。
(5)身份验证技术
身份验证是用户向系统出示自己身份证明的过程。身份识别是系统查核用户身份证明的过程。这两个过程是判明和确认通信双发真实身份的两个重要环节。在拨号上网、主机登录、远程访问等都涉及到身份验证技术的应用。口令认证、数字证书认证是比较常用的身份验证方式。身份验证的载体可以存储在诸如USBKey、IC卡等介质上,还可以配备生物活体的身份验证。
基于公开密钥的数字签名技术,一般采用不对称机密技术,通过对整个明文进行某种变换,得到一个值,作为核实签名。接受者使用发送者的公开密钥对签名进行解密运算,如其结果为明文或与明文的某种运算结果一致,则签名有效,证明双方的身份是真实的。当然,签名也可以采用多种方式。
(6)网络防病毒技术
在网络环境下,计算机病毒具有不可估量的威胁性和破坏力。如果不重视计算机网络防病毒,那可能给社会造成灾难性的后果,因此计算机病毒的防范也是网络安全技术中重要的一环。
网络防病毒技术包括预防病毒、检测病毒和消除病毒三种技术。
预防病毒技术,它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否由病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。技术手段包括:加密可执行程序、引导保护、系统监控与读写控制(如防病毒卡)等。
检测技术,通过对计算机病毒的特征来进行判断的侦测技术,如自身检验、关键字、文件长度变化等。病毒检测一直是病毒防护的支柱,然而,随着病毒的数目和可能的切入点的大量增加,识别古怪代码串的进程变得越来越复杂,而且容易产生错误和疏忽。因此,因此最新的防病毒技术应将病毒检测、多层数据保护和集中是管理等多种功能集成起来,形成多层次防御体系,既有稳健的病毒检测功能,又有客户机/服务器数据保护能力,也就是覆盖全网的多层次方法。
消除病毒技术,通过对计算机病毒的分析,开发出具有杀除病毒程序并恢复原文件的软件。大量的病毒针对网上资源和应用程序进行攻击,这样的病毒存在于信息共享的网络中,因而要在网关上设防,在病毒从客户机向服务器转移的过程中杀掉,把病毒感染的区域限制在最小的范围内。
网络防病毒技术是相对的,并不能封杀所有的病毒,对于出现的新类型的病毒,网络防病毒技术有可能出现滞后的现象,因此应及时更新病毒库。
(7)网络安全检测技术
网络安全取决于网络系统中最薄弱的环节,所以,应及时的发现网络系统中最薄弱的环节。检测网络中最薄弱环节的方法是定期对网络系统进行安全性分析,及时发现并修正存在的漏洞和弱点。
网络安全检测工具通常是一个网络安全性评估分析软件,其功能是用实践性的方法扫描分析网络系统,检查报告系统中存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。
(8)安全审计与监控技术
审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具,不仅能够识别谁访问了系统,还能指出系统正被怎样的使用,对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统的识别问题,并且它是后面阶段事故处理的重要依据,为网络犯罪行为及泄密行为提供取证基础。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性的对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。
采用各层次的安全审计措施是网络安全系统的重要组成部分,对于审计数据的维护是其重要内容之一,建议网络系统建立安全审计中心或审计小组,对所有各层次的审计数据进行统一处理和管理。
(9)网络备份技术
备份技术为一个目的而存在:尽可能的全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时也是系统灾难恢复的前提之一。
|
网络虽虚拟,技术无边界,来看看大家“真面目”! |
|
| 诚征版主 | 版主堂 | 意见建议 | 大史记 | 论坛地图