网络安全解决方案docWord格式文档下载.docx
《网络安全解决方案docWord格式文档下载.docx》由会员分享,可在线阅读,更多相关《网络安全解决方案docWord格式文档下载.docx(7页珍藏版)》请在冰豆网上搜索。
防火墙产品自身是否安全,是否设置错误,需要经过检验。
★来自内部网用户的安全威胁。
缺乏有效的手段监视、评估网络系统的安全性。
★采用的TCP/IP协议族软件,本身缺乏安全性。
★未能对来自Internet的电子邮件挟带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制。
★应用服务的安全。
许多应用服务系统在访问控制及安全通讯方面考虑较少,并且,如果系统设置错误,很容易造成损失。
计算机安全事业始于本世纪60年代末期。
当时,计算机系统的脆弱性已日益为美国政府和私营部门的一些机构所认识。
但是,由于当时计算机的速度和性能较落后,使用的范围也不广,再加上美国政府把它当作敏感问题而施加控制,因此,有关计算机安全的研究一直局限在比较小的范围内。
进入80年代后,计算机的性能得到了成百上千倍的提高,应用的范围也在不断扩大,计算机已遍及世界各个角落。
并且,人们利用通信网络把孤立的单机系统连接起来,相互通信和共享资源。
但是,随之而来并日益严峻的问题是计算机信息安全的问题。
人们在这方面所做的研究与计算机性能及应用的飞速发展不相适应,因此,它已成为未来信息技术中的主要问题之一。
由于计算机信息有共享和易于扩散等特性,它在处理、存储、传输和使用上有着严重的脆弱性,很容易被干扰、滥用、遗漏和丢失,甚至被泄露、窃取、篡改、冒充和破坏,还有可能受到计算机病毒的感染。
国际标准化组织(ISO)将"
计算机安全"
定义为:
"
为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。
此概念偏重于静态信息保护。
也有人将"
计算机的硬件、软件和数据受到保护,不因偶然和恶意的原因而遭到破坏、更改和泄露,系统连续正常运行。
该定义着重于动态意义描述。
计算机安全的内容应包括两方面:
即物理安全和逻辑安全。
物理安全指系统设备及相关设备受到物理保护,免于破坏、丢失等。
逻辑安全包括信息完整性、保密性和可用性:
保密性指高级别信息仅在授权情况下流向低级别的客体与主体;
完整性指信息不会被非授权修改及信息保持一致性等;
可用性指合法用户的正常请求能及时、正确、安全地得到服务或回应。
一个系统存在的安全问题可能主要来源于两方面:
或者是安全控制机构有故障;
或者是系统安全定义有缺陷。
前者是一个软件可靠性问题,可以用优秀的软件设计技术配合特殊的安全方针加以克服;
而后者则需要精确描述安全系统。
美国国防部(DOD)于1985年出版了《可信计算机系统的评价准则》(又称"
桔皮书"
),使计算机系统的安全性评估有了一个权威性的标准。
DOD的桔皮书中使用了可信计算基础(TrustedComputingBase,TCB)这一概念,即计算机硬件与支持不可信应用及不可信用户的操作系统的组合体。
桔皮书将计算机系统的可信程度划分为D、C1、C2、B1、B2、B3和A1七个层次。
在DOD的评估准则中,从B级开始就要求具有强制存取控制和形式化模型技术的应用。
桔皮书论述的重点是通用的操作系统,为了使它的评判方法使用于网络,美国国家计算机安全中心于1987年出版了《可信网络指南》。
该书从网络安全的角度出发,解释了准则中的观点。
由于局域网中采用广播方式,因此,若在某个广播域中可以侦听到所有的信息包,黑客就可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。
网络分段
网络分段是保证安全的一项重措施,同时也是一项基本措施,其指导思想在于将非法用户与网络资源相互隔离,从而达到限制用户非法访问的目的。
网络分段可分为物理分段和逻辑分段两种方式:
物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。
目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。
逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。
例如,对于TCP/IP网络,可把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问。
在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。
VLAN的实现
虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。
交换技术将传统的基于广播的局域网技术发展为面向连接的技术。
因此,网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。
以太网从本质上基于广播机制,但应用了交换机和VLAN技术后,实际上转变为点到点通讯,除非设置了监听口,信息交换也不会存在监听和插入(改变)问题。
由以上运行机制带来的网络安全的好处是显而易见的:
信息只到达应该到达的地点。
因此,防止了大部分基于网络监听的入侵手段。
通过虚拟网设置的访问控制,使在虚拟网外的网络节点不能直接访问虚拟网内节点。
但是,虚拟网技术也带来了新的问题:
执行虚拟网交换的设备越来越复杂,从而成为被攻击的对象。
基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。
基于MAC的VLAN不能防止MAC欺骗攻击。
采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。
因此,VLAN的划分最好基于交换机端口。
但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。
VLAN之间的划分原则
VLAN的划分方式的目的是保证系统的安全性。
因此,可以按照系统的安全性来划分VLAN:
可以将总部中的服务器系统单独划作一个VLAN,如数据库服务器、电子邮件服务器等。
也可以按照机构的设置来划分VLAN,如将领导所在的网络单独作为一个LeaderVLAN(LVLAN),其它司局(或下级机构)分别作为一个VLAN,并且控制LVLAN与其它VLAN之间的单向信息流向,即允许LVLAN查看其他VLAN的相关信息,其他VLAN不能访问LVLAN的信息。
VLAN之内的连接采用交换技术实现,VLAN与VLAN之间采用路由实现。
由于路由控制的能力有限,不能实现LVLAN与其他VLAN之间的单向信息流动,需要在LVLAN与其他VLAN之间设置一个NetScreen防火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交换。
由于广域网采用公网传输数据,因而在广域网上进行传输时信息也可能会被不法分子截取。
如分支机构从异地发一个信息到总部时,这个信息包就可能被人截取和利用。
因此在广域网上发送和接收信息时要保证:
除了发送方和接收方外,其他人是不可知悉的(隐私性);
传送过程中不被篡改(真实性);
发送方能确信接收方不是假冒的(非伪装性);
发送方不能否认自己的发送行为(非否认)。
如果没有专门的软件对数据进行控制,所有的广域网通信都将不受限制地进行传输,因此任何一个对通信进行监测的人都可以对通信数据进行截取。
这种形式的"
攻击"
是相对比较容易成功的,只要使用现在可以很容易得到的"
包检测"
软件即可。
如果从一个联网的UNIX工作站上使用"
跟踪路由"
命令的话,就可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统,所有这些都被认为是最容易受到黑客攻击的目标。
一般地,一个监听攻击只需通过在传输数据的末尾获取IP包的信息即可以完成。
这种办法并不需要特别的物理访问。
如果对网络用线具有直接的物理访问的话,还可以使用网络诊断软件来进行窃听。
对付这类攻击的办法就是对传输的信息进行加密,或者是至少要对包含敏感数据的部分信息进行加密。
加密技术
加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全,而是通过对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是使用放大数据加密技术及其在分布式系统中的应用。
数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。
对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。
但是此类算法在分布式系统上使用较为困难,主要是密钥管理困难,从而使用成本较高,保安性能也不易保证。
这类算法的代表是在计算机专网系统中广泛使用的DES算法(DigitalEncryptionStandard)。
不对称型加密算法也称公用密钥算法,其特点是有二个密钥(即公用密钥和私有密钥),只有二者搭配使用才能完成加密和解密的全过程。
由于不对称算法拥有二个密钥,它特别适用于分布式系统中的数据加密,在Internet中得到广泛应用。
其中公用密钥在网上公布,为数据对数据加密使用,而用于解密的相应私有密钥则由数据的接收方妥善保管。
不对称加密的另一用法称为"
数字签名"
(digitalsignature),即数据源使用其私有密钥对数据的求校验和(checksum)或其它与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读"
,并将解读结果用于对数据完整性的检验。
在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法(DigitalSignatureAlgorithm)。
不对称加密法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的合法性。
不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。
不可逆加密算法不存在密钥保管和分发问题,适合于分布式网络系统上使用,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的。
近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。
在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS-SecureHashStandard)。
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。
前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。
在网络层上实现的加密技术对于网络应用层的用户通常是透明的。
此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。
SKIP协议即是近来IETF在这方面的努力之一。
面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用Kerberos服务的telnet、NFS、rlogion等,以及用作电子邮件加密的PEM(PrivacyEnhancedMail)和PGP(PrettyGoodPrivacy)。
这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
数字签名和认证技术
认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证过程通常涉及到加密和密钥交换。
通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但此
升级会员 