網絡安全

網絡安全

副標題

ABUIABAEGAAgvN2s6AUo_IvLogEwrgQ40AI

前言

網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。


主要特性

?   保密性

信息不泄露給非授權用戶、實體或過程,或供其利用的特性。

?   完整性

數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

?   可用性

可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊;

?   可控性

對信息的傳播及內容具有控制能力。

?   可審查性

出現安全問題時提供依據與手段

從網絡運行和管理者角度說,希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅,制止和防御網絡黑客的攻擊。對安全保密部門來說,他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵,避免機要信息泄露,避免對社會產生危害,對國家造成巨大損失。

隨著計算機技術的迅速發展,在計算機上處理的業務也由基于單機的數學運算、文件處理,基于簡單連接的內部網絡的內部業務處理、辦公自動化等發展到基于復雜的內部網(Intranet)、企業外部網(Extranet)、全球互聯網(Internet)的企業級計算機處理系統和世界范圍內的信息共享和業務處理。

在系統處理能力提高的同時,系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基于網絡連接的安全問題也日益突出,整體的網絡安全主要表現在以下幾個方面:網絡的物理安全、網絡拓撲結構安全、網絡系統安全、應用系統安全和網絡管理的安全等。

因此計算機安全問題,應該像每家每戶的防火防盜問題一樣,做到防范于未然。甚至不會想到你自己也會成為目標的時候,威脅就已經出現了,一旦發生,常常措手不及,造成極大的損失。


全方位的安全體系

構建網絡安全系統,一方面由于要進行認證、加密、監聽,分析、記錄等工作,由此影響網絡效率,并且降低客戶應用的靈活性;另一方面也增加了管理費用。

但是,來自網絡的安全威脅是實際存在的,特別是在網絡上運行關鍵業務時,網絡安全是首先要解決的問題。

與其它安全體系(如保安系統)類似,企業應用系統的安全體系應包含:

訪問控制:通過對特定網段、服務建立的訪問控制體系,將絕大多數攻擊阻止在到達攻擊目標之前。

檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。

攻擊監控:通過對特定網段、服務建立的攻擊監控體系,可實時檢測出絕大多數攻擊,并采取相應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。

加密通訊:主動的加密通訊,可使攻擊者不能了解、修改敏感信息。

認證:良好的認證體系可防止攻擊者假冒合法用戶。

備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務。

多層防御,攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。

隱藏內部信息,使攻擊者不能了解系統內的基本情況。

設立安全監控中心,為信息系統提供安全體系管理、監控,渠護及緊急情況服務。


安全分析

網絡分析系統是一個讓網絡管理者,能夠在各種網絡安全問題中,對癥下藥的網絡管理方案,它對網絡中所有傳輸的數據進行檢測、分析、診斷,幫助用戶排除網絡事故,規避安全風險,提高網絡性能,增大網絡可用性價值。

管理者不用再擔心網絡事故難以解決,科來網絡分析系統可以幫助企業把網絡故障和安全風險會降到最低,網絡性能會逐步得到提升。

?   物理安全

網絡的物理安全是整個網絡系統安全的前提。在校園網工程建設中,由于網絡系統屬于弱電工程,耐壓值很低。因此,在網絡工程的設計和施工中,必須優先考慮保護人和網絡設備不受電、火災和雷擊的侵害;考慮布線系統與照明電線、動力電線、通信線路、暖氣管道及冷熱空氣管道之間的距離;考慮布線系統和絕緣線、裸體線以及接地與焊接的安全;必須建設防雷系統,防雷系統不僅考慮建筑物防雷,還必須考慮計算機及其他弱電耐壓設備的防雷。總體來說物理安全的風險主要有,地震、水災、火災等環境事故;電源故障;人為操作失誤或錯誤;設備被盜、被毀;電磁干擾;線路截獲;高可用性的硬件;雙機多冗余的設計;機房環境及報警系統、安全意識等,因此要注意這些安全隱患,同時還要盡量避免網絡的物理安全風險。

?   網絡結構

網絡拓撲結構設計也直接影響到網絡系統的安全性。假如在外部和內部網絡進行通信時,內部網絡的機器安全就會受到威脅,同時也影響在同一網絡上的許多其他系統。透過網絡傳播,還會影響到連上Internet/Intranet的其他的網絡;影響所及,還可能涉及法律、金融等安全敏感領域。因此,我們在設計時有必要將公開服務器(WEB、DNS、EMAIL等)和外網及內部其它業務網絡進行必要的隔離,避免網絡結構信息外泄;同時還要對外網的服務請求加以過濾,只允許正常通信的數據包到達相應主機,其它的請求服務在到達主機之前就應該遭到拒絕。

?   系統的安全

所謂系統的安全是指整個網絡操作系統和網絡硬件平臺是否可靠且值得信任。恐怕沒有絕對安全的操作系統可以選擇,無論是Microsoft 的Windows NT或者其它任何商用UNIX操作系統,其開發廠商必然有其Back-Door。因此,我們可以得出如下結論:沒有完全安全的操作系統。不同的用戶應從不同的方面對其網絡作詳盡的分析,選擇安全性盡可能高的操作系統。因此不但要選用盡可能可靠的操作系統和硬件平臺,并對操作系統進行安全配置。而且,必須加強登錄過程的認證(特別是在到達服務器主機之前的認證),確保用戶的合法性;其次應該嚴格限制登錄者的操作權限,將其完成的操作限制在最小的范圍內。

?   應用系統

應用系統的安全跟具體的應用有關,它涉及面廣。應用系統的安全是動態的、不斷變化的。應用的安全性也涉及到信息的安全性,它包括很多方面。

——應用系統的安全是動態的、不斷變化的。

應用的安全涉及方面很多,以Internet上應用最為廣泛的E-mail系統來說,其解決方案有sendmail、Netscape Messaging Server、SoftwareComPost.Office、Lotus Notes、ExchangeServer、SUN CIMS等不下二十多種。其安全手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷發展且應用類型是不斷增加的。在應用系統的安全性上,主要考慮盡可能建立安全的系統平臺,而且通過專業的安全工具不斷發現漏洞,修補漏洞,提高系統的安全性。

——應用的安全性涉及到信息、數據的安全性。

信息的安全性涉及到機密信息泄露、未經授權的訪問、 破壞信息完整性、假冒、破壞系統的可用性等。在某些網絡系統中,涉及到很多機密信息,如果一些重要信息遭到竊取或破壞,它的經濟、社會影響和政治影響將是很嚴重的。因此,對用戶使用計算機必須進行身份認證,對于重要信息的通訊必須授權,傳輸必須加密。采用多層次的訪問控制與權限控制手段,實現對數據的安全保護;采用加密技術,保證網上傳輸的信息(包括管理員口令與帳戶、上傳信息等)的機密性與完整性。

?   管理風險

管理是網絡中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。當網絡出現攻擊行為或網絡受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網絡的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。

建立全新網絡安全機制,必須深刻理解網絡并能提供直接的解決方案,因此,最可行的做法是制定健全的管理制度和嚴格管理相結合。保障網絡的安全運行,使其成為一個具有良好的安全性、可擴充性和易管理性的信息網絡便成為了首要任務。一旦上述的安全隱患成為事實,所造成的對整個網絡的損失都是難以估計的。因此,網絡的安全建設是校園網建設過程中重要的一環。


主要類型

網絡安全由于不同的環境和應用而產生了不同的類型。主要有以下幾種:

?   系統安全

運行系統安全即保證信息處理和傳輸系統的安全。它側重于保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由于電磁泄翻,產生信息泄露,干擾他人或受他人干擾。

?   網絡的安全

網絡上系統信息的安全。包括用戶口令鑒別,用戶存取權限控制,數據存取權限、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。

?   信息傳播安全

網絡上信息傳播安全,即信息傳播后果的安全,包括信息過濾等。它側重于防止和控制由非法、有害的信息進行傳播所產生的后果,避免公用網絡上大云自由傳翰的信息失控。

?   信息內容安全

網絡上信息內容的安全。它側重于保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏潤進行竊聽、冒充、詐編等有損于合法用戶的行為。其本質是保護用戶的利益和隱私。


影響因素

自然災害、意外事故;計算機犯罪; 人為行為,比如使用不當,安全意識差等;黑客” 行為:由于黑客的入侵或侵擾,比如非法訪問、拒絕服務計算機病毒、非法連接等;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;網絡協議中的缺陷,例如TCP/IP協議的安全問題等等。

網絡安全威脅主要包括兩類:滲入威脅和植入威脅。滲入威脅主要有:假冒、旁路控制、授權侵犯;

植入威脅主要有:特洛伊木馬、陷門。

陷門:將某一“特征”設立于某個系統或系統部件之中,使得在提供特定的輸入數據時,允許安全策略被違反。

目前我國網絡安全存在幾大隱患:影響網絡安全性的因素主要有以下幾個方面。

?   網絡結構因素

網絡基本拓撲結構有3種:星型、總線型和環型。一個單位在建立自己的內部網之前,各部門可能已建造了自己的局域網,所采用的拓撲結構也可能完全不同。在建造內部網時,為了實現異構網絡間信息的通信,往往要犧牲一些安全機制的設置和實現,從而提出更高的網絡開放性要求。

?   網絡協議因素

在建造內部網時,用戶為了節省開支,必然會保護原有的網絡基礎設施。另外,網絡公司為生存的需要,對網絡協議的兼容性要求越來越高,使眾多廠商的協議能互聯、兼容和相互通信。這在給用戶和廠商帶來利益的同時,也帶來了安全隱患。如在一種協議下傳送的有害程序能很快傳遍整個網絡。

?   地域因素

地域因素由于內部網Intranet既可以是LAN也可能是WAN(內部網指的是它不是一個公用網絡,而是一個專用網絡),網絡往往跨越城際,甚至國際。地理位置復雜,通信線路質量難以保證,這會造成信息在傳輸過程中的損壞和丟失,也給一些“黑客”造成可乘之機。

?   用戶因素

企業建造自己的內部網是為了加快信息交流,更好地適應市場需求。建立之后,用戶的范圍必將從企業員工擴大到客戶和想了解企業情況的人。用戶的增加,也給網絡的安全性帶來了威脅,因為這里可能就有商業間諜或“黑客。”

?   主機因素

建立內部網時,使原來的各局域網、單機互聯,增加了主機的種類,如工作站、服務器,甚至小型機、大中型機。由于它們所使用的操作系統和網絡操作系統不盡相同,某個操作系統出現漏洞(如某些系統有一個或幾個沒有口令的賬戶),就可能造成整個網絡的大隱患。

?   單位安全政策

實踐證明,80%的安全問題是由網絡內部引起的,因此,單位對自己內部網的安全性要有高度的重視,必須制訂出一套安全管理的規章制度。

?   人員因素

人的因素是安全問題的薄弱環節。要對用戶進行必要的安全教育,選擇有較高職業道德修養的人做網絡管理員,制訂出具體措施,提高安全意識。

?   其他

其他因素如自然災害等,也是影響網絡安全的因素。


首頁      |      產品分銷      |      專業服務      |      解決方案      |      關于我們      |      聯系我們
地址:上海市靜安區江場西路299弄中鐵中環時代廣場4號樓4層          電話: 021-51212121          傳真: 021-51212480          技術支持:4006286280
工作時間:周一至周五(9:00-18:00) 國家法定假日除外
版權所有: 上海華蓋科技發展股份有限公司?2021 保留一切權利 滬ICP備15014351號-1