1. 網路管理協議都有哪些
常用的網路管理協議有簡單網路管理協議(SNMP)和公共管理信息協議(CMIP)。從1979年開始,國際標准化組織ISO針對開放系統互聯(OSI)七層協議的傳輸環境開始研究網路管理通信標准,其成果是公共管理信息服務CMIS和公共管理信息協議 CMIP。CMIS支持管理進程和管理代理之間的通信要求,CMIP則是提供管理信息傳輸服務的應用層協議,二者規定了OSI系統的網路管理標准。
1988年Internet體系結構委員會在原有的簡單網關監控協議(SGMP)的基礎上進一步修改後,發表了簡單網路管理協議(SNMP),並於1996年發表了其改進版。近年來,隨著Internet和Intranet的飛速發展,SNMP協議受到廣泛的支持,已經成為事實上的標准網路管理協議。 SNMP和CMIP兩種管理協議各有所長。SNMP是Internet組織用來管理Internet和乙太網的,由於實現、理解和排錯很簡單,所以受到很多產品的廣泛支持,但是安全性較差。 CMIP是一個更為有效的網路管理協議,把更多的工作交給管理者去做,減輕了終端用戶的工作負擔。此外,CMIP建立了安全管理機制,提供授權、訪問控制、安全日誌等功能。但由於CMIP是由國際標准組織指定的國際標准,因此涉及面很廣,實施起來比較復雜且花費較高。
2. 作為一個網路管理員,應該如何保證你所管理系統的安全
系統安全就是MR 放出的漏洞要及時補!網路安全也是重中之重 一個網路里 存在交換機 路由器 交換機又有管理IP 要確保IP不讓他人得到 包括其中的的EXEC模式下的密碼和Telent密碼不要讓他人知道內網維護 防火牆 殺毒軟體都必不可少的 所以作為一個網路管理員 你要看清系統的安全其實是在有網路的基礎上的 如果沒有網路有和談系統安全呢 給你個PC 機沒有網路 我還真不信他能被攻擊中毒 除非人為的 所以重點就在網路問題上!
3. 網路安全工程師,route協議有哪些
route語法如下 route [-f] [-p] [Command] [Destination] [mask Netmask] [Gateway] [metric Metric] [if Interface]
參數 -f -p
ROUTE在Command命令下編輯
指定要運行的命令。下表列出了有效的命令。 命令 目的
add 添加路由
change 更改現存路由
delete 刪除路由
print 列印路由Destination
指定路由的網路目標地址。目標地址可以是一個 IP 網路地址(其中網路地址的主機地址位設置為 0),對於主機路由是 IP 地址,對於默認路由是 0.0.0.0。
mask subnetmask
指定與網路目標地址相關聯的網掩碼(又稱之為子網掩碼)。子網掩碼對於 IP 網路地址可以是一適當的子網掩碼,對於主機路由是 255.255.255.255 ,對於默認路由是 0.0.0.0。如果忽略,則使用子網掩碼 255.255.255.255。定義路由時由於目標地址和子網掩碼之間的關系,目標地址不能比它對應的子網掩碼更為詳細。換句話說,如果子網掩碼的一位是 0,則目標地址中的對應位就不能設置為 1。
Gateway
指定超過由網路目標和子網掩碼定義的可達到的地址集的前一個或下一個躍點 IP 地址。對於本地連接的子網路由,網關地址是分配給連接子網介面的 IP 地址。對於要經過一個或多個路由器才可用到的遠程路由,網關地址是一個分配給相鄰路由器的、可直接達到的 IP 地址。
metric Metric
為路由指定所需躍點數的整數值(范圍是 1 ~ 9999),它用來在路由表裡的多個路由中選擇與轉發包中的目標地址最為匹配的路由。所選的路由具有最少的躍點數。躍點數能夠反映躍點的數量、路徑的速度、路徑可靠性、路徑吞吐量以及管理屬性。
if Interface
指定目標可以到達的介面的介面索引。使用 route print 命令可以顯示介面及其對應介面索引的列表。對於介面索引可以使用十進制或十六進制的值。對於十六進制值,要在十六進制數的前面加上 0x。忽略 if 參數時,介面由網關地址確定。
/?
在命令提示符顯示幫助。
注釋
路由表中 躍點數 一列的值較大是由於允許 TCP/IP 根據每個 LAN介面的 IP 地址、子網掩碼和默認網關的配置自動確定路由表中路由的躍點數造成的。默認啟動的自動確定介面躍點數確定了每個介面的速度,調整了每個介面的路由躍點數,因此最快介面所創建的路由具有最低的躍點數。要刪除大躍點數,請在每個 LAN 連接的 TCP/IP 協議的高級屬性中禁用自動確定介面躍點數。
如果在 systemroot\System32\Drivers\Etc 文件夾的本地網路文件中存在適當的條目,名稱可以用於 Destination。只要名稱可以通過「域名系統」 (DNS) 查詢這樣的標准主機名解析技術分解為 IP 地址,就可以將其用於 Gateway,DNS 查詢使用存儲在 systemroot\System32\Drivers\Etc 文件夾下的本地主機文件和 NetBIOS 名稱解析。
如果是 print 或 delete 命令,可以忽略 Gateway 參數,使用通配符來表示目標和網關。Destination 的值可以是由星號 (*) 指定的通配符。如果指定目標含有一個星號 (*) 或問號 (?),它被看作是通配符,只列印或刪除匹配的目標路由。星號代表任意一字元序列,問號代表任一字元。例如, 10.*.1, 192.168.*、 127.* 和 *224* 都是星號通配符的有效使用。
使用了無效的目標和子網掩碼(網掩碼)值的組合,會顯示「Route:bad gateway address netmask」錯誤消息。目標中有一位或多位設置為 1,而其在子網掩碼中的對應位設置為 0 時會發生這個錯誤。可以通過二進製表示法表示目標和子網掩碼來檢查這種情況。以二進製表示的子網掩碼包括表示目標網路地址部分的一連串的 1 和表示目標主機地址部分的一連串的 0 兩個部分。查看目標以確定目標的主機地址部分(由子網掩碼所定義)是否有些位設置成了 1。
只有 Windows NT 4.0、Windows 2000、Windows Millennium Edition 和 Windows XP 的 route 命令支持 -p 參數。Windows 95 或 Windows 98 的 route 命令不支持該參數。
只有當網際協議 (TCP/IP) 協議在 網路連接中安裝為網路適配器屬性的組件時,該命令才可用。
範例
要顯示 IP 路由表的完整內容,請鍵入:
route print
要顯示 IP 路由表中以 10. 開始的路由,請鍵入:
route print 10.*
要添加默認網關地址為 192.168.12.1 的默認路由,請鍵入:
route add 0.0.0.0 mask 0.0.0.0 192.168.12.1
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1 的路由,請鍵入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1 的永久路由,請鍵入:
route -p add 10.41.0.0 mask 255.255.0.0 10.27.0.1
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1,躍點數為 7 的路由,請鍵入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 metric 7
要添加目標為 10.41.0.0,子網掩碼為 255.255.0.0,下一個躍點地址為 10.27.0.1,介面索引為 0x3 的路由,請鍵入:
route add 10.41.0.0 mask 255.255.0.0 10.27.0.1 if 0x3
要刪除目標為 10.41.0.0,子網掩碼為 255.255.0.0 的路由,請鍵入:
route delete 10.41.0.0 mask 255.255.0.0
要刪除 IP 路由表中以 10. 開始的所有路由,請鍵入:
route delete 10.*
要將目標為 10.41.0.0,子網掩碼為 255.255.0.0 的路由的下一個躍點地址由 10.27.0.1 更改為 10.27.0.25,請鍵入:
route change 10.41.0.0 mask 255.255.0.0 10.27.0.25
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
route 的命令
routing ip add/delete/set/show interface 在指定介面上添加、刪除、配置或顯示常規 IP 路由設置。
routing ip add/delete/set/show filter 在指定介面上添加、刪除、配置或顯示 IP 數據包篩選器。
routing ip add/delete/show boundary 在指定介面上添加、刪除或顯示多播邊界設置。
routing ip add/set ipiptunnel 添加或配置 IP 中的 IP 介面。
routing ip add/delete/set/show rtmroute 添加、配置或顯示不持續的路由表管理器路由。
routing ip add/delete/set/show persistentroute 添加、刪除、配置或顯示持續路由。
routing ip add/delete/set/show preferenceforprotocol 添加、刪除、配置或顯示路由協議的優先順序。
routing ip add/delete/set/show scope 添加、刪除或顯示多播作用域。
routing ip set/show loglevel 配置或顯示全局 IP 記錄等級。
routing ip show helper 顯示 IP 的所有 Netsh 實用程序子環境。
routing ip show protocol 顯示所有正在運行的 IP 路由協議。
routing ip show mfe 顯示多播轉發項。
routing ip show mfestats 顯示多播轉發項統計。
routing ip show boundarystats 顯示 IP 多播邊界。
routing ip show rtmdestinations 顯示路由表管理器路由表中的目標。
routing ip show rtmroutes 顯示路由表管理器路由表中的路由。
routing ip nat set/show global 配置或顯示全局網路地址轉換 (NAT) 設置。
routing ip nat add/delete/set/show interface 添加、刪除、配置或顯示指定介面的 NAT 設置。
routing ip nat add/delete addressrange 在 NAT 介面公用地址池中添加或刪除一個地址范圍。
routing ip nat add/delete addressmapping 添加或刪除 NAT 地址映射。
routing ip nat add/delete portmapping 添加或刪除 NAT 埠映射。
routing ip autodhcp set/show global 配置或顯示全局 DHCP 分配器參數。
routing ip autodhcp set/show interface 配置或顯示指定介面的 DHCP 分配器設置。
routing ip autodhcp add/delete exclusion 在 DHCP 分配器地址范圍中添加或刪除一個排除范圍。
routing ip dnsproxy set/show global 配置或顯示全局 DNS 代理參數。
routing ip dnsproxy set/show interface 配置或顯示指定介面的 DNS 代理參數。
routing ip igmp set/show global 配置或顯示 IGMP 全局設置。
routing ip igmp add/delete/set/show interface 在指定介面上添加、刪除、配置或顯示 IGMP。
routing ip igmp add/delete staticgroup 添加或刪除指定介面的靜態多播組。
routing ip igmp show grouptable 顯示 IGMP 主機組表。
routing ip igmp show ifstats 顯示每個介面的 IGMP 統計。
routing ip igmp show iftable 顯示每個介面的 IGMP 主機組。
routing ip igmp show proxygrouptable 顯示 IGMP 代理介面的 IGMP 組表。
routing ip igmp show rasgrouptable 顯示遠程訪問伺服器所使用的 Internet 介面的組表。
routing ip ospf set/show global 配置或顯示全局 OSPF 設置。
routing ip ospf add/delete/set/show interface 在指定介面上添加、刪除、配置或顯示 OSPF。
routing ip ospf add/delete/set/show area 添加、刪除、配置或顯示 OSPF 區域。
routing ip ospf add/delete/show range 在指定的 OSPF 區域上添加、刪除、配置或顯示範圍。
routing ip ospf add/delete/set/show virtif 添加、刪除、配置或顯示 OSPF 虛擬介面。
routing ip ospf add/delete/show neighbor 添加、刪除、配置或顯示 OSPF 鄰居。
routing ip ospf add/delete/show protofilter 添加、刪除、配置或顯示 OSPF 外部路由的路由信息源。
routing ip ospf add/delete/show routefilter 添加、刪除、配置或顯示 OSPF 外部路由的路由篩選。
routing ip ospf show areastats 顯示 OSPF 區域統計。
routing ip ospf show lsdb 顯示 OSPF 鏈接狀態資料庫。
routing ip ospf show virtifstats 顯示 OSPF 虛擬鏈接統計。
routing ip relay set global 配置「DHCP 中繼代理程序」的全局設置。
routing ip relay add/delete/set interface 在指定介面上添加、刪除或配置「DHCP 中繼代理程序」設置。
routing ip relay add/delete dhcpserver 在 DHCP 伺服器地址列表中添加或刪除 DHCP 伺服器的 IP 地址。
routing ip relay show ifbinding 顯示介面的 IP 地址綁定。
routing ip relay show ifconfig 顯示每個介面的「DHCP 中繼代理程序」配置。
routing ip relay show ifstats 顯示每個介面的 DHCP 統計。
routing ip rip set/show global 配置 IP 的 RIP 全局設置。
routing ip rip add/delete/set/show interface 在指定介面上添加或配置 IP 的 RIP 設置。
routing ip rip add/delete peerfilter 添加或刪除 RIP 對等篩選器。
routing ip rip add/delete acceptfilter 在接受的路由列表中添加或刪除 RIP 路由篩選器。
routing ip rip add/delete announcefilter 在公布的路由列表中添加或刪除 RIP 路由篩選器。
routing ip rip add/delete/show neighbor 添加或刪除 RIP 鄰居。
routing ip rip set/show flags 在指定介面上配置 IP RIP 高級設置。
routing ip rip show globalstats 顯示全局 RIP 參數。
routing ip rip show ifbinding 顯示介面的 IP 地址綁定。
routing ip rip show ifstats 顯示每個介面的 RIP 統計。
IPX netsh 路由命令
routing ipx add/set staticroute 在 IPX 路由表中添加或配置靜態 IPX 路由。
routing ipx add/set staticservice 在 SAP 服務表中添加或配置靜態 SAP 服務。
routing ipx add/set filter 在指定的介面上添加或配置 IPX 數據包篩選器。
routing ipx add/set interface 在請求撥號介面上啟用 IPX 路由,或在指定的介面上配置 IPX 設置。
routing ipx set global 配置全局 IPX 路由設置。
routing ipx rip add/set filter 添加和配置 RIP 路由篩選器。
routing ipx rip set global 配置全局 IPX 的 RIP 設置。
routing ipx rip set interface 在指定介面上配置 IPX 的 RIP 設置。
routing ipx sap add/set filter 添加或配置 SAP 服務篩選器。
routing ipx sap set global 配置全局 IPX 的 SAP 設置。
routing ipx sap set interface 在指定介面上配置 IPX 的 SAP 設置。
routing ipx netbios add nbname 將靜態 NETBIOS 名稱添加到 IPX NetBIOS 名稱表中。
routing ipx netbios set interface 在指定介面上配置基於 IPX 的 NetBIOS 設置。
4. 網路安全管理包括什麼內容
網路安全管理是一個體系的東西,內容很多
網路安全管理大體上分為管理策略和具體的管理內容,管理內容又包括邊界安全管理,內網安全管理等,這里給你一個參考的內容,金牌網管員之網路信息安全管理,你可以了解下:
http://www.ean-info.com/2009/0908/100.html
同時具體的內容涉及:
一、信息安全重點基礎知識
1、企業內部信息保護
信息安全管理的基本概念:
信息安全三元組,標識、認證、責任、授權和隱私的概念,人員角色
安全控制的主要目標:
安全威脅和系統脆弱性的概念、信息系統的風險管理
2、企業內部信息泄露的途徑
偶然損失
不適當的活動
非法的計算機操作
黑客攻擊:
黑客簡史、黑客攻擊分類、黑客攻擊的一般過程、常見黑客攻擊手段
3、避免內部信息泄露的方法
結構性安全(PDR模型)
風險評估:
資產評估、風險分析、選擇安全措施、審計系統
安全意識的培養
二、使用現有安全設備構建安全網路
1、內網安全管理
內網安全管理面臨的問題
內網安全管理實現的主要功能:
軟硬體資產管理、行為管理、網路訪問管理、安全漏洞管理、補丁管理、對各類違規行為的審計
2、常見安全技術與設備
防病毒:
防病毒系統的主要技術、防病毒系統的部署、防病毒技術的發展趨勢
防火牆:
防火牆技術介紹、防火牆的典型應用、防火牆的技術指標、防火牆發展趨勢
VPN技術和密碼學:
密碼學簡介、常見加密技術簡介、VPN的概念、VPN的分類、常見VPN技術、構建VPN系統
IPS和IDS技術:
入侵檢測技術概述、入侵檢測系統分類及特點、IDS結構和關鍵技術、IDS應用指南、IDS發展趨勢、入侵防禦系統的概念、IPS的應用
漏洞掃描:
漏洞掃描概述、漏洞掃描的應用
訪問控制:
訪問控制模型、標識和認證、口令、生物學測定、認證協議、訪問控制方法
存儲和備份:
數據存儲和備份技術、數據備份計劃、災難恢復計劃
3、安全設備的功能和適用范圍
各類安全設備的不足
構建全面的防禦體系
三、安全管理體系的建立與維護
1、安全策略的實現
安全策略包含的內容
制定安全策略
人員管理
2、物理安全
物理安全的重要性
對物理安全的威脅
對物理安全的控制
3、安全信息系統的維護
安全管理維護
監控內外網環境
5. 急求 你對網路安全協議的理解
隨著Internet的發展,電子商務已經逐漸成為人們進行商務活動的新模式。越來越多的人通過Internet進行商務活動。電子商務的發展前景十分誘人,而其安全問題也變得越來越突出,如何建立一個安全、便捷的電子商務應用環境,對信息提供足夠的保護,已經成為商家和用戶都十分關心的話題。
電子商務的一個重要技術特徵是利用IT技術來傳輸和處理商業信息。因此,電子商務安全從整體上可分為兩大部分:計算機網路安全和商務交易安全。
計算機網路安全的內容包括:
計算機網路設備安全、計算機網路系統安全、資料庫安全等。其特徵是針對計算機網路本身可能存在的安全問題,實施網路安全增強方案,以保證計算機網路自身的安全性為目標。
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。即實現電子商務的保密性、完整性、可鑒別性、不可偽造性和不可抵賴性。
計算機網路安全與商務交易安全實際上是密不可分的,兩者相輔相成,缺一不可。沒有計算機網路安全作為基礎,商務交易安全就猶如空中樓閣,無從談起。沒有商務交易安全保障,即使計算機網路本身再安全,仍然無法達到電子商務所特有的安全要求。
計算機網路安全
1.計算機網路的潛在安全隱患
未進行操作系統相關安全配置
不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」 是進行網路攻擊的首選目標。
未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
拒絕服務(DoS,Denial of Service)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。今年2月美國「雅虎」、「亞馬遜」受攻擊事件就證明了這一點。
安全產品使用不當
雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
2.計算機網路安全體系
一個全方位的計算機網路安全體系結構包含網路的物理安全、訪問控制安全、系統安全、用戶安全、信息加密、安全傳輸和管理安全等。充分利用各種先進的主機安全技術、身份認證技術、訪問控制技術、密碼技術、防火牆技術、安全審計技術、安全管理技術、系統漏洞檢測技術、黑客跟蹤技術,在攻擊者和受保護的資源間建立多道嚴密的安全防線,極大地增加了惡意攻擊的難度,並增加了審核信息的數量,利用這些審核信息可以跟蹤入侵者。
在實施網路安全防範措施時:
首先要加強主機本身的安全,做好安全配置,及時安裝安全補丁程序,減少漏洞;
其次要用各種系統漏洞檢測軟體定期對網路系統進行掃描分析,找出可能存在的安全隱患,並及時加以修補;
從路由器到用戶各級建立完善的訪問控制措施,安裝防火牆,加強授權管理和認證;
利用RAID5等數據存儲技術加強數據備份和恢復措施;
對敏感的設備和數據要建立必要的物理或邏輯隔離措施;
對在公共網路上傳輸的敏感信息要進行強度的數據加密;
安裝防病毒軟體,加強內部網的整體防病毒措施;
建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
網路安全技術是伴隨著網路的誕生而出現的,但直到80年代末才引起關注,90年代在國外獲得了飛速的發展。近幾年頻繁出現的安全事故引起了各國計算機安全界的高度重視,計算機網路安全技術也因此出現了日新月異的變化。安全核心系統、VPN安全隧道、身份認證、網路底層數據加密和網路入侵主動監測等越來越高深復雜的安全技術極大地從不同層次加強了計算機網路的整體安全性。安全核心系統在實現一個完整或較完整的安全體系的同時也能與傳統網路協議保持一致。它以密碼核心系統為基礎,支持不同類型的安全硬體產品,屏蔽安全硬體以變化對上層應用的影響,實現多種網路安全協議,並在此之上提供各種安全的計算機網路應用。
互聯網已經日漸融入到人類社會的各個方面中,網路防護與網路攻擊之間的斗爭也將更加激烈。這就對網路安全技術提出了更高的要求。未來的網路安全技術將會涉及到計算機網路的各個層次中,但圍繞電子商務安全的防護技術將在未來幾年中成為重點,如身份認證、授權檢查、數據安全、通信安全等將對電子商務安全產生決定性影響。
商務交易安全
當許多傳統的商務方式應用在Internet上時,便會帶來許多源於安全方面的問題,如傳統的貸款和借款卡支付/保證方案及數據保護方法、電子數據交換系統、對日常信息安全的管理等。電子商務的大規模使用雖然只有幾年時間,但不少公司都已經推出了相應的軟、硬體產品。由於電子商務的形式多種多樣,涉及的安全問題各不相同,但在Internet上的電子商務交易過程中,最核心和最關鍵的問題就是交易的安全性。一般來說商務安全中普遍存在著以下幾種安全隱患:
竊取信息
由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
惡意破壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。
因此,電子商務的安全交易主要保證以下四個方面:
信息保密性
交易中的商務信息均有保密的要求。如信用卡的賬號和用戶名等不能被他人知悉,因此在信息傳播中一般均有加密的要求。
交易者身份的確定性
網上交易的雙方很可能素昧平生,相隔千里。要使交易成功,首先要能確認對方的身份,對商家要考慮客戶端不能是騙子,而客戶也會擔心網上的商店不是一個玩弄欺詐的黑店。因此能方便而可靠地確認對方身份是交易的前提。
不可否認性
由於商情的千變萬化,交易一旦達成是不能被否認的。否則必然會損害一方的利益。因此電子交易通信過程的各個環節都必須是不可否認的。
不可修改性
交易的文件是不可被修改的,否則也必然會損害一方的商業利益。因此電子交易文件也要能做到不可修改,以保障商務交易的嚴肅和公正。
電子商務交易中的安全措施
在早期的電子交易中,曾採用過一些簡易的安全措施,包括:
部分告知(Partial Order):即在網上交易中將最關鍵的數據如信用卡號碼及成交數額等略去,然後再用電話告之,以防泄密。
另行確認(Order Confirmation):即當在網上傳輸交易信息後,再用電子郵件對交易做確認,才認為有效。
此外還有其它一些方法,這些方法均有一定的局限性,且操作麻煩,不能實現真正的安全可靠性。
近年來,針對電子交易安全的要求,IT業界與金融行業一起,推出不少有效的安全交易標准和技術。
主要的協議標准有:
安全超文本傳輸協議(S-HTTP):依靠密鑰對的加密,保障Web站點間的交易信息傳輸的安全性。
安全套接層協議(SSL):由Netscape公司提出的安全交易協議,提供加密、認證服務和報文的完整性。SSL被用於Netscape Communicator和Microsoft IE瀏覽器,以完成需要的安全交易操作。
安全交易技術協議(STT,Secure Transaction Technology):由Microsoft公司提出,STT將認證和解密在瀏覽器中分離開,用以提高安全控制能力。Microsoft在Internet Explorer中採用這一技術。
安全電子交易協議(SET,Secure Electronic Transaction)
1996年6月,由IBM、MasterCard International、Visa International、Microsoft、Netscape、GTE、VeriSign、SAIC、Terisa就共同制定的標准SET發布公告,並於1997年5月底發布了SET Specification Version 1.0,它涵蓋了信用卡在電子商務交易中的交易協定、信息保密、資料完整及數據認證、數據簽名等。
SET 2.0預計今年發布,它增加了一些附加的交易要求。這個版本是向後兼容的,因此符合SET 1.0的軟體並不必要跟著升級,除非它需要新的交易要求。SET規范明確的主要目標是保障付款安全,確定應用之互通性,並使全球市場接受。
所有這些安全交易標准中,SET標准以推廣利用信用卡支付網上交易,而廣受各界矚目,它將成為網上交易安全通信協議的工業標准,有望進一步推動Internet電子商務市場。
主要的安全技術有:
虛擬專用網(VPN)
這是用於Internet交易的一種專用網路,它可以在兩個系統之間建立安全的信道(或隧道),用於電子數據交換(EDI)。它與信用卡交易和客戶發送訂單交易不同,因為在VPN中,雙方的數據通信量要大得多,而且通信的雙方彼此都很熟悉。這意味著可以使用復雜的專用加密和認證技術,只要通信的雙方默認即可,沒有必要為所有的VPN進行統一的加密和認證。現有的或正在開發的數據隧道系統可以進一步增加VPN的安全性,因而能夠保證數據的保密性和可用性。
數字認證
數字認證可用電子方式證明信息發送者和接收者的身份、文件的完整性(如一個發票未被修改過),甚至數據媒體的有效性(如錄音、照片等)。隨著商家在電子商務中越來越多地使用加密技術,人們都希望有一個可信的第三方,以便對有關數據進行數字認證。
目前,數字認證一般都通過單向Hash函數來實現,它可以驗證交易雙方數據的完整性,Java JDK1.1也能夠支持幾種單向Hash演算法。另外,S/MIME協議已經有了很大的進展,可以被集成到產品中,以便用戶能夠對通過E�mail發送的信息進行簽名和認證。同時,商家也可以使用PGP(Pretty Good Privacy)技術,它允許利用可信的第三方對密鑰進行控制。可見,數字認證技術將具有廣闊的應用前景,它將直接影響電子商務的發展。
加密技術
保證電子商務安全的最重要的一點就是使用加密技術對敏感的信息進行加密。現在,一些專用密鑰加密(如3DES、IDEA、RC4和RC5)和公鑰加密(如RSA、SEEK、PGP和EU)可用來保證電子商務的保密性、完整性、真實性和非否認服務。然而,這些技術的廣泛使用卻不是一件容易的事情。
密碼學界有一句名言:加密技術本身都很優秀,但是它們實現起來卻往往很不理想。現在雖然有多種加密標准,但人們真正需要的是針對企業環境開發的標准加密系統。加密技術的多樣化為人們提供了更多的選擇餘地,但也同時帶來了一個兼容性問題,不同的商家可能會採用不同的標准。另外,加密技術向來是由國家控制的,例如SSL的出口受到美國國家安全局(NSA)的限制。目前,美國的商家一般都可以使用128位的SSL,但美國只允許加密密鑰為40位以下的演算法出口。雖然40位的SSL也具有一定的加密強度,但它的安全系數顯然比128位的SSL要低得多。據報載,最近美國加州已經有人成功地破譯了40位的SSL,這已引起了人們的廣泛關注。美國以外的國家很難真正在電子商務中充分利用SSL,這不能不說是一種遺憾。上海市電子商務安全證書管理中心推出128 位 SSL的演算法,彌補國內的空缺,並採用數字簽名等技術確保電子商務的安全。
電子商務認證中心(CA,Certificate Authority)
實行網上安全支付是順利開展電子商務的前提,建立安全的認證中心(CA)則是電子商務的中心環節。建立CA的目的是加強數字證書和密鑰的管理工作,增強網上交易各方的相互信任,提高網上購物和網上交易的安全,控制交易的風險,從而推動電子商務的發展。
為了推動電子商務的發展,首先是要確定網上參與交易的各方(例如持卡消費戶、商戶、收單銀行的支付網關等)的身份,相應的數字證書(DC:Digital Certificate)就是代表他們身份的,數字證書是由權威的、公正的認證機構管理的。各級認證機構按照根認證中心(Root CA)、品牌認證中心(Brand CA)以及持卡人、商戶或收單銀行(Acquirer)的支付網關認證中心(Holder Card CA,Merchant CA 或 Payment Gateway CA)由上而下按層次結構建立的。
電子商務安全認證中心(CA)的基本功能是:
生成和保管符合安全認證協議要求的公共和私有密鑰、數字證書及其數字簽名。
對數字證書和數字簽名進行驗證。
對數字證書進行管理,重點是證書的撤消管理,同時追求實施自動管理(非手工管理)。
建立應用介面,特別是支付介面。CA是否具有支付介面是能否支持電子商務的關鍵。
第一代CA是由SETCO公司(由Visa & MasterCard組建)建立的,以SET協議為基礎,服務於B�C電子商務模式的層次性結構。
由於B�B電子商務模式的發展,要求CA的支付介面能夠兼容支持B�B與B�C的模式,即同時支持網上購物、網上銀行、網上交易與供應鏈管理等職能,要求安全認證協議透明、簡單、成熟(即標准化),這樣就產生了以公鑰基礎設施(PKI)為技術基礎的平面與層次結構混合型的第二代CA體系。
近年來,PKI技術無論在理論上還是應用上以及開發各種配套產品上,都已經走向成熟,以PKI技術為基礎的一系列相應的安全標准已經由Internet特別工作組(IETF)、國際標准化組織(ISO)和國際電信聯盟(ITU)等國際權威機構批准頒發實施。
建立在PKI技術基礎上的第二代安全認證體系與支付應用介面所使用的主要標准有:
由Internet特別工作組頒發的標准:LDAP(輕型目錄訪問協議)、S/MIME(安全電子郵件協議)、TLC(傳輸層安全套接層傳輸協議)、CAT(通用認證技術,Common Authentication Technology)和GSS-API(通用安全服務介面)等。
由國際標准化組織(ISO)或國際電信聯盟(ITU)批准頒發的標准為9594-8/X.509(數字證書格式標准)。
小結
在計算機互聯網路上實現的電子商務交易必須具有保密性、完整性、可鑒別性、不可偽造性和不可抵賴性等特性。一個完善的電子商務系統在保證其計算機網路硬體平台和系統軟體平台安全的基礎上,應該還具備以下特點:
強大的加密保證
使用者和數據的識別和鑒別
存儲和加密數據的保密
聯網交易和支付的可靠
方便的密鑰管理
數據的完整、防止抵賴
電子商務對計算機網路安全與商務安全的雙重要求,使電子商務安全的復雜程度比大多數計算機網路更高,因此電子商務安全應作為安全工程,而不是解決方案來實施。
6. 安全網路管理系統是個什麼呀怎麼理解這幾個字啊
http://ke..com/view/2797465.htm
特點
·按照信息資產管理模型和安全標准設計
WinShield以信息安全等級保護為指導思想,從信息資產的保護級別和安全威脅大小的角度對信息資產進行分類安全管理。
·功能全面,覆蓋內網管理的各個領域
WinShield把終端管理、網路管理、安全審計、內容管理、安全工具等有機結合,全面覆蓋了當前內網管理的各個領域,極大方便了IT部門的管理。
·系統部署容易,操作簡單方便,終端用戶透明
WinShield把對用戶友好放在首先考慮的位置,WinShield安裝環境要求簡單,只需幾步就可以安裝系統,使用簡易。
·高效的數據壓縮和歸擋功能,確保系統運行性能優異
由於數據量巨大,因此系統的壓縮傳輸是影響系統性能的重要標准,本系統優化的數據壓縮演算法確保了資料的高效存取。客戶端CPU平均佔用率小於5%,內存平均佔用小於10M,在100M帶寬中佔用的網路帶寬0.27%。
·高可靠性,確保系統在大范圍網路穩定運行
由於系統部署在成千上萬的不同系統的終端,系統的穩定可靠性是非常重要的,WinShield經過各種環境的壓力測試及防毒測試,確保系統穩定可靠。
·採用高級別的加密技術,確保本身系統的安全
要實現內網的安全,首先需要保證管理系統本身的安全,本系統工作站與伺服器之間的數據傳輸利用DES演算法進行加密。這種加密的處理讓系統有足夠的能力保護資料和防止非法資料截獲。通過系統獨特的伺服器、代理及控制台之間的認證功能,工作站的代理只向經過認證的伺服器響應,從而有效防止非法伺服器竊取系統資料。
·對多種設備的識別支持能力
系統通過配置庫的實現,可以實現多種設備的識別和管理。
·參數化和自定義技術
由於各機構的管理模式不盡相同,因此使用戶可自定義和配置靈活,是一個關繫到系統實用性的問題,WinShield安全策略管理器可以實現策略的定義和繼承等管理,使IT部門靈活定製各種管理策略,保證系統滿足日益增強的管理需求。
7. 上網時彈出瀏覽器網路的安全協議是什麼意思
這是瀏覽器網路的安全協議,保護個人隱私安全。至於安全證書,可能是你所瀏覽的網業沒有提供可靠的信息到英特網吧!這應該是安全設置中的activex的問題,最簡單的辦法是把安全設置調低點。
打開網頁彈出「安全警報」之解決方法
大家在上網時,是否遇到過只要你打開一個有加密的網站,比如說:當你登錄網路時,或者登錄某些論壇,或者打開ebay,淘寶,當當等有加密行為的網站時,瀏覽器就不停的彈出安全警報,安全警報的內容如下:
安全警報:
您與該站點交換的信息不會被其它人查看或更改,但該站點的安全證書有問題.
√(綠色對號):該安全證書由可信的驗證機構發行.
!(黃色三角中間一個嘆號):該安全證書到期或還未生效.
√(綠色對號):該安全證書有一個與您試圖查看的網頁名稱匹配的有效名稱.
是否繼續?
是否查看證書
雖然當我們點擊「是」,同樣可以打開該網站,但是它仍然會不停地彈出,會讓大家不停的點擊「是」,實在是煩人;當我們點「否」時,盡管不彈出了,但我們也進不去該網站了,呵呵,那還不如不登錄呢;點擊「查年證書」時,它就會出來「證書已過期」頁面。
當我們碰到這問題時,應該怎麼辦呢?有的朋友竟然為此而重裝系統,呵,那真有點太不值得了!羅嗦了半天了,現在就告訴大傢具體的方法,其實很簡單的
方法:
當你碰到以上問題時,麻煩你看一下你的系統時間,出現這種問題的主要原因就是:你的系統時間與系統所帶的網站安全證書的安全日期不符合造成的!所以,現在大家應該清楚了,只要查看一下你的系統時間,估計肯定是你的系統時間一不小心設置錯誤了,只要把你的系統時間改成現在的正確時間,然後重新打開瀏覽器,進入先前的那個網站,看一下,是不是不再彈出「安全警報」了。
其他方法:
1;
打開控制面板--找到安全中心
打開之後左邊有一個「更改安全中心的通知方式」 把裡面的3個勾都去掉。
2;
關閉windows安全警報以及自動更新
開始-控制面板-管理工具-服務-security center。雙擊這個服務,打開屬性設置。把啟動類型設置為「已禁用」,然後單擊服務狀態下的「停止」按鈕停止其服務,最後點「確定」退出。
8. 網路安全管理制度
區域網的構建
網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
傳送時延
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS (Reliability, Availability, Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1 公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2 病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
安全目標
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
9. 如何保證網路安全
上網幾乎是天天都要做的事情,網路安全很重要,如何才能確保上網安全,與你分享幾招。
