❶ 注重网络安全的好处
计算机网络安全的重要性
1)计算机存储和处理的是有关国家安全的政治、经济、军事、国防的情况及一些部门、机构、组织的机密信息或是个人的敏感信息、隐私,因此成为敌对势力、不法分子的攻击目标。
2)随着计算机系统功能的日益完善和速度的不断提高,系统组成越来越复杂,系统规模越来越大,特别是Internet的迅速发展,存取控制、逻辑连接数量不断增加,软件规模空前膨胀,任何隐含的缺陷、失误都能造成巨大损失。
3)人们对计算机系统的需求在不断扩大,这类需求在许多方面都是不可逆转,不可替代的,而计算机系统使用的场所正在转向工业、农业、野外、天空、海上、宇宙空间,核辐射环境等等,这些环境都比机房恶劣,出错率和故障的增多必将导致可靠性和安全性的降低。
4)随着计算机系统的广泛应用,各类应用人员队伍迅速发展壮大,教育和培训却往往跟不上知识更新的需要,操作人员、编程人员和系统分析人员的失误或缺乏经验都会造成系统的安全功能不足。
5)计算机网络安全问题涉及许多学科领域,既包括自然科学,又包括社会科学。就计算机系统的应用而言,安全技术涉及计算机技术、通信技术、存取控制技术、校验认证技术、容错技术、加密技术、防病毒技术、抗干扰技术、防泄露技术等等,因此是一个非常复杂的综合问题,并且其技术、方法和措施都要随着系统应用环境的变化而不断变化。
6)从认识论的高度看,人们往往首先关注系统功能,然后才被动的从现象注意系统应用的安全问题。因此广泛存在着重应用、轻安全、法律意识淡薄的普遍现象。计算机系统的安全是相对不安全而言的,许多危险、隐患和攻击都是隐蔽的、潜在的、难以明确却又广泛存在的。
❷ 网络安全未来发展怎么样
在大数据的发展下,我国较为重视网络安全问题
实际上,我国政府较为重视网络安全问题的发展,仅在2020-2021年,我国就发布了多条政策规范网络安全的发展。但是在有明确规定的情况下,滴滴依然选择了收集个人信息的行为是对我国网络安全的极大挑战。因此,我国应加快修订《网络安全审查办法》,加强数据安全建设,保护我国公民的数据隐私安全。
在我国政府的重视下,不断推出政策促进网络安全市场的发展促使我国网络安全市场规模不断提升。2020年,我国网络安全行业市场规模达到了513亿元,较2019年同比提升16.06个百分点。滴滴事件后,我国或会更加重视网络安全的发展,未来我国网络安全的市场规模或将进一步提高。
❸ 网络安全的重要性
网络安全对于信息处理和传输系统的安全、网络系统信息安全、网络信息传播安全、网络信息内容安全具有重要作用。网络安全指网络系统的硬件、软件及其系统中的数据受到保护,系统连续可靠正常地运行,网络服务不中断。
网老衫御络安全的重要性
网络安全通常是指计算机网络的安全,也可以指计算机通信网络的安全、信息处理和传输的安全。
安全的五个属性侍岩适用于国家信息基础设施的教育、娱乐、医疗、运输、国家安全、通信等广泛领域。
网络安全根据环境和应用塌氏可分为:系统安全、网络信息安全、信息传播安全、信息内容安全。
操作环境
品牌型号:通用
系统版本:通用
❹ 内网安全管理给客户带来什么好处
内网安全管理可以帮助企业能够更好的管理公司,比如可以保护企业的数据安全、终端安全和内网使用等,规范员工上网行为,提高员工办公效率等。比如企业通过用域之盾可以为企业带来以下管理及好处。
在文档数据安全方面可以进行:
1.文档透明加密
通过文档加密中的透明加密模式可以对员工电脑常用办公文档类型进行加密,打开加密文档下的文件后,文件就自动变成加密状态了,加密文件只能在当前局域网打开,外发加密文件需要管理端审批,私自外发出去的文件打开后都是乱码,从而在一定程度上保护数据安全性;
2.文档备份与外发管理
在文档安全中可以对修改或删除时的文件进行自动备份,在备份到本地的同时还可以备份到服务器端,还可以开启文档防勒索功能,在文件外发限制方面,可以做到限制通过浏览器、聊天工具和邮件等形式外发文件,而且还能自定义程序进程限制文件外发,让管理者能够从多角度进行限制文件外发;
3.U盘使用管理
通过U盘管理可以对员工在电脑随意使用U盘行为进行管理,比如通过U盘存储控制可以设置仅读取、仅写入和禁止使用等权限,而且还能设置提交U盘使用申请、U盘使用白名单和U盘加密区,并且还能进行U盘插拔使用行为记录和U盘文件操作记录;
4.外设使用管理
在外设管理中,可以禁止便携式存储设备、移动硬盘、USB外设、蓝牙设备、红外设备和无线网卡等使用,做到对电脑usb接口全面管理,防止员工在usb接口滥用外接设备的行为;
5.邮件外发管理
为防止员工通过邮件私自外发重要文件,可以通过邮件白名单和邮件发送控制对邮件地址进行限制,还可以通过匹配规则对发件人、收件人和正文内容中包含关键字进行设置,还能够设置禁止发送附件及禁止使用哪些邮箱后缀形式发送。
在终端电脑使用及上网方面可以进行:
1.上网行为审计
通过网络审计可以对员工电脑的所有上网行为进行审计,比如通过开启聊天行为审计、网络搜索审计、浏览网页审计、邮件外发审计和上传下载审计,就可以了解到员工在电脑上的所有上网行为了,从而规范员工上网行为;
2.本地操作审计
通过本地审计可以了解到员工在电脑桌面的操作行为,比如可以开启屏幕录像和屏幕快照来记录员工电脑屏幕操作情况,还能够进行文件操作审计、剪贴板使用审计、应用程序审计、打印审计等;
3.终端防火墙管理
通过终端防火墙可以对员工使用网络情况进行设置,比如在工作模式中设置仅允许内网访问、仅允许访问内部互联区和禁止所有网络访问,还可以选择开启IP端口防火墙、禁止程序访问指定端口和禁止访问本地端口等,还能对客户端流量上传及下载进行限速;
4.终端安全
通过终端安全可以对员工电脑上软、硬件进行防护,通过开启软、硬件变化报警就可以防止员工私自拆换电脑硬盘等行为,并且可以禁止员工电脑截屏、使用注册表、修改敏感注册表、使用控制面板、修改IP地址和禁止使用任务管理器等行为;
5.网站访问控制
通过网络审计了解到员工在工作期间浏览哪些与工作无关的网页,就可以开启网站访问控制,并根据禁止访问以下网站和仅允许访问以下网站进行具体设置即可,从而防止员工在电脑长时间浏览与工作无关的网页行为;
6.应用程序使用控制
通过应用程序管控可以防止员工在电脑使用与工作无关的程序,比如通过应用程序黑白名单可以设置员工在电脑仅允许使用哪些程序,或禁止使用哪些程序的行为,并且可以禁止员工在电脑下载新软件行为,或者对员工电脑应用企业软件库。
在员工工作效率统计和离职分析方面可以进行:
1.工作效率分析
工作工作效率分析可以对每个部门员工电脑的工作效率进行统计,对于员工日均办公时长可以通过列表形式进行查看,通过树状图查看部门日均办公时长,通过工作效率趋势可以查看每个部门工作效率走势;
2.离职风险分析
通过离职风险分析,可以进行员工分析、部门分析和离职风险趋势分析,能够对所有员工总人数进行离职分析,并且进行异动人数和高危人数统计,在风险员工分析中可以对每个员工的访问求职网站次数、高危工作次数和敏感聊天次数进行统计记录,让管理者能够及时发现有离职倾向的员工并采取对应的管理方法;
3.时间画像统计
通过时间画像可以对员工每天上班后的电脑操作行为进行记录,通过时间轴可以查看员工任意时间的电脑操作记录,并且对员工电脑操作行为进行状态、程序、办公和网页等进行分类,而且可以查看到每个时间点员工在电脑操作记录和对应屏幕快照使用。
❺ 网络安全的前景
网络安全的前景会越来越好,特别是在今年9月初《网络产品安全管理规定》开始实行之后,各平台、企业等对于网络安全的重视将会进一步提升。特别是目前的情况下,越来越多的业务都搬到了网络上,对网络的安全提出了更高的要求。
可以这么说,未来10年都将是网络安全人才就业的黄金期。
咱们通过客观数据来说话:
这是16年-22年中国网络信息安全市场规模的分析及预测,可以看出网络安全产业经济每年都在高速增长,市场潜力巨大。
整个行业还处于一片蓝海!
而随着大数据、物联网、人工智能等新技术的发展,信息技术与经济社会各领域的融合也更加深入。
针对互联网车辆的攻击危及人身安全
人工智能恶意软件放大攻击者的能力
攻击者操控智能家居,损害电网安全
网络攻击与武装攻击相结合,摧毁商业,危及生命
现阶段网络空间安全建设已达到了刻不容缓的地步!
在这一背景下,网络安全人才短缺问题日益突出,网络安全人才严重匮乏,可谓一将难求。
18年缺口高达95%,超过70万,20年突破232%,缺口达140万,21年缺口飙升285%...
目前北京、深圳、上海、成都、广州、武汉是网络安全人才需求量最大的城市,这五个城市对网络安全人才需求的总量预计占全国需求总量的近一半。
且不管各行业还是组织均加大了对网络安全人才的需求!
网络安全人才供需现状:
怎么样,是不是吃了一颗定心丸。网络安全行业算是冷门行业里的热门行业,未来也将会越来越热门。
❻ 网络安全及其重要意义是什么
网络安全(Cyber Security)是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。
网络信息
在网络中,网络信息与用户信息不同,它是面向网络运行的信息。网络信息是网络内部的专用信息。它仅向通信维护和管理人员提供有限的维护、控制、检测和操作层面的信息资料,其核心部分仍不允许随意访问。
特别应当指出,当前对网络的威胁和攻击不仅是为了获取重要的用户机密信息,得到最大的利益,还把攻击的矛头直接指向网络本身。除对网络硬件攻击外,还会对网络信息进行攻击,严重时能使网络陷于瘫痪,甚至危及国家安全。
❼ 计算机网络安全防范的好处
1. 网络安全的具体含义会随着“角度”的变化而变化。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
2.
随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。有很多是敏感信息,甚至是国家机密。所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。同时,网络实体还要经受诸如水灾、火灾、地震、电磁辐射等方面的考验。
计算机犯罪案件也急剧上升,计算机犯罪已经成为普遍的国际性问题。据美国联邦调查局的报告,计算机犯罪是商业犯罪中最大的犯罪类型之一,每笔犯罪的平均金额为45000美元,每年计算机犯罪造成的经济损失高达50亿美元。
3.威胁网络安全因素
自然灾害、意外事故;计算机犯罪; 人为行为,比如使用不当,安全意识差等;黑客” 行为:由于黑客的入侵或侵扰,比如非法访问、拒绝服务计算机病毒、非法连接等;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等; 信息战;网络协议中的缺陷,例如TCP/IP协议的安全问题等等。
网络安全威胁主要包括两类:渗入威胁和植入威胁渗入威胁主要有:假冒、旁路控制、授权侵犯;
植入威胁主要有:特洛伊木马、陷门。
陷门:将某一“特征”设立于某个系统或系统部件之中,使得在提供特定的输入数据时,允许安全策略被违反。
4. 在网络设备和网络应用市场蓬勃发展的带动下,近年来网络安全市场迎来了高速发展期,一方面随着网络的延伸,网络规模迅速扩大,安全问题变得日益复杂,建设可管、可控、可信的网络也是进一步推进网络应用发展的前提;另一方面随着网络所承载的业务日益复杂,保证应用层安全是网络安全发展的新的方向。
随着网络技术的快速发展,原来网络威胁单点叠加式的防护手段已经难以有效抵御日趋严重的混合型安全威胁。构建一个局部安全、全局安全、智能安全的整体安全体系,为用户提供多层次、全方位的立体防护体系成为信息安全建设的新理念。在此理念下,网络安全产品将发生了一系列的变革。
结合实际应用需求,在新的网络安全理念的指引下,网络安全解决方案正向着以下几个方向来发展:
主动防御走向市场
主动防御的理念已经发展了一些年,但是从理论走向应用一直存在着多种阻碍。主动防御主要是通过分析并扫描指定程序或线程的行为,根据预先设定的规则,判定是否属于危险程序或病毒,从而进行防御或者清除操作。不过,从主动防御理念向产品发展的最重要因素就是智能化问题。由于计算机是在一系列的规则下产生的,如何发现、判断、检测威胁并主动防御,成为主动防御理念走向市场的最大阻碍。
由于主动防御可以提升安全策略的执行效率,对企业推进网络安全建设起到了积极作用,所以尽管其产品还不完善,但是随着未来几年技术的进步,以程序自动监控、程序自动分析、程序自动诊断为主要功能的主动防御型产品将与传统网络安全设备相结合。尤其是随着技术的发展,高效准确的对病毒、蠕虫、木马等恶意攻击行为的主动防御产品将逐步发展成熟并推向市场,主动防御技术走向市场将成为一种必然的趋势。
安全技术融合备受重视
随着网络技术的日新月异,网络普及率的快速提高,网络所面临的潜在威胁也越来越大,单一的防护产品早已不能满足市场的需要。发展网络安全整体解决方案已经成为必然趋势,用户对务实有效的安全整体解决方案需求愈加迫切。安全整体解决方案需要产品更加集成化、智能化、便于集中管理。未来几年开发网络安全整体解决方案将成为主要厂商差异化竞争的重要手段。
软硬结合,管理策略走入安全整体解决方案
面对规模越来越庞大和复杂的网络,仅依靠传统的网络安全设备来保证网络层的安全和畅通已经不能满足网络的可管、可控要求,因此以终端准入解决方案为代表的网络管理软件开始融合进整体的安全解决方案。终端准入解决方案通过控制用户终端安全接入网络入手,对接入用户终端强制实施用户安全策略,严格控制终端网络使用行为,为网络安全提供了有效保障,帮助用户实现更加主动的安全防护,实现高效、便捷地网络管理目标,全面推动网络整体安全体系建设的进程。
❽ 网络安全技术的使用益处
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。
例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运用于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。如在Firewall可以定义不同的认证方法,而不需在每台机器上分别安装特定的认证软件。外部用户也只需要经过—次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Finger和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。 网络策略
影响Firewall系统设计、安装和使用的网络策略可分为两级,高级的网络策略定义允许和禁止的服务以及如何使用服务,低级的网络策略描述Firewall如何限制和过滤在高级策略中定义的服务。
服务访问策略
服务访问策略集中在Internet访问服务以及外部网络访问(如拨入策略、SLIP/PPP连接等)。
服务访问策略必须是可行的和合理的。可行的策略必须在阻止己知的网络风险和提供用户服务之间获得平衡。典型的服务访问策略是:允许通过增强认证的用户在必要的情况下从Internet访问某些内部主机和服务;允许内部用户访问指定的Internet主机和服务。
Firewall设计策略
Firewall设计策略基于特定的firewall,定义完成服务访问策略的规则。通常有两种基本的设计策略:
允许任何服务除非被明确禁止;
禁止任何服务除非被明确允许。
通常采用第二种类型的设计策略。 虚拟补丁
虚拟补丁也成VPatch,旨在通过控制受影响的应用程序的输入或输出,来改变或消除漏洞。这些漏洞给入侵者敞开了大门,数据库厂商会定期推出数据库漏洞补丁,由于数据库打补丁工作的复杂性和对应用稳定性的考虑,大多数企业无法及时更新补丁。数据库防火墙提供了虚拟补丁功能,在数据库外的网络层创建了一个安全层,在用户在无需补丁情况下,完成数据库漏洞防护。DBFirewall支持22类,460个以上虚拟补丁。
包过滤型
包过滤型产品是防火墙的初级产品,其技术依据是网络中的分包传输技术.网络上的数据都是以包为单位进行传输的,数据被分割成为一定大小的数据包,每一个数据包中都会包含一些特定信息,如数据的源地址,目标地址,TCP/UDP源端口和目标端口等.防火墙通过读取数据包中的地址信息来判断这些包是否来自可信任的安全站点 ,一旦发现来自危险站点的数据包,防火墙便会将这些数据拒之门外.系统管理员也可以根据实际情况灵活制订判断规则.
包过滤技术的优点是简单实用,实现成本较低,在应用环境比较简单的情况下,能够以较小的代价在一定程度上保证系统的安全.
但包过滤技术的缺陷也是明显的.包过滤技术是一种完全基于网络层的安全技术,只能根据数据包的来源,目标和端口等网络信息进行判断,无法识别基于应用层的恶意侵入,如恶意的Java小程序以及电子邮件中附带的病毒.有经验的黑客很容易伪造IP地址,骗过包过滤型防火墙.
网络地址转换(NAT)
是一种用于把IP地址转换成临时的,外部的,注册的IP地址标准.它允许具有私有IP地址的内部网络访问因特网.它还意味着用户不需要为其网络中每一台机器取得注册的IP地址.
在内部网络通过安全网卡访问外部网络时,将产生一个映射记录.系统将外出的源地址和源端口映射为一个伪装的地址和端口,让这个伪装的地址和端口通过非安全网卡与外部网络连接,这样对外就隐藏了真实的内部网络地址.在外部网络通过非安全网卡访问内部网络时,它并不知道内部网络的连接情况,而只是通过一个开放的IP地址和端口来请求访问.OLM防火墙根据预先定义好的映射规则来判断这个访问是否安全.当符合规则时,防火墙认为访问是安全的,可以接受访问请求,也可以将连接请求映射到不同的内部计算机中.当不符合规则时,防火墙认为该访问是不安全的,不能被接受,防火墙将屏蔽外部的连接请求.网络地址转换的过程对于用户来说是透明的,不需要用户进行设置,用户只要进行常规操作即可.
代理型
代理型防火墙也可以被称为代理服务器,它的安全性要高于包过滤型产品,并已经开始向应用层发展.代理服务器位于客户机与服务器之间,完全阻挡了二者间的数据交流.从客户机来看,代理服务器相当于一台真正的服务器;而从服务器来看,代理服务器又是一台真正的客户机.当客户机需要使用服务器上的数据时,首先将数据请求发给代理服务器,代理服务器再根据这一请求向服务器索取数据,然后再由代理服务器将数据传输给客户机.由于外部系统与内部服务器之间没有直接的数据通道,外部的恶意侵害也就很难伤害到企业内部网络系统.
代理型防火墙的优点是安全性较高,可以针对应用层进行侦测和扫描,对付基于应用层的侵入和病毒都十分有效.其缺点是对系统的整体性能有较大的影响,而且代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置,大大增加了系统管理的复杂性。
监测型
防火墙是新一代的产品,这一技术实际已经超越了最初的防火墙定义.监测型防火墙能够对各层的数据进行主动的,实时的监测,在对这些数据加以分析的基础上,监测型防火墙能够有效地判断出各层中的非法侵入.同时,这种检测型防火墙产品一般还带有分布式探测器,这些探测器安置在各种应用服务器和其他网络的节点之中,不仅能够检测来自网络外部的攻击,同时对来自内部的恶意破坏也有极强的防范作用.据权威机构统计,在针对网络系统的攻击中,有相当比例的攻击来自网络内部.因此,监测型防火墙不仅超越了传统防火墙的定义,而且在安全性上也超越了前两代产品
虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙,但由于监测型防火墙技术的实现成本较高,也不易管理,所以在实用中的防火墙产品仍然以第二代代理型产品为主,但在某些方面也已经开始使用监测型防火墙.基于对系统成本与安全技术成本的综合考虑,用户可以选择性地使用某些监测型技术.这样既能够保证网络系统的安全性需求,同时也能有效地控制安全系统的总拥有成本.
实际上,作为当前防火墙产品的主流趋势,大多数代理服务器(也称应用网关)也集成了包过滤技术,这两种技术的混合应用显然比单独使用具有更大的优势.由于这种产品是基于应用的,应用网关能提供对协议的过滤.例如,它可以过滤掉FTP连接中的PUT命令,而且通过代理应用,应用网关能够有效地避免内部网络的信息外泄.正是由于应用网关的这些特点,使得应用过程中的矛盾主要集中在对多种网络应用协议的有效支持和对网络整体性能的影响上。 分析安全和服务需求
以下问题有助于分析安全和服务需求:
√ 计划使用哪些Internet服务(如http,ftp,gopher),从何处使用Internet服务(本地网,拨号,远程办公室)。
√ 增加的需要,如加密或拔号接入支持。
√ 提供以上服务和访问的风险。
√ 提供网络安全控制的同时,对系统应用服务牺牲的代价。
策略的灵活性
Internet相关的网络安全策略总的来说,应该保持一定的灵活性,主要有以下原因:
√ Internet自身发展非常快,机构可能需要不断使用Internet提供的新服务开展业务。新的协议和服务大量涌现带来新的安全问题,安全策略必须能反应和处理这些问题。
√ 机构面临的风险并非是静态的,机构职能转变、网络设置改变都有可能改变风险。
远程用户认证策略
√ 远程用户不能通过放置于Firewall后的未经认证的Modem访问系统。
√ PPP/SLIP连接必须通过Firewall认证。
√ 对远程用户进行认证方法培训。
拨入/拨出策略
√ 拨入/拨出能力必须在设计Firewall时进行考虑和集成。
√ 外部拨入用户必须通过Firewall的认证。
Information Server策略
√公共信息服务器的安全必须集成到Firewall中。
√ 必须对公共信息服务器进行严格的安全控制,否则将成为系统安全的缺口。
√ 为Information server定义折中的安全策略允许提供公共服务。
√ 对公共信息服务和商业信息(如email)讲行安全策略区分。
Firewall系统的基本特征
√ Firewall必须支持.“禁止任何服务除非被明确允许”的设计策略。
√ Firewall必须支持实际的安全政策,而非改变安全策略适应Firewall。
√ Firewall必须是灵活的,以适应新的服务和机构智能改变带来的安全策略的改变。
√ Firewall必须支持增强的认证机制。
√ Firewall应该使用过滤技术以允许或拒绝对特定主机的访问。
√ IP过滤描述语言应该灵活,界面友好,并支持源IP和目的IP,协议类型,源和目的TCP/UDP口,以及到达和离开界面。
√ Firewall应该为FTP、TELNET提供代理服务,以提供增强和集中的认证管理机制。如果提供其它的服务(如NNTP,http等)也必须通过代理服务器。
√ Firewall应该支持集中的SMTP处理,减少内部网和远程系统的直接连接。
√ Firewall应该支持对公共Information server的访问,支持对公共Information server的保护,并且将Information server同内部网隔离。
√ Firewall可支持对拨号接入的集中管理和过滤。
√ Firewall应支持对交通、可疑活动的日志记录。
√ 如果Firewall需要通用的操作系统,必须保证使用的操作系统安装了所有己知的安全漏洞Patch。
√ Firewall的设计应该是可理解和管理的。
√ Firewall依赖的操作系统应及时地升级以弥补安全漏洞。 (1) 安全性:即是否通过了严格的入侵测试。
(2) 抗攻击能力:对典型攻击的防御能力
(3) 性能:是否能够提供足够的网络吞吐能力
(4) 自我完备能力:自身的安全性,Fail-close
(5) 可管理能力:是否支持SNMP网管
(6) VPN支持
(7) 认证和加密特性
(8) 服务的类型和原理
(9)网络地址转换能力 病毒历来是信息系统安全的主要问题之一。由于网络的广泛互联,病毒的传播途径和速度大大加快。
我们将病毒的途径分为:
(1 ) 通过FTP,电子邮件传播。
(2) 通过软盘、光盘、磁带传播。
(3) 通过Web游览传播,主要是恶意的Java控件网站。
(4) 通过群件系统传播。
病毒防护的主要技术如下:
(1) 阻止病毒的传播。
在防火墙、代理服务器、SMTP服务器、网络服务器、群件服务器上安装病毒过滤软件。在桌面PC安装病毒监控软件。
(2) 检查和清除病毒。
使用防病毒软件检查和清除病毒。
(3) 病毒数据库的升级。
病毒数据库应不断更新,并下发到桌面系统。
(4) 在防火墙、代理服务器及PC上安装Java及ActiveX控制扫描软件,禁止未经许可的控件下载和安装。 利用防火墙技术,经过仔细的配置,通常能够在内外网之间提供安全的网络保护,降低了网络安全风险。但是,仅仅使用防火墙、网络安全还远远不够:
(1) 入侵者可寻找防火墙背后可能敞开的后门。
(2) 入侵者可能就在防火墙内。
(3) 由于性能的限制,防火墙通常不能提供实时的入侵检测能力。
入侵检测系统是新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。
实时入侵检测能力之所以重要首先它能够对付来自内部网络的攻击,其次它能够缩短hacker入侵的时间。
入侵检测系统可分为两类:
√ 基于主机
√ 基于网络
基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查,非法访问的闯入等,并且提供对典型应用的监视如Web服务器应用。
基于网络的入侵检测系统用于实时监控网络关键路径的信息,其基本模型如右图示:
上述模型由四个部分组成:
(1) Passive protocol Analyzer网络数据包的协议分析器、将结果送给模式匹配部分并根据需要保存。
(2) Pattern-Matching Signature Analysis根据协议分析器的结果匹配入侵特征,结果传送给Countermeasure部分。
(3) countermeasure执行规定的动作。
(4) Storage保存分析结果及相关数据。
基于主机的安全监控系统具备如下特点:
(1) 精确,可以精确地判断入侵事件。
(2) 高级,可以判断应用层的入侵事件。
(3) 对入侵时间立即进行反应。
(4) 针对不同操作系统特点。
(5) 占用主机宝贵资源。
基于网络的安全监控系统具备如下特点:
(1) 能够监视经过本网段的任何活动。
(2) 实时网络监视。
(3) 监视粒度更细致。
(4) 精确度较差。
(5) 防入侵欺骗的能力较差。
(6) 交换网络环境难于配置。
基于主机及网络的入侵监控系统通常均可配置为分布式模式:
(1) 在需要监视的服务器上安装监视模块(agent),分别向管理服务器报告及上传证据,提供跨平台的入侵监视解决方案。
(2) 在需要监视的网络路径上,放置监视模块(sensor),分别向管理服务器报告及上传证据,提供跨网络的入侵监视解决方案。
选择入侵监视系统的要点是:
(1) 协议分析及检测能力。
(2) 解码效率(速度)。
(3) 自身安全的完备性。
(4) 精确度及完整度,防欺骗能力。
(5) 模式更新速度。 网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
安全扫描工具源于Hacker在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
安全扫描工具通常也分为基于服务器和基于网络的扫描器。
基于服务器的扫描器主要扫描服务器相关的安全漏洞,如password文件,目录和文件权限,共享文件系统,敏感服务,软件,系统漏洞等,并给出相应的解决办法建议。通常与相应的服务器操作系统紧密相关。
基于网络的安全扫描主要扫描设定网络内的服务器、路由器、网桥、变换机、访问服务器、防火墙等设备的安全漏洞,并可设定模拟攻击,以测试系统的防御能力。通常该类扫描器限制使用范围(IP地址或路由器跳数)。网络安全扫描的主要性能应该考虑以下方面:
(1) 速度。在网络内进行安全扫描非常耗时。
(2) 网络拓扑。通过GUI的图形界面,可迭择一步或某些区域的设备。
(3) 能够发现的漏洞数量。
(4) 是否支持可定制的攻击方法。通常提供强大的工具构造特定的攻击方法。因为网络内服务器及其它设备对相同协议的实现存在差别,所以预制的扫描方法肯定不能满足客户的需求。
(5) 报告,扫描器应该能够给出清楚的安全漏洞报告。
(6) 更新周期。提供该项产品的厂商应尽快给出新发现的安生漏洞扫描特性升级,并给出相应的改进建议。
安全扫描器不能实时监视网络上的入侵,但是能够测试和评价系统的安全性,并及时发现安全漏洞。 认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。
认证技术将应用到企业网络中的以下方面:
(1) 路由器认证,路由器和交换机之间的认证。
(2) 操作系统认证。操作系统对用户的认证。
(3) 网管系统对网管设备之间的认证。
(4) VPN网关设备之间的认证。
(5) 拨号访问服务器与客户间的认证。
(6) 应用服务器(如Web Server)与客户的认证。
(7) 电子邮件通讯双方的认证。
数字签名技术主要用于:
(1) 基于PKI认证体系的认证过程。
(2) 基于PKI的电子邮件及交易(通过Web进行的交易)的不可抵赖记录。
认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
UserName/Password认证
该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密,即password容易被监听和解密。
使用摘要算法的认证
Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key,加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中,由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
基于PKI的认证
使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效率结合起来。后面描述了基于PKI认证的基本原理。这种认证方法应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。
该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。 1、 企业对VPN 技术的需求
企业总部和各分支机构之间采用internet网络进行连接,由于internet是公用网络,因此,必须保证其安全性。我们将利用公共网络实现的私用网络称为虚拟私用网(VPN)。
因为VPN利用了公共网络,所以其最大的弱点在于缺乏足够的安全性。企业网络接入到internet,暴露出两个主要危险:
来自internet的未经授权的对企业内部网的存取。
当企业通过INTERNET进行通讯时,信息可能受到窃听和非法修改。
完整的集成化的企业范围的VPN安全解决方案,提供在INTERNET上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。
企业网络的全面安全要求保证:
保密-通讯过程不被窃听。
通讯主体真实性确认-网络上的计算机不被假冒。
2、数字签名
数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对,作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。伪造数字签名从计算能力上是不可行的。
并且,如果消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。
通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥,并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。
类 型 技 术 用 途
基本会话密钥 DES 加密通讯
加密密钥 Deff-Hellman 生成会话密钥
认证密钥 RSA 验证加密密钥
基于此种加密模式,需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。
3、IPSEC
IPSec作为在IP v4及IP v6上的加密通讯框架,已为大多数厂商所支持,预计在1998年将确定为IETF标准,是VPN实现的Internet标准。
IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,Authentication Header(AH)及encapsualting security payload(ESP)。IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。
Ipsec包含两个部分:
(1) IP security Protocol proper,定义Ipsec报文格式。
(2) ISAKMP/Oakley,负责加密通讯协商。
Ipsec提供了两种加密通讯手段:
Ipsec Tunnel:整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通讯。
Ipsec transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。
Ipsec Tunnel不要求修改已配备好的设备和应用,网络黑客户不能看到实际的的通讯源地址和目的地址,并且能够提供专用网络通过Internet加密传输的通道,因此,绝大多数均使用该模式。
ISAKMP/Oakley使用X.509数字证书,因此,使VPN能够容易地扩大到企业级。(易于管理)。
在为远程拨号服务的Client端,也能够实现Ipsec的客户端,为拨号用户提供加密网络通讯。
由于Ipsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。 由于应用系统的复杂性,有关应用平台的安全问题是整个安全体系中最复杂的部分。下面的几个部分列出了在Internet/Intranet中主要的应用平台服务的安全问题及相关技术。
1、域名服务
Internet域名服务为Internet/Intranet应用提供了极大的灵活性。几乎所有的网络应用均利用域名服务。
但是,域名服务通常为hacker提供了入侵网络的有用信息,如服务器的IP、操作系统信息、推导出可能的网络结构等。
同时,新发现的针对BIND-NDS实现的安全漏洞也开始发现,而绝大多数的域名系统均存在类似的问题。如由于DNS查询使用无连接的UDP协议,利用可预测的查询ID可欺骗域名服务器给出错误的主机名-IP对应关系。
因此,在利用域名服务时,应该注意到以上的安全问题。主要的措施有:
(1) 内部网和外部网使用不同的域名服务器,隐藏内部网络信息。
(2) 域名服务器及域名查找应用安装相应的安全补丁。
(3) 对付Denial-of-Service攻击,应设计备份域名服务器。
2、Web Server应用安全
Web Server是企业对外宣传、开展业务的重要基地。由于其重要性,成为Hacker攻击的首选目标之一。
Web Server经常成为Internet用户访问公司内部资源的通道之一,如Web server通过中间件访问主机系统,通过数据库连接部件访问数据库,利用CGI访问本地文件系统或网络系统中其它资源。
但Web服务器越来越复杂,其被发现的安全漏洞越来越多。为了防止Web服务器成为攻击的牺牲品或成为进入内部网络的跳板,我们需要给予更多的关心:
(1) Web服务器置于防火墙保护之下。
(2) 在Web服务器上安装实时安全监控软件。
(3) 在通往Web服务器的网络路径上安装基于网络的实时入侵监控系统。
(4) 经常审查Web服务器配置情况及运行日志。
(5) 运行新的应用前,先进行安全测试。如新的CGI应用。
(6) 认证过程采用加密通讯或使用X.509证书模式。
(7) 小心设置Web服务器的访问控制表。
3、电子邮件系统安全
电子邮件系统也是网络与外部必须开放的服务系统。由于电子邮件系统的复杂性,其被发现的安全漏洞非常多,并且危害很大。
加强电子邮件系统的安全性,通常有如下办法:
(1) 设置一台位于停火区的电子邮件服务器作为内外电子邮件通讯的中转站(或利用防火墙的电子邮件中转功能)。所有出入的电子邮件均通过该中转站中转。
(2) 同样为该服务器安装实施监控系统。
(3) 该邮件服务器作为专门的应用服务器,不运行任何其它业务(切断与内部网的通讯)。
(4) 升级到最新的安全版本。
4、 操作系统安全
市场上几乎所有的操作系统均已发现有安全漏洞,并且越流行的操作系统发现的问题越多。对操作系统的安全,除了不断地增加安全补丁外,还需要:
(1) 检查系统设置(敏感数据的存放方式,访问控制,口令选择/更新)。
(2) 基于系统的安全监控系统。