網絡新技術的概論_第1頁
網絡新技術的概論_第2頁
網絡新技術的概論_第3頁
網絡新技術的概論_第4頁
網絡新技術的概論_第5頁
已閱讀5頁,還剩5頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、網絡安全新技術的概述針對計算機網絡系統(tǒng)存在的安全性和可靠性問題,本文從網絡安全的重要性、理論基礎、具備功能以及解決措施等方面提出一些見解,并且進行了詳細闡述,以使廣大用戶在計算機網絡方面增強安全防范意識。關鍵詞:網絡管理 計算機網絡虛擬專用網技術加密技術防火墻一、 網絡管理技術概述 網絡管理這一學科領域自20世紀80年代起逐漸受到重視,許多國際標準化組織、論壇和科研機構都先后開發(fā)了各類標準、協(xié)議來指導網絡管理與設計,但各種網絡系統(tǒng)在結構上存在著或大或小的差異,至今還沒有一個大家都能接受的標準。當前,網絡管理技術主要有以下三種:誕生于Internte家族的SNMP是專門用于對Internet進行

2、管理的,雖然它有簡單適用等特點,已成為當前網絡界的實際標準,但由于Internet本身發(fā)展的不規(guī)范性,使SNMP有先天性的不足,難以用于復雜的網絡管理,只適用于TCP/IP網絡,在安全方面也有欠缺。已有SNMPv1和SNMPv2兩種版本,其中SNMPv2主要在安全方面有所補充。隨著新的網絡技術及系統(tǒng)的研究與出現(xiàn),電信網、有線網、寬帶網等的融合,使原來的SNMP已不能滿足新的網絡技術的要求;CMIP可對一個完整的網絡管理方案提供全面支持,在技術和標準上比較成熟.最大的優(yōu)勢在于,協(xié)議中的變量并不僅僅是與終端相關的一些信息,而且可以被用于完成某些任務,但正由于它是針對SNMP的不足而設計的,因此過于

3、復雜,實施費用過高,還不能被廣泛接受;分布對象網絡管理技術是將CORBA技術應用于網絡管理而產生的,主要采用了分布對象技術將所有的管理應用和被管元素都看作分布對象,這些分布對象之間的交互就構成了網絡管理.此方法最大的特點是屏蔽了編程語言、網絡協(xié)議和操作系統(tǒng)的差異,提供了多種透明性,因此適應面廣,開發(fā)容易,應用前景廣闊.SNMP和CMIP這兩種協(xié)議由于各自有其擁護者,因而在很長一段時期內不會出現(xiàn)相互替代的情況,而如果由完全基于CORBA的系統(tǒng)來取代,所需要的時間、資金以及人力資源等都過于龐大,也是不能接受的.所以,CORBA,SNMP,CMIP相結合成為基于CORBA的網絡管理系統(tǒng)是當前研究的主

4、要方向。 2.網絡管理協(xié)議 網絡管理協(xié)議一般為應用層級協(xié)議,它定義了網絡管理信息的類別及其相應的確切格式,并且提供了網絡管理站和網絡管理節(jié)點間進行通訊的標準或規(guī)則。 網絡管理系統(tǒng)通常由管理者(Manager)和代理( Agent)組成,管理者從各代理那兒采集管理信息,進行加工處理,從而提供相應的網絡管理功能,達到對代理管理之目的。即管理者與代理之間孺要利用網絡實現(xiàn)管理信息交換,以完成各種管理功能,交換管理信息必須遵循統(tǒng)一的通信規(guī)約,我們稱這個通信規(guī)約為網絡管理協(xié)議。 目前有兩大網管協(xié)議,一個是由IETF提出來的簡單網絡管理協(xié)議SNMP,它是基于TCP / IP和Internet的。因為TCP/

5、IP協(xié)議是當今網絡互連的工業(yè)標準,得到了眾多廠商的支持,因此SNMP是一個既成事實的網絡管理標準協(xié)議。SNMP的特點主要是采用輪詢監(jiān)控,管理者按一定時間間隔向代理者請求管理信息,根據管理信息判斷是否有異常事件發(fā)生。輪詢監(jiān)控的主要優(yōu)點是對代理的要求不高;缺點是在廣域網的情形下,輪詢不僅帶來較大的通信開銷,而且輪詢所獲得的結果無法反映最新的狀態(tài)。 另一個是ISO定義的公共管理信息協(xié)議CMIP。CMIP是以OSI的七層協(xié)議棧作為基礎,它可以對開放系統(tǒng)互連環(huán)境下的所有網絡資源進行監(jiān)測和控制,被認為是未來網絡管理的標準協(xié)議。CMIP的特點是采用委托監(jiān)控,當對網絡進行監(jiān)控時,管理者只需向代理發(fā)出一個監(jiān)控請

6、求,代理會自動監(jiān)視指定的管理對象,并且只是在異常事件(如設備、線路故障)發(fā)生時才向管理者發(fā)出告警,而且給出一段較完整的故障報告,包括故障現(xiàn)象、故障原因。委托監(jiān)控的主要優(yōu)點是網絡管理通信的開銷小、反應及時,缺點是對代理的軟硬件資源要求高,要求被管站上開發(fā)許多相應的代理程序,因此短期內尚不能得到廣泛的支持。 3.網絡管理系統(tǒng)的組成 網絡管理的需求決定網管系統(tǒng)的組成和規(guī)模,任何網管系統(tǒng)無論其規(guī)模大小如何,基本上都是由支持網管協(xié)議的網管軟件平臺、網管支撐軟件、網管工作平臺和支撐網管協(xié)議的網絡設備組成。 網管軟件平臺提供網絡系統(tǒng)的配置、故障、性能以及網絡用戶分布方面的基本管理。目前決大多數網管軟件平臺都

7、是在UNIX 和DOS/WINDOWS平臺上實現(xiàn)的。目前公認的三大網管軟件平臺是:HP View、IBM Netview和SUN Netmanager。雖然它們的產品形態(tài)有不同的操作系統(tǒng)的版本,但都遵循SNMP協(xié)議和提供類似的網管功能。 不過,盡管上述網管軟件平臺具有類似的網管功能,但是它們在網管支撐軟件的支持、系統(tǒng)的可靠性、用戶界面、操作功能、管理方式和應用程序接口,以及數據庫的支持等方面都存在差別??赡茉谄渌僮飨到y(tǒng)之上實現(xiàn)的Netview、Openview、Netmanager軟件平臺版本僅是標準Netview、Openview、Netmanager的子集。例如,在MS Windows操

8、作系統(tǒng)上實現(xiàn)的Netview 網管軟件平臺版本Netview for Windows 便僅僅只是Netview的子集。 網管支撐軟件是運行于網管軟件平臺之上,支持面向特定網絡功能、網絡設備和操作系統(tǒng)管理的支撐軟件系統(tǒng)。 網絡設備生產廠商往往為其生產的網絡設備開發(fā)專門的網絡管理軟件。這類軟件建立在網絡管理平臺之上,針對特定的網絡管理設備,通過應用程序接口與平臺交互,并利用平臺提供的數據庫和資源,實現(xiàn)對網絡設備的管理,比如Cisco Works就是這種類型的網絡管理軟件,它可建立在HP Open View和IBM Netview等管理平臺之上,管理廣域互聯(lián)網絡中的Cisco路由器及其它設備。通過它

9、,可以實現(xiàn)對Cisco的各種網絡互聯(lián)設備(如路由器、交換機等)進行復雜網絡管理。4.網絡管理的體系結構 網絡管理系統(tǒng)的體系結構(簡稱網絡拓撲)是決定網絡管理性能的重要因素之一。通??梢苑譃榧惺胶头羌惺絻深愺w系結構。 目前,集中式網管體系結構通常采用以平臺為中心的工作模式,該工作模式把單一的管理者分成兩部分:管理平臺和管理應用。管理平臺主要關心收集的信息并進行簡單的計算,而管理應用則利用管理平臺提供的信息進行決策和執(zhí)行更高級的功能。 非集中方式的網絡管理體系結構包括層次方式和分布式。層次方式采用管理者的管理者MOM(Manager of manager)的概念,以域為單位,每個域有一個管理者

10、,它們之間的通訊通過上層的MOM,而不直接通訊。層次方式相對來說具有一定的伸縮性:通過增加一級MOM,層次可進一步加深。分布式是端對端(peer to peer)的體系結構,整個系統(tǒng)有多個管理方,幾個對等的管理者同時運行于網絡中,每個管理者負責管理系統(tǒng)中一個特定部分 “域”,管理者之間可以相互通訊或通過高級管理者進行協(xié)調。 對于選擇集中式還是非集中式,這要根據實際場合的需要來決定。而介于兩者之間的部分分布式網管體系結構,則是近期發(fā)展起來的兼顧兩者優(yōu)點的一種新型網管體系結構。二、幾種常見的網絡管理技術 1.基于WEB的網絡管理模式 隨著 Internet技術的廣泛應用,Intranet也正在悄然

11、取代原有的企業(yè)內部局域網,由于異種平臺的存在及網絡管理方法和模型的多樣性, 使得網絡管理軟件開發(fā)和維護的費用很高, 培訓管理人員的時間很長, 因此人們迫切需要尋求高效、方便的網絡管理模式來適應網絡高速發(fā)展的新形勢。隨著Intranet和WEB 及其開發(fā)工具的迅速發(fā)展,基于WEB的網絡管理技術也因此應運而生。基于WEB的網管解決方案主要有以下幾方面的優(yōu)點:(1)地理上和系統(tǒng)間的可移動性:系統(tǒng)管理員可以在Intranet 上的任何站點或Internet的遠程站點上利用 WEB 瀏覽器透明存取網絡管理信息;(2)統(tǒng)一的WEB瀏覽器界面方便了用戶的使用和學習,從而可節(jié)省培訓費用和管理開銷;(3)管理應

12、用程序間的平滑鏈接:由于管理應用程序獨立于平臺,可以通過標準的HTTP協(xié)議將多個基于WEB的管理應用程序集成在一起,實現(xiàn)管理應用程序間的透明移動和訪問;(4)利用 JAVA技術能夠迅速對軟件進行升級。 為了規(guī)范和促進基于WEB的網管系統(tǒng)開發(fā),目前已相繼公布了兩個主要推薦標準:WEBM和JMAPI。兩個推薦標準各有其特色,并基于不同的原理提出。 WEBM方案仍然支持現(xiàn)存的管理標準和協(xié)議,它通過WEB技術對不同管理平臺所提供的分布式管理服務進行集成,并且不會影響現(xiàn)有的網絡基礎結構。 JMAPI 是一種輕型的管理基礎結構,采用JMAPI來開發(fā)集成管理工具存在以下優(yōu)點:平臺無關、高度集成化、消除代理程

13、序版本分發(fā)問題、安全性和協(xié)議無關性。 2.分布對象網絡管理技術 目前廣泛采用的網絡管理系統(tǒng)模式是一種基于Client/Server技術的集中式平臺模式。由于組織結構簡單,自應用以來,已經得到廣泛推廣,但同時也存在著許多缺陷:一個或幾個站點負責收集分析所有網絡節(jié)點信息,并進行相應管理,造成中心網絡管理站點負載過重;所有信息送往中心站點處理,造成此處通信瓶頸;每個站點上的程序是預先定義的,具有固定功能,不利于擴展。隨著網絡技術和網絡規(guī)模尤其是因特網的發(fā)展,集中式在可擴展性、可靠性、有效性、靈活性等方面有很大的局限,已不能適應發(fā)展的需要. 2.1CORBA技術 CORBA技術是對象管理組織OMG推出

14、的工業(yè)標準,主要思想是將分布計算模式和面向對象思想結合在一起,構建分布式應用。CORBA的主要目標是解決面向對象的異構應用之間的互操作問題,并提供分布式計算所需要的一些其它服務。OMG是CORBA平臺的核心,它用于屏蔽與底層平臺有關的細節(jié),使開發(fā)者可以集中精力去解決與應用相關的問題,而不必自己去創(chuàng)建分布式計算基礎平臺。CORBA將建立在ORB之上的所有分布式應用看作分布計算對象,每個計算對象向外提供接口,任何別的對象都可以通過這個接口調用該對象提供的服務。CORBA同時提供一些公共服務設施,例如名字服務、事務服務等,借助于這些服務,CORBA可以提供位置透明性、移動透明性等分布透明性。 2.2

15、CORBA的一般結構 基于CORBA的網絡管理系統(tǒng)通常按照Client/Server的結構進行構造。其中,服務方是指針對網絡元素和數據庫組成的被管對象進行的一些基本網絡服務,例如配置管理、性能管理等.客戶方則是面向用戶的一些界面,或者提供給用戶進一步開發(fā)的管理接口等。其中,從網絡元素中獲取的網絡管理信息通常需要經過CORBA/SNMP網關或CORBA/CMIP網關進行轉換,這一部分在有的網絡管理系統(tǒng)中被抽象成CORBA代理的概念.從以上分析可以看出,運用CORBA技術完全能夠實現(xiàn)標準的網絡管理系統(tǒng)。不僅如此,由于CORBA是一種分布對象技術,基于CORBA的網絡管理系統(tǒng)能夠克服傳統(tǒng)網絡管理技術

16、的不足,在網絡管理的分布性、可靠性和易開發(fā)性方面達到一個新的高度。 網絡信息安全是一個關系國家安全和主權、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題。其重要性,正隨著全球信息化步伐的加快越來越重要。網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。它主要是指網絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,網絡服務不中斷。以影響計算機網絡安全的主要因素為突破口,重點分析防范各種不利于計算機網絡正常運行的措施,從不同角度全面了解影響計算機網絡安全的情況,做到心

17、中有數,將不利因素解決在萌芽狀態(tài),確保計算機網絡的安全管理與有效運行 隨著計算機網絡的發(fā)展和Internet的廣泛普及,信息已經成為現(xiàn)代社會生活的核心。國家政府機構、各企事業(yè)單位不僅大多建立了自己的局域網系統(tǒng),而且通過各種方式與互聯(lián)網相連。通過上網樹立形象、拓展業(yè)務,已經成為政府辦公、企業(yè)發(fā)展的重要手段。 一、計算機安全的定義 國際標準化組織(ISO)將“計算機安全”定義為:“為數據處理系統(tǒng)建立和采取的技術和管理的安全保護,保護計算機硬件、軟件數據不因偶然和惡意的原因而遭到破壞、更改和泄漏”。上述計算機安全的定義包含物理安全和邏輯安全兩方面的內容,其邏輯安全的內容可理解為我們常說的信息安全,是

18、指對信息的保密性、完整性和可用性的保護,而網絡安全性的含義是信息安全的引申,即網絡安全是對網絡信息保密性、完整性和可用性的保護。 二、影響計算機網絡安全的主要因素 1、網絡系統(tǒng)本身的問題 目前流行的許多操作系統(tǒng)均存在網絡安全漏洞,如UNIX,MS NT 和Windows。黑客往往就是利用這些操作系統(tǒng)本身所存在的安全漏洞侵入系統(tǒng)。具體包括以下幾個方面:穩(wěn)定性和可擴充性方面,由于設計的系統(tǒng)不規(guī)范、不合理以及缺乏安全性考慮,因而使其受到影響;網絡硬件的配置不協(xié)調,一是文件服務器。它是網絡的中樞,其運行穩(wěn)定性、功能完善性直接影響網絡系統(tǒng)的質量。網絡應用的需求沒有引起足夠的重視,設計和選型考慮欠周密,從

19、而使網絡功能發(fā)揮受阻,影響網絡的可靠性、擴充性和升級換代。二是網卡用工作站選配不當導致網絡不穩(wěn)定;缺乏安全策略。許多站點在防火墻配置上無意識地擴大了訪問權限,忽視了這些權限可能會被其他人員濫用;訪問控制配置的復雜性,容易導致配置錯誤,從而給他人以可乘之機; 2、來自內部網用戶的安全威脅來自內部用戶的安全威脅遠大于外部網用戶的安全威脅,使用者缺乏安全意識,許多應用服務系統(tǒng)在訪問控制及安全通信方面考慮較少,并且,如果系統(tǒng)設置錯誤,很容易造成損失,管理制度不健全,網絡管理、維護任在一個安全設計充分的網絡中,人為因素造成的安全漏洞無疑是整個網絡安全性的最大隱患。網絡管理員或網絡用戶都擁有相應的權限 ,

20、利用這些權限破壞網絡安全的隱患也是存在的。如操作口令的泄漏 ,磁盤上的機密文件被人利用,臨時文件未及時刪除而被竊取,內部人員有意無意的泄漏給黑客帶來可乘之機等,都可能使網絡安全機制形同虛設。 其自然。特別是一些安裝了防火墻的網絡系統(tǒng),對內部網用戶來說一點作用也不起。 3、缺乏有效的手段監(jiān)視、硬件設備的正確使用及評估網絡系統(tǒng)的安全性完整準確的安全評估是黑客入侵防范體系的基礎。它對現(xiàn)有或將要構建的整個網絡的安全防護性能作出科學、準確的分析評估,并保障將要實施的安全策略技術上的可實現(xiàn)性、經濟上的可行性和組織上的可執(zhí)行性。網絡安全評估分析就是對網絡進行檢查,查找其中是否有可被黑客利用的漏洞,對系統(tǒng)安全

21、狀況進行評估、分析,并對發(fā)現(xiàn)的問題提出建議從而提高網絡系統(tǒng)安全性能的過程。評估分析技術是一種非常行之有效的安全技術 4、黑客的攻擊手段在不斷地更新,幾乎每天都有不同系統(tǒng)安全問題出現(xiàn)。然而 安全工具的更新速度太慢,絕大多數情況需要人為的參與才能發(fā)現(xiàn)以前未知的安全問題,這就使得它們對新出現(xiàn)的安全問題總是反應太慢。當安全工具剛發(fā)現(xiàn)并努力更正某方面的安全問題時,其他的安全問題又出現(xiàn)了。因此,黑客總是可以使用先進的、安全工具不知道的手段進行攻擊三、確保計算機網絡安全的防范措施 如何才能使我們的網絡百分之百的安全呢?對這個問題的最簡單的回答是:不可能。因為迄今還沒有一種技術可完全消除網絡安全漏洞。網絡的安

22、全實際上是理想中的安全策略和實際的執(zhí)行之間的一個平衡。從廣泛的網絡安全意義范圍來看,網絡安全不僅是技術問題,更是一個管理問題,它包含管理機構、法律、技術、經濟各方面。我們可從提高網絡安全技術和人員素質入手,從目前來看。 1、依據互聯(lián)網信息服務管理辦法、互聯(lián)網站從事登載新聞業(yè)務管理暫行規(guī)定和中國互聯(lián)網絡域名注冊暫行管理辦法建立健全各種安全機制、各種網絡安全制度,加強網絡安全教育和培訓。 2、網絡病毒的防范。在網絡環(huán)境下,病毒 傳播擴散快,僅用單機防病毒產品已經很難徹底清除網絡病毒,必須有適合于局域網的全方位防病毒產品。學校、政府機關、企事業(yè)單位等網絡一般是內部局域網,就需要一個基于服務器操作系統(tǒng)

23、平臺的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果與互聯(lián)網相連,就需要網關的防病毒軟件,加強上網計算機的安全。如果在網絡內部使用電子郵件進行信息交換,還需要一套基于郵件服務器平臺的郵件防病毒軟件,識別出隱藏在電子郵件和附件中的病毒。所以最好使用全方位的防病毒產品,針對網絡中所有可能的病毒攻擊點設置對應的防病毒軟件,通過全方位、多層次的防病毒系統(tǒng)的配置,通過定期或不定期的自動升級,及時為每臺客戶端計算機打好補丁,加強日常監(jiān)測,使網絡免受病毒的侵襲?,F(xiàn)在網絡版殺毒軟件比較多,如瑞星、江民、趨勢、金山毒霸等。 3、配置防火墻。利用防火墻,在網絡通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪問的人

24、與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客來訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止Internet上的不安全因素蔓延到局域網內部,根據不同網絡的安裝需求,做好防火墻內服務器及客戶端的各種規(guī)則配置,更加有效利用好防火墻。 4、采用入侵檢測系統(tǒng)。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未 授權或異?,F(xiàn)象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。在入侵檢測系統(tǒng)中利用審計記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達到限制

25、這些活動,以保護系統(tǒng)的安全。在學校、政府機關、企事業(yè)網絡中采用入侵檢測技術,最好采用混合入侵檢測,在網絡中同時采用基于網絡和基于主機的入侵檢測系統(tǒng),則會構架成一套完整立體的主動防御體系,有的入侵檢測設備可以同防火強進行聯(lián)動設置。 5、Web,Email,BBS的安全監(jiān)測系統(tǒng)。在網絡的www服務器、Email服務器等中使用網絡安全監(jiān)測系統(tǒng),實時跟蹤、監(jiān)視網絡, 截獲Internet網上傳輸的內容,并將其還原成完整的www、Email、FTP、Telnet應用的內容 ,建立保存相應記錄的數據庫。及時發(fā)現(xiàn)在網絡上傳輸的非法內容,及時向上級安全網管中 心報告,采取措施。 6、漏洞掃描系統(tǒng)。解決網絡層安

26、全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對大型網絡的復雜性和不斷變化的情況,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估,顯然是不現(xiàn)實的。解決的方案是,尋找一種能查找網絡安全漏洞、評估并提出修改建議的網絡 安全掃描工具,利用優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。在要求安全程度不高的情況下,可以利用各種黑客工具,對網絡模擬攻擊從而暴露出網絡的漏洞。 7、IP盜用問題的解決。在路由器上捆綁IP和MAC地址。當某個IP通過路由器訪問Internet時,路由器要檢查發(fā)出這個IP廣播包的工作站的MAC是否與路由器上的MAC地址表相符,如果相符就

27、放行。否則不允許通過路由器,同時給發(fā)出這個IP廣播包的工作站返回一個警告信息。 8、利用網絡監(jiān)聽維護子網系統(tǒng)安全。對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,我們可以采用對各個子網做一個具有一定功能的審計文件,為管理人員分析自己的網絡運作狀態(tài)提供依據。設計一個子網專用的監(jiān)聽程序。該軟件的主要功能為長期監(jiān)聽子網絡內計算機間相互聯(lián)系的情況,為系統(tǒng)中各個服務器的審計文件提供備份。 網絡安全的重要性在信息化飛速發(fā)展的今天,計算機網絡得到了廣泛應用,但隨著網絡之間的信息傳輸量的急劇增長,一些機構和部門在得益于網絡加快業(yè)務運作的同時,其上網的數據也遭到了不同

28、程度的攻擊和破壞。攻擊者可以竊聽網絡上的信息,竊取用戶的口令、數據庫的信息;還可以篡改數據庫內容,偽造用戶身份,否認自己的簽名。更有甚者,攻擊者可以刪除數據庫內容,摧毀網絡節(jié)點,釋放計算機病毒等等。這致使數據的安全性和自身的利益受到了嚴重的威脅。根據美國FBI(美國聯(lián)邦調查局)的調查,美國每年因為網絡安全造成的經濟損失超過170億美元。75%的公司報告財政損失是由于計算機系統(tǒng)的安全問題造成的。超過50%的安全威脅來自內部。而僅有59%的損失可以定量估算。在中國,針對銀行、證券等金融領域的計算機系統(tǒng)的安全問題所造成的經濟損失金額已高達數億元,針對其他行業(yè)的網絡安全威脅也時有發(fā)生。由此可見,無論是

29、有意的攻擊,還是無意的誤操作,都將會給系統(tǒng)帶來不可估量的損失。所以,計算機網絡必須有足夠強的安全措施。無論是在局域網還是在廣域網中,網絡的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網絡信息的保密性、完整性和可用性。3網絡安全的理論基礎國際標準化組織(ISO)曾建議計算機安全的定義為:“計算機系統(tǒng)要保護其硬件、數據不被偶然或故意地泄露、更改和破壞?!睘榱藥椭嬎銠C用戶區(qū)分和解決計算機網絡安全問題,美國國防部公布了“桔皮書”(orangebook,正式名稱為“可信計算機系統(tǒng)標準評估準則”),對多用戶計算機系統(tǒng)安全級別的劃分進行了規(guī)定。桔皮書將計算機安全由低到高分為四類七級:D1

30、、C1、C2、B1、B2、B3、A1。其中D1級是不具備最低安全限度的等級,C1和C2級是具備最低安全限度的等級,B1和B2級是具有中等安全保護能力的等級,B3和A1屬于最高安全等級。D1級:計算機安全的最低一級,不要求用戶進行用戶登錄和密碼保護,任何人都可以使用,整個系統(tǒng)是不可信任的,硬件軟件都易被侵襲。C1級:自主安全保護級,要求硬件有一定的安全級(如計算機帶鎖),用戶必須通過登錄認證方可使用系統(tǒng),并建立了訪問許可權限機制。C2級:受控存取保護級,比C1級增加了幾個特性:引進了受控訪問環(huán)境,進一步限制了用戶執(zhí)行某些系統(tǒng)指令;授權分級使系統(tǒng)管理員給用戶分組,授予他們訪問某些程序和分級目錄的權

31、限;采用系統(tǒng)審計,跟蹤記錄所有安全事件及系統(tǒng)管理員工作。B1級:標記安全保護級,對網絡上每個對象都予實施保護;支持多級安全,對網絡、應用程序工作站實施不同的安全策略;對象必須在訪問控制之下,不允許擁有者自己改變所屬資源的權限。B2級:結構化保護級,對網絡和計算機系統(tǒng)中所有對象都加以定義,給一個標簽;為工作站、終端等設備分配不同的安全級別;按最小特權原則取消權力無限大的特權用戶。B3級:安全域級,要求用戶工作站或終端必須通過信任的途徑連接到網絡系統(tǒng)內部的主機上;采用硬件來保護系統(tǒng)的數據存儲區(qū);根據最小特權原則,增加了系統(tǒng)安全員,將系統(tǒng)管理員、系統(tǒng)操作員和系統(tǒng)安全員的職責分離,將人為因素對計算機安

32、全的威脅減至最小。A1級:驗證設計級,是計算機安全級中最高一級,本級包括了以上各級別的所有措施,并附加了一個安全系統(tǒng)的受監(jiān)視設計;合格的個體必須經過分析并通過這一設計;所有構成系統(tǒng)的部件的來源都必須有安全保證;還規(guī)定了將安全計算機系統(tǒng)運送到現(xiàn)場安裝所必須遵守的程序。在網絡的具體設計過程中,應根據網絡總體規(guī)劃中提出的各項技術規(guī)范、設備類型、性能要求以及經費等,綜合考慮來確定一個比較合理、性能較高的網絡安全級別,從而實現(xiàn)網絡的安全性和可靠性。4網絡安全應具備的功能為了能更好地適應信息技術的發(fā)展,計算機網絡應用系統(tǒng)必須具備以下功能:(1)訪問控制:通過對特定網段、服務建立的訪問控制體系,將絕大多數攻

33、擊阻止在到達攻擊目標之前。(2)檢查安全漏洞:通過對安全漏洞的周期檢查,即使攻擊可到達攻擊目標,也可使絕大多數攻擊無效。(3)攻擊監(jiān)控:通過對特定網段、服務建立的攻擊監(jiān)控體系,可實時檢測出絕大多數攻擊,并采取響應的行動(如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等)。(4)加密通訊:主動地加密通訊,可使攻擊者不能了解、修改敏感信息。(5)認證:良好的認證體系可防止攻擊者假冒合法用戶。(6)備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統(tǒng)服務。(7)多層防御:攻擊者在突破第一道防線后,延緩或阻斷其到達攻擊目標。(8)設立安全監(jiān)控中心:為信息系統(tǒng)提供安全體系管理、監(jiān)控、保護

34、及緊急情況服務。5網絡系統(tǒng)安全綜合解決措施要想實現(xiàn)網絡安全功能,應對網絡系統(tǒng)進行全方位防范,從而制定出比較合理的網絡安全體系結構。下面就網絡系統(tǒng)的安全問題,提出一些防范措施。5.1物理安全物理安全可以分為兩個方面:一是人為對網絡的損害;二是網絡對使用者的危害。最常見的是施工人員由于對地下電纜不了解,從而造成電纜的破壞,這種情況可通過立標志牌加以防范;未采用結構化布線的網絡經常會出現(xiàn)使用者對電纜的損壞,這就需要盡量采用結構化布線來安裝網絡;人為或自然災害的影響,需在規(guī)劃設計時加以考慮。網絡對使用者的危害主要是電纜的電擊、高頻信號的幅射等,這需要對網絡的絕緣、接地和屏蔽工作做好。5.2訪問控制安全

35、訪問控制識別并驗證用戶,將用戶限制在已授權的活動和資源范圍之內。網絡的訪問控制安全可以從以下幾個方面考慮。(1)口令網絡安全系統(tǒng)的最外層防線就是網絡用戶的登錄,在注冊過程中,系統(tǒng)會檢查用戶的登錄名和口令的合法性,只有合法的用戶才可以進入系統(tǒng)。(2)網絡資源屬主、屬性和訪問權限網絡資源主要包括共享文件、共享打印機、網絡通信設備等網絡用戶都有可以使用的資源。資源屬主體現(xiàn)了不同用戶對資源的從屬關系,如建立者、修改者和同組成員等。資源屬性表示了資源本身的存取特性,如可被誰讀、寫或執(zhí)行等。訪問權限主要體現(xiàn)在用戶對網絡資源的可用程度上。利用指定網絡資源的屬主、屬性和訪問權限可以有效地在應用級控制網絡系統(tǒng)的

36、安全性。(3)網絡安全監(jiān)視網絡監(jiān)視通稱為“網管”,它的作用主要是對整個網絡的運行進行動態(tài)地監(jiān)視并及時處理各種事件。通過網絡監(jiān)視可以簡單明了地找出并解決網絡上的安全問題,如定位網絡故障點、捉住IP盜用者、控制網絡訪問范圍等。(4)審計和跟蹤網絡的審計和跟蹤包括對網絡資源的使用、網絡故障、系統(tǒng)記帳等方面的記錄和分析。一般由兩部分組成:一是記錄事件,即將各類事件統(tǒng)統(tǒng)記錄到文件中;二是對記錄進行分析和統(tǒng)計,從而找出問題所在。5.3數據傳輸安全傳輸安全要求保護網絡上被傳輸的信息,以防止被動地和主動地侵犯。對數據傳輸安全可以采取如下措施:(1)加密與數字簽名任何良好的安全系統(tǒng)必須包括加密!這已成為既定的事

37、實。網絡上的加密可以分為三層:第一層為數據鏈路層加密,即將數據在線路傳輸前后分別對其進行加密和解密,這樣可以減少在傳輸線路上被竊取的危險;第二層是傳輸層的加密,使數據在網絡傳輸期間保持加密狀態(tài);第三層是應用層上的加密,讓網絡應用程序對數據進行加密和解密。當然可以對這三層進行綜合加密,以增強信息的安全性和可靠性。數字簽名是數據的接收者用來證實數據的發(fā)送者確實無誤的一種方法,它主要通過加密算法和證實協(xié)議而實現(xiàn)。(2)防火墻防火墻(Firewall)是Internet上廣泛應用的一種安全措施,它可以設置在不同網絡或網絡安全域之間的一系列部件的組合。它能通過監(jiān)測、限制、更改跨越防火墻的數據流,盡可能地檢測網絡內外信息、結構和運行狀況,以此來實現(xiàn)網絡的安全保護。(3)UserName/Password認證該種認證方式是最常用的一種認證方式,用于操作系統(tǒng)登錄、telnet(遠程登錄)、rlogin(遠程登錄)等,但此種認證方式過程不加密,即password容易被監(jiān)聽和解密。(4)使用摘要算法的認證Radius(遠程撥號認證協(xié)議)、OSPF(開放路由協(xié)議)、SNMPSecurityProtocol等均使用共享的

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論