企业不同,那么其安全需求和采用的信息安全技术也不同。
一、物理层安全需求
物理层安全就是要求物理隔离。所谓物理隔离,简单地说就是让存有用户重要数据的内网和外部的互联网不具有物理上的连接,将用户涉密信息与非涉密的可以公布到互联网上的信息隔离开来,让黑客无机可乘。实施物理隔离的目的决不是让网络回到以前那种信息孤岛的状态,而是让使用者在确保安全的前提下,充分享受网络互联所带来的一切优点。在物理隔离系统中会包含对外网内容进行采集转播的系统,这样可以使安全的信息迅捷地在内外网之间流转,完全实现互联网互联互通的宗旨。
二、网络层安全需求
(1)网络层风险
网络中心连通internet之后,内部网络可能遭受到来自internet的不分国籍、不分地域的恶意攻击;在internet上广为传播的网络病毒将通过web访问、邮件、新闻组、网络聊天以及下载软件、信息等传播,感染内部网络的服务器、主机;更有一些黑客程序也将通过这种方式进入内部网络,为黑客、竞争对手获取企业数据创造条件;内部网络的用户很多,很难保证没有用户会攻击企业的服务器。事实上,权威数据表明,来自于内部的攻击,其成功的可能性要远远大于来自于internet的攻击,而且内部攻击的目标主要是获取国家机关的机密信息,其损失要远远高于系统破坏。
(2)网络层安全需求
基于以上风险,在网络方案中,网络层安全主要解决内部网络互联时和在网络通讯层安全问题,需要解决的问题有:内部网络进出口控制(即ip过滤)内部网络和网络层数据加密:安全检测和报警、防杀病毒。locALHOSt
重点在于内部网络本身内部的安全,如果解决了分布网络环境中各个子网的安全,那么分布网络互联的安全只需解决网络层以及应用层的传输加密即可。
1)网络进出口控制
需要对进入内部网络进行管理和控制。在每个部门和单位的局域网也需要对进入本局域网进行管理和控制。各网之间通过防火墙或虚拟网段进行分割和访问权限的控制。
同样需要对内网到外网(internet)进行管理和控制。
要达到授权用户可以进出内部网络,防止非授权用户进出内部网络这个基本目标。
2)网络和网络层、应用层数据加密
对关键应用需要进行网络层、应用层数据加密,特别是最核心的领导办公服务系统、关键数据系统,需要有高强度的数据加密措施。
3)安全检测和报警、防杀病毒安全检测是实时对公开网络和公开服务器进行安全扫描和检测,及时发现不安全因素,对网络攻击进行报警。这主要是提供一种监测手段,保证网络和服务的正常运行。要实现:
*及时发现来自网络内外对网络的攻击行为;
*详实地记录攻击发生的情况;
*当发现网络遭到攻击时,系统必须能够向管理员发出报警消息;
*当发现网络遭到攻击时,系统必须能够及时阻断攻击的继续进行。
*对防火墙进行安全检测和分析;
*对web服务器检测进行安全检测和分析;
*对操作系统检测进行安全检测和分析。
需要采用网络防病毒机制来防止网络病毒的攻击和蔓延。严格地讲,防杀病毒属于系统安全需求范畴。
三、应用层安全需求
应用层安全主要是对网络资源的有效性进行控制,管理和控制什么用户对资源具有什么权限。资源包括信息资源和服务资源。其安全性主要在用户和服务器问的双向身份认证以及信息和服务资源的访问控制,具有审计和记录机制,确保防止拒绝和防抵赖的防否认机制。需要进行安全保护的资源如前面所述的公共应用、办公系统应用、信息查询、财务管理、企业,其中最重要的和最普遍的应用是数据库应用,而且是分布式的。数据库的分布式复制操作是自动的,是服务器到服务器的数据传输过程。对数据库复制的安全保护目前最实用的技术是网络vpn。
vpn产品一般具有如下基本功能:
·ip层认证和加密:
·ip包过滤:
·密钥管理。
vpn产品可以基于公共的lp网络环境进行组网,使用户感觉在公网上独占信道,也就是隧道的概念。在产品形态上是专有硬件,嵌入式操作系统,专用加密算法。在性能上,可以允许上千对vpn通道,网络加密速度在10mbps以上。有的vpn产品将防火墙功能结合在一起,形成安全网关。在分布式数据库环境中,按点到点方式安装vpn产品,保证数据库复制过程的数据加密传输。
(3)入侵检测技术与产品
随着internet应用的不断普及,黑客入侵事件也呈上升趋势,在安装防火墙和划分三网段安全结构后,降低了这种风险,但没有彻底消除。因为防火墙只是被动的防止攻击,不能预警攻击。
入侵检测系统可分为两类:基于主机和基于网络。基于主机的入侵检测系统用于保护关键应用的服务器,实时监视可疑的连接、系统日志检查、非法访问的闯入等,并且提供对典型应用的监视,如web服务器应用。基于网络的入侵检测系统则主要用于实时监控网络关键路径的信息。
(4)漏洞扫描与产品
网络系统的安全性取决于网络系统最薄弱的环节,任何疏忽都可能引入不安全因素,最有效的方法是定期对网络系统进行安全性分析,及时发现并修正存在的脆弱点,保证系统的安全。
风险评估(vulnerability assessment)是网络安全防御中的一项重要技术,其原理是采用模拟攻击的形式对目标可能存在的已知安全漏洞进行逐项检查。目标可以是工作站、服务器、交换机、数据库应用等各种对象。然后根据扫描结果向系统管理员提供周密可靠的安全性分析报告,为提高网络安全整体水平产生重要依据。在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快、与网络的运行相对对立、安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定
[1] [2] 下一页