|
導讀網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據... 網絡技術是從1990年代中期發展起來的新技術,它把互聯網上分散的資源融為有機整體,實現資源的全面共享和有機協作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享,網絡則被認為是互聯網發展的第三階段。 李家林計算機的安全性歷來都是人們討論的主要話題之一。而計算機安全主要研究的是計算機病毒的防治和系統的安全。在計算機網絡日益擴展和普及的今天,計算機安全的要求更高,涉及面更廣。不但要求防治病毒,還要提高系統抵抗外來非法黑客入侵的能力,還要提高對遠程數據傳輸的保密性,避免在傳輸途中遭受非法竊取。 在防治網絡病毒方面,在http傳輸中HTML文件是一般不會存在感染病毒的危險。危險在于下載可執行軟件如:.zip .exe .arj .Z 等文件過程中應特別加以注意。都有潛伏病毒的可能性。 對于系統本身安全性,主要考慮服務器自身穩定性、健狀性,增強自身抵抗能力,杜絕一切可能讓黑客入侵的渠道,避免造成對系統的威脅。對重要商業應用,必須加上防火墻和數據加密技術加以保護。 在數據加密方面,更重要的是不斷提高和改進數據加密技術,使不法分子難有可乘之機。 網絡安全的脆弱性體現:當我們評判一個系統是否安全時,不應該只看它應用了多么先進的設施,更應該了解它最大的弱點是什么,因為網絡的安全性取決于它最薄弱環節的安全性,通過考察近幾年在Internet上發生的黑客攻擊事件,我們不難看出威脅網絡安全的基本模式是一樣的。特別在大量自動軟件工具出現以后,加之Internet提供的便利,攻擊者可以很方便地組成團體,使得網絡安全受到的威脅更加嚴重。隱藏在世界各地的攻擊者通常可以越過算法本身,不需要去試每一個可能的密鑰,甚至不需要去尋找算法本身的漏洞,他們能夠利用所有可能就范的錯誤,包括設計錯誤、安裝配置錯誤及教育培訓失誤等,向網絡發起攻擊。但在大多數情況下,他們是利用設計者們犯的一次次重復發生的錯誤輕松得逞的。 我們可以粗略地將對系統安全造成的威脅歸結為6大類 :教育培訓問題、變節的員工、系統軟件的缺陷、對硬件的攻擊、錯誤的信任模型和拒絕服務。 常見攻擊方法及對策:人們將常見的攻擊方法分為以下幾種類型:試探(probe)、掃描(scan)、獲得用戶賬戶(account compromise)、獲得超級用戶權限(root compromise)、數據包竊聽(packet sniffer)、拒絕服務(denial of service)、利用信任關系、惡意代碼(如特洛伊木馬、病毒、蠕蟲等)以及攻擊Internet基礎設施(如DNS系統和網絡路由等)。一般說來攻擊者對目標進行攻擊要經歷3個步驟:情報搜集、系統的安全漏洞檢測和實施攻擊。 1.與網絡設備經銷商取得聯系,詢問他們是否研制了防范DOS(拒絕服務式攻擊)的軟件,如TCP SYN ACK。 2.制定嚴格的網絡安全規則,對進出網絡的信息進行嚴格限定。這樣可充分保證黑客的試探行動不能取得成功。 3.將網絡的TCP超時限制縮短至15分鐘(900秒),以減少黑客進攻的窗口機會。 4.擴大連接表,增加黑客填充整個連接表的難度。 5.時刻監測系統的登錄數據和網絡信息流向,以便及時發現任何異常之處。美國網絡趨勢公司研制的Firewa ll Suite 2.0軟件是進行網絡登錄和通信測試的最佳軟件,有24種不同的防火墻產品,可提供250種詳細報告。 6.安裝所有的操作系統和服務器補丁程序。隨時與銷售商保持聯系,以取得最新的補丁程序。 7.盡量減少暴露在互聯網上的系統和服務的數量。每暴露一個都會給網絡增加一份危險。 8.路由器要安裝必要的過濾規則。 9.經常對整個網絡進行掃描,以發現任何安全隱患。 10.如果是通過網絡服務商提供接入服務,一定要保證自己不要無意中卷入了拒絕服務式攻擊。應當與網絡服務商取得聯系,時刻保證自己的設備安全無憂。 網絡安全的關鍵技術: 1.防火墻技術:是一種由計算機硬件 和軟件的組合, 使互聯網與內部網之間建立起一個安全網關 ( scurity gateway), 從而保護內部網免受非法用戶的侵入。防火墻有二類 , 標準防火墻和應用層網關(applications layer gateway),隨著防火墻技術的進步, 應用層網關的基礎上又演化出兩種防火墻配置, 一種是隱蔽主機網關, 另一種是隱蔽智能網關( 隱蔽子網)。目前技術最為復雜而且安全級別最商的防火墻是隱蔽智能網關, 它將網 關隱藏在公共系統之后使其免遭直接攻擊。 2.數據加密技術: 數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑒 別以及密鑰管理技術四種。 3.智能卡技術:智能卡就是密鑰的一種媒體, 一般就像信用卡一樣, 由授權用 戶所持有并由該用戶賦與它一個口令或密碼字。該密碼與內部網 絡服務器上注冊的密碼一致。當口令與身份特征共同使用時, 智 能卡的保密性能還是相當有效的。 客戶端安全值得關注 :很多 Internet客戶端軟件的安全非常值得注意。客戶端軟件中越來越多的弱點與服務器端軟件形成了勢均力敵的競爭,可能成為2000年最具有危害性的技術。如果你考慮到從CEO到Web開發小組的每一個人,在將近90%的日常活動(即看電子郵件和瀏覽Web)中都在使用這一軟件,那么你也許會意識到這的確是個嚴重的問題。從Java到ActiveX問題,從交叉框(cross-frame)的安全性到幫助文件問題,從讀取本地文件到執行任意代碼等都存在問題。 國外網絡安全標準與政策現狀: 1.美國TCSEC(桔皮書) 該標準是美國國防部制定的。它將安全分為4個方面:安全政策、可說明性、安全保障和文檔。在美國國防部虹系列(Rainbow Series)標準中有詳細的描述。該標準將以上4個方面分為7個安全級別,從低到高依次為D、C1、C2、B1、B2、B3和A級。 2.歐洲ITSEC ITSEC 與TCSEC不同,它并不把保密措施直接與計算機功能相聯系,而是只敘述技術安全的要求,把保密作為安全增強功能。另外,TCSEC把保密作為安全的重點,而ITSEC則把完整性、可用性與保密性作為同等重要的因素。ITSEC定義了從E0級(不滿足品質)到E6級(形式化驗證)的7個安全等級,對于每個系統,安全功能可分別定義。ITSEC預定義了10種功能,其中前5種與桔皮書中的C1~B3級非常相似。 3.加拿大CTCPEC 該標準將安全需求分為4個層次:機密性、完整性、可靠性和可說明性。 4.美國聯邦準則(FC) 該標準參照了CTCPEC及TCSEC,其目的是提供TCSEC的升級版本,同時保護已有投資,但FC有很多缺陷,是一個過渡標準,后來結合ITSEC發展為聯合公共準則。 5.聯合公共準則(CC) CC的目的是想把已有的安全準則結合成一個統一的標準。該計劃從1993年開始執行,1996年推出第一版,但目前仍未付諸實施。CC結合了FC及ITSEC的主要特征,它強調將安全的功能與保障分離,并將功能需求分為9類 63族,將保障分為7類 29族。 6. ISO安全體系結構標準 在安全體系結構方面,ISO制定了國際標準ISO7498-2-1989《信息處理系統開放系統互連基本參考模型第2部分安全體系結構》。該標準為開放系統互連(OSI)描述了基本參考模型,為協調開發現有的與未來的系統互連標準建立起了一個框架。其任務是提供安全服務與有關機制的一般描述,確定在參考模型內部可以提供這些服務與機制的位置。 國內安全標準、政策制定和實施情況: 公安部主持制定、國家技術標準局發布的中華人民共和國國家標準GB17895-1999《計算機信息系統安全保護等級劃分準則》已經正式頒布,并將于2001年1月1日起實施。該準則將信息系統安全分為5個等級,分別是:自主保護級、系統審計保護級、安全標記保護級、結構化保護級和訪問驗證保護級。主要的安全考核指標有身份認證、自主訪問控制、數據完整性、審計、隱蔽信道分析、客體重用、強制訪問控制、安全標記、可信路徑和可信恢復等,這些指標涵蓋了不同級別的安全要求。 另外還有《信息處理系統開放系統互聯基本參考模型第2部分安全體系結構》(GB/T 9387.2 1995)、《信息處理數據加密實體鑒別機制第I部分:一般模型》(GB 15834.1-1995)、《信息技術設備的安全》(GB 4943-1995)等。 $$$PAGESEP$$$安全網絡的建設: 1.內部網的安全 內部網的安全防范應滿足以下原則: (1)內部網能根據部門或業務需要劃分子網(物理子網或虛擬子網),并能實現子網隔離。 (2)采取相應的安全措施后,子網間可相互訪問。 2. Internet接口安全 內部網接入Internet對安全技術要求很高,應考慮以下原則: (1)在未采取安全措施的情況下,禁止內部網以任何形式直接接入Internet。 (2)采取足夠的安全措施后,允許內部網對Internet開通必要的業務。 (3)對Internet公開發布的信息應采取安全措施保障信息不被篡改。 3. Extranet接口的安全 Extranet應采取以下安全原則: (1)未采取安全措施的情況下,禁止內部網直接連接Extranet。 (2)設立獨立網絡區域與Extranet交換信息,并采取有效的安全措施保障該信息交換區不受非授權訪問。 (3)來自Extranet的特定主機經認證身份后可訪問內部網指定主機。 4.移動用戶撥號接入內部網的安全 移動用戶撥號接入內部網的安全防范應滿足以下原則: (1)在未采取安全措施的情況下,禁止移動用戶直接撥號接入內部網。 (2)移動用戶在經身份認證后可訪問指定的內部網主機。 5.數據庫安全保護 對數據庫安全的保護主要應考慮以下幾條原則: (1)應有明確的數據庫存取授權策略。 (2)重要信息在數據庫中應有安全保密和驗證措施。 6.服務器安全保護 服務器安全應滿足以下原則: (1)不同重要程度的應用應在不同的服務器上實現。 (2)重要服務器必須有合理的訪問控制和身份認證措施保護,并記錄訪問日志。 (3)服務器的安全措施盡量與應用無關,以便升級和維護。 (4)重要的應用應采取安全措施保障信息的機密性和完整性。 7.客戶端安全 客戶端的安全主要是要求能配合服務器的安全措施,提供身份認證、加/解密、數字簽名和信息完整性驗證功能。 網絡的神奇作用吸引著越來越多的用戶加入其中,正因如此,網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......,各項技術都需要適時應勢,對應發展,這正是網絡迅速走向進步的催化劑。 |
溫馨提示:喜歡本站的話,請收藏一下本站!
本站發布的Win7純凈版系統、Win10純凈版和XP純凈版系統僅為個人學習測試使用,請在下載后24小時內刪除,不得用于任何商業用途,否則后果自負,請支持購買微軟正版軟件!
本站所有資源全部來自于網絡資源,如侵犯到您的權益,請及時通知我們(peng896066052@126.com),我們會及時處理.
Copyright © 2018-2020 雨林木風下載站
