硅谷杂志:关于网络安全解决方案的探讨 |
2012-07-16 10:43 作者:guigu 来源:硅谷网 HV: 编辑: 【搜索试试】
|
|
硅谷网7月16日消息 (原文载于《硅谷》杂志6月刊)信息产业的飞速发展早已将网络安全问题抛向人们面前,而安全威胁的形势也越来越严峻。对网络安全的解决方案从一个系统的观念进行探讨,并对具体设计进行分析。
随着科学技术的发展,信息技术已经成为人们工作生活中必不可少的一个部分,而这种必要性使得计算机网络更呈现突飞猛进的发展趋势。而网络的发展以及其伴随而来的网络安全问题越来越受到人们的关注,由于网络安全所造成的严重损失已经有目共睹,所以如何在推广网络应用的同时提高网络的安全性打造安全网络成为广大计算机网络用户关心的话题,这不但关系着网络应用领域是否会受限,同时也关系着网络是否能够保持正常速度发展,以及是否能够在现代化建设中发挥应有的作用。
1网络安全威胁概述
1)安全威胁的产生
主要是由于因特网的全球性、开放性、无缝连通性、共享性、动态性发展,使得网络安全威胁从网络诞生就一直伴随着成长起来,而且随着网络发展速度不断加快,网络安全威胁问题也日益严重。而且随着互联网的应用领域日益广泛,如金融、政府部门以及电子商务的盛行,使得网络数据的安全重要性日益突出,如果网络安全无法保障,则互联网应用推广必将遇到致命的瓶颈问题。如果从安全威胁的来源来看,可以将安全威胁主要分为自然威胁和人为威胁,自然威胁如天气、环境、设备等;人为威胁如人为攻击,通过寻找系统的弱点,以便破坏、欺骗、窃取数据等。
2)网络安全面临的威胁
网络安全面临的主要威胁可分为四个方面:即中断、窃听、篡改和伪造。中断是对系统的可用性进行攻击,如破坏计算机硬件、线路和文件管理系统等;窃听是对系统的保密性进行攻击,如搭线窃听、对文件或程序的非法拷贝,包括获取消息的内容,进行业务流分析,获得消息的格式、通信双方的位置和身份、通信的次数和消息的长度等;篡改是对系统的完整性进行攻击,如修改数据文件中的数据,替换某一程序使其执行不同的功能、修改网络中传送的消息内容等,通常包括假冒合法实体通过防线、截获合法数据后进行拷贝或重新发送、通信数据在传输过程中被改变、删除或替代、业务拒绝即对通信设备的使用和管理被无条件的拒绝;伪造是对系统的真实性进行攻击,如在网络中插入伪造的消息或在文件中插入伪造的记录等。以上所划分的网络安全威胁的四个方面,其实可以从一个更加通俗地角度来说明,中断就是故意破坏对方之间的通信,而自己不需要获取这些信息,其目的就是让第三方也无法正确获得这些信息;而窃听就是不影响对方接收信息,但是希望获知对方的通信内容,所以对于窃听而言要讲究隐蔽性,即最好的情况就是第三方之间的通信丝毫没有觉察到他们之间的通信内容被己方所接收;篡改则更进一步,不但要窃听到对方的通信内容,而且需要将这些信息根据己方利益最大化的原则进行修改。
3)安全业务----安全防护措施
保密业务:保护数据以防被动攻击,保密业务流;加密机制,按照密钥的类型不同,对称密钥算法和非对称密钥算法两种,按照密码体制的不同,分为序列密码算法和分组密码算法两种;认证业务:保证通信的真实性,确保发送方或接收方的身份;完整性业务:防止对消息(流)的篡改和业务拒绝;不可否认业务:防止通信某一方对传输的否认;访问控制:防止对网络资源的非授权访问,使用认证。
2网络安全解决方案建议
1)整体安全体系构建的几个方面
网络本身就是一个体系,是一个系统性的概念,在网络通信中也涉及到多个实体或者协议,所以网络安全涉及到多个方面,为了打造安全的网络,就需要构建网络安全的整体保护体系,只有这样才能够有效保护网络的安全性。一般来说,网络安全体系的构建可以从如下几个方面加以考虑,也就是保护、检测、响应、恢复,这四者构成了一个完整的体系,如果每一部分都能够做好,则打造一个安全的计算机网络不再是一句空话。保护是通过使用加解密技术、访问控制技术、数字签名技术,以及可验证的信息交换过程等到方面对数据及其网上操作加以保护,保护也可以理解为对故意中断网络或者破坏数据的一种防护措施。检测是对信息传输的内容的可控性的检测,对信息平台访问过程的甄别检测,对违规与恶意攻击的检测,对系统与网络弱点与漏洞的检测等等,如果有对网络通信的恶意窃听发生也需要及时检测到。及时响应是网络的一个重要指标,响应是在复杂的信息环境中,保证在任何时候信息平台能高效正常运行,要求安全体系提供强有力的响应机制。无论防护措施多么严密,网络安全技术如何卓越,我们都无法承诺网络永远不会受到破坏,所以此时有效的恢复就显得尤为重要,恢复是指灾难恢复,在系统受到攻击的时候,评估系统受到的危害与损失,按紧急响应预案进行数据与系统恢复,启动备份系统恢复工作等。
2)保障物理安全
物理安全是最基本的,如果硬件发生故障或者被破坏,其他一切网络安全保护措施都成为无源之水,所以网络的物理安全保障是整个网络安全保障体系的基石。物理安全是用来保护计算机硬件和存储介质的装置和工作程序,物理安全防护包括防盗、防火、防静电、防雷击和防电磁泄漏等内容。屏蔽是防电磁泄漏的有效措施,屏蔽主要有电屏蔽、磁屏蔽和电磁蔽三种类型。
3)整体部署
网络安全解决方案涉及安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术、认证和数字签名技术、VPN技术等多方面的安全技术。在整个体系中的每一个部分,都是具有特定的功能需求,都是针对某一种安全需要而采取的安全措施。下面以一个实际的安全解决方案为例,建立网络安全防护体系。
在网关位置配置多接口防火墙,根据功能作用不同,将整个网络划分为外部网络、内部网络、DMZ区等多个安全区域,由于工作主机在整个网络中处于核心地位,而且主机如果发生安全问题将产生重要影响,所以将工作主机放置于内部网络区域可以更有效地保护主机的安全,将Web服务器、数据库服务器等服务器放置在DMZ区域,其他区域对服务器区的访问必须经过防火墙模块的检查,这就相当于在服务器区提供了加固的安全作用。在中心交换机上配置基于网络的IDS系统,监控整个网络内的网络流量,这是由于网络流量的异常也是网络是否安全是否受到攻击的一个重要特征。在DMZ区内的重要服务器上安装基于主机的IDS系统,对所有对上述服务器的访问进行监控,并对相应的操作进行记录和审计,这可以对故障诊断提供有效的辅助。
4)具体部署
下面对上一步中整个网络安全体系中各个部分的具体配置进行介绍。防火墙设备,防火墙是用来连接两个网络并控制两个网络之间相互访问的系统。包括用于网络连接的软件和硬件以及控制访问的方案。这类防范措施可以只用路由器实现,可以用主机、子网、专用硬件来实现。所有在内部网络和外部网络之间传输的数据必须通过防火墙;只有被授权的合法数据即防火墙系统中安全策略允许的数据可以通过防火墙;防火墙本身不受各种攻击的影响。在本方案中选用的防火墙设备是CheckPointFireWall-1防火墙。FireWall-1功能特点有对应用程序的广泛支持;集中管理下的分布式客户机/服务器结构;远程网络访问的安全保障(FireWall-1SecuRemote)。
防病毒设备。在本方案中防病毒设备选用的是趋势科技的整体防病毒产品和解决方案,包括中央管理控制、服务器防病毒和客户机防病毒三部分,这对于抵挡当前已知的绝大部分病毒已经非常有效,而且由于防病毒产品的更新服务,所以只要在实际应用中时刻保持病毒库版本为最新就可以保证系统的安全。
入侵监测设备就是为了当有入侵行为发生时系统可以及时获悉,在本方案中入侵监测设备采用的是NFR入侵监测设备,包括NFRNID和NFRHID。NFR把基于网络的入侵检测技术NID和基于主机的入侵检测技术HID完美地结合起来,构成了一个完整的,一致的实时入侵监控体系。
SAP身份认证设备对于任何系统的安全都是必不可少的,也是保障系统安全的基本措施。本方案采用的身份认证设备是SecureComputing的SafeWord。SafeWord具备分散式运作及无限制的可扩充特性。
3结论
网络安全是一个常说常新的话题,随着攻防不断升级,网络攻击入侵手段和网络安全保护技术手段都更加先进,所以网络的安全防护是一场没有终点的战役,只有时刻保持对网络安全的高度重视,采用先进的网络安全防护技术才有可能打造一个安全的网络,本文对于网络安全保障的一些措施希望能够为网络安全防护提供一些借鉴。
|
|
|
|
【对“硅谷杂志:关于网络安全解决方案的探讨”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|