专注SIP通讯产品与方案

网络信息安全机制

      网络安全是在攻击与防御的技术和力量此消彼长中的一个动态过程。综上分析,当前的网络安全具有很多新的特点,网络安全的整体状况不容乐观,网络安全需要寻找更好的解决之道。
1. 加密机制
       数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密技术主要是通过对网络数据的加密来保障网络的安全可靠性,能够有效地防止机密信息的泄露。加密算法一般分为单密钥系统和公开密钥系统。
2. VPN技术
       利用公共网络实现的专用网络称为虚拟专用网(VPN)。IPSec主要提供IP网络层上的加密通信能力。如为每个IP包增加了新的包头格式,AuthenticationHeader(AH)及EncapsualtingSecurityPayload(ESP)„IPsec使用ISAKMP/Oakley及SKIP进行密钥交换。
网络安全
3. 认证与数字签名机制
       认证技术主要解决网络通信过程中通信双方的身份认可.数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。数字签名机制由两个过程组成:对信息进行签字的过程和对已签字的信息进行证实的过程。前者要使用签字者的私有信息(如私有密钥);后者使用公开的信息(如公开密钥)和过程,以鉴定签字是否由签字者的私有信息产生。数字签名机制必须保证签字只能由签字者的私有信息产生。
4. 访问控制机制
       访问控制机制根据实体的身份及其有关信息,来决定该实体的访问权限。访问控制机制的实现常基于采用以下某一或某几个措施:访问控制信息库、认证信息(如口令)、安全标签等。
5. 防火墙(FireWall)技术
      防火墙技术是指网络之间通过预定义的安全策略,对内外网通信实施访问控制的安全应用措施。它的职责就是根据本单位的安全策略.对外部网络与内部网络交流的数据进行 
检查.符合的通过,不符合的拒绝。由于它简单实用且透明度高,可以在不修改原有网络应用系统的情况下,达到一定的安全要求,所以被广泛使用。防火墙技术有包过滤技术(网络层)和代理服务技术(应用层)。
       需要说明的是,防火墙只能抵御来自外部网络的侵扰.而对企业内部网络的安全却无能为力,不能防止来自内部变节者和不经心的用户们带来的威胁。要保证企业内部网的安全,还需通过对内部网络的有效控制和管理来实现。虽然防火墙是保护网络免遭黑客袭击的有效手段,但也有明显不足:无法防范通过防火墙以外的其他途径的攻击,也不能完全防止传送已感染病毒的软件或文件,以及无法防范数据驱动型的攻击。目前多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。
防火墙
6. 入侵检测与安全审计
      系统入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段。入侵检测是防火墙的合理补充,帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测,入侵检测作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。
       信息安全审计的主要依据为信息安全管理相关的标准。基于这些控制体系可以有效地控制信息安全风险,从而达到信息安全审计的目的,提高信息系统的安全性。目前通过推进1SO27001安全标准来降低信息安全风险。例如,对相对松散的IT管理流程转化为集中管理模式,由IT部门统一控制。再如,在客户端的管理上,采用了“瘦客户端”理念一员工对自己的电脑只有使用权,没有管理权。
       入侵检测与安全审计系统主要用于监视并记录网络中的各类操作,实时地综合分析出网络中发生的安全事件,它可以在内部局域网上建立完善的安全预警和安全应急反应体系,为信息系统的安全运行提供保障。
7. 黑客与病毒防范
(1)黑客入侵与防范
       黑客入侵是指黑客通过非法连接或非授权访问而非法得到服务,或通过病毒等方式直接攻入内部网,对其进行侵扰。这可直接破坏重要系统、文件、数据,造成系统崩溃、瘫痪,重要文件与数据被窃取或丢失。黑客攻击的手段通常采用扫描器(扫描器是指自动监测远程或本地主机安全性弱点的程序)和网络监听手段。
       防范黑客入侵的管理措施如下。
       • 事前阶段:系统安装防火墙,进行正确配置;对管理员和用户进行培训。
       • 事中阶段:加强监控、监测,尽早发现异常,及时中止非法进程。
       • 事后阶段:夺回控制权,断开网络,恢复系统和数据;提高系统的安全性,更新安全策略.重新连接网络。 
网络安全
(2) 计算机病毒与防范计算机
       病毒是蓄意设计的一种软件程序,一段可执行码。它旨在干扰计算机操作,记录、毁坏或删除数据,或者自行传播到其他计算机和整个Internet,具有破坏性、隐蔽性、传染性、潜伏性和可触发性等特点。
       计算机病毒感染导致的损失基本上是两种:计算机内部有用信息的损失,例如,病毒感染可能导致某些文件被破坏,以致无法寻回,这种信息损失的价值可能非常大;人力和计算机时间方面的损失,清理感染病毒的计算机,或者重新恢复系统(甚至是重新安装),都需要花费时间。
       防范病毒作用远甚于査杀病毒。因此建立严密的防范措施是十分必要的。在具备条件的大中型网络里,应该软硬兼施、立体防护。理想的情况是:Internet的接入处是外网防火墙;紧接着是防毒网关;然后是路由器、服务器区,可为应用服务器配置一台病毒服务器;再往内是内网防火墙;内网架设杀毒服务器,每个用户都安装杀毒软件的可管理客户端。
       病毒防护的主要手段有:阻止病毒的传播,检查和清除病毒,病毒数据库的升级,在防火墙、代理服务器及PC上安装Java及ACTIveX控制扫描软件,禁止未经许可的控件下载和安装等。
8. 安全扫描技术
       网络安全技术中,另一类重要技术为安全扫描技术。安全扫描技术与防火墙、安全监控系统互相配合能够提供很高安全性的网络。
       安全扫描工具源于黑客在入侵网络系统时采用的工具。商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。安全扫描工具通常也分为基于服务器和基于网络的扫描器。
9. 系统容灾技术
       一个完整的网络安全体系,只有防范和检测措施是不够的,还必须具有灾难容忍和系统恢复能力。因为任何一种网络安全设施都不可能做到万无一失,一旦发生漏防漏检事件,其后果将是灾难性的。此外,天灾人祸、不可抗力等所导致的事故也会对信息系统造成毁灭性的破坏。这就要求即使发生系统灾难,也能快速地恢复系统和数据,这样才能完整地保护网络信息系统的安全。现阶段主要有基于数据备份和基于系统容错的系统容灾技术。数据容灾使用两个存储器,在两者之间建立复制关系,一个放在本地,另一个放在异地。本地存储器供本地备份系统使用,异地容灾备份存储器实时复制本地备份存储器的关键数据。二者通过IP相连,构成完整的数据容灾系统,也能提供数据库容灾功能。