網路安全的目標是要保證網路的硬體、軟體能正常運行,然後要保證數據信息交換的安全。
從用戶(個人或企業)的角度來講,其希望:
(1)在網路上傳輸的個人信息(如銀行賬號和上網登錄口令等)不被他人發現,這就是用戶對網路上傳輸的信息具有保密性的要求。
(2)在網路上傳輸的信息沒有被他人篡改,這就是用戶對網路上傳輸的信息具有完整性的要求。
(3)在網路上發送的信息源是真實的,不是假冒的,這就是用戶對通信各方提出的身份認證的要求。
(4)信息發送者對發送過的信息或完成的某種操作是承認的,這就是用戶對信息發送者提出的不可否認的要求。
從網路運行和管理者的角度來講,其希望本地信息網正常運行,正常提供服務,不受網外攻擊,未出現計算機病毒、非法存取、拒絕服務、網路資源非法佔用和非法控制等威脅。
❷ 網路管理5大功能之間的關系是什麼
五個基本功能域:
故障管理:其主要功能是故障檢測!發現、報告、診斷和處理。
配置管理:其主要功能包括網路的拓撲結構關系、監視和管理網路設備的配置情況,根據事先定義的條件重構網路等。
性能管理:監測網路的各種性能數據,進行閾值檢查,並自動地對當前性能數據、歷史數據進行分析。
安全管理:主要是對網路資源訪問許可權的管理。包括用戶認證!許可權審批和網路訪問控制(防火牆)等功能。
計費管理:主要是根據網路資源使用情況進行計帳。
這五個基本功能之間既相互獨立,又存在著千絲萬縷的聯系。在這些網路管理功能中,故障管理是整個網路管理的核心;配置管理則是各管理功能的基礎,其他各管理功能都需要使用配置管理的信息;性能管理、安全管理和計費管理相對來說具有較大的獨立性,特別是計費管理,由於不同的應用單位的計費政策有著很大的差別,計費應用的開發環境也千差萬別,因此計費管理應用一般都是依據實際情況專門開發。
❸ 求問網路安全配置和網路管理配置是什麼
網路安全配置是:配置網路系統的硬體、軟體及其中數據受到保護,不受偶然的或者惡意的破壞、更改、泄露,保證系統連續可靠地運行,網路服務不中斷的措施。
網路管理配置是:監測、控制和記錄電信網路資源的性能和使用情況,以使網路有效運行,為用戶提供一定質量水平的電信業務。包括對硬體、軟體和人力的使用、綜合與協調,以便對網路資源進行監視、測試、配置、分析、評價和控制,這樣就能以合理的價格滿足網路的一些需求,如實時運行性能、服務質量等。
❹ 網路安全涉及哪幾個方面.
網路安全主要有系統安全、網路的安全、信息傳播安全、信息內容安全。具體如下:
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全,側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全,包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
3、信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
網路上信息內容的安全側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
(4)網路安全訴求和配置管理的關系擴展閱讀:
維護網路安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。
1、Internet防火牆
它能增強機構內部網路的安全性。Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時,內部網路上的每個節點都暴露給Internet上的其它主機,極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定,並且安全性等同於其中最弱的系統。
2、VIEID
在這個網路生態系統內,每個網路用戶都可以相互信任彼此的身份,網路用戶也可以自主選擇是否擁有電子標識。除了能夠增加網路安全,電子標識還可以讓網路用戶通過創建和應用更多可信的虛擬身份,讓網路用戶少記甚至完全不用去記那些煩人的密碼。
3、數字證書
CA中心採用的是以數字加密技術為核心的數字證書認證技術,通過數字證書,CA中心可以對互聯網上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理,同時也能保障在數字傳輸的過程中不被不法分子所侵入,或者即使受到侵入也無法查看其中的內容。
❺ 網路安全
基礎設施管理
(1)確保網路通信傳輸暢通;
(2)掌控主幹設備的配置情況及配置參數變更情況,備份各個設備的配置文檔;
(3)對運行關鍵業務網路的主幹設備配備相應的備份設備,並配置為熱後備設備;
(4)負責網路布線配線架的管理,確保配線的合理有序;
(5)掌控用戶端設備接入網路的情況,以便發現問題時可迅速定位;
(6)採取技術措施,對網路內經常出現的用戶需要變更位置和部門的情況進行管;
(7)掌控和外部網路的連接配置,監督網路通信狀況,發現問題後和有關機構及時聯系;
(8)實時監控整個區域網的運轉和網路通信流量情況;
(9)定製、發布網路基礎設施使用管理辦法並監督執行情況。
2 操作系統管理
(1)在網路操作系統配置完成並投入正常運行後,為了確保網路操作系統工作正常,網路管理員首先應該能夠熟練的利用系統提供的各種管理工具軟體,實時監督系統的運轉情況,及時發現故障徵兆並進行處理。
(2)在網路運行過程中,網路管理員應隨時掌控網路系統配置情況及配置參數變更情況,對配置參數進行備份。網路管理員還應該做到隨著系統環境的變化、業務發展需要和用戶需求,動態調整系統配置參數,優化系統性能。
(3)網路管理員應為關鍵的網路操作系統伺服器建立熱備份系統,做好防災准備。
3 應用系統管理
(1) 確保各種網路應用服務運行的不間斷性和工作性能的良好性,出現故障時應將故障造成的損失和影響控制在最小范圍內。
(2) 對於需要不可中斷的關鍵型網路應用系統,除了在軟體手段上要掌控、備份系統參數和定期備份系統業務數據外,必要時在硬體手段上還要建立和配置系統的熱備份。
(3) 對於用戶訪問頻率高、系統負荷的網路應用服務,必要時網路管理員還應該採取分擔的技術措施。
4 用戶服務和管理
(1) 用戶的開戶和撤銷;
(2) 用戶組的配置和管理;
(3) 用戶可用服務和資源的的許可權管理和配額管理;
(4) 用戶計費管理;
(5) 包括用戶桌面連網電腦的技術支持服務和用戶技術培訓服務的用戶端支持服務。
5 安全保密管理
(1) 安全和保密是個問題的兩個方面,安全主要指防止外部對網路的攻擊和入侵,保密主要指防止網路內部信息的泄漏。
(2) 對於普通級別的網路,網路管理員的任務主要是配置管理好系統防火牆。為了能夠及時發現和阻止網路黑客的攻擊,能夠加配入侵檢測系統對關鍵服務提供安全保護。
(3) 對於安全保密級別需要高的網路,網路管理員除了應該採取上述措施外,還應該配備網路安全漏洞掃描系統,並對關鍵的網路伺服器採取容災的技術手段。
(4) 更嚴格的涉密電腦網路,還需要在物理上和外部公共電腦網路絕對隔離,對安置涉密網路電腦和網路主幹設備的房間要採取安全措施,管理和控制人員的進出,對涉密網路用戶的工作情況要進行全面的管理和監控。
6 信息存儲備份管理
(1) 採取一切可能的技術手段和管理措施,保護網路中的信息安全。
(2) 對於實時工作級別需要不高的系統和數據,最低限度網路管理員也應該進行定期手工操作備份。
(3) 對於關鍵業務服務系統和實時性需要高的數據和信息,網路管理員應該建立存儲備份系統,進行集中式的備份管理。
(4) 最後將備份數據隨時保存在安全地點更是很重要。
7 機房管理
(1) 掌控機房數據通信電纜布線情況,在增減設備時確保布線合理,管理維護方便;
(2) 掌管機房設備供電線路安排,在增減設備時注意負載的合理配置;
(3) 管理網路機房的溫度、濕度和通風狀況,提供適合的工作環境;
(4) 確保網路機房內各種設備的正常運轉;
(5) 確保網路機房符合防火安全需要,火警監測系統工作正常,滅火措施有效;
(6) 採取措施,在外部供電意外中斷和恢復時,實現在無人值守情況下確保網路設備安全運行;
(7) 保持機房整潔有序,按時記錄網路機房運行日誌,定製網路機房管理制度並監督執行。
❻ 網路安全管理制度
區域網的構建
網路安全概述
網路安全的定義
什麼是計算機網路安全,盡管現在這個詞很火,但是真正對它有個正確認識的人並不多。事實上要正確定義計算機網路安全並不容易,困難在於要形成一個足夠去全面而有效的定義。通常的感覺下,安全就是"避免冒險和危險"。在計算機科學中,安全就是防止:
未授權的使用者訪問信息
未授權而試圖破壞或更改信息
這可以重述為"安全就是一個系統保護信息和系統資源相應的機密性和完整性的能力"。注意第二個定義的范圍包括系統資源,即CPU、硬碟、程序以及其他信息。
在電信行業中,網路安全的含義包括:關鍵設備的可靠性;網路結構、路由的安全性;具有網路監控、分析和自動響應的功能;確保網路安全相關的參數正常;能夠保護電信網路的公開伺服器(如撥號接入伺服器等)以及網路數據的安全性等各個方面。其關鍵是在滿足電信網路要求,不影響網路效率的同時保障其安全性。
電信行業的具體網路應用(結合典型案例)
電信整個網路在技術上定位為以光纖為主要傳輸介質,以IP為主要通信協議。所以我們在選用安防產品時必須要達到電信網路的要求。如防火牆必須滿足各種路由協議,QOS的保證、MPLS技術的實現、速率的要求、冗餘等多種要求。這些都是電信運營商應該首先考慮的問題。電信網路是提供信道的,所以IP優化尤其重要,至少包括包括如下幾個要素:
網路結構的IP優化。網路體系結構以IP為設計基礎,體現在網路層的層次化體系結構,可以減少對傳統傳輸體系的依賴。
IP路由協議的優化。
IP包轉發的優化。適合大型、高速寬頻網路和下一代網際網路的特徵,提供高速路由查找和包轉發機制。
帶寬優化。在合理的QoS控制下,最大限度的利用光纖的帶寬。
穩定性優化。最大限度的利用光傳輸在故障恢復方面快速切換的能力,快速恢復網路連接,避免路由表顫動引起的整網震盪,提供符合高速寬頻網路要求的可靠性和穩定性。
從骨幹層網路承載能力,可靠性,QoS,擴展性,網路互聯,通信協議,網管,安全,多業務支持等方面論述某省移動互聯網工程的技術要求。
骨幹層網路承載能力
骨幹網採用的高端骨幹路由器設備可提供155M POS埠。進一步,支持密集波分復用(DWDM)技術以提供更高的帶寬。網路核心與信息匯聚點的連接速率為155M連接速率,連接全部為光纖連接。
骨幹網設備的無阻塞交換容量具備足夠的能力滿足高速埠之間的無丟包線速交換。骨幹網設備的交換模塊或介面模塊應提供足夠的緩存和擁塞控制機制,避免前向擁塞時的丟包。
可靠性和自愈能力
包括鏈路冗餘、模塊冗餘、設備冗餘、路由冗餘等要求。對某省移動互聯網工程這樣的運營級寬頻IP骨幹網路來說,考慮網路的可靠性及自愈能力是必不可少的。
鏈路冗餘。在骨幹設備之間具備可靠的線路冗餘方式。建議採用負載均衡的冗餘方式,即通常情況下兩條連接均提供數據傳輸,並互為備份。充分體現採用光纖技術的優越性,不會引起業務的瞬間質量惡化,更不會引起業務的中斷。
模塊冗餘。骨幹設備的所有模塊和環境部件應具備1+1或1:N熱備份的功能,切換時間小於3秒。所有模塊具備熱插拔的功能。系統具備99.999%以上的可用性。
設備冗餘。提供由兩台或兩台以上設備組成一個虛擬設備的能力。當其中一個設備因故障停止工作時,另一台設備自動接替其工作,並且不引起其他節點的路由表重新計算,從而提高網路的穩定性。切換時間小於3秒,以保證大部分IP應用不會出現超時錯誤。
路由冗餘。網路的結構設計應提供足夠的路由冗餘功能,在上述冗餘特性仍不能解決問題,數據流應能尋找其他路徑到達目的地址。在一個足夠復雜的網路環境中,網路連接發生變化時,路由表的收斂時間應小於30秒。
擁塞控制與服務質量保障
擁塞控制和服務質量保障(QoS)是公眾服務網的重要品質。由於接入方式、接入速率、應用方式、數據性質的豐富多樣,網路的數據流量突發是不可避免的,因此,網路對擁塞的控制和對不同性質數據流的不同處理是十分重要的。
業務分類。網路設備應支持6~8種業務分類(CoS)。當用戶終端不提供業務分類信息時,網路設備應根據用戶所在網段、應用類型、流量大小等自動對業務進行分類。
接入速率控制。接入本網路的業務應遵守其接入速率承諾。超過承諾速率的數據將被丟棄或標以最低的優先順序。
隊列機制。具有先進的隊列機制進行擁塞控制,對不同等級的業務進行不同的處理,包括時延的不同和丟包率的不同。
先期擁塞控制。當網路出現真正的擁塞時,瞬間大量的丟包會引起大量TCP數據同時重發,加劇網路擁塞的程度並引起網路的不穩定。網路設備應具備先進的技術,在網路出現擁塞前就自動採取適當的措施,進行先期擁塞控制,避免瞬間大量的丟包現象。
資源預留。對非常重要的特殊應用,應可以採用保留帶寬資源的方式保證其QoS。
埠密度擴展。設備的埠密度應能滿足網路擴容時設備間互聯的需要。
網路的擴展能力
網路的擴展能力包括設備交換容量的擴展能力、埠密度的擴展能力、骨幹帶寬的擴展,以及網路規模的擴展能力。
交換容量擴展。交換容量應具備在現有基礎上繼續擴充多容量的能力,以適應數據類業務急速膨脹的現實。
骨幹帶寬擴展。骨幹帶寬應具備高的帶寬擴展能力,以適應數據類業務急速膨脹的現實。
網路規模擴展。網路體系、路由協議的規劃和設備的CPU路由處理能力,應能滿足本網路覆蓋某省移動整個地區的需求。
與其他網路的互聯
保證與中國移動互聯網,INTERNET國內國際出口的無縫連接。
通信協議的支持
以支持TCP/IP協議為主,兼支持IPX、DECNET、APPLE-TALK等協議。提供服務營運級別的網路通信軟體和網際操作系統。
支持RIP、RIPv2、OSPF、IGRP、EIGRP、ISIS等路由協議。根據本網規模的需求,必須支持OSPF路由協議。然而,由於OSPF協議非常耗費CPU和內存,而本網路未來十分龐大復雜,必須採取合理的區域劃分和路由規劃(例如網址匯總等)來保證網路的穩定性。
支持BGP4等標準的域間路由協議,保證與其他IP網路的可靠互聯。
支持MPLS標准,便於利用MPLS開展增值業務,如VPN、TE流量工程等。
網路管理與安全體系
支持整個網路系統各種網路設備的統一網路管理。
支持故障管理、記帳管理、配置管理、性能管理和安全管理五功能。
支持系統級的管理,包括系統分析、系統規劃等;支持基於策略的管理,對策略的修改能夠立即反應到所有相關設備中。
網路設備支持多級管理許可權,支持RADIUS、TACACS+等認證機制。
對網管、認證計費等網段保證足夠的安全性。
IP增值業務的支持
技術的發展和大量用戶應用需求將誘發大量的在IP網路基礎上的新業務。因此,運營商需要一個簡單、集成化的業務平台以快速生成業務。MPLS技術正是這種便於電信運營商大規模地快速開展業務的手段。
傳送時延
帶寬成本的下降使得當今新型電信服務商在進行其網路規劃時,會以系統容量作為其主要考慮的要素。但是,有一點需要提起注意的是,IP技術本身是面向非連接的技術,其最主要的特點是,在突發狀態下易於出現擁塞,因此,即使在高帶寬的網路中,也要充分考慮端到端的網路傳送時延對於那些對時延敏感的業務的影響,如根據ITU-T的標准端到端的VoIP應用要求時延小於150ms。對於應用型實際運營網路,尤其當網路負荷增大時,如何確保時延要求更為至關重要,要確保這一點的關鍵在於採用設備對於延遲的控制能力,即其延遲能力在小負荷和大量超負荷時延遲是否都控制在敏感業務的可忍受范圍內。
RAS (Reliability, Availability, Serviceability)
RAS是運營級網路必須考慮的問題,如何提供具有99.999%的業務可用性的網路是網路規劃和設計的主要考慮。在進行網路可靠性設計時,關鍵點在於網路中不能因出現單點故障而引起全網癱瘓,特別在對於象某省移動這些的全省骨幹網而言更是如此。為此,必須從單節點設備和端到端設備提供整體解決方案。Cisco7500系列路由器具有最大的單節點可靠性,包括電源冗餘備份,控制板備份,交換矩陣備份,風扇的合理設計等功能;整體上,Cisco通過提供MPLSFRR和MPLS流量工程技術,可以保證通道級的快速保護切換,從而最大程度的保證了端到端的業務可用性。
虛擬專用網(VPN)
虛擬專用網是目前獲得廣泛應用,也是目前運營商獲得利潤的一種主要方式。除了原有的基於隧道技術,如IPSec、L2TP等來構造VPN之外,Cisco還利用新型的基於標準的MPLSVPN來構造Intrane和Extranet,並可以通過MPLSVPN技術提供Carrier'sCarrier服務。這從網路的可擴展性,可操作性等方面開拓了一條新的途徑;同時,極大地簡化了網路運營程序,從而極大地降低了運營費用。另外,採用Cisco跨多個AS及多個域內協議域的技術可使某省移動可隨著其網路的不斷增長擴展其MPLSVPN業務的實施,並可與其他運營商合作實現更廣闊的業務能力。
服務質量保證
通常的Internet排隊機制如:CustomerQueue,PriorityQueue,CBWFQ,WRR,WRED等技術不能完全滿足對時延敏感業務所要求的端到端時延指標。為此,選用MDRR/WRED技術,可以為對時延敏感業務生成單獨的優先順序隊列,保證時延要求;同時還專門對基於Multicast的應用提供了專門的隊列支持,從而從真正意義上向網上實時多媒體應用邁進一步。
根據以上對電信行業的典型應用的分析,我們認為,以上各條都是運營商最關心的問題,我們在給他們做網路安全解決方案時必須要考慮到是否滿足以上要求,不影響電信網路的正常使用,可以看到電信網路對網路安全產品的要求是非常高的。
網路安全風險分析
瞄準網路存在的安全漏洞,黑客們所製造的各類新型的風險將會不斷產生,這些風險由多種因素引起,與網路系統結構和系統的應用等因素密切相關。下面從物理安全、網路安全、系統安全、應用安全及管理安全進行分類描述:
1、物理安全風險分析
我們認為網路物理安全是整個網路系統安全的前提。物理安全的風險主要有:
地震、水災、火災等環境事故造成整個系統毀滅
電源故障造成設備斷電以至操作系統引導失敗或資料庫信息丟失
電磁輻射可能造成數據信息被竊取或偷閱
不能保證幾個不同機密程度網路的物理隔離
2、網路安全風險分析
內部網路與外部網路間如果在沒有採取一定的安全防護措施,內部網路容易遭到來自外網的攻擊。包括來自internet上的風險和下級單位的風險。
內部局網不同部門或用戶之間如果沒有採用相應一些訪問控制,也可能造成信息泄漏或非法攻擊。據調查統計,已發生的網路安全事件中,70%的攻擊是來自內部。因此內部網的安全風險更嚴重。內部員工對自身企業網路結構、應用比較熟悉,自已攻擊或泄露重要信息內外勾結,都將可能成為導致系統受攻擊的最致命安全威脅。
3、系統的安全風險分析
所謂系統安全通常是指網路操作系統、應用系統的安全。目前的操作系統或應用系統無論是Windows還是其它任何商用UNIX操作系統以及其它廠商開發的應用系統,其開發廠商必然有其Back-Door。而且系統本身必定存在安全漏洞。這些"後門"或安全漏洞都將存在重大安全隱患。因此應正確估價自己的網路風險並根據自己的網路風險大小作出相應的安全解決方案。
4、應用的安全風險分析
應用系統的安全涉及很多方面。應用系統是動態的、不斷變化的。應用的安全性也是動態的。比如新增了一個新的應用程序,肯定會出現新的安全漏洞,必須在安全策略上做一些調整,不斷完善。
4.1 公開伺服器應用
電信省中心負責全省的匯接、網路管理、業務管理和信息服務,所以設備較多包括全省用戶管理、計費伺服器、認證伺服器、安全伺服器、網管伺服器、DNS伺服器等公開伺服器對外網提供瀏覽、查錄、下載等服務。既然外部用戶可以正常訪問這些公開伺服器,如果沒有採取一些訪問控制,惡意入侵者就可能利用這些公開伺服器存在的安全漏洞(開放的其它協議、埠號等)控制這些伺服器,甚至利用公開伺服器網路作橋梁入侵到內部區域網,盜取或破壞重要信息。這些伺服器上記錄的數據都是非常重要的,完成計費、認證等功能,他們的安全性應得到100%的保證。
4.2 病毒傳播
網路是病毒傳播的最好、最快的途徑之一。病毒程序可以通過網上下載、電子郵件、使用盜版光碟或軟盤、人為投放等傳播途徑潛入內部網。網路中一旦有一台主機受病毒感染,則病毒程序就完全可能在極短的時間內迅速擴散,傳播到網路上的所有主機,有些病毒會在你的系統中自動打包一些文件自動從發件箱中發出。可能造成信息泄漏、文件丟失、機器死機等不安全因素。
4.3信息存儲
由於天災或其它意外事故,資料庫伺服器造到破壞,如果沒有採用相應的安全備份與恢復系統,則可能造成數據丟失後果,至少可能造成長時間的中斷服務。
4.4 管理的安全風險分析
管理是網路中安全最最重要的部分。責權不明,安全管理制度不健全及缺乏可操作性等都可能引起管理安全的風險。
比如一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,而管理上卻沒有相應制度來約束。當網路出現攻擊行為或網路受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生後,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對網路的可控性與可審查性。這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
建立全新網路安全機制,必須深刻理解網路並能提供直接的解決方案,因此,最可行的做法是管理制度和技術解決方案的結合。
安全需求分析
1、物理安全需求
針對重要信息可能通過電磁輻射或線路干擾等泄漏。需要對存放絕密信息的機房進行必要的設計,如構建屏蔽室。採用輻射干擾機,防止電磁輻射泄漏機密信息。對存有重要資料庫且有實時性服務要求的伺服器必須採用UPS不間斷穩壓電源,且資料庫伺服器採用雙機熱備份,數據遷移等方式保證資料庫伺服器實時對外部用戶提供服務並且能快速恢復。
2、系統安全需求
對於操作系統的安全防範可以採取如下策略:盡量採用安全性較高的網路操作系統並進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些關鍵文件(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用許可權進行嚴格限制、加強口令字的使用、及時給系統打補丁、系統內部的相互調用不對外公開。
應用系統安全上,主要考慮身份鑒別和審計跟蹤記錄。這必須加強登錄過程的身份認證,通過設置復雜些的口令,確保用戶使用的合法性;其次應該嚴格限制登錄者的操作許可權,將其完成的操作限制在最小的范圍內。充分利用操作系統和應用系統本身的日誌功能,對用戶所訪問的信息做記錄,為事後審查提供依據。我們認為採用的入侵檢測系統可以對進出網路的所有訪問進行很好的監測、響應並作記錄。
3、防火牆需求
防火牆是網路安全最基本、最經濟、最有效的手段之一。防火牆可以實現內部、外部網或不同信任域網路之間的隔離,達到有效的控制對網路訪問的作用。
3.1省中心與各下級機構的隔離與訪問控制
防火牆可以做到網路間的單向訪問需求,過濾一些不安全服務;
防火牆可以針對協議、埠號、時間、流量等條件實現安全的訪問控制。
防火牆具有很強的記錄日誌的功能,可以對您所要求的策略來記錄所有不安全的訪問行為。
3.2公開伺服器與內部其它子網的隔離與訪問控制
利用防火牆可以做到單向訪問控制的功能,僅允許內部網用戶及合法外部用戶可以通過防火牆來訪問公開伺服器,而公開伺服器不可以主動發起對內部網路的訪問,這樣,假如公開伺服器造受攻擊,內部網由於有防火牆的保護,依然是安全的。
4、加密需求
目前,網路運營商所開展的VPN業務類型一般有以下三種:
1.撥號VPN業務(VPDN)2.專線VPN業務3.MPLS的VPN業務
移動互連網路VPN業務應能為用戶提供撥號VPN、專線VPN服務,並應考慮MPLSVPN業務的支持與實現。
VPN業務一般由以下幾部分組成:
(1)業務承載網路(2)業務管理中心(3)接入系統(4)用戶系統
我們認為實現電信級的加密傳輸功能用支持VPN的路由設備實現是現階段最可行的辦法。
5、安全評估系統需求
網路系統存在安全漏洞(如安全配置不嚴密等)、操作系統安全漏洞等是黑客等入侵者攻擊屢屢得手的重要因素。並且,隨著網路的升級或新增應用服務,網路或許會出現新的安全漏洞。因此必需配備網路安全掃描系統和系統安全掃描系統檢測網路中存在的安全漏洞,並且要經常使用,對掃描結果進行分析審計,及時採取相應的措施填補系統漏洞,對網路設備等存在的不安全配置重新進行安全配置。
6、入侵檢測系統需求
在許多人看來,有了防火牆,網路就安全了,就可以高枕無憂了。其實,這是一種錯誤的認識,防火牆是實現網路安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制(允許、禁止、報警)。但它是靜態的,而網路安全是動態的、整體的,黑客的攻擊方法有無數,防火牆不是萬能的,不可能完全防止這些有意或無意的攻擊。必須配備入侵檢測系統,對透過防火牆的攻擊進行檢測並做相應反應(記錄、報警、阻斷)。入侵檢測系統和防火牆配合使用,這樣可以實現多重防護,構成一個整體的、完善的網路安全保護系統。
7、防病毒系統需求
針對防病毒危害性極大並且傳播極為迅速,必須配備從伺服器到單機的整套防病毒軟體,防止病毒入侵主機並擴散到全網,實現全網的病毒安全防護。並且由於新病毒的出現比較快,所以要求防病毒系統的病毒代碼庫的更新周期必須比較短。
8、數據備份系統
安全不是絕對的,沒有哪種產品的可以做到百分之百的安全,但我們的許多數據需要絕對的保護。最安全的、最保險的方法是對重要數據信息進行安全備份,通過網路備份與災難恢復系統進行定時自動備份數據信息到本地或遠程的磁帶上,並把磁帶與機房隔離保存於安全位置。如果遇到系統來重受損時,可以利用災難恢復系統進行快速恢復。
9、安全管理體制需求
安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高,行為的約束只能通過嚴格的管理體制,並利用法律手段來實現。因些必須在電信部門系統內根據自身的應用與安全需求,制定安全管理制度並嚴格按執行,並通過安全知識及法律常識的培訓,加強整體員工的自身安全意識及防範外部入侵的安全技術。
安全目標
通過以上對網路安全風險分析及需求分析,再根據需求配備相應安全設備,採用上述方案,我們認為一個電信網路應該達到如下的安全目標:
建立一套完整可行的網路安全與網路管理策略並加強培訓,提高整體人員的安全意識及反黑技術。
利用防火牆實現內外網或不信任域之間的隔離與訪問控制並作日誌;
通過防火牆的一次性口令認證機制,實現遠程用戶對內部網訪問的細粒度訪問控制;
通過入侵檢測系統全面監視進出網路的所有訪問行為,及時發現和拒絕不安全的操作和黑客攻擊行為並對攻擊行為作日誌;
通過網路及系統的安全掃描系統檢測網路安全漏洞,減少可能被黑客利用的不安全因素;
利用全網的防病毒系統軟體,保證網路和主機不被病毒的侵害;
備份與災難恢復---強化系統備份,實現系統快速恢復;
通過安全服務提高整個網路系統的安全性。
❼ 良好的網路設備安全配置管理原則
網路配置與管理
第一章
1. 計算機技術與通訊技術的緊密結合產生了計算機網路。它經歷了三個階段的發展過程:
具有通信功能的單機系統、具有通信功能的多機系統和計算機網路。
2. 計算機網路按邏輯功能分為資源子網和通信子網兩部分。
資源子網是計算機網路中面向用戶的部分,負責數據處理工作。
通信子網是網路中數據通信系統,它用於信息交換的網路節點處理機和通信鏈路組成,主要負責通信處理工作。
3. 網路設備,在現代網路中,依靠各種網路設備把各個小網路連接起來,形成了一個更大的網路,也就是Internet。網路設備主要包括:網卡(NIC)、數據機(Modem)、集線器(Hub)、中繼器(Repeater)、網橋(Bridge)、交換機(Switch)、路由器(Router)和網關(Gateway)等。
4. 集線器是一種擴展網路的重要設備,工作在物理層。中繼器工作在物理層,是最簡單的的區域網延伸設備,主要作用是放大傳輸介質上傳輸的信號。網橋,工作在數據鏈路層,用於連接同類網路。交換機分為二層交換機和三層交換機,二層工作在數據鏈路層,根據MAC地址轉發幀。三層交換機工作在網路層,根據網路地址轉發數據包。每個埠都有橋接功能,所有埠都是獨立工作的,連接到同一交換機的用戶獨立享受交換機每個埠提供的帶寬,因此用交換機來擴展網路的時候,不會出現網路性能惡化的情況,這是目前使用最多的網路擴展設備。路由器,工作在網路層,它的作用是連接區域網和廣域網。網關工作在應用層。
5. 傳輸介質,可分為有線傳輸介質和無線傳輸介質。
6. 計算機網路的分類,根據地理范圍可以分為區域網(LAN)、城域網(MAN)、廣域網(WAN)、和互聯網(Internet)4種。
7. 區域網的分類,區域網主要是以雙絞線為傳輸介質的乙太網,基本上是企業和事業的區域網。
8. 乙太網分為標准乙太網,快速乙太網,千兆乙太網和10G乙太網。
9. 令牌環網,在一種專門的幀稱為「令牌」,在環路上持續地傳輸來確定一個結點何時可以發送包。
10. FDDI網,光纖分布式數據介面。同IBM的令牌環網技術相似,並具有LAN和令牌環網所缺乏的管理、控制和可靠性措施。
11. ATM網,非同步傳輸模式,ATM使用53位元組固定長度的單元進行交換。ATM的優點:使用相同的數據單元,可實現廣域網和區域網的無縫連接。支持VLAN(虛擬區域網)功能,可以對網路進行靈活的管理和配置。具有不同的速率,分為25、51、155、622Mbps,從而為不同的應用提供不同的速率。ATM採用「信元交換」來代替「包交換」進行實驗,發現信元交換的速度是非常快的。
12. 無線區域網,所採用的是802.11系列標准,它也是由IEEE 802標准委員會制定的。目前一系列標准主要有4個標准:802.11b 802.11a 802.11g 802.11z,前三個標准都是針對傳輸速度進行的改進。802.11b,它的傳輸速度為11MB/S,因為它的連接速度比較低,隨後推出了802.11a標准,它的連接速度可達54MB/S。但由於兩者不兼容,所以推出了802.11g,這樣原有的802.11b和802.11a標準的設備都可以在同一網路中使用。802.11z是一種專門為了加強無線區域網安全的標准。因為無線區域網的「無線」特點,給網路帶來了極大的不安全因素,為此802.11z標准專門就無線網路的安全做了明確規定,加強了用戶身份認證制度,並對傳輸的數據進行加密。
13. 網路協議的三要素為:語法,語義,同步。
14. OSI參考模型是計算機網路的基本體系結構模型,通常使用的協議有:TCP/IP協議、IPX/SPX協議、NetBEUI協議等。
15. OSI模型將通信會話需要的各種進程劃分7個相對獨立的功能層次,從下到上依次是:物理層 數據鏈路層 網路層 傳輸層 會話層 表示層 應用層。
16. TCP/IP參考模型包括4個功能層:應用層 傳輸層 網際層及介面層
17. 協議組件 IP:網路層協議。 TCP:可靠的主機到主機層協議。 UDP:盡力轉發的主機到主機層協議。 ICMP:在IP網路內為控制、測試、管理功能而設計的多協議。
18. IP地址介紹,地址實際上是一種標識符,它能夠幫助找到目的站點,起到了確定位置的作用。IP 地址分為A B C DE類地址。
19. IP地址的使用規則:
20. 網路號全0的地址保留,不能作為標識網路使用。主機號全0的地址保留,用來標識網路地址。
網路號全1、主機號全0的地址代表網路的子網掩碼。
地址0.0.0.0:表示默認路由。
地址255.255.255.255:代表本地有限廣播。
主機號全1的地址表示廣播地址,稱為直接廣播或是有限廣播。可以跨越路由器。
21. 劃分子網後整個IP地址就分為三個部分:主網號,它對應於標准A,B,C類的網路號部分。借用主機位作為網路號的部分,這個被稱為子網號。剩餘的主機號。
22. 子網掩碼的意義,在掩碼中,用1表示網路位,用0表示主機位。
23. IPV4地址不夠用了,所以出現了IPV6地址。,在表示和書寫時,用冒號將128位分割成8個16位的段,這里的128位表示在一個IPV6地址中包括128個二進制數,每個段包括4位的16進制數字。
第二章
1. 路由器是一種網路連接設備,用來連接不同的網路以及接入Internet。
IOS是路由器的操作系統,是路由器軟體商的組成部分。
2. 路由器和PC機一樣,也需要操作系統才能運行。Cisco(思科)路由器的操作系統叫做IOS,路由器的平台不同、功能不同,運行的IOS也不相同。IOS是一個特殊格式的文件,對於IOS文件的命名,思科採用了特殊的規則。
4. 網路互連:把自己的網路同其他的網路互連起來,從網路中獲取更多的信息和向網路發布自己的消息。網路互連有多種方式,其中執行最多是網橋互連和路由器互連。
5. 路由動作包括兩項基本內容:尋徑和轉發。尋徑:判斷到達目的地的最佳路徑,由路由器選擇演算法來實現。
6. 路由選擇方式有兩種:靜態路由和動態路由。
7.RIP協議最初是為Xerox網路系統的Xerox parc通用協議設計的,是Internet中常用的路由協議。RIP採用距離向量演算法,也稱為距離向量協議。 RIP執行非常廣泛,它簡單,可靠,便於配置。
8.ROP已不能互連,OSPF隨機產生。它是網間工程任務組織的內部網關協議工作組為IP網路而開發的一種路由協議。是一種基於鏈路狀態的路由協議。
9.BGP是為TCP/IP互聯網設計的外部網關協議,用於多個自治域之間。
10.路由表的優先問題,它們各自維護的路由表都提供給轉發程序,但這些路由表的表項間可能會發生沖突。這種沖突可通過配置各路由表的優先順序來解決。通常靜態路由具有默認的最高優先順序,當其他路由表項與它矛盾時,均按靜態路由轉發。
11. 路由演算法有一下幾個設計目標:最優化 簡潔性 快速收斂性靈活性堅固性
路由演算法執行了許多種不同的度量標准去決定最佳路徑。
通常所執行的度量有:路徑長度。可靠性,時延。帶寬。負載通信成本等。
第三章
進入快速乙太網介面配置模式命令:Router(Config)#Interface Fasterthernet interface-number
配置IP地址及其掩碼的命令:Router(Config-if)#ip address ip-address ip-mask【secondary】
啟用介面的命令:Router(Config)#no shutdown
進入介面SO配置模式:Router1(config)#interface serial 0
配置路由器介面SO的IP地址:Router1(config-if)#ip address 172.16.2.1255.255.255.0
配置Router1的時鍾頻率(DCE):Router1(config-if)#clock rate 64000
開啟路由器fastetherner0介面:Router1(config)#no shutdown
第四章
靜態路由的優點:1.沒有額外的路由器的cpu負擔2.節約帶寬3.增加安全性
靜態路由的缺點:1.網路管理員必須了解網路的整個拓撲結構
2.如果網路拓撲發生變化,管理員要在所有的路由上動手修改路由表
3.不適合於大型網路
默認路由是在路由選擇表中沒有對應於特定目標網路的條目是使用的路由
華為路由器配置默認路由:【RunterC】ip route-static 0. 0.0.0.0.0.0.0 192.168.40.1
靜態路由的默認管理距離:1
目前使用的動態路由協議又兩種:內部網關協議(IGP)和外部網關協議(RGP)
三種路由協議:距離矢量(Distance vector),鏈路狀態(Link state)和混合型(Hybrid)
RIP目前有兩個版本:RIPv1和RIPv2。RIPv1是個有類路由協議,而RIPv2是個無類路由協議
路由更新計時為:30秒 路由無效計時為:180秒保持停止計時為:大於等於180秒 路由刷新時間:240秒
復合度量包括4個元素:帶寬、延遲、負載、可靠性
訪問控制列表(ACL)是應用路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收,哪些數據包需要拒絕
ACL通過在訪問控制列表中對目的地進行歸類來管理通信流量,處理特定的數據包
ACL適用於所有的路由協議,如IP,IPX等
設置ACL的一些規則:
1. 按順序地比較,先比較第一行,再比較第二行,直到最後一行
2. 從第一行起,直到一個符合條件的行,符合以後,其餘的行就不再繼續比較下去
3. 默認在每個ACL中最後一行為隱含的拒絕,如果之前沒找到一條許可語句,意味著包將被丟棄
兩種主要的訪問控制列表:1.標准訪問控制列表2.擴展訪問控制列表
ACL號為1-99和1300-1999
擴展ACL使用的數字表號在100-199之間
第五章
交換機對數據包的轉發是建立在MAC地址基礎上
冗餘路徑帶來的問題:廣播風暴、重復幀拷貝、MAC地址表表項不穩定
STP(生成樹協議)的主要任務是防止2層的循環,STP使用生成樹演算法(STA)來創建拓撲資料庫
IEEE版本的STP的默認優先順序是32768,決定誰是根橋。假如優先順序一樣,那就比較MAC地址,MAC地址小的作為根橋
運行STP的交換機埠的5中狀態:堵塞、監聽、學習、禁用、轉發
交換機對於數據的轉發有一下三種方式:1.存儲-轉發式交換方 2.直通式交換方式 3.消除片斷式交換方式
可堆疊交換機就是指一個交換機中一般同時具有UP和DOWN堆疊埠
可堆疊交換機常用的堆疊方式有兩種:菊花型和星型
SVI埠的配置第三層邏輯介面稱為:SVI P168
交換環境中的兩種連接類型:access links、trunk links
附加VLAN 信息的方法,最具代表性的有:Inter-Switch link(ISL)、IEEE 802.1Q(俗稱dot 1 Q)
當出現違反埠安全原則的情況時,埠有一下幾種措施:
Suspend(掛起):埠不再工作,直到有數據幀流入並帶有合法的地址
Disable(禁用):埠不再工作,除非人工使其再次啟用
Ignore(忽略):忽略其違反安全性,埠仍可工作
計算機網路按邏輯功能可分為資源子網和通信子網兩部分
網卡工作在網路模型的物理層
集線器是多埠中繼器,工作在網路模型的物理層,所有埠共享設備
寬頻
中繼器工作在網路模型的物理層,是區域網的延伸設備。
網橋工作在網路模型的數據鏈路層,用於連接同類網路
交換機工作在網路模型的數據鏈路層,根據MAC地址轉發數據幀,每個埠
獨占寬頻。
路由器工作在網路模型的網路層,根據IP地址轉發數據包。
網關
網路有線通信介質通常包括雙絞線、同軸電纜、光纜等
計算機網路按地里范圍可以分為LAN、MAN、WAN、INTERNET
標准乙太網寬頻為10Mbps,實用CSMA/CD的訪問控制方法,遵循
IEEE802.3標准,使用雙絞線和同軸電纜為介質
10Base-5,使粗同軸電纜,最大網段長度500M,基帶傳輸
10Base-2,使細同軸電纜,最大網段長度185M,基帶傳輸
10Base-T,使雙絞線,最大網段長度100M
快速乙太網寬頻為100Mbps,使用CSMA/CD的訪問控制方法,使用雙絞線
和光纖
100Base-TX,使雙絞線,使用2對線路傳輸信號
100Base-T4,使雙絞線,使用4對線路傳輸信號
100Base-FX,使用光纖,使用4B/5B編碼方式
令牌環網,使用專門的數據幀稱為令牌,傳送數據
FDDI光纖分布式數據介面,使用光纖為傳輸介質,採用令牌傳遞數據
ATM非同步傳輸模式使用53位元組固定長度的信元傳輸數據
無線區域網WLAN採用802.11系列標准,有802.11a、802.11b、802.11g、
802.11n、802.11z
網路協議是計算機網路體系結構中關鍵要素之一,它的三要素為:語法、
語義、同步
TCP/IP中文為傳輸控制協議/互聯網協議,是internet的基礎協議,使用IP
地址通信
IPX/SPX中文為NetBIOS增強用戶介面,特點是簡單、通信效率高的廣播型協
議
OSI參考模型七層:物理層、數據鏈路層、網路層、傳輸層、會話層、表示
層、應用層
物理層:傳送單位是比特流,定義物理特性
數據鏈路層:傳送單位是數據幀,確保鏈路連接
網路層:傳送單位是數據包,提供網間通信
傳輸層:傳送單位是信息,提供端到端的可靠傳輸
會話層:管理通信雙發會話
表示層:負責數據編碼轉換
應用層:提供應用服務介面
TCP/IP模型四層:網路介面層、網際層、傳輸層、應用層
應用層協議:Telnet、FTP、SMTP、HTTP等 傳輸層協議:TCP、UDP
網際層協議:IP、ICMP、IGMP
網路介面層協議:ARP、RARP
❽ 影響網路安全的因素有哪些
影響網路安全的主要因素
由於企業網路由內部網路、外部網路和企業廣域網組成,網路結構復雜,威脅主要來自:病毒的侵襲、黑客的非法闖入、數據"竊聽"和攔截、拒絕服務、內部網路安全、電子商務攻擊、惡意掃描、密碼破解、數據篡改、垃圾郵件、地址欺騙和基礎設施破壞等。
下面來分析幾個典型的網路攻擊方式:
1.病毒的侵襲
幾乎有計算機的地方,就有出現計算機病毒的可能性。計算機病毒通常隱藏在文件或程序代碼內,伺機進行自我復制,並能夠通過網路、磁碟、光碟等諸多手段進行傳播。正因為計算機病毒傳播速度相當快、影響面大,所以它的危害最能引起人們的關注。
病毒的"毒性"不同,輕者只會玩笑性地在受害機器上顯示幾個警告信息,重則有可能破壞或危及個人計算機乃至整個企業網路的安全。
有些黑客會有意釋放病毒來破壞數據,而大部分病毒是在不經意之間被擴散出去的。員工在不知情的情況下打開了已感染病毒的電子郵件附件或下載了帶有病毒的文件,這導致了病毒的傳播。這些病毒會從一台個人計算機傳播到另一台,因而很難從某一中心點對其進行檢測。
任何類型的網路免受病毒攻擊最保險和最有效的方法是對網路中的每一台計算機安裝防病毒軟體,並定期對軟體中的病毒定義進行更新。值得用戶信賴的防病毒軟體包括Symantec、Norton和McAfee等。然而,如果沒有"憂患意識",很容易陷入"盲從殺毒軟體"的誤區。
因此,光有工具不行,還必須在意識上加強防範,並且注重操作的正確性;重要的是在企業培養集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
2.黑客的非法闖入
隨著越來越多黑客案件的報道,企業不得不意識到黑客的存在。黑客的非法闖入是指黑客利用企業網路的安全漏洞,不經允許非法訪問企業內部網路或數據資源,從事刪除、復制甚至毀壞數據的活動。一般來說,黑客常用的入侵動機和形式可以分為兩種。
黑客通過尋找未設防的路徑進入網路或個人計算機,一旦進入,他們便能夠竊取數據、毀壞文件和應用、阻礙合法用戶使用網路,所有這些都會對企業造成危害。黑客非法闖入將具備企業殺手的潛力,企業不得不加以謹慎預防。
防火牆是防禦黑客攻擊的最好手段。位於企業內部網與外部之間的防火牆產品能夠對所有企圖進入內部網路的流量進行監控。不論是基於硬體還是軟體的防火牆都能識別、記錄並阻塞任何有非法入侵企圖的可疑的網路活動。硬體防火牆產品應該具備以下先進功能:
●包狀態檢查:在數據包通過防火牆時對數據進行檢查,以確定是否允許進入區域網絡。
●流量控制:根據數據的重要性管理流入的數據。
●虛擬專用網(VPN)技術:使遠程用戶能夠安全地連接區域網。
●Java、ActiveX以及Cookie屏蔽:只允許來自可靠Web站點上的應用程序運行。
●代理伺服器屏蔽(Proxyblocking):防止區域網用戶繞過互聯網過濾系統。
●電子郵件發信監控(Outgoinge-mailscreening):能夠阻塞帶有特定詞句電子郵件的發送,以避免企業員工故意或無意的泄露某些特定信息。
3.數據"竊聽"和攔截
這種方式是直接或間接截獲網路上的特定數據包並進行分析來獲取所需信息。一些企業在與第三方網路進行傳輸時,需要採取有效措施來防止重要數據被中途截獲,如用戶信用卡號碼等。加密技術是保護傳輸數據免受外部竊聽的最好辦法,其可以將數據變成只有授權接收者才能還原並閱讀的編碼。
進行加密的最好辦法是採用虛擬專用網(VPN)技術。一條VPN鏈路是一條採用加密隧道(tunnel)構成的遠程安全鏈路,它能夠將數據從企業網路中安全地輸送出去。兩家企業可以通過Internet建立起VPN隧道。一個遠程用戶也可以通過建立一條連接企業區域網的VPN鏈路來安全地訪問企業內部數據。
4、拒絕服務
這類攻擊一般能使單個計算機或整個網路癱瘓,黑客使用這種攻擊方式的意圖很明顯,就是要阻礙合法網路用戶使用該服務或破壞正常的商務活動。例如,通過破壞兩台計算機之間的連接而阻止用戶訪問服務;通過向企業的網路發送大量信息而堵塞合法的網路通信,最後不僅摧毀網路架構本身,也破壞整個企業運作。
5.內部網路安全
為特定文件或應用設定密碼保護能夠將訪問限制在授權用戶范圍內。例如,銷售人員不能夠瀏覽企業人事信息等。但是,大多數小型企業無法按照這一安全要求操作,企業規模越小,越要求每一個人承擔更多的工作。如果一家企業在近期內會迅速成長,內部網路的安全性將是需要認真考慮的問題。
6.電子商務攻擊
從技術層次分析,試圖非法入侵的黑客,或者通過猜測程序對截獲的用戶賬號和口令進行破譯,以便進入系統後做更進一步的操作;或者利用伺服器對外提供的某些服務進程的漏洞,獲取有用信息從而進入系統;或者利用網路和系統本身存在的或設置錯誤引起的薄弱環節和安全漏洞實施電子引誘,以獲取進一步的有用信息;或者通過系統應用程序的漏洞獲得用戶口令,侵入系統。
除上述威脅企業網路安全的主要因素外,還有如下網路安全隱患:
惡意掃描:這種方式是利用掃描工具(軟體)對特定機器進行掃描,發現漏洞進而發起相應攻擊。
密碼破解:這種方式是先設法獲取對方機器上的密碼文件,然後再設法運用密碼破解工具獲得密碼。除了密碼破解攻擊,攻擊者也有可能通過猜測或網路竊聽等方式獲取密碼。
數據篡改:這種方式是截獲並修改網路上特定的數據包來破壞目標數據的完整性。
地址欺騙:這種方式是攻擊者將自身IP偽裝成目標機器信任機器的IP 地址,以此來獲得對方的信任。
垃圾郵件 主要表現為黑客利用自己在網路上所控制的計算機向企業的郵件伺服器發送大量的垃圾郵件,或者利用企業的郵件伺服器把垃圾郵件發送到網路上其他的伺服器上。
基礎設施破壞:這種方式是破壞DNS或路由器等基礎設施,使得目標機器無法正常使用網路。
由上述諸多入侵方式可見,企業可以做的是如何盡可能降低危害程度。除了採用防火牆、數據加密以及藉助公鑰密碼體制等手段以外,對安全系數要求高的企業還可以充分利用網路上專門機構公布的常見入侵行為特徵數據-通過分析這些數據,企業可以形成適合自身的安全性策略,努力使風險降低到企業可以接受且可以管理的程度。
企業網路安全的防範
技術與管理相結合:技術與管理不是孤立的,對於一個信息化的企業來說,網路信息安全不僅僅是一個技術問題,也是一個管理問題。在很多病毒或安全漏洞出現不久,網上通常就會有相應的殺毒程序或者軟體補丁出現,但為什麼還會讓病毒肆虐全球呢?為什麼微軟主頁上面及時發布的補丁以及各種各樣查殺的工具都無法阻止這些病毒蔓延呢?歸根結底還是因為很多用戶(包括企業級用戶)沒有養成主動維護系統安全的習慣,同時也缺乏安全方面良好的管理機制。
要保證系統安全的關鍵,首先要做到重視安全管理,不要"坐以待斃",可以說,企業的信息安全,是一個整體的問題,需要從管理與技術相結合的高度,制定與時俱進的整體管理策略,並切實認真地實施這些策略,才能達到提高企業信息系統安全性的目的。
風險評估:要求企業清楚自身有哪些系統已經聯網、企業網路有哪些弱點、這些弱點對企業運作都有哪些具體風險,以及這些風險對於公司整體會有怎樣的影響。
安全計劃:包括建立企業的安全政策,掌握保障安全性所需的基礎技術,並規劃好發生特定安全事故時企業應該採取的解決方案。企業網路安全的防範策略目的就是決定一個組織機構怎樣來保護自己。
一般來說,安全策略包括兩個部分:一個總體的安全策略和具體的規則。總體安全策略制定一個組織機構的戰略性安全指導方針,並為實現這個方針分配必要的人力物力。
計劃實施:所有的安全政策,必須由一套完善的管理控制架構所支持,其中最重要的要素是要建立完整的安全性解決方案。
物理隔離:即在網路建設的時候單獨建立兩套相互獨立的網路,一套用於部門內部辦公自動化,另一套用於連接到Internet,在同一時候,始終只有一塊硬碟處於工作狀態,這樣就達到了真正意義上的物理安全隔離。
遠程訪問控制:主要是針對於企業遠程撥號用戶,在內部網路中配置用戶身份認證伺服器。在技術上通過對接入的用戶進行身份和密碼驗證,並對所有的用戶機器的MAC地址進行注冊,採用IP地址與MAC地址的動態綁定,以保證非授權用戶不能進入。
病毒的防護:培養企業的集體防毒意識,部署統一的防毒策略,高效、及時地應對病毒的入侵。
防火牆:目前技術最為復雜而且安全級別最高的防火牆是隱蔽智能網關, 它將網關隱藏在公共系統之後使其免遭直接攻擊。隱蔽智能網關提供了對互聯網服務進行幾乎透明的訪問, 同時阻止了外部未授權訪問對專用網路的非法訪問。一般來說, 這種防火牆的安全性能很高,是最不容易被破壞和入侵的。
網路安全問題簡單化
大多數企業家缺乏對IT技術的深入了解,他們通常會被網路的安全需求所困擾、嚇倒或征服。許多企業領導,不了解一部網關與一台路由器之間的區別,卻不願去學習,或因為太忙而沒時間去學。
他們只希望能夠確保財務紀錄沒被竊取,伺服器不會受到一次"拒絕服務攻擊"。他們希望實現這些目標,但不希望為超出他們需求范圍的技術或服務付出更高的成本,就像銷售計算機設備的零售店不願意提供額外服務一樣。
企業網路安全是一個永遠說不完的話題,今天企業網路安全已被提到重要的議事日程。一個安全的網路系統的保護不僅和系統管理員的系統安全知識有關,而且和領導的決策、工作環境中每個員工的安全操作等都有關系。
網路安全是動態的,新的Internet黑客站點、病毒與安全技術每日劇增。要永遠保持在知識曲線的最高點,把握住企業網路安全的大門,從而確保證企業的順利成長
❾ 網路管理的基本功能:配置管理、故障管理、性能管理、計費管理和.安全管理。簡要敘述。
網路管理的目的是協調、保持網路系統的高效、可靠運行,當網路出現故障時,能及時恨告和處理。 ISO建議網路管理應包含以下基本功能:故障管理、計費管理、配置管理、性能管理和安全管理。
(1)故障管理(Fault Management)。故障管理是網路管理中最基本的功能之一。當網路發生故障時,①必須盡可能快地找出故障發生的確切位置;②將網路其它部分與故障部分隔離,以確保網路其它部分能不受干擾繼續運行;③重新配置或重組網路,盡可能降低由於隔離故障後對網路帶來的影響;④修復或替換故障部分,將網路恢復為初始狀態。對網路組成部件狀態的監測是網路故障檢測的依據。不嚴重的簡單故障或偶然出現的錯誤通常被記錄在錯誤日誌中,一般需做特別處理;而嚴重一些的故障則需要通知網路管理器,即發出報警。因此網路管理器必須具備快速和可靠的故障監測、診斷和恢復功能。
(2)計費管理( AccountiI1g 管理)。在商業性有償使用的網路上,計費管理功能統計哪些用戶、使用何信道、傳輸多少數據、訪問什麼資源等信息;另一方面,計費管理功能還可以統計不同線路和各類資源的利用情況。因此,可見,計費管理的根本依據是網路用|戶資源的情況,例如,信息傳輸量、佔用線路的時間等統計量。
(3)配置管理(配置 Management )。配置管理也是網路管理的基本功能。計算機網路由各種物理結構和邏輯結構組成,這些結構中有許多參數、狀態等信息需要設置並協調。另外,網路運行在多變的環境中,系統本身也經常要隨著用戶的增、減或設備的維修而調整配置。網路管理系統必須具有足夠的手段支持這些調整的變化,使網路更有效的工作。
(4)性能管理(Pedom1mce Management )。性能管理的目的是在使用最少的網路資源和具有最小延遲的前提下,確保網路能提供可靠、連續的通信能力,並使網路資源的使用達到最優化的程度。網路的性能管理有監測和控制兩大功能,監測功能實現對網路中的活動進行跟蹤,控制功能實施相應調整來提高網路性能。性能管理的具體內容包括:從被管對象中收集與網路性能有關的數據,分析和統計歷史數據,建立性能分析的模型,預測網路性能的長期趨勢,並根據分析和預測的結果,對網路拓撲結構、某些對象的配置和參數做出調整,逐步達到最佳運行狀態。如果需要做出的調整較大時,還要考慮擴充或重建網路
(5)安全管理(Security Management)安全管理的目的是確保網路資源不被非法使用,防止網路資源由於人侵者攻擊而遭受破壞o其主要內容包括:與安全措施有關的信息分發(如密鑰的分發和訪問權設置等),與安全有關的通知(如網路有非法侵入、無權用戶對特定、信息的訪問企圖等),安全服務措施的創建、控制和刪除,與安全有關的網路操作事件的記錄、維護和查詢日誌管理工作等等。一個完善的計算機網路管理系統必須制定網路管理的安全策略,並根據這一策略設計實現網路安全管理系統
❿ 網路安全領域中,技術和管理的相互關系和作用是
三分技術七分管理,網路安全程度取決於木桶的最短板,技術只是手段,安全管理和安全習慣意識培養是關鍵一環。