⑴ 現在全球有多少個國家頒布了網路空間國家安全戰略
國家安全指的是國家穩定、和諧、科學的發展,影響國家安全的本質是間諜、對社會不負責任的人,挑國際矛盾的人,網路安全要求我們每個人自覺做到文明
⑵ 網路的問題急用!!!!!!!!!
中小企業整體網路安全解決方案解析
信息科技的發展使得計算機的應用范圍已經遍及世界各個角落。眾多的企業都紛紛依靠IT技術構建企業自身的信息系統和業務運營平台。IT網路的使用極大地提升了企業的核心競爭力,使企業能在信息資訊時代脫穎而出。
企業利用通信網路把孤立的單機系統連接起來,相互通信和共享資源。但由於計算機信息的共享及互聯網的特有的開放性,使得企業的信息安全問題日益嚴重。
外部安全
隨著互聯網的發展,網路安全事件層出不窮。近年來,計算機病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露等已成為影響最為廣泛的安全威脅。對於企業級用戶,每當遭遇這些威脅時,往往會造成數據破壞、系統異常、網路癱瘓、信息失竊,工作效率下降,直接或間接的經濟損失也很大。
內部安全
最新調查顯示,在受調查的企業中60%以上的員工利用網路處理私人事務。對網路的不正當使用,降低了生產率、阻礙電腦網路、消耗企業網路資源、並引入病毒和間諜,或者使得不法員工可以通過網路泄漏企業機密,從而導致企業數千萬美金的損失。
內部網路之間、內外網路之間的連接安全
隨著企業的發展壯大及移動辦公的普及,逐漸形成了企業總部、各地分支機構、移動辦公人員這樣的新型互動運營模式。怎麼處理總部與分支機構、移動辦公人員的信息共享安全,既要保證信息的及時共享,又要防止機密的泄漏已經成為企業成長過程中不得不考慮的問題。各地機構與總部之間的網路連接安全直接影響企業的高效運作。
1. 中小企業的網路情況分析
中小企業由於規模大小、行業差異、工作方式及管理方式的不同有著不同的網路拓撲機構。網路情況有以下幾種。
集中型:
中小企業網路一般只在總部設立完善的網路布局。採取專線接入、ADSL接入或多條線路接入等網路接入方式,一般網路中的終端總數在幾十到幾百台不等。網路中有的劃分了子網,並部署了與核心業務相關的伺服器,如資料庫、郵件伺服器、文檔資料庫、甚至ERP伺服器等。
分散型:
採取多分支機構辦公及移動辦公方式,各分支機構均有網路部署,數量不多。大的分支採取專線接入,一般分支採取ADSL接入方式。主要是通過VPN訪問公司主機設備及資料庫,通過郵件或內部網進行業務溝通交流。
綜合型:
集中型與分散型的綜合。
綜合型企業網路簡圖
2. 網路安全設計原則
網路安全體系的核心目標是實現對網路系統和應用操作過程的有效控制和管理。任何安全系統必須建立在技術、組織和制度這三個基礎之上。
體系化設計原則
通過分析信息網路的層次關系,提出科學的安全體系和安全框架,並根據安全體系分析存在的各種安全風險,從而最大限度地解決可能存在的安全問題。
全局綜合性設計原則
從中小企業的實際情況看,單純依靠一種安全措施,並不能解決全部的安全問題。建議考慮到各種安全措施的使用,使用一個具有相當高度、可擴展性強的安全解決方案及產品。
可行性、可靠性及安全性
可行性是安全方案的根本,它將直接影響到網路通信平台的暢通,可靠性是安全系統和網路通信平台正常運行的保證,而安全性是設計安全系統的最終目的。
3. 整體網路安全系統架構
安全方案必須架構在科學網路安全系統架構之上,因為安全架構是安全方案設計和分析的基礎。
整體安全系統架構
隨著針對應用層的攻擊越來越多、威脅越來越大,只針對網路層以下的安全解決方案已經不足以應付來自應用層的攻擊了。舉個簡單的例子,那些攜帶著後門程序的蠕蟲病毒是簡單的防火牆/VPN安全體系所無法對付的。因此我們建議企業採用立體多層次的安全系統架構。如圖2所示,這種多層次的安全體系不僅要求在網路邊界設置防火牆/VPN,還要設置針對網路病毒和垃圾郵件等應用層攻擊的防護措施,將應用層的防護放在網路邊緣,這種主動防護可將攻擊內容完全阻擋在企業內部網之外。
1. 整體安全防護體系
基於以上的規劃和分析,建議中小企業企業網路安全系統按照系統的實現目的,採用一種整合型高可靠性安全網關來實現以下系統功能:
防火牆系統
VPN系統
入侵檢測系統
網路行為監控系統
垃圾郵件過濾系統
病毒掃描系統
帶寬管理系統
無線接入系統
2.方案建議內容
2.1. 整體網路安全方案
通過如上的需求分析,我們建議採用如下的整體網路安全方案。網路安全平台的設計由以下部分構成:
防火牆系統:採用防火牆系統實現對內部網和廣域網進行隔離保護。對內部網路中伺服器子網通過單獨的防火牆設備進行保護。
VPN系統:對遠程辦公人員及分支機構提供方便的IPSec VPN接入,保護數據傳輸過程中的安全,實現用戶對伺服器系統的受控訪問。
入侵檢測系統:採用入侵檢測設備,作為防火牆的功能互補,提供對監控網段的攻擊的實時報警和積極響應。
網路行為監控系統:對網路內的上網行為進行規范,並監控上網行為,過濾網頁訪問,過濾郵件,限制上網聊天行為,阻止不正當文件的下載。
病毒防護系統:強化病毒防護系統的應用策略和管理策略,增強病毒防護有效性。
垃圾郵件過濾系統:過濾郵件,阻止垃圾郵件及病毒郵件的入侵。
移動用戶管理系統:對內部筆記本電腦在外出後,接入內部網進行安全控制,確保筆記本設備的安全性。有效防止病毒或黑客程序被攜帶進內網。
帶寬控制系統:使網管人員對網路中的實時數據流量情況能夠清晰了解。掌握整個網路使用流量的平均標准,定位網路流量的基線,及時發現網路是否出現異常流量並控制帶寬。
總體安全結構如圖:
網路安全規劃圖
本建議書推薦採用法國LanGate®產品方案。LanGate® UTM統一安全網關能完全滿足本方案的全部安全需求。LanGate® UTM安全網關是在專用安全平台上集成了防火牆、VPN、入侵檢測、網路行為監控、防病毒網關、垃圾郵件過濾、帶寬管理、無線安全接入等功能於一身的新一代全面安全防護系統。
LanGate® UTM產品介紹
3.1. 產品概括
LanGate 是基於專用晶元及專業網路安全平台的新一代整體網路安全硬體產品。基於專業的網路安全平台, LanGate 能夠在不影響網路性能情況下檢測有害的病毒、蠕蟲及其他網路上的安全威脅,並且提供了高性價比、高可用性和強大的解決方案來檢測、阻止攻擊,防止不正常使用和改善網路應用的服務可靠性。
高度模塊化、高度可擴展性的集成化LanGate網路產品在安全平台的基礎上通過各個可擴展的功能模塊為企業提供超強的安全保護服務,以防禦外部及內部的網路攻擊入。此產品在安全平台上集成各種功能應用模塊和性能模塊。應用模塊添加功能,例如ClamAV反病毒引擎或卡巴斯基病毒引擎及垃圾郵件過濾引擎。這種安全模塊化架構可使新的安全服務在網路新病毒、新威脅肆虐時及時進行在線升級挽救網路,而無需進行資金及資源的再投入。輕松安裝、輕松升級的LanGate產品簡化了網路拓撲結構,降低了與從多個產品供應商處找尋、安裝和維護多種安全服務相關的成本。
3.2. 主要功能
基於網路的防病毒
LanGate 是網關級的安全設備,它不同於單純的防病毒產品。LanGate 在網關上做 HTTP、SMTP、POP 和 IMAP的病毒掃描,並且可以通過策略控制流經不同網路方向的病毒掃描或阻斷,其應用的靈活性和安全性將消除企業不必要的顧慮。LanGate的防病毒引擎同時是可在線升級的,可以實時更新病毒庫。
基於用戶策略的安全管理
整個網路安全服務策略可以基於用戶進行管理,相比傳統的基於 IP的管理方式,提供了更大的靈活性。
防火牆功能
LanGate 系列產品防火牆都是基於狀態檢測技術的,保護企業的計算機網路免遭來自 Internet 的攻擊。防火牆通過「外->內」、「內->外」、「內->內」(子網或虛擬子網之間)的介面設置,提供了全面的安全控制策略。
VPN功能
LanGate支持IPSec、PPTP及L2TP的VPN 網路傳輸隧道。LAN Gate VPN 的特性包括以下幾點:
支持 IPSec 安全隧道模式
支持基於策略的 VPN 通信
硬體加速加密 IPSec、DES、3DES
X509 證書和PSK論證
集成 CA
MD5 及 SHA認證和數據完整性
自動 IKE 和手工密鑰交換
SSH IPSEC 客戶端軟體, 支持動態地址訪問,支持 IKE
通過第三方操作系統支持的 PPTP 建立 VPN 連接
通過第三方操作系統支持的 L2TP建立 VPN 連接
支持NAT穿越
IPSec 和 PPTP
支持無線連接
星狀結構
內容過濾功能
LanGate 的內容過濾不同於傳統的基於主機系統結構內容處理產品。LanGate設備是網關級的內容過濾,是基於專用晶元硬體技術實現的。LanGate 專用晶元內容處理器包括功能強大的特徵掃描引擎,能使很大范圍類型的內容與成千上萬種關鍵詞或其它模式的特徵相匹配。具有根據關鍵字、URL或腳本語言等不同類型內容的過濾,還提供了免屏蔽列表和組合關鍵詞過濾的功能。同時,LanGate 還能對郵件、聊天工具進行過濾及屏蔽。
入侵檢測功能
LanGate 內置的網路入侵檢測系統(IDS)是一種實時網路入侵檢測感測器,它能對外界各種可疑的網路活動進行識別及採取行動。IDS使用攻擊特徵庫來識別過千種的網路攻擊。同時LanGate將每次攻擊記錄到系統日誌里,並根據設置發送報警郵件或簡訊給網路管理員。
垃圾郵件過濾防毒功能 包括:
對 SMTP伺服器的 IP進行黑白名單的識別
垃圾郵件指紋識別
實時黑名單技術
對所有的郵件信息病毒掃描
帶寬控制(QoS)
LanGate為網路管理者提供了監測和管理網路帶寬的手段,可以按照用戶的需求對帶寬進行控制,以防止帶寬資源的不正常消耗,從而使網路在不同的應用中合理分配帶寬,保證重要服務的正常運行。帶寬管理可自定義優先順序,確保對於流量要求苛刻的企業,最大限度的滿足網路管理的需求。
系統報表和系統自動警告
LanGate系統內置詳細直觀的報表,對網路安全進行全方位的實時統計,用戶可以自定義閥值,所有超過閥值的事件將自動通知管理管理人員,通知方式有 Email 及簡訊方式(需結合簡訊網關使用)。
多鏈路雙向負載均衡
提供了進出流量的多鏈路負載均衡,支持自動檢測和屏蔽故障多出口鏈路,同時還支持多種靜態和動態演算法智能均衡多個ISP鏈路的流量。支持多鏈路動態冗餘,流量比率和智能切換;支持基於每條鏈路限制流量大小;支持多種DNS解析和規劃方式,適合各種用戶網路環境;支持防火牆負載均衡。
3.2. LanGate產品優勢
提供完整的網路保護。
提供高可靠的網路行為監控。
保持網路性能的基礎下,消除病毒和蠕蟲的威脅。
基於專用的硬體體系,提供了高性能和高可靠性。
用戶策略提供了靈活的網路分段和策略控制能力。
提供了HA高可用埠,保證零中斷服務。
強大的系統報表和系統自動警告功能。
多種管理方式:SSH、SNMP、WEB。基於WEB(GUI)的配置界面提供了中/英文語言支持。
3.3. LANGATE公司簡介
總部位於法國的LANGATE集團公司,創立於1998年,致力於統一網路安全方案及產品的研發,早期作為專業IT安全技術研發機構,專門從事IT綜合型網路安全設備及方案的研究。如今,LANGATE已經成為歐洲眾多UTM、防火牆、VPN品牌的OEM廠商及專業研發合作夥伴,並在IT安全技術方面領先同行,為全球各地區用戶提供高效安全的網路綜合治理方案及產品。
專利的LanGate® UTM在專用高效安全硬體平台上集成了Firewall(防火牆)、VPN(虛擬專用網路)、Content Filtering(內容過濾,又稱上網行為監管)、IPS(Intruction Prevention System,即入侵檢測系統)、QoS(Quality of Services,即流量管理)、Anti-Spam (反垃圾郵件)、Anti-Virus (防病毒網關)及 Wireless Connectivity (無線接入認證)技術。
LANGATE在全球范圍內推廣UTM整體網路安全解決方案,銷售網路遍及全球30多個國家及地區。LANGATE的產品服務部門遍布各地子公司及各地認可合作夥伴、ISPs、分銷渠道、認證VARs、認可SIs,為全球用戶提供專業全面的IT安全服務。
⑶ 什麼是電子歐洲行動計劃
概括:是一項電子商務計劃。
英文全稱:E-Europe Action Plan
介紹:
歐盟委員會於2000年提出了一項建設「電子歐洲」的行動計劃,主張消除各種障礙發展網際網路,加速歐洲網路建設,使歐洲能夠充分利用網際網路和數字技術的優勢,加快發展「新經濟」。
歐盟委員會負責企業和信息社會的委員利卡寧在記者招待會上介紹這項行動計劃時說,「電子歐洲」的主要目標是在歐洲實現信息社會,「使歐洲充分享受網際網路和數字化技術帶來的經濟和社會利益」。他認為,世界一些地區已經和正在憑借網路和數字技術實現經濟的增長,歐盟委員會的行動計劃是要在2002年「使歐洲的網際網路和數字技術在世界上名列前茅」。
歐盟委員會要求成員國在執行這項行動計劃時盡快實現下述目標:努力降低網際網路的上網費用,並使上網速度更快、更安全;大力鼓勵使用網際網路,加大知識投資,保證全民都能上網。行動計劃特別強調,要加速通過一系列有關「電子歐洲」的法律,保證普及網際網路的基礎設施和服務,使歐盟成員國之間做到網路暢通。
歐盟委員會還提出了保證實現「電子歐洲」必須完成的幾項任務:
對兒童的網際網路培訓;
增加消費者對電子商務的信心;
學生和專家實現網上交流;
引入競爭機制;
使網際網路的上網費用適合所有社會階層等。
⑷ 簡述網路安全策略的概念及制定安全策略的原則
網路的安全策略1.引言
隨著計算機網路的不斷發展,全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵,致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言,其網上信息的安全和保密尤為重要。因此,上述的網路必須有足夠強的安全措施,否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網路信息的保密性、完整性和可用性。
2.計算網路面臨的威脅
計算機網路所面臨的威脅大體可分為兩種:一是對網路中信息的威脅;二是對網路中設備的威脅。影響計算機網路的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有,歸結起來,針對網路安全的威脅主要有三:
(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(2)人為的惡意攻擊:這是計算機網路所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網路正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害,並導致機密數據的泄漏。
(3)網路軟體的漏洞和「後門」:網路軟體不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網路內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦「後門」洞開,其造成的後果將不堪設想。
3.計算機網路的安全策略
3.1 物理安全策略
物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要採取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是採用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。
3.2 訪問控制策略
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。
對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩餘的口令加密,基於多項式共享的口令加密,基於數字簽名方案的口令加密等。經過上述方法加密的口令,即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。
網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。
用戶名和口令驗證有效之後,再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的帳號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
3.2.2 網路的許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(IRM)可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;(3)審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。
3.2.3 目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、創建許可權(Create)、刪除許可權(Erase)、修改許可權(Modify)、文件查找許可權(File Scan)、存取控制許可權(Access Control)。用戶對文件或目標的有效許可權取決於以下二個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
3.2.4 屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。
3.2.5 網路伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
3.2.6 網路監測和鎖定控制
網路管理員應對網路實施監控,伺服器應記錄用戶對網路資源的訪問,對非法的網路訪問,伺服器應以圖形或文字或聲音等形式報警,以引起網路管理員的注意。如果不法之徒試圖進入網路,網路伺服器應會自動記錄企圖嘗試進入網路的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。
3.2.7 網路埠和節點的安全控制
網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護,並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶,靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發生器)。在對用戶的身份進行驗證之後,才允許用戶進入用戶端。然後,用戶端和伺服器端再進行相互驗證。
3.2.8 防火牆控制
防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型;
(1)包過濾防火牆:包過濾防火牆設置在網路層,可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。
(2)代理防火牆:代理防火牆又稱應用層網關級防火牆,它由代理伺服器和過濾路由器組成,是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連,並對數據進行嚴格選擇,然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務(如多媒體)。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。
(3)雙穴主機防火牆:該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡,分別連接不同的網路。雙穴主機從一個網路收集數據,並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據,從而保護了內部網路不被非法訪問。
4.信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
信息加密過程是由形形 色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組,每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
5. 網路安全管理策略
在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。
網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房管理制度;制定網路系統的維護制度和應急措施等。
6. 結束語
隨著計算機技術和通信技術的發展,計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網路的脆弱性和潛在威脅,採取強有力的安全策略,對於保障網路的安全性將變得十分重要。
⑸ 哪個國家首先進行網路空間安全治理
雖然互聯網具有高度全球化的特徵,但每一個國家在信息領域的主權權益都不應受到侵犯,互聯網技術再發展也不能侵犯他國的信息主權。在信息領域沒有雙重標准,各國都有權維護自己的信息安全,不能一個國家安全而其他國家不安全,一部分國家安全而另一部分國家不安全,更不能犧牲別國安全謀求自身所謂絕對安全。國際社會要本著相互尊重和相互信任的原則,通過積極有效的國際合作,共同構建和平、安全、開放、合作的網路空間,建立多邊、民主、透明的國際互聯網治理體系。 每一個國家在信息領域的主權權益都不應受到侵犯,互聯網技術再發展也不能侵犯他國的信息主權。信息主權是互聯網時代國家主權的重要內容之一,這是對國家主權思想的思想發展,也是對世界各國的提醒,無論你的技術如何先進、領先都不能肆意侵擾他國,信息主權不容侵犯,網路時代必須尊重信息主權。
⑹ 歐盟實施「最嚴數據信息保護條例」對中企有何影響
6至7日,60餘家中國企業負責人聚集中國人民公安大學,參加「個人信息保護:中歐進展與企業合規」公益培訓。
培訓中,何延哲就企業如何對個人信息進行規范收集、保存和存儲作出梳理,並闡釋了企業提升數據安全能力的方法。
數據安全資深從業者方興表示,數據時代來臨後,許多中國企業存在把數據安全理解為信息載體安全,重視數據訪問安全而忽視使用安全,重視事前保護而忽略溯源追責體系等通病。
他強調,全知的數據時代需要整體的安全視角,只有從授權、用途、量級、法律規范等多種角度動態追蹤和分析風險,才可剔除數據在流動過程中埋下的隱患。
此外,多位嘉賓還就「GDPR與個人信息安全規范異同」「數據安全與企業內控」「中外合規產品設計實例與輿情」等主題進行分享。
主辦方介紹,培訓獲得了相關企業的一致好評,未來將每月舉辦一次。
⑺ 國外網路安全的先進性主要體現在哪些方面
這個貌似國內比國外更加先進。
⑻ 文章中談到"斯諾登引爆的'棱鏡門'事件"有什麼作用
美國秘密監控項目「棱鏡」計劃的爆料者愛德華·斯諾登獲得俄羅斯臨時避難許可已經一個月,但是「棱鏡門」事件仍未淡出人們的視野。美國內媒體和情報界前官員仍不斷發聲批評「棱鏡」計劃的始作俑者美國家安全局擅自擴大監控范圍,或質疑政府安全部門內部雇員管理上的漏洞。8月20日,英國政府也加入斯諾登事件的後續發酵活動,出動高層官員要求最先報道斯諾登泄密信息的該國《衛報》把斯諾登提供的所有資料返還或者銷毀,否則將威脅把《衛報》訴諸法庭。如此看來,「棱鏡門」事件的發酵頗有點棱鏡效應,幾個月來的進展折射出美國監控丑聞背後國際安全與政治博弈的各色光譜,值得分析評點。
「棱鏡門」事件的棱鏡效應之一,是坐實了美、英等國在黑客問題上對中國賊喊捉賊的鬧劇。近年來,美國及其他西方國家總是將黑客攻擊事件與中國相關聯,美國一些政府官員、國會議員、智庫學者、媒體記者似乎形成了思維定勢、相互默契和輿論動員,動輒就網路安全事件對中國進行含沙射影或指名道姓的指責。歐洲國家一些學者甚至官員對美式輿論耳濡目染,也紛紛加入指責中國的行列,奧地利國防部一個少將在俄羅斯主辦的一次國際學術會議上僅憑道聽途說就妄加批評中國黑客竊取了美國F-22戰斗機製造技術的知識產權。
斯諾登事件以來,美國批評中國黑客入侵的聲浪銳減,美國媒體開始將矛頭轉向批評奧巴馬政府以及美國家安全局咎由自取。就連曾公開指責中國華為公司從事間諜行為的美國中情局前局長海登近日也無奈地承認,美國在斯諾登事件上讓中國抓住了把柄。這充分說明美、英等西方國家憑借信息通信技術的巨大優勢對中國進行長期秘密情報監控、網路入侵的情況屬實。
「棱鏡門」事件的棱鏡效應之二,是凸顯了美、英等信息通信技術強國在國家安全問題上的兩難處境。美國自走出孤立主義的立國政策之後,不安全感和追求世界領導者地位就成為美國國家安全戰略的兩大邏輯起點。9·11事件成為美國高度重視信息安全的分水嶺,因為現代信息通信技術不斷普及,同樣也為基地組織等美國人認定的恐怖主義網路提供了秘密聯絡、策劃發動下一輪襲擊的便利條件。
「棱鏡門」事件折射出美國國家安全觀念正在發生一些微妙變化。一是「棱鏡」計劃監控對象的泛化。根據斯諾登先前透露,「棱鏡」計劃不僅針對美國人所認為的恐怖分子、對手國家或潛在對手國家,而且對德國等北約軍事盟友以及拉美國家進行監控。斯諾登在今年7月31日的一次爆料中談到,美國國家安全局的「Xkeyscore」監控計劃「幾乎可以涵蓋所有網上信息」,可以「最大范圍收集互聯網數據」,內容包括電子郵件、網站信息、搜索和聊天記錄等等。二是「棱鏡」計劃監控內容的泛化。據斯諾登爆料,美國「棱鏡」項目不僅監控恐怖分子的信息,而且監控別國軍事、政治、經濟、能源乃至大學教育等多方面信息,說明美國追求的國家安全不僅是消除恐怖主義隱患、軍事沖突等傳統意義上的安全,而是追求在絕對信息優勢基礎上維護其世界領導者的超級大國霸權地位。以信息通信技術優勢追求絕對安全,卻因維護霸權和盲目推進本國利益的沖動濫用信息通信技術,從而招致國際國內信任的喪失和猜疑的上升,誘發新的不安全因素,這便是美、英等信息通信技術強國不得不面對的安全兩難。
「棱鏡門」事件的棱鏡效應之三,是形成了和平推進網路信息安全國際治理的契機。當人們熱衷於討論俄羅斯、美國以及中國等當事國誰是贏家誰是輸家的時候,筆者更願意相信斯諾登爆料的「棱鏡門」事件對全世界都是一件好事,包括美國。
斯諾登的貢獻在於,警醒人們在網路信息安全領域,國家和政府不應因為有了信息通信技術的強大手段,而喪失了法律和道德的底線;處於信息通信技術優勢地位的國家,不應肆意掠奪別國的信息資源,使網路信息空間成為弱肉強食的「霍布斯」叢林;擁有強大軍事能力的國家,不應帶頭鼓噪網路空間軍事化,使本應通過信息交流共享促進科技創新與文明進步的網路信息空間,成為人類自相殘殺的新的戰場。要避免這些傾向,大國之間進行必要的戰略克制、國際社會加強平等協調共同推進網路信息安全國際治理,應成為世界性的共識。
⑼ 地震引發網路安全危機,那麼歐美這些國家難道沒發生過地震,他們是如何應對的呢
由於我們的互聯網過度依賴美國,所以說才會出現外面地震國內亂的情況。
國外也有地震引起網路中斷的現象,但相比之下,美國和歐洲的影響沒有我國這么強烈。
這也是發展中的問題,中國現在已經開始向美國說不,積極採取措施,建立自己的自主網路覆蓋體系,今後會慢慢好些的,但這個問題不會全部不受影響,因為是「互聯」,所以人家有問題,你在那個點就「聯不上」。
⑽ 為什麼網路安全很重要
現在的網路犯罪分子可以找到很多漏洞,並對內部系統造成損害。這樣的事件將導致資金,機密信息和客戶數據的丟失,並且還會破壞業務在市場上的聲譽。2020年3月,Mariott International遭受了重大數據泄露,其中520萬客人的信息被訪問,使用特許經營物業的兩名員工的登錄憑據。大流行和遠程工作甚至沒有放過Twitter。2020年6月,幾位知名人士的帳戶通過電話網路釣魚被劫持。強大的網路安全技術是企業生存的現代必需品,但更重要的是,網路衛生意識也已成為當務之急。在當今的業務基礎架構中,網路安全不僅限於 IT 專業人員和與之相關的公司。網路安全適合所有人,律師,室內裝飾師,音樂家,投資銀行家等,都會發現網路安全系統對他們的工作和業務有益。通過泰科雲Techcloudpro實施和學習網路安全,小型企業將使其員工更加負責任,律師事務所將有動力保護其數據,室內設計師將找到更有效的方法來控制其繁重的文件。