A. 網路安全培訓主要培訓哪幾部分
網路安全是一個極其寬泛的概念,包含從腳本小子到漏洞大佬、從單領域到跨平台等多難度、多方面內容,需要循序漸進地從基礎開始學習,這里是整理了網路安全學習內容,大致可分為以下幾個階段,你可以參考進行學習。
希望能夠幫到你!!!
B. 網路安全知識培訓內容
網路安全培訓主要分為五個階段,第一階段主要是學資料庫基礎、網路基礎和linux基礎,第二階段主要學習內容web安全編程開發,第三階段主要學習內容web漏洞與代碼審計,第四階段主要是高級web滲透測試項目實戰,第五階段主要是網路安全事件應急響應。
第一階段:
學習資料庫基礎、網路基礎和linux基礎。具體細致的技術包括MySQL安裝操作,基本使用命令,MySQL事物、MySQL函數、tcp和udp基本原理,VIM編輯器等。
第二階段:
主要學習內容是web具體技術包括安全編程開發html/js、PHP語言基礎、HTML簡介、基本語法、常用標簽、表單元素、PHP環境安裝、Nginx、配置文件等。
第三階段:
主要學習內容:web漏洞與代碼審計,具體技術包括xss跨站腳本漏洞、文件上傳漏洞、文件分析漏洞、PHP代碼審計、web安全基礎概述等。
第四階段:
高級web實戰滲透測試項目,AV bypAss、webshell bypass、sql注入bypass、waf解釋工作原理等內容。
第五階段:
網路安全事件應急響應,具體技術包括日誌格式解釋、常用分析工具、攻擊代碼特徵識別、IP編制可追溯性、工藝分析、工具使用、等級保護體系建設、等級保護評價標准、等級保護方案。
C. 如何學習網路安全知識
首先,必須(時刻)意識到你是在學習一門可以說是最難的課程,是網路專業領域的頂尖課程,不是什麼人、隨隨便便就能學好的。不然,大家都是黑客,也就沒有黑客和網路安全的概念了。
很多朋友抱著學一門課程、讀好一本書就可以掌握網路安全的知識和技能。不幸的是,網路安全技術決不是幾本書、幾個月就可以速成的。你需要參考大量的參考書。
另一方面,在學校接受的傳統教育觀念使我們習慣由老師來指定教材、參考書。遺憾的是走向了社會,走到工作崗位,沒有人給你指定解決這個安全問題需要什麼參考書,你得自己研究,自己解決問題。
網路安全涉及的知識面廣、術語多、理論知識多。正給學習這門課程帶來很多困難。也需要我們投入比其它課程多的時間和精力來學習它。
概括來說,網路安全課程的主要內容包括:
l 安全基本知識
l 應用加密學
l 協議層安全
l Windows安全(攻擊與防禦)
l Unix/Linux安全(攻擊與防禦)
l 防火牆技術
l 入侵監測系統
l 審計和日誌分析
下面分別對每部分知識介紹相應的具體內容和一些參考書(正像前面提到的那樣,有時間、有條件的話,這些書都應該看至少一遍)。
一、安全基本知識
這部分的學習過程相對容易些,可以花相對較少的時間來完成。這部分的內容包括:安全的概念和定義、常見的安全標准等。
大部分關於網路安全基礎的書籍都會有這部分內容的介紹。
下面推薦一些和這部分有關的參考書:
l 《CIW:安全專家全息教程》 魏巍 等譯,電子工業出版社
l 《計算機系統安全》 曹天傑,高等教育出版社
l 《計算機網路安全導論》 龔儉,東南大學出版社
二、應用加密學
加密學是現代計算機(網路)安全的基礎,沒有加密技術,任何網路安全都是一紙空談。
加密技術的應用決不簡單地停留在對數據的加密、解密上。密碼學除了可以實現數據保密性外、它還可以完成數據完整性校驗、用戶身份認證、數字簽名等功能。
以加密學為基礎的PKI(公鑰基礎設施)是信息安全基礎設施的一個重要組成部分,是一種普遍適用的網路安全基礎設施。授權管理基礎設施、可信時間戳服務系統、安全保密管理系統、統一的安全電子政務平台等的構築都離不開它的支持。
可以說,加密學的應用貫穿了整個網路安全的學習過程中。因為之前大多數人沒有接觸過在這方面的內容,這是個弱項、軟肋,所以需要花費比其它部分更多的時間和精力來學習。也需要參考更多的參考書。
下面推薦一些和這部分有關的參考書:
l 《密碼學》 宋震,萬水出版社
l 《密碼工程實踐指南》 馮登國 等譯,清華大學出版社
l 《秘密學導引》 吳世忠 等譯,機械工業(這本書內容較深,不必完全閱讀,可作為參考)
三、協議層安全
系統學習TCP/IP方面的知識有很多原因。要適當地實施防火牆過濾,安全管理員必須對於TCP/IP的IP層和TCP/UDP層有很深的理解、黑客經常使用TCP/IP堆棧中一部分區或來破壞網路安全等。所以你也必須清楚地了解這些內容。
協議層安全主要涉及和TCP/IP分層模型有關的內容,包括常見協議的工作原理和特點、缺陷、保護或替代措施等等。
下面推薦一些和這部分有關的參考書(經典書籍、不可不看):
l 《TCP/IP詳解 卷1:協議》 范建華 等譯,機械工業出版社
l 《用TCP/IP進行網際互聯 第一卷原理、協議與結構》 林瑤 等譯,電子工業出版社
四、Windows安全(攻擊與防禦)
因為微軟的Windows NT操作系統已被廣泛應用,所以它們更容易成為被攻擊的目標。
對於Windows安全的學習,其實就是對Windows系統攻擊與防禦技術的學習。而Windows系統安全的學習內容將包括:用戶和組、文件系統、策略、系統默認值、審計以及操作系統本身的漏洞的研究。
這部分的參考書較多,實際上任何一本和Windows攻防有關系的書均可。下面推薦一些和這部分有關的參考書:
l 《黑客攻防實戰入門》 鄧吉,電子工業出版社
l 《黑客大曝光》 楊繼張 等譯,清華大學出版社
l 《狙擊黑客》 宋震 等譯,電子工業出版社
五、Unix/Linux安全(攻擊與防禦)
隨著Linux的市佔率越來越高,Linux系統、伺服器也被部署得越來越廣泛。Unix/Linux系統的安全問題也越來越凸現出來。作為一個網路安全工作者,Linux安全絕對佔有網路安全一半的重要性。但是相對Windows系統,普通用戶接觸到Linux系統的機會不多。Unix/Linux系統本身的學習也是他們必須餓補的一課!
下面是推薦的一套Linux系統管理的參考書。
l 《Red Hat Linux 9桌面應用》 梁如軍,機械工業出版社(和網路安全關系不大,可作為參考)
l 《Red Hat Linux 9系統管理》 金潔珩,機械工業出版社
l 《Red Hat Linux 9網路服務》 梁如軍,機械工業出版社
除了Unix/Linux系統管理相關的參考書外,這里還給出兩本和安全相關的書籍。
l 《Red Hat Linux安全與優化》 鄧少鵾,萬水出版社
l 《Unix 黑客大曝光》 王一川 譯,清華大學出版社
六、防火牆技術
防火牆技術是網路安全中的重要元素,是外網與內網進行通信時的一道屏障,一個哨崗。除了應該深刻理解防火牆技術的種類、工作原理之外,作為一個網路安全的管理人員還應該熟悉各種常見的防火牆的配置、維護。
至少應該了解以下防火牆的簡單配置。
l 常見的各種個人防火牆軟體的使用
l 基於ACL的包過濾防火牆配置(如基於Windows的IPSec配置、基於Cisco路由器的ACL配置等)
l 基於Linux操作系統的防火牆配置(Ipchains/Iptables)
l ISA配置
l Cisco PIX配置
l Check Point防火牆配置
l 基於Windows、Unix、Cisco路由器的VPN配置
下面推薦一些和這部分有關的參考書:
l 《
網路安全與防火牆技術
》 楚狂,人民郵電出版社
l 《Linux防火牆》
余青霓
譯,人民郵電出版社
l 《高級防火牆ISA Server 2000》 李靜安,中國鐵道出版社
l 《Cisco訪問表配置指南》 前導工作室 譯,機械工業出版社
l 《Check Point NG安全管理》
王東霞
譯,機械工業出版社
l 《虛擬專用網(VPN)精解》 王達,清華大學出版社
七、入侵監測系統(IDS)
防火牆不能對所有應用層的數據包進行分析,會成為網路數據通訊的瓶頸。既便是代理型防火牆也不能檢查所有應用層的數據包。
入侵檢測是防火牆的合理補充,它通過收集、分析計算機系統、計算機網路介質上的各種有用信息幫助系統管理員發現攻擊並進行響應。可以說入侵檢測是防火牆之後的第二道安全閘門,在不影響網路性能的情況下能對網路進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。
D. 網路安全管理策略包括哪些內容
網路安全管理措施:
一、注重思想教育,著力提高網路安全保護的自覺性。
1、用思想教育啟迪;
2、用環境氛圍熏陶;
3、用各種活動深化。
二、建立完善機制,努力促進網路安全操作的規范性。
1、著眼全面規范,建立統攬指導機制;
2、著眼激發動力,健全責任追究機制;
3、著眼發展要求,建立研究創新機制。
三、緊扣任務特點,不斷增強網路安全管理的針對性。
1、加強網路信息安全檢查;
2、加強網路信息安全教育培訓;
3、加強網路信息日常維護管理。
E. 網路安全技術措施
最佳的解決方案
1.安裝瑞星殺毒或卡巴斯基等殺毒軟體,實時清除電腦木馬病毒;
2.安裝個人硬體防火牆,簡單使用,實時監控且能100%防禦黑客攻擊,又不會影響電腦出現卡機等現象。
目前此類產品中阿爾敘個人硬體防火牆做比較專業,價格還算能接受
在設置一個網路時,無論它是一個區域網(LAN)、虛擬LAN(VLAN)還是廣域網(WAN),在剛開始時設置最基本的安全策略非常重要。安全策略是一些根據安全需求,以電子化的方式設計和存儲的規則,用於控制訪問許可權等領域。當然,安全策略也包括一個企業所執行的書面的或者口頭的規定。另外,企業必須決定由誰來實施和管理這些策略,以及怎樣通知員工這些規則。安全策略、設備和多設備管理的作用相當於一個中央安全控制室,安全人員在其中監控建築物或者園區的安全,進行巡邏或者發出警報。那什麼是安全策略呢?所實施的策略應當控制誰可以訪問網路的哪個部分,以及如何防止未經授權的用戶進入訪問受限的領域。例如,通常只有人力資源部門的成員有權查看員工的薪資歷史。密碼通常可以防止員工進入受限的領域。一些基本的書面策略,例如警告員工不要在工作場所張貼他們的密碼等,通常可以預先防止安全漏洞。可以訪問網路的某些部分的客戶或者供應商也必須受到策略的適當管理。誰又能來實施管理安全策略呢?制定策略和維護網路及其安全的個人或者群體必須有權訪問網路的每個部分。而且,網路策略管理部門應當獲得極為可靠,擁有所需要的技術能力的人員。如前所述,大部分網路安全漏洞都來自於內部,所以這個負責人或者群體必須確保其本身不是一個潛在的威脅。一旦被任命,網路管理人員就可以利用復雜的軟體工具,來幫助他們通過基於瀏覽器的界面,制定、分配、實施和審核安全策略。你想怎樣向員工傳達這個策略呢?如果相關各方都不知道和了解規則,那規則實際上沒有任何用處。為傳達現有的策略、策略的更改、新的策略以及對於即將到來的病毒或者攻擊的安全警報制定有效的機制是非常重要的。
F. 網路安全知識培訓內容
網路安全實用技術的基本知識;網路安全體系結構、無線網及虛擬專用網安全管理、IPv6安全性;網路安全的規劃、測評與規范、法律法規、體系與策略、管理原則與制度;黑客的攻防與入侵檢測;身份認證與訪問控制;密碼與加密管理。
G. 網路安全策略都包括哪些方面的策略
(1)物理安全策略:物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
(2)訪問控制策略:入網訪問控制,網路的許可權控制,目錄級安全控制,屬性安全控制,網路監測和鎖定控制,網路埠和結點的安全控制。
(3)防火牆控制防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻擋外部網路的侵入。當前主流的防火牆主要分為三類:包過濾防火牆、代理防火牆和雙穴主機防火牆。
(4)信息加密策略網路加密常用的方法有鏈路加密、端點加密和結點加密三種。鏈路加密的目的是保護網路結點之間的鏈路信息安全;端點加密的目的是對源端用戶到目的端用戶的數據提供保護;結點加密的目的是對源結點到目的結點之間的傳輸鏈路提供保護。
(5)網路安全管理策略在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房的管理制度;制訂網路系統的維護制度和應急措施等。
H. 網路安全策略
安全策略是指在某個安全區域內(通常是指屬於某個組織的一系列處理和通信資源),用於所有與安全相關活動的一套規則。這些規則是由此安全區域中所設立的一個安全權力機構建立的,並由安全控制機構來描述、實施或實現的。安全策略通常建立在授權的基礎之上,未經適當授權的實體,信息資源不可以給予、不允許訪問、不得使用。安全策略基於身份、規則、角色進行分類。
機房組建應按計算機運行特點及設備具體要求確定。機房一般宜由主機房區、基本工作區、輔助機房區等功能區域組成。
主機房區包括伺服器機房區、網路通信區、前置機房區和介質庫等。
基本工作區包括緩沖區、監控區和軟體測試區等。
輔助機房區包括配電區、配線區、UPS 區、消防氣瓶間和精密空調區等。
設備標識和鑒別:應對機房中設備的具體位置進行標識,以方便查找和明確責任。機房內關鍵設備部件應在其上設置標簽,以防止隨意更換或取走。
設備可靠性:應將主要設備放置在機房內,將設備或主要部件進行固定,並設置明顯的不易除去的標記。應對關鍵的設備關鍵部件冗餘配置,例如電源、主控板、網路介面等。
防靜電:機房內設備上線前必須進行正常的接地、放電等操作,對來自靜電放電的電磁干擾應有一定的抗擾度能力。機房的活動地板應有穩定的抗靜電性能和承載能力,同時耐油、耐腐蝕、柔光、不起塵等。
電磁騷擾:機房內應對設備和部件產生的電磁輻射騷擾、電磁傳導騷擾進行防護。
電磁抗擾:機房內設備對來自電磁輻射的電磁干擾和電源埠的感應傳導的電磁干擾應有一定的抗擾度。
浪涌抗擾:機房內設備應對來自電源埠的浪涌(沖擊)的電磁干擾應有一定的抗擾度。
電源適應能力:機房供電線路上設置穩壓器和過電壓防護設備。對於直流供電的系統設備,應能在直流電壓標稱值變化10%的條件下正常工作。
泄漏電流:機房內設備工作時對保護接地端的泄漏電流值不應超過5mA。
電源線:機房內設備應設置交流電源地線,應使用三芯電源線,其中地線應於設備的保護接地端連接牢固。
線纜:機房通信線纜應鋪設在隱蔽處,可鋪設在地下或管道中。
絕緣電阻:機房內設備的電源插頭或電源引入端與設備外殼裸露金屬部件之間的絕緣電阻應不小於5MΩ。
場地選擇:機房場地選擇應避開火災危險程度高的區域,還應避開有害氣體來源以及存放腐蝕、易燃、易爆物品的地方。機房場地應避開強振動源、強雜訊源和強電場干擾的地方。機房不應該選擇在樓層的最高層或者最低層地方。
防火:機房應設置火災自動報警系統,包括火災自動探測器、區域報警器、集中報警器和控制器等,能對火災發生的部位以聲、光或電的形式發出報警信號,並啟動自動滅火設備,切斷電源、關閉空調設備等。機房採取區域隔離防火措施,布局要將脆弱區和危險區進行隔離,防止外部火災進入機房,特別是重要設備地區,安裝防火門、使用阻燃材料裝修。機房及相關的工作房間和輔助房應採用具有耐火等級的建築材料。
電磁輻射防護:電源線和通信線纜應隔離鋪設,避免互相干擾。應對關鍵設備和磁介質實施電磁屏蔽。通信線採取屏蔽措施,防止外部電磁場對機房內計算機及設備的干擾,同時也抑制電磁信息的泄漏。應採用屏蔽效能良好屏蔽電纜作為機房的引入線。機房的信號電纜線(輸入/輸出)埠和電源線的進、出埠應適當加裝濾波器。電纜連接處應採取屏蔽措施,抑制電磁雜訊干擾與電磁信息泄漏。
供電系統:應設置冗餘或並行的電力電纜線路為計算機系統供電。應建立備用供電系統。機房供電電源設備的容量應具有一定的餘量。機房供電系統應將信息系統設備供電線路與其它供電線路分開,應配備應急照明裝置。機房應配置電源保護裝置,加裝浪涌保護器。機房電源系統的所有接點均應鍍錫處理,並且冷壓連接。
靜電防護:主機房內絕緣體的靜電電位不應大於1kV。主機房內的導體應與大地作可靠的連接,不應有對地絕緣的孤立導體。
防雷電:機房系統中所有的設備和部件應安裝在有防雷保護的范圍內。不得在建築物屋頂上敷設電源或信號線路。必須敷設時,應穿金屬管進行屏蔽防護,金屬管應進行等電位連接。機房系統電源及系統輸入/輸出信號線,應分不同層次,採用多級雷電防護措施。
機房接地:對直流工作接地有特殊要求需單獨設置接地裝置的系統,接地電阻值及其它接地體之間的距離,應按照機房系統及有關規范的要求確定。
溫濕度控制:機房應有較完備的空調系統,保證機房溫度的變化在計算機設備運行所允許的范圍。當機房採用專用空調設備並與其它系統共享時,應保證空調效果和採取防火措施。機房空氣調節控制裝置應滿足計算機系統對溫度、濕度以及防塵的要求。空調系統應支持網路監控管理,通過統一監控,反映系統工作狀況。
機房防水:機房水管安裝不得穿過屋頂和活動地板,穿過牆壁和樓板的水管應使用套管,並採取可靠的密封措施。機房應有有效的防止給水、排水、雨水通過屋頂和牆壁漫溢和滲漏的措施,應採取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。機房應安裝漏水檢測系統,並有報警裝置。
入網訪問控制是網路訪問的第1層安全機制。它控制哪些用戶能夠登錄到伺服器並獲准使用網路資源,控制准許用戶入網的時間和位置。用戶的入網訪問控制通常分為三步執行:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬戶的默認許可權檢查。三道控制關卡中只要任何一關未過,該用戶便不能進入網路。
對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道關卡。用戶登錄時首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。用戶的口令是用戶入網的關鍵所在。口令最好是數字、字母和其他字元的組合,長度應不少於6個字元,必須經過加密。口令加密的方法很多,最常見的方法有基於單向函數的口令加密、基於測試模式的口令加密、基於公鑰加密方案的口令加密、基於平方剩餘的口令加密、基於多項式共享的口令加密、基於數字簽名方案的口令加密等。經過各種方法加密的口令,即使是網路管理員也不能夠得到。系統還可採用一次性用戶口令,或使用如智能卡等攜帶型驗證設施來驗證用戶的身份。
網路管理員應該可對用戶賬戶的使用、用戶訪問網路的時間和方式進行控制和限制。用戶名或用戶賬戶是所有計算機系統中最基本的安全形式。用戶賬戶應只有網路管理員才能建立。用戶口令是用戶訪問網路所必須提交的准入證。用戶應該可以修改自己的口令,網路管理員對口令的控制功能包括限制口令的最小長度、強制用戶修改口令的時間間隔、口令的惟一性、口令過期失效後允許入網的寬限次數。針對用戶登錄時多次輸入口令不正確的情況,系統應按照非法用戶入侵對待並給出報警信息,同時應該能夠對允許用戶輸入口令的次數給予限制。
用戶名和口令通過驗證之後,系統需要進一步對用戶賬戶的默認許可權進行檢查。網路應能控制用戶登錄入網的位置、限制用戶登錄入網的時間、限制用戶入網的主機數量。當交費網路的用戶登錄時,如果系統發現「資費」用盡,還應能對用戶的操作進行限制。
操作許可權控制是針對可能出現的網路非法操作而採取安全保護措施。用戶和用戶組被賦予一定的操作許可權。網路管理員能夠通過設置,指定用戶和用戶組可以訪問網路中的哪些伺服器和計算機,可以在伺服器或計算機上操控哪些程序,訪問哪些目錄、子目錄、文件和其他資源。網路管理員還應該可以根據訪問許可權將用戶分為特殊用戶、普通用戶和審計用戶,可以設定用戶對可以訪問的文件、目錄、設備能夠執行何種操作。特殊用戶是指包括網路管理員的對網路、系統和應用軟體服務有特權操作許可的用戶;普通用戶是指那些由網路管理員根據實際需要為其分配操作許可權的用戶;審計用戶負責網路的安全控制與資源使用情況的審計。系統通常將操作許可權控制策略,通過訪問控製表來描述用戶對網路資源的操作許可權。
訪問控制策略應該允許網路管理員控制用戶對目錄、文件、設備的操作。目錄安全允許用戶在目錄一級的操作對目錄中的所有文件和子目錄都有效。用戶還可進一步自行設置對目錄下的子控制目錄和文件的許可權。對目錄和文件的常規操作有:讀取(Read)、寫入(Write)、創建(Create)、刪除(Delete)、修改(Modify)等。網路管理員應當為用戶設置適當的操作許可權,操作許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對網路資源的訪問。
訪問控制策略還應該允許網路管理員在系統一級對文件、目錄等指定訪問屬性。屬性安全控制策略允許將設定的訪問屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全策略在操作許可權安全策略的基礎上,提供更進一步的網路安全保障。網路上的資源都應預先標出一組安全屬性,用戶對網路資源的操作許可權對應一張訪問控製表,屬性安全控制級別高於用戶操作許可權設置級別。屬性設置經常控制的許可權包括:向文件或目錄寫入、文件復制、目錄或文件刪除、查看目錄或文件、執行文件、隱含文件、共享文件或目錄等。允許網路管理員在系統一級控制文件或目錄等的訪問屬性,可以保護網路系統中重要的目錄和文件,維持系統對普通用戶的控制權,防止用戶對目錄和文件的誤刪除等操作。
網路系統允許在伺服器控制台上執行一系列操作。用戶通過控制台可以載入和卸載系統模塊,可以安裝和刪除軟體。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改系統、刪除重要信息或破壞數據。系統應該提供伺服器登錄限制、非法訪問者檢測等功能。
網路管理員應能夠對網路實施監控。網路伺服器應對用戶訪問網路資源的情況進行記錄。對於非法的網路訪問,伺服器應以圖形、文字或聲音等形式報警,引起網路管理員的注意。對於不法分子試圖進入網路的活動,網路伺服器應能夠自動記錄這種活動的次數,當次數達到設定數值,該用戶賬戶將被自動鎖定。
防火牆是一種保護計算機網路安全的技術性措施,是用來阻止網路黑客進入企業內部網的屏障。防火牆分為專門設備構成的硬體防火牆和運行在伺服器或計算機上的軟體防火牆。無論哪一種,防火牆通常都安置在網路邊界上,通過網路通信監控系統隔離內部網路和外部網路,以阻檔來自外部網路的入侵。
域間安全策略用於控制域間流量的轉發(此時稱為轉發策略),適用於介面加入不同安全區域的場景。域間安全策略按IP地址、時間段和服務(埠或協議類型)、用戶等多種方式匹配流量,並對符合條件的流量進行包過濾控制(permit/deny)或高級的UTM應用層檢測。域間安全策略也用於控制外界與設備本身的互訪(此時稱為本地策略),按IP地址、時間段和服務(埠或協議類型)等多種方式匹配流量,並對符合條件的流量進行包過濾控制(permit/deny),允許或拒絕與設備本身的互訪。
預設情況下域內數據流動不受限制,如果需要進行安全檢查可以應用域內安全策略。與域間安全策略一樣可以按IP地址、時間段和服務(埠或協議類型)、用戶等多種方式匹配流量,然後對流量進行安全檢查。例如:市場部和財務部都屬於內網所在的安全區域Trust,可以正常互訪。但是財務部是企業重要數據所在的部門,需要防止內部員工對伺服器、PC等的惡意攻擊。所以在域內應用安全策略進行IPS檢測,阻斷惡意員工的非法訪問。
當介面未加入安全區域的情況下,通過介麵包過濾控制介面接收和發送的IP報文,可以按IP地址、時間段和服務(埠或協議類型)等多種方式匹配流量並執行相應動作(permit/deny)。基於MAC地址的包過濾用來控制介面可以接收哪些乙太網幀,可以按MAC地址、幀的協議類型和幀的優先順序匹配流量並執行相應動作(permit/deny)。硬體包過濾是在特定的二層硬體介面卡上實現的,用來控制介面卡上的介面可以接收哪些流量。硬體包過濾直接通過硬體實現,所以過濾速度更快。
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
信息加密過程是由形形色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組,每次處理一個組。
密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
應制定相應的機房管理制度,規范機房與各種設備的使用和管理,保障機房安全及設備的正常運行,至少包括日常管理、出入管理、設備管理、巡檢(環境、設備狀態、指示燈等進行檢查並記錄)等。重要區域應配置電子門禁系統,控制、鑒別和記錄進入的人員。對機房內的各種介質應進行分類標識,重要介質存儲在介質庫或檔案室中。
加強網路的安全管理,制定有關規章制度,對於確保系統的安全、可靠地運行,將起到十分有效的作用。網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和訪問主機的管理制度;制訂網路系統的維護制度和應急措施等。