在企業網路安全管理中,為員工提供完成其本職工作所需要的信息訪問許可權、避免未經授權的人改變公司的關鍵文檔、平衡訪問速度與安全控制三方面分別有以下三大原則:
原則一:最小許可權原則。
1.最小許可權原則要求是在企業網路安全管理中,為員工僅僅提供完成其本職工作所需要的信息訪問許可權,而不提供其他額外的許可權。如企業的現金流量表等等。此時在設置許可權的時候,就要根據最小許可權的原則,對於普通員工與高層管理人員進行發開設置,若是普通員工的話,則其職能對其可以訪問的文件夾進行查詢,對於其沒有訪問許可權的文件夾,則伺服器要拒絕其訪問。
2.最小許可權原則除了在這個訪問許可權上反映外,最常見的還有讀寫上面的控制。所以,要保證企業網路應用的安全性,就一定要堅持「最小許可權」的原則,而不能因為管理上的便利,而採取了「最大許可權」的原則。
原則二:完整性原則。
完整性原則指在企業網路安全管理中,要確保未經授權的個人不能改變或者刪除信息,尤其要避免未經授權的人改變公司的關鍵文檔,如企業的財務信息、客戶聯系方式等等。完整性原則在企業網路安全應用中,主要體現在兩個方面:
1.、未經授權的人,不得更改信息記錄。如在企業的ERP系統中,財務部門雖然有對客戶信息的訪問權利,但是,其沒有修改權利。
2.、指若有人修改時,必須要保存修改的歷史記錄,以便後續查詢。在某些情況下,若不允許其他人修改創始人的信息,也有些死板。如采購經理有權對采購員下的采購訂單進行修改、作廢等操作。遇到這種情況該怎麼處理呢?在ERP系統中,可以通過采購變更單處理。。所以,完整性原則的第二個要求就是在變更的時候,需要保留必要的變更日誌,以方便後續的追蹤。 總之,完整性原則要求在安全管理的工作中,要保證未經授權的人對信息的非法修改,及信息的內容修改最好要保留歷史記錄,比如網路管理員可以使用日事清的日誌管理功能,詳細的記錄每日信息內容的修改情況,可以給日後的回顧和檢查做好參考。
原則三:速度與控制之間平衡的原則。
在對信息作了種種限制的時候,必然會對信息的訪問速度產生影響。如當采購訂單需要變更時,員工不能在原有的單據上直接進行修改,而需要通過采購變更單進行修改等等。這會對工作效率產生一定的影響。這就需要對訪問速度與安全控制之間找到一個平衡點,或者說是兩者之間進行妥協。
『貳』 網路安全防範體系有哪些設計原則
根據防範安全攻擊的安全需求、需要達到的安全目標、對應安全機制所需的安全服務等因素,參照SSE-CMM("系統安全工程能力成熟模型")和ISO17799(信息安全管理標准)等國際標准,綜合考慮可實施性、可管理性、可擴展性、綜合完備性、系統均衡性等方面,網路安全防範體系在整體設計過程中應遵循以下9項原則: 1.網路信息安全的木桶原則 網路信息安全的木桶原則是指對信息均衡、全面的進行保護。「木桶的最大容積取決於最短的一塊木板」。網路信息系統是一個復雜的計算機系統,它本身在物理上、操作上和管理上的種種漏洞構成了系統的安全脆弱性,尤其是多用戶網路系統自身的復雜性、資源共享性使單純的技術保護防不勝防。攻擊者使用的「最易滲透原則」,必然在系統中最薄弱的地方進行攻擊。因此,充分、全面、完整地對系統的安全漏洞和安全威脅進行分析,評估和檢測(包括模擬攻擊)是設計信息安全系統的必要前提條件。安全機制和安全服務設計的首要目的是防止最常用的攻擊手段,根本目的是提高整個系統的"安全最低點"的安全性能。 2.網路信息安全的整體性原則 要求在網路發生被攻擊、破壞事件的情況下,必須盡可能地快速恢復網路信息中心的服務,減少損失。因此,信息安全系統應該包括安全防護機制、安全檢測機制和安全恢復機制。安全防護機制是根據具體系統存在的各種安全威脅採取的相應的防護措施,避免非法攻擊的進行。安全檢測機制是檢測系統的運行情況,及時發現和制止對系統進行的各種攻擊。安全恢復機制是在安全防護機制失效的情況下,進行應急處理和盡量、及時地恢復信息,減少供給的破壞程度。 3.安全性評價與平衡原則 對任何網路,絕對安全難以達到,也不一定是必要的,所以需要建立合理的實用安全性與用戶需求評價與平衡體系。安全體系設計要正確處理需求、風險與代價的關系,做到安全性與可用性相容,做到組織上可執行。評價信息是否安全,沒有絕對的評判標准和衡量指標,只能決定於系統的用戶需求和具體的應用環境,具體取決於系統的規模和范圍,系統的性質和信息的重要程度。 4.標准化與一致性原則 系統是一個龐大的系統工程,其安全體系的設計必須遵循一系列的標准,這樣才能確保各個分系統的一致性,使整個系統安全地互聯互通、信息共享。 5.技術與管理相結合原則 安全體系是一個復雜的系統工程,涉及人、技術、操作等要素,單靠技術或單靠管理都不可能實現。因此,必須將各種安全技術與運行管理機制、人員思想教育與技術培訓、安全規章制度建設相結合。 6.統籌規劃,分步實施原則 由於政策規定、服務需求的不明朗,環境、條件、時間的變化,攻擊手段的進步,安全防護不可能一步到位,可在一個比較全面的安全規劃下,根據網路的實際需要,先建立基本的安全體系,保證基本的、必須的安全性。隨著今後隨著網路規模的擴大及應用的增加,網路應用和復雜程度的變化,網路脆弱性也會不斷增加,調整或增強安全防護力度,保證整個網路最根本的安全需求。 7.等級性原則 等級性原則是指安全層次和安全級別。良好的信息安全系統必然是分為不同等級的,包括對信息保密程度分級,對用戶操作許可權分級,對網路安全程度分級(安全子網和安全區域),對系統實現結構的分級(應用層、網路層、鏈路層等),從而針對不同級別的安全對象,提供全面、可選的安全演算法和安全體制,以滿足網路中不同層次的各種實際需求。 8.動態發展原則 要根據網路安全的變化不斷調整安全措施,適應新的網路環境,滿足新的網路安全需求。 9.易操作性原則 首先,安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
『叄』 信息安全的目標和原則
一、目標:信息安全通常強調所謂CIA三元組的目標,即保密性、完整性和可用性。CIA 概念的闡述源自信息技術安全評估標准(Information Technology Security Evaluation Criteria,ITSEC),它也是信息安全的基本要素和安全建設所應遵循的基本原則。
1、保密性(Confidentiality):確保信息在存儲、使用、傳輸過程中不會泄漏給非授權用戶或實體。
2、完整性(Integrity):確保信息在存儲、使用、傳輸過程中不會被非授權用戶篡改,同時還要防止授權用戶對系統及信息進行不恰當的篡改,保持信息內、外部表示的一致性。
3、可用性(Availability):確保授權用戶或實體對信息及資源的正常使用不會被異常拒絕,允許其可靠而及時地訪問信息及資源。
二、原則:
1、最小化原則。受保護的敏感信息只能在一定范圍內被共享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要。僅被授予其訪問信息的適當許可權,稱為最小化原則。敏感信息的。知情權」一定要加以限制,是在「滿足工作需要」前提下的一種限制性開放。可以將最小化原則細分為知所必須(need to know)和用所必須(need協峨)的原則。
2、分權制衡原則。在信息系統中,對所有許可權應該進行適當地劃分,使每個授權主體只能擁有其中的一部分許可權,使他們之間相互制約、相互監督,共同保證信息系統的安全。如果—個授權主體分配的許可權過大,無人監督和制約,就隱含了「濫用權力」、「一言九鼎」的安全隱患。
3、安全隔離原則。隔離和控制是實現信息安全的基本方法,而隔離是進行控制的基礎。信息安全的一個基本策略就是將信息的主體與客體分離,按照一定的安全策略,在可控和安全的前提下實施主體對客體的訪問。
『肆』 網路安全的基本原則是什麼
1. 確保數據安全為第一位,資料庫一定要設置復雜密碼。
2. 確保用戶安全,賬戶名不能有弱口令,且密碼要准按時更改。
3. 制度安全,不能所有人都有許可權查看數據,或者是更改數據。
『伍』 網路安全法的基本原則是什麼
《中華人民共和國網路安全法》的基本原則如下:
1、網路空間主權原則。維護我國網路空間主權。網路空間主權是一國國家主權在網路空間中的自然延伸和表現;
2、網路安全與信息化發展並重原則。安全是發展的前提,發展是安全的保障,安全和發展要同步推進;
3、共同治理原則。網路空間安全僅依靠政府無法實現,需要政府、企業、社會組織、技術社群和公民等網路利益相關者的共同參與。採取措施鼓勵全社會共同參與,政府部門、網路建設者、網路運營者、網路服務提供者、網路行業相關組織、高等院校、職業學校、社會公眾等都應根據各自的角色參與網路安全治理工作。
【法律依據】
《中華人民共和國網路安全法》
第三條 國家堅持網路安全與信息化發展並重,遵循積極利用、科學發展、依法管理、確保安全的方針,推進網路基礎設施建設和互聯互通,鼓勵網路技術創新和應用,支持培養網路安全人才,建立健全網路安全保障體系,提高網路安全保護能力。第五條 國家採取措施,監測、防禦、處置來源於中華人民共和國境內外的網路安全風險和威脅,保護關鍵信息基礎設施免受攻擊、侵入、干擾和破壞,依法懲治網路違法犯罪活動,維護網路空間安全和秩序。第十二條 國家保護公民、法人和其他組織依法使用網路的權利,促進網路接入普及,提升網路服務水平,為社會提供安全、便利的網路服務,保障網路信息依法有序自由流動。
任何個人和組織使用網路應當遵守憲法法律,遵守公共秩序,尊重社會公德,不得危害網路安全,不得利用網路從事危害國家安全、榮譽和利益,煽動顛覆國家政權、推翻社會主義制度,煽動分裂國家、破壞國家統一,宣揚恐怖主義、極端主義,宣揚民族仇恨、民族歧視,傳播暴力、淫穢色情信息,編造、傳播虛假信息擾亂經濟秩序和社會秩序,以及侵害他人名譽、隱私、知識產權和其他合法權益等活動。
『陸』 簡述網路安全策略的概念及制定安全策略的原則
網路的安全策略1.引言
隨著計算機網路的不斷發展,全球信息化已成為人類發展的大趨勢。但由於計算機網路具有聯結形式多樣性、終端分布不均勻性和網路的開放性、互連性等特徵,致使網路易受黑客、怪客、惡意軟體和其他不軌的攻擊,所以網上信息的安全和保密是一個至關重要的問題。對於軍用的自動化指揮網路、C3I系統和銀行等傳輸敏感數據的計算機網路系統而言,其網上信息的安全和保密尤為重要。因此,上述的網路必須有足夠強的安全措施,否則該網路將是個無用、甚至會危及國家安全的網路。無論是在區域網還是在廣域網中,都存在著自然和人為等諸多因素的脆弱性和潛在威脅。故此,網路的安全措施應是能全方位地針對各種不同的威脅和脆弱性,這樣才能確保網路信息的保密性、完整性和可用性。
2.計算網路面臨的威脅
計算機網路所面臨的威脅大體可分為兩種:一是對網路中信息的威脅;二是對網路中設備的威脅。影響計算機網路的因素很多,有些因素可能是有意的,也可能是無意的;可能是人為的,也可能是非人為的;可能是外來黑客對網路系統資源的非法使有,歸結起來,針對網路安全的威脅主要有三:
(1)人為的無意失誤:如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(2)人為的惡意攻擊:這是計算機網路所面臨的最大威脅,敵手的攻擊和計算機犯罪就屬於這一類。此類攻擊又可以分為以下兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網路正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網路造成極大的危害,並導致機密數據的泄漏。
(3)網路軟體的漏洞和「後門」:網路軟體不可能是百分之百的無缺陷和無漏洞的,然而,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標,曾經出現過的黑客攻入網路內部的事件,這些事件的大部分就是因為安全措施不完善所招致的苦果。另外,軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的,一般不為外人所知,但一旦「後門」洞開,其造成的後果將不堪設想。
3.計算機網路的安全策略
3.1 物理安全策略
物理安全策略的目的是保護計算機系統、網路伺服器、列印機等硬體實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用許可權、防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏(即TEMPEST技術)是物理安全策略的一個主要問題。目前主要防護措施有兩類:一類是對傳導發射的防護,主要採取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護,這類防護措施又可分為以下兩種:一是採用各種電磁屏蔽措施,如對設備的金屬屏蔽和各種接插件的屏蔽,同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離;二是干擾的防護措施,即在計算機系統工作的同時,利用干擾裝置產生一種與計算機系統輻射相關的偽雜訊向空間輻射來掩蓋計算機系統的工作頻率和信息特徵。
3.2 訪問控制策略
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和非常訪問。它也是維護網路系統安全、保護網路資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用,但訪問控制可以說是保證網路安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 3.2.1 入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些用戶能夠登錄到伺服器並獲取網路資源,控制准許用戶入網的時間和准許他們在哪台工作站入網。
用戶的入網訪問控制可分為三個步驟:用戶名的識別與驗證、用戶口令的識別與驗證、用戶帳號的預設限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入該網路。
對網路用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,伺服器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之網路之外。用戶的口令是用戶入網的關鍵所在。為保證口令的安全性,用戶口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,用戶口令必須經過加密,加密的方法很多,其中最常見的方法有:基於單向函數的口令加密,基於測試模式的口令加密,基於公鑰加密方案的口令加密,基於平方剩餘的口令加密,基於多項式共享的口令加密,基於數字簽名方案的口令加密等。經過上述方法加密的口令,即使是系統管理員也難以得到它。用戶還可採用一次性用戶口令,也可用攜帶型驗證器(如智能卡)來驗證用戶的身份。
網路管理員應該可以控制和限制普通用戶的帳號使用、訪問網路的時間、方式。用戶名或用戶帳號是所有計算機系統中最基本的安全形式。用戶帳號應只有系統管理員才能建立。用戶口令應是每用戶訪問網路所必須提交的「證件」、用戶可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。
用戶名和口令驗證有效之後,再進一步履行用戶帳號的預設限制檢查。網路應能控制用戶登錄入網的站點、限制用戶入網的時間、限制用戶入網的工作站數量。當用戶對交費網路的訪問「資費」用盡時,網路還應能對用戶的帳號加以限制,用戶此時應無法進入網路訪問網路資源。網路應對所有用戶的訪問進行審計。如果多次輸入口令不正確,則認為是非法用戶的入侵,應給出報警信息。
3.2.2 網路的許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。用戶和用戶組被賦予一定的許可權。網路控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源。可以指定用戶對這些文件、目錄、設備能夠執行哪些操作。受託者指派和繼承許可權屏蔽(IRM)可作為其兩種實現方式。受託者指派控制用戶和用戶組如何使用網路伺服器的目錄、文件和設備。繼承許可權屏蔽相當於一個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將用戶分為以下幾類:(1)特殊用戶(即系統管理員);(2)一般用戶,系統管理員根據他們的實際需要為他們分配操作許可權;(3)審計用戶,負責網路的安全控制與資源使用情況的審計。用戶對網路資源的訪問許可權可以用一個訪問控製表來描述。
3.2.3 目錄級安全控制
網路應允許控制用戶對目錄、文件、設備的訪問。用戶在目錄一級指定的許可權對所有文件和子目錄有效,用戶還可進一步指定對目錄下的子目錄和文件的許可權。對目錄和文件的訪問許可權一般有八種:系統管理員許可權(Supervisor)、讀許可權(Read)、寫許可權(Write)、創建許可權(Create)、刪除許可權(Erase)、修改許可權(Modify)、文件查找許可權(File Scan)、存取控制許可權(Access Control)。用戶對文件或目標的有效許可權取決於以下二個因素:用戶的受託者指派、用戶所在組的受託者指派、繼承許可權屏蔽取消的用戶許可權。一個網路系統管理員應當為用戶指定適當的訪問許可權,這些訪問許可權控制著用戶對伺服器的訪問。八種訪問許可權的有效組合可以讓用戶有效地完成工作,同時又能有效地控制用戶對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
3.2.4 屬性安全控制
當用文件、目錄和網路設備時,網路系統管理員應給文件、目錄等指定訪問屬性。屬性安全控制可以將給定的屬性與網路伺服器的文件、目錄和網路設備聯系起來。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。用戶對網路資源的訪問許可權對應一張訪問控製表,用以表明用戶對網路資源的訪問能力。屬性設置可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個文件寫數據、拷貝一個文件、刪除目錄或文件、查看目錄和文件、執行文件、隱含文件、共享、系統屬性等。網路的屬性可以保護重要的目錄和文件,防止用戶對目錄和文件的誤刪除、、執行修改、顯示等。
3.2.5 網路伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。用戶使用控制台可以裝載和卸載模塊,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設置口令鎖定伺服器控制台,以防止非法用戶修改、刪除重要信息或破壞數據;可以設定伺服器登錄時間限制、非法訪問者檢測和關閉的時間間隔。
3.2.6 網路監測和鎖定控制
網路管理員應對網路實施監控,伺服器應記錄用戶對網路資源的訪問,對非法的網路訪問,伺服器應以圖形或文字或聲音等形式報警,以引起網路管理員的注意。如果不法之徒試圖進入網路,網路伺服器應會自動記錄企圖嘗試進入網路的次數,如果非法訪問的次數達到設定數值,那麼該帳戶將被自動鎖定。
3.2.7 網路埠和節點的安全控制
網路中伺服器的埠往往使用自動回呼設備、靜默數據機加以保護,並以加密的形式來識別節點的身份。自動回呼設備用於防止假冒合法用戶,靜默數據機用以防範黑客的自動撥號程序對計算機進行攻擊。網路還常對伺服器端和用戶端採取控制,用戶必須攜帶證實身份的驗證器(如智能卡、磁卡、安全密碼發生器)。在對用戶的身份進行驗證之後,才允許用戶進入用戶端。然後,用戶端和伺服器端再進行相互驗證。
3.2.8 防火牆控制
防火牆是近期發展起來的一種保護計算機網路安全的技術性措施,它是一個用以阻止網路中的黑客訪問某個機構網路的屏障,也可稱之為控制進/出兩個方向通信的門檻。在網路邊界上通過建立起來的相應網路通信監控系統來隔離內部和外部網路,以阻檔外部網路的侵入。目前的防火牆主要有以下三種類型;
(1)包過濾防火牆:包過濾防火牆設置在網路層,可以在路由器上實現包過濾。首先應建立一定數量的信息過濾表,信息過濾表是以其收到的數據包頭信息為基礎而建成的。信息包頭含有數據包源IP地址、目的IP地址、傳輸協議類型(TCP、UDP、ICMP等)、協議源埠號、協議目的埠號、連接請求方向、ICMP報文類型等。當一個數據包滿足過濾表中的規則時,則允許數據包通過,否則禁止通過。這種防火牆可以用於禁止外部不合法用戶對內部的訪問,也可以用來禁止訪問某些服務類型。但包過濾技術不能識別有危險的信息包,無法實施對應用級協議的處理,也無法處理UDP、RPC或動態的協議。
(2)代理防火牆:代理防火牆又稱應用層網關級防火牆,它由代理伺服器和過濾路由器組成,是目前較流行的一種防火牆。它將過濾路由器和軟體代理技術結合在一起。過濾路由器負責網路互連,並對數據進行嚴格選擇,然後將篩選過的數據傳送給代理伺服器。代理伺服器起到外部網路申請訪問內部網路的中間轉接作用,其功能類似於一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網路向內部網路申請某種網路服務時,代理伺服器接受申請,然後它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網路轉發這項請求。代理防火牆無法快速支持一些新出現的業務(如多媒體)。現要較為流行的代理伺服器軟體是WinGate和Proxy Server。
(3)雙穴主機防火牆:該防火牆是用主機來執行安全控制功能。一台雙穴主機配有多個網卡,分別連接不同的網路。雙穴主機從一個網路收集數據,並且有選擇地把它發送到另一個網路上。網路服務由雙穴主機上的服務代理來提供。內部網和外部網的用戶可通過雙穴主機的共享數據區傳遞數據,從而保護了內部網路不被非法訪問。
4.信息加密策略
信息加密的目的是保護網內的數據、文件、口令和控制信息,保護網上傳輸的數據。網路加密常用的方法有鏈路加密、端點加密和節點加密三種。鏈路加密的目的是保護網路節點之間的鏈路信息安全;端-端加密的目的是對源端用戶到目的端用戶的數據提供保護;節點加密的目的是對源節點到目的節點之間的傳輸鏈路提供保護。用戶可根據網路情況酌情選擇上述加密方式。
信息加密過程是由形形 色色的加密演算法來具體實施,它以很小的代價提供很大的安全保護。在多數情況下,信息加密是保證信息機密性的唯一方法。據不完全統計,到目前為止,已經公開發表的各種加密演算法多達數百種。如果按照收發雙方密鑰是否相同來分類,可以將這些加密演算法分為常規密碼演算法和公鑰密碼演算法。
在常規密碼中,收信方和發信方使用相同的密鑰,即加密密鑰和解密密鑰是相同或等價的。比較著名的常規密碼演算法有:美國的DES及其各種變形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 歐洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代換密碼和轉輪密碼為代表的古典密碼等。在眾多的常規密碼中影響最大的是DES密碼。
常規密碼的優點是有很強的保密強度,且經受住時間的檢驗和攻擊,但其密鑰必須通過安全的途徑傳送。因此,其密鑰管理成為系統安全的重要因素。
在公鑰密碼中,收信方和發信方使用的密鑰互不相同,而且幾乎不可能從加密密鑰推導出解密密鑰。比較著名的公鑰密碼演算法有:RSA、背包密碼、McEliece密碼、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知識證明的演算法、橢園曲線、EIGamal演算法等等。最有影響的公鑰密碼演算法是RSA,它能抵抗到目前為止已知的所有密碼攻擊。
公鑰密碼的優點是可以適應網路的開放性要求,且密鑰管理問題也較為簡單,尤其可方便的實現數字簽名和驗證。但其演算法復雜。加密數據的速率較低。盡管如此,隨著現代電子技術和密碼技術的發展,公鑰密碼演算法將是一種很有前途的網路安全加密體制。
當然在實際應用中人們通常將常規密碼和公鑰密碼結合在一起使用,比如:利用DES或者IDEA來加密信息,而採用RSA來傳遞會話密鑰。如果按照每次加密所處理的比特來分類,可以將加密演算法分為序列密碼和分組密碼。前者每次只加密一個比特而後者則先將信息序列分組,每次處理一個組。 密碼技術是網路安全最有效的技術之一。一個加密網路,不但可以防止非授權用戶的搭線竊聽和入網,而且也是對付惡意軟體的有效方法之一。
5. 網路安全管理策略
在網路安全中,除了採用上述技術措施之外,加強網路的安全管理,制定有關規章制度,對於確保網路的安全、可靠地運行,將起到十分有效的作用。
網路的安全管理策略包括:確定安全管理等級和安全管理范圍;制訂有關網路操作使用規程和人員出入機房管理制度;制定網路系統的維護制度和應急措施等。
6. 結束語
隨著計算機技術和通信技術的發展,計算機網路將日益成為工業、農業和國防等方面的重要信息交換手段,滲透到社會生活的各個領域。因此,認清網路的脆弱性和潛在威脅,採取強有力的安全策略,對於保障網路的安全性將變得十分重要。
『柒』 良好的網路設備安全配置管理原則
網路配置與管理
第一章
1. 計算機技術與通訊技術的緊密結合產生了計算機網路。它經歷了三個階段的發展過程:
具有通信功能的單機系統、具有通信功能的多機系統和計算機網路。
2. 計算機網路按邏輯功能分為資源子網和通信子網兩部分。
資源子網是計算機網路中面向用戶的部分,負責數據處理工作。
通信子網是網路中數據通信系統,它用於信息交換的網路節點處理機和通信鏈路組成,主要負責通信處理工作。
3. 網路設備,在現代網路中,依靠各種網路設備把各個小網路連接起來,形成了一個更大的網路,也就是Internet。網路設備主要包括:網卡(NIC)、數據機(Modem)、集線器(Hub)、中繼器(Repeater)、網橋(Bridge)、交換機(Switch)、路由器(Router)和網關(Gateway)等。
4. 集線器是一種擴展網路的重要設備,工作在物理層。中繼器工作在物理層,是最簡單的的區域網延伸設備,主要作用是放大傳輸介質上傳輸的信號。網橋,工作在數據鏈路層,用於連接同類網路。交換機分為二層交換機和三層交換機,二層工作在數據鏈路層,根據MAC地址轉發幀。三層交換機工作在網路層,根據網路地址轉發數據包。每個埠都有橋接功能,所有埠都是獨立工作的,連接到同一交換機的用戶獨立享受交換機每個埠提供的帶寬,因此用交換機來擴展網路的時候,不會出現網路性能惡化的情況,這是目前使用最多的網路擴展設備。路由器,工作在網路層,它的作用是連接區域網和廣域網。網關工作在應用層。
5. 傳輸介質,可分為有線傳輸介質和無線傳輸介質。
6. 計算機網路的分類,根據地理范圍可以分為區域網(LAN)、城域網(MAN)、廣域網(WAN)、和互聯網(Internet)4種。
7. 區域網的分類,區域網主要是以雙絞線為傳輸介質的乙太網,基本上是企業和事業的區域網。
8. 乙太網分為標准乙太網,快速乙太網,千兆乙太網和10G乙太網。
9. 令牌環網,在一種專門的幀稱為「令牌」,在環路上持續地傳輸來確定一個結點何時可以發送包。
10. FDDI網,光纖分布式數據介面。同IBM的令牌環網技術相似,並具有LAN和令牌環網所缺乏的管理、控制和可靠性措施。
11. ATM網,非同步傳輸模式,ATM使用53位元組固定長度的單元進行交換。ATM的優點:使用相同的數據單元,可實現廣域網和區域網的無縫連接。支持VLAN(虛擬區域網)功能,可以對網路進行靈活的管理和配置。具有不同的速率,分為25、51、155、622Mbps,從而為不同的應用提供不同的速率。ATM採用「信元交換」來代替「包交換」進行實驗,發現信元交換的速度是非常快的。
12. 無線區域網,所採用的是802.11系列標准,它也是由IEEE 802標准委員會制定的。目前一系列標准主要有4個標准:802.11b 802.11a 802.11g 802.11z,前三個標准都是針對傳輸速度進行的改進。802.11b,它的傳輸速度為11MB/S,因為它的連接速度比較低,隨後推出了802.11a標准,它的連接速度可達54MB/S。但由於兩者不兼容,所以推出了802.11g,這樣原有的802.11b和802.11a標準的設備都可以在同一網路中使用。802.11z是一種專門為了加強無線區域網安全的標准。因為無線區域網的「無線」特點,給網路帶來了極大的不安全因素,為此802.11z標准專門就無線網路的安全做了明確規定,加強了用戶身份認證制度,並對傳輸的數據進行加密。
13. 網路協議的三要素為:語法,語義,同步。
14. OSI參考模型是計算機網路的基本體系結構模型,通常使用的協議有:TCP/IP協議、IPX/SPX協議、NetBEUI協議等。
15. OSI模型將通信會話需要的各種進程劃分7個相對獨立的功能層次,從下到上依次是:物理層 數據鏈路層 網路層 傳輸層 會話層 表示層 應用層。
16. TCP/IP參考模型包括4個功能層:應用層 傳輸層 網際層及介面層
17. 協議組件 IP:網路層協議。 TCP:可靠的主機到主機層協議。 UDP:盡力轉發的主機到主機層協議。 ICMP:在IP網路內為控制、測試、管理功能而設計的多協議。
18. IP地址介紹,地址實際上是一種標識符,它能夠幫助找到目的站點,起到了確定位置的作用。IP 地址分為A B C DE類地址。
19. IP地址的使用規則:
20. 網路號全0的地址保留,不能作為標識網路使用。主機號全0的地址保留,用來標識網路地址。
網路號全1、主機號全0的地址代表網路的子網掩碼。
地址0.0.0.0:表示默認路由。
地址255.255.255.255:代表本地有限廣播。
主機號全1的地址表示廣播地址,稱為直接廣播或是有限廣播。可以跨越路由器。
21. 劃分子網後整個IP地址就分為三個部分:主網號,它對應於標准A,B,C類的網路號部分。借用主機位作為網路號的部分,這個被稱為子網號。剩餘的主機號。
22. 子網掩碼的意義,在掩碼中,用1表示網路位,用0表示主機位。
23. IPV4地址不夠用了,所以出現了IPV6地址。,在表示和書寫時,用冒號將128位分割成8個16位的段,這里的128位表示在一個IPV6地址中包括128個二進制數,每個段包括4位的16進制數字。
第二章
1. 路由器是一種網路連接設備,用來連接不同的網路以及接入Internet。
IOS是路由器的操作系統,是路由器軟體商的組成部分。
2. 路由器和PC機一樣,也需要操作系統才能運行。Cisco(思科)路由器的操作系統叫做IOS,路由器的平台不同、功能不同,運行的IOS也不相同。IOS是一個特殊格式的文件,對於IOS文件的命名,思科採用了特殊的規則。
4. 網路互連:把自己的網路同其他的網路互連起來,從網路中獲取更多的信息和向網路發布自己的消息。網路互連有多種方式,其中執行最多是網橋互連和路由器互連。
5. 路由動作包括兩項基本內容:尋徑和轉發。尋徑:判斷到達目的地的最佳路徑,由路由器選擇演算法來實現。
6. 路由選擇方式有兩種:靜態路由和動態路由。
7.RIP協議最初是為Xerox網路系統的Xerox parc通用協議設計的,是Internet中常用的路由協議。RIP採用距離向量演算法,也稱為距離向量協議。 RIP執行非常廣泛,它簡單,可靠,便於配置。
8.ROP已不能互連,OSPF隨機產生。它是網間工程任務組織的內部網關協議工作組為IP網路而開發的一種路由協議。是一種基於鏈路狀態的路由協議。
9.BGP是為TCP/IP互聯網設計的外部網關協議,用於多個自治域之間。
10.路由表的優先問題,它們各自維護的路由表都提供給轉發程序,但這些路由表的表項間可能會發生沖突。這種沖突可通過配置各路由表的優先順序來解決。通常靜態路由具有默認的最高優先順序,當其他路由表項與它矛盾時,均按靜態路由轉發。
11. 路由演算法有一下幾個設計目標:最優化 簡潔性 快速收斂性靈活性堅固性
路由演算法執行了許多種不同的度量標准去決定最佳路徑。
通常所執行的度量有:路徑長度。可靠性,時延。帶寬。負載通信成本等。
第三章
進入快速乙太網介面配置模式命令:Router(Config)#Interface Fasterthernet interface-number
配置IP地址及其掩碼的命令:Router(Config-if)#ip address ip-address ip-mask【secondary】
啟用介面的命令:Router(Config)#no shutdown
進入介面SO配置模式:Router1(config)#interface serial 0
配置路由器介面SO的IP地址:Router1(config-if)#ip address 172.16.2.1255.255.255.0
配置Router1的時鍾頻率(DCE):Router1(config-if)#clock rate 64000
開啟路由器fastetherner0介面:Router1(config)#no shutdown
第四章
靜態路由的優點:1.沒有額外的路由器的cpu負擔2.節約帶寬3.增加安全性
靜態路由的缺點:1.網路管理員必須了解網路的整個拓撲結構
2.如果網路拓撲發生變化,管理員要在所有的路由上動手修改路由表
3.不適合於大型網路
默認路由是在路由選擇表中沒有對應於特定目標網路的條目是使用的路由
華為路由器配置默認路由:【RunterC】ip route-static 0. 0.0.0.0.0.0.0 192.168.40.1
靜態路由的默認管理距離:1
目前使用的動態路由協議又兩種:內部網關協議(IGP)和外部網關協議(RGP)
三種路由協議:距離矢量(Distance vector),鏈路狀態(Link state)和混合型(Hybrid)
RIP目前有兩個版本:RIPv1和RIPv2。RIPv1是個有類路由協議,而RIPv2是個無類路由協議
路由更新計時為:30秒 路由無效計時為:180秒保持停止計時為:大於等於180秒 路由刷新時間:240秒
復合度量包括4個元素:帶寬、延遲、負載、可靠性
訪問控制列表(ACL)是應用路由器介面的指令列表,這些指令列表用來告訴路由器哪些數據包可以接收,哪些數據包需要拒絕
ACL通過在訪問控制列表中對目的地進行歸類來管理通信流量,處理特定的數據包
ACL適用於所有的路由協議,如IP,IPX等
設置ACL的一些規則:
1. 按順序地比較,先比較第一行,再比較第二行,直到最後一行
2. 從第一行起,直到一個符合條件的行,符合以後,其餘的行就不再繼續比較下去
3. 默認在每個ACL中最後一行為隱含的拒絕,如果之前沒找到一條許可語句,意味著包將被丟棄
兩種主要的訪問控制列表:1.標准訪問控制列表2.擴展訪問控制列表
ACL號為1-99和1300-1999
擴展ACL使用的數字表號在100-199之間
第五章
交換機對數據包的轉發是建立在MAC地址基礎上
冗餘路徑帶來的問題:廣播風暴、重復幀拷貝、MAC地址表表項不穩定
STP(生成樹協議)的主要任務是防止2層的循環,STP使用生成樹演算法(STA)來創建拓撲資料庫
IEEE版本的STP的默認優先順序是32768,決定誰是根橋。假如優先順序一樣,那就比較MAC地址,MAC地址小的作為根橋
運行STP的交換機埠的5中狀態:堵塞、監聽、學習、禁用、轉發
交換機對於數據的轉發有一下三種方式:1.存儲-轉發式交換方 2.直通式交換方式 3.消除片斷式交換方式
可堆疊交換機就是指一個交換機中一般同時具有UP和DOWN堆疊埠
可堆疊交換機常用的堆疊方式有兩種:菊花型和星型
SVI埠的配置第三層邏輯介面稱為:SVI P168
交換環境中的兩種連接類型:access links、trunk links
附加VLAN 信息的方法,最具代表性的有:Inter-Switch link(ISL)、IEEE 802.1Q(俗稱dot 1 Q)
當出現違反埠安全原則的情況時,埠有一下幾種措施:
Suspend(掛起):埠不再工作,直到有數據幀流入並帶有合法的地址
Disable(禁用):埠不再工作,除非人工使其再次啟用
Ignore(忽略):忽略其違反安全性,埠仍可工作
計算機網路按邏輯功能可分為資源子網和通信子網兩部分
網卡工作在網路模型的物理層
集線器是多埠中繼器,工作在網路模型的物理層,所有埠共享設備
寬頻
中繼器工作在網路模型的物理層,是區域網的延伸設備。
網橋工作在網路模型的數據鏈路層,用於連接同類網路
交換機工作在網路模型的數據鏈路層,根據MAC地址轉發數據幀,每個埠
獨占寬頻。
路由器工作在網路模型的網路層,根據IP地址轉發數據包。
網關
網路有線通信介質通常包括雙絞線、同軸電纜、光纜等
計算機網路按地里范圍可以分為LAN、MAN、WAN、INTERNET
標准乙太網寬頻為10Mbps,實用CSMA/CD的訪問控制方法,遵循
IEEE802.3標准,使用雙絞線和同軸電纜為介質
10Base-5,使粗同軸電纜,最大網段長度500M,基帶傳輸
10Base-2,使細同軸電纜,最大網段長度185M,基帶傳輸
10Base-T,使雙絞線,最大網段長度100M
快速乙太網寬頻為100Mbps,使用CSMA/CD的訪問控制方法,使用雙絞線
和光纖
100Base-TX,使雙絞線,使用2對線路傳輸信號
100Base-T4,使雙絞線,使用4對線路傳輸信號
100Base-FX,使用光纖,使用4B/5B編碼方式
令牌環網,使用專門的數據幀稱為令牌,傳送數據
FDDI光纖分布式數據介面,使用光纖為傳輸介質,採用令牌傳遞數據
ATM非同步傳輸模式使用53位元組固定長度的信元傳輸數據
無線區域網WLAN採用802.11系列標准,有802.11a、802.11b、802.11g、
802.11n、802.11z
網路協議是計算機網路體系結構中關鍵要素之一,它的三要素為:語法、
語義、同步
TCP/IP中文為傳輸控制協議/互聯網協議,是internet的基礎協議,使用IP
地址通信
IPX/SPX中文為NetBIOS增強用戶介面,特點是簡單、通信效率高的廣播型協
議
OSI參考模型七層:物理層、數據鏈路層、網路層、傳輸層、會話層、表示
層、應用層
物理層:傳送單位是比特流,定義物理特性
數據鏈路層:傳送單位是數據幀,確保鏈路連接
網路層:傳送單位是數據包,提供網間通信
傳輸層:傳送單位是信息,提供端到端的可靠傳輸
會話層:管理通信雙發會話
表示層:負責數據編碼轉換
應用層:提供應用服務介面
TCP/IP模型四層:網路介面層、網際層、傳輸層、應用層
應用層協議:Telnet、FTP、SMTP、HTTP等 傳輸層協議:TCP、UDP
網際層協議:IP、ICMP、IGMP
網路介面層協議:ARP、RARP
『捌』 網路安全法的基本原則包括哪些
網路安全法的基本原則包括網路空間主權原則、網路安全與信息化發展並重原則、共同治理原則等。網路安全法基本原則包括國家主權原則、信息化和監管並重原則及合作治理原則等。強調主權,就是在我國境內的內外資網路運營商,都要遵守網路安全法,沒有特權和法外之地。而共同治理則強調的國際合作,共同維護網路安全。
法律依據:《網路安全法》
第1條規定:要維護我國網路空間主權。網路空間主權是一國國家主權在網路空間中的自然延伸和表現。
第2條規定:本法適用於我國境內網路以及網路安全的監督管理。這是我國網路空間主權對內最高管轄權的具體體現。
第3條規定:國家堅持網路安全與信息化並重,遵循積極利用、科學發展、依法管理、確保安全的方針;既要推進網路基礎設施建設,鼓勵網路技術創新和應用,又要建立健全網路安全保障體系,提高網路安全保護能力。
《網路安全法》堅持共同治理原則,要求採取措施鼓勵全社會共同參與,政府部門、網路建設者、網路運營者、網路服務提供者、網路行業相關組織、高等院校、職業學校、社會公眾等都應根據各自的角色參與網路安全治理工作中來。
『玖』 網路安全有哪五大原則
我國在維護網路安全方面確立了五個方面的基本原則:
第一,實名制原則。
第二,互聯互通原則。
第三,關鍵數據評估管理原則。
第四,保護個人隱私的原則。
第五,防火牆原則。
『拾』 信息安全策略應遵循哪些基本原則
實施原則
1、最小特權原則
最小特權原則是指主體執行操作時,按照主體所需權利的最小化原則分配給主體權利。
2、最小泄露原則
最小泄露原則是指主體執行任務時,按照主體所需要知道的信息最小化的原則分配給主體權利。
3、多級安全策略
多級安全策略是指主體和客體間的數據流向和許可權控制按照安全級別的絕密(TS)、機密(C)、秘密(S)、限制(RS)和無級別(U)5級來劃分。
(10)網路安全管理總結原則擴展閱讀
所有的信息安全技術都是為了達到一定的安全目標,其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。
1、保密性
阻止非授權的主體閱讀信息。它是信息安全一誕生就具有的特性,也是信息安全主要的研究內容之一。更通俗地講,就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息,我們只需要保護好文件,不被非授權者接觸即可。
而對計算機及網路環境中的信息,不僅要制止非授權者對信息的閱讀。也要阻止授權者將其訪問的信息傳遞給非授權者,以致信息被泄漏。
2、完整性
防止信息被未經授權的篡改。它是保護信息保持原始的狀態,使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等,形成虛假信息將帶來嚴重的後果。
3、可用性
授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護階段對信息安全提出的新要求,也是在網路化空間中必須滿足的一項信息安全要求。
4、可控性
對信息和信息系統實施安全監控管理,防止非法利用信息和信息系統。
5、不可否認性
在網路環境中,信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。
除了上述的信息安全五性外,還有信息安全的可審計性(Audiability)、可鑒別性(Authenticity)等。