1、寬頻網路的匯流排笑激殲連接路由器的WAN口,路由器的LAN口連接電腦。
2、啟動設備後,打開瀏覽器,在地址欄中輸入192.168.1.1進碰沖入無線路由器設置界面。(如進不了請翻看路由器底部銘牌或者是路由器使用說明書,不同型號路由器設置的默認都不一樣。)
3、設置界面出現一個登錄路由器的帳號及密碼,輸入默認帳號和密碼admin,也鉛拿可以參考說明書;
4、登錄成功之後選擇設置向導的界面,默認情況下會自動彈出;
5、選擇設置向導之後會彈出一個窗口說明,通過向導可以設置路由器的基本參數,直接點擊下一步即可;
6、根據設置向導一步一步設置,選擇上網方式,通常ADSL用戶則選擇第一項PPPoE,如果用的是其他的網路服務商則根據實際情況選擇下面兩項,如果不知道該怎麼選擇的話,直接選擇第一項自動選擇即可,方便新手操作,選完點擊下一步;
7、輸入從網路服務商申請到的賬號和密碼,輸入完成後直接下一步;
8、設置wifi密碼,盡量字母數字組合比較復雜一點不容易被蹭網。
9、輸入正確後會提示是否重啟路由器,選擇是確認重啟路由器,重新啟動路由器後即可正常上網。
網路安全有五大要素:
1、保密性
信息不泄露給非授權用戶、實體或過程,或供其利用的特性。
2、完整性
數據未經授權不能進行改變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。
3、可用性
可被授權實體訪問並按需求使用的特性。即當需要時能否存取所需的信息。例如網路環境下拒絕服務、破壞網路和有關系統的正常運行等都屬於對可用性的攻擊;
4、可控性
對信息的傳播及內容具有控制能力。
5、可審查性
出現安全問題時提供依據與手段
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
隨著計算機技術的迅速發展,在計算機上處理的業務也由基於單機的數學運算、文件處理,基於簡單連接的內部網路的內部業務處理、辦公自動化等發展到基於復雜的內部網(Intranet)、企業外部網(Extranet)、全球互聯網(Internet)的企業級計算機處理系統和世界范圍內的信息共享和業務處理。
在系統處理能力提高的同時,系統的連接能力也在不斷的提高。但在連接能力信息、流通能力提高的同時,基於網路連接的安全問題也日益突出,整體的網路安全主要表現在以下幾個方面:
1、網路的物理安全;
2、網路拓撲結構安全;
3、網路系統安全;
4、應用系統安全;
5、網路管理的安全等。
(2)網路連接安全點擴展閱讀:
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下四種:
1、系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
2、網路的安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
3、信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上大雲自由傳翰的信息失控。
4、信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
參考資料來源:網路-網路安全
『叄』 如何確保網路100%安全
首先是上網前可以做哪些事情來確保上網安全。打開防火牆,利用隱私控制特性,可以選擇需要保密的信息,從而確保不會因不慎把這些信息發送到不安全的網站。
如何確保自己的網路安全
請及時安裝系統和其他軟體的補丁和更新。
如何確保自己的網路安全
然後是如何防止黑客攻擊。在不需要文件和列印共享時,取消對號,關閉這些功能。
如何確保自己的網路安全
如何防止電腦中毒。不要打開來自陌生人的電子郵件附件或打開即時通訊軟體傳來的文件。
如何確保自己的網路安全
瀏覽網頁時如何確保信息安全。打開瀏覽器,點擊工具,點擊Internet選項。
如何確保自己的網路安全
點擊隱私,調到高的狀態,點擊確定按鈕。
如何確保自己的網路安全
最後是如何防止密碼被盜。經常更改密碼,使用包含字母加數字密碼,從而干擾黑客利用軟體程序來搜尋最常用的密碼。
如何確保自己的網路安全
『肆』 網路安全知識有哪些。。。
什麼是網路安全?
網路安全是指網路系統的硬體、軟體及系統中的數據受到保護,不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統可以連續可靠正常地運行,網路服務不被中斷。
什麼是計算機病毒?
計算機病毒是指編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。
什麼是木馬?
木馬是一種帶有惡意性質的遠程式控制制軟體。木馬一般分為客戶端和伺服器端。客戶端就是本地使用的各種命令的控制台,伺服器端則是要給別人運行,只有運行過伺服器端的計算機才能夠完全受控。木馬不會象病毒那樣去感染文件。
什麼是防火牆?它是如何確保網路安全的?
使用功能防火牆是一種確保網路安全的方法。防火牆是指設置在不同網路(如可信任的企業內部網和不可信的公共網)或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間信息的惟一出入口,能根據企業的安全策略控制(允許、拒絕、監測)出入網路的信息流,且本身具有較強的抗攻擊能力。它是提供信息安全服務、實現網路和信息安全的基礎設施。
什麼是後門?為什麼會存在後門?
後門是指一種繞過安全性控制而獲取對程序或系統訪問權的方法。在軟體的開發階段,程序員常會在軟體內創建後門以便可以修改程序中的缺陷。如果後門被其他人知道,或者在發布軟體之前沒有刪除,那麼它就成了安全隱患。
什麼叫入侵檢測?
入侵檢測是防火牆的合理補充,幫助系統對付網路攻擊,擴展系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高信息安全基礎結構的完整性。它從計算機網路系統中的若干關鍵點收集信息,並分析這些信息,檢查網路中是否有違反安全策略的行為和遭到襲擊的跡象。
什麼叫數據包監測?它有什麼作用?
數據包監測可以被認為是一根竊聽電話線在計算機網路中的等價物。當某人在「監聽」網路時,他們實際上是在閱讀和解釋網路上傳送的數據包。如果你需要在互聯網上通過計算機發送一封電子郵件或請求一個網頁,這些傳輸信息時經過的計算機都能夠看到你發送的數據,而數據包監測工具就允許某人截獲數據並且查看它。
什麼是NIDS?
NIDS是網路入侵檢測系統的縮寫,主要用於檢測HACKER和CRACKER通過網路進行的入侵行為。NIDS的運行方式有兩種,一種是在目標主機上運行以監測其本身的通信信息,另一種是在一台單獨的機器上運行以監測所有網路設備的通信信息,比如HUB、路由器。
什麼叫SYN包?
TCP連接的第一個包,非常小的一種數據包。SYN攻擊包括大量此類的包,由於這些包看上去來自實際不存在的站點,因此無法有效進行處理。
加密技術是指什麼?
加密技術是最常用的安全保密手段,利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地後再用相同或不同的手段還原(解密)。
加密技術包括兩個元素:演算法和密鑰。演算法是將普通的信息或者可以理解的信息與一串數字(密鑰)結合,產生不可理解的密文的步驟,密鑰是用來對數據進行編碼和解密的一種演算法。在安全保密中,可通過適當的密鑰加密技術和管理機制來保證網路的信息通信安全。
什麼叫蠕蟲病毒?
蠕蟲病毒源自一種在網路上傳播的病毒。1988年,22歲的康奈爾大學研究生羅伯特.莫里斯通過網路發送了一種專為攻擊UNIX系統缺陷、名為「蠕蟲」的病毒,蠕蟲造成了6000個系統癱瘓,估計損失為200萬到6000萬美圓。由於這只蠕蟲的誕生,在網上還專門成立了計算機應急小組。現在蠕蟲病毒家族已經壯大到成千上萬種,並且這千萬種蠕蟲病毒大都出自黑客之手。
什麼是操作系統病毒?
這種病毒會用它自己的程序加入操作系統進行工作,具有很強的破壞力,會導致整個系統癱瘓。並且由於感染了操作系統,這種病毒在運行時,會用自己的程序片段取代操作系統的合法程序模塊。根據病毒自身的特點和被替代的操作系統中合法程序模塊在操作系統中運行的地位與作用,以及病毒取代操作系統的取代方式等,對操作系統進行破壞。同時,這種病毒對系統中文件的感染性也很強。
莫里斯蠕蟲是指什麼?
它的編寫者是美國康奈爾大學一年級研究生羅伯特.莫里斯。這個程序只有99行,利用UNIX系統的缺點,用finger命令查聯機用戶名單,然後破譯用戶口令,用MAIL系統復制、傳播本身的源程序,再編譯生成代碼。
最初的網路蠕蟲設計目的是當網路空閑時,程序就在計算機間「游盪」而不帶來任何損害。當有機器負荷過重時,該程序可以從空閑計算機「借取資源」而達到網路的負載平衡。而莫里斯蠕蟲不是「借取資源」,而是「耗盡所有資源」。
什麼是DDoS?
DDoS也就是分布式拒絕服務攻擊。它使用與普通的拒絕服務攻擊同樣的方法,但是發起攻擊的源是多個。通常攻擊者使用下載的工具滲透無保護的主機,當獲取該主機的適當的訪問許可權後,攻擊者在主機中安裝軟體的服務或進程(以下簡稱代理)。這些代理保持睡眠狀態,直到從它們的主控端得到指令,對指定的目標發起拒絕服務攻擊。隨著危害力極強的黑客工具的廣泛傳播使用,分布式拒絕服務攻擊可以同時對一個目標發起幾千個攻擊。單個的拒絕服務攻擊的威力也許對帶寬較寬的站點沒有影響,而分布於全球的幾千個攻擊將會產生致命的後果。
區域網內部的ARP攻擊是指什麼?
因為這種攻擊是利用ARP請求報文進行「欺騙」的,所以防火牆會誤以為是正常的請求數據包,不予攔截。因此普通防火牆很難抵擋這種攻擊。
什麼叫欺騙攻擊?
網路欺騙的技術主要有:HONEYPOT和分布式HONEYPOT、欺騙空間技術等。主要方式有:IP欺騙、ARP欺騙、DNS欺騙、WEB欺騙、電子郵件欺騙、源路由欺騙(通過指定路由,以假冒身份與其他主機進行合法通信或發送假報文,使受攻擊主機出現錯誤動作)、地址欺騙(包括偽造源地址和偽造中間站點)等。
『伍』 互聯網安全是指哪些方面的要如何才能實現安全
主流網路安全技術全方面縱覽 一、網路安全的概念 國際標准化組織(ISO)對計算機系統安全的定義是:為數據處理系統建立和採用的技術和管理的安全保護,保護計算機硬體、軟體和數據不因偶然和惡意的原因遭到破壞、更改和泄露。由此可以將計算機網路的安全理解為:通過採用各種技術和管理措施,使網路系統正常運行,從而確保網路數據的可用性、完整性和保密性。所以,建立網路安全保護措施的目的是確保經過網路傳輸和交換的數據不會發生增加、修改、丟失和泄露等。 二、Internet上存在的主要安全隱患 Internet的安全隱患主要體現在下列幾方面: 1. Internet是一個開放的、無控制機構的網路,黑客(Hacker)經常會侵入網路中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。 2. Internet的數據傳輸是基於TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。 3. Internet上的通信業務多數使用Unix操作系統來支持,Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。 4.在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在應用層支持的服務協議中是憑著君子協定來維系的。 5.電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。 6.計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。 三、網路安全防範的內容 一個安全的計算機網路應該具有可靠性、可用性、完整性、保密性和真實性等特點。計算機網路不僅要保護計算機網路設備安全和計算機網路系統安全,還要保護數據安全等。因此針對計算機網路本身可能存在的安全問題,實施網路安全保護方案以確保計算機網路自身的安全性是每一個計算機網路都要認真對待的一個重要問題。網路安全防範的重點主要有兩個方面:一是計算機病毒,二是黑客犯罪。 計算機病毒是我們大家都比較熟悉的一種危害計算機系統和網路安全的破壞性程序。黑客犯罪是指個別人利用計算機高科技手段,盜取密碼侵入他人計算機網路,非法獲得信息、盜用特權等,如非法轉移銀行資金、盜用他人銀行帳號購物等。隨著網路經濟的發展和電子商務的展開,嚴防黑客入侵、切實保障網路交易的安全,不僅關繫到個人的資金安全、商家的貨物安全,還關繫到國家的經濟安全、國家經濟秩序的穩定問題,因此各級組織和部門必須給予高度重視。 四、確保網路安全的主要技術 1,防火牆技術 網路防火牆技術是一種用來加強網路之間訪問控制,防止外部網路用戶以非法手段通過外部網路進入內部網路,訪問內部網路資源,保護內部網路操作環境的特殊網路互聯設備。它對兩個或多個網路之間傳輸的數據包如鏈接方式按照一定的安全策略來實施檢查,以決定網路之間的通信是否被允許,並監視網路運行狀態。 目前的防火牆產品主要有堡壘主機、包過濾路由器、應用層網關(代理伺服器)以及電路層網關、屏蔽主機防火牆、雙宿主機等類型。 防火牆處於5層網路安全體系中的最底層,屬於網路層安全技術范疇。負責網路間的安全認證與傳輸,但隨著網路安全技術的整體發展和網路應用的不斷變化,現代防火牆技術已經逐步走向網路層之外的其他安全層次,不僅要完成傳統防火牆的過濾任務,同時還能為各種網路應用提供相應的安全服務。另外還有多種防火牆產品正朝著數據安全與用戶認證、防止病毒與黑客侵入等方向發展。 根據防火牆所採用的技術不同,我們可以將它分為四種基本類型:包過濾型、網路地址轉換-NAT、代理型和監測型。具體如下: (1)包過濾型 包過濾型產品是防火牆的初級產品,其技術依據是網路中的分包傳輸技術。網路上的數據都是以"包"為單位進行傳輸的,數據被分割成為一定大小的數據包,每一個數據包中都會包含一些特定信息,如數據的源地址、目標地址、TCP/UDP源埠和目標埠等。防火牆通過讀取數據包中的地址信息來判斷這些"包"是否來自可信任的安全站點,一旦發現來自危險站點的數據包,防火牆便會將這些數據拒之門外。系統管理員也可以根據實際情況靈活制訂判斷規則。 包過濾技術的優點是簡單實用,實現成本較低,在應用環境比較簡單的情況下,能夠以較小的代價在一定程度上保證系統的安全。 但包過濾技術的缺陷也是明顯的。包過濾技術是一種完全基於網路層的安全技術,只能根據數據包的來源、目標和埠等網路信息進行判斷,無法識別基於應用層的惡意侵入,如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址,騙過包過濾型防火牆。 (2)網路地址轉化-NAT 網路地址轉換是一種用於把IP地址轉換成臨時的、外部的、注冊的IP地址標准。它允許具有私有IP地址的內部網路訪問網際網路。它還意味著用戶不許要為其網路中每一台機器取得注冊的IP地址。 NAT的工作過程是:在內部網路通過安全網卡訪問外部網路時,將產生一個映射記錄。系統將外出的源地址和源埠映射為一個偽裝的地址和埠,讓這個偽裝的地址和埠通過非安全網卡與外部網路連接,這樣對外就隱藏了真實的內部網路地址。在外部網路通過非安全網卡訪問內部網路時,它並不知道內部網路的連接情況,而只是通過一個開放的IP地址和埠來請求訪問。OLM防火牆根據預先定義好的映射規則來判斷這個訪問是否安全。當符合規則時,防火牆認為訪問是安全的,可以接受訪問請求,也可以將連接請求映射到不同的內部計算機中。當不符合規則時,防火牆認為該訪問是不安全的,不能被接受,防火牆將屏蔽外部的連接請求。網路地址轉換的過程對於用戶來說是透明的,不需要用戶進行設置,用戶只要進行常規操作即可。 (3)代理型 代理型防火牆也可以被稱為代理伺服器,它的安全性要高於包過濾型產品,並已經開始向應用層發展。代理伺服器位於客戶機與伺服器之間,完全阻擋了二者間的數據交流。從客戶機來看,代理伺服器相當於一台真正的伺服器;而從伺服器來看,代理伺服器又是一台真正的客戶機。當客戶機需要使用伺服器上的數據時,首先將數據請求發給代理伺服器,代理伺服器再根據這一請求向伺服器索取數據,然後再由代理伺服器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道,外部的惡意侵害也就很難傷害到企業內部網路系統。 代理型防火牆的優點是安全性較高,可以針對應用層進行偵測和掃描,對付基於應用層的侵入和病毒都十分有效。其缺點是對系統的整體性能有較大的影響,而且代理伺服器必須針對客戶機可能產生的所有應用類型逐一進行設置,大大增加了系統管理的復雜性。 (4)監測型 監測型防火牆是新一代的產品,這一技術實際已經超越了最初的防火牆定義。監測型防火牆能夠對各層的數據進行主動的、實時的監測,在對這些數據加以分析的基礎上,監測型防火牆能夠有效地判斷出各層中的非法侵入。同時,這種檢測型防火牆產品一般還帶有分布式探測器,這些探測器安置在各種應用伺服器和其他網路的節點之中,不僅能夠檢測來自網路外部的攻擊,同時對來自內部的惡意破壞也有極強的防範作用。據權威機構統計,在針對網路系統的攻擊中,有相當比例的攻擊來自網路內部。因此,監測型防火牆不僅超越了傳統防火牆的定義,而且在安全性上也超越了前兩代產品。 雖然監測型防火牆安全性上已超越了包過濾型和代理伺服器型防火牆,但由於監測型防火牆技術的實現成本較高,也不易管理,所以目前在實用中的防火牆產品仍然以第二代代理型產品為主,但在某些方面也已經開始使用監測型防火牆。基於對系統成本與安全技術成本的綜合考慮,用戶可以選擇性地使用某些監測型技術。這樣既能夠保證網路系統的安全性需求,同時也能有效地控制安全系統的總擁有成本。 雖然防火牆是目前保護網路免遭黑客襲擊的有效手段,但也有明顯不足:無法防範通過防火牆以外的其它途徑的攻擊,不能防止來自內部變節者和不經心的用戶們帶來的威脅,也不能完全防止傳送已感染病毒的軟體或文件,以及無法防範數據驅動型的攻擊。 參考資料: http://down.xiaojiao.com/view.asp?id=405
『陸』 網路安全主要體現在哪些方面這四點很關鍵!
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。那麼網路安全主要體現在哪些方面?主要包含系統安全、應用安全、物理安全、管理安全,接下來我們來看看詳細的內容介紹。
一、系統安全
系統安全是指在系統生命周期內應用系統安全工程和系統安全管理方法,辨識系統中的隱患,並採取有效的控制措施使其危險性最小,從而使系統在規定的性能、時間和成本范圍內達到最佳的安全程度。
企業運行少不了系統的輔助,業務系統和操作系統的安全,是保證業務安全的前提。除了要關注信息系統的功能,還應注意系統應用的安全問題,當下卻普遍存在重安全、輕應用的現象。不僅要使用強密碼對信息系統進行保護,還需要定期進行系統檢查和升級,加強系統對內和對外的雙向保護。
系統是否安全涉及諸多因素,包括系統開發人員的安全意識、操作人員的失誤和系統的定期檢查等。
二、應用安全
應用安全是指保障應用程序使用過程和結果的安全。換句話說,就是針對應用程序或工具在使用過程中可能出現計算、傳輸數據的泄露和失竊,通過其他安全工具或策略來消除隱患。
應用與系統是密不可分的,應用上會涉及到更多的個人信息和重要數據,無論是Web應用還是移動應用,想要確保應用在安全范圍內,可以考慮部署相關安全產品或實施網路安全檢測工作。
三、物理安全
在網路安全中,物理安全也是非常重要的一部分,設備除了采購部署,還應考慮是否存放得當、是否運維得當、是否操作得當等。環境事故時有發生,對於自然災害我們不能預料,但可以避免。此外,網路設備的存放,應該定期檢查和升級,網路設備也會存在安全隱患,策略是否更新以及機房環境等,都應該是我們考慮的安全問題。
四、管理安全
管理是網路中安全最重要的部分。分工和責任許可權不明確、安全管理制度不健全等都可能引起管理安全的風險。
當網路出現攻擊行為或網路受到其它一些安全威脅時,無法進行實時的檢測、監控、報警。同時,當事故發生後,也無法溯源到原因,這就要求我們必須對站點的訪問活動進行多層次的記錄,及時發現非法入侵行為。
『柒』 消防安全系統檢查評估【如何評估網路系統的安全】
網路系統的安全程度同樣符合木桶原理,即最終的安全性取決於網路中最弱的一個環節。本文系統地對網路架構的各個安全點進行了分析,同培空時針對性地介紹了降低這些安全點風險的方案和措施。
各種網路安全事故頻發使得各個組織對信息安全的重視程度逐漸提高,同時各種專門提供網路安全服務的企業也應運而生。然而,目前大多安全服務都是以主機的安全評估、系統加固、應急響應、應用安全防護、管理層面的安全策略體系制訂、應用安全防護、安全產品集成等為主,對於網路架構的安全評估卻很少。綜觀近幾年來互連網上不斷出現的病毒蠕蟲感染等安全事件,不少是由於對網路架構安全的忽視導致了大范圍的傳播和影響。2003年的27號文件――《國家信息化領導小組關於加強信息安全保障的文件》下發後,對信息系統安全域劃分、等級保護、信息安全風險評估、等級保障等需求愈來愈迫切,而做好安全域劃分的關鍵就是對網路架構安全的正確分析。
信息系統的網路架構安全分析是通過對整個組織的網路體系進行深入調研,以國際安全標准和技術框架為指導,全面地對網路架構、網路邊界、網路協議、網路流量、網路QoS、網路建設的規范性、網路設備安全、網路管理等多個方面進行深入分析。
網路架構分析
網路架構分析的主要內容包括根據IATF技術框架分析網路設計是否層次分明,是否採用了核心層、匯聚層、接入層等劃分原則的網路架構(劃分不規范不利於網路優化和調整); 網路邊界是否清晰,是否符合IATF的網路基礎設施、邊界/外部連接、計算環境、支撐基礎設施的深度防禦原則(邊界不清晰不便於安全控制)。應考慮的安全點主要有:
1. 網路架構設計應符合層次分明、分級管理、統一規劃的原則,應迅悶便於以後網路整體規劃和改造。
2. 根據組織實際情況進行區間劃分,Internet、Intranet和Extranet之間以及它們內部各區域之間結構必須使網路應有的性能得到充分發揮。
3. 根據各部門的工作職能、重要性、所涉及信息等級等因素劃分不同的子網或網段。
4. 網路規劃應考慮把核心網路設備的處理任務分散到邊緣設備,使其能將主要的處理能力放在對數據的轉發或處理上。
5. 實體的訪問許可權通常與其真實身份相關,身份不同,工作的內容、性質、所在的部門就不同,因此所應關注的網路操作也不同,授予的許可權也就不同。
6. 網路前期建設方案、網路拓撲結構圖應和實際的網路結構一致; 所有網路設備(包括交換機、路由器、防火牆、IDS以及其他網路設備)應由組織統一規劃部署,並應符合實際需求。
7. 應充分考慮Internet接入的問題,防止出現多Internet接入點,同時限制接入用戶的訪問數量。
8. 備份也是需要考慮的重要因素,對廣域網設備、區域網設備、廣域網鏈路、區域網鏈路採用物理上的備份和採取冗餘協議,防止出現單點故障。
網路邊界分析
邊界保護不僅存在於組織內部網路與外部網路之間,而且也存在於同一組織內部網路中,特別是不同級別的子網之間邊界。有效的邊界防護技術措施主要包括網路訪問控制、入侵防範、網關防病毒、信息過濾、網路隔離部件、邊界完整性檢查,以及對於遠程用戶的標識與鑒別/訪問控制。邊界劃分還應考慮關鍵業務系統和非關鍵業務系統之間是否進行了分離,分離後各業務區域之間的邏輯控制是否合理,業務系統配昌瞎之間的交疊不但影響網路的性能還會給網路帶來安全上的隱患。應考慮的安全點主要有:
1. Internet、Intranet和Extranet之間及它們內部各VLAN或區域之間邊界劃分是否合理; 在網路節點(如路由器、交換機、防火牆等設備)互連互通應根據實際需求進行嚴格控制; 驗證設備當前配置的有效策略是否符合組織確定的安全策略。
2. 內網中的安全區域劃分和訪問控制要合理,各VLAN之間的訪問控制要嚴格,不嚴格就會越權訪問。
3. 可檢查網路系統現有的身份鑒別、路由器的訪問控制、防火牆的訪問控制、NAT等策略配置的安全性; 防止非法數據的流入; 對內防止敏感數據(涉密或重要網段數據)的流出。
4. 防火牆是否劃分DMZ區域; 是否配置登錄配置的安全參數。例如: 最大鑒別失敗次數、最大審計存儲容量等數據。
5. 網路隔離部件上的訪問通道應該遵循「默認全部關閉,按需求開通的原則」; 拒絕訪問除明確許可以外的任何一種服務,也就是拒絕一切未經特許的服務。
6. 實現基於源和目的的IP地址、源和目的端 口號 、傳輸層協議的出入介面的訪問控制。對外服務採用用戶名、IP、MAC 等綁定,並限制變換的MAC地址數量,用以防止會話劫持、中間人攻擊。
7. 對於應用層過濾,應設置禁止訪問 Java Applet、ActiveX等以降低威脅。
8. 採用業界先進的安全技術對關鍵業務系統和非關鍵業務系統進行邏輯隔離,保證各個業務系統間的安全性和高效性,例如: 採用MPLS-VPN對各業務系統間邏輯進行劃分並進行互訪控制。
9. 必要時對涉密網路系統進行物理隔離; 實現VPN傳輸系統; 對重要網路和伺服器實施動態口令認證; 進行安全域的劃分,針對不同的區域的重要程度,有重點、分期進行安全防護,逐步從核心網路向網路邊緣延伸。例如,網路可以分成三個區域: 信任域、非信任域和隔離區域。信任域和隔離區域進行重點保護,對於非信任域,可根據不同業務系統的重要程度進行重點保護。
10. 整體網路系統統一策略、統一升級、統一控制。
網路協議分析
深入分析組織整個網路系統的協議設計是否合理,是否存在協議設計混亂、不規范的情況,是否採用安全協議,協議的區域之間是否採用安全防護措施。協議是網路系統運行的神經,協議規劃不合理就會影響整個網路系統的運行效率,甚至帶來高度隱患和風險。應考慮的安全點主要有:
1. 路由協議、路由相關的協議及交換協議應以安全的、對網路規劃和設計方便為原則,應充分考慮區域網絡的規劃、建設、擴充、性能、故障排除、安全隱患、被攻擊可能性,並應啟用加密和驗證功能。
2. 應合理設計網路路由協議和路由策略,保證網路的連通性、可達性,以及網路業務流向分布的均衡性。
3. 啟用動態路由協議的認證功能,並設置具有一定強度的密鑰,相互之間交換路由信息的路由器必須具有相同的密鑰。默認的認證密碼是明文傳輸的,建議啟用加密認證。
4. 對使用動態路由協議的路由設備設置穩定的邏輯地址,如Loopback地址,以減少路由振盪的可能性。
5. 應禁止路由器上 IP 直接廣播、ICMP重定向、Loopback數據包和多目地址數據包,保證網路路徑的正確性,防止IP源地址欺騙。如禁止非公有地址、組播地址、全網路地址和自己內部的網路地址訪問內部網路,同時禁止非內部網路中的地址訪問外部網路。
6. 重要網段應採取IP地址與MAC地址綁定措施,防止ARP欺騙。
7. 如果不需要ARP代理(ARP Proxy)服務則禁止它。
8. 應限制 SYN 包流量帶寬,控制 ICMP、TCP、UDP 的連接數。
9. ICMP協議的安全配置。對於流入的ICMP數據包,只允許Echo Reply、Destination Unreachable、Time Out及其他需要的類型。對於流出的ICMP數據包,只允許Echo及其他必需的類型。
10. SNMP協議的Community String字串長度應大於12位,並由數字、大小寫字母和特殊字元共同組成。
11. 禁用HTTP服務,不允許通過HTTP方式訪問路由器。如果不得不啟用HTTP訪問方式,則需要對其進行安全配置。
12. 對於交換機,應防止VLAN穿越攻擊。例如,所有連接用戶終端的介面都應從VLAN1中排除,將Trunk介面劃分到一個單獨的VLAN中; 為防止STP攻擊,對用戶側埠,禁止發送BPDU; 為防止VTP攻擊,應設置口令認證,口令強度應大於12位,並由數字、大小寫字母和特殊字元共同組成;盡量將交換機VTP設置為透明(Transparent)模式。
13.採用安全性較高的網路管理協議,如SNMP v3、RMON v2。
網路流量分析
流量分析系統主要從帶寬的網路流量分析、網路協議流量分析、基於網段的業務流量分析、網路異常流量分析、應用服務異常流量分析等五個方面對網路系統進行綜合流量分析。應考慮的安全點主要有:
1. 帶寬的網路流量分析。復雜的網路系統中不同的應用需佔用不同的帶寬,重要的應用是否得到了最佳的帶寬?所佔比例是多少?隊列設置和網路優化是否生效?通過基於帶寬的網路流量分析會使其更加明確。採用監控網路鏈路流量負載的工具軟體,通過SNMP協議從設備得到設備的流量信息,並將流量負載以包含PNG格式的圖形的HTML文檔方式顯示給用戶,以非常直觀的形式顯示流量負載。
2. 網路協議流量分析。對網路流量進行協議劃分,針對不同的協議進行流量監控和分析,如果某一個協議在一個時間段內出現超常流量暴漲,就有可能是攻擊流量或有蠕蟲病毒出現。例如: Cisco NetFlow V5可以根據不同的協議對網路流量進行劃分,對不同協議流量進行分別匯總。
3. 基於網段的業務流量分析。流量分析系統可以針對不同的VLAN來進行網路流量監控,大多數組織都是基於不同的業務系統通過VLAN來進行邏輯隔離的,所以可以通過流量分析系統針對不同的VLAN 來對不同的業務系統的業務流量進行監控。例如: Cisco NetFlow V5可以針對不同的VLAN進行流量監控。
4. 網路異常流量分析。異常流量分析系統支持異常流量發現和報警,能夠通過對一個時間窗內歷史數據的自動學習,獲取包括總體網路流量水平、流量波動、流量跳變等在內的多種網路流量測度,並自動建立當前流量的置信度區間作為流量異常監測的基礎。通過積極主動鑒定和防止針對網路的安全威脅,保證了服務水平協議(SLA)並且改進顧客服務, 從而為組織節約成本。
抗擊異常流量系統必須完備,網路系統數據流比較大,而且復雜,如果抗異常流量系統不完備,當網路流量異常時或遭大規模DDOS攻擊時,就很難有應對措施。
5. 應用服務異常流量分析。當應用層出現異常流量時,通過IDS&IPS的協議分析、協議識別技術可以對應用層進行深層的流量分析,並通過IPS的安全防護技術進行反擊。
網路QoS
合理的QoS配置會增加網路的可用性,保證數據的完整性和安全性,因此應對網路系統的帶寬、時延、時延抖動和分組丟失率等方面進行深入分析,進行QoS配置來優化網路系統。應考慮的安全點主要有:
1. 採用RSVP協議。RSVP使IP網路為應用提供所要求的端到端的QoS保證。
2. 採用路由匯聚。路由器把QoS需求相近的業務流看成一個大類進行匯聚,減少流量交疊,保證QoS。
3. 採用MPLSVPN技術。多協議標簽交換(MPLS)將靈活的3層IP選路和高速的2層交換技術完美地結合起來,從而彌補了傳統IP網路的許多缺陷。
4. 採用隊列技術和流量工程。隊列技術主要有隊列管理機制、隊列調度機制、CAR和流量工程。
5. QoS路由。QoS路由的主要目標是為接入的業務選擇滿足其服務質量要求的傳輸路徑,同時保證網路資源的有效利用路由選擇。
6. 應保證正常應用的連通性。保證網路和應用系統的性能不因網路設備上的策略配置而有明顯下降,特別是一些重要應用系統。
7. 通過對不同服務類型數據流的帶寬管理,保證正常服務有充足的帶寬,有效抵禦各種拒絕服務類型的攻擊。
網路的規范性
應考慮的安全點主要有:
1. IP地址規劃是否合理,IP地址規劃是否連續,在不同的業務系統採用不同的網段,便於以後網路IP調整。
2. 網路設備命名是否規范,是否有統一的命名原則,並且很容易區分各個設備的。
3. 應合理設計網路地址,應充分考慮地址的連續性管理以及業務流量分布的均衡性。
4. 網路系統建設是否規范,包括機房、線纜、配電等物理安全方面,是否採用標准材料和進行規范設計,設備和線纜是否貼有標簽。
5. 網路設備名稱應具有合理的命名體系和名稱標識,便於網管人員迅速准確識別,所有網路埠應進行充分描述和標記。
6. 應對所有網路設備進行資產登記,登記記錄上應該標明硬體型號、廠家、操作系統版本、已安裝的補丁程序號、安裝和升級的時間等內容。
7. 所有網路設備旁都必須以清晰可見的形式張貼類似聲明: 「嚴格禁止未經授權使用此網路設備。
8. 應制定網路設備用戶賬號的管理制度,對各個網路設備上擁有用戶賬號的人員、許可權以及賬號的認證和管理方式做出明確規定。對於重要網路設備應使用Radius或者TACACS+的方式實現對用戶的集中管理。
網路設備安全
對設備本身安全進行配置,並建設完備的安全保障體系,包括: 使用訪問控制、身份驗證配置; 關閉不必要的埠、服務、協議; 用戶名口令安全、許可權控制、驗證; 部署安全產品等。應考慮的安全點主要有:
1. 安全配置是否合理,路由、交換、防火、IDS等網路設備及網路安全產品的不必要的服務、埠、協議是否關閉,網路設備的安全漏洞及其脆弱的安全配置方面的優化,如路由器的安全漏洞、訪問控制設置不嚴密、數據傳輸未加密、網路邊界未完全隔離等。
2. 在網路建設完成、測試通過、投入使用前,應刪除測試用戶和口令,最小化合法用戶的許可權,最優化系統配置。
3. 在接入層交換機中,對於不需要用來進行第三層連接的埠,通過設置使其屬於相應的 VLAN,應將所有空閑交換機埠設置為 Disable,防止空閑的交換機埠被非法使用。
4. 應盡量保持防火牆規則的清晰與簡潔,並遵循「默認拒絕,特殊規則靠前,普通規則靠後,規則不重復」的原則,通過調整規則的次序進行優化。
5. 應為不同的用戶建立相應的賬號,根據對網路設備安裝、配置、升級和管理的需要為用戶設置相應的級別,並對各個級別用戶能夠使用的命令進行限制,嚴格遵循「不同許可權的人執行不同等級的命令集」。同時對網路設備中所有用戶賬號進行登記備案
6. 應制訂網路設備用戶賬號口令的管理策略,對口令的選取、組成、長度、保存、修改周期以及存儲做出規定。
7. 使用強口令認證,對於不宜定期更新的口令,如SNMP字串、VTP認證密碼、動態路由協議認證口令等,其口令強度應大於12位,並由數字、大小寫字母和特殊字元共同組成。
8. 設置網路登錄連接超時,例如,超過60秒無操作應自動退出。
9. 採用帶加密保護的遠程訪問方式,如用SSH代替Telnet。
10. 嚴格禁止非本系統管理人員直接進入網路設備進行操作,若在特殊情況下(如系統維修、升級等)需要外部人員(主要是指廠家技術工程師、非本系統技術工程師、安全管理員等)進入網路設備進行操作時,必須由本系統管理員登錄,並對操作全過程進行記錄備案。
11. 對設備進行安全配置和變更管理,並且對設備配置和變更的每一步更改,都必須進行詳細的記錄備案。
12. 安全存放路由器的配置文件,保護配置文件的備份和不被非法獲取。
13. 應立即更改相關網路設備默認的配置和策略。
14. 應充分考慮網路建設時對原有網路的影響,並制定詳細的應急計劃,避免因網路建設出現意外情況造成原有網路的癱瘓。
15. 關鍵業務數據在傳輸時應採用加密手段,以防止被監聽或數據泄漏。
16. 對網路設備本身的擴展性、性能和功能、網路負載、網路延遲、網路背板等方面應充分考慮。設備功能的有效性與部署、配置及管理密切相關,倘若功能具備卻沒有正確配置及管理,就不能發揮其應有的作用。
17. 網路安全技術體系建設主要包括安全評估、安全防護、入侵檢測、應急恢復四部分內容,要對其流程完備性進行深入分析。
18. 安全防護體系是否堅固,要分析整個網路系統中是否部署了防火牆及VPN系統、抗拒絕服務系統、漏洞掃描系統、IDS&IPS系統、流量負載均衡系統部署、防病毒網關、網路層驗證系統、動態口令認證系統,各個安全系統之間的集成是否合理。
19. 應安全存放防火牆的配置文件,專人保管,保護配置文件不被非法獲取。
20. 及時檢查入侵檢測系統廠商的規則庫升級信息,離線下載或使用廠商提供的定期升級包對規則庫進行升級。具體包括:
● 查看硬體和軟體系統的運行情況是否正常、穩定;
● 查看OS版本和補丁是否最新;
● OS是否存在已知的系統漏洞或者其他安全缺陷。
網路管理
網路管理和監控系統是整個網路安全防護手段中的重要部分,網路管理應該遵循SDLC(生命周期)的原則,從網路架構前期規劃、網路架構開發建設到網路架構運行維護、網路架構系統廢棄都應全面考慮安全問題,這樣才能夠全面分析網路系統存在的風險。應考慮的安全點主要有:
1. 網路設備網管軟體的部署和網路安全網管軟體的部署; 部署監控軟體對內部網路的狀態、網路行為和通信內容進行實時有效的監控,既包括對網路內部的計算機違規操作、惡意攻擊行為、惡意代碼傳播等現象進行有效地發現和阻斷,又包括對網路進行的安全漏洞評估。
2. 確認網路安全技術人員是否定期通過強加密通道進行遠程登錄監控網路狀況。
3. 應盡可能加強網路設備的安全管理方式,例如應使用SSH代替Telnet,使用HTTPS代替HTTP,並且限定遠程登錄的超時時間、遠程管理的用戶數量、遠程管理的終端IP地址,同時進行嚴格的身份認證和訪問許可權的授予,並在配置完後,立刻關閉此類遠程連接; 應盡可能避免使用SNMP協議進行管理。如果的確需要,應使用V3版本替代V1、V2版本,並啟用MD5等驗證功能。進行遠程管理時,應設置控制口和遠程登錄口的超時時間,讓控制口和遠程登錄口在空閑一定時間後自動斷開。
4. 及時監視、收集網路以及安全設備生產廠商公布的軟體以及補丁更新,要求下載補丁程序的站點必須是相應的官方站點,並對更新軟體或補丁進行評測,在獲得信息安全工作組的批准下,對生產環境實施軟體更新或者補丁安裝。
5. 應立即提醒信息安全工作組任何可能影響網路正常運行的漏洞,並及時評測對漏洞採取的對策,在獲得信息安全工作組的批準的情況下,對生產環境實施評測過的對策,並將整個過程記錄備案。
6. 應充分考慮設備認證、用戶認證等認證機制,以便在網路建設時採取相應的安全措施。
7. 應定期提交安全事件和相關問題的管理報告,以備管理層檢查,以及方便安全策略、預警信息的順利下發。檢測和告警信息的及時上報,保證響應流程的快速、准確而有效。
8. 系統開發建設人員在網路建設時應嚴格按照網路規劃中的設計進行實施,需要變更部分,應在專業人士的配合下,經過嚴格的變更設計方案論證方可進行。
9. 網路建設的過程中,應嚴格按照實施計劃進行,並對每一步實施,都進行詳細記錄,最終形成實施報告。
10. 網路建設完成投入使用前,應對所有組件包括設備、服務或應用進行連通性測試、性能測試、安全性測試,並做詳細記錄,最終形成測試報告。測試機構應由專業的信息安全測試機構或第三方安全咨詢機構進行。
11. 應對日常運維、監控、配置管理和變更管理在職責上進行分離,由不同的人員負責。
12. 應制訂網路設備日誌的管理制定,對於日誌功能的啟用、日誌記錄的內容、日誌的管理形式、日誌的審查分析做明確的規定。對於重要網路設備,應建立集中的日誌管理伺服器,實現對重要網路設備日誌的統一管理,以利於對網路設備日誌的審查分析。
13. 應保證各設備的系統日誌處於運行狀態,每兩周對日誌做一次全面的分析,對登錄的用戶、登錄時間、所做的配置和操作做檢查,在發現有異常的現象時應及時向信息安全工作組報告。
14. 對防火牆管理必須經過安全認證,所有的認證過程都應記錄。認證機制應綜合使用多種認證方式,如密碼認證、令牌認證、會話認證、特定IP地址認證等。
15. 應設置可以管理防火牆的IP范圍,對登錄防火牆管理界面的許可權進行嚴格限制。
16. 在防火牆和入侵檢測系統聯動的情況下,最好是手工方式啟用聯動策略,以避免因入侵檢測系統誤報造成正常訪問被阻斷。
17. 部署安全日誌審計系統。安全日誌審計是指對網路系統中的網路設備、網路流量、運行狀況等進行全面的監測、分析、評估,通過這些記錄來檢查、發現系統或用戶行為中的入侵或異常。目前的審計系統可以實現安全審計數據的輸入、查詢、統計等功能。
18. 安全審計內容包括操作系統的審計、應用系統的審計、設備審計、網路應用的審計等。操作系統的審計、應用系統的審計以及網路應用的審計等內容本文不再贅述。在此僅介紹網路設備中路由器的審計內容:操作系統軟體版本、路由器負載、登錄密碼有無遺漏,enable 密碼、telnet 地址限制、HTTP安全限制、SNMP有無安全隱患; 是否關閉無用服務; 必要的埠設置、Cisco發現協議(CDP協議); 是否已修改了預設旗標(BANNER)、日誌是否開啟、是否符合設置RPF的條件、設置防SYN攻擊、使用CAR(Control Access Rate)限制ICMP包流量; 設置SYN數據包流量控制(非核心節點)。
19. 通過檢查性審計和攻擊性審計兩種方式分別對網路系統進行全面審計。
20. 應對網路設備物理埠、CPU、內存等硬體方面的性能和功能進行監控和管理。
● 系統維護中心批准後,根據實際應用情況提出接入需求和方案,向信息安全工作組提交接入申請;
● 由申請人進行非上線實施測試,並配置其安全策略;
● 信息安全員對安全配置進行確認,檢查安全配置是否安全,若安全則進入下一步,否則重新進行配置。
21. 網路設備廢棄的安全考慮應有一套完整的流程,防止廢棄影響到網路運行的穩定。任何網路設備的廢棄都應進行記錄備案,記錄內容應包括廢棄人、廢棄時間、廢棄原因等。
『捌』 網路安全有哪些方面,有什麼解決的方案嗎
網路安全方面,基本上是包括六個方面,首先就是企業安全制度,這是奠定安全的基石;第二點就是數據安全方面,主要是防災備份機制;第三點就是有關於傳輸安全,這一部分行中羨就是有關路由熱備份、NAT、ACL等;第四點就是伺服器安全,主要是包括冗餘、DMZ區域等;第五點就是防火牆安全,這部分基本上都知道一些,主要是靠硬體或者軟體來實現;第六點就是有關於防病毒的安全了。要說解決方案,F5在這方面是值得信賴的,根據F5分析,由於服務運營商使用更加平面化且更為開放的體系架構部署基於IP的LTE網路,因此從本質上說,這些網路更易遭受安全威脅,並且威脅的數量和種類也在不斷增加。LTE演進分組核心網(EPC)以及信令和訂戶信息未得到良好的保護,不能很好地抵禦來自網路訪問點外部的攻擊。因操作問題或來自惡意攻擊可能會造成的信令風暴不斷涌現,這也同樣令人棘手。漫遊協議和第三方內容提供商會添加外部網路連接,從而讓情況變得更加復雜。所以,F5則是採用整合的Diameter信令平台提檔拍供了實現安全性的戰略方法,該平台優化了培沖信令網路並可抵禦信令安全威脅。
『玖』 怎麼樣才能增強網路安全的防護意識
1、組織網路安全培訓,強調網路信息安全對單位及對個人的重要性,結合全所目前網路安全檢查中發現的問題進行逐條分析,指出存在的隱患,提出規避風險的措施。
2、組織網路安全講座,採取知識競賽,播放網路安全教育視頻等方式,強化安全意識。
3、落實行動,嚴格執行網路安全管理各項措施,切實落實網路安全責任制。
4、提升防範能力,信息部門要加強全所網路安全培訓和技術指導,完善網路安全設施,全面提升全所安全防範能力。