聯系我們

CONTACT US___

電話:0431-81334111

郵箱:jl_donghongkeji@163.com

地址:長春市朝陽區工農大路海航榮御科技企業總部基地2316室

網絡安全

當前位置:首頁-網絡安全

                                                          網絡安全解決方案

1、系統概述:網絡安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不因偶然的或者惡意的原因而遭受到破壞、更改、泄露,系統連續可靠正常地運行,網絡服務不中斷。

2、網絡安全的主要特性:

  1保密性:非授權禁止訪問。

  2完整性:非授權不能對信息在存儲、傳輸過程中被修改、破壞和丟失的特性。

  3可用性:可被授權訪問并完成需求。

  4可控性:對信息的流向與訪問具有控制行為。

  5可審查性:在收到非授權訪問時將提供訪問依據與禁止方法。

3、網絡安全的主體:保護網絡上的通訊與信息安全。

4、網絡安全的威脅渠道:

1.外網:駭客攻擊、病毒傳播、蠕蟲攻擊、垃圾郵件泛濫、敏感信息泄露。

2.內網:利用網絡處理私人事務,對網絡不正當使用,降效率,降低了率、阻礙了電絡、消 源、并引入病毒和間諜,或者使得不法員工可以通過網絡泄漏企業機密。

5、網絡安全的結構組成:墻、入侵檢測、漏、安、防、流成,,又 。

6、防火墻:是一種位于內部網絡與外部網絡之間的網絡安全系統。一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。在網絡安全中,所謂防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火墻,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。

7、入           (簡稱“IDS”):是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處便在于,IDS是一種積極主動的安全防護技術。

漏洞掃描:數據庫,通過掃描,嗅探,偽授權訪問等手段對指定的遠程或者本地計算機系統的安全脆弱性進行檢測,發現可利用的漏洞的一種安全檢測(滲透攻擊)行為,也是侵入網絡安全的通用手段,往往發現漏洞的并非是本地管理員而是來自外部的非授權組織或個人。

安全審計(網絡備案):是為了加強和規范互聯網安全技術防范工作,保障互聯網網絡安全和信息安全,促進互聯網健康、有序發展,維護國家安全、社會秩序和公共利益所制定的規范。按照一定的安全策略,利用記錄、系統活動和用戶活動等信息,檢查、審查和檢驗操作事件的環境及活動,從而發現系統漏洞、入侵行為或改善系統性能的過程。

8、防      毒:即計算機病毒,它是一種人為制造的(有意識或無意識地)破壞計算機系統運行和破壞計算機文件的一種程序。

編制者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼。與醫學上的“病毒”不同,電腦病毒不是天然存在的,是某些人利用計算機軟件和硬件所固有的脆弱性編制的一組指令集或程序代碼。它能通過某種途徑潛伏在計算機的存儲介質(或程序)里,當達到某種條件時即被激活,通過修改其他程序的方法將自己的精確拷貝或者可能演化的形式放入其他程序中,從而感染其他程序,對計算機資源進行破壞,所謂的病毒就是人為造成的,對其他用戶的危害性很大!

9、病毒特點:之所以稱之為病毒是因為該程序具備生物特性。

10、繁殖性:病毒可以像生物病毒一樣進行繁殖,當正常程序運行的時候,它也進行運行自身復。

11、破壞性:會導致正常的程序無法運行,把計算機內的文件刪除或受到不同程度的損壞。

12、傳染性:電腦病毒不但本身具有破壞性,更有害的是具有傳染性,一旦病毒被復制或產生變種,其速度之快令人難以預防。傳染性是病毒的基本特征。在生物界,病毒通過傳染從一個生物體擴散到另一個生物體。在適當的條件下,它可得到大量繁殖,并使被感染的生物體表現出病癥甚至死亡。同樣,電腦病毒也會通過各種渠道從已被感染的計算機擴散到未被感染的計算機,在某些情況下造成被感染的計算機工作失常甚至癱瘓。與生物病毒不同的是,電腦病毒是一段人為編制的計算機程序代碼,這段程序代碼一旦進入計算機并得以執行,它就會搜尋其他符合其傳染條件的程序或存儲介質,確定目標后再將自身代碼插入其中,達到自我繁殖的目的。只要一臺計算機染毒,如不及時處理,那么病毒會在這臺電腦上迅速擴散,電腦病毒可通過各種可能的渠道,如軟盤、硬盤、移動硬盤、計算機網絡去傳染其他的計算機。當您在一臺機器上發現了病毒時,往往曾在這臺計算機上用過的軟盤已感染上了病毒,而與這臺機器相聯網的其他計算機也許也被該病毒染上了。是否具有傳染性是判別一個程序是否為電腦病毒的最重要條件。

13、潛伏性:像定時炸彈一樣,讓它什么時間發作是預先設計好的。比如黑色星期五病毒,不到預定時間一點都覺察不出來,等到條件具備的時候一下子就爆炸開來,對系統進行破壞。一個編制精巧的電腦病毒程序,進入系統之后一般不會馬上發作,因此病毒可以靜靜地躲在磁盤或磁帶里呆上幾天,甚至幾年,一旦時機成熟,得到運行機會,就又要四處繁殖、擴散,繼續危害。潛伏性的第二種表現是指,電腦病毒的內部往往有一種觸發機制,不滿足觸發條件時,電腦病毒除了傳染外不做什么破壞。觸發條件一旦得到滿足,有的在屏幕上顯示信息、圖形或特殊標識,有的則執行破壞系統的操作,如格式化磁盤、刪除磁盤文件、對數據文件做加密、封鎖鍵盤以及使系統死鎖等。

14、隱蔽性:有的電腦病毒具有很強的隱蔽性與飯偵測屬性,即使可以通過病毒軟件檢查出來,也不能完全清楚,有的根本檢測不出來,這類病毒處理起來通常很困難。

15、可觸發性:滿足條件時做出主動反應,入一條指令,或一次操作,區別于潛伏性病毒的被動觸發,主動觸發的條件更加精密。并不易被發覺,而主動觸發更加接近于報復性的破壞手段,讓操作者自己炸毀數據。

16、網絡系統安全具備的功能及配置原則:

1.網絡隔離與訪問控制:通過對特定網段、服務進行物理和邏輯隔離,并建立訪問控制機制,將絕大多數攻擊阻止在網絡和服務的邊界以外。

2.漏洞發現與堵塞:通過對網絡和運行系統安全漏洞的周期檢查,發現可能被攻擊所利用的漏洞,并利用補丁或從管理上堵塞漏洞。

3.入侵檢測與響應:通過對特定網絡(段)、服務建立的入侵檢測與響應體系,實時檢測出攻擊傾向和行為,并采取相應的行動(如斷開網絡連接和服務、記錄攻擊過程、加強審計等)。

4.加密保護:主動的加密通信,可使攻擊者不能了解、修改敏感信息(如VPN方式)或數據加密通信方式;對保密或敏感數據進行加密存儲,可防止竊取或丟失。

5.備份和恢復:良好的備份和恢復機制,可在攻擊造成損失時,盡快地恢復數據和系統服務。

6.監控與審計:在辦公網絡和主要業務網絡內配置集中管理、分布式控制的監控與審計系統。一方面以計算機終端為單元強化桌面計算的內外安全控制與日志記錄;另一方面通過集中管理方式對內部所有計算機終端的安全態勢予以掌控。

7.各組成部分設計功能:在利用公共網絡與外部進行連接的“內”外網絡邊界處使用防火墻,為“內部”網絡(段)與“外部”網絡(段)劃定安全邊界。在網絡內部進行各種連接的地方使用帶防火墻功能的VPN設備,在進行“內”外網絡(段)的隔離的同時建立網絡(段)之間的安全通道。

8.設置防火墻功能:使用網絡協議把隔離區的服務器和內部端口影射到防火墻的對外端口;允許公網用戶訪問到隔離區的應用服務:超文本協議、外發服務器、郵箱協議、域名系統等;允許隔離區內的工作站與應用服務器訪問公網;允許內部用戶訪問隔離區的應用服務:超文本協議、外發服務器、郵箱協議、域名系統等;禁止公網用戶進入內部網絡和非法訪問隔離區應用服務器;禁止隔離區的公開服務器訪問內部網絡,防止來自公網的拒絕服務一類的攻擊;能接受入侵檢測的聯動要求,可實現對實時入侵的策略響應;對所保護的服務器常用應用通信協議(超文本協議、外發服務器、郵箱協議、域名)能夠替換服務器的網服信息,防止惡意用戶信息刺探,并提供日志報表的自動生成功能,便于事件的分析。

9.入侵檢測與響應方案在網絡邊界配置入侵檢測設備,不僅是對防火墻功能的必要補充,而且可與防火墻一起構建網絡邊界的防御體系。通過入侵檢測設備對網絡行為和流量的特征分析,可以檢測出侵害“內部”網絡或對外泄漏的網絡行為和流量,與防火墻形成某種協調關系的互動,從而在“內部”網與外部網的邊界處形成保護體系。

10.漏洞掃描方案除利用入侵檢測設備檢測對網絡的入侵和異常流量外,還需要針對主機系統的漏洞采取檢查和發現措施。目前常用的方法是配置漏洞掃描設備。主機漏洞掃描可以主動發現主機系統中存在的系統缺陷和可能的安全漏洞,并提醒系統管理員對該缺陷和漏洞進行修補或堵塞。對于漏洞掃描的結果,一般可以按掃描提示信息和建議,屬外購標準產品問題的,應及時升級換代或安裝補丁程序;屬委托開發的產品問題的,應與開發商協議修改程序或安裝補丁程序;屬于系統配置出現的問題,應建議系統管理員修改配置參數,或視情況關閉或卸載引發安全漏洞的程序模塊或功能模塊。漏洞掃描功能是協助安全管理、掌握網絡安全態勢的必要輔助,對使用這一工具的安全管理員或系統管理員有較高的技術素質要求??紤]到漏洞掃描能檢測出防火墻策略配置中的問題,能與入侵檢測形成很好的互補關系:漏洞掃描與評估系統使系統管理員在事前掌握主動地位,在攻擊事件發生前找出并關閉安全漏洞;而入侵檢測系統則對系統進行監測以期在系統被破壞之前阻止攻擊得逞。因此,漏洞掃描與入侵檢測在安全保護方面不但有共同的安全目標,而且關系密切。本方案建議采購將入侵檢測、管理控制中心與漏洞掃描一體化集成的產品,不但可以簡化管理,而且便于漏洞掃描、入侵檢測和防火墻之間的協調動作。

11.網絡防病毒方案:網絡防病毒產品較為成熟,且有幾種主流產品。本方案建議,網絡防病毒系統應具備下列功能:1.提供個人用戶或組的病毒防護;2.提供服務器病毒防護;3.提供郵件服務器防護。4.提供網關防護阻擋計算機病毒;6.提供系統平臺防毒策略,提供了強大的集中控管能力。

17、關于安全設備之間的功能互補與協調運行各種網絡安全設備(防火墻、入侵檢測、漏洞掃描、防病毒產品等),都有自己獨特的安全探測與安全保護能力,但又有基于自身主要功能的擴展能力和與其它安全功能的對接能力或延續能力。因此,在安全設備選型和配置時,盡可能考慮到相關安全設備的功能互補與協調運行,對于提高網絡平臺的整體安全性具有重要意義。防火墻是目前廣泛用于隔離網絡(段)邊界并實施進/出信息流控制的大眾型網絡安全產品之一。作為不同網絡(段)之間的邏輯隔離設備,防火墻將內部可信區域與外部危險區域有效隔離,將網絡的安全策略制定和信息流動集中管理控制,為網絡邊界提供保護,是抵御入侵控制內外非法連接的。但防火墻具有局限性。這種局限性并不說明防火墻功能有失缺,而且由于本身只應該承擔這樣的職能。因為防火墻是配置在網絡連接邊界的通道處的,這就決定了它的基本職能只應提供靜態防御,其規則都必須事先設置,對于實時的攻擊或異常的行為不能做出實時反應。這些控制規則只能是粗顆粒的,對一些協議細節無法做到完全解析。而且,防火墻無法自動調整策略設置以阻斷正在進行的攻擊,也無法防范基于協議的攻擊。為了彌補防火墻在實際應用中存在的局限,設計了防火墻聯動方式,即將其它安全設備探測或處理的結果通過接口引入系統內調整防火墻的安全策略,增強防火墻的訪問控制能力和范圍,提高整體安全水平。

18、各系統聯動的主要有以下幾種方式:

1.與入侵檢測實現聯動目前,實現入侵檢測和防火墻之間的聯動有兩種方式。一種是實現緊密結合,即把入侵檢測系統嵌入到防火墻中,即入侵檢測系統的數據來源不再來源于抓包,而是流經防火墻的數據流。但由于入侵檢測系統本身也是一個很龐大的系統,從目前的軟硬件處理能力來看,這種聯動難于達到預期效果。第二種方式是通過開放接口來實現聯動,即防火墻或者入侵檢測系統開放一個接口供對方調用,按照一定的協議進行通信、警報和傳輸,這種方式比較靈活,不影響防火墻和入侵檢測系統的性能。防火墻與入侵檢測系統聯動,可以對網絡進行動靜結合的保護,對網絡行為進行細顆粒的檢查,并對網絡內外兩個部分都進行可靠管理。

2.與防病毒實現聯動防火墻處于內外網絡信息流的必經之地,在網關一級對病毒進行查殺是網絡防病毒的理想措施。目前已有一些廠商的防火墻可以與病毒防治軟件進行聯動,通過提供API定義異步接口,將數據包轉發到裝載了網關病毒防護軟件的服務器上進行檢查,但這種聯動由于性能影響,目前并不適宜部署在網絡邊界處。

3.與日志處理間實現聯動防火墻與日志處理之間的聯動,允許第三方訪問日志數據,報表和事件分析,防火墻產品利用接口與其他日志服務器合作,將大量的日志處理工作由專門的服務設備完成,提高了專業化程度。

19、內部網絡監控與審計方案:上面的安全措施配置解決了網絡邊界的隔離與保護,網絡與主機的健康(防病毒)運行,以及用戶訪問網絡資源的身份認證和授權問題。然而,局域網絡內部各辦公網絡、業務網絡的運行秩序的維護,網絡操作行為的監督,各種違規、違法行為的取證和責任認定,以及對操作系統漏洞引發的安全事件的監視和控制等問題,則是必須予以解決的問題。因此有必要在各種內部辦公網絡、業務網內部部署集中管理、分布式控制的監控與審計系統。這種系統通過在局域網(子網)內的管理中心安裝管理器,在各臺主機(PC機)中安裝的代理軟件形成一個監控與審計(虛擬網絡)系統,通過對代理軟件的策略配置,使得每臺工作主機(PC機)按照辦公或業務操作規范進行操作,并對可能經過主機外圍接口(USB口、串/并口、軟硬盤接口等)引入的非法入侵(包括病毒、木馬等),或非法外連和外泄的行為予以阻斷和記錄;同時管理器通過網絡還能及時收集各主機上的安全狀態信息并下達控制命令,形成“事前預警、事中控制和事后審計”的監控鏈。

20、網絡安全設備:

1.路由器:可做端口屏蔽、帶寬管理、數據攻擊等。

2.防火墻:屏蔽與阻斷非授權數據流。

3.UTM:集防火墻、入侵檢測/防御、防病毒等多項功能于一身,全面防御網絡2~7層網絡構架中的各種攻擊,抵御各種威脅。

4.行為管理器:以用戶、時間、位置、通訊協議、內容格式進行管控或瀏覽。

5.核心交換機將位于接入層和核心層之間的部分稱為分布層或匯聚層,接入層目的是允許終端用戶連接到網絡,因此接入層交換機具有低成本和高端口密度特性;匯聚層交換機是多臺接入層交換機的匯聚點,它必須能夠處理來自接入層設備的所有通信量,并提供到核心層的上行鏈路,因此匯聚層交換機與接入層交換機比較,需要更高的性能,更少的接口和更高的交換速率。而將網絡主干部分稱為核心層,核心層的主要目的在于通過高速轉發通信,提供優化、可靠的骨干傳輸結構,因此核心層交換機應用有更高的可靠性、性能和吞吐量可以劃分虛擬局域網、屏蔽廣播、以及基本的訪問控制列表。

21、未來趨勢:網絡安全解決方案趨向于大數據、云安全解決方案,就是通過海量的用戶客戶端異常情況,獲取病毒數據,推送至云平臺,經過復雜解析和處理,把最終解決方案匯集到每個用戶終端。利用大數據,有效整合再分析,推送到廣大用戶客戶端,再經客戶端交叉、網狀大數據,反饋給云平臺。


版權所有:吉林省東紅科技有限公司 版權所有     技術支持:天鉅科技     備案編號:吉ICP備16003360號

国产成人亚洲精品无码电影