《IT网络安全保护远程访问的安全》.docVIP

目 录 前言 III 引言 IV 1 范围 1 2 术语、定义及其缩略语 1 3 目的 5 4 概要 5 5 安全需求 7 6 远程访问的连接类型 7 7 远程访问连接技术 8 7.1 概要 8 7.2 访问通信服务器 8 7.2.1 一般通信保障 8 7.2.2 电子邮件的保护 9 7.2.3 FTP连接的保护 11 7.3 局域网资源访问 11 7.4 访问维护 12 8 选择和配置指南 13 8.1 概述 13 8.2 RAS客户端的保护 13 8.2.1 固定的RAS客户端 13 8.2.2 所有的RAS客户端 13 8.3 RAS服务器的保护 14 8.3.1 物理和逻辑连接 14 8.3.2 RAS服务器和调制解调器 14 8.3.3 网络访问服务器 15 8.3.4 无线访问点 15 8.4 保护连接 15 8.4.1 概述 15 8.4.2 建立连接 15 8.4.3 通信加密 16 8.5 无线安全性 16 8.6 组织方法 17 8.7 合法注意事项 17 9 总结 17 附录A 远程访问安全策略范例 18 附录B RADIUS实施的和部署最佳实践 20 附录C FTP的两种格式 22 附录D 安全邮件服务器列表 23 附录E 安全web服务器列表 29 附录F 无线局域网安全检查列表 36 参考文献 37 前 言 ISO(国际标准化组织)和IEC(国际电工委员会)为了全球标准化组成了专门的系统。国家机构中有ISO和IECISO和IECISO和IEC有联系的政府的或非政府的国际组织，也参与了这项工作。在信息技术领域，ISO和IEC国际标准化组织/国际电工技术委员会约旦电信公司1ISO/IEC JTC 1)。 国际标准的起草要与ISO/IEC指示第二部分的规则保持一致。 联合技术委员会的主要任务是制定国际标准。联合技术委员会采用的国际标准草案，75%以上的赞成票。 需要注意的是：文档内容的某些地方可能是专利权的内容，但是ISO和IECISO/IEC 18028-4（保护远程访问的安全）是由联合技术委员会ISO/IEC JTC 1、信息技术、小组委员会SC 27、IT安全技术制定的。 根据通常的标题：信息技术—安全技术—IT网络安全，ISO/IEC 18028（信息技术 安全技术 IT网络安）包括以下几个部分： ----第二部分：网络安全架构 ----第三部分：使用安全网关保护网络间通信安全 ----第四部分：保护远程访问的安全 网络安全管理和使用虚拟私有网技术保证网络间的安全通信，将在后续的第1章和第5章形成各自的主题。 引 言 信息技术方面，在组织内部或者组织之间使用网络的需求日益增加，必须满足安全使用网络的需求。 当需要适当的IT网络安全时，远程访问到网络的范围需要特定的措施，ISO/IEC 18028（信息技术 安全技术 IT网络安全ISO/IEC 18028（信息技术 安全技术 IT网络安全Access Point AP 提供从无线网络到固定网络访问的系统。 2.2 高级加密标准 Advanced Encryption Standard AES 一种对称加密机制，它提供可变的密钥长度并具有更高的实现效率。因此其被指定为美国联邦信息处理标准(FIPS)197。 2.3 鉴别 authentication 对实体所声称的身份提供的保障措施。在对用户进行鉴别的情况下，通过所知的（例如口令）、所拥有的（例如权标）或通过个人特征（生物特征）对用户进行辨识。强鉴别或是基于强机制鉴别（例如生物统计特征）的，或是利用所谓“多因子鉴别”中的至少两种因子的鉴别。 2.4 回调 call-back 一种在收到有效ID 参数后将调用放置在预定义或建议位置（和地址）的机制。 2.5 询问-握手鉴别协议 Challenge-Handshake Authentication Protocol CHAP 一种在 RFC1994 中定义的三次鉴别协议。 2.6 数据加密标准 Data Encryption Standard DES 一种众所周知的对称加密机制，它使用56位密钥。因其密钥长度短，已被AES取代，但是多重加密模式，如3DES或三重DES（FIPS 46-3），仍然使用DES。 2.7 非军事区 de-militarised zone DMZ 一个独立的本地或站点网络，其访问由使用防火墙的特定策略控制。非军事区不属于内部网络而且认为其安全较低。 2.8 拒绝服务 Denial of Service DoS 一种使系统失去可用性的攻击。 2.9 数字订户线 Digital Subscriber Line DSL 在本地电信回路上，一种对各网络提供快速访问的技术。 2.10 动态主机控