網络安全技术在企业中的应用.docVIP

PAGE \* MERGEFORMAT 16 网络安全技术在企业中的应用 姓 名：周 洁 单 位：余姚市技工学校 摘 要 随着INTERNET在中国的进一步发展，上网对于许多人已经成为生活中必不可少的一部分，新老网民们通过网络来查找资料、交流信息。对于企业而言，网络更是占有举足轻重的地位，电子商务已经有逐步取代传统企业经营方式的趋势。但网络在给我们极大便利的同时，也给我们另外一个棘手问题，就是“黑客”。 由于INTERNET的本身设计缺陷及其开放性，使其极易受到黑客的攻击。根据美国有关安全部门统计，因特网上98%的计算机受到过黑客的攻击分析，50%的机器被黑客成功入侵，而被入侵机器有20%的管理员尚未发现自己被入侵。网络的安全性已成为阻碍因特网在全球发展的重要因素之一。最近，大量病毒大肆横行，给世界许多国家造成巨大的损失。所以越来越多的人认识到网络安全的重要性。本文先是介绍了网络信息安全的涵义和黑客的一般攻击手段，然后通过一个具体的企业网实例详尽阐述了如何合理布置网络架构来进行有效的防护。 关键词：网络信息安全 网络安全架构 黑客 NETEYE VLAN TRUNK 1．网络信息安全的涵义 网络信息既有存储于网络节点上信息资源，即静态信息，又有传播于网络节点间的信息，即动态信息。而这些静态信息和动态信息中有些是开放的，如广告、公共信息等，有些是保密的，如:私人间的通信、政府及军事部门、商业机密等。网络信息安全一般是指网络信息的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真实性（Authenticity）。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等，即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。当前，运行于互联网上的协议（如TCP/IP）等，能够确保信息在数据包级别的完整性，即做到了传输过程中不丢信息包，不重复接收信息包，但却无法制止未授权第三方对信息包内部的修改。网络信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度，主要是指对信息所有者或发送者的身份的确认。前不久，美国计算机安全专家又提出了一种新的安全框架，包括：机密性 (Confidentiality)、完整性（Integrity）、可用性（Availability）、真实性（Authenticity）、实用性（Utility）、占有性（Possession）， 即在原来的基础上增加了实用性、占有性，认为这样才能解释各种网络安全问题：网络信息的实用性是指信息加密密钥不可丢失（不是泄密），丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用，导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性，提供物理和逻辑的存取限制方法；维护和检查有关盗窃文件的审记记录、使用标签等。 2．攻击网络安全性的类型 对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击. 2.1静态数据的攻击 对静态数据的攻击主要有： 1． 口令猜测：通过穷举方式搜索口令空间，逐一测试，得到口令，进而非法入侵系统。 2． IP地址欺骗：攻击者伪装成源自一台内部主机的一个外部地点传送信息包，这些信息包中包含有内部系统的源IP地址，冒名他人，窃取信息。 3． 指定路由：发送方指定一信息包到达目的站点的路由，而这条路由是经过精心设计的、绕过设有安全控制的路由。 2.2动态信息的攻击 根据对动态信息的攻击形式不同，可以将攻击分为主动攻击和被动攻击两种。 2.2.1被动攻击 被动攻击主要是指攻击者监听网络上传递的信息流，从而获取信息的内容（interception），或仅仅希望得到信息流的长度、传输频率等数据，称为流量分析（traffic analysis）。被动攻击和窃听示意图如图1、图2所示： 2.2.2主动攻击 除了被动攻击的方式外，攻击者还可以采用主动攻击的方式。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的。主动攻击可以归纳为中断、篡改、伪造三种（见图3）。中断是指阻断由发送方到接收方的信息流，使接收方无法得到该信息，这是针对信息可用性的攻击（如图4）。篡改是指攻击者修改、破坏由发送方到接收方的信息流，使接收方得到错误的信息，从而破坏信息的完整性（如图5）。伪造是针对信息的真实性的攻击，攻击者或者是首先记录一段发送方与接收方之间的信息流，然后在适当时间向接收方或发送方重放（playback