企业网络系统的安全策略.docVIP

企业网络系统的安全策略 The Strategies of the Network Security in a Corporation 张 坤1 段宝霞2 麦 影3 （1广州暨南大学信息与科学技术学院， 2、3 广州暨南大学管理学院 510632） 摘 要：本文针对企业目前面临的网络安全困境，提出一个网络安全模型，企业可以依据该模型为自己的网络制定安全策略，从而提高企业网络的安全性。文章还为企业的网络安全设计提出建议，最后给出了一个企业网络安全性设计的例子。 关键词：网络系统 网络安全 加密 防火墙 Abstract: A pattern of network security is given aiming at the network security problem puzzling a corporation. Depending on this pattern, the corporation can make out its strategies of the network security, thus strengthen the safety of the network. At last, in this paper, some suggestions and an example are given to the design of the network security of the corporation. Key words: network system, network security , encrypt , firewall 一．网络安全模型 企业网络安全性在网络界正受到越来越普遍的关注，一方面因为网络入侵事件经常发生，另一方面由于网络安全性技术的大量涌现。如何利用网络安全性技术保护企业网络系统的安全成为大家所关心的问题。首先我们来看一下网络的安全模型。 一般说来，如果网络系统能够满足以下规则或条件，则可以认为这个系统是安全的： 1．资源访问(包括逻辑和物理访问)前必须经过认证和授权(帐号或钥匙)。网络资源指网络基础设施设备，网络主机，网络中传输的数据。 2．只有访问这些资源的人员才能获得帐号或钥匙。用户不能以任何方式获得和其身份不符的帐号及权限。 3．合法用户接收的信息是完整的、正确的，即信息在传输或保存期间没有被篡改或者破坏。 4．以上规则被破坏的，或者违反以上规则所付出的代价要超过信息本身的价值。 5．系统能够拒绝非法的请求。 6．用户对资源的访问要受到监察记录。 满足前四个条件，可以认为这个系统的数据或信息是安全的，即保证非法用户不能够访问网络系统中的资源，包括不能读取更改网络设备、操作系统的配置和应用系统中的数据。第五个条件是保证系统免受DoS(Denial of Service)类型的攻击。只有完全满足前5个条件的系统才是真正安全的。事实上由于受系统所选择的产品和技术的限制，不可避免地存在某些缺陷，比如为防止用户窃取口令，系统对所有口令予以加密，由于算法的限制，理论上攻击者只要有足够的耐心和足够强的运算能力，最终是能够破解的；另外由于管理等方面的原因，也会导致帐号失窃等事件发生。所以一般来说，完全满足安全模型中前面四个条件是很困难的。第五个条件就是要保证如果系统的前面四个规则被破坏，系统管理员能够很快发现问题并知道问题发生的原因，从而有助于防范下一次攻击。 在进一步说明企业网络的安全解决方案之前，首先分析一下当前网络攻击类型和现有的一些安全性技术。 二．网络攻击类型 网络攻击大致可以分为这样几种类型： 由于管理员设置上的原因，让某些用户可以访问其不该访问的资源，即违反了上述安全模型的第二条。 由于网络产品本身设计上的缺陷，系统对用户访问某些资源没有作限制。 还有一些攻击不是利用管理或者系统的漏洞，而是由整个系统的安全性设计方面的问题，即由计算机网络安全性所导致。 前两种攻击一般是从管理和产品上予以防范，这类攻击也比较容易理解。第三种攻击的具体表现形式比较丰富，一般说来，计算机网络安全性的攻击类别有： 中断攻击(Interruption)，这种攻击是破坏系统的可用性。 窃听攻击(Interception)，获得机密数据或者信息，包括用户的帐号和机密文件。 修改数据攻击(Modification)，修改传输过程中的数据，破坏系统数据的完整性。 伪造数据攻击(Fabrication)，未经授权的用户向系统发送数据包破坏系统。 三．网络安全技术 在网络攻击类型中看到，攻击者的攻击对象有两类，一类传输中的网络数据；另一类是系统。针对系统的攻击又可以进一步分为两种：一种以获取或者更改系统的数据为目的，另一种是