51网络安全概述.docVIP

5.1 网络安全概述 ??? 1、网络安全的含义 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。 网络安全从其本质上来讲主要就是网络上的信息安全，即要保障网络上信息的保密性、完整性、可用性、可控性和真实性。 计算机网络的安全性主要包括网络服务的可用性（Availability）、网络信息的保密性（Confidentiaity）和网络信息的完整性（Integrity）。随着网络应用的深入，网上各种数据会急剧增加，各种各样的安全问题开始困扰网络管理人员。数据安全和设备安全是网络安全保护两个重要内容。 通常，对数据和设备构成安全威胁的因素很多，有的来自企业外部，有的来自企业内部；有的是人为的，有的是自然造成的；有的是恶意的，有的是无意的。其中来自外部和内部人员的恶意攻击和入侵是企业网面临的最大威胁，也是企业网安全策略的最需要解决的问题。 2、网络安全的层次划分 什么样的网络才是一个安全的网络？下面我们从五个方面简单阐述， 2.1 网络的安全性 网络的安全性问题核心在于网络是否得到控制，即是不是任何一个IP地址来源的用户都能够进入网络？如果将整个网络比作一栋办公大楼的话，对于网络层的安全考虑就如同大楼设置守门人一样。守门人会仔细察看每一位来访者，一旦发现危险的来访者，便会将其拒之门外。 通过网络通道对网络系统进行访问的时候，每一个用户都会拥有一个独立的IP地址，这一IP地址能够大致表明用户的来源所在地和来源系统。目标网站通过对来源IP进行分析，便能够初步判断这一IP的数据是否安全，是否会对本网络系统造成危害，以及来自这一IP的用户是否有权使用本网络的数据。一旦发现某些数据来自于不可信任的IP地址，系统便会自动将这些数据挡在系统之外。并且大多数系统能够自动记录曾经危害过的IP地址，使得它们的数据将无法第二次造成伤害。 用于解决网络层安全性问题的产品主要有防火墙产品和VPN（虚拟专用网）。防火墙的主要目的在于判断来源IP，将危险或者未经授权的IP数据拒之系统之外，而只让安全的IP通过。一般来说，公司的内部网络主要雨Internet相连，则应该再二者之间的配置防火墙产品，以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全问题，如果公司各部在地域上跨度较大，使用专网，专线过于昂贵，则可以考虑使用VPN。其目的在于保证公司内部的敏感关键数据能够安全的借助公共网络进行频繁的交换。 2.2 系统的安全性 在系统安全性问题中，主要考虑两个问题：一是病毒对于网络的威胁，二是黑客对于网络的破坏和侵入。 病毒的主要传播途径已由过去的软盘、光盘等储存介质变成了网络，多数病毒不仅能够直接感染给网络上的计算机，而且能将自身在网络上复制，同时，电子邮件，文件传输以及网络页面中的恶意Java 和 ActiveX控件，甚至文档文件都能够携带对网络和系统有破坏作用的病毒。这些病毒在网络上进行传播和破坏的多种途径和手段，使得网络环境中的防病毒工作变得更加复杂，网络防病毒工具必须能够针对网络中各个可能的病毒入口来进行防护。 对于网络黑客而言，他们的主要目的在于窃取数据和非法修改系统，其手段之一是窃取合法用户的口令，再合法身份的掩护下进行非法操作。手段之二是利用网络操作系统的某些合法但不为系统管理员和合法用户所熟知的操作指令，例如再Unix系统的默认安装过程中，会自动安装大多数系统指令。据统计，其中大约有300个指令是大多数合法用户根本不会使用的，但这些指令往往会被黑客所利用。 要弥补这些漏洞，我们就需要使用专用的系统风险评估工具，来帮助系统管理员找出哪些指令是不应该安装的，哪些指令是应该缩小其用户使用权限的。再完成了这些工作后，操作系统自身的安全性问题将在一定程度上得到保障。 2.3 用户的安全性 对于用户的安全性问题，所要考虑的问题是：是否只有那些真正被授权的用户才能够使用系统中的资源和数据呢。 首先要做的是对用户进行分组管理，并且这种分钟管理应该是针对安全性问题而考虑的分钟。也就是说，应该根据不同的安全级别将用户分为若干个等级，每一等级的用户只能访问与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证，其目的是确保用户的密码不会被他人所猜测到。 再大型的应用系统之中，有时会存在多重的登陆系统，用户如需进入最高层的应用，往往需要多次不同的输入不同的密码，如果管理不严多重密码的存在也会造成安全问题上的漏洞。所以在某些先进的登陆系统中，用户只需要输入一个密码，系统就能自动识别用户的安全级别，从而使用户进入不同的应该层次。这种单一登录体系要比多重登录体系能提供更高的系统安全性。 2.4 应用程序的安全性 在应用程序安全性这一层中，我们需要回答的问题是，是否只