品牌战略 网络安全全面防护技术.pdfVIP

网络安全全面防护技术 一、前言 随着网络经济和网络时代的发展，网络已经成为一个无处不有、无所不用的工具。经济、 文化、军事和社会活动将会强烈地依赖于网络。网络系统的安全性和可靠性成为世界各国共 同关注的焦点。而网络自身的一些特点，在为各国带来发展机遇的同时，也必将带来巨大的 风险。网络安全威胁主要存在于： 1. 网络的共享性:：资源共享是建立计算机网络的基本目的之一，但是这也为系统安全的攻 击者利用共享的资源进行破坏活动提供了机会。 2. 网络的开放性:：网上的任何用户很容易浏览到一个企业、单位，以及个人的敏感性信息。 受害用户甚至自己的敏感性信息已被人盗用却全然不知。 3. 系统的复杂性:：计算机网络系统的复杂性使得网络的安全管理更加困难。 4. 边界的不确定性:：网络的可扩展性同时也必然导致了网络边界的不确定性。网络资源共 享访问时的网络安全边界被破坏，导致对网络安全构成严重的威胁。 5. 路径的不确定性:：从用户宿主机到另一个宿主机可能存在多条路径。一份报文在从发送 节点达到目标节点之前可能要经过若干个中间节点。所以起点节点和目标节点的安全保密性 能并不能保证中间节点的不可靠性问题。 6. 信息的高度聚集性:：当信息分离的小块出现时，信息的价值往往不大。只有将大量相关 信息聚集在一起时，方可显示出其重要价值。网络中聚集了大量的信息，特别是Internet 中， 它们很容易遭到分析性攻击。 随着信息技术的发展与应用，信息安全的内涵在不断的延伸，从最初的信息保密性发展 到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、 测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。传统的 信息安全技术都集中在系统本身的加固和防护上，如采用安全级别高的操作系统与数据库， 在网络的出口处配置防火墙，在信息传输和存储方面采用加密技术，使用集中的身份认证产 品等。传统的信息系统安全模型是针对单机系统环境而制定的，对网络环境安全并不能很好 描述，并且对动态的安全威胁、系统的脆弱性没有应对措施，传统的安全模型是静态安全模 型。但随着网络的深入发展，它已无法完全反应动态变化的互联网安全问题。 二、网络与信息安全防范体系设计 2.1 网络与信息安全防范体系模型 网络与信息安全防范体系是一个动态的、基于时间变化的概念，为确保网络与信息系统 的抗攻击性能，保证信息的完整性、可用性、可控性和不可否认性，本安全体系提供这样一 种思路：结合不同的安全保护因素，例如防病毒软件、防火墙和安全漏洞检测工具，来创建 一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑 客攻击的成本和难度，从而大大减少了他们对网络系统的攻击。 图1： 网络与信息安全防范模型 网络与信息安全防范模型如图1 所示，它是一个可扩展的结构。 2.1.1 安全管理 一个成功的安全防范体系开始于一个全面的安全政策，它是所有安全技术和措施的基 础，也是整个体系的核心。 2.1.2 预警 是实施安全防范体系的依据，对整个网络安全防护性能给出科学、准确的分析评估，有 针对性的给出防范体系的建设方案才是可行的。 2.1.3 攻击防范 攻击防范是用于提高安全性能，抵抗入侵的主动防御手段，通过建立一种机制来检查、 再检查系统的安全设置，评估整个网络的风险和弱点，确保每层是相互配合而不是相互抵触 地工作，检测与政策相违背的情况，确保与整体安全政策保持一致。使用扫描工具及时发现 问题并进行修补，使用防火墙、VPN 、PKI 等技术和措施来提高网络抵抗黑客入侵的能力。 2.1.4 攻击检测 攻击检测是保证及时发现攻击行为，为及时响应提供可能的关键环节，使用基于网络和 基于主机的IDS ，并对检测系统实施隐蔽技术，以防止黑客发现防护手段进而破坏监测系统， 以及时发现攻击行为，为响应赢得时间。采用与防火墙互联互动、互动互防的技术手段，形 成一个整体策略，而不是单一的部分。设立安全监控中心，掌握整个网络的安全运行状态， 是防止入侵的关键环节。 2.1.5 应急响应 在发现入侵行为后，为及时切断入侵、抵抗攻击者的进一步破坏行动，作出及时准确的 响应是必须的。使用实时响应阻断系统、攻击源跟踪系统、取证系统和必要的反击系统来确 保响应的准确、有效和及时，预防同类事件的再发生并为捕获攻击者提供可能，为抵抗黑客 入侵提供有效的保障。 2.1.6 恢复 恢复是防范体系的又一个