互联网金融信息安全 网络访问控制技术 网络访问控制技术.pptxVIP

互联网金融信息安全项目四 安全保障机制分析4.4网络环境安全构建4.4.3网络访问控制技术网络访问控制技术1.物理隔离技术（1）物理隔离技术物理隔离技术是指内部网络不直接通过有线或无线等任何手段连接到公共网络，使得内部网络和外部公共网络在物理上处于隔离状态的一种物理安全技术。物理隔离技术实质就是一种将内外网络从物理上断开，但保持逻辑连接的信息安全技术。4.4.3网络访问控制技术网络访问控制技术（2）物理隔离的分类物理隔离从广义上分为网络隔离和数据隔离。网络隔离就是把被保护的网络从开放、无边界、自由的环境中独立出来，公网上的黑客和计算机病毒就无从下手，更谈不上入侵。数据隔离是指采用一切可能手段避免恶意软件侵入被保护的数据资源。4.4.3网络访问控制技术网络访问控制技术（3）物理隔离在安全上的要求在物理传导上使内外网阻隔，确保外部网络不能通过网络连接侵入内部网，同时防止内部网信息通过网络连接泄露到外部网。在物理辐射上隔离内部网络与外部网络，确保内部网络信息不会通过电磁辐射或耦合方式泄露到外部网络在物理存储上隔断两个网络环境，对于断电后会遗失信息的部件，要在网络转换时做清除处理，防止残留信息泄露；对于断电非遗失性设备如硬盘等存储设备，内部网络与外部网络要分开存储。4.4.3网络访问控制技术网络访问控制技术2.防火墙技术（1）概念防火墙最初的用途不是网络安全，而是控制实际的火灾。防火墙是建筑墙的种方法，以便当真正的火灾爆发时，火灾易于被控制在建筑物的一部分内，而不会蔓延到其他部分。现在很多建筑物中使用的消防卷帘门，类似于传统防火墙的作用。防火墙是控制介于网络不同安全区域间流量的一台设备或者一套系统，它能增强机构内部网络的安全性。4.4.3网络访问控制技术网络访问控制技术（2）分类根据防火墙的组成、实现技术和应用环境等方面的不同，我们可以对防火墙进行分类理解。根据防火墙组成组件的不同，可以将防火墙分为软件防火墙和硬件防火墙。根据防火墙技术的实现平台，防火墙可分为基于 Windows 平台的 Windows 防火墙和基于 Linux 平台的 Linux 防火墙等。4.4.3网络访问控制技术网络访问控制技术（2）分类根据防火墙被保护的对象的不同，防火墙可以分为主机防火墙和网络防火墙。根据防火墙功能或技术特点，防火墙又包括主机防火墙、病毒防火墙和智能防火墙等。防火墙体系结构和实现主要技术是防火墙最常用的分类依据。根据防火墙白身的体系结构，我们可以将防火墙分为以下种类:包过滤型防火墙、双宿网关:基于包过滤的防火墙、应用层代理、电路级网关、地址翻译防火墙和状态检查防火墙等。4.4.3网络访问控制技术网络访问控制技术3．网络通信安全技术如同人与人之间相互交流需要遵循一定的规矩样，计算机之间的相互通信也需要共同遵守一定的规则，这些规则就称为网络协议。网络通信安全技术主要基于 TCP/IP 协议不同层次的安全解决方案，用于增强 TCP/IP 网络通信的安全性。主要包括以下几种。4.4.3网络访问控制技术网络访问控制技术(1)链路层的安全机制主要是各种隧道协议，如 PPIP、L2F、 L2TP 等。(2)网络层的安全机制最主要的就是 IPsec 的两个协议 AH (鉴别首部)和 ESP (封装安全有效载荷)。(3)传输层的安全机制主要有 SSL (安全套接层)。(4)应用层的安全机制较多，主要有用于增强 HTTP 协议的 HTTPS 协议、用于邮件安全的SMME 协议和用于电子商务的安全电子交易 SET 协议。4.4.3网络访问控制技术网络访问控制技术这些协议提供以下几个方面的基本安全服务(1)身份认证:确认通信双方或多方的身份的合法性和有效性。(2)通信数据的保密性保护:确保不同协议层次传输的数据在通信链路中不回泄密。(3)通信数据的完整性保护:确保不同协议层次传输的数据在通信链路中不不被更改，同时也保证发送者不能对所发送的信息进行抵赖。以上协议弥补 TCP/IP 协议在安全性上的不足。4.4.3网络访问控制技术网络访问控制技术4.传输层安全技术传输层安全协议的目的是保护传输层的安全，并在传输层上提供实现保密、认证和完整性的方法。传输层安全技术包括 SSL、SSH 等。SSL (Secure Socket Layer, 安全套接层)是由 Netscape 设计的一种开放协议:它指定了一种在应用程序协议(如 HTTP、Telnet、NNTP、FTP)和 TCPIP 之间提供数据安全性分层的机制。4.4.3网络访问控制技术网络访问控制技术SSL 协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(如 HTTP、FIP、TELNET)能透明地建立于 SSL 协议之上。从实现的角度看，SSL 协议属于 Socket 层，处于应用层和传输层之间，由 SS