企业网络与信息资源层,简化网络的安全管理。因此,也使得网络很容易遭受到攻击,黑客只要接人以太网上的任一节点进行侦听,任何两个节点之间的通信数据包、用户节点的MAC地址等,从而窃取关键信息,从而达到限制用户非法访问的目的,企业网同时又面临自身所特有的安全问题,常见的企业网安全技术有如下一些、虚拟专用网。 企业网络安全是系统结构本身的安全。随着信息技术的高速发展。防火墙通常位于企业网络的边缘,这使得内部网络与Internet之间或者与其他外部网络互相隔离。网络的开放性和共享性在方便了人们使用的同时。设置防火墙的目的都是为了在内部网与外部网之间设立唯一的通道。
入侵检测技术 入侵检测方法较多。企业网安全保障体系分为4个层次、防止广播风暴,因此防火墙在网络安全的实现当中扮演着重要的角色,对安全性要求高的VLAN端口实施MAC帧过滤,它依用户的逻辑设定将原来物理上互连的一个局域网划分为多个虚拟子网、访问控制等各种网络安全技术的蓬勃发展,来源于Internet,也无法得到整个网络的信息,即使黑客攻破某一虚拟子网,还可利用MAC层的数据包过滤技术、安全服务层、企业用户层,因此。
硬件防火墙技术 任何企业安全策略的一个主要部分都是实现和维护防火墙。网络分段就是将非法用户与网络资源相互隔离,由此推动了防火墙、人侵检测。
VLAN(虚拟局域网)技术 选择VLAN技术可较好地从链路层实施网络安全保障、服务器不能提供服务等等。
网络分段 企业网大多采用以广播为基础的以太网。VLAN指通过交换设备在网络的物理拓扑结构基础上建立一个逻辑网络,可以被处在同一以太网上的任何一个节点的网卡所截取,对其进行解包分析,并限制网络互访从而保护企业内部网络。而且,也把固有的安全问题带给了企业网,Internet给企业网带来成熟的应用技术的同时,诸如数据被人窃取,计算机信息和资源很容易遭到各方面的攻击,从高到低分别是企业安全策略层。该技术能有效地控制网络流量、基于神经网络的入侵检测方法等,就可以捕获发生在这个以太网上的所有数据包;另一方面,所以必须利用结构化的观点和方法来看待企业网安全系统,网络安全技术也越来越受到重视,因为是企业内部的网络。一方面,而攻击的后果是严重的,划分的依据可以是设备所连端口,来源于企业内部,如基于专家系统入侵检测方法。目前一些入侵检测系统在应用层入侵检测中已有实现,主要针对企业内部的人员和企业内部的信息资源。按这些层次建立一套多层次的安全技术防范系统在当今网络化的世界中
通通领航服务器设置经验总结一 取消匿名访问功能
默认情况下,Windows 2003系统的FTP服务器是允许匿名访问的,虽然匿名访问为用户上传、下载文件提供方便,但却存在极大的安全隐患。用户不需要申请合法的账号,就能访问FTP服务器,甚至还可以上传、下载文件,特别对于一些存储重要资料的FTP服务器,很容易出现泄密的情况,因此建议用户取消匿名访问功能。
在Windows 2003系统中,点击“开始→程序→管理工具→Internet服务管理器”,d出管理控制台窗口。然后展开窗口左侧的本地计算机选项,就能看到IIS50自带的FTP服务器,下面通通网络以默认FTP站点为例,介绍如何取消匿名访问功能。
右键点击“默认FTP站点”项,在右键菜单中选择“属性”,接着d出默认FTP站点属性对话框,切换到“安全账号”标签页,取消“允许匿名连接”前的勾选,最后点击“确定”按钮,这样用户就不能使用匿名账号访问FTP服务器了,必须拥有合法账号才行。
二 启用日志记录
Windows日志记录着系统运行的一切信息,但很多管理员对日志记录功能不够重视,为了节省服务器资源,禁用了FTP服务器日志记录功能,这是万万要不得的。FTP服务器日志记录着所有用户的访问信息,如访问时间、客户机IP地址、使用的登录账号等,这些信息对于FTP服务器的稳定运行具有很重要的意义,一旦服务器出现问题,就可以查看FTP日志,找到故障所在,及时排除。因此一定要启用FTP日志记录。
在默认FTP站点属性对话框中,切换到“FTP站点”标签页,一定要确保“启用日志记录”选项被选中,这样就可以在“事件查看器”中查看FTP日志记录了。
当然,通通网络现在说的只是最基本最简单的安全设置,并不能完全的防范病毒木马以及黑客入侵,如果要加强服务器的安全性,还要更进一步的对服务器进行设置。
网站要依靠计算机服务器来运行整个体系,计算机服务器的安全程度直接关系着网站的稳定程度,加强计算机服务器的安全等级,避免网站信息遭恶意泄露。
一、基于帐户的安全策略
1、帐户改名
Administrator和guest是Windows系统默认的系统帐户,正因如此它们是最可能被利用,攻击者通过破解密码而登录计算机服务器。可以通过为其改名进行防范。
2、密码策略
密码策略作用于域帐户或本地帐户,其中就包含以下几个方面:强制密码历史,密码最长使用期限,密码最短使用期限,密码长度最小值,密码必须符合复杂性要求,用可还原的`加密来存储密码。
对于本地计算机的用户帐户,其密码策略设置是在“本地安全设置”管理工个中进行的。
3、帐户锁定
当计算机服务器帐户密码不够安全时,非法用户很容易通过多次重试“猜”出用户密码而登录系统,存在很大的安全风险。那如何来防止黑客猜解或者爆破计算机服务器密码呢
其实,要避免这一情况,通过组策略设置帐户锁定策略即可完美解决。此时当某一用户尝试登录系统输入错误密码的次数达到一定阈值即自动将该帐户锁定,在帐户锁定期满之前,该用户将不可使用,除非管理员手动解除锁定。
二、安全登录系统
1、远程桌面
远程桌面是比较常用的远程登录方式,但是开启“远程桌面”就好像系统打开了一扇门,合法用户可以进来,恶意用户也可以进来,所以要做好安全措施。
(1)用户限制
点击“远程桌面”下方的“选择用户”按钮,然后在“远程桌面用户” 窗口中点击“添加”按钮输入允许的用户,或者通过“高级→立即查找”添加用户。由于远程登录有一定的安全风险,管理员一定要严格控制可登录的帐户。
(2)更改端口
远程桌面默认的连接端口是3389,攻击者就可以通过该端口进行连接尝试。因此,安全期间要修改该端口,原则是端口号一般是1024以后的端口,而且不容易被猜到。
2、telnet连接
telnet是命令行下的远程登录工具,因为是系统集成并且 *** 作简单,所以在计算机服务器管理占有一席之地。因为它在网络上用明文传送口令和数据,别有用心的人非常容易就可以截获这些口令和数据。而且,这些服务程序的安全验证方式也是有其弱点的,就是很容易受到“中间人”(man-in-the-middle)这种方式的攻击。,并且其默认的端口是23这是大家都知道的。因此我们需要加强telnet的安全性。
3、第三方软件
可用来远程控制的第三方工具软件非常多,这些软件一般都包括客户端和计算机服务器端两部分,需要分别在两边都部署好,才能实现远控控制。一般情况下,这些软件被安全软件定义为木马或者后门,从而进行查杀。安全期间建议大家不要使用此类软件,因为使用此类工具需要对安全软件进行设置(排除、端口允许等),另外,这类软件也有可能被人植入木马或者留有后门,大家在使用时一定要慎重。
第一步:确定安全策略首先弄清楚所要保护的对象。公司是否在运行着文件服务器、邮件服务器、数据库服务器办公系统有多少客户端、业务网段有多少客户端、公司的核心数据有多少,存储在哪里目前亚洲地区仍有相当多的公司,手工将关键数据存储在工作簿或账簿上。
1Internet的安全性:目前互联网应用越来越广泛,黑客与病毒无孔不入,这极大地影响了Internet的可靠性和安全性,保护Internet、加强网络安全建设已经迫在眉捷。
2 企业内网的安全性:企业内部的网络安全同样需要重视,存在的安全隐患主要有未授权的访问、破坏数据完整性、拒绝服务攻击、计算机病毒传播、缺乏完整的安全策略、缺乏监控和防范技术手段、缺乏有效的手段来评估网络系统和 *** 作系统的安全性、缺乏自动化的集中数据备份及灾难恢复措施等。
第二步:弄清自身需求要搞清楚,每年预算多少经费用于支付安全策略可以购买什么是一个入门级常用的防火墙还是一个拥有多种特性的综合网关UTM产品企业局域网客户端的安全需求是什么有多少台严格涉密的机器
此外,很重要的一步便是在功能性和安全性方面做出选择。贵公司网络必须提供的服务有哪些:邮件、网页还是数据库该网络真的需要即时消息么某些情况下,贵公司拥有什么并不重要,重要的是怎么利用它。相对于将整个预算花在一个“花架子”似的防火墙上,实现多层防御是一个很不错的策略。尽管如此,我们还是有必要去查看一下整个网络,并弄清楚如何划分才会最佳。
1基本安全需求
保护企业网络中设备的正常运行,维护主要业务系统的安全,是企业网络的基本安全需求。针对企业网络的运行环境,主要包括:网络正常运行、网络管理、网络部署、数据库及其他服务器资料不被窃取、保护用户账号口令等个人资料不被泄露、对用户账号和口令进行集中管理、对授权的个人限制访问功能、分配个人 *** 作等级、进行用户身份认证、服务器、PC机和Internet/Intranet网关的防病毒保证、提供灵活高效且安全的内外通信服务、保证拨号用户的上网安全等。
2关键业务系统的安全需求
关键业务系统是企业网络应用的核心。关键业务系统应该具有最高的网络安全措施,其安全需求主要包括:访问控制,确保业务系统不被非法访问;数据安全,保证数据库软硬系统的整体安全性和可靠性,保证数据不被来自网络内部其他子系统(子网段)的破坏;安全预警,对于试图破坏关键业务系统的恶意行为能够及时发现、记录和跟踪,提供非法攻击的犯罪证据;系统服务器、客户机以及电子邮件系统的综合防病毒措施等。
第三步:制定解决方案1 网络边缘防护
防毒墙可以根据用户的不同需要,具备针对>
2 内部网络行为监控和规范
网络安全预警系统可对>
3 计算机病毒的监控和清除
网络杀毒软件是一个专门针对网络病毒传播特点开发的网络防病毒软件,可以实现防病毒体系的统一、集中管理,实时掌握了解当前网络内计算机病毒事件,并实现对网络内的所有计算机远程反病毒策略设置和安全 *** 作。
4 用控制台和Web方式管理
通过这两种方式管理员可以灵活、简便地根据自身实际情况设置、修改安全策略,及时掌握了解网络当前的运行基本信息。
5 可进行日志分析和报表统计
这些日志记录包括事件名称、描述和相应的主机IP地址等相关信息。此外,报表系统可以自动生成各种形式的攻击统计报表,形式包括日报表、月报表、年报表等,通过来源分析、目标分析、类别分析等多种分析方式,以直观、清晰的方式从总体上分析网络上发生的各种事件,有助于管理人员提高网络的安全管理。
6 功能模块化组合
企业可以根据自身企业的实际情况选择不同的产品构建不同安全级别的网络,产品选择组合方便、灵活,既有独立性又有整体性。
1、服务器初始安全防护安装服务器时,要选择绿色安全版的防护软件,以防有被入侵的可能性。对网站提供服务的服务器,软件防火墙的安全设置最高,防火墙只要开放服务器端口,其他的一律都关闭,你要访问网站时防火墙会提示您是否允许访问,在根据实际情况添加允许访问列表。这样至少给系统多一份安全。
2、修改服务器远程端口。
因为有不少不法分子经常扫描公网IP端口,如果使用默认的3389或者Linux的22端口,相对来说是不安全的,建议修改掉默认远程端口。
3、设置复杂密码。
一但服务器IP被扫描出来默认端口,非法分子就会对服务器进行暴力破解,利用第三方字典生成的密码来尝试破解服务器密码,如果您的密码足够复杂,非法分子就需要大量的时间来进行密码尝试,也许在密码未破解完成,服务器就已经进入保护模式,不允许登陆。
4、修补已知的漏洞
如果网站出现漏洞时不及时处理,网站就会出现一系列的安全隐患,这使得服务器很容易受到病毒入侵,导致网络瘫痪,所以,平时要养成良好的习惯,时刻关注是否有新的需修补的漏洞。
5、多服务器保护
一个网站可以有多个服务器,网站被攻击时,那么我们就可以选择不一样的方式进行防范,针对不同的服务器,我们应该设置不同的管理,这样即使一个服务器被攻陷,其他的服务还可以正常使用。
6、防火墙技术
现在防火墙发展已经很成熟了,防火墙可以选择安全性检验强的,检验的时间会较长,运行的过程会有很大负担。如果选择防护性低的,那么检验时间会比较短。我们在选择防护墙时,要根据网络服务器自身的特点选择合适的防火墙技术。
7、定时为数据进行备份。
定时为数据做好备份,即使服务器被破解,数据被破坏,或者系统出现故障崩溃,你只需要进行重装系统,还原数据即可,不用担心数据彻底丢失或损坏。
做好网站服务器的安全维护是一项非常重要的工作,只有做好了服务器安全工作,才能保证网站可以稳定运营。要想做好网站服务器安全维护,还要学习更多的维护技巧。安全策略是指在某个安全区域内(通常是指属于某个组织的一系列处理和通信资源),用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一个安全权力机构建立的,并由安全控制机构来描述、实施或实现的。安全策略通常建立在授权的基础之上,未经适当授权的实体,信息资源不可以给予、不允许访问、不得使用。安全策略基于身份、规则、角色进行分类。
机房组建应按计算机运行特点及设备具体要求确定。机房一般宜由主机房区、基本工作区、辅助机房区等功能区域组成。
主机房区包括服务器机房区、网络通信区、前置机房区和介质库等。
基本工作区包括缓冲区、监控区和软件测试区等。
辅助机房区包括配电区、配线区、UPS 区、消防气瓶间和精密空调区等。
设备标识和鉴别:应对机房中设备的具体位置进行标识,以方便查找和明确责任。机房内关键设备部件应在其上设置标签,以防止随意更换或取走。
设备可靠性:应将主要设备放置在机房内,将设备或主要部件进行固定,并设置明显的不易除去的标记。应对关键的设备关键部件冗余配置,例如电源、主控板、网络接口等。
防静电:机房内设备上线前必须进行正常的接地、放电等 *** 作,对来自静电放电的电磁干扰应有一定的抗扰度能力。机房的活动地板应有稳定的抗静电性能和承载能力,同时耐油、耐腐蚀、柔光、不起尘等。
电磁骚扰:机房内应对设备和部件产生的电磁辐射骚扰、电磁传导骚扰进行防护。
电磁抗扰:机房内设备对来自电磁辐射的电磁干扰和电源端口的感应传导的电磁干扰应有一定的抗扰度。
浪涌抗扰:机房内设备应对来自电源端口的浪涌(冲击)的电磁干扰应有一定的抗扰度。
电源适应能力:机房供电线路上设置稳压器和过电压防护设备。对于直流供电的系统设备,应能在直流电压标称值变化10%的条件下正常工作。
泄漏电流:机房内设备工作时对保护接地端的泄漏电流值不应超过5mA。
电源线:机房内设备应设置交流电源地线,应使用三芯电源线,其中地线应于设备的保护接地端连接牢固。
线缆:机房通信线缆应铺设在隐蔽处,可铺设在地下或管道中。
绝缘电阻:机房内设备的电源插头或电源引入端与设备外壳裸露金属部件之间的绝缘电阻应不小于5MΩ。
场地选择:机房场地选择应避开火灾危险程度高的区域,还应避开有害气体来源以及存放腐蚀、易燃、易爆物品的地方。机房场地应避开强振动源、强噪声源和强电场干扰的地方。机房不应该选择在楼层的最高层或者最低层地方。
防火:机房应设置火灾自动报警系统,包括火灾自动探测器、区域报警器、集中报警器和控制器等,能对火灾发生的部位以声、光或电的形式发出报警信号,并启动自动灭火设备,切断电源、关闭空调设备等。机房采取区域隔离防火措施,布局要将脆弱区和危险区进行隔离,防止外部火灾进入机房,特别是重要设备地区,安装防火门、使用阻燃材料装修。机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料。
电磁辐射防护:电源线和通信线缆应隔离铺设,避免互相干扰。应对关键设备和磁介质实施电磁屏蔽。通信线采取屏蔽措施,防止外部电磁场对机房内计算机及设备的干扰,同时也抑制电磁信息的泄漏。应采用屏蔽效能良好屏蔽电缆作为机房的引入线。机房的信号电缆线(输入/输出)端口和电源线的进、出端口应适当加装滤波器。电缆连接处应采取屏蔽措施,抑制电磁噪声干扰与电磁信息泄漏。
供电系统:应设置冗余或并行的电力电缆线路为计算机系统供电。应建立备用供电系统。机房供电电源设备的容量应具有一定的余量。机房供电系统应将信息系统设备供电线路与其它供电线路分开,应配备应急照明装置。机房应配置电源保护装置,加装浪涌保护器。机房电源系统的所有接点均应镀锡处理,并且冷压连接。
静电防护:主机房内绝缘体的静电电位不应大于1kV。主机房内的导体应与大地作可靠的连接,不应有对地绝缘的孤立导体。
防雷电:机房系统中所有的设备和部件应安装在有防雷保护的范围内。不得在建筑物屋顶上敷设电源或信号线路。必须敷设时,应穿金属管进行屏蔽防护,金属管应进行等电位连接。机房系统电源及系统输入/输出信号线,应分不同层次,采用多级雷电防护措施。
机房接地:对直流工作接地有特殊要求需单独设置接地装置的系统,接地电阻值及其它接地体之间的距离,应按照机房系统及有关规范的要求确定。
温湿度控制:机房应有较完备的空调系统,保证机房温度的变化在计算机设备运行所允许的范围。当机房采用专用空调设备并与其它系统共享时,应保证空调效果和采取防火措施。机房空气调节控制装置应满足计算机系统对温度、湿度以及防尘的要求。空调系统应支持网络监控管理,通过统一监控,反映系统工作状况。
机房防水:机房水管安装不得穿过屋顶和活动地板,穿过墙壁和楼板的水管应使用套管,并采取可靠的密封措施。机房应有有效的防止给水、排水、雨水通过屋顶和墙壁漫溢和渗漏的措施,应采取措施防止机房内水蒸气结露和地下积水的转移与渗透。机房应安装漏水检测系统,并有报警装置。
入网访问控制是网络访问的第1层安全机制。它控制哪些用户能够登录到服务器并获准使用网络资源,控制准许用户入网的时间和位置。用户的入网访问控制通常分为三步执行:用户名的识别与验证;用户口令的识别与验证;用户账户的默认权限检查。三道控制关卡中只要任何一关未过,该用户便不能进入网络。
对网络用户的用户名和口令进行验证是防止非法访问的第一道关卡。用户登录时首先输入用户名和口令,服务器将验证所输入的用户名是否合法。用户的口令是用户入网的关键所在。口令最好是数字、字母和其他字符的组合,长度应不少于6个字符,必须经过加密。口令加密的方法很多,最常见的方法有基于单向函数的口令加密、基于测试模式的口令加密、基于公钥加密方案的口令加密、基于平方剩余的口令加密、基于多项式共享的口令加密、基于数字签名方案的口令加密等。经过各种方法加密的口令,即使是网络管理员也不能够得到。系统还可采用一次性用户口令,或使用如智能卡等便携式验证设施来验证用户的身份。
网络管理员应该可对用户账户的使用、用户访问网络的时间和方式进行控制和限制。用户名或用户账户是所有计算机系统中最基本的安全形式。用户账户应只有网络管理员才能建立。用户口令是用户访问网络所必须提交的准入证。用户应该可以修改自己的口令,网络管理员对口令的控制功能包括限制口令的最小长度、强制用户修改口令的时间间隔、口令的惟一性、口令过期失效后允许入网的宽限次数。针对用户登录时多次输入口令不正确的情况,系统应按照非法用户入侵对待并给出报警信息,同时应该能够对允许用户输入口令的次数给予限制。
用户名和口令通过验证之后,系统需要进一步对用户账户的默认权限进行检查。网络应能控制用户登录入网的位置、限制用户登录入网的时间、限制用户入网的主机数量。当交费网络的用户登录时,如果系统发现“资费”用尽,还应能对用户的 *** 作进行限制。
*** 作权限控制是针对可能出现的网络非法 *** 作而采取安全保护措施。用户和用户组被赋予一定的 *** 作权限。网络管理员能够通过设置,指定用户和用户组可以访问网络中的哪些服务器和计算机,可以在服务器或计算机上 *** 控哪些程序,访问哪些目录、子目录、文件和其他资源。网络管理员还应该可以根据访问权限将用户分为特殊用户、普通用户和审计用户,可以设定用户对可以访问的文件、目录、设备能够执行何种 *** 作。特殊用户是指包括网络管理员的对网络、系统和应用软件服务有特权 *** 作许可的用户;普通用户是指那些由网络管理员根据实际需要为其分配 *** 作权限的用户;审计用户负责网络的安全控制与资源使用情况的审计。系统通常将 *** 作权限控制策略,通过访问控制表来描述用户对网络资源的 *** 作权限。
访问控制策略应该允许网络管理员控制用户对目录、文件、设备的 *** 作。目录安全允许用户在目录一级的 *** 作对目录中的所有文件和子目录都有效。用户还可进一步自行设置对目录下的子控制目录和文件的权限。对目录和文件的常规 *** 作有:读取(Read)、写入(Write)、创建(Create)、删除(Delete)、修改(Modify)等。网络管理员应当为用户设置适当的 *** 作权限, *** 作权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对网络资源的访问。
访问控制策略还应该允许网络管理员在系统一级对文件、目录等指定访问属性。属性安全控制策略允许将设定的访问属性与网络服务器的文件、目录和网络设备联系起来。属性安全策略在 *** 作权限安全策略的基础上,提供更进一步的网络安全保障。网络上的资源都应预先标出一组安全属性,用户对网络资源的 *** 作权限对应一张访问控制表,属性安全控制级别高于用户 *** 作权限设置级别。属性设置经常控制的权限包括:向文件或目录写入、文件复制、目录或文件删除、查看目录或文件、执行文件、隐含文件、共享文件或目录等。允许网络管理员在系统一级控制文件或目录等的访问属性,可以保护网络系统中重要的目录和文件,维持系统对普通用户的控制权,防止用户对目录和文件的误删除等 *** 作。
网络系统允许在服务器控制台上执行一系列 *** 作。用户通过控制台可以加载和卸载系统模块,可以安装和删除软件。网络服务器的安全控制包括可以设置口令锁定服务器控制台,以防止非法用户修改系统、删除重要信息或破坏数据。系统应该提供服务器登录限制、非法访问者检测等功能。
网络管理员应能够对网络实施监控。网络服务器应对用户访问网络资源的情况进行记录。对于非法的网络访问,服务器应以图形、文字或声音等形式报警,引起网络管理员的注意。对于不法分子试图进入网络的活动,网络服务器应能够自动记录这种活动的次数,当次数达到设定数值,该用户账户将被自动锁定。
防火墙是一种保护计算机网络安全的技术性措施,是用来阻止网络黑客进入企业内部网的屏障。防火墙分为专门设备构成的硬件防火墙和运行在服务器或计算机上的软件防火墙。无论哪一种,防火墙通常都安置在网络边界上,通过网络通信监控系统隔离内部网络和外部网络,以阻档来自外部网络的入侵。
域间安全策略用于控制域间流量的转发(此时称为转发策略),适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny)或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访(此时称为本地策略),按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny),允许或拒绝与设备本身的互访。
缺省情况下域内数据流动不受限制,如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,然后对流量进行安全检查。例如:市场部和财务部都属于内网所在的安全区域Trust,可以正常互访。但是财务部是企业重要数据所在的部门,需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。
当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量并执行相应动作(permit/deny)。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧,可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作(permit/deny)。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度更快。
信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。用户可根据网络情况酌情选择上述加密方式。
信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。
在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer; 欧洲的IDEA;日本的FEAL-N、LOKI-91、Skipjack、RC4、RC5以及以代换密码和转轮密码为代表的古典密码等。在众多的常规密码中影响最大的是DES密码。
常规密码的优点是有很强的保密强度,且经受住时间的检验和攻击,但其密钥必须通过安全的途径传送。因此,其密钥管理成为系统安全的重要因素。
在公钥密码中,收信方和发信方使用的密钥互不相同,而且几乎不可能从加密密钥推导出解密密钥。比较著名的公钥密码算法有:RSA、背包密码、McEliece密码、Diffe-Hellman、Rabin、Ong-Fiat-Shamir、零知识证明的算法、椭园曲线、EIGamal算法等等。最有影响的公钥密码算法是RSA,它能抵抗到目前为止已知的所有密码攻击。
公钥密码的优点是可以适应网络的开放性要求,且密钥管理问题也较为简单,尤其可方便的实现数字签名和验证。但其算法复杂。加密数据的速率较低。尽管如此,随着现代电子技术和密码技术的发展,公钥密码算法将是一种很有前途的网络安全加密体制。
当然在实际应用中人们通常将常规密码和公钥密码结合在一起使用,比如:利用DES或者IDEA来加密信息,而采用RSA来传递会话密钥。如果按照每次加密所处理的比特来分类,可以将加密算法分为序列密码和分组密码。前者每次只加密一个比特而后者则先将信息序列分组,每次处理一个组。
密码技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。
应制定相应的机房管理制度,规范机房与各种设备的使用和管理,保障机房安全及设备的正常运行,至少包括日常管理、出入管理、设备管理、巡检(环境、设备状态、指示灯等进行检查并记录)等。重要区域应配置电子门禁系统,控制、鉴别和记录进入的人员。对机房内的各种介质应进行分类标识,重要介质存储在介质库或档案室中。
加强网络的安全管理,制定有关规章制度,对于确保系统的安全、可靠地运行,将起到十分有效的作用。网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络 *** 作使用规程和访问主机的管理制度;制订网络系统的维护制度和应急措施等。
欢迎分享,转载请注明来源:内存溢出
评论列表(0条)