网路安全是指网路系统的硬体、软体及其系统中的数据受到保护,不因偶然或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网路服务不中断。
基本介绍
- 中文名:网路安全
- 外文名:Network security products
- 对象:网路系统的硬体、软体
- 特点:系统连续可靠正常地运行
- 方法:保证信息处理和传输系统的安全
类型
运行系统安全,即保证信息处理和传输系统的安全。它侧重于保证系统正常运行,避免因为系统的崩溃和损坏而对系统存贮、处理和传输的信息造成破坏和损失,避免由于电磁泄漏,产生信息泄露,干扰他人,受他人干扰。
网路上系统信息的安全。包括用户口令鉴别,用户存取许可权控制,数据存取许可权,方式控制,安全审计,安全问题跟蹤,计算机病毒防治,数据加密。
网路上信息传播安全,即信息传播后果的安全。包括信息过滤等。它侧重于防止和控制非法、有害的信息进行传播后的后果。避免公用网路上大量自由传输的信息失控。
网路上信息内容的安全。它侧重于保护信息的保密性、真实性和完整性。避免攻击者利用系统的安全漏洞进行窃听、冒充、诈欺等有损于合法用户的行为。本质上是保护用户的利益和隐私。
特徵
网路安全应具有以下四个方面的特徵:
保密性:信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网路环境下拒绝服务、破坏网路和有关係统的正常运行等都属于对可用性的攻击;
可控性:对信息的传播及内容具有控制能力。
分类
1、物理安全
针对重要信息可能通过电磁辐射或线路干扰等泄漏。需要对存放绝密信息的机房进行必要的设计,如构建禁止室。採用辐射干扰机,防止电磁辐射泄漏机密信息。对存有重要资料库且有实时性服务要求的伺服器必须採用UPS不间断稳压电源,且资料库伺服器採用双机热备份,数据迁移等方式保证资料库伺服器实时对外部用户提供服务并且能快速恢复。
2、系统安全
对于作业系统的安全防範可以採取如下策略:儘量採用安全性较高的网路作业系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的套用、对一些关键档案(如UNIX下:/.rhost、etc/host、passwd、shadow、group等)使用许可权进行严格限制、加强口令字的使用、及时给系统打补丁、系统内部的相互调用不对外公开。
套用系统安全上,主要考虑身份鉴别和审计跟蹤记录。这必须加强登录过程的身份认证,通过设定複杂些的口令,确保用户使用的合法性;其次应该严格限制登录者的操作许可权,将其完成的操作限制在最小的範围内。充分利用作业系统和套用系统本身的日誌功能,对用户所访问的信息做记录,为事后审查提供依据。我们认为採用的入侵检测系统可以对进出网路的所有访问进行很好的监测、回响并作记录。
3、防火墙
防火墙是网路安全最基本、最经济、最有效的手段之一。防火墙可以实现内部、外部网或不同信任域网路之间的隔离,达到有效的控制对网路访问的作用。
3.1省中心与各下级机构的隔离与访问控制
防火墙可以做到网路间的单向访问需求,过滤一些不安全服务;
防火墙可以针对协定、连线埠号、时间、流量等条件实现安全的访问控制。
防火墙具有很强的记录日誌的功能,可以对您所要求的策略来记录所有不安全的访问行为。
3.2公开伺服器与内部其它子网的隔离与访问控制
利用防火墙可以做到单向访问控制的功能,仅允许内部网用户及合法外部用户可以通过防火墙来访问公开伺服器,而公开伺服器不可以主动发起对内部网路的访问,这样,假如公开伺服器造受攻击,内部网由于有防火墙的保护,依然是安全的。
4、加密
VPN业务的三种类型:
1.拨号VPN业务(VPDN)2.专线VPN业务3.MPLS的VPN业务
移动互连网路VPN业务应能为用户提供拨号VPN、专线VPN服务,并应考虑MPLSVPN业务的支持与实现。
VPN业务一般由以下几部分组成:
(1)业务承载网路(2)业务管理中心(3)接入系统(4)用户系统
我们认为实现电信级的加密传输功能用支持VPN的路由设备实现是现阶段最可行的办法。
5、安全评估系统
网路系统存在安全漏洞(如安全配置不严密等)、作业系统安全漏洞等是黑客等入侵者攻击屡屡得手的重要因素。并且,随着网路的升级或新增套用服务,网路或许会出现新的安全漏洞。因此必需配备网路安全扫描系统和系统安全扫描系统检测网路中存在的安全漏洞,并且要经常使用,对扫描结果进行分析审计,及时採取相应的措施填补系统漏洞,对网路设备等存在的不安全配置重新进行安全配置。
6、入侵检测系统
在许多人看来,有了防火墙,网路就安全了,就可以高枕无忧了。其实,这是一种错误的认识,防火墙是实现网路安全最基本、最经济、最有效的措施之一。防火墙可以对所有的访问进行严格控制(允许、禁止、报警)。但它是静态的,而网路安全是动态的、整体的,黑客的攻击方法有无数,防火墙不是万能的,不可能完全防止这些有意或无意的攻击。必须配备入侵检测系统,对透过防火墙的攻击进行检测并做相应反应(记录、报警、阻断)。入侵检测系统和防火墙配合使用,这样可以实现多重防护,构成一个整体的、完善的网路安全保护系统。
7、防病毒系统
针对防病毒危害性极大并且传播极为迅速,必须配备从伺服器到单机的整套防病毒软体,防止病毒入侵主机并扩散到全网,实现全网的病毒安全防护。并且由于新病毒的出现比较快,所以要求防病毒系统的病毒代码库的更新周期必须比较短。
8、数据备份系统
安全不是绝对的,没有哪种产品的可以做到百分之百的安全,但我们的许多数据需要绝对的保护。最安全的、最保险的方法是对重要数据信息进行安全备份,通过网路备份与灾难恢复系统进行定时自动备份数据信息到本地或远程的磁带上,并把磁带与机房隔离保存于安全位置。如果遇到系统来重受损时,可以利用灾难恢复系统进行快速恢复。
9、安全管理体制
安全体系的建立和维护需要有良好的管理制度和很高的安全意识来保障。安全意识可以通过安全常识培训来提高,行为的约束只能通过严格的管理体制,并利用法律手段来实现。因些必须在电信部门系统内根据自身的套用与安全需求,制定安全管理制度并严格按执行,并通过安全知识及法律常识的培训,加强整体员工的自身安全意识及防範外部入侵的安全技术。
安全目标
通过以上对网路安全风险分析及需求分析,再根据需求配备相应安全设备,採用上述方案,我们认为一个电信网路应该达到如下的安全目标:
建立一套完整可行的网路安全与网路管理策略并加强培训,提高整体人员的安全意识及反黑技术。
利用防火墙实现内外网或不信任域之间的隔离与访问控制并作日誌;
通过防火墙的一次性口令认证机制,实现远程用户对内部网访问的细粒度访问控制;
通过入侵检测系统全面监视进出网路的所有访问行为,及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日誌;
通过网路及系统的安全扫描系统检测网路安全漏洞,减少可能被黑客利用的不安全因素;
利用全网的防病毒系统软体,保证网路和主机不被病毒的侵害;
备份与灾难恢复---强化系统备份,实现系统快速恢复;
通过安全服务提高整个网路系统的安全性。
