計算機網絡系統安全保密技術的介紹
計算機網絡系統安全保密技術的介紹
今天學習啦小編就給大家介紹下計算機網絡系統安全保密技術,下面是具體內容。
計算機網絡系統安全保密技術
系統安全需要實現三個目標:
● 保密性 :信息和資源不能向非授權的用戶或過程泄漏
● 完整性 :信息和資源保證不被非授權的用戶或過程修改或利用
● 可用性 : 當授權用戶或過程需要時,信息和資源保證能夠被使用
實現安全保密須采取的措施:
● 鑒別 :證實用戶的方法
● 認證 :驗證用戶的過程
● 授權 :依據用戶的身份,授予其對于網絡 / 資源訪問權限的過程
● 訪問控制 :依據用戶的身份,限制其對網絡 / 資源訪問權限的過程
● 記錄 :準確可靠地確定誰、何時、何地、多久使用網絡 / 資源的過程
● 審計 :保存記錄下誰、何時、何地、做了什么以及誰、何時、何地被拒絕,因何拒絕
● 抗否認 :在一個特定的操作發生后,能夠證明該行為的能力
● 加密 :確保數據保密性的處理過程
(一)主要防范策略
1.物理措施
物理安全策略目的是保護計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊;驗證用戶的身份和使用權限,防止用戶越權操作;確保計算機系統有一個良好的電磁兼容工作環境;建立完備的安全管理制度,防止非法進入計算機控制室和各種偷竊、破壞活動的發生。
抑制和防止電磁泄漏是物理安全策略的一個主要問題。目前的主要防護措施有兩類:
其一是對傳導發射的防護,主要采取對電源線和信號線加裝性能良好的濾波器,減小傳輸阻抗和導線間的交叉耦合;
其二是對輻射的防護,由于設備中的計算機處理機、顯示器有較強的電磁輻射,如不采用屏蔽或干擾,就會使秘密通過電磁輻射而造成泄露,根據保密等級,可采用在全室或關鍵設備局部使用電磁屏蔽房,選用低輻射設備或者使用相關干擾的電磁輻射干擾器,使得難以從被截獲的輻射信號中分析出有效信號。
(1)使用低輻射計算機設備。這是防止計算機輻射泄密的根本措施,這些設備在設計和生產時,已對可能產生信息輻射的元器件、集成電路、連接線和CRT等采取了防輻射措施,把設備的信息輻射抑制到最低限度。
(2)屏蔽。根據輻射量的大小和客觀環境,對計算機機房或主機內部件加以屏蔽,檢測合格后,再開機工作。將計算機和輔助設備用金周屏蔽籠(法拉第籠)封閉起來,并將全局屏蔽籠接地,能有效地防止計算機和輔助設備的電磁波輻射。不具備上述條件的,可將計算機輻射信號的區域控制起來,不許外部人員接近。
(3)干擾。根據電子對抗原理,采用一定的技術措施,利用干擾器產生噪聲與計算機設備產生的信息輻射一起向外輻射。對計算機的輻射信號進行干擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。
主要防護低密級的信息。日前,國家保密標準《電磁干擾器技術要求和測試方法》已經制定完成,不久將發布。分為兩個等級:一級適用于保護處理機密級以下信息的計算機,二級用于保護處理內部敏感信息的計算機和自然警戒距離大干100米處理秘密級信息的計算機。
主要的性能測試指標:輻射發射特性測試(發射強度和對設備的影響)、傳導發射(抑制、干擾)測試、視頻信息還原測試、方向性測試、聲光報警測試、重復性測試。
2.環境保密措施
系統中的物理安全保密是指系統的環境、計算機房、數據工作區、處理區、數據存貯區、介質存放的安全保密措施,以確保系統在對信息的收集、存貯、傳遞、處理和使用過程中,秘密不至泄露。
計算機房應選不在現代交通工具繁忙和人多擁擠的鬧市、遠離使館或其它外國駐華機構的所在地,要便于警衛和巡邏,計算機房房最好設置在電梯或樓梯不能直接進入的場所、應與外部人員頻繁出入的場所隔離,機房周圍應在有圍墻或柵欄等防止非法進入的設施,建筑物周圍應有足夠照明度的照明設施,以防夜間非法侵入,外部容易接近的窗口應采取防范措施,如使用鋼化玻璃、鐵窗等,無人值守的地方應報警設備,機房內部設計應有利于出入控制和分區控制,計算中心機要部門的外部不應設置標明系統及有關設備所在位置的標志。
3.訪問控制技術
訪問控制是網絡安全防范和保護的主要策略,它的主要任務是保證網絡資源不被非法使用和非法訪問。訪問控制可以說是保證網絡安全最重要的核心策略之一。下面我們分述各種訪問控制策略。 (1)入網訪問控制
它控制哪些用戶能夠登錄到服務器并獲取網絡資源,同時也控制準許用戶入網的時間和準許他們從哪臺工作站入網。用戶入網訪問控制通常分為三步:用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查。三道關卡中只要任何一關未過,該用戶便不能進入網絡。對網絡用戶的用戶名和口令進行驗證是防止非法訪問的第一道防線。用戶注冊時首先輸入用戶名和口令,服務器將驗證所輸入的用戶名是否合法。如果驗證合法,才繼續驗證用戶輸入的口令,否則,用戶將被拒之于網絡之外。用戶口令是用戶入網的關鍵所在,必須經過加密。,加密的方法很多,其中最常見的方法有:基于單向函數的口令加密、基于測試模式的口令加密、基于公鑰加密方案的口令加密、基于平方剩余的口令加密、基于多項式共享的口令加密以及基于數字簽名方案的口令加密等。經過上述方法加密的口令,即使是系統管理員也難以破解它。用戶還可采用一次性用戶口令,也可用便攜式驗證器(如智能卡)來驗證用戶的身份。用戶名和口令驗證有效之后,再進一步履行用戶賬號的缺省限制檢查。
(2)網絡的權限控制
網絡權限控制是針對網絡非法操作提出的一種安全保護措施。用戶和用戶組被賦予一定的權限。網絡控制用戶和用戶組可以訪問哪些目錄、子目錄、文件和其他資源以及用戶可以執行的操作。
(3)客戶端安全防護策略
首先,應該切斷病毒的傳播途徑,盡可能地降低感染病毒的風險;其次,用戶最好不要隨便使用來路不明的程序。 4.安全的信息傳輸[1]
網絡本身就不是一種安全的信息傳輸通道。網絡上的任何信息都是經重重中介網站分段傳送至目的地的。由于網絡信息的傳輸并無固定路徑,而是取決于網絡的流量狀況,且通過哪些中介網站亦難以查證,因此,任何中介站點均可能攔截、讀取,甚至破壞和篡改封包的信息。所以應該利用加密技術確保安全的信息傳輸。
5.網絡服務器安全策略
網絡服務器的設立與狀態的設定相當復雜,而一臺配置錯誤的服務器將對網絡安全造成極大的威脅。例如,當系統管理員配置網絡服務器時,若只考慮高層使用者的特權與方便,而忽略整個系統的安全需要,將造成難以彌補的安全漏洞。
6.操作系統及網絡軟件安全策略
大多數公司高度依賴防火墻作為網絡安全的一道防線。防火墻通常設置于某一臺作為網間連接器的服務器上,由許多程序組成,主要是用來保護私有網絡系統不受外來者的威脅。一般而言,操作系統堪稱是任何應用的基礎,最常見的WindowsNT或Unix即使通過防火墻與安全傳輸協議也難以保證100%的安全。
7.網絡安全管理
在網絡安全中,除了采用上述技術措施之外,加強網絡的安全管理制定有關規章制度,對于確保網絡的安全、可靠運行,將起到十分有效的作用。網絡安全管理包括確定安全管理等級和安全管理范圍、制訂有關網絡操作使用規程和人員出入機房管理制度和制定網絡系統的維護制度和應急措施等。
(二)用安全防范技術
1、防毒軟件
基本上,防毒解決方案的做法有5種:信息服務器端、文件服務器端、客戶端防毒軟件、防毒網關以及網站上的在線掃毒軟件。
2、防火墻
“防火墻”是一種形象的說法,它實際上是計算機硬件和軟件的組合,在網絡網關服務器上運作,在內部網與公共網絡之間建立起一個安全網關(security gateway),保護私有網絡資源免遭其他網絡使用者的擅用或侵入。通常,防火墻與路由軟件一起工作,負責分析、過濾經過此網關的數據封包,決定是否將它們轉送到目的地。防火墻通常安裝在單獨的計算機上,并與網絡的其余部份分隔開,使訪問者無法直接存取內部網絡的資源。在一個沒有防火墻環境中,網絡安全完全依賴于主機安全,并且在某種意義上所有主機都必須協同達到一個統一的高安全標準;基于主機的安全伸縮性不好:當一個站點上主機的數量增加時,確定每臺主機處于高安全級別之上,勢必會使性能下降;如果某個網絡軟件的薄弱點被發現,沒有防火墻保護的站點必須盡可能快地更正每個暴露的系統,這并不現實,特別是在一些不同版本的操作系統正被使用時。
防火墻的局限性
防火墻不能防止通向站點的后門。例如,如果一個被防火墻保護的站點允許不受限制的Modem訪問,入侵者就能夠有效地繞過防火墻;防火墻一般不提供對內部的保護;防火墻不能防止用戶下載被病毒感染的計算機程序或者將該類程序附在電子郵件上傳輸;防火墻無法防范數據驅動型的攻擊。
3、密碼技術
采用密碼技術對信息加密,是最常用和有效的安全保護手段。
算法(公開的)
一個數學公式使用加密密鑰將最初的信息轉換成為加密的信息,功能強大的算法是很難被破解的。
目前廣泛應用的加密技術主要分為兩類:
(1)對稱算法加密
其主要特點是加解密雙方在加解密過程中要使用完全相同的密碼,對稱算法中最常用的是DES算法。對稱算法的主要問題是由于加解密雙方要使用相同的密碼,在發送接收數據之前,就必須完成密鑰的分發。因此,密鑰的分發成為該加密體系中最薄弱的環節。各種基本手段均很難完成這一過程。同時,這一點也使密碼更新的周期加長,給其他人破譯密碼提供了機會。
(2)非對稱算法加密與公鑰體系
保護信息傳遞的機密性,是密碼學的主要方面之一,對信息發送人的身份驗證與保障數據的完整性是現代密碼學的另一重點。公開密鑰密碼體制對這兩方面的問題都給出了出色的解答。
在公鑰體制中,加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以使用;解密密鑰只有解密人自己知道。它們分別稱為公開密鑰(Public key)和私有密鑰(Private key)。在所有公鑰密碼體系中,RSA系統是最著名且使用最多的一種。在加密應用時,某個用戶總是將一個密鑰公開,讓需發信的人員將信息用公共密鑰加密后發給該用戶,信息一旦加密,只有該用戶的私有密鑰才能解密。
數字簽名
使用公共密鑰系統可以完成對電文的數字簽名,以防止對電文的否認與抵賴,同時還可以利用數字簽名來發現攻擊者對電文的非法篡改,以保護數據信息的完整性。上述兩種方法可以結合使用,從而生成數字簽名。其他密碼應用還包括數字時間戳、數字水印和數字證書等。
一個電子簽名就等于一個在紙上的真實的簽名,是一個與信息相關聯的數字,當信息的內容發生改變時,簽名將不再匹配;只有知道私鑰的人才能生成數字簽名,它被用來確定一個信息或數據包是由所要求的發送者處而來的
4、虛擬專有網絡()
相對于專屬于某公司的私有網絡或是租用的專線,是架設于公眾電信網絡之上的私有信息網絡,其保密方式是使用信道協議及相關的安全程序。
考慮在外聯網及廣域的企業內聯網上使用。的使用還牽涉到加密后送出資料,及在另一端收到后解密還原資料等問題,而更高層次的安全包括進一步加密收發兩端的網絡位置。
5、安全檢測和監控監測
采取預先主動的方式,對客戶端和網絡的各層進行全面有效的自動安全檢測,以發現和避免系統遭受攻擊傷害。
(1)網絡安全性能檢查系統
提供事前的安全掃描能夠發現系統的安全漏洞,可以做好安全預防措施。主要通過掃描分析網絡系統,報告系統存在的弱點和漏洞,報告網絡系統相關信息和對外提供的服務,建議采用的補救措施,生成分析報告。
掃描系統的弱點和漏洞的分類:簡單郵件傳輸協議,強力攻擊,系統守護進程,遠程過程調用,網絡文件系統,拒絕服務,NetBIOS,NT用戶,NT注冊表,NT審計,代理服務和域名服務,WEB站點,防火墻和路由器,IP欺騙,文件傳輸協議。
(2)安全檢測系統是近年出現的新型網絡安全技術,目的是實時的入侵檢測及采取相應的防護手段,如記錄證據用于跟蹤和恢復、斷開網絡連接等。
網絡入侵檢測和監控能夠對付來自內部網絡的攻擊,其次它能夠阻止hacker的入侵。
網絡監控,對網絡攻擊入侵行為提供最后一級的安全保護。它提供對企業網絡通訊活動的監控,捕獲和分析整個網段傳輸的數據包,檢測和識別可疑的網絡通信活動,并在這種非授權訪問發生時進行實時響應,阻止對企業數據和資源的非法存取。實時監測入侵企圖和對網絡資源的濫用,對可疑的網絡活動執行日志記錄、錄制原始數據供日后回放或切斷可疑連接等響應動作,可做到分布式運行和集中管理,管理人員在中心控制臺集中控制各處監控引擎的工作行為,查看各引擎監控的安全事件,生成直觀易用的安全事件統計報告。對可疑網絡活動進行分辨的能力,在不影響正常網絡應用的情況下有效地制止入侵攻擊行為和非法存取企業網絡資源。
網絡安全檢測系統可分為兩類:
基于主機的入侵檢測系統用于保護關鍵應用的服務器,實時監視可疑的連接、系統日志檢查,非法訪問的闖入等,并且提供對典型應用的監視如Web服務器應用。
基于網絡通過連接網絡捕獲網絡包,并分析其是否具有已知的攻擊模式,以此來判別是否為入侵者。軟件持續地監控網絡,發現已知的攻擊,它通常運行在網絡需要控制的要點上,比如Internet出口的路由器,或者LAN上重要的數據庫。當軟件檢測到有攻擊發生,它就會按預先定義好的方式響應。監控和反應軟件就象防盜警報器,當警報器發現偷盜,它就會發出聲響或打電話給警察。基于網絡的入侵檢測系統用于實時監控網絡關鍵路徑的信息。
安全檢測監控可以:
(1)保證你不必擔心整個網絡的可見的弱點
(2)保證所有的系統以與組織的策略一致的安全方式配置
(3)保證所有可能的攻擊能被檢測、監控、和及時的以適當的方式響應
(4)提供實時監控,識別攻擊存取路由
(5)提供及時的安全報警
(6)提供準確的網絡安全審核和趨勢分析數據,支持安全程序的計劃和評估
6、綜合防范
信息安全需要通信體系結構、協議、操作系統、應用和用戶的共同參與。
為了提供一個安全的環境,必須做到:
(1)用戶培訓,增強安全意識;
(2)建立一個可幫助的安全策略;
(3)提高在現有網絡環境下,對可能的安全風險的認識和理解;
(4)選擇能夠幫助建立一個安全環境并且能夠與已建立的安全策略相符合的產品和應用程序;
(5)合格的安全審計員和工具,定期檢查網絡環境
“道高一尺,魔高一丈”,安全將是網絡永恒的問題,風險是無法完全消除的,零風險就意味著網絡的零效用,關鍵的問題是如何達到均衡,即盡可能站地降低風險,又使網絡發揮其最大效用。