网络安全技术在企业中的应用

1网络安全技术在企业中的应用姓名：周洁单位：余姚市技工学校摘要随着INTERNET在中国的进一步发展，上网对于许多人已经成为生活中必不可少的一部分，新老网民们通过网络来查找资料、交流信息。对于企业而言，网络更是占有举足轻重的地位，电子商务已经有逐步取代传统企业经营方式的趋势。但网络在给我们极大便利的同时，也给我们另外一个棘手问题，就是“黑客”。由于INTERNET的本身设计缺陷及其开放性，使其极易受到黑客的攻击。根据美国有关安全部门统计，因特网上98%的计算机受到过黑客的攻击分析，50%的机器被黑客成功入侵，而被入侵机器有20%的管理员尚未发现自己被入侵。网络的安全性已成为阻碍因特网在全球发展的重要因素之一。最近，大量病毒大肆横行，给世界许多国家造成巨大的损失。所以越来越多的人认识到网络安全的重要性。本文先是介绍了网络信息安全的涵义和黑客的一般攻击手段，然后通过一个具体的企业网实例详尽阐述了如何合理布置网络架构来进行有效的防护。关键词：网络信息安全网络安全架构黑客NETEYEVLANTRUNK21．网络信息安全的涵义网络信息既有存储于网络节点上信息资源，即静态信息，又有传播于网络节点间的信息，即动态信息。而这些静态信息和动态信息中有些是开放的，如广告、公共信息等，有些是保密的，如:私人间的通信、政府及军事部门、商业机密等。网络信息安全一般是指网络信息的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真实性（Authenticity）。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知。网络信息的完整性是指信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等，即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。当前，运行于互联网上的协议（如TCP/IP）等，能够确保信息在数据包级别的完整性，即做到了传输过程中不丢信息包，不重复接收信息包，但却无法制止未授权第三方对信息包内部的修改。网络信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度，主要是指对信息所有者或发送者的身份的确认。前不久，美国计算机安全专家又提出了一种新的安全框架，包括：机密性(Confidentiality)、完整性（Integrity）、可用性（Availability）、真实性（Authenticity）、实用性（Utility）、占有性（Possession），即在原来的基础上增加了实用性、占有性，认为这样才能解释各种网络安全问题：网络信息的实用性是指信息加密密钥不可丢失（不是泄密），丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用，导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性，提供物理和逻辑的存取限制方法；维护和检查有关盗窃文件的审记记录、使用标签等。32．攻击网络安全性的类型对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击.2.1静态数据的攻击对静态数据的攻击主要有：1．口令猜测：通过穷举方式搜索口令空间，逐一测试，得到口令，进而非法入侵系统。2．IP地址欺骗：攻击者伪装成源自一台内部主机的一个外部地点传送信息包，这些信息包中包含有内部系统的源IP地址，冒名他人，窃取信息。3．指定路由：发送方指定一信息包到达目的站点的路由，而这条路由是经过精心设计的、绕过设有安全控制的路由。2.2动态信息的攻击根据对动态信息的攻击形式不同，可以将攻击分为主动攻击和被动攻击两种。2.2.1被动攻击被动攻击主要是指攻击者监听网络上传递的信息流，从而获取信息的内容（interception），或仅仅希望得到信息流的长度、传输频率等数据，称为流量分析（trafficanalysis）。被动攻击和窃听示意图如图1、图2所示：4被动攻击窃听获取信息内容流量分析图1被动攻击图2窃听示意图源窃听目的2.2.2主动攻击除了被动攻击的方式外，攻击者还可以采用主动攻击的方式。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的。主动攻击可以归纳为中断、篡改、伪造三种（见图3）。中断是指阻断由发送方到接收方的信息流，使接收方无法得到该信息，这是针对信息可用性的攻击（如图4）。篡改是指攻击者修改、破坏由发送方到接收方的信息流，使接收方得到错误的信息，从而破坏信息的完整性（如图5）。伪造是针对信息的真实性的攻击，攻击者或者是首先记录一段发送方与接收方之间的信息流，然后在适当时间向接收方或发送方重放（playback）这段信息，或者是完全伪造一段信息流，冒充接收方可信任的第三方，向接收方发送。（如图6）5主动攻击图3主动攻击中断篡改伪造破坏可用性破坏完整性破坏真实性图4中断示意图源目的图5篡改示意图源篡改目的图6伪造示意图源伪造目的63.企业网络主要安全问题作为一个企业网，不管他是什么性质的公司，通常能见到如WEB、MAIL、FTP、DNS、TELNET等，当然，也有一些非通用，在某些领域、行业中自主开发的网络应用服务。我们通常所说的服务器，既是具有网络服务的主机。网络应用服务安全，指的是主机上运行的网络应用服务是否能够稳定、持续运行，不会受到非法的数据破坏及运行影响。网络安全的威胁来自多个方面，主要包括：操作系统安全、网络设备安全、网络传输安全、网络应用服务安全等等，以下我们就这些四个主要安全问题做一比较.3．1操作系统安全问题操作系统安全指的是一个操作系统在其系统管理机制实施中的完整性、强制性、计划性、可预期性不受干扰、破坏。如操作系统的用户等级管理机制、文件读取权限管理机制、程序执行权限管理机制、系统资源分配管理机制等。操作系统安全问题的来源主要表现在系统管理程序编写失误、系统配置失误等方面。其安全问题主要体现在抵御和防范本地攻击。攻击行为通常表现为攻击者突破以上的一些系统管理机制，对系统的越权访问和控制。3．2网络设备安全问题网络设备的安全指的是网络设备是否能长期、持续、稳定地完成其特定的功能和任务。由于网络设备提供的功能相对操作系统而言大大简化，因此管理程序编写失误方面的系数大大降低，其安全问题主要来自于系统配置方面的失误。攻击行为主要表现为突破系统控制权身份验证机制，恶意地修改系统配置。3．3网络传输安全问题网络传输安全问题：主要包括信息在网络传输和信息系统存储时完整性、机密性和不可否认性。信息完整性可以依靠报文鉴别机制，例如哈希算法等来保障，信息机密性可以依靠加密机制以及密钥分发7等来保障，信息不可否认性可以依靠数字签名等技术来保障。其安全问题主要来自于数据未经加密或采用有效的安全处理时就进行传输。攻击行为通常表现为攻击者通过网络监听取得各种有效机密信息。3．4网络应用服务安全问题网络应用服务安全指的是包括网络与应用平台的安全，由网络应用平台提供的服务能够合法有效受控开展，还包括网络应用的信息存储、传递加工处理能完整、机密且可用，信息内容涉及内容安全时能及时有效采取相应措施。其安全问题主要来自于网络应用服务漏洞和“后门”。攻击行为主要表现病毒及恶意攻击使应用服务不能够合法有效受控开展。每一个网络应用服务都是由一个或多个程序构成，不仅要考虑到服务端程序，也需要考虑客户端程序。服务端的安全问题主要表现在非法的远程访问，客户端的安全问题主要表现在本地越权使用客户程序。由于大多数服务的进程由超级用户守护，许多重大的安全漏洞往往出现在一些以超级用户守护的应用服务程序上84.网络安全体系在现阶段为保证企业网络中的操作系统、网络应用服务等稳定、持续运行，防止或减少受到非法的破坏，需要采取全面及有效的网络安全体系进行保障。采用的具体的防范措施及工具有：4.1网络病毒的防范在网络环境下，病毒传播扩散快，仅用单机防病毒产品已经很难彻底清除网络病毒，必须有适合于局域网的全方位防病毒产品。校园网络是内部局域网，就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连，就需要网关的防病毒软件，加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换，还需要一套基于邮件服务器平台的邮件防病毒软件，识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品，针对网络中所有可能的病毒攻击点设置对应的防病毒软件，通过全方位、多层次的防病毒系统的配置，通过定期或不定期的自动升级，使网络免受病毒的侵袭。4.2配置防火墙利用防火墙，在网络通讯时执行一种访问控制尺度，允许防火墙同意访问的人与数据进入自己的内部网络，同时将不允许的用户与数据拒之门外，最大限度地阻止网络中的黑客来访问自己的网络，防止他们随意更改、移动甚至删除网络上的重要信息。防火墙是一种行之有效且应用广泛的网络安全机制，防止Internet上的不安全因素蔓延到局域网内部，所以，防火墙是网络安全的重要一环。4.3采用入侵检测系统入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录，入侵检测系统能够识别出任何不希望有的活动，从而达到9限制这些活动，以保护系统的安全。在校园网络中采用入侵检测技术，最好采用混合入侵检测，在网络中同时采用基于网络和基于主机的入侵检测系统，则会构架成一套完整立体的主动防御体系。4.4Web，Email，BBS的安全监测系统在网络的服务器、Email服务器等中使用网络安全监测系统，实时跟踪、监视网络，截获Internet网上传输的内容，并将其还原成完整的、Email、FTP、Telnet应用的内容，建立保存相应记录的数据库。及时发现在网络上传输的非法内容，及时向上级安全网管中心报告，采取措施。4.5漏洞扫描系。解决网络层安全问题，首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况，仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估，显然是不现实的。解决的方案是，寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具，利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下，可以利用各种黑客工具，对网络模拟攻击从而暴露出网络的漏洞。4.6IP盗用问题的解决在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时，路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符，如果相符就放行。否则不允许通过路由器，同时给发出这个IP广播包的工作站返回一个警告信息。4.7利用网络监听维护子网系统安全对于网络外部的入侵可以通过安装防火墙来解决，但是对于网络内部的侵袭则无能为力。在这种情况下，我们可以采用对各个子网做10一个具有一定功能的审计文件，为管理人员分析自己的网络运作状态提供依据。设计一个子网专用的监听程序。该软件的主要功能为长期监听子网络内计算机间相互联系的情况，为系统中各个服务器的审计文件提供备份。115.网络安全的架构我们以某公司为例来具体说明：网络安全的目标是通过系统及网络安全配置，防火墙及检测预警、安全扫描、网络防病毒等软、硬件，对出入口的信息进行严格的控制；对网络中所有的装置（如Web服务器、路由器和内部网络等）进行检测、分析和评估，发现并报告系统内存在的弱点和漏洞，评估安全风险，建议补救措施，并有效地防止黑客入侵和病毒扩散，并能监控整个网络的运行状况。为了最大限度地减低公司内部网的风险，提高其安全性，采用可适应安全管理解决方案。可适应性安全管理模型针对企业的安全威胁和进攻弱点，通过通信数据加密、系统扫描、实时监控，检测和实时响应、实施群安全策略，提供端对端的完整安全解决方案。与之相对应，通信数据传输加密、检测、响应、监控等，每个环节都有相应的产品，该模型能够最大限度地减低企业的风险。我