[这个贴子最后由别克在 2005/09/18 11:23am 第 4 次编辑]
前言
以Internet为代表的全球性信息化浪潮日益深刻,信息网络技术的应用正日益普及和广泛,应用层次正在深入,应用领域从传统的、小型业务系统逐渐向大型、关键业务系统扩展,典型的如政府部门业务系统、金融业务系统、证券业务系统等。与此同时,这股强劲的Internet旋风也以惊人的速度渗透到企业的各个方面。现在,大企业已经利用现有的网络技术打造自己的“网络航母”,包括销售、宣传、服务、ERP、ARP等。给企业的发展提供强有力的支持。
企业从事的网络信息直接关系到公司的发展,所涉及的公司的商业机蜜、网络交易等,如有信息外泄,直接关系到公司的形象和信誉,所以为了保障网络的安全,必须对网络进行安全设计
■ 影响网络安全的因素
现今的企业网络信息安全存在的威胁主要表现在以下几个方面。
1.非授权访问。指对网络设备及信息资源进行非正常使用或越权使用等。
2.冒充合法用户。主要指利用各种假冒或欺骗的手段非法获得合法用户的使用权限,以达到占用合法用户资源的目的。
3.破坏数据的完整性。指使用非法手段,删除、修改、重发某些重要信息,以干扰用户的正常使用。
4.干扰系统正常运行。指改变系统的正常运行方法,减慢系统的响应时间等手段。
5.病毒与恶意攻击。指通过网络传播病毒或恶意Java、XActive等。
6.线路窃听。指利用通信介质的电磁泄漏或搭线窃听等手段获取非法信息。
■ 网络安全分类及基本功能
根据国家计算机安全规范,可把计算机的安全大致分为三类。一是实体安全,包括机房、线路,主机等;二是网络与信息安全,包括网络的畅通、准确及其网上的信息安全;三是应用安全,包括程序开发运行、输入输出、数据库等的安全。下面重点探讨第二类网络与信息的安全问题。
网络信息安全需求可以归结为以下几类:
1.基本安全类
包括访问控制、授权、认证、加密和内容安全等。
访问控制是提供企业内部与外界及内部不同信息源之间隔离的基本机制,也是企业的基本要求。但是提供隔离不是最终目的,企业利用Internet技术的最终目的应当是在安全的前题下提供方便的信息访问,这就是授权需求。同时,用户也希望对授权的人的身份进行有效的识别,这就是认证的需求。为了保证信息在存储和传输中不被纂改、窃听等需要加密功能,同时,为了实施对进出企业网的流量进行有效的控制,就需要引入内容安全要求。
2.管理与记帐类
包括安全策略管理、企业范围内的集中管理、记帐、实时监控,报警等功能。
3.网络互联设备安全类
包括路由器安全管理、远程访问服务器安全管理、通信服务器安全管理、交换机安全管理等。
4.连接控制类
主要为发布企业消息的服务器提供可靠的连接服务,包括负载均衡、高可靠性以及流量管理等。
■ 安全缺口
安全策略经常会与用户方便性相矛盾,从而产生相反的压力,使安全措施与安全策略相脱节。这种情况称为安全缺口。为什么会存在安全缺口呢?有下面四个因素:
1、网络设备种类繁多——当前使用的有各种各样的网络设备,从Windows NT和UNIX 服务器到防
火墙、路由器和Web服务器,每种设备均有其独特的安全状况和保密功能;
2、访问方式的多样化——一般来说,您的网络环境存在多种进出方式,许多过程拔号登录点以及新的Internet访问方式可能会使安全策略的设立复杂化;
3、网络的不断变化——网络不是静态的,一直都处于发展变化中。启用新的硬件设备和操作系统,实施新的应用程序和Web服务器时,安全配置也有不尽相同;
4、用户保安专业知识的缺乏——许多组织所拥有的对网络进行有效保护的保安专业知识十分有限,这实际上是造成安全缺口最为主要的一点。
■ 网络安全评估
为堵死安全策略和安全措施之间的缺口,必须从以下三方面对网络安全状况进行评估:
1、 从企业外部进行评估:考察企业计算机基础设施中的防火墙;
2、 从企业内部进行评估:考察内部网络系统中的计算机;
3、 从应用系统进行评估:考察每台硬件设备上运行的操作系统。
|
