企业局域网络安全策略分析

企业局域网络安全策略分析

[摘要] 随着计算机网络技术的发展,计算机网络安全问题已成为人们研究的焦点。本文就企业局域网络面临的安全问题,详细分析了几种经常采用的实现网络安全策略的技术手段。

[关键词] 计算机网络网络信息安全安全策略安全策略分析网络安全机制

[Abstract] Following computer network technology

development,currently,computer network’s security has become a research focus,.This paper introduces a few detailed analysis of enterprise network security’s technology tactics .

[Key words] computer networknetwork information securitysecurity tacticssecurity tactics analysisnetwork security architecture

0引言

计算机网络技术的发展,给人们带来资源共享便利和自由的同时,网络安全问题日益突出,尤其是企业界,都在建立自己的内部信息网络,把企业内不同区域、不同部门的各种信息资源通过网络技术有机地结合在一起,构建企业网,并通过Internet外延,将本企业的有关信息展现在用户眼前。因此,网络信息安全面临前所未有的挑战。由于计算机网络具有联结形式多样性、中段分布不均匀性、网络开发性和互联性等特征,致使网络极易受到黑客、恶意软件及其他一些不轨的攻击,解决企业网络安全问题目前已成为企业局域网络发展的一个至关重要的问题。

1企业局域网络安全所面临的威胁

计算机网络技术的发展使计算机应用深入到人们日常生活、工作、学习的各个方面,一方面,计算机网络提供资源共享,通过分散工作负荷提高了工作效率。另一方面,不断延伸的网络增加了网络安全的复杂性和脆弱性,资源共享和分布的结果增加了网络受到威胁和攻击的可能性和可行性。

企业局域网的主要特点:它既能通过接入方式连接到Internet,成为Internet的一部分,也能独立自成体系,以WWW技术为基础,实现信息的发布和接收,并可通过接口界面软件CGI(CommomGatewayInterface)等实现与其他应用软件(如数据库)的连接。

常见的威胁企业网络安全的因素主要来自四个方面:网络部件的不安全性、软件技术的不安全性、工作人员的不安全因素、环境因素。

互联网络攻击类型:

互联网络攻击可分为静态数据攻击和动态数据攻击。

常见的静态数据攻击主要有以下五种形式:

⑴口令攻击:通过穷举测试口令或寻找口令文件等方式得到口令,从而非法侵入系统;

⑵协议攻击:利用操作系统通信协议漏洞攻击系统,从而获得系统管理员权限;

⑶溢出攻击:利用系统堆栈溢出漏洞共计系统,造成系统不稳定运行;

⑷IP地址攻击:伪装内部系统源IP细致,冒名他人,窃取信息;

⑸路由攻击:绕过设有安全控制的路由,非法获取用户系统信息。

根据对动态数据的攻击形式不同,可以将其分为被动攻击和主动攻击:

主动攻击:主要是指攻击者监听网络上传递的信息流,从而获取信息的内容,或仅仅得到信息流的长度、传输频率等数据,称为流量分析;

被动攻击:主要是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以大道破坏的目的。

2企业网络安全机制应具有的功能

由于上述威胁和攻击的存在,因此必须采取措施对网络信息加以保护,将网络攻击威胁减到最低。一个完善的网络安全系统应具有以下功能:

⑴身份识别:身份识别是安全系统应具备的最基本的功能,是验证通信双方身份的有效性手段;

⑵存取权限控制:其基本功能是防止非法用户进入系统及防止合法用户对系统资源的非法使用;

⑶数字签名:即通过一定的机制(如公钥加密算法),使信息接受方能够作出该信息是来自某一数据源 且只可能来自该信息源的判断;

数据完整性:即通过一定的机制,以发现信息是否被非法修改,避免用户或主机被伪信息欺骗;

审计追踪:即通过记录日志,对一些有关信息进行统计等手段,使系统在出现安全问题时能够追查原因;

密钥管理:信息加密是保护信息安全的重要途径,以秘文方式在相对安全的信息上传迪信息,可以让用户比较放心地使用网络。

3企业网络安全策略及其技术

构建网络安全可基于以下策略:

⑴物理安全策略:目的是保护计算机系统、网络服务器、打印机 等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击;验证用户的身份和使用权限、防止用户越权操作;确保计算机系统有一个良好的电磁兼容工作环境;建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃、破坏活动的发生。

⑵访问控制策略:其主要任务是保证网络资源不被非法使用和非常访问。访问控制策略是保证胲安全最重要的核心策略之一,其主要包括入网访问控制、网络权限控制、目录安全控制、属性安全控制、网络服务其安全控制、网络监测和锁定控制、网络端口和节点安全控制、防火墙控制等。

⑶信息加密策略:其目的是保护网内数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。

基于以上网络安全策略,常用的解决企业局域网络安全技术有以下三种:

身份认证技术:较常用的身份认证技术,有Cisco公司提出的Tacacs+以及业界标准的Radius身份认证技术。

VPN技术(虚拟专网):其核心技术是采用隧道技术,将企业专网的数据加密封装后,透过虚拟的公用网隧道进行传输,从而防止敏感数据的被窃。企业通过公用网建立VPN,就如同通过自己的专用网建立内部网一样,享有较高的安全性、有限性、可靠性和可管理性,而其建立周期,投入资金和维护费用却大大降低,同时还为移动计算提供了可能。

加密技术:加密型网络安全技术的基本思想是不依赖于网络中数据通道的安全性来实现网络的安全,而是通过对网络数据的加密来保障网络的安全可靠性。常用的加密算法有RSA公司的MD5和美国国家标准局的SHS。

另外,在企业网络管理工作中最容易忽视的也是网络安全中极为重要的就是网络的行为管理问题。目前多数企业在网络行为管理中存在以下几个突出的问题:

员工普遍缺少网络安全操作方面的知识培训,缺乏数据安全意识,不了解网络攻击行为的危害及法律后果;

对微机使用的约束力度不够,随意安装软件现象普遍;

企业的网络行为守则缺少相应的约束机制。

一个成熟的企业网络安全体系,必须具备以下特点:结构合理的网络安全体系;能够通过不断的培训和学习提高管理人员素质和技能;做好系统及时更新升级;形成制度化的日常管

理和数据备份管理;规范网络管理行为及加大打击网络恶意行为的力度。

4网络信息安全前景展望

随着网络的发展和技术的进步,网络安全面临的挑战也在增大。尤其是随着以计算机网络和Internet/Intrnat信息技术为核心的企业网络应用的不断拓宽,以及跨部门、跨地区的的电子商务广泛开展,基于Internet技术的开放式广域网络安全问题日益严峻。一方面,对网络攻击方式层出不穷,原来认为安全的加密方式有可能失效,针对安全通信措施的攻击也不断取得进展。另一方面,网络应用范围的不断扩大,使人们对网络依赖的程度不断增大,对网络的破坏造成的损失和混乱会比以往任何时候都大。这对企业信息安全保护提出了更高的要求,也使网络信息安全科学的地位更显得重要,面对未来网络信息安全的更大挑战,网络安全防护技术必然随着网络应用的发展而不断发展。

参考文献

⑴张千里,网络安全新技术,人民邮电出版社,2003

⑵李涛,网络安全概论,电子工业出版社,2004

⑶张红旗,信息网络安全,清华大学出版社,2002

⑷信息管理系列编委会,网络安全管理,中国人民大学出版社,2003