网络安全技术方案.docx
- 文档编号:27365271
- 上传时间:2023-06-29
- 格式:DOCX
- 页数:34
- 大小:939.31KB
网络安全技术方案.docx
《网络安全技术方案.docx》由会员分享,可在线阅读,更多相关《网络安全技术方案.docx(34页珍藏版)》请在冰豆网上搜索。
网络安全技术方案
网络安全技术方案
1网络安全实施的难点分析
1.1IT系统建设面临的问题
企业在IT系统建设过程中,往往面临以下方面的问题;其一:
专业人员少,因为任何一个企业的IT系统建设,往往都是为企业内部使用,只有自己最为了解自己企业的需求,但是往往企业内部的专业人员比较少。
其二:
经验不足,专业性不强,由于企业内部的专业人员仅仅着眼于本企业自身的需求,项目实施的少,相应的项目经验欠缺专业性不强;其三:
效率不高,效果不好,应为欠缺对系统建设的系统知识和经验,总是在摸索着前进,在这个过程中,实施人员和使用人员的积极性就会降低,无法按照预期完成项目。
1.2IT系统运维面临的问题
2系统安全
2.1网络系统安全风险分析
2.1.1设备安全风险分析
网络设备、服务器设备、存储设备的安全是保证网络安全运行的一个重要因素。
为了保证网络的安全而制定的安全策略都是由网络设备执行的,如果一些非网络管理人员故意或无意对网络设备进行非法操作,势必会对网络的安全造成影响,甚至是重大的安全事故。
因此,没有网络设备的安全,网络设备的安全就无从谈起。
所以,必须从多个层面来保证网络设备的安全。
2.1.2网络安全系统分析
网络层位于系统平台的最低层,是信息访问、共享、交流和发布的必由之路,也是黑客(或其它攻击者)等进行其截获、窃听窃取信息、篡改信息、伪造和冒充等攻击的必由之路。
所以,网络层所面临的安全风险威胁是整个系统面临的主要安全风险之一。
网络层的安全风险包括以下几方面:
●黑客攻击
外网通过防火墙与Internet公众网相连,所以Internet上的各种各样的黑客攻击、病毒传播等都可能威胁到系统的安全。
其存在的安全风险主要是黑客攻击,窃取或篡改重要信息,攻击网站等。
许多机器临时性(甚至经常性的)连接到外网上或直接连接到Internet上。
这样Internet上的黑客或敌对势力使用木马等黑客攻击手段,就可以将该员工机器用作一个侦察站。
●网内可能存在的相互攻击
由于公司内网中的各级网络互连,这些设备在网络层是可以互通的,在没有任何安全措施的情况下,一个单位的用户可以连接到另一个单位使用的机器,访问其中的数据。
这样就会造成网络间的互相病毒等其他因素引起的网络攻击。
2.1.3系统安全风险分析
系统安全通常分为系统级软件比如操作系统、数据库等的安全漏洞、病毒防治。
1、系统软件安全漏洞
系统级软件比如操作系统、数据库等总是存在着这样那样的安全漏洞,包括已发现或未发现的安全漏洞。
2、病毒侵害
计算机病毒一直是困扰每一个计算机用户的重要问题,一旦计算机程序被感染了病毒,它就有可能破坏掉用户工作中的重要信息。
网络使病毒的传播速度极大的加快,公司内部网络与Internet相连,这意味着每天可能受到来自世界各地的新病毒的攻击。
2.1.4应用安全风险分析
基于B/S模式的业务系统由于身份认证、数据传输、访问控制、授权、口令等存在安全隐患,从而对整个系统造成安全威胁。
2.1.5数据安全风险分析
在系统中存放有的重要的数据。
这些数据如被非法复制、篡改、删除,或是因各种天灾人祸丢失,将威胁到数据的保密性、完整性和一致性。
2.2网络系统安全设计
针对上面提到的种种安全风险,对系统安全进行设计。
2.2.1设备安全
设备安全在这里主要指控制对交换机等网络设备的访问,包括物理访问和登录访问两种。
针对访问的两种方式采取以下措施:
对基础设施采取防火、防盗、防静电、防潮措施。
系统主机应采用双机热备(主备/互备)方式,构成集群系统;
系统关键通信设备应考虑冗余备份;
要求利用系统监控工具,实时监控系统中各种设备和网络运行状态,及时发现故障或故障苗头,及时采取措施,排除故障,保障系统平稳运行。
2.2.2网络安全
为保障网络安全,在网络上要采取以下措施:
●在内部系统的Web服务器到应用服务器之间设置防火墙,防止来自内部的攻击和破坏,保证系统的安全;
●采用相应技术和手段,保证网络安全。
对传输数据进行加密,保障数据传输安全
2.2.3系统安全
2.2.4应用安全
2.2.5数据安全
对于数据库系统备份,有两种方式可以选择:
2.3系统的网络安全设计
2.3.1防火墙系统
2.3.1.1防火墙的基本类型
包过滤防火墙:
数据包到达的物理网络接口
数据包的源网络层地址
数据包的目的网络层地址
传输层协议类型
传输层源端口
传输层目的端口
包过滤防火墙有以下先进性:
包过滤防火墙通常性能高,因为他们执行的评估比较少而且通常可以用硬件完成。
可以简单地通过禁止特定外部网络和内部网络的连接来保护整个网络。
包过滤防火墙对客户端是透明的,所有工作都在防火墙中完成。
结合NAT(网络地址转换功能,可以将内部网络从外部网络中屏蔽起来。
包过滤防火墙具有以下缺点:
包过滤防火墙不能识别上层信息,因此,同应用层防火墙以及电路网关防火墙相比,其安全性较低。
包过滤防火墙不是基于连接状态的,因此,它不保存会话连接信息或上层应用信息。
包过滤只利用了数据包中有限的信息。
包过滤不提供增值服务,如HTTPCache,URL过滤等。
电路网关防火墙
电路网关级防火墙主要应用下列状态信息:
一个唯一的会话识别用于跟踪处理。
连接状态,包括:
握手、建立以及关闭。
序列号信息。
源网络地址。
目的网络地址。
数据包到达的物理网络接口。
数据包离开的物理网络接口。
电路网关级防火墙具有以下优点:
电路网关防火墙通常性能高,因为他们执行的评估比较少。
可以简单地通过禁止特定外部网络和内部网络的连接来保护整个网络。
包过滤防火墙对客户端是透明的,所有工作都在防火墙中完成。
结合NAT(网络地址转换功能,可以将内部网络从外部网络中屏蔽起来。
电路应用网关具有以下缺点:
电路应用网关不能限制TCP之外的其他协议集。
电路应用网关防火墙不能进行严格的高层应用检查。
包过滤不提供增值服务,如HTTPCache,URL过滤等。
应用层防火墙
应用层防火墙具有以下优点:
代理服务能完全理解和实施上层协议。
如HTTP、FTP等。
代理服务维护所有的应用状态信息,包括:
部分的通讯层状态信息、全部应用层状态信息以及部分会话信息。
代理服务能处理和利用数据包。
代理服务不允许外部服务器和内部主机之间的直接通讯,可有效的隐含内部网络信息。
代理服务能提供增值特征,包括:
HTTPCache、URL过滤以及用户认证等。
代理服务能很好的产生审记记录,允许管理员监控企图违反网络安全策略的行为。
应用层防火墙具有以下缺点:
代理服务需要替换防火墙服务器的本来的网络堆栈。
由于代理服务要监听服务端口,因此,在防火墙服务器上不能提供同样的服务。
代理服务对数据包需要处理两次,因此,性能比较差。
通常,对于不同的应用,需要对每一个服务提供一个代理服务程序。
应用级防火墙不能提供UDP、TCP以及其他协议代理功能。
代理服务通常需要修改客户应用程序端或应用配置。
代理服务经常会遇到多次登录的情况。
动态包过滤防火墙
2.3.1.2常用攻击方法
了解常用的攻击方法可以更好的制定安全防范措施,常用的攻击方法包括以下几种:
地址欺骗:
在这种方法中,攻击者伪装成一个信任主机的IP地址,对系统进行破坏。
应用层攻击:
这种攻击方法是利用应用软件的缺陷,从而获得对系统的访问权利。
2.3.1.3常用攻击对策
下面我们对上面所述的攻击方法提出自己的防范措施。
端口扫描:
对这种攻击的防范采用扩展访问列表方式,拒绝非授权网络访问特定的网络服务。
应用层攻击:
改进、替换具有安全漏洞的应用服务器。
2.3.2VPN路由器
●采用CiscoRouter进行IP数据包过滤,安全VLAN子网划分
●作为VPN配置路由使用,可方便进行安全访问的划分
结合PIX防火墙、NetRanger入侵检测系统和NetSonar安全扫描程序三者配合,最大限度地保证了企业VPN的可靠性和安全性
2.3.3IDS入侵检测
入侵检测(eTrustIntrusionDetection简称eID)提供了全面的网络保护功能,其内置主动防御功能可以防止破坏的发生。
这种高性能且使用方便的解决方案在单一软件包中提供了最广泛的监视、入侵和攻击探测、非法URL探测和阻塞、警告、记录和实时响应。
●网络访问控制
入侵检测(eTrustIntrusionDetection)使用基本规则定义可以访问特定网络资源的用户,从而确保只对网络资源进行授权访问。
●高级反病毒引擎
能够探测包含计算机病毒的网络流量的病毒扫描引擎。
它可以防止用户在不知情的情况下下载受病毒感染的文件。
从CAweb站点可以得到最新和更新后的病毒特征码。
●全面的攻击模式库
入侵检测eID可以自动探测来自网络流量的攻击模式(即使是正在进行中的攻击)。
定期更新的攻击模式库-可以从CAweb站点获得-能够确保入侵检测保持最新。
●包检测技术
入侵检测eID在隐蔽模式下工作,攻击者是察觉不到的。
因为黑客不知道他们正在被监视,因此通常在未察觉的情况下被捕获。
●URL阻塞
管理员可以指定不允许用户访问的URL,从而防止了非工作性Web冲浪。
●内容扫描
管理员通过入侵检测eID可以定义策略对内容进行检查。
这可以防止在没有授权的情况下通过电子邮件或Web发送敏感数据。
●网络使用情况记录
入侵检测eID允许网络管理员跟踪最终用户、应用程序等的网络使用情况。
它有助于改进网络策略规划和提供精确的网络收费。
●集中化监控
网络管理员可以从本地或远程监控运行入侵检测(eTrustIntrusionDetection)的一个或多个站,在不同网络段(本地或远程)上安装了受中央站控制的入侵检测(eTrustIntrusionDetection)代理后,管理员可以根据收集到的合并信息查看报警和生成报告。
●远程管理
远程用户可以使用TCP/IP或者调制解调器连接访问运行入侵检测(eTrustIntrusionDetection)的站。
在连接后,根据入侵检测(eTrustIntrusionDetection)管理员定义的权限,用户可以查看和监控入侵检测(eTrustIntrusionDetection)数据、更改规则以及创建报告。
●入侵记录和分析
入侵检测(eTrustIntrusionDetection)为捕获信息和进行分析提供了全面的系统功能。
在安装软件并指定归档地点后,用户可以定义在档案中记录会话的规则。
然后用户可以通过浏览器过滤、排序和查看归档信息,并创建详细的报告。
入侵检测eID代表了最新一代企业网络保护技术,具有前所未有的访问控制、用户透明性、高性能、灵活性、适应性及易用性等。
它提供给企业一个易于部署的网络保护方案。
2.3.4CA认证与SSL加密
2.3.4.1CA的作用
●数字证书能为你做什么:
个人数字证书是网友进入21世纪的必需品。
网上证券少不了它;网上缴款不能没有它;进入全球知名网站,更不得没有它。
它简单易懂、安装容易,它比“卡”还要重要,是您身份的表征,网络新贵的识别证。
现今不论X、Y、Z世代,您皮夹中至少必备四五张卡(提款卡、万事达卡、威士卡、会员卡、金卡、普卡、电话卡、保健卡...),因为目前是“卡”的时代。
而在网际路上,您如果没有数字证书,不管您外表多young、多炫,多酷,依旧是寸步难行。
因为“一证在手,走遍天下”的时代已经到来。
CA为了更好地满足客户的需要,给客户提供更大的便利,设计开发的通用证书系统使得一证多用成为可能。
●数字证书和电子商务的关系
电子商务正以不可逆转之势席卷全球的各行各业,但世界各地也面临着共同的阻碍——电子商务的安全问题,必须要采用先进的安全技术对网上的数据、信息发送方、接收方进行身份确认,以保证各方信息传递的安全性、完整性、可靠性和交易的不可抵赖性。
以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。
数字安全证书建立了一套严密的身份认证系统,可以确保电子商务的安全性。
●信息的保密性
交易中的商务信息均有保密的要求.如信用卡的帐号和用户名被人知悉,就可能被盗用,订货和付款的信息被竞争对手获悉,就可能丧失商机。
因此在电子商务的信息传播中一般均有加密的要求。
●交易者身份的确定性
网上交易的双方很可能素昧平生,相隔千里。
要使交易成功首先要能确认对方的身份,对商家要考虑客户端不能是骗子,而客户也会担心网上的商店不是一个玩弄欺诈的黑店.因此能方便而可靠地确认对方身份是交易的前提。
对于为顾客或用户开展服务的银行、信用卡公司和销售商店,为了做到安全、保密、可靠地开展服务活动,都要进行身份认证的工作。
对有关的销售商店来说,他们对顾客所用的信用卡的号码是不知道的,商店只能把信用卡的确认工作完全交给银行来完成。
银行和信用卡公司可以采用各种保密与识别方法,确认顾客的身份是否合法,同时还要防止发生拒付款问题以及确认订货和订货收据信息等。
●不可否认性
由于商情的千变万化,交易一旦达成是不能被否认的。
否则必然会损害一方的利益.例如订购黄金,订货时金价较低,但收到订单后,金价上涨了,如收单方能否认受到订单的实际时间,甚至否认收到订单的事实,则订货方就会蒙受损失。
因此电子交易通信过程的各个环节都必须是不可否认的。
●不可修改性
交易的文件是不可被修改的,如上例所举的订购黄金。
供货单位在收到订单后,发现金价大幅上涨了,如其能改动文件内容,将订购数1吨改为1克,则可大幅受益,那么订货单位可能就会因此而蒙受损失。
因此电子交易文件也要能做到不可修改,以保障交易的严肃和公正。
2.3.4.2CA系统简介
人们在感叹电子商务的巨大潜力的同时,不得不冷静地思考,在人与人不见面的计算机互联网上进行交易和作业时,怎么才能保证交易的公正性和安全性,保证交易方身份的真实性。
国际上已经有比较成熟的安全解决方案,那就是建立安全证书体系结构。
数字安全证书提供了一种在网上验证身份的方式。
安全证书体制主要采用了公开密钥体制,其它还包括对称密钥加密、数字签名、数字信封等技术。
我们可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:
信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
系统特性
●高强度加密和认证
UniversalCA采用基于RSA加密算法的公钥体系加密和认证,可以生成512、768、1024位三种不同密钥的长度的证书,确保证书的安全性和可靠性。
多种生成证书的方法
由用户的请求文件生成证书。
在服务器端由管理员为用户生成证书。
利用已有的数据库为用户生成证书。
UniversalCA可以以上述三种方法生成证书,使用户应用极为方便。
支持国际互联网
UniversalCA发放的证书不依赖于固定的内部用户,只需一个Email地址即可实现证书的申请及应用,因此具有广泛的应用性。
具有同其他系统交换数据的能力
UniversalCA后台应用了东大阿尔派自主版权的数据库Oopenbase可以实现证书的海量管理,并具有同其他系统交换数据的能力,这使得系统具有良好的开放性与通用性。
易使用、功能强
UniversalCA运行在Windows环境下,将各种复杂操作屏蔽于后台,前台界面简单,且支持请求、证书的批量操作,以及可以实现过期证书的自动撤消。
CA机构,又称为证书授证(CertificateAuthority)中心,作为电子商务交易中受信任和具有权威性的第三方,承担公钥体系中公钥的合法性检验的责任。
CA中心为每个使用公开密钥的客户发放数字证书,数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得第三者不能伪造和篡改证书。
它负责产生、分配并管理所有参与网上信息交换各方所需的数字证书,因此是安全电子信息交换的核心。
为保证客户之间在网上传递信息的安全性、真实性、可靠性、完整性和不可抵赖性,不仅需要对客户的身份真实性进行验证,也需要有一个具有权威性、公正性、唯一性的机构,负责向电子商务的各个主体颁发并管理符合国内、国际安全电子交易协议标准的安全证书。
数字证书管理中心是保证电子商务安全的基础设施。
它负责电子证书的申请、签发、制作、废止、认证和管理,提供网上客户身份认证、数字签名、电子公证、安全电子邮件等服务等业务。
CA为电子商务服务的证书中心,是PKI(PublicKeyInfrastructure)体系的核心。
它为客户的公开密钥签发公钥证书、发放证书和管理证书,并提供一系列密钥生命周期内的管理服务。
它将客户的公钥与客户的名称及其他属性关联起来,为客户之间电子身份进行认证。
证书中心是一个具有权威性、可信赖性和公证性的第三方机构。
它是电子商务存在和发展的基础。
认证中心在密码管理方面的作用如下:
自身密钥的产生、存储、备份/恢复、归档和销毁
从根CA开始到直接给客户发放证书的各层次CA,都有其自身的密钥对。
CA中心的密钥对一般由硬件加密服务器在机器内直接产生,并存储于加密硬件内,或以一定的加密形式存放于密钥数据库内。
加密备份于IC卡或其他存储介质中,并以高等级的物理安全措施保护起来。
密钥的销毁要以安全的密钥冲写标准,彻底清除原有的密钥痕迹。
需要强调的是,根CA密钥的安全性至关重要,它的泄露意味着整个公钥信任体系的崩溃,所以CA的密钥保护必须按照最高安全级的保护方式来进行设置和管理。
为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务。
在客户证书的生成与发放过程中,除了有CA中心外,还有注册机构、审核机构和发放机构(对于有外部介质的证书)的存在。
行业使用范围内的证书,其证书的审批控制,可由独立于CA中心的行业审核机构来完成。
CA中心在与各机构进行安全通信时,可采用多种手段。
对于使用证书机制的安全通信,各机构(通信端)的密钥产生、发放与管理维护,都可由CA中心来完成。
确定客户密钥生存周期,实施密钥吊销和更新管理。
每一张客户公钥证书都会有有效期,密钥对生命周期的长短由签发证书的CA中心来确定。
各CA系统的证书有效期限有所不同,一般大约为2~3年。
密钥更新不外为以下两种情况:
密钥对到期、密钥泄露后需要启用新的密钥对(证书吊销)。
密钥对到期时,客户一般事先非常清楚,可以采用重新申请的方式实施更新。
采用证书的公钥吊销,是通过吊销公钥证书来实现的。
公钥证书的吊销来自于两个方向,一个是上级的主动吊销,另一个是下级主动申请证书的吊销。
当上级CA对下级CA不能信赖时(如上级发现下级CA的私钥有泄露的可能),它可以主动停止下级CA公钥证书的合法使用。
当客户发现自己的私钥泄露时,也可主动申请公钥证书的吊销,防止其他客户继续使用该公钥来加密重要信息,而使非法客户有盗取机密的可能。
一般而言,在电子商务实际应用中,可能会较少出现私钥泄露的情况,多数情况是由于某个客户由于组织变动而调离该单位,需要提前吊销代表企业身份的该客户的证书。
提供密钥生成和分发服务。
CA中心可为客户提供密钥对的生成服务,它采用集中或分布式的方式进行。
在集中的情形下,CA中心可使用硬件加密服务器,为多个客户申请成批的生成密钥对,然后采用安全的信道分发给客户。
也可由多个注册机构(RA)分布生成客户密钥对并分发给客户。
提供密钥托管和密钥恢复服务。
CA中心可根据客户的要求提供密钥托管服务,备份和管理客户的加密密钥对。
当客户需要时可以从密钥库中提出客户的加密密钥对,为客户恢复其加密密钥对,以解开先前加密的信息。
这种情形下,CA中心的密钥管理器,采用对称加密方式对各个客户私钥进行加密,密钥加密密钥在加密后即销毁,保证了私钥存储的安全性。
密钥恢复时,采用相应的密钥恢复模块进行解密,以保证客户的私钥在恢复时没有任何风险和不安全因素。
同时,CA中心也应有一套备份库,避免密钥数据库的意外毁坏而无法恢复客户私钥。
其他密钥生成和管理、密码运算功能。
CA中心在自身密钥和客户密钥管理方面的特殊地位和作用,决定了它具有主密钥、多级密钥加密密钥等多种密钥的生成和管理功能。
对于为客户提供公钥信任、管理和维护整个电子商务密码体系的CA中心来讲,其密钥管理工作是一项十分复杂的任务,它涉及到CA中心自身的各个安全区域和部件、注册审核机构以及客户端的安全和密码管理策略。
2.3.4.3SSL加密
SSL是一种国际标准的加密及身份认证通信协议,您用的浏览器就支持此协议。
SSL(SecureSocketsLayer)最初是由美国Netscape公司研究出来的,后来成为了Internet网上安全通讯与交易的标准。
SSL协议使用通讯双方的客户证书以及CA根证书,允许客户/服务器应用以一种不能被偷听的方式通讯,在通讯双方间建立起了一条安全的、可信任的通讯通道。
它具备以下基本特征:
信息保密性、信息完整性、相互鉴定。
2.3.4.3.1SSL(SecureSocketLayer):
安全套接层协议
SSL协议是由Netscape首先发表的网络资料安全传输协定,其首要目的是在两个通信间提供秘密而可靠的连接。
该协议由两层组成,底层是建立在可靠的传输协议(例如:
TCP)上的是SSL的记录层,用来封装高层的协议。
SSL握手协议准许服务器端与客户端在开始传输数据前,能够通过特定的加密算法相互鉴别。
SSL的先进之处在于它是一个独立的应用协议,其它更高层协议能够建立在SSL协议上。
目前大部分的WebServer及Browser大多支持SSL的资料加密传输协定。
因此,可以利用这个功能,将部分具有机密性质的网页设定在加密的传输模式,如此即可避免资料在网络上传送时被其他人窃听。
SSL是利用公开密钥的加密技术(RSA)来作为用户端与主机端在传送机密资料时的加密通讯协定。
目前,大部分的WebServer及Browser都广泛使用SSL技术。
对消费者而言,SSL已经解决了大部分的问题。
但是,对电子商务而言问题并没有完全解决,因为SSL只做能到资料保密,厂商无法确定是谁填下了这份资料,即使这一点做到了,还有和银行清算的问题。
SSL是目前在网上购物网站中最常使用的一种安全协议,它主要的设计目的在于确保信息在网际网络上流通的安全性,让主从式结构的应用程序(如浏览器与web服务器)能够安全地进行沟通。
当然,这里的安全指的是信息不被伪造,不被网络上的黑客中途拦劫解毒及擅自更改。
SSL的协议中结合了许多密码学的技术,其中包括:
1.信息加解密。
2.数字签名与签证技术。
除此之外,在进行安全联机之前,SSL会先采取“握手”(Handshaking)的动作,以确保网络上通信的双方都能够按部就班的根据预定步骤建立起两者之间的安全通道。
2.3.4.3.2SSL可以提供以下三种安全防护:
数据的机密性与完整性:
主要是通过数据的加解密来实现。
1.服务器端的个体识别服务:
利用服务器的数字证书来验证商店的资格,这是必要的手续,如此我们才能保证商店的有效性。
2.客户端的个体识别服务:
同样是通过客户自己的数字证书来完成。
但这个服务并不是必要的,可根据需求来设置。
以网上购物的例子来说,为了不让网络上的第三者看到我们的信用卡数据,因此必须先将数据加密之后再传送,而当数据到达对方服务器时再将数据解密,同时检查数
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络安全 技术 方案