主流网络安全技术

一个安全的计算机网络应该具有可靠性、可用性、完整性、保密性和真实性等特点。计算机网络不仅要保护计算机网络设备安全和计算机网络系统安全，还要保护数据安全等。因此网络安全防范的重点主要有两个方面：一是计算机病毒，二是黑客犯罪。目前完整的安全体系结构如下图所示：确保网络安全的相应主流技术有防火墙技术、VPN技术、上网行为管理控制、入侵检测技术、防病毒与垃圾邮件、终端保护与审计、数据加密技术、备份与容灾技术等。下面就各层次的安全做简要解释：1、物理安全保证计算机信息系统各种设备的物理安全是保障整个网络系统安全的前提，物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。它主要包括三个方面：环境安全、设备安全、媒体安全。2、系统安全操作系统安全尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件使用权限进行严格限制；加强口令字的使用，并及时给系统打补丁、系统内部的相互调用不对外公开。通过配备操作系统安全扫描系统对操作系统进行安全性扫描，发现其中存在的安全漏洞，并有针对性地进行对网络设备重新配置或升级。应用系统安全：在应用系统安全上，应用服务器尽量不要开放一些没有经常用的协议及协议端口号。还有就是加强登录身份认证。确保用户使用的合法性；并严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。3、网络安全网络架构安全网络结构的安全主要指，网络拓扑结构是否合理；线路是否有冗余；路由是否冗余，防止单点失效等。隔离与访问控制划分安全域：按照“等级划分，重点保护”的思想，实施不同安全级别系统安全区域划分。划分虚拟子网(VLAN)：内部办公自动化网络根据不同用户安全级别或者根据不同部门的安全需求，利用三层交换机来划分虚拟子网(VLAN)，在没有配置路由的情况下，不同虚拟子网间是不能够互相访问的。通过虚拟子网的划分，能够实较粗略的访问控制。终端安全接入：部署网络准入控制设备，对内网终端用户进行入网审计，确保接入网络的终端都是符合安全策略的。边界保护防火墙防火墙是实现网络安全最基本、最经济、最有效的安全措施之一。防火墙通过制定严格的安全策略实现内外网络或内部网络不同信任域之间的隔离与访问控制。并且防火墙可以实现单向或双向控制，对一些高层协议实现较细粒的访问控制。目前生产防火墙设备的主流厂家有Juniper、Cisco、Sonicwall等，其中Juniper为全球最大网络安全厂商，在中国已经为尖端教育科研系统、银行系统、能源系统、以及广泛的商用市场、中小企业等提供尖端网络系统服务，特别是在金融行业提供高稳定性、安全的数据中心解决方案。通信保密上下级机构传送敏感的信息、建设安全OA系统、召开保密视频会议、保证业务流程中数据的机密性与完整性。主要是为了保护在网上传送的涉及企业秘密的信息，经过配备加密设备，使得在网上传送的数据是密文形式，而不是明文。可以选择以下几种方式：链路层加密：使用加密设备在链路层进行数据传输加密。网络层加密：对一些大型的网络，VPN设备可以使网络在升级提速时具有很好的扩展性。鉴于VPN设备的突出优点，应根据企业具体需求，在各个网络结点与公共网络相连接的进出口处安装配备VPN设备。上下级机构网络互联采取安全VPN接入的方式。入侵检测系统的持续安全运行需要安全审计技术发现潜在的安全事件（攻击、违反操作等），入侵检测系统就是最好的安全产品，入侵检测系统是根据已有的、最新的攻击手段的信息代码对进出网段的所有操作行为进行实时监控、记录，并按制定的策略实行响应（阻断、报警、发送E-mail）。从而防止针对网络的攻击与犯罪行为。扫描系统网络扫描系统可以对网络中所有部件（Web站点，防火墙，路由器，TCP/IP及相关协议服务）进行攻击性扫描、分析和评估，发现并报告系统存在的弱点和漏洞，评估安全风险，建议补救措施。系统扫描系统可以对网络系统中的所有操作系统进行安全性扫描，检测操作系统存在的安全漏洞，并产生报表，以供分析；还会针对具体安全漏洞提出补救措施。病毒防护由于在网络环境下，计算机病毒有不可估量的威胁性和破坏力。企业网络系统中使用的操作系统一般均为WINDOWS系统，比较容易感染病毒。因此计算机病毒的防范也是网络安全建设中应该考滤的重要的环节之一。反垃圾邮件通过部署反垃圾邮件设备，防止包含色情、恶意代码、违法言论等内容的垃圾邮件在企业网络中传播，影响网络秩序和网络的正常运行，同时也可以避免此类邮件对企业职员不必要的干扰。上网审计部署网络安全审计系统，提供了全面的网页内容过滤功能、快速过滤色情、赌博、毒品、暴力、种族歧视等不良网站，合理规划企业员工的网上行为，以及遵从上网审计法律需要。4、应用安全内部资源共享严格控制内部员工对网络共享资源的使用。在内部子网中一般不要轻易开放共享目录，否则较容易因为疏忽而在与员工间交换信息时泄漏重要信息。对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制，即只有通过口令的认证才允许访问数据。信息存储对有涉及企业秘密信息的用户主机，使用者在应用过程中应该做到尽量少开放一些不常用的网络服务。对数据库服务器中的数据库必须做安全备份。通过网络备份系统，可以对数据库进行远程备份存储。5、数据安全数据安全是指对信息在数据收集、处理、存储、检索、传输、交换、显示、扩散等过程中的保护，使得在数据处理层面保障信息依据授权使用，不被非法冒充、窃取、篡改、抵赖。所面对的威胁包括窃取、伪造、密钥截获、篡改、冒充、抵赖、攻击密钥等；主要包括数据在存储和使用过程中的完整性、保密性以及数据的备份和恢复。数据防泄漏网络设备、操作系统、数据库系统和应用系统的鉴别信息、敏感的企业管理数据和用户数据应采用加密或其他有效措施实现流通过程中的保密性；当使用便携式和移动式设备或者采用可移动磁盘时，应加密存储敏感信息；数据存储和备份应提供重要业务系统的本地和异地系统级热备份；应提供自动机制实现数据实时本地和异地备份；应提供重要网络设备、通信线路和服务器的硬件冗余；数据的灾难恢复应提供恢复数据的功能；应提供自动机制在灾难发生时实现自动业务切换和恢复；成功的灾难恢复系统就不单是产品、安装和维护方面的问题了，灾难恢复策略还包括对整个系统的经常性、有规律的测试和检查等；需要对灾备系统进行测试以检查其恢复数据所消耗的时间，数据是否在备份过程中会损坏等。