《公司企业网络安全的管理策略与技术》由会员分享,可在线阅读,更多相关《公司企业网络安全的管理策略与技术(24页珍藏版)》请在金锄头文库上搜索。
1、下载可编辑 公司企业网络安全的管理策略及技术摘要: 简述计算机网络安全涉及的三个方面:企业的安全策略、网络自身安 全及网络应用安全问题;分析TCP/IP协议族存在的安全漏洞;介绍实 现Intranet/Internet安全的常用技术,信息加密方法、合法用户身份验 证、访问网络资源权限控制及防火墙技术;尽管内外网络的直接连接完 全被防火墙阻断,但内部网络用户可以自由地访问内部和外部网络源。 从分析上海烟草(集团)公司企业信息网络目前存在的安全问题以及一 个企业的信息网络应当具备的安全体制和所应有的安全策略及技术着 手,从而勾画出上海烟草(集团)公司安全的企业信息网络。关键词: 企业网络,安全策略
2、,TCP/IP,Intranet,Internet,防火墙, 代理服务器 近年来,计算机网络的安全问题成为热门话题。许多专家学者都在从事 这方面的研究工作。各大计算机及网络设备公司也投入大量的人力物力从事这方面的研究与开发,推出相应的安全产品。 许多单位采用Internet技术构建自己的内部私有网络Intranet。规模可以是局域网(LAN),也可以将遍布世界各地的分支机构都连接在一起构成的广域网(WAN)。在Intranet中,网络安全问题更加重要。首先,在Intranet与Internet的交界处,必须有很好的安全措施,否则将危及内部私有网络的安全。另外,在企业网的内部也同样存在着安全问题
3、,如各部门间的安全措施,哪些员工可以访问哪些资源,核心资料的保密等。 目录中英文摘要( 1 )前言 ( 1 )关键词( 1 )一、计算机网络安全管理策略( ) 1.1企业的安全策略( ) 1.2 计算机网络自身的安全( ) 1.3 网络管理的安全 ( )二、TCPIP协议族中的安全隐患( ) 2.1 源路由( ) 2.2 路由信息协议( 2 ) 2.3 网际控制报文协议( ) 2.4 Finger服务( ) 2.5 电子邮件( )三、实现计算机网络安全的常用技术( ) 3.1 加密(Encryption)( ) 3.2 身份验证( ) 3.2.1 基于令牌的身份验证( ) 3.2.2 KERB
4、EROS( ) 3.2.3 路由器方面的身份验证( ) 3.3 访问控制(Access Control)( ) 3.3.1路由器的访问控制( ) 3.3.2 小型机、服务器的访问控制( ) 3.4 防火墙技术( ) 3.4.1 过滤路由器(Filtering Routers)( ) 3.4.2 基于主机的Firewall(Bastion Host)( ) 3.4.3 构成企业的双防火墙结构( )四、 企业信息网络安全管理的实施规划( ) 4.1 加强网络边界安全建设( ) 4.2 建设企业信息化网络系统的入侵检测和漏洞扫描系统( ) 4.3 建设企业信息化安全审计系统( ) 4.4 采用全面的
5、、多层次的分层病毒防御战略体系( ) 4.5 建设企业统一的CA认证中心,提高电子商务的安全度( )五、 结束语(心得体会与经验总结)( )六、 几点不足与努力方向 ( )一、 计算机网络安全管理策略计算机网络安全问题主要涉及安全策略,计算机网络自身安全和网络应用安全三方面,以及一些基本技术和服务。在实际的Intranet网络中,必须根据各企业的特点,综合运用这些技术,来加强Intranet网络安全。一般来说,网络安全策略主要集中在阻截入侵者,而不是试图警戒内部用户。它的工作重点是阻止外来用户的突然侵入和故意暴露敏感性数据,而不是阻止内部用户使用外部网络服务。网络安全策略的一个目标就是要提供一
6、个透明机制,以便这些策略不会对用户产生障碍。.1企业的安全策略 企业的安全策略在网络安全中起着重要作用。任何一个企业或机构,当它要建设Intranet网络时,首先必须确定它将采用什么样的对内和对外的安全策略。以便企业对安全性问题有了通盘的考虑,并对出现问题时需要采取的措施也有所准备。网络的安全策略可以有以下三种: 1根本不做任何防护,出了问题再说。如果某些单位没有什么特别需要保密的资料,并且上网的机器主要目的只是宣传广告等,即使被破坏也不会造成很大损失,而且恢复起来不很麻烦,可采取这种策略。 2采取极严格的措施,不连网。某些有敏感信息的主机或LAN,不连在公用网上。对于军事机密,政府重要部门,
7、或公司的重要技术秘密,在没有十足把握的情况下,不要冒险连网。 3第三种策略是将计算机连在网上,采取一定的安全保护措施,如加一个防火墙(Firewall),或加密传输、进行严格的身份确证、加访问控制等。主要目的是保护合法用户的正常使用,而非法用户无法获取或破坏信息。 基于上海烟草(集团)公司计算机信息网络目前的状况和发展前景而言,综合采用第2、3种安全策略是主动的、合理的和先进的。换句话说,就是要采用先进的手段主动出击,加强安全防范。 尽管网络安全很重要,但网络安全与使用方便之间存在着矛盾。必须在风险不方便性(Risk/Inconvenience)之间作选择。网络安全性最终是由网络投资方的最高决
8、策者制定他们的安全策略,然后再采取相应的技术措施加以实施。.2 计算机网络自身的安全 计算机网络自身的安全是指维护网络设备的安全性,以保证计算机网络的正常运行。 任何一个网络都有可能出现故障或遭到攻击,所以,必须经常对网络进行各种检查和测试,作好日志和审计工作,发现问题及时修补。建设网络管理中心站,将有助于网络自身安全的实现。.3 网络管理的安全 网络管理基于网络应用层的协议。这些协议在最初设计时并没有充分考虑到商业应用,无可避免地存在一些安全漏洞,在应用于商业领域后,或多或少的会出现一些安全性问题,我们必须对这些问题有足够的重视,努力解决各种问题,避免损失。二、 TCPIP协议族中的安全隐患
9、Intranet/Internet网络体系结构都是基于TCP/IP协议族的,TCP/IP协议尽管是在美国国防部的赞助下开发的,但是协议本身如源路由(Source Routing)、路由信息协议(RIP)、网际控制报文协议(ICMP)、Finger服务、邮局协议(POP)等也存在着安全漏洞。 .1 源路由 源路由是在数据包中指出要经过的所有路由。有些路由器对源路由的反应是使用其指定的路由,并使用其反向路由来传送应答数据,这就使得网络黑客可以假冒一个主机的名义,通过一个特定的路径来获取信息。 .2 路由信息协议 路由信息协议,常用于在局域网(尤其是广播介质局域网)上传播路由信息,对收到的路由信息并
10、不检验,这就使得侵入者可以给目标主机以及沿途的每个网关发送虚假的路由信息。这将使所有要送往某个特殊的主机的包被送到侵入者的机器上。侵入者可以进行观察或可能的修改。然后将这些包重新发送,利用IP源地址路由,到达指定的目的地。采用这种方法,可以捕获口令及其他敏感数据。 .3 网际控制报文协议 网际控制报文协议,是在TCP/IP协议组基本的网络管理工具。也是在网络层中与IP一起使用的协议。从技术上说,ICMP是一种差错报告机制。通常ICMP攻击相当困难,但也还有可以利用的漏洞。因为ICMP具有重定向功能,能够用来向主机提供更好的路由。而一些主机不对ICMP的重定向报文作合法性的校验,这一性质的攻击产
11、生的效果于基于RIP攻击的效果类似。另外,ICMP也可以用来实现拒绝服务的攻击。假如侵入者知道了一个TCP连接的本地和远地的端口号,假冒一个ICMP包就可以中断这个连接。如果某个服务器成了侵入者的攻击对象,它只要不时发若干个ICMP包,切断被攻击对象对外的一切连接,那么这个服务器就无法正常工作。 .4 Finger服务 许多系统提供Finger服务,该服务显示关于使用者的有用信息,如他们的全名、电话号码、办公室号码等。这些信息对口令破译者很有利。 .5 电子邮件 电子邮件(E-mail)使用的邮局协议(POP)允许远程用户检索存储在中心服务器内的邮件。使用含有用户名和口令的单命令方法鉴别。这种
12、将两者结合在单个命令里代替传统口令的使用,很容易受到线路窃听者的利用。最新版本的邮局协议己将用户名和口令分为两个命令,这将有利于用户身分的验证的安全性。在许多场合都使用的“一次性口令”(one-time password),是主机和许多用户可用的设备共享一个密钥,主机发布一个随机询问;双方加密这个数字,并由用户送回主机。随机提问和回答,使得窃听者无所作为。 以上的这些服务大多数已经通过了补丁,解决了安全问题。三、 实现计算机网络安全的常用技术计算机网络安全技术主要涉及以下几方面内容:加密(Encryption)、身份验证(Authentication)、访问控制(Access Control)
13、及防火墙(Firewall)技术。.1 加密(Encryption)数据加密作为一项基本技术是所有通信安全的基石。数据加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,数据加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。如果按照收发双方密钥是否相同来分类,可以将这些加密算法分为常规密码算法和公钥密码算法。 在常规密码中,收信方和发信方使用相同的密钥,即加密密钥和解密密钥是相同或等价的。比较著名的常规密码算法有:美国的DES及其各种变形,比如Triple DES、GDES、New DES和DES的前身Lucifer;欧洲的IDEA;日本的FE
