《网络安全技术白皮书范本》由会员分享,可在线阅读,更多相关《网络安全技术白皮书范本(50页珍藏版)》请在金锄头文库上搜索。
1、 技术白皮书 目 录 第一部分 公司简介 5 第二部分 网络安全的背景 5 第一章 网络安全的定义 5 第二章 产生网络安全问题的几个方面 6 21 信息安全特性概述 6 2. 2 信息网络安全技术的发展滞后于信息网络技术。 6 23TCP/IP协议未考虑安全性 6 24操作系统本身的安全性 7 25未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制 7 26忽略了来自内部网用户的安全威胁 7 27缺乏有效的手段监视、评估网络系统的安全性 7 28使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错
2、误,很容易造成损失 7 第三章 网络与信息安全防范体系模型以及对安全的应对措施 8 31信息与网络系统的安全管理模型 8 3.2 网络与信息安全防范体系设计 8 3.2.1 网络与信息安全防范体系模型 8 3.2.1.1 安全管理 9 3.2.1.2 预警 9 3.2.1.3 攻击防范 9 3.2.1.4 攻击检测 9 3.2.1.5 应急响应 10 3.2.1.6 恢复 10 3.2.2 网络与信息安全防范体系模型流程 10 3.2.3 网络与信息安全防范体系模型各子部分介绍 12 3.2.3.1 安全服务器 12 3.2.3.2 预警 12 3.2.3.3 网络防火墙 12 3.2.3.4
3、 系统漏洞检测与安全评估软件 13 3.2.3.5 病毒防范 13 3.2.3.6 VPN 14 2.3.7 PKI 14 3.2.3.8 入侵检测 14 3.2.3.9 日志取证系统 15 3.2.3.10 应急响应与事故恢复 15 3.2.4 各子部分之间的关系及接口 15 第三部分 相关网络安全产品和功能 17 第一章 防火墙 17 1.1防火墙的概念及作用 17 1.2防火墙的任务 18 1.3防火墙术语 19 1.4用户在选购防火墙的会注意的问题: 21 1.5防火墙的一些参数指标 23 1.6防火墙功能指标详解 23 1.7防火墙的局限性 27 1.8防火墙技术发展方向 27 第二
4、章 防病毒软件 31 21病毒是什么 31 22病毒的特征 32 23病毒术语 33 24病毒的发展的趋势 35 25病毒入侵渠道 36 26防病毒软件的重要指标 37 27防病毒软件的选购 38 第三章 入侵检测系统(IDS) 39 3.1入侵检测含义 39 3.2入侵检测的处理步骤 40 3.3入侵检测功能 43 3.4入侵检测系统分类 44 3.5入侵检测系统技术发展经历了四个阶段 44 3.6入侵检测系统的缺点和发展方向 45 第四章 VPN(虚拟专用网)系统 45 4.1 VPN基本概念 45 4.2 VPN产生的背景 46 4.3 VPN的优点和缺点 46 第五章 安全审计系统 4
5、6 5.1、安全审计的概念 46 5.2:安全审计的重要性 47 5.3、审计系统的功能特点 47 第六章 漏洞扫描系统 48 6.1网络漏洞扫描评估系统的作用 48 6.2 网络漏洞扫描系统选购的注意事项: 1、是否通过国家的各种认证 目前国家对安全产品进行认证工作的权威部门包括公安部信息安全产品测评中心、国家信息安全产品测评中心、解放军安全产品测评中心、国家保密局测评认证中心。 2、漏洞数量和升级速度 漏洞数量是考查漏洞扫描器的重要指标,最新漏洞的数量、漏洞更新和升级的方法以及升级方法是否能够被非专业人员掌握,使得漏洞库升级的频率显得更为重要。比如RJ-iTop网络隐患扫描系统每周一次,漏
6、洞数量达1502之多(截止到2004年7月9日)。 3、产品本身的安全性 扫描产品运行的操作系统平台是否安全以及产品本身的抗攻击性能如何都是用户应该需要考虑的因素。比如RJ-iTop网络隐患扫描系统采用软硬结合、专门优化的linux系统,关闭了不必要的端口和服务,并且传输的数据加密。 4、是否支持CVE国际标准 其目的是给所有已知的漏洞和安全泄露提供一个标准化的命名。给企业提供更好的覆盖、更容易的协同和加强的安全。 5、是否支持分布式扫描 产品具有灵活、携带方便、穿透防火墙的特性。因为现在不再有没有划分VLAN的单一 网络存在;扫描器发出的数据包有些会被路由器、防火墙过滤,降低扫描的准确性。
7、在网络内进行防火墙与IDS的设置,并不意味着我们的网络就绝对安全,但是设置得当的防火墙和IDS,至少会使我们的网络更为坚固一些,并且能提供更多的攻击信息供我们分析。防火墙、防病毒、入侵检测、漏洞扫描分别属于PDR和P2DR模型中的防护和检测环节。这几种安全技术围绕安全策略有序地组织在一起,相互协同,相互作用,构成一个动态自适应的防范体系。 49 第七章 身份认证系统 (PKI 系统) 49 7.1 PKI的体系结构 49 第一部分 公司简介 第二部分 网络安全的背景 第一章 网络安全的定义 国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬
8、件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。” 我国自己提出的定义是:“计算机系统的硬件、软件、数据受到保护 ,不因偶然的或恶意的原因而遭到破坏、更改、显露 ,系统能连续正常运行。”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。但总的说来,计算机网络的安全性 ,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。 随着信息技术的发展与应用,信息安全的内涵在不断的延伸,从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性,进而又发展为“攻(攻击)、防(防范)
9、、测(检测)、控(控制)、管(管理)、评(评估)”等多方面的基础理论和实施技术。传统的信息安全技术都集中在系统本身的加固和防护上,如采用安全级别高的操作系统与数据库,在网络的出口处配置防火墙,在信息传输和存储方面采用加密技术,使用集中的身份认证产品等。传统的信息系统安全模型是针对单机系统环境而制定的,对网络环境安全并不能很好描述,并且对动态的安全威胁、系统的脆弱性没有应对措施,传统的安全模型是静态安全模型。但随着网络的深入发展,它已无法完全反应动态变化的互联网安全问题。 第二章 产生网络安全问题的几个方面 21 信息安全特性概述 2. 2 信息网络安全技术的发展滞后于信息网络技术。 网络技术的
10、发展可以说是日新月异,新技术、新产品层出不穷,世界各国及一些大的跨国公司都在这方面投入了不少心力,可对产品本身的安全性来说,进展不大,有的还在延续第一代产品的安全技术,以Cisco公司为例,其低端路由产品从cisco 2500系列到7500系列,其密码加密算法基本一致。而其他功能,特别是数据吞吐能力及数据交换速率提高之大,令人瞠目。在我国,许多大的应用系统也是建立在国外大型操作系统的基础之上。如果我们的网络安全产品也从国外引进 ,会使我们的计算机信息系统完全暴露在外。后果堪忧。 其次,网络应用的设计往往在应用方面考虑的比较多,这就是应用永远高于安全,因为一个系统的设计最终的目的是为了应用、其次
11、才是安全。互联网的发展也一样,互联网上的应用系统的发展速度和规模远远大于安全系统的发展速度和规模。 23TCP/IP协议未考虑安全性 在TCP/IP协议设计之处,主要考虑的是互联和应用方便,所以TCP/IP协议是一个开放的互联网协议,它从一开始就是一种松散的、无连接的、不可靠的方式,这一特点造成在网上传送的信息很容易被拦截、偷窥和篡改。TCP/IP协议的两个创始人Vinton G Cerf和Robert E. Kahn没有为这个协议的发明去申请专利,而是公开了源代码,这为互联网的飞速发展奠定了基础,也为网络安全留下了很多的隐患。我们的网络哨兵其实也是这个安全漏洞的产物,我们的抓包程序能获取到H
12、UB或交换机中的数据包、然后进行分析处理,这本身就是TCP/IP协议的漏洞之一。TCP/IP协议中的数据是以明文形式发送的,这为安全留下了隐患。 24操作系统本身的安全性 目前流行的许多操作系统均存在网络安全漏洞,如UNIX, Windows、甚至包括一些安全系统的操作系统也存在安全漏洞。黑客往往就是利用这些操作系统本身所存在的安全漏洞侵入系统。 25未能对来自Internet的邮件夹带的病毒及Web浏览可能存在的恶意Java/ActiveX控件进行有效控制 26忽略了来自内部网用户的安全威胁 来自内部用户的安全威胁远大于外部网用户的安全威胁,特别是一些安装了防火墙的网络系统,对内部网用户来说
13、一点作用也不起。 27缺乏有效的手段监视、评估网络系统的安全性 完整准确的安全评估是黑客入侵防范体系的基础。它对现有或将要构建的整个网络的安全防护性能作出科学、准确的分析评估,并保障将要实施的安全策略技术上的可实现性、经济上的可行性和组织上的可执行性。网络安全评估分析就是对网络进行检查,查找其中是否有可被黑客利用的漏洞,对系统安全状况进行评估、分析,并对发现的问题提出建议从而提高网络系统安全性能的过程。评估分析技术是一种非常行之有效的安全技术。 28使用者缺乏安全意识,许多应用服务系统在访问控制及安全通信方面考虑较少,并且,如果系统设置错误,很容易造成损失 在一个安全设计充分的网络中,人为因素
14、造成的安全漏洞无疑是整个网络安全性的最大隐患。网络管理员或网络用户都拥有相应的权限 ,利用这些权限破坏网络安全的隐患也是存在的。如操作口令的泄漏 ,磁盘上的机密文件被人利用,临时文件未及时删除而被窃取,内部人员有意无意的泄漏给黑客带来可乘之机等,都可能使网络安全机制形同虚设。 第三章 网络与信息安全防范体系模型以及对安全的应对措施 如何才能使我们的网络百分之百的安全呢?对这个问题的最简单的回答是:不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机
15、构、法律、技术、经济各方面。安全解决方案不是简单产品的堆砌,而是从风险分析、需求分析、安全策略到安全意识教育与技术培训的系统工程。 31信息与网络系统的安全管理模型 3.2 网络与信息安全防范体系设计 3.2.1 网络与信息安全防范体系模型 网络与信息安全防范体系是一个动态的、基于时间变化的概念,为确保网络与信息系统的抗攻击性能,保证信息的完整性、可用性、可控性和不可否认性,本安全体系提供这样一种思路:结合不同的安全保护因素,例如防病毒软件、防火墙和安全漏洞检测工具,来创建一个比单一防护有效得的多的综合的保护屏障。多层、安全互动的安全防护成倍地增加了黑客攻击的成本和难度,从而大大减少了他们对网
16、络系统的攻击。 图1: 网络与信息安全防范模型 网络与信息安全防范模型如图1所示,它是一个可扩展的结构。 3.2.1.1 安全管理 一个成功的安全防范体系开始于一个全面的安全政策,它是所有安全技术和措施的基础,也是整个体系的核心。 3.2.1.2 预警 是实施安全防范体系的依据,对整个网络安全防护性能给出科学、准确的分析评估,有针对性的给出防范体系的建设方案才是可行的。 3.2.1.3 攻击防范 攻击防范是用于提高安全性能,抵抗入侵的主动防御手段,通过建立一种机制来检查、再检查系统的安全设置,评估整个网络的风险和弱点,确保每层是相互配合而不是相互抵触地工作,检测与政策相违背的情况,确保与整体安全政策保持一致。使用扫描工具及时发现问题并进行修补,使用防火墙、VPN、PKI等技术和措施来提高网络抵抗黑客入侵的能力。 3.2.1.4 攻击检测 攻击检测是保证及时发现攻击行为,为及时响应提供可能的关键环节,使用基于网络和基于主机的IDS,并对检测系统实施隐蔽技术,以防止黑客发现防护手段进而破坏监测
