Word第第頁網絡安全小知識分享一、網絡平安基本概念

一般地講，所謂網絡平安是指網絡系統的硬件、軟件及其系統中的數據受到愛護，不因偶然的或者惡意的緣由而患病到破壞、更改、泄露，系統連續牢靠正常地運行，網絡服務不中斷。

要保證網絡的平安需要通過采納各種技術和管理措施，使網絡系統正常運行，從而確保網絡數據的可用性、完好性和保密性。正常狀況下，網絡平安的詳細含義會隨著“角度”的改變而改變。比方：從用戶(個人、企業等)的角度來說，他們盼望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完好性和真實性的愛護。而從企業的角度來說，最重要的就是內部信息上的平安加密以及愛護。

二、網絡平安分析

2.1網絡結構平安分析

網絡拓撲結構設計直接影響到網絡系統的平安性。假如在外部和內部網絡進行通信時，內部網絡的機器平安就會受到威逼，同時也影響在同一網絡上的很多其他系統。透過網絡傳播，還會影響到連上Internet/Intranet的其他的網絡;影響所及，還可能涉及法律、金融等平安敏感領域。因此，在網絡設計時有必要將公開服務器(WEB、DNS、EMAIL等)和外網及內部其它業務網絡進行必要的隔離，避開網絡結構信息外泄;同時還要對外網的服務懇求加以過濾，只允許正常通信的.數據包到達相應主機，其它的懇求服務在到達主機之前就應當遭到拒絕。

2.2應用系統平安分析

應用系統的平安跟詳細的應用有關，它涉及面廣。應用系統的平安是動態的、不斷改變的。應用的平安性也涉及到信息的平安性，它包括許多方面。

2.2.1應用系統的平安是動態的、不斷改變的

應用的平安涉及方面許多，以目前Internet上應用最為廣泛的E-mail系統來說，其解決方案有sendmail、NetscapeMessagingServer、SoftwareComPost.Office、LotusNotes、ExchangeServer、SUNCIMS等不下二十多種。其平安手段涉及LDAP、DES、RSA等各種方式。應用系統是不斷進展且應用類型是不斷增加的。在應用系統的平安性上，主要考慮盡可能建立平安的系統平臺，而且通過專業的平安工具不斷發覺漏洞，修補漏洞，提高系統的平安性。

2.2.2應用的平安性涉及到信息、數據的平安性

信息的平安性涉及到機密信息泄露、未經授權的訪問、破壞信息完好性、假冒、破壞系統的可用性等。在某些網絡系統中，涉及到許多機密信息，假如一些重要信息遭到竊取或破壞，它的經濟、社會影響和政治影響將是很嚴峻的。因此，對用戶使用計算機必需進行身份認證，對于重要信息的通訊必需授權，傳輸必需加密。采納多層次的訪問掌握與權限掌握手段，實現對數據的平安愛護;采納加密技術，保證網上傳輸的信息(包括管理員口令與帳戶、上傳信息等)的機密性與完好性。

2.3管理的平安風險分析

2.3.1網絡平安的基本特征

網絡平安應具有以下四個方面的特征：

保密性：信息不泄露給非授權用戶、實體或過程，或供其利用的特性。

完好性：數據未經授權不能進行轉變的特性。即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。

可用性：可被授權實體訪問并按需求使用的特性。即當需要時能否存取所需的信息。例如網絡環境下拒絕服務、破壞網絡和有關系統的正常運行等都屬于對可用性的攻擊;

可控性：對信息的傳播及內容具有掌握力量。

2.3.1物理平安

自然災難(如雷電、地震、火災等)，物理損壞(如硬盤損壞、設備使用壽命到期等)，設備故障(如停電、電磁干擾等)，意外事故。解決方案是：防護措施，平安制度，數據備份等。

電磁泄漏，信息泄漏，干擾他人，受他人干擾，乘機而入(如進入平安進程后半途離開)，痕跡泄露(如口令密鑰等保管不善)。解決方案是：輻射防護，屏幕口令，隱蔽銷毀等。

操作失誤(如刪除文件，格式化硬盤，線路撤除等)，意外疏漏。解決方案是：狀態檢測，報警確認，應急恢復等。

計算機系統機房環境的平安。特點是：可控性強，損失也大。解決方案：加強機房管理，運行管理，平安組織和人事管理。

2.3.2平安掌握

操作系統的平安掌握：如用戶開機鍵入的口令(某些微機主板有“萬能口令”)，對文件的讀寫存取的掌握(如Unix系統的文件屬性掌握機制)。

網絡接口模塊的平安掌握。在網絡環境下對來自其他機器的網絡通信進程進行平安掌握。主要包括：身份認證，客戶權限設置與判別，審計日志等。

網絡互聯設備的平安掌握。對整個子網內的全部主機的傳輸信息和運行狀態進行平安監測和掌握。主要通過網管軟件或路由器配置實現。

2.3.3平安技術手段

物理措施：例如，愛護網絡關鍵設備(如交換機、大型計算機等)，制定嚴格的網絡平安規章制度，實行防輻射、防火以及安裝不間斷電源(UPS)等措施。

訪問掌握：對用戶訪問網絡資源的權限進行嚴格的認證和掌握。例如，進行用戶身份認證，對口令加密、更新和鑒別，設置用戶訪問名目和文件的權限，掌握網絡設備配置的權限，等等。

數據加密：加密是愛護數據平安的重要手段。加密的作用是保障信息被人截獲后不能讀懂其含義。防止計算機網絡病毒，安裝網絡防病毒系統。

網絡隔離：網絡隔離有兩種方式，一種是采納隔離卡來實現的，一種是采納網絡平安隔離網閘實現的。

隔離卡主要用于對單臺機器的隔離，網閘主要用于對于整個網絡的隔離。這兩者的區分可參見參考資料。

其他措施：其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。近年來，圍繞網絡平安問題提出了很多解決方法，例如數據加密技術和防火墻技術等。數據加密是對網絡中傳輸的數據進行加密，到達目的地后再解密還原為原始數據，目的是防止非法用戶截獲后盜用信息。防火墻技術是通過對網絡的隔離和限制訪問等方法來掌握網絡的訪問權限。

2.3.4平安防范意識

擁有網絡平安意識是保證網絡平安的重要前提。很多網絡平安大事的發生都和缺乏平安防范意識有關。

拓展學問：預防網絡平安隱患的方法有如下這些：

1、防火墻

安裝必要的防火墻，阻擋各種掃描工具的摸索和信息收集，甚至可以依據一些平安報告來阻擋來自某些特定IP地址范圍的機器連接，給服務器增加一個防護層，同時需要對防火墻內的網絡環境進行調整，消退內部網絡的平安隱患。

2、漏洞掃描

使用商用或免費的漏洞掃描和風險評估工具定期對服務器進行掃描，來發覺潛在的平安問題，并確保由于升級或修改配置等正常的維護工作不會帶來平安問題。

3、平安配置

關閉不必要的服務，最好是只供應所需服務，安裝操作系統的最新補丁，將服務升級到最新版本并安裝全部補丁，對依據服務供應者的平安建議進行配置等，這些措施將極大供應服