网络安全基础知识浅析

yishengtanxi · 发表于 2014-6-3 14:31:29

网络连接的安全问题随着计算机技术的迅速发展日益突出，从网络运行和管理者角度说，他们希望对本地网络信息的访问、读写等操作受到保护和控制，避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁，制止和防御网络黑客的攻击。对安全保密部门来说，他们希望对非法的、有害的或涉及国家机密的信息进行过滤和防堵，避免机要信息泄露，避免对社会产生危害，对国家造成巨大损失。从社会教育和意识形态角度来讲，网络上不健康的内容，会对社会的稳定和人类的发展造成阻碍，必须对其进行控制。
准确地说，关于信息安全或者信息保障主要有两个要素：首先，正确配置系统和网络并且保持这种正确配置，因为这一点很难做到完美;第二个要素就是清楚知道进出网络的流量。这样的话，当发生严重的问题时，你就能检测出问题错在。因此，网络安全的主要任务主要包括以下几方面：
保护，我们应该尽可能正确地配置我们的系统和网络
检测，我们需要确认配置是否被更改，或者某些网络流量出现问题反应，在确认问题后，我们应该立即解决问题，尽快让系统和网络回到安全的状态
纵深防御
因为我们并不能实现绝对的安全，所以我们需要接受一定级别的风险。风险的定义就是系统漏洞带来威胁的可能性，风险是很难计算的，不过我们可以通过分析已知的攻击面、可能被攻击者获取或者利用的漏洞等因素来确定大概的风险级别。漏洞扫描器或者渗透测试可以帮助我们衡量或者定义攻击面，可以帮助我们降低风险以及改进系统安全状况的方法就是采用多层防御措施，主要有五种基本因素来建立纵深防御：
纵深防御保护方法一般都会采用防火墙将内部可信区域与外部互联网分离，大多数安全部署都会在服务器和计算机的邮件存储和发送进行防病毒检测，这意味着所有的内部主机都受到计算机网络基础设施的相同级别的保护。这是最常见且最容易部署的安全措施，但是从实现高水准信息安全保障的角度来看，这也是实用率最低的方式，因为所有计算机包含的信息资产对于企业并不是相等重要的。受保护的领域，这意味着将内部网络*********若干个子区域，这样网络就不是一个没有内部保护的大区域。这可以通过防火墙、VPN、VPN、VLAN和网络访问控制来实现。

yishengtanxi · 发表于 2014-6-3 14:35:49

加密
当纵深防御措施失效的时候，对于数据的保护就只能靠加密了。加密功能可以是非常强大的：如果企业使用的是现代算法，且加密信息得到了非常强大的保护，那么加密数据就不会被攻击。但是，我们用于管理加密的程序可能被攻击，而这使与密钥管理相关的程序变得非常重要。例如，很多企业购买了全盘加密解决方案，但是如果没有密钥的话，就无法修改加密程序。不过位于普林斯顿的研究人员近日研究出了从内存中获取密钥的方法，这也使很多厂商的产品受到威胁。主要有三种类型的加密算法：秘密密钥、公钥和hash函数。与私钥和公钥算法不同的是，hash函数(也被称为信息摘要或者单向加密)没有密钥。固定长度的hash值是基于纯文本(可以涵盖纯文本的内容或者长度)来计算的。在加密学中Hash函数的主要应用应用就是信息完整性，hash值为信息内容提供了一个数字指纹，这能够确保信息不会被攻击者、病毒或者其他对象所修改。因为两种不同的文本产生相同的hash值的可能性是非常低的，这也使hash算法是很有效的。

访问权限，身份验证，授权

有时候也被称为AAA或者三A，这三个是确保企业安全性的关键因素。访问权限可以确保只有正确的人才能访问企业的计算和网络资源。由于密码是共享的，很多企业使用物理令牌来进行身份验证，验证成功后，还需要确保某个用户只能访问允许他访问的资源。

职责分离，服务分离

当人们在处理金钱的时候经常会采用职责分离方法，这样就能够减少错误的发生。因为信息也可以很简单地被购买和兜售，因此信息也需要采用职责分离这种方式。如果你的系统管理员表示他们的职责不能分离的话，需要让他们了解这样做的重要性。在过去，服务器是很昂贵的，通常是在一台服务器上运行多个服务。只要这台服务器崩溃，在服务器上运行的多个服务都会失效。后来，大家开始采用一个服务一台服务器的方式，邮件服务器和文件服务器等。现在，随着虚拟机和服务导向的网络架构的发展，我们又回到了一台服务器运行多个服务的年代，甚至运行比以前更多的服务。不过只要部署了适当的措施还是能够避免错误的发生，例如操作分离、灾难恢复等等。

端点安全和无处不在的网络

无线网络不断壮大，只要使用PDA或者先进点的手机就能够随时连接到网络。这些设备也可以通过蓝牙与你的电脑或者笔记本进行连接。企业必须确保这些设备的安全，这也就是所谓的端点安全。不能因为连接到受防火墙和入侵防御解决方案保护的企业局域网络，就认为你的处境非常安全。我们需要从无处不在的网络的角度来考虑安全问题。