網路安全生產環境

Ⅰ 如何營造安全的網路環境

安裝一些防病毒攔截軟體

Ⅱ 網路安全涉及哪幾個方面.

網路安全主要有系統安全、網路的安全、信息傳播安全、信息內容安全。具體如下：

1、系統安全

運行系統安全即保證信息處理和傳輸系統的安全，側重於保證系統正常運行。避免因為系統的崩演和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻，產生信息泄露，干擾他人或受他人干擾。

2、網路的安全

網路上系統信息的安全，包括用戶口令鑒別，用戶存取許可權控制，數據存取許可權、方式控制，安全審計。安全問題跟踩。計算機病毒防治，數據加密等。

3、信息傳播安全

網路上信息傳播安全，即信息傳播後果的安全，包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果，避免公用網路上大雲自由傳翰的信息失控。

4、信息內容安全

網路上信息內容的安全側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。

(2)網路安全生產環境擴展閱讀：

維護網路安全的工具有VIEID、數字證書、數字簽名和基於本地或雲端的殺毒軟體等構成。

1、Internet防火牆

它能增強機構內部網路的安全性。Internet防火牆負責管理Internet和機構內部網路之間的訪問。在沒有防火牆時，內部網路上的每個節點都暴露給Internet上的其它主機，極易受到攻擊。這就意味著內部網路的安全性要由每一個主機的堅固程度來決定，並且安全性等同於其中最弱的系統。

2、VIEID

在這個網路生態系統內，每個網路用戶都可以相互信任彼此的身份，網路用戶也可以自主選擇是否擁有電子標識。除了能夠增加網路安全，電子標識還可以讓網路用戶通過創建和應用更多可信的虛擬身份，讓網路用戶少記甚至完全不用去記那些煩人的密碼。

3、數字證書

CA中心採用的是以數字加密技術為核心的數字證書認證技術，通過數字證書，CA中心可以對互聯網上所傳輸的各種信息進行加密、解密、數字簽名與簽名認證等各種處理，同時也能保障在數字傳輸的過程中不被不法分子所侵入，或者即使受到侵入也無法查看其中的內容。

Ⅲ 良好的網路安全環境需要全社會怎麼做

網路已成為廣大網民汲取知識、增長才幹、娛樂生活的重要平台，同時也成為反映網民道德水平的一面鏡子。新幹人民政府網為我們提供了一個了解新干、宣傳新干、展示新干良好形象的窗口。然而，我們卻痛心地看到，極少數網民把互聯網作為宣洩不良情緒的工具，「新干論壇」中個別網民的謾罵詆毀，造謠惑眾，甚至對個人進行人身攻擊、人格侮辱，語言低級下流，格調極為卑劣，在構建文明和諧社會中出現了「雜音」、「噪音」、「不和諧音」，損害了新幹人民的美好形象。正直之士對這樣的不文明行為很憤慨。目前，凈化網路環境，抵制不文明行為已成為廣大幹部群眾的強烈願望。為加強互聯網管理，創建綠色網上空間，推進網路文明建設，新干縣委宣傳部、新干縣信息中心發出如下倡議：第一、提倡網路道德.作為一名公民，不論在現實生活還是虛擬網路中，都應該做到知榮明恥，揚榮棄恥，慎守善德，樹立高尚的人格，體現個人素養和品位。每一位網民，特別是關注我縣經濟社會健康發展的網民，網上的一言一行，更應增強網路道德意識，培養良好的上網習慣，做到網上網下言行一致，形成良好的網路道德行為規范，自覺維護新乾的良好形象，體現作為網民的高素質、高格調，共同建設綠色互聯網，積極營造健康文明的網路文化環境，把互聯網建設成為傳播先進文化的陣地、虛擬社區的和諧家園。第二、提倡遵紀守法。公安部第33號令《計算機信息網路國際互聯網安全保護管理法》第五條明確規定，「捏造或歪曲事實，散布謠言，擾亂社會秩序的」、「公然侮辱他人或者捏造事實誹謗他人的」，要受到法律相應的處罰或制裁。作為文明的網民，應遵循守法、公平、誠信的基本原則，自覺遵守國家有關互聯網的法律、法規和政策，思想上自省，人格上自重，言行上自律，堅持依法上網，文明上網，堅持上網要健康，聊天講文明，發帖遵法律，杜絕違規違紀行為。每一個有良知、有正義感的網民對不文明不道德的言行都應予以反擊，堅決抵制各種蠱惑性謠言和各種不文明網路行為，構築起自覺屏蔽不良信息的「防火牆」，營造健康文明的網路文化環境。第三，提倡言論公正。有的網民說，「網路是虛擬社會，可以信馬游韁，放鬆心情，隨心所欲。」但是，自由不是失控，放鬆更不是放縱。提倡思想與言論自由，並不意味著任何信息的發布都可以不受約束。互聯網應該成為宣傳科學理論、傳播先進文化、塑造美好心靈、弘揚社會正氣的陣地，凈化網路環境，網民是主力。因此，廣大網民應堅持客觀、公正的原則，做有正義感、責任感、上進心的合格網民，發表客觀、真實的信息，揭露問題也要准確、客觀、公正、善意，杜絕任何形式的虛假、侵權、低俗信息，尊重個人隱私權，用自己的行動在全縣形成文明上網、安全上網的良好風氣。做一個文明網民，從現在做起，從我做起，從一點一滴做起。希望我們共同努力，把新干網站這個家園建設好,在全縣形成文明上網、文明建網、共建文明網路的氛圍.讓我們做網路文明的使者，做網路道德的模範，做網路安全的衛士，自律、自尊、自愛，上文明網，說文明話，做文明事，共同營造積極向上、文明和諧、安全穩定的新干網路環境。讓我縣網路世界變得清新潔凈!讓文明春風拂滿新干縣的網站!讓文明之光照耀新幹人的心靈!

Ⅳ 大數據環境下的網路安全分析

大數據環境下的網路安全分析
「大數據」一詞常被誤解。事實上，使用頻率太高反而使它幾乎沒有什麼意義了。大數據確實存儲並處理大量的數據集合，但其特性體現遠不止於此。

在著手解決大數據問題時，將其看作是一種觀念而不是特定的規模或技術非常有益。就其最簡單的表現來說，大數據現象由三個大趨勢的交集所推動：包含寶貴信息的大量數據、廉價的計算資源、幾乎免費的分析工具。
大數據架構和平台算是新事物，而且還在以一種非凡的速度不斷發展著。商業和開源的開發團隊幾乎每月都在發布其平台的新功能。當今的大數據集群將會與將來我們看到的數據集群有極大不同。適應這種新困難的安全工具也將發生變化。在採用大數據的生命周期中，業界仍處於早期階段，但公司越早開始應對大數據的安全問題，任務就越容易。如果安全成為大數據集群發展過程中的一種重要需求，集群就不容易被黑客破壞。此外，公司也能夠避免把不成熟的安全功能放在關鍵的生產環境中。
如今，有很多特別重視不同數據類型（例如，地理位置數據）的大數據管理系統。這些系統使用多種不同的查詢模式、不同的數據存儲模式、不同的任務管理和協調、不同的資源管理工具。雖然大數據常被描述為「反關系型」的，但這個概念還無法抓住大數據的本質。為了避免性能問題，大數據確實拋棄了許多關系型資料庫的核心功能，卻也沒犯什麼錯誤：有些大數據環境提供關系型結構、業務連續性和結構化查詢處理。
由於傳統的定義無法抓住大數據的本質，我們不妨根據組成大數據環境的關鍵要素思考一下大數據。這些關鍵要素使用了許多分布式的數據存儲和管理節點。這些要素存儲多個數據副本，在多個節點之間將數據變成「碎片」。這意味著在單一節點發生故障時，數據查詢將會轉向處理資源可用的數據。正是這種能夠彼此協作的分布式數據節點集群，可以解決數據管理和數據查詢問題，才使得大數據如此不同。
節點的鬆散聯系帶來了許多性能優勢，但也帶來了獨特的安全挑戰。大數據資料庫並不使用集中化的「圍牆花園」模式（與「完全開放」的互聯網相對而言，它指的是一個控制用戶對網頁內容或相關服務進行訪問的環境），內部的資料庫並不隱藏自己而使其它應用程序無法訪問。在這兒沒有「內部的」概念，而大數據並不依賴數據訪問的集中點。大數據將其架構暴露給使用它的應用程序，而客戶端在操作過程中與許多不同的節點進行通信。
規模、實時性和分布式處理：大數據的本質特徵（使大數據解決超過以前數據管理系統的數據管理和處理需求，例如，在容量、實時性、分布式架構和並行處理等方面）使得保障這些系統的安全更為困難。大數據集群具有開放性和自我組織性，並可以使用戶與多個數據節點同時通信。驗證哪些數據節點和哪些客戶應當訪問信息是很困難的。別忘了，大數據的本質屬性意味著新節點自動連接到集群中，共享數據和查詢結果，解決客戶任務。
嵌入式安全：在涉及大數據的瘋狂競賽中，大部分的開發資源都用於改善大數據的可升級、易用性和分析功能上。只有很少的功能用於增加安全功能。但是，你希望得到嵌入到大數據平台中的安全功能。你希望開發人員在設計和部署階段能夠支持所需要的功能。你希望安全功能就像大數據集群一樣可升級、高性能、自組織。問題是，開源系統或多數商業系統一般都不包括安全產品。而且許多安全產品無法嵌入到Hadoop或其它的非關系型資料庫中。多數系統提供最少的安全功能，但不足以包括所有的常見威脅。在很大程度上，你需要自己構建安全策略。
應用程序：面向大數據集群的大多數應用都是Web應用。它們利用基於Web的技術和無狀態的基於REST的API。雖然全面討論大數據安全的這個問題超出了本文的范圍，但基於Web的應用程序和API給這些大數據集群帶來了一種最重大的威脅。在遭受攻擊或破壞後，它們可以提供對大數據集群中所存儲數據的無限制訪問。應用程序安全、用戶訪問管理及授權控制非常重要，與重點保障大數據集群安全的安全措施一樣都不可或缺。
數據安全：存儲在大數據集群中的數據基本上都保存在文件中。每一個客戶端應用都可以維持其自己的包含數據的設計，但這種數據是存儲在大量節點上的。存儲在集群中的數據易於遭受正常文件容易感染的所有威脅，因而需要對這些文件進行保護，避免遭受非法的查看和復制。

Ⅳ 網路安全工程師，就業前景如何

網路安全工程師，就業前景很不錯，值得大家去學習。對於我們普通人來說，感覺網路安全離得會比較遠，但是這次疫情也是讓我們知道了網路安全的重要性，基本上好多的日常東西都是通過網路來完成的，也讓我們開始重視網路安全。

畢竟我們都不想讓我們的隱私和重要的數據被他人盜用，這個時候就需要網路安全來作為我們的保障，那麼網路安全有前景嗎?要是有的話，我現在開始學習能不能來的及，可不可以通過這個技能來找到工作。

Ⅵ 什麼是網路安全網路安全應包括幾方面內容

網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統連續可靠正常地運行，網路服務不中斷。

網路安全應包括：企業安全制度、數據安全、傳輸安全、伺服器安全、防火牆安全（硬體或軟體實現、背靠背、DMZ等）、防病毒安全；

在網路上傳輸的個人信息(如銀行賬號和上網登錄口令等)不被他人發現，這就是用戶對網路上傳輸的信息具有保密性的要求。 在網路上傳輸的信息沒有被他人篡改，這就是用戶對網路上傳輸的信息具有完整性的要求。

(6)網路安全生產環境擴展閱讀：

網路傳輸的安全與傳輸的信息內容有密切的關系。信息內容的安全即信息安全，包括信息的保密性、真實性和完整性。

其中的信息安全需求，是指通信網路給人們提供信息查詢、網路服務時，保證服務對象的信息不受監聽、竊取和篡改等威脅，以滿足人們最基本的安全需要(如隱秘性、可用性等)的特性。

網路安全側重於網路傳輸的安全，信息安全側重於信息自身的安全，可見，這與其所保護的對象有關。

Ⅶ 網路安全的工作環境怎麼樣

很好 薪資待遇都不錯

Ⅷ 我國安全環境面臨的主要挑戰有哪些

我國安全環境面臨的主要挑戰有：

1、從外部發展環境看，過去幾十年是世界經濟的「黃金發展期」。我國通過積極參與和開拓國際市場，取得了經濟的快速發展，全球貨物貿易居世界第一，經濟總量居世界第二。

2、全球問題凸顯是戰略機遇期內涵變化的一個重要原因。其中，氣候變化關系人類命運全局，應對氣候變化，需要從轉變發展方式和生活方式上進行深刻變革。這不僅涉及發展的諸多問題，而且涉及我國作為發展中大國應該承擔的國際責任。

3、從國際安全環境看，盡管和平仍然是時代主題之一，但在世界格局和國際秩序深刻調整的背景下，傳統安全與非傳統安全問題相互交織，維護地區和世界局勢和平穩定的任務仍面臨諸多挑戰。

4、維護一個長期和平的環境符合我國根本利益。但是，和平環境不是自然生成的，它需要積極主動地應對各種挑戰。構建新型大國關系尤其是中美新型大國關系，正是中國主動營造和平環境的重要舉措。

(8)網路安全生產環境擴展閱讀：

當前我國外部安全環境的主要特點

進入21世紀尤其是第二個十年以來，我國所面臨的外部安全環境正在經歷復雜、深刻變化。

1、和平與發展仍是時代主題，但各種不確定性在不斷累積。

世界多極化、經濟全球化深入發展，文化多樣化、社會信息化持續推進，科技革命孕育新突破，全球合作向多層次全方位拓展，新興市場國家和發展中國家整體實力增強，國際力量對比朝著有利於維護世界和平方向發展，保持國際形勢總體穩定具備更多有利條件。

與此同時，當今世界仍很不安寧。國際金融危機影響深遠，世界經濟增長不確定因素增多，全球發展不平衡加劇，霸權主義、強權政治有所上升，大國博弈加劇，局部動盪頻繁發生，各種思想、思潮交融交鋒，恐怖主義肆虐，網路安全、生態安全等全球性問題更加突出。

2、中國與外部世界的關系正站在了一個新的歷史起點上。中國與世界互動的頻率加快、力度增強，國際影響力大幅提升，抵禦各種外部風險的能力不斷提高，已經成為影響世界經濟政治發展的主要因素之一。

與此同時，各種矛盾、風險、挑戰也在不斷向我聚集，可預測的風險和不可預測挑戰同時增加，其中一些風險和挑戰尤為突出。

美國為了維護世界霸主地位，加快推行亞太「再平衡」戰略，不斷在我國周邊加強軍事部署，強化同盟體系，介入我國與周邊國家的海洋領土爭端。台海局勢有可能再現波瀾。隨著民進黨的上台，2008年以來台海地區來之不易的和平穩定局面可能遭遇挑戰。

來自海上的威脅日趨上升。在美國戰略重心東移背景下，部分國家調整海洋政策策略，不斷挑戰我國島嶼主權和海洋權益。東北亞地區局勢充滿變數。朝鮮半島形勢日趨復雜，不穩定性增大。

同時，日本右傾化趨勢明顯，追求擺脫戰後體制，並調動各種資源，充當制華遏華急先鋒。西方大國不斷加大實施西化、分化戰略的力度，不斷加大實施和平演變的強度。

3、我國還面臨著一系列新型安全風險。中亞地區「三股勢力」活動猖獗，給我國西北邊境地區乃至內陸地區安全穩定帶來不利影響。網路安全形勢更為復雜。

隨著各國競相加強網路空間攻防部署，加上網路犯罪和網路攻擊呈現出愈演愈烈的勢頭，我國已成為遭受各種形式的網路攻擊最多的國家之一。

生態安全面臨雙重挑戰。生態安全是一個全球性問題，一方面中國遭遇到諸如全球氣候變化、厄爾尼諾現象、沙塵暴、霧霾等侵害，另一方面國際社會要求中國承擔更多責任的聲音也很大。海外利益保護問題凸顯。

隨著中國的崛起和與外部世界深度互動，中國的海外利益以罕見的速度和幅度在世界范圍內拓展，與此同時，中國海外利益保護明顯滯後於海外利益蓬勃發展態勢。

Ⅸ 網路安全未來發展怎麼樣

網路安全行業主要企業：目前國內網路安全行業的主要企業有深信服(300454)、安恆信息(688023)、綠盟科技(300369)、啟明星辰(002439)、北信源(300352)等。

本文核心數據：中國大數據市場規模，中國網路安全技術研發崗位人才專業背景分布

1、國家網信辦擬重新修訂《網路審查辦法》

在滴滴違反《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國數據安全法》以及《國家安全審查辦法》後，網信辦決定對《網路安全審查辦法》重新修訂。

2021年7月10日，網信辦《網路安全審查辦法》修訂草案開始徵求意見，草案主要針對企業海外上市可能給國家安全帶來的風險進行了預判和解決辦法。運營者采購網路產品和服務的，應當預判該產品和服務投入使用後可能帶來的國家安全風險，掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網路安全審查辦公室申報網路安全審查。

目前，滴滴出行APP是我國受理啟用《網路安全審查辦法》進行審查的企業，但根據國家互聯網信息辦公室通知，BOSS直聘、貨車幫、運滿滿等掌握著大量用戶個人信息的企業也將受到審查。

綜合來看，隨著滴滴事件的發酵，國家網信辦開始對《網路安全審查辦法》修訂可以看出我國對打擊危害網路安全行為的決心，未來，我國對網路安全領域的人才需求或將加大，國家也會出台一系列措施加大對網路安全領域人才的培養。

以上數據參考前瞻產業研究院《中國網路安全行業發展前景預測與投資戰略規劃分析報告》。

Ⅹ 如何構建安全網路環境

微型計算機和區域網的廣泛應用,基於client/server體系結構的分布式系統的出現,I
SDN,寬頻ISDN的興起,ATM技術的實施,衛星通信及全球信息網的建設,根本改變了以往主機
-終端型的網路應用模式;傳統的、基於Mainframe的安全系統結構已不能適用於新的網路環
境,主要原因是:
(1)微型機及LAN的引入,使得網路結構成多樣化,網路拓撲復雜化;
(2)遠地工作站及遠地LAN對Mainframe的多種形式的訪問,使得網路的地理分布擴散化
;
(3)多種通訊協議的各通訊網互連起來,使得網路通信和管理異質化。
構作Micro-LAN-Mainframe網路環境安全體系結構的目標同其它應用環境中信息安全的
目標一致,即:
(1)存儲並處理於計算機和通信系統中的信息的保密性；
(2)存儲並處理於計算機和通信系統中的信息的完整性；
(3)存儲並處理於計算機和通信系統中的信息的可用性；
(4)對信息保密性、完整性、拒絕服務侵害的監查和控制。
對這些安全目標的實現不是絕對的,在安全系統構作中,可因地制宜,進行適合於自身條
件的安全投入,實現相應的安全機制。但有一點是應該明確的,信息安全是國民經濟信息化
必不可少的一環,只有安全的信息才是財富。
對於潛在的財產損失,保險公司通常是按以下公式衡量的:
潛在的財產損失=風險因素×可能的損失
這里打一個比方,將信息系統的安全威脅比作可能的財產損失,將系統固有的脆弱程度
比作潛在的財產損失,於是有:
系統的脆弱程度=處於威脅中的系統構件×安全威脅
此公式雖不能將系統安全性定量化,但可以作為分析信息安全機制的適用性和有效性的
出發點。
對計算機犯罪的統計表明,絕大多數是內部人員所為。由於在大多數Micro-LAN-Mainf
rame系統中,用戶登錄信息、用戶身份證件及其它數據是以明文形式傳輸的,任何人通過連
接到主機的微型機都可秘密地竊取上述信息。圖1給出了我們在這篇文章中進行安全性分析
的網路模型,其安全性攻擊點多達20個。本文以下各部分將詳細討論對此模型的安全威脅及
安全對策。
@@14219700.GIF;圖1.Micro-LAN-Mainframe網路模型@@
二、開放式系統安全概述
1.OSI安全體系結構
1989年2月15日,ISO7498-2標準的頒布,確立了OSI參考模型的信息安全體系結構,它對
構建具體網路環境的信息安全構架有重要的指導意義。其核心內容包括五大類安全服務以
及提供這些服務所需要的八類安全機制。圖2所示的三維安全空間解釋了這一體系結構。
@@14219701.GIF;ISO安全體系結構@@
其中,一種安全服務可以通過某種安全機制單獨提供,也可以通過多種安全機制聯合提
供;一種安全機制可用於提供一種或多種安全服務。
2.美軍的國防信息系統安全計劃DISSP
DISSP是美軍迄今為止最龐大的信息系統安全計劃。它將為美國防部所有的網路(話音
、數據、圖形和視頻圖象、戰略和戰術)提供一個統一的、完全綜合的多級安全策略和結構
,並負責管理該策略和結構的實現。圖3所示的DISSP安全框架三維模型,全面描述了信息系
統的安全需求和結構。第一維由九類主要的安全特性外加兩類操作特性組成,第二維是系統
組成部件,它涉及與安全需求有關的信息系統部件,並提供一種把安全特性映射到系統部件
的簡化手段;第三維是OSI協議層外加擴展的兩層,OSI模型是面向通信的,增加兩層是為了適
應信息處理。
@@14219702.GIF;DISSP安全框架雛形@@
3.通信系統的安全策略
1節和2節較全面地描述了信息系統的安全需求和結構,具有相當的操作指導意義。但僅
有這些,對於構作一個應用於某組織的、具體的網路應用環境的安全框架或安全系統還是不
夠的。
目前,計算機廠商在開發適用於企業范圍信息安全的有效策略方面並沒有走在前面,這
就意味著用戶必須利用現有的控制技術開發並維護一個具有足夠安全級別的分布式安全系
統。一個安全系統的構作涉及的因素很多,是一個龐大的系統工程。一個明晰的安全策略必
不可少,它的指導原則如下:
·對安全暴露點實施訪問控制；
·保證非法操作對網路的數據完整性和可用性無法侵害；
·提供適當等級的、對傳送數據的身份鑒別和完整性維護；
·確保硬體和線路的聯接點的物理安全；
·對網路設備實施訪問控制；
·控制對網路的配置；
·保持對網路設施的控制權；
·提供有準備的業務恢復。
一個通信系統的安全策略應主要包括以下幾個方面的內容:
總綱；
適用領域界定；
安全威脅分析；
企業敏感信息界定；
安全管理、責任落實、職責分明；
安全控制基線；
網路操作系統；
信息安全:包括用戶身份識別和認證、文件伺服器控制、審計跟蹤和安全侵害報告、數
據完整性及計算機病毒；
網路安全:包括通信控制、系統狀態控制、撥號呼叫訪問控制；
災難恢復。
三、LAN安全
1.LAN安全威脅
1)LAN環境因素造成的安全威脅
LAN環境因素,主要是指LAN用戶缺乏安全操作常識;LAN提供商的安全允諾不能全部兌現
。
2)LAN自身成員面臨的安全威脅
LAN的每一組成部件都需要保護,包括伺服器、工作站、工作站與LAN的聯接部件、LAN
與LAN及外部世界的聯接部件、線路及線路接續區等。
3)LAN運行時面臨的安全威脅
(1)通信線路上的電磁信號輻射
(2)對通信介質的攻擊,包括被動方式攻擊(搭線竊聽)和主動方式攻擊(無線電仿冒)
(3)通過聯接上網一個未經授權的工作站而進行的網路攻擊。攻擊的方式可能有：竊聽
網上登錄信息和數據;監視LAN上流量及與遠程主機的會話,截獲合法用戶log off指令,繼續
與主機會話;冒充一個主機LOC ON,從而竊取其他用戶的ID和口令。
(4)在合法工作站上進行非法使用,如竊取其他用戶的ID、口令或數據
(5)LAN與其他網路聯接時,即使各成員網原能安全運行,聯網之後,也可能發生互相侵害
的後果。
(6)網路病毒
4)工作站引發的安全威脅
(1)TSR和通信軟體的濫用:在分布式應用中,用戶一般在本地微機及主機擁有自己的數
據。將微機作為工作站,LAN或主機系統繼承了其不安全性。TSR是用戶事先載入,由規定事
件激活的程序。一個截獲屏幕的TSR可用於竊取主機上的用戶信息。這樣的TSR還有許多。
某些通信軟體將用戶鍵入字元序列存為一個宏,以利於實現對主機的自動LOGON,這也是很危
險的。
(2)LAN診斷工具的濫用:LAN診斷工具本用於排除LAN故障,通過分析網上數據包來確定
線路雜訊。由於LAN不對通信鏈路加密,故LAN診斷工具可用於竊取用戶登錄信息。
(3)病毒與微機通信:例如Jerusalem-B病毒可使一個由幾千台運行3270模擬程序的微機
組成的網路癱瘓。
2 LAN安全措施
1)通信安全措施
(1)對抗電磁信號偵聽:電纜加屏蔽層或用金屬管道,使較常規電纜難以搭線竊聽;使用
光纖消除電磁輻射;對敏感區域(如電話室、PBX所在地、伺服器所在地)進行物理保護。
(2)對抗非法工作站的接入:最有效的方法是使用工作站ID,工作站網卡中存有標識自身
的唯一ID號,LAN操作系統在用戶登錄時能自動識別並進行認證。
(3)對抗對合法工作站的非法訪問:主要通過訪問控制機制,這種機制可以邏輯實現或物
理實現。
(4)對通信數據進行加密,包括鏈路加密和端端加密。
2)LAN安全管理
(1)一般控制原則,如對伺服器訪問只能通過控制台;工作站間不得自行聯接;同一時刻
,一個用戶只能登錄一台工作站;禁止使用網上流量監視器;工作站自動掛起;會話清除;鍵盤
封鎖;交易跟蹤等。
(2)訪問控制,如文件應受保護,文件應有多級訪問權力;SERVER要求用戶識別及認證等
。
(3)口令控制,規定最大長度和最小長度;字元多樣化;建立及維護一個軟字型檔,鑒別弱口
令字;經常更換口令等。
(4)數據加密:敏感信息應加密
(5)審計日誌:應記錄不成功的LOGIN企圖,未授權的訪問或操作企圖,網路掛起,脫離聯
接及其他規定的動作。應具備自動審計日誌檢查功能。審計文件應加密等。
(6)磁碟利用:公用目錄應只讀,並限制訪問。
(7)數據備份:是LAN可用性的保證;
(8)物理安全:如限制通信訪問的用戶、數據、傳輸類型、日期和時間;通信線路上的數
據加密等。
四、PC工作站的安全
這里,以荷蘭NMB銀行的PC安全工作站為例,予以說明。在該系統中,PC機作為IBM SNA主
機系統的工作站。
1.PC機的安全局限
(1)用戶易於攜帶、易於訪問、易於更改其設置。
(2)MS-DOS或PC-DOS無訪問控制功能
(3)硬體易受侵害;軟體也易於攜帶、拷貝、注入、運行及損害。
2.PC安全工作站的目標
(1)保護硬體以對抗未授權的訪問、非法篡改、破壞和竊取；
(2)保護軟體和數據以對抗:未授權的訪問、非法篡改、破壞和竊取、病毒侵害；
(3)網路通信和主機軟硬體也應類似地予以保護；
3.安全型PC工作站的設計
(1)PC硬體的物理安全:一個的可行的方法是限制對PC的物理訪問。在PC機的後面加一
個盒子,只有打開這個盒子才能建立所需要的聯接。
(2)軟體安全:Eracon PC加密卡提供透明的磁碟訪問;此卡提供了4K位元組的CMOS存儲用
於存儲密鑰資料和進行密鑰管理。其中一半的存儲區對PC匯流排是只可寫的,只有通過卡上數
據加密處理的密鑰輸入口才可讀出。此卡同時提供了兩個通信信道,其中一個支持同步通信
。具體的安全設計細節還有:
A、使用Clipcards提供的訪問權授予和KEY存儲(為離線應用而設)、Clipcards讀寫器
接於加密卡的非同步口。
B、對硬碟上全部數據加密,對不同性質的文件區分使用密鑰。
C、用戶LOGON時,強制進入與主機的安全監控器對話,以對該用戶進行身份驗證和權力
賦予;磁碟工作密鑰從主機傳送過來或從Clipcards上讀取(OFFLINE);此LOGON外殼控制應用
環境和密鑰交換。
D、SNA3270模擬器:利用Eracon加密卡實現與VTAM加解密設備功能一致的對數據幀的加
密。
E、主機安全監控器(SECCON):如果可能,將通過3270模擬器實現與PC安全監控程序的不
間斷的會話;監控器之間的一套消息協議用於完成對系統的維護。
五、分布式工作站的安全
分布式系統的工作站較一般意義上的網路工作站功能更加全面,它不僅可以通過與網上
伺服器及其他分布式工作站的通信以實現信息共享,而且其自身往往具備較強的數據存儲和
處理能力。基於Client/Server體系結構的分布式系統的安全有其特殊性,表現如下:
(1)較主機系統而言,跨區域網和廣域網,聯接區域不斷擴展的工作站環境更易受到侵害
;
(2)由於工作站是分布式的;往往分布於不同建築、不同地區、甚至不同國家,使安全管
理變得更加復雜;
(3)工作站也是計算機犯罪的有力工具,由於它分布廣泛,安全威脅無處不在;
(4)工作站環境往往與Internet及其他半公開的數據網互聯,因而易受到更廣泛的網路
攻擊。
可見,分布式工作站環境的安全依賴於工作站和與之相聯的網路的安全。它的安全系統
應不劣於主機系統,即包括用戶的身份識別和認證;適當的訪問控制;強健的審計機制等。除
此之外,分布式工作站環境還有其自身的特殊安全問題,如對網路伺服器的認證,確保通信中
數據的保密性和完整性等。這些問題將在後面討論。
六、通信中的信息安全
通過以上幾部分的討論,我們已將圖1所示的網路組件(包括LAN、網路工作站、分布式
工作站、主機系統)逐一進行了剖析。下面,我們將就它們之間的聯接安全進行討論。
1.加密技術
結合OSI七層協議模型,不難理解加密機制是怎樣用於網路的不同層次的。
(1)鏈路加密:作用於OSI數據模型的數據鏈路層,信息在每一條物理鏈路上進行加密和
解密。它的優點是獨立於提供商,能保護網上控制信息;缺點是浪費設備,降低傳輸效率。
(2)端端加密:作用於OSI數據模型的第4到7層。其優點是花費少,效率高;缺點是依賴於
網路協議,安全性不是很高。
(3)應用加密:作用於OSI數據模型的第7層,獨立於網路協議;其致命缺點是加密演算法和
密鑰駐留於應用層,易於失密。
2.撥號呼叫訪問的安全
撥號呼叫安全設備主要有兩類,open-ended設備和two-ended設備,前者只需要一台設備
,後者要求在線路兩端各加一台。
(1)open-ended設備:主要有兩類,埠保護設備(PPDs)和安全數據機。PPDs是處於
主機埠和撥號線路之間的前端通信處理器。其目的是隱去主機的身份,在將用戶請求送至
主機自身的訪問控制機制前,對該用戶進行預認證。一些PPDs具有回叫功能,大部分PPDs提
供某種形式的攻擊示警。安全數據機主要是回叫型的,大多數有內嵌口令,用戶呼叫調
制解調器並且輸入口令,數據機驗證口令並拆線。數據機根據用戶口令查到相應電
話號碼,然後按此號碼回叫用戶。
(2)two-ended設備:包括口令令牌、終端認證設備、鏈路加密設備和消息認證設備。口
令令牌日益受到大家歡迎,因為它在認證線路另一端的用戶時不需考慮用戶的位置及網路的
聯接類型。它比安全數據機更加安全,因為它允許用戶移動,並且禁止前向呼叫。
口令令牌由兩部分組成,運行於主機上與主機操作系統和大多數常用訪問控制軟體包接
口的軟體,及類似於一個接卡箱運算器的硬體設備。此軟體和硬體實現相同的密碼演算法。當
一個用戶登錄時,主機產生一個隨機數給用戶,用戶將該隨機數加密後將結果返回給主機;與
此同時,運行於主機上的軟體也作同樣的加密運算。主機將這兩個結果進行對比,如果一致
,則准予登錄。
終端認證設備是指將各個終端唯一編碼,以利於主機識別的軟體及硬體系統。只有帶有
正確的網路介面卡(NIC)標識符的設備才允許登錄。
鏈路加密設備提供用於指導線路的最高程度的安全保障。此類系統中,加密盒置於線路
的兩端,這樣可確保傳送數據的可信性和完整性。唯一的加密密鑰可用於終端認證。
消息認證設備用於保證傳送消息的完整性。它們通常用於EFT等更加註重消息不被更改
的應用領域。一般採用基於DES的加密演算法產生MAC碼。
七、安全通信的控制
在第六部分中,我們就通信中採取的具體安全技術進行了較為詳細的討論。但很少涉及
安全通信的控制問題,如網路監控、安全審計、災難恢復、密鑰管理等。這里,我們將詳細
討論Micro-LAN-Mainframe網路環境中的用戶身份認證、伺服器認證及密鑰管理技術。這三
個方面是緊密結合在一起的。
1.基於Smartcards的用戶認證技術
用戶身份認證是網路安全的一個重要方面,傳統的基於口令的用戶認證是十分脆弱的。
Smartcards是一類一話一密的認證工具,它的實現基於令牌技術。其基本思想是擁有兩個一
致的、基於時間的加密演算法,且這兩個加密演算法是同步的。當用戶登錄時,Smartcards和遠
端系統同時對用戶鍵入的某一個系統提示的數進行運算(這個數時刻變化),如果兩邊運行結
果相同,則證明用戶是合法的。
在這一基本的Smartcards之上,還有一些變種,其實現原理是類似的。
2.kerboros用戶認證及保密通信方案
對於分布式系統而言,使用Smartcards,就需要為每一個遠地系統准備一個Smartcard,
這是十分繁瑣的,MIT設計與開發的kerboros用戶認證及保密通信方案實現了對用戶的透明
,和對用戶正在訪問的網路類型的免疫。它同時還可用於節點間的保密通信及數據完整性的
校驗。kerboros的核心是可信賴的第三方,即認證服務中心,它擁有每一個網路用戶的數據
加密密鑰,需要用戶認證的網路服務經服務中心注冊,且每一個此類服務持有與服務中心通
信的密鑰。
對一個用戶的認證分兩步進行,第一步,kerboros認證工作站上的某用戶;第二步,當該
用戶要訪問遠地系統伺服器時,kerboros起一個中介人的作用。
當用戶首次登錄時,工作站向伺服器發一個請求,使用的密鑰依據用戶口令產生。服務
中心在驗明用戶身份後,產生一個ticket,所使用的密鑰只適合於該ticket-granting服務。
此ticket包含用戶名、用戶IP地址、ticket-granting服務、當前時間、一個隨機產生的密
鑰等;服務中心然後將此ticket、會話密鑰用用戶密鑰加密後傳送給用戶;用戶將ticket解
密後,取出會話密鑰。當用戶想聯接某網路伺服器時,它首先向服務中心發一個請求,該請求
由兩部分組成,用戶先前收到的ticket和用戶的身份、IP地址、聯接伺服器名及一個時間值
,此信息用第一次傳回的會話密鑰加密。服務中心對ticket解密後,使用其中的會話密鑰對
用戶請求信息解密。然後,服務中心向該用戶提供一個可與它相聯接的伺服器通信的會話密
鑰及一個ticket,該ticket用於與伺服器通信。
kerboros方案基於私鑰體制,認證服務中心可能成為網路瓶頸,同時認證過程及密鑰管
理都十分復雜。
3.基於公鑰體制的用戶認證及保密通信方案
在ISO11568銀行業密鑰管理國際標准中,提出了一種基於公鑰體制,依託密鑰管理中心
而實現的密鑰管理方案。該方案中,通信雙方的會話密鑰的傳遞由密鑰管理中心完成,通信
雙方的身份由中心予以公證。這樣就造成了密鑰管理中心的超負荷運轉,使之成為網上瓶頸
,同時也有利於攻擊者利用流量分析確定網路所在地。
一個改進的方案是基於公鑰體制,依託密鑰認證中心而實現的密鑰管理方案。該方案中
,通信雙方會話密鑰的形成由雙方通過交換密鑰資料而自動完成,無須中心起中介作用,這樣
就減輕了中心的負擔,提高了效率。由於篇幅所限,這里不再展開討論。
八、結論
計算機網路技術的迅速發展要求相應的網路安全保障,一個信息系統安全體系結構的確
立有助於安全型信息系統的建設,一個具體的安全系統的建設是一項系統工程,一個明晰的
安全策略對於安全系統的建設至關重要,Micro-LAN-Mainframe網路環境的信息安全是相對
的,但其豐富的安全技術內涵是值得我們學習和借鑒的。