企業網路及應用層由於網路的開發性、網路協議等自身設計的薄弱和脆弱性以及由於經濟利益驅動而導致的***技術的***性和目標性的不斷增強等原因,經受著來自網路和應用等多層次、多方面的網路威脅和***。可以說,企業網路資訊保安能否得以保障,在絕大程度上取決於這個層次的安全防護技術的部署,本文將從企業網路及應用層面臨的網路威脅出發,闡述該層所必需的一些安全防護技術。為各位的企業資訊保安管理提供可靠的依據。
原文請見我的專題:
5、密碼技術和pki技術
除了提供機密性外,密碼學可以為企業安全需要提供三方面的功能:鑑別、完整性和抗抵賴性。這些功能是通過計算機進行社會交流,至關重要的需求。
完整性:訊息的接收者應該能夠驗證在傳送過程中訊息沒有被修改;***者不可能用假訊息代替合法訊息。
抗抵賴性:傳送訊息者事後不可能虛假地否認他傳送的訊息。
基於金鑰的演算法通常有兩類:對稱演算法和公開金鑰演算法(非對稱演算法)。對稱演算法有時又叫傳統密碼演算法,加密金鑰能夠從解密金鑰中推算出來,反過來也成立。在大多數對稱演算法中,加解密的金鑰是相同的。對稱演算法要求傳送者和接收者在安全通訊之前,協商乙個金鑰。對稱演算法的安全性依賴於金鑰,洩漏金鑰就意味著任何人都能對訊息進行加解密。公開金鑰演算法(非對稱演算法)的加密的金鑰和解密的金鑰不同,而且解密金鑰不能根據加密金鑰計算出來,或者至少在可以計算的時間內不能計算出來。之所以叫做公開金鑰演算法,是因為加密金鑰能夠公開,即陌生者能用加密金鑰加密資訊,但只有用相應的解密金鑰才能解密資訊。加密金鑰叫做公開金鑰(簡稱公鑰),解密金鑰叫做私人金鑰(簡稱私鑰)。
對稱加密系統最著名的是美國資料加密標準des、aes(高階加密標準)和歐洲資料加密標準idea。而自公鑰加密問世以來,學者們提出了許多種公鑰加密方法,它們的安全性都是基於複雜的數學難題。
根據所基於的數學難題來分類,有以下三類系統目前被認為是安全和有效的:大整數因子分解系統(代表性的有rsa)、橢園曲線離散對數系統(ecc)和離散對數系統(代表性的有dsa)。當前最著名、應用最廣泛的公鑰系統rsa是由rivet、shamir、adelman提出的(簡稱為rsa系統),它的安全性是基於大整數素因子分解的困難性,而大整數因子分解問題是數學上的著名難題,至今沒有有效的方法予以解決,因此可以確保rsa演算法的安全性。rsa系統是公鑰系統的最具有典型意義的方法,大多數使用公鑰密碼進行加密和數字簽名的產品和標準使用的都是rsa演算法。
pki(public key infrastructure)公鑰基礎設施是提供公鑰加密和數字簽名服務的系統或平台,目的是為了管理金鑰和證書。乙個機構通過採用pki框架管理金鑰和證書可以建立乙個安全的網路環境。x.509格式的證書和證書廢除列表(crl);ca/ra操作協議;ca管理協議;ca政策制定。
從廣義上講,所有提供公鑰加密和數字簽名服務的系統,都可叫做pki系統,pki的主要目的是通過自動管理金鑰和證書,可以為使用者建立起乙個安全的網路執行環境,使使用者可以在多種應用環境下方便的使用加密和數字簽名技術,從而保證網上資料的機密性、完整性、有效性,資料的機密性是指資料在傳輸過程中,不能被非授權者偷看,資料的完整性是指資料在傳輸過程中不能被非法篡改,資料的有效性是指資料不能被否認。乙個有效的pki系統必須是安全的和透明的,使用者在獲得加密和數字簽名服務時,不需要詳細地了解pki是怎樣管理證書和金鑰的,乙個典型、完整、有效的pki應用系統至少應具有以下部分:
◆公鑰密碼證書管理。
◆黑名單的發布和管理。
◆金鑰的備份和恢復。
◆自動更新金鑰。
◆自動管理歷史金鑰。
◆支援交叉認證。
6、ipsec技術
在網路層實現安全服務有很多的優點。首先,由於多種傳送協議和應用程式可以共享由網路層提供的金鑰管理架構,金鑰協商的開銷被大大地削減了。其次,若安全服務在較低層實現,那麼需要改動的程式就要少很多。但是在這樣的情況下仍會有新的安全問題。本文將對此作出闡述。目前公認的網路***三種原型是竊聽 、篡改、偽造、拒絕服務***等。ipsec 針對***原型的安全措施。ipsec提供三項主要的功能:認證功能(ah),認證和機密組合功能(esp)及金鑰交換功能。ah的目的是提供無連線完整性和真實性包括資料來源認證和可選的抗重傳服務;esp分為兩部分,其中esp頭提供資料機密性和有限抗流量分析服務,在esp尾中可選地提供無連線完整性、資料來源認證和抗重傳服務。
ipsec提供了一種標準的、健壯的以及包容廣泛的機制,可用它為ip及上層協議(如udp和tcp)提供安全保證。它定義了一套預設的、強制實施的演算法,以確保不同的實施方案相互間可以共通。而且很方便擴充套件。ipsec可保障主機之間、安全閘道器(如路由器或防火牆)之間或主機與安全閘道器之間的資料報的安全。ipsec是乙個工業標準網路安全協議,為ip網路通訊提供透明的安全服務,保護tcp/ip通訊免遭竊聽和篡改,可以有效抵禦網路***,同時保持易用性。ipsec有兩個基本目標:保護ip資料報安全;為抵禦網路***提供防護措施。ipsec結合密碼保護服務、安全協議組和動態金鑰管理,三者共同實現上述兩個目標,ipsec基於一種端對端的安全模式。這種模式有乙個基本前提假設,就是假定資料通訊的傳輸媒介是不安全的,因此通訊資料必須經過加密,而掌握加解密方法的只有
ipsec提供三種不同的形式來保護通過公有或私有ip網路來傳送的私有資料。
◆驗證:通過認證可以確定所接受的資料與所傳送的資料是一致的,同時可以確定申請傳送者在實際上是真實傳送者,而不是偽裝的。
◆資料完整驗證:通過驗證保證資料從原發地到目的地的傳送過程中沒有任何不可檢測的資料丟失與改變。
◆保密:使相應的接收者能獲取傳送的真正內容,而無關的接收者無法獲知資料的真正內容。
7、訪問控制技術
訪問控制是網路安全防範和保護的主要策略,它的主要任務是保證網路資源不被非法使用和訪問。它是保證網路安全最重要的核心策略之一。訪問控制涉及的技術也比較廣,包括入網訪問控制、網路許可權控制、目錄級控制以及屬性控制等多種手段。
(1)入網訪問控制
入網訪問控制為網路訪問提供了第一層訪問控制。它控制哪些使用者能夠登入到伺服器並獲取網路資源,控制准許使用者入網的時間和准許他們在哪台工作站入網。使用者的入網訪問控制可分為三個步驟:使用者名稱的識別與驗證、使用者口令的識別與驗證、使用者賬號的預設限制檢查。三道關卡中只要任何一關未過,該使用者便不能進入該網路。 對網路使用者的使用者名稱和口令進行驗證是防止非法訪問的第一道防線。為保證口令的安全性,使用者口令不能顯示在顯示屏上,口令長度應不少於6個字元,口令字元最好是數字、字母和其他字元的混合,使用者口令必須經過加密。使用者還可採用一次性使用者口令,也可用可攜式驗證器(如智慧卡)來驗證使用者的身份。 網路管理員可以控制和限制普通使用者的賬號使用、訪問網路的時間和方式。使用者賬號應只有系統管理員才能建立。使用者口令應是每使用者訪問網路所必須提交的"證件"、使用者可以修改自己的口令,但系統管理員應該可以控制口令的以下幾個方面的限制:最小口令長度、強制修改口令的時間間隔、口令的唯一性、口令過期失效後允許入網的寬限次數。 使用者名稱和口令驗證有效之後,再進一步履行使用者賬號的預設限制檢查。網路應能控制使用者登入入網的站點、限制使用者入網的時間、限制使用者入網的工作站數量。當使用者對交費網路的訪問"資費"用盡時,網路還應能對使用者的賬號加以限制,使用者此時應無法進入網路訪問網路資源。網路應對所有使用者的訪問進行審計。如果多次輸入口令不正確,則認為是非法使用者的***,應給出報警資訊。
(2)許可權控制
網路的許可權控制是針對網路非法操作所提出的一種安全保護措施。使用者和使用者組被賦予一定的許可權。網路控制使用者和使用者組可以訪問哪些目錄、子目錄、檔案和其他資源。可以指定使用者對這些檔案、目錄、裝置能夠執行哪些操作。受託者指派和繼承許可權遮蔽(irm)可作為兩種實現方式。受託者指派控制使用者和使用者組如何使用網路伺服器的目錄、檔案和裝置。繼承許可權遮蔽相當於乙個過濾器,可以限制子目錄從父目錄那裡繼承哪些許可權。我們可以根據訪問許可權將使用者分為以下幾類:特殊使用者(即系統管理員);一般使用者,系統管理員根據他們的實際需要為他們分配操作許可權;審計使用者,負責網路的安全控制與資源使用情況的審計。使用者對網路資源的訪問許可權可以用訪問控制表來描述。
(3)目錄級安全控制
網路應允許控制使用者對目錄、檔案、裝置的訪問。使用者在目錄一級指定的許可權對所有檔案和子目錄有效,使用者還可進一步指定對目錄下的子目錄和檔案的許可權。對目錄和檔案的訪問許可權一般有八種:系統管理員許可權、讀許可權、寫許可權、建立許可權、刪除許可權、修改許可權、檔案查詢許可權、訪問控制許可權。使用者對檔案或目標的有效許可權取決於以下兩個因素:使用者的受託者指派、使用者所在組的受託者指派、繼承許可權遮蔽取消的使用者許可權。乙個網路管理員應當為使用者指定適當的訪問許可權,這些訪問許可權控制著使用者對伺服器的訪問。八種訪問許可權的有效組合可以讓使用者有效地完成工作,同時又能有效地控制使用者對伺服器資源的訪問 ,從而加強了網路和伺服器的安全性。
(4)屬性安全控制
當用檔案、目錄和網路裝置時,網路系統管理員應給檔案、目錄等指定訪問屬性。屬性安全在許可權安全的基礎上提供更進一步的安全性。網路上的資源都應預先標出一組安全屬性。使用者對網路資源的訪問許可權對應一張訪問控制表,用以表明使用者對網路資源的訪問能力。屬性設定可以覆蓋已經指定的任何受託者指派和有效許可權。屬性往往能控制以下幾個方面的許可權:向某個檔案寫資料、拷貝乙個檔案、刪除目錄或檔案、檢視目錄和檔案、執行檔案、隱含檔案、共享、系統屬性等。
(5)伺服器安全控制
網路允許在伺服器控制台上執行一系列操作。使用者使用控制台可以裝載和解除安裝模組,可以安裝和刪除軟體等操作。網路伺服器的安全控制包括可以設定口令鎖定伺服器控制台,以防止非法使用者修改、刪除重要資訊或破壞資料;可以設定伺服器登入時間限制、非法訪問者檢測和關閉的時間間隔。
企業網路安全防範體系及設計原則分析
企業網管看過來 一 引 言 隨著資訊化程序的深入和網際網路的快速發展,網路化已經成為企業資訊化的發展大趨勢,資訊資源也得到最大程度的共享。但是,緊隨資訊化發展而來的網路安全問題日漸凸出,網路安全問題已成為資訊時代人類共同面臨的挑戰,網路資訊保安問題成為當務之急,如果不很好地解決這個問題,必將阻礙資訊...
2 3 4 網路層的安全防護
邏輯網路分段 邏輯網路分段是指將整個網路系統在網路層 iso osi模型中的第三層 上進行分段。例如,對於tcp ip網路,可以把網路分成若干ip子網,各子網必須通過中間裝置進行連線,利用這些 中間裝置的安全機制來控制各子網之間的訪問。vlan的實施 基於mac的vlan不能防止mac欺騙攻擊。因此...
物聯網應用層安全威脅 物聯網網路層的資訊保安研究
大路諮詢 物聯網的基礎框架分為感知層 網路層和應用層三大層次。物聯網通過網路層實現更加廣泛的互連功能。物聯網的網路層主要用於把感知層收集到的資訊保安可靠地傳輸到資訊處理層,然後根據不同的應用需求進行資訊處理,實現對客觀世界的有效感知及有效控制。其中連線終端感知網路與伺服器的橋梁便是各類承載網路,物聯...