重庆分公司,新征程启航
为企业提供网站建设、域名注册、服务器等服务
一、信息安全体系架构 花瓶 包含:
成都创新互联公司于2013年创立,是专业互联网技术服务公司,拥有项目成都网站建设、成都网站设计网站策划,项目实施与项目整合能力。我们以让每一个梦想脱颖而出为使命,1280元宝鸡做网站,已为上家服务,为宝鸡各地企业和个人服务,联系电话:18982081108
三大体系:防护体系、监控体系、 信任体系。
二、“花瓶模型V3.0”的由来
1、花瓶模型(V2.0)是从时间维度去解读信息安全架构,是以安全事件为主线,从安全事件的发生过程,给出了对应的安全措施:发生前部署防护策略,发生中监控异常与应急处理,发生后审计取证与调整升级,这是一个可循环的、动态的安全防护体系。
2、从空间的维度看,网络分为外部与内部,内部有分为服务区域与用户区域,服务区域有分为服务提供区域与维护管理区域。安全架构的目标是:既要防止外部的“入侵与攻击”,又要防止内部的“有意与无意的破坏”,安全结构分为“防护-监控-信任”三大体系,对应为边界上的防护、内部网络的监控、内部人员的信任管理,我们称为“花瓶模型V3.0”
三、三大体系的具体解释
1、防护体系:
抵御外部的攻击与入侵是网络安全的基本保障基线,防护体系就是构筑网络边防线。防护的关键点在网络的“边界”,也就是进出网络的比经关口点,通常有下面几个地方:
(1)网络出入口:一般是局域网与广域网的接口,通常是与互联网的出口,不仅是外部入侵的通道,还是外部攻击(如DDOS)的通常目标。
(2)终端:用户访问网络资源的入口,也是病毒、木马传播的汇集地。
(3)服务器:普通人员只能通过应用访问到服务器,而维护人员则可以直接访问服务器,尤其是大型服务器设备,厂家提供远程管理维护,任何“误操作”与“好奇”都可能成为“灾难”扩散点,当然这里也是高级黑客经常光顾的地方,也外部攻击的常见目标之一。
(4) 数据交换区:为了网络有效隔离,建立网络间的数据专用过渡区,成为网络互联的“流量净化池”,众矢之的,当然也是入侵者“展示”其技术的地方。
(5)安全子域的边界:把大网络划分为小的区块(常见的安全域“3+1划分”模式:服务域、核心域、接入域、管理域),在子域边界上安装“安全门”,可以避免一个区域的安全问题,波及到其它区域。
这五个“边界点”的防护体系部署的重点,称为“五边界”。
防护体系的主要工作是根据安全策略,部署相应的安全措施。边界一般都是网络接口,所以网络层的安全措施为多,如FW/IPS/AV/UTM/VPN/防垃圾/网闸等,Web服务前还有WAF/防DDOS等,优化服务一般还选择流量控制/流量压缩等设备;网络防护的同时,终端与服务器上还需要安装防病毒、防木马等基本安全软件;另外,终端与服务器的补丁管理(系统与应用),病毒库、攻击库的及时升级,都是提供自身免疫能力的保证,在防护体系中是不可或缺的。
2、监控体系:
监控体系的任务是发现异常,揪出“黑手”,从设备状态到网络流量、从服务性能到用户行为的各种“可疑”点,全局报警,及时应对。监控体系的目标是做到网络的可控性,可控就是安全的保证。
监控的特点是点越细越好、范围越全面越好。安全需要监控的层面很多,我们一般采用“先中心、后边缘,先重点,后一般”的策略,具体监控的内容如下:
(1)入侵监控:黑客、木马、蠕虫、病毒是安全监控的重点,它们的特点是有“活体特征”,在没有发作的传播阶段,就可以发现。在网络的核心、汇聚点要部署网络层的监控体系,同时还要对服务器、终端主机上进行监控,尤其是隐藏在应用、加密通道内部的入侵行为。网络IDS与主机IDS是相互配合的监控体系,是不可分割的.
(2)异常监控:对“破坏行为”、“偷盗行为”的及时发现,是减少损失的前提。这里的“异常”有两种表现方式:一是不合乎常规逻辑的动作,如建立你没有想访问站点的连接,可能就是木马在“回家”的操作;你没有网络应用,网卡却忙碌不止,也许是蠕虫已经发作。二是与以前相同条件下表现的不同,如下班时间突然有访问核心数据库的行为,休息时间的网络流量突然增大,异常往往是破坏行为的开始,发现越早,损失会越小。
(3)状态监控:网络是IT信息系统的承载,网络设备的正常运行是业务服务正常的保障,需要了解的状态信息有:网络设备的状态、服务器的状态、终端的状态,也包括它们运行工作的动态信息,如CPU的占有率、进程的生死、硬盘空间的剩余等.
(4)流量监控:网络是信息流,流量的动态变化往往是网络安全状态的晴雨表,若能及时显示网络核心到汇聚的流量分布,也是业务调配管理的重要依据,这有些像城市的交通管理,流量的牵引是避免拥堵的重要手段。流量好比是网络的公共安全,当然攻击破坏往往也是从制造流量拥堵开始的.
(5)行为监控:这个要求主要是针对有保密信息的安全需求,多数是内部人员的监守自盗或“无意”丢失,信息泄密是保护的重点,需要安装非法外联、移动介质使用监控等措施。网络数据是电子化的,数据在处理的过程中,拷贝、打印、邮件时,都可能泄露出去,所以对终端、服务器的各种外联接口行为进行监控是必需的.
这五种行为、状态的监控是监控体系关注的重点,我们称为“五控点”。
监控体系是网络的“视频监控”系统,不仅是为了及时发现“异常”,及时调整,而且可以在处理安全事件的时候,作为即使了解现场反馈,反映网络安全态势的应急调度平台。
3、信任体系:
信任体系的核心就是对每个用户的权限进行定义,限制你在网络中的各种行为,超出权限的动作就是“违法”行为。信任体系面对的都是“良民”,所以网络层面的控制措施一般难有作为,而更多的是深入业务应用系统内的安全架构,因为目前的业务系统逐渐庞大,往往是限制你可以访问一个应用的某些功能,而不是全部,后者系统的某些数据不限制你的访问,仅仅控制你可访问的服务器业务系统,已经很难到达目的了。
信任体系的起点是用户,不是终端,这一点与手机不一样。所以我们先把用户分一下类:
(1)普通用户:网络的一般用户,只能通过业务服务提供的通道访问,行为上比较容易控制,主要是终端上的安全管理,由于点多人杂,管理比较复杂。
(2)特殊用户:领导的特殊需求,或为了适应业务灵活性组成的临时工作组(SOA架构模式下经常出现的),它们工作跨部门、跨服务,需要打通很多网络控制,防火墙等安全防护体系对它们来说,很“合理”地穿透,安全体系上很容易产生权限定义的漏洞.
(3)系统管理员:他们是系统的特殊使用人群,不仅可以从业务访问通道访问业务服务器,而且可以直接登陆服务器或各种安全设备,它们有建立帐号与更改权限的特殊权利。
(4)第三方维护人员:这是一个不可忽视的群体,IT系统比较复杂,技术含量高。厂家与开发商的维护是不可避免的,很多业务系统是边上线使用边开发调整的,它们一般很容易取得系统管理员的权限,甚至更高的权限(如厂家后门、系统调试代码等),它们在线上的误操作可能导致整个系统的灾难,它们有很多窥视保密数据的机会与时间。
信任体系是一个过程的管理,可以分为用户登录、访问控制、行为审计三个过程,用户登录时需要身份鉴别,验证用户的身份;访问控制时需要验证用户的权限,验证是否有访问的权利;行为审计时需要验证用户的动作是否符合要,是否合乎规定,最后完成验证-授权-取证的过程,我们称为“三验证”。
四、信息安全体系架构 花瓶的作用
从“网络空间”上分析,安全架构为“防护-监控-信任”三大体系,防护体系分为“五边界”部署,监控体系内含有“五控点”监控,信任体系分为“三验证”过程。
三个体系关注安全的重点不同,使用的技术不同,大部分网络对边界防护比较关注,对信任体系大多停留在网络登录的身份认证层次上,与应用的结合、授权管理目前都处于刚起步阶段;监控体系是一个长期的、持续的、但又不容易看到效果的的工作,但随着网络灾难的增多,全网络的监控体系已经逐渐被人们认知。
“花瓶”模型提供了安全架构,同时体现了这三个体系的相互配合、缺一不可。在网络这个虚拟的、无所不在的“世界”里,建立一个安全的、和谐的“生活环境”,与现实社会是一样重要的。
建议楼主去非黑客论坛看看 里面有很多值得学习的地方
有三种网络安全机制。 概述:
随着TCP/IP协议群在互联网上的广泛采用,信息技术与网络技术得到了飞速发展。随之而来的是安全风险问题的急剧增加。为了保护国家公众信息网以及企业内联网和外联网信息和数据的安全,要大力发展基于信息网络的安全技术。
信息与网络安全技术的目标
由于互联网的开放性、连通性和自由性,用户在享受各类共有信息资源的同事,也存在着自己的秘密信息可能被侵犯或被恶意破坏的危险。信息安全的目标就是保护有可能被侵犯或破坏的机密信息不被外界非法操作者的控制。具体要达到:保密性、完整性、可用性、可控性等目标。
网络安全体系结构
国际标准化组织(ISO)在开放系统互联参考模型(OSI/RM)的基础上,于1989年制定了在OSI环境下解决网络安全的规则:安全体系结构。它扩充了基本参考模型,加入了安全问题的各个方面,为开放系统的安全通信提供了一种概念性、功能性及一致性的途径。OSI安全体系包含七个层次:物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。在各层次间进行的安全机制有:
1、加密机制
衡量一个加密技术的可靠性,主要取决于解密过程的难度,而这取决于密钥的长度和算法。
1)对称密钥加密体制对称密钥加密技术使用相同的密钥对数据进行加密和解密,发送者和接收者用相同的密钥。对称密钥加密技术的典型算法是DES(Data Encryption Standard数据加密标准)。DES的密钥长度为56bit,其加密算法是公开的,其保密性仅取决于对密钥的保密。优点是:加密处理简单,加密解密速度快。缺点是:密钥管理困难。
2)非对称密钥加密体制非对称密钥加密系统,又称公钥和私钥系统。其特点是加密和解密使用不同的密钥。
(1)非对称加密系统的关键是寻找对应的公钥和私钥,并运用某种数学方法使得加密过程成为一个不可逆过程,即用公钥加密的信息只能用与该公钥配对的私钥才能解密;反之亦然。
(2)非对称密钥加密的典型算法是RSA。RSA算法的理论基础是数论的欧拉定律,其安全性是基于大数分解的困难性。
优点:(1)解决了密钥管理问题,通过特有的密钥发放体制,使得当用户数大幅度增加时,密钥也不会向外扩散;(2)由于密钥已事先分配,不需要在通信过程中传输密钥,安全性大大提高;(3)具有很高的加密强度。
缺点:加密、解密的速度较慢。
2、安全认证机制
在电子商务活动中,为保证商务、交易及支付活动的真实可靠,需要有一种机制来验证活动中各方的真实身份。安全认证是维持电子商务活动正常进行的保证,它涉及到安全管理、加密处理、PKI及认证管理等重要问题。目前已经有一套完整的技术解决方案可以应用。采用国际通用的PKI技术、X.509证书标准和X.500信息发布标准等技术标准可以安全发放证书,进行安全认证。当然,认证机制还需要法律法规支持。安全认证需要的法律问题包括信用立法、电子签名法、电子交易法、认证管理法律等。
1)数字摘要
数字摘要采用单向Hash函数对信息进行某种变换运算得到固定长度的摘要,并在传输信息时将之加入文件一同送给接收方;接收方收到文件后,用相同的方法进行变换运算得到另一个摘要;然后将自己运算得到的摘要与发送过来的摘要进行比较。这种方法可以验证数据的完整性。
2)数字信封
数字信封用加密技术来保证只有特定的收信人才能阅读信的内容。具体方法是:信息发送方采用对称密钥来加密信息,然后再用接收方的公钥来加密此对称密钥(这部分称为数字信封),再将它和信息一起发送给接收方;接收方先用相应的私钥打开数字信封,得到对称密钥,然后使用对称密钥再解开信息。
3)数字签名
数字签名是指发送方以电子形式签名一个消息或文件,表示签名人对该消息或文件的内容负有责任。数字签名综合使用了数字摘要和非对称加密技术,可以在保证数据完整性的同时保证数据的真实性。
4)数字时间戳
数字时间戳服务(DTS)是提供电子文件发表时间认证的网络安全服务。它由专门的机构(DTS)提供。
5)数字证书
数字证书(Digital ID)含有证书持有者的有关信息,是在网络上证明证书持有者身份的数字标识,它由权威的认证中心(CA)颁发。CA是一个专门验证交易各方身份的权威机构,它向涉及交易的实体颁发数字证书。数字证书由CA做了数字签名,任何第三方都无法修改证书内容。交易各方通过出示自己的数字证书来证明自己的身份。
在电子商务中,数字证书主要有客户证书、商家证书两种。客户证书用于证明电子商务活动中客户端的身份,一般安装在客户浏览器上。商家证书签发给向客户提供服务的商家,一般安装在商家的服务器中,用于向客户证明商家的合法身份。
3、访问控制策略
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用。下面我们分述几种常见的访问控制策略。
1)入网访问控制
入网访问控制为网络访问提供了第一层访问控制。它控制哪些用户能够登录到服务器并获取网络资源,以及用户入网时间和入网地点。
用户的入网访问控制可分为三个步骤:用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。只有通过各道关卡,该用户才能顺利入网。
对用户名和口令进行验证是防止非法访问的首道防线。用户登录时,首先输入用户名和口令,服务器将验证所输入的用户名是否合法。如果验证合法,才继续验证输入的口令,否则,用户将被拒之网络之外。用户口令是用户入网的关键所在。为保证口令的安全性,口令不能显示在显示屏上,口令长度应不少于6个字符,口令字符最好是数字、字母和其他字符的混合,用户口令必须经过加密,加密的方法很多,其中最常见的方法有:基于单向函数的口令加密,基于测试模式的口令加密,基于公钥加密方案的口令加密,基于平方剩余的口令加密,基于多项式共享的口令加密,基于数字签名方案的口令加密等。用户还可采用一次性用户口令,也可用便携式验证器(如智能卡)来验证用户的身份。
2)网络的权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源。可以指定用户对这些文件、目录、设备能够执行哪些操作。我们可以根据访问权限将用户分为以下几类:(1)特殊用户(即系统管理员);(2)一般用户,系统管理员根据他们的实际需要为他们分配操作权限;(3)审计用户,负责网络的安全控制与资源使用情况的审计。用户对网络资源的访问权限可以用一个访问控制表来描述。
3)目录级安全控制
网络应允许控制用户对目录、文件、设备的访问。用户在月录一级指定的权限对所有文件和子目录有效,用户还可进一步指定对目录下的子目录和文件的权限。对目录和文件的访问权限一般有八种:系统管理员权限(Supervisor)、读权限(Read)、写权限(Write)、创建权限(Create)、删除权限(Erase)、修改权限(MOdify)、文件查找权限(FileScan)、存取控制权限(AccessControl)。用户对文件或目标的有效权限取决于以下二个因素:用户的受托者指派、用户所在组的受托者指派、继承权限屏蔽取消的用户权限。一个网络系统管理员应当为用户指定适当的访问权限,这些访问权限控制着用户对服务器的访问。八种访问权限的有效组合可以让用户有效地完成工作,同时又能有效地控制用户对服务器资源的访问,从而加强了网络和服务器的安全性。
随着计算机技术和通信技术的发展,计算机网络将日益成为工业、农业和国防等方面的重要信息交换手段,渗透到社会生活的各个领域。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全策略,对于保障网络信息传输的安全性将变得十分重要。
大型复杂的网络必须有一个全面的网络安全体系。
一、防火墙技术
在网关上安装防火墙,分组过滤和ip伪装,监视网络内外的通信。
二、用户身份验证技术
不同用户分设不同权限,并定期检查。
三、入侵检测技术
四、口令管理
每个用户设置口令,定义口令存活期,不准使用简单数字、英文等
五、病毒防护
建立病毒防火墙,安装杀毒软件,及时查杀服务器和终端;限制共享目录及读写权限;限制网上下载和盗版软件使用;
六、系统管理
及时打系统补丁;定期对服务器安全评估,修补漏洞;禁止从软盘、光驱引导;设置开机口令(cmos中);设置屏保口令;nt系统中使用ntfs格式;删除不用账户;
七、硬件管理
八、代理技术
在路由器后面使用代理服务器,两网卡一个对内,一个对外,建立物理隔离,并隐藏内网ip。
九、系统使用双机冗余、磁盘陈列技术。
第一层:物理层(PhysicalLayer)
规定通信设备的机械的、电气的、功能的和规程的特性,用以建立、维护和拆除物理链路连接。具体地讲,机械特性规定了网络连接时所需接插件的规格尺寸、引脚数量和排列情况等;电气特性规定了在物理连接上传输bit流时线路上信号电平的大小、阻抗匹配、传输速率距离限制等;
第二层:数据链路层(DataLinkLayer)
在物理层提供比特流服务的基础上,建立相邻结点之间的数据链路,通过差错控制提供数据帧(Frame)在信道上无差错的传输,并进行各电路上的动作系列。
第三层:网络层(Network layer)
在计算机网络中进行通信的两个计算机之间可能会经过很多个数据链路,也可能还要经过很多通信子网。网络层的任务就是选择合适的网间路由和交换结点,确保数据及时传送。网络层将数据链路层提供的帧组成数据包,包中封装有网络层包头,其中含有逻辑地址信息- -源站点和目的站点地址的网络地址。
第四层:传输层(Transport layer)
第4层的数据单元也称作处理信息的传输层(Transport layer)。但是,当你谈论TCP等具体的协议时又有特殊的叫法,TCP的数据单元称为段(segments)而UDP协议的数据单元称为“数据报(datagrams)”。这个层负责获取全部信息,因此,它必须跟踪数据单元碎片、乱序到达的数据包和其它在传输过程中可能发生的危险。
第五层:会话层(Session layer)
这一层也可以称为会晤层或对话层,在会话层及以上的高层次中,数据传送的单位不再另外命名,统称为报文。会话层不参与具体的传输,它提供包括访问验证和会话管理在内的建立和维护应用之间通信的机制。如服务器验证用户登录便是由会话层完成的。
第六层:表示层(Presentation layer)
这一层主要解决用户信息的语法表示问题。它将欲交换的数据从适合于某一用户的抽象语法,转换为适合于OSI系统内部使用的传送语法。即提供格式化的表示和转换数据服务。数据的压缩和解压缩, 加密和解密等工作都由表示层负责。例如图像格式的显示,就是由位于表示层的协议来支持。
第七层:应用层(Application layer)
应用层为操作系统或网络应用程序提供访问网络服务的接口。
应用层协议的代表包括:Telnet、FTP、HTTP、SNMP等。