您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

网络安全防范

时间:2020-06-29 14:54:09  来源:  作者:
网络安全防范

 

1 网络安全策略

网络安全策略是对网络安全的目的,期望和目标以及实现 它们所必须运用的策略的论述,为网络安全提供管理方向和支持,是一切网络安全活动的基础,指导安全活动的基础,指导企业网络安全结构体系的开发和实施。

包括:局域网的信息存储、处理、传输技术;保护企业所有的信息、数据、文件和设备资源的管理和操作手段;确定安全管理等级和安全管理范围;

制定有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应危措施。

计算机网络所面临的威胁大体可分为两种:一是对网络中信息的威胁;二是对网络中设备的威胁。在网络安全中,采取强有力的安全策略,对于保障网络的安全性是非常重要的。

物理安全策略

物理安全策略的目的是保护计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击,包括安全地区的确定、物理安全边界、物理安全控制、设备安全、防电磁辐射等。

物理接口控制是指安全地区应该通过合适的入口控制进行保护,从而保证只有合法员工可以访问这些地区。设备安全是为了防止资产的丢失、破坏、防止商业活动中断,建立完备的安全管理制度,防止非法进入计算机控制室和各种偷窃,破坏活动的发生。抑制和防止电磁泄漏(即TEMPEST技术)是物理安全策略的一个主要问题。目前主要防护措施有两类:一类是对传导发射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合。另一类是对辐射的防护,这类防护措施又可分为以下两种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

访问控制策略

访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和非常访问。它也是维护网络系统安全、保护网络资源的重要手段。各种安全策略必须相互配合才能真正起到保护作用,但访问控制可以说是保证网络安全最重要的核心策略之一。访问控制包括用户访问管理以防止未经授权的访问;网络访问控制,保护网络服务;操作系统访问控制,防止未经授权的计算机访问;应用系统访问控制,防止信息系统中信息的未经授权的访问;监控对系统的访问和使用,探测未经授权的行为。

信息加密策略

信息安全策略是要保护信息的机密性、真实性和完整性,因此应对敏感或机密数据加密。信息加密过程是由形形色色的加密算法来具体实施,它以很小的代价提供很大的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。信息加密的算法是公开的,其安全性取决于密钥的安全性,应建立并遵守用于对信息进行保护的密码控制的使用策略,密钥管理基于一套标准、过程和方法,用于支持密码技术的使用。信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。链路加密的目的是保护网络节点之间的链路信息安全;端-端加密的目的是对源端用户到目的端用户的数据提供保护;节点加密的目的是对源节点到目的节点之间的传输链路提供保护。

网络安全管理策略

网络的安全管理策略包括:确定安全管理等级和安全管理范围;制订有关网络操作使用规程和人员出入机房管理制度;制定网络系统的维护制度和应急措施等。加强网络的安全管理,制定有关规章制度,对于确保网络的安全、可靠地运行,将起到十分有效的作用。

2.网络防范的方法

要提高计算机网络的防御能力,加强网络的安全措施,否则该网络将是个无用、甚至会危及国家安全的网络。无论是在局域网还是在广域网中,都存在着自然和人为等诸多因素的脆弱性和潜在威胁,网络的防范措施应该能全方位地应付各种不同的威胁和脆弱性,这样才能确保网络信息的保密性、完整性和可用性。从实体层次、能量层次、信息层次和管理层次四个层次来阐述网络防范的方法。

实体层次防范对策

在组建网络的时候,要充分考虑网络的结构、布线、路由器、网桥的设置、位置的选择,加固重要的网络设施,增强其抗摧毁能力。与外部网络相连时,采用防火墙屏蔽内部网络结构,对外界访问进行身份人证、数据过滤,在内部网中进行安全域划分、分级权限分配。对外部网络的访问,将一些不安全的站点过滤掉,对一些经常访问的站点做成镜像,可大大提高效率,减轻线路负担。网络中的各个节点要相对固定,严禁随意连接,一些重要的部件安排专门的场地人员维护、看管,防止自然或人为的破坏,加强场地安全管理,做好供电、接地、灭火的管理,与传统意义上的安全保卫工作的目标相吻合。

能量层次防范对策

能量层次的防范对策是围绕着制电磁权而展开的物理能量的对抗。攻击者一方面通过运用强大的物理能量干扰、压制或嵌入对方的信息网络;另一方面又通过运用探测物理能量的技术手段对计算机辐射信号进行采集与分析,获取秘密信息。防范的对策主要是做好计算机设施的防电磁泄露、抗电磁脉冲干扰,在重要部位安装干扰器、建设屏蔽机房等。

目前主要防护措施有2类:

一类是对外围辐射的防护,主要采取对电源线和信号线加装性能良好的滤波器,减小传输阻抗和导线间的交叉耦合;给网络加装电磁屏蔽网,防止敌方电磁武器的攻击。

另一类是对自身辐射的防护,这类防护措施又可分为2种:一是采用各种电磁屏蔽措施,如对设备的金属屏蔽和各种接插件的屏蔽,同时对机房的下水管、暖气管和金属门窗进行屏蔽和隔离;二是干扰的防护措施,即在计算机系统工作的同时,利用干扰装置产生一种与计算机系统辐射相关的伪噪声向空间辐射来掩盖计算机系统的工作频率和信息特征。

信息层次防范对策

信息层次的计算机网络对抗主要包括计算机病毒对抗、黑客对抗、密码对抗、软件对抗、芯片陷阱等多种形式。信息层次的计算机网络对抗是网络对抗的关键层次,是网络防御的主要环节。它与计算机网络在物理能量领域对抗的主要区别表现在:信息层次的对抗中获得制信息权的决定因素是逻辑的,而不是物理能量的,取决于对信息系统本身的技术掌握水平,是知识和智力的较量,而不是电磁能量强弱的较量。信息层次的防御对策主要是防御黑客攻击和计算机病毒。对黑客攻击的防范,主要从访问控制技术、防火墙技术和信息加密技术方面进行防范。

管理层次防御对策

实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理。建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识。重要环节的安全管理要采取分权制衡的原则,要害部位的管理权限如果只交给一个人管理一旦除问题就将全线崩溃。分权可以相互制约,提高安全型。要有安全管理的应急响应预案,一旦出现相关的问题买上采取对应的措施。

安全的本质是攻击防守双方不断利用脆弱性知识进行的博弈:攻防双方不断的发现漏洞并利用这些信息达到各自的目的。

网络安全是相对的,动态的。例如随着操作系统和应用系统漏洞的不断发现以及口令很久未曾更改等情况的发生,整个系统的安全性就受到了威胁,这时候若不及时进行打安全补丁或更换口令,就很可能被一直在企图入侵却未能成功的黑客轻易攻破。

攻击方受防御方影响,防御方受攻击方影响是攻防博弈的基本假定。作为博弈一方的攻击方,受防御方和环境影响而存在不确定性,所以攻击方有风险。作为博弈一方的防御方,受攻击方和环境影响而存在不确定性,所以防御方也有风险。防御方必须坚持持续改进原则,其安全机制既含事前保障,亦含事后监控。

随着网络技术的发展,网络攻击技术也发展很快,安全产品的发展仍处在比较被动的局面。安全产品只是一种防范手段,最关键还是靠人,要靠人的分析判断能力去解决问题,这就使得网络管理人员和网络安全人员要不断更新这些方面的知识,在了解安全防范的同时也应该多了解网络攻击的方法,只有这样才能知已知彼,在网络攻防的博弈中占据有利地位。

消极安全防范的原理

以已经发现的攻击方式,经过专家分析后给出其特征进而来构建攻击特征集。然后在网络数据中寻找与之匹配的行为,从而起来发现或阻挡的作用。它的缺点是使用被动安全防范体系,不能对未被发现的攻击方式作出反应。消极安全防范的一个主要特征就是针对已知的攻击,建立攻击特征库,作为判断网络数据是否包含攻击的依据。使用消极安全防范模型的产品,不能对付未知攻击行为,并且需要不断更新的特征库。

例如在入侵检测技术中,误用入侵检测技术就是根据已知的入侵模式来检测入侵。入侵者常常利用系统和应用软件中的弱点攻击,而这些弱点易编成某种模式,如果入侵者攻击方式恰好匹配上检测系统中的模式库,则入侵者即被检测到,其优点是算法简单、系统开销小,但是缺点是被动,只能检测出已知攻击,模式库要不断更新。

3.网络安全模型

网络防范的目的就是实现网络安全目标,网络安全的工作目标通俗地说就是下面的“六不”:“进不来”——访问控制机制——,“拿不走”——授权机制——,“看不懂”——加密机制——,“改不了”——数据完整性机制——,“逃不掉”——审计、监控、签名机制——,“打不跨”——数据备份与灾难恢复机制。为了实现整体网络安全的工作目标,有两种流行的网络安全模型:P2DR模型和AP2DRR模型。

P2DR模型是动态安全模型(可适应网络安全模型)的代表性模型。在整体的安全策略的控制和指导下,在综合运用防护工具(如防火墙、操作系统身份认证、加密等手段)的同时,利用检测工具(如漏洞评估、入侵检测等系统)了解和评估系统的安全状态,通过适当的反应将系统调整到“最安全”和“风险最低”的状态。模型如图4-55所示。

网络安全防范

 

根据P2DR模型的理论,安全策略是整个网络安全的依据。不同的网络需要不同的策略,在制定策略以前,需要全面考虑局域网络中如何在网络层实现安全性,如何控制远程用户访问的安全性,在广域网上的数据传输实现安全加密传输和用户的认证等等问题。对这些问题作出详细回答,并确定相应的防护手段和实施方法,就是针对企业网络的一份完整的安全策略。策略一旦制定,应当作业整个企业安全行为的准则。

而AP2DRR模型则包括以下环节:

网络安全=风险分析(A)+ 制定安全策略(P)+ 系统防护(P)

+ 实时监测(D)+ 实时响应(R)+ 灾难恢复(R)

通过对以上AP2DRR的6个元素的整合,形成了一套整体的网络安全结构,如图4-56所示:

网络安全防范

 

事实上,对于一个整体网络的安全问题,无论是P2DR还是AP2DRR,都将如何定位网络中的安全问题放在最为关键的位置。这两种模型都提到了一个非常重要的环节—P2DR中的检测环节和AP2DRR中的风险分析,在这两种安全模型中,这个环节并非仅仅指的是狭义的检测手段,而是一个复杂的分析与评估的过程。

通过对网络中的安全漏洞及可能受到的威胁等内容进行评估。获取安全风险的客观数据,为信息安全方案制定提供依据。

网络安全具有相对性,其防范策略是动态的,因而网络安全防范模型是一个不断重复改进的循环过程。

@木子雨辰,将一直带给大家信息安全知识,由浅至深、采用体系化结构逐步分享,大家有什么建议和问题,可以及留言,多谢大家点击关注、转发、评论,谢谢大家。

大家如果有需要了解安全知识内容需求的可以留言,沟通,愿与大家携手前行。



Tags:网络安全   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
中新网12月27日电 据中国网信网消息,近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。《...【详细内容】
2021-12-28  Tags: 网络安全  点击:(1)  评论:(0)  加入收藏
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  Tags: 网络安全  点击:(10)  评论:(0)  加入收藏
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  Tags: 网络安全  点击:(29)  评论:(0)  加入收藏
网络安全板块是什么 1、网络安全网络安全是计算机行业中网络、计算、储存外的第四个基础设施。是计算机行业中增速最快的超千亿的板块。2、近几个月来大涨四个原因滴滴事件...【详细内容】
2021-12-08  Tags: 网络安全  点击:(19)  评论:(0)  加入收藏
即使在安全技术取得进步之后,网络犯罪仍在不断增加。据统计,网络犯罪每分钟给企业造成约 290 万美元的损失。主要是因为新技术不断涌现,难以维护安全。随着网络威胁的增加,网络...【详细内容】
2021-11-04  Tags: 网络安全  点击:(40)  评论:(0)  加入收藏
网友们,过去一年,您的网络安全段位提升了吗?需要更多的专属利器加持吗?今年我们又为您准备了丰富的网络安全知识大餐,助您驰骋网络,为网络安全护航!2021年10月11日至17日为“国家网...【详细内容】
2021-10-13  Tags: 网络安全  点击:(49)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  Tags: 网络安全  点击:(189)  评论:(0)  加入收藏
前言这又是一个关于域内基础概念与原理的系列Active Directory 的查询基础语法BaseDNBaseDN 即基础可分辨名称,其指定了这棵树的根。比如指定 BaseDN 为DC=whoamianony,DC=or...【详细内容】
2021-09-06  Tags: 网络安全  点击:(47)  评论:(0)  加入收藏
前言上次带大家了解了什么是黑客,黑客是干嘛的,今天就来看看黑客的收入和方向怎么样。一个黑客年薪是多少呢?外界普遍认为黑客是高收入群体,那么你想过黑客是怎么赚钱的吗?黑客...【详细内容】
2021-08-24  Tags: 网络安全  点击:(122)  评论:(0)  加入收藏
很多小伙伴都想入行网络安全,因为网络安全高薪,未来发展前景好,但是不知道网络安全学习路线是什么样的?网络安全学多久能找工作?我们就来梳理一下。 网络安全虽然好上手,入门难度...【详细内容】
2021-08-23  Tags: 网络安全  点击:(72)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(29)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(20)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(633)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条