網(wǎng)絡(luò)安全之物理安全策略

物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機等硬件實體和信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。

抑制和防止電磁泄漏（即TEMPEST技術(shù)）是物理安全策略的一個主要問題。目前主要防護措施有兩類：一類是對傳導發(fā)射的防護，主要采取對電源線和信號線加裝性能良好的濾波器，減小傳輸阻抗和導線間的交叉耦合。另一類是對輻射的防護，這類防護措施又可分為以下兩種：

一是采用各種電磁屏蔽措施，如對設(shè)備的金屬屏蔽和各種接插件的屏蔽，同時對機房的下水管、暖氣管和金屬門窗進行屏蔽和隔離；

二是干擾的防護措施，即在計算機系統(tǒng)工作的同時，利用干擾裝置產(chǎn)生一種與計算機系統(tǒng)輻射相關(guān)的偽噪聲向空間輻射來掩蓋計算機系統(tǒng)的工作頻率和信息特征。

網(wǎng)絡(luò)安全之網(wǎng)絡(luò)結(jié)構(gòu)的安全

網(wǎng)絡(luò)結(jié)構(gòu)布局的合理與否，也影響著網(wǎng)絡(luò)的安全性對銀行系統(tǒng)業(yè)務(wù)網(wǎng)，辦公網(wǎng)，與外單位互聯(lián)的接口網(wǎng)絡(luò)之間必須按各自的應(yīng)用范圍，安全保密程度進行合理分布，以免局部安全性較低的網(wǎng)絡(luò)系統(tǒng)造成的威脅，傳播到整個網(wǎng)絡(luò)系統(tǒng)，所以必須從兩個方面入手。

一是加強|力問控制：在內(nèi)部局網(wǎng)內(nèi)可以通過交換機劃分VLAN功能來實現(xiàn)；或是通過配備防火墻來實現(xiàn)內(nèi)、外網(wǎng)或不同信任域之間的隔離與訪問控制：也可以配備應(yīng)用層的訪問控制軟件系統(tǒng)，針對局域網(wǎng)具體的應(yīng)用進行更細致的訪問控制。

二是作好安全檢測工作：在局域網(wǎng)絡(luò)的共享網(wǎng)絡(luò)設(shè)備上配備入侵檢測系統(tǒng)，實時分析進出網(wǎng)絡(luò)數(shù)據(jù)流，對網(wǎng)絡(luò)違規(guī)事件跟蹤，實時報警，阻斷連接并做日志。

網(wǎng)絡(luò)安全之操作系統(tǒng)的安全

對操作系統(tǒng)必須進行安全配置，打上最新的補丁，還要利用相應(yīng)的掃描軟件對其進行安全性掃描評估，檢測其存在的安全漏洞，分析系統(tǒng)的安全性，提出補救措施，管理人員應(yīng)用時必須加強身份認證機制及認證強度盡量采用安全性較高的網(wǎng)絡(luò)操作系統(tǒng)并進行必要的安全配置，關(guān)閉一些起不常用卻存在安全隱患的應(yīng)用，對一些關(guān)鍵文件使用權(quán)限進行嚴格限制，加強口令字的使用，及時給系統(tǒng)打補丁，系統(tǒng)內(nèi)部的相互調(diào)用不對外公開。

網(wǎng)絡(luò)安全之應(yīng)用的安全

要確保計算機網(wǎng)絡(luò)應(yīng)用的安全，主要從以下幾個方面作好安全防范工作：

一要配備防病毒系統(tǒng)，防止病毒入侵主機并擴散到全網(wǎng)，實現(xiàn)全網(wǎng)的病毒安全防護；

二作好數(shù)據(jù)備份工作，最安全的，最保險的方法是對重要數(shù)據(jù)信息進行安全備份，如果遇到系統(tǒng)受損時，可以利用災(zāi)難恢復系統(tǒng)進行快速恢復；

三是對數(shù)據(jù)進行加密傳輸，保護數(shù)據(jù)在傳輸過程中不被泄露，保證用戶數(shù)據(jù)的機密性，數(shù)據(jù)加密的方法有從鏈路層加密，網(wǎng)絡(luò)層加密及應(yīng)用層加密；

四是進行信息鑒別，為了保證數(shù)據(jù)的完整性，就必須采用信息鑒別技術(shù)，VPN設(shè)備便能實現(xiàn)這樣的功能，數(shù)據(jù)源身份認證也是信息鑒別的一種手段，它可以確認信息的來源的可靠性，結(jié)合傳輸加密技術(shù)，我們可以選擇VPN設(shè)備，實現(xiàn)保護數(shù)據(jù)的機密性，完整性，真實性，可靠性。

我們可以做的有：

第一部分是增強用戶認證,用戶認證在網(wǎng)絡(luò)和信息的安全中屬于技術(shù)措施的第一道大門,最后防線為審計和數(shù)據(jù)備份,不加強這道大門的建設(shè),整個安全體系就會較脆弱。用戶認證的主要目的是提供訪問控制和不可抵賴的作用。用戶認證方法按其層次不同可以根據(jù)以下三種因素提供認證。

1.用戶持有的證件,如大門鑰匙、門卡等等;

2.用戶知道的信息,如密碼;

3.用戶特有的特征,如指紋、聲音、視網(wǎng)膜掃描等等。

根據(jù)在認證中采用因素的多少,可以分為單因素認證、雙因素認證,多因素認證等方法。

第二部分是授權(quán),這主要為特許用戶提供合適的訪問權(quán)限,并監(jiān)控用戶的活動,使其不越權(quán)使用。該部分與訪問控制(常說的隔離功能)是相對立的。隔離不是管理的最終目的,管理的最終目的是要加強信息有效、安全的使用,同時對不同用戶實施不同訪問許可。

第三部分是加密。在上述的安全體系結(jié)構(gòu)中,加密主要滿足以下幾個需求。

1.認證——識別用戶身份,提供訪問許可;

2.一致性——保證數(shù)據(jù)不被非法篡改;

3.隱密性——保護數(shù)據(jù)不被非法用戶查看;

4.不可抵賴——使信息接收者無法否認曾經(jīng)收到的信息。

加密是信息安全應(yīng)用中最早開展的有效手段之一,數(shù)據(jù)通過加密可以保證在存取與傳送的過程中不被非法查看、篡改、竊取等。在實際的網(wǎng)絡(luò)與信息安全建設(shè)中,利用加密技術(shù)至少應(yīng)能解決以下問題:

1.鑰匙的管理,包括數(shù)據(jù)加密鑰匙、私人證書、私密等的保證分發(fā)措施;

2.建立權(quán)威鑰匙分發(fā)機構(gòu);

3.保證數(shù)據(jù)完整性技術(shù);

4.數(shù)據(jù)加密傳輸;

5.數(shù)據(jù)存儲加密

第四部分為審計和監(jiān)控,確切說,還應(yīng)包括數(shù)據(jù)備份,這是系統(tǒng)安全的最后一道防線。系統(tǒng)一旦出了問題,這部分可以提供問題的再現(xiàn)、責任追查、重要數(shù)據(jù)復原等保障。

在網(wǎng)絡(luò)和信息安全模型中,這五個部分是相輔相成、缺一不可的。其中底層是上層保障的基礎(chǔ),如果缺少下面各層次的安全保障,上一層的安全措施則無從說起。如果一個企業(yè)沒有對授權(quán)用戶的操作規(guī)范、安全政策和教育等方面制定有效的管理標準,那么對用戶授權(quán)的控制過程以及事后的審計等的工作就會變得非常困難。

網(wǎng)絡(luò)安全之管理的安全

網(wǎng)絡(luò)安全體系的建立和維護需要有良好的管理制度和很高的安全意識來保障。安全意識可以通過安全常識培訓來提高，行為的約束只能通過嚴格的管理體制，并利用法律手段來實現(xiàn)，因國這些必須在電信部門系統(tǒng)內(nèi)根據(jù)自身的應(yīng)用與安全需求，制定安全管理制度并嚴格按執(zhí)行，并通過安全知識及法律常識的培訓，加強整體員工的自身安全意識及防范外部入侵的安全技術(shù)。

原文鏈接：http://netsecurity.51cto.com/art/201103/249654.htm

標簽： 安全 防火墻 服務(wù)器 機房 漏洞 權(quán)限 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)服務(wù)器 信息安全 選擇

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。