論分布式網(wǎng)絡(luò)的信息安全性分析

論分布式網(wǎng)絡(luò)的信息安全性分析論分布式網(wǎng)絡(luò)的信息平安性分析

企業(yè)不同，那么其平安需求和采納的信息平安技術(shù)也不同。

一、物理層平安需求

物理層平安就是要求物理隔離。所謂物理隔離，簡(jiǎn)潔地說(shuō)就是讓存有用戶(hù)重要數(shù)據(jù)的內(nèi)網(wǎng)和外部的互聯(lián)網(wǎng)不具有物理上的連接，將用戶(hù)涉密信息與非涉密的可以公布到互聯(lián)網(wǎng)上的信息隔離開(kāi)來(lái)，讓黑客無(wú)機(jī)可乘。實(shí)施物理隔離的目的決不是讓網(wǎng)絡(luò)回到以前那種信息孤島的狀態(tài)，而是讓使用者在確保平安的前提下，充共享受網(wǎng)絡(luò)互聯(lián)所帶來(lái)的一切優(yōu)點(diǎn)。在物理隔離系統(tǒng)中會(huì)包含對(duì)外網(wǎng)內(nèi)容進(jìn)行采集轉(zhuǎn)播的系統(tǒng)，這樣可以使平安的信息迅捷地在內(nèi)外網(wǎng)之間流轉(zhuǎn)，完全實(shí)現(xiàn)互聯(lián)網(wǎng)互聯(lián)互通的宗旨。

二、網(wǎng)絡(luò)層平安需求

(1)網(wǎng)絡(luò)層風(fēng)險(xiǎn)

網(wǎng)絡(luò)中心連通internet之后，內(nèi)部網(wǎng)絡(luò)可能遭受到來(lái)自internet的不分國(guó)籍、不分地域的惡意攻擊；在internet上廣為傳播的網(wǎng)絡(luò)病毒將通過(guò)web訪(fǎng)問(wèn)、郵件、新聞組、網(wǎng)絡(luò)談天以及下載軟件、信息等傳播，感染內(nèi)部網(wǎng)絡(luò)的服務(wù)器、主機(jī)；更有一些黑客程序也將通過(guò)這種方式進(jìn)入內(nèi)部網(wǎng)絡(luò)，為黑客、競(jìng)爭(zhēng)對(duì)手獵取企業(yè)數(shù)據(jù)制造條件；內(nèi)部網(wǎng)絡(luò)的用戶(hù)許多，很難保證沒(méi)有用戶(hù)會(huì)攻擊企業(yè)的服務(wù)器。事實(shí)上，權(quán)威數(shù)據(jù)表明，來(lái)自于內(nèi)部的攻擊，其勝利的可能性要遠(yuǎn)遠(yuǎn)大于來(lái)自于internet的攻擊，而且內(nèi)部攻擊的目標(biāo)主要是獵取國(guó)家機(jī)關(guān)的機(jī)密信息，其損失要遠(yuǎn)遠(yuǎn)高于系統(tǒng)破壞。

(2)網(wǎng)絡(luò)層平安需求

基于以上風(fēng)險(xiǎn)，在網(wǎng)絡(luò)方案中，網(wǎng)絡(luò)層平安主要解決內(nèi)部網(wǎng)絡(luò)互聯(lián)時(shí)和在網(wǎng)絡(luò)通訊層平安問(wèn)題，需要解決的問(wèn)題有：內(nèi)部網(wǎng)絡(luò)進(jìn)出口掌握(即ip過(guò)濾)內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)層數(shù)據(jù)加密：平安檢測(cè)和報(bào)警、防殺病毒。locALHOSt

重點(diǎn)在于內(nèi)部網(wǎng)絡(luò)本身內(nèi)部的平安，假如解決了分布網(wǎng)絡(luò)環(huán)境中各個(gè)子網(wǎng)的平安，那么分布網(wǎng)絡(luò)互聯(lián)的平安只需解決網(wǎng)絡(luò)層以及應(yīng)用層的傳輸加密即可。

1)網(wǎng)絡(luò)進(jìn)出口掌握

需要對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行管理和掌握。在每個(gè)部門(mén)和單位的局域網(wǎng)也需要對(duì)進(jìn)入本局域網(wǎng)進(jìn)行管理和掌握。各網(wǎng)之間通過(guò)防火墻或虛擬網(wǎng)段進(jìn)行分割和訪(fǎng)問(wèn)權(quán)限的掌握。

同樣需要對(duì)內(nèi)網(wǎng)到外網(wǎng)(internet)進(jìn)行管理和掌握。

要達(dá)到授權(quán)用戶(hù)可以進(jìn)出內(nèi)部網(wǎng)絡(luò)，防止非授權(quán)用戶(hù)進(jìn)出內(nèi)部網(wǎng)絡(luò)這個(gè)基本目標(biāo)。

2)網(wǎng)絡(luò)和網(wǎng)絡(luò)層、應(yīng)用層數(shù)據(jù)加密

對(duì)關(guān)鍵應(yīng)用需要進(jìn)行網(wǎng)絡(luò)層、應(yīng)用層數(shù)據(jù)加密，特殊是最核心的領(lǐng)導(dǎo)辦公服務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)系統(tǒng)，需要有高強(qiáng)度的數(shù)據(jù)加密措施。

3)平安檢測(cè)和報(bào)警、防殺病毒平安檢測(cè)是實(shí)時(shí)對(duì)公開(kāi)網(wǎng)絡(luò)和公開(kāi)服務(wù)器進(jìn)行平安掃描和檢測(cè)，準(zhǔn)時(shí)發(fā)覺(jué)擔(dān)心全因素，對(duì)網(wǎng)絡(luò)攻擊進(jìn)行報(bào)警。這主要是供應(yīng)一種監(jiān)測(cè)手段，保證網(wǎng)絡(luò)和服務(wù)的正常運(yùn)行。要實(shí)現(xiàn)：

＊準(zhǔn)時(shí)發(fā)覺(jué)來(lái)自網(wǎng)絡(luò)內(nèi)外對(duì)網(wǎng)絡(luò)的攻擊行為；

＊詳實(shí)地記錄攻擊發(fā)生的狀況；

＊當(dāng)發(fā)覺(jué)網(wǎng)絡(luò)遭到攻擊時(shí)，系統(tǒng)必需能夠向管理員發(fā)出報(bào)警消息；

＊當(dāng)發(fā)覺(jué)網(wǎng)絡(luò)遭到攻擊時(shí)，系統(tǒng)必需能夠準(zhǔn)時(shí)阻斷攻擊的連續(xù)進(jìn)行。

＊對(duì)防火墻進(jìn)行平安檢測(cè)和分析；

＊對(duì)web服務(wù)器檢測(cè)進(jìn)行平安檢測(cè)和分析；

＊對(duì)操作系統(tǒng)檢測(cè)進(jìn)行平安檢測(cè)和分析。

需要采納網(wǎng)絡(luò)防病毒機(jī)制來(lái)防止網(wǎng)絡(luò)病毒的攻擊和擴(kuò)散。嚴(yán)格地講，防殺病毒屬于系統(tǒng)平安需求范疇。

三、應(yīng)用層平安需求

應(yīng)用層平安主要是對(duì)網(wǎng)絡(luò)資源的有效性進(jìn)行掌握，管理和掌握什么用戶(hù)對(duì)資源具有什么權(quán)限。資源包括信息資源和服務(wù)資源。其平安性主要在用戶(hù)和服務(wù)器問(wèn)的雙向身份認(rèn)證以及信息和服務(wù)資源的訪(fǎng)問(wèn)掌握，具有審計(jì)和記錄機(jī)制，確保防止拒絕和防抵賴(lài)的防否認(rèn)機(jī)制。需要進(jìn)行平安愛(ài)護(hù)的資源如前面所述的公共應(yīng)用、辦公系統(tǒng)應(yīng)用、信息查詢(xún)、財(cái)務(wù)管理、企業(yè)，其中最重要的和最普遍的應(yīng)用是數(shù)據(jù)庫(kù)應(yīng)用，而且是分布式的。數(shù)據(jù)庫(kù)的分布式復(fù)制操作是自動(dòng)的，是服務(wù)器到服務(wù)器的數(shù)據(jù)傳輸過(guò)程。對(duì)數(shù)據(jù)庫(kù)復(fù)制的平安愛(ài)護(hù)目前最有用的技術(shù)是網(wǎng)絡(luò)vpn。

vpn產(chǎn)品一般具有如下基本功能：

·ip層認(rèn)證和加密：

·ip包過(guò)濾：

·密鑰管理。

vpn產(chǎn)品可以基于公共的lp網(wǎng)絡(luò)環(huán)境進(jìn)行組網(wǎng)，使用戶(hù)感覺(jué)在公網(wǎng)上獨(dú)占信道，也就是隧道的概念。在產(chǎn)品形態(tài)上是專(zhuān)有硬件，嵌入式操作系統(tǒng)，專(zhuān)用加密算法。在性能上，可以允許上千對(duì)vpn通道，網(wǎng)絡(luò)加密速度在10mbps以上。有的vpn產(chǎn)品將防火墻功能結(jié)合在一起，形成平安網(wǎng)關(guān)。在分布式數(shù)據(jù)庫(kù)環(huán)境中，按點(diǎn)到點(diǎn)方式安裝vpn產(chǎn)品，保證數(shù)據(jù)庫(kù)復(fù)制過(guò)程的數(shù)據(jù)加密傳輸。

(3)入侵檢測(cè)技術(shù)與產(chǎn)品

隨著internet應(yīng)用的不斷普及，黑客入侵大事也呈上升趨勢(shì)，在安裝防火墻和劃分三網(wǎng)段平安結(jié)構(gòu)后，降低了這種風(fēng)險(xiǎn)，但沒(méi)有徹底消退。由于防火墻只是被動(dòng)的防止攻擊，不能預(yù)警攻擊。

入侵檢測(cè)系統(tǒng)可分為兩類(lèi)：基于主機(jī)和基于網(wǎng)絡(luò)?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)用于愛(ài)護(hù)關(guān)鍵應(yīng)用的服務(wù)器，實(shí)時(shí)監(jiān)視可疑的連接、系統(tǒng)日志檢查、非法訪(fǎng)問(wèn)的闖入等，并且供應(yīng)對(duì)典型應(yīng)用的監(jiān)視，如web服務(wù)器應(yīng)用?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)則主要用于實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)關(guān)鍵路徑的信息。

(4)漏洞掃描與產(chǎn)品

網(wǎng)絡(luò)系統(tǒng)的平安性取決于網(wǎng)絡(luò)系統(tǒng)最薄弱的環(huán)節(jié)，任何疏忽都可能引入擔(dān)心全因素，最有效的方法是定期對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行平安性分析，準(zhǔn)時(shí)發(fā)覺(jué)并修正存在的脆弱點(diǎn)，保證系統(tǒng)的平安。

風(fēng)險(xiǎn)評(píng)估(vulnerabilityassessment)是網(wǎng)絡(luò)平安防備中的一項(xiàng)重要技術(shù)，其原理是采納模擬攻擊的形式對(duì)目標(biāo)可能存在的已知平安漏洞進(jìn)行逐項(xiàng)檢查。目標(biāo)可以是工作站、服務(wù)器、交換機(jī)、數(shù)據(jù)庫(kù)應(yīng)用等各種對(duì)象。然后依據(jù)掃描結(jié)果向系統(tǒng)管理員供應(yīng)周密牢靠的平安性分析報(bào)告，為提高網(wǎng)絡(luò)平安整體水平產(chǎn)生重要依據(jù)。在網(wǎng)絡(luò)平安體系的建設(shè)中，平安掃描工具花費(fèi)低、效果好、見(jiàn)效快、與網(wǎng)絡(luò)的運(yùn)行相對(duì)對(duì)立、安裝運(yùn)行簡(jiǎn)潔，可以大規(guī)模削減平安管理員的手工勞動(dòng)，有利于保持全網(wǎng)平安政策的統(tǒng)一和穩(wěn)定

論分布式網(wǎng)絡(luò)的信息平安性分析

。風(fēng)險(xiǎn)評(píng)估技術(shù)基本上也可分為基于主機(jī)的和基于網(wǎng)絡(luò)的兩種，前者主要關(guān)注軟件所在主機(jī)上面的風(fēng)險(xiǎn)漏洞，而后者則是通過(guò)網(wǎng)絡(luò)遠(yuǎn)程探測(cè)其它主機(jī)的平