论文部分内容阅读
中图分类号:TU7文献标识码: A 文章编号:
1前言
网络安全问题不仅给广大网民带来了不便,甚至影响到我国信息化建设的进一步深化,威胁到国家的信息安全和经济发展。如何使网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,必须做好网络安全系统检测。
2网络安全系统检测
(1)网络安全系统宜从物理层安全、网络层安全、系统层安全、应用层安全等四个方便进行检测,以保证信息的保密性、真实性、完整性、可控性、和可用性等信息安全性能符合设计要求。
物理层安全。包括对于信息网络进行的物理环境(如机房、配线间等)的控制盒管理,也包括防范因物理介质、信号辐射等导致的安全风险。
网络层安全。主要是保证网络通信的稳定赫尔可靠,并在网络层进行访问控制和安全检查,抵御在网络层的攻击和破坏。网络层安全包括防攻击、因特网(Internet)访问控制和访问管理、安全隔离等内容。涉及安全网络拓扑、防火墙、入侵检测系统、内容过滤等技术或产品。
系统层安全。主要对各种网络设备、服务器、桌面主机等进行保护,保证操作系统和网络服务平台的安全,防范通过系统攻击对数据造成的破坏。
应用层安全。主要解决各种网络应用系统的安全。
网络安全涉及计算机网络系统、应用软件的各个层面和所有的组成部分,以及使用信息网络系统的所有用户,以及安放信息网络系统的物理设施、所处的物理环境等因素。它是一个范围非常广、涉及技术也是很多的系统,必须进行层次化管理才能理清概念、分清主次和建立合理步骤来不断加强网络安全建设。
(2)计算机信息系统安全专用产品必须具有公安部计算机管理监察部门审批颁发的“计算机信息系统安全专用产品销售许可证”;特殊行业有其他规定时,还应遵守行业的相关规定。
(3)如果与因特网连接,智能建筑网络安全系统必须安装防火墙和防病毒系统
防火墙是在网络中不同网段之间实现边界安全的网络安全设备,主要功能是在网络层控制某一网段对另一网段的访问。一般用在局域网和互联网之间,或局域网内部重要网段和其他网段之间。
非军事化区 。在网络结构中,处于安全内网和不安全外网之间的一个网段,它可以同时被内网和外网访问到,主要提供一些对内对外公开的服务,如主页(WWW)、电子邮件(E-Mail)、文件传输服务(FTP)和代理服务(Proxy)。
安全内网。在网络结构中的一个受到重点保护的子网,一般是内部办公网络和内部办公服务器或监控系统,此子网禁止来自外网的任何访问,但可以接受来自非军事化区的访问。
所有对外服务的服务器只能放在非军事化区,不得放在内网;数据库服务器和其他不對外服务的服务器应放置在内网。
配置防火墙之后,应满足一下要求:从外网能够且只能够访问到非军事化区内指定服务器的指定服务。未经授权,从外网不允许访问到内网的任何主机和服务。从非军事化区可以根据需要访问内网的指定服务器上的指定服务。从非军事化区可以根据需要访问外网的指定服务。从内网可以根据需要访问非军事化区的指定服务器上的指定服务。从内网可以根据需要访问外网的指定服务。防火墙的配置必须针对某个机主、网段、某种服务。防火墙的配置必须能够防范IP地址欺骗等行为。防火墙的配置必须是可以调整的。配置防火墙后,必须能够隐藏内部网络结构,包括内部IP地址分配。
网络环境下病毒的防范分以下层次,用户可根据自己的实际情况进行选择配置:配置网关型防毒服务器的防病毒软件,对进出信息网络系统的数据包进行病毒检测和清除;网关型防病毒服务器应尽可能与防火墙统一管理。配置专门保护邮件服务器的防病毒软件,防止通过邮件正文、邮件附件传播病毒。配置保护重要服务器的防病毒软件,防止病毒通过服务器访问传播。对每台主机进行保护,防止病毒通过单机访问(如使用带毒光盘、软盘等)进行传播。
入侵检测系统应该具备以下特征:必须具备丰富的攻击方法库,能够检测到当前主要的黑客攻击。软件厂商必须定期提供更新的攻击方法库,以检测最新出现的黑客攻击方法。必须能够在入侵行为发生之后,及时检测出黑客攻击并进行处理。必须提供包括弹出对话窗口、发送电子邮件、寻呼等在内的多种报警手段。发现入侵行为后,必须能够及时阻断这种入侵行为、并进行记录。不允许占用过多的网络资源,系统启动后,网络速度和不启动时不应用明显区别。应尽可能与防火墙设备统一管理、统一配置。
内容过滤系统应具备以下特征:具有科学、全面和及时升级的因特网网址分类数据库。具有和防火墙结合进行访问控制的功能。具有全面的访问管理手段。
(4)网络层安全的安全性检测应符合以下要求:防攻击。信息网络应能抵御来自防火墙以外的网络攻击,使用流行的攻击手段进行模拟攻击,不能攻破判为合格。因特网访问控制。信息网络应根据需求控制内部终端机的因特网连接请求和内容,使用终端机用不同身份访问因特网的不同资源,符合设计要求判为合格。信息网络与控制网络的安全隔离。测试方法应按《智能建筑工程质量验收规范》(GB50339-2003)第5.3.2条的要求,保证做到未经授权,从信息网络不能进入控制网络;符合此要求者判为合格。防病毒系统的有效性。将含有当前已知流行病毒的文件(病毒样本)通过文件传输、邮件附件、网上邻居等方式向各点传播。各点的防病毒软件应能正确地检测到该含病毒文件,并执行杀毒操作;符合本要求者判为合格。入侵检测系统的有效性。如果安装了入侵检测系统,使用功能流行的攻击手段进行模拟攻击,这些攻击应被入侵检测系统发现和阻断;符合此要求者判为合格。内容过滤系统的有效性。如果安装了内容过滤系统,则尝试访问若干受限网址或者访问受限内容,这些尝试应该阻断;然后,访问若干未受限的网址或者内容,应该可以正常访问;符合此要求者为合格。
(5)系统层安全应满足一下要求:操作系统应选用经过实践检验的具有一定安全强度的操作系统。使用安全性较高的文件系统。严格管理操作系统的用户账户,要求用户必须使用满足安全要求的口令。服务器应只提供必须的服务,其他无关服务应关闭,对可能存在漏洞的服务或操作系统,应更换或者升级相应的补丁程序;扫描服务器,无漏洞者为合格。认真设置并正确利用审计系统,对一些非法的侵入尝试必须有记录;模拟非法尝试,审计日志中有正确记录者判为合格。
(6)应用层安全应符合下列要求:身份认证。用户口令应该加密传输,或者禁止在网络上传输;严格管理用户账户,要求用户必须使用满足安全要求的口令。访问控制。必须在身份认证的基础上根据用户及资源对象实施访问控制;用户能正确访问其获得授权的对象资源,同时不能访问获得授权的资源,符合此要求者判为合格。
(7)应用软件要具备身份认证、访问控制机制,同时应考虑完整性、保密性和安全审计。完整性。数据在存储、使用和网络传输过程中,不得被篡改、破坏。保密性。数据在存储、使用和网络传输过程中,不应被非法用户获得。安全审计。对应用系统的访问,应有必要的审计记录。
应用层安全的检测有以下三种方法:使用应用开发平台,如数据库服务器、WEB服务器、操作系统等提供的各种安全服务。使用开发商在开发应用系统时提供的各种安全服务。使用第三方应用安全平台提供的各种安全服务。
3结语
网络安全系统宜从物理层安全、网络层安全、系统层安全、应用层安全等四个方便进行检测,以保证信息的保密性、真实性、完整性、可控性、和可用性等信息安全性能符合设计要求。
1前言
网络安全问题不仅给广大网民带来了不便,甚至影响到我国信息化建设的进一步深化,威胁到国家的信息安全和经济发展。如何使网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,必须做好网络安全系统检测。
2网络安全系统检测
(1)网络安全系统宜从物理层安全、网络层安全、系统层安全、应用层安全等四个方便进行检测,以保证信息的保密性、真实性、完整性、可控性、和可用性等信息安全性能符合设计要求。
物理层安全。包括对于信息网络进行的物理环境(如机房、配线间等)的控制盒管理,也包括防范因物理介质、信号辐射等导致的安全风险。
网络层安全。主要是保证网络通信的稳定赫尔可靠,并在网络层进行访问控制和安全检查,抵御在网络层的攻击和破坏。网络层安全包括防攻击、因特网(Internet)访问控制和访问管理、安全隔离等内容。涉及安全网络拓扑、防火墙、入侵检测系统、内容过滤等技术或产品。
系统层安全。主要对各种网络设备、服务器、桌面主机等进行保护,保证操作系统和网络服务平台的安全,防范通过系统攻击对数据造成的破坏。
应用层安全。主要解决各种网络应用系统的安全。
网络安全涉及计算机网络系统、应用软件的各个层面和所有的组成部分,以及使用信息网络系统的所有用户,以及安放信息网络系统的物理设施、所处的物理环境等因素。它是一个范围非常广、涉及技术也是很多的系统,必须进行层次化管理才能理清概念、分清主次和建立合理步骤来不断加强网络安全建设。
(2)计算机信息系统安全专用产品必须具有公安部计算机管理监察部门审批颁发的“计算机信息系统安全专用产品销售许可证”;特殊行业有其他规定时,还应遵守行业的相关规定。
(3)如果与因特网连接,智能建筑网络安全系统必须安装防火墙和防病毒系统
防火墙是在网络中不同网段之间实现边界安全的网络安全设备,主要功能是在网络层控制某一网段对另一网段的访问。一般用在局域网和互联网之间,或局域网内部重要网段和其他网段之间。
非军事化区 。在网络结构中,处于安全内网和不安全外网之间的一个网段,它可以同时被内网和外网访问到,主要提供一些对内对外公开的服务,如主页(WWW)、电子邮件(E-Mail)、文件传输服务(FTP)和代理服务(Proxy)。
安全内网。在网络结构中的一个受到重点保护的子网,一般是内部办公网络和内部办公服务器或监控系统,此子网禁止来自外网的任何访问,但可以接受来自非军事化区的访问。
所有对外服务的服务器只能放在非军事化区,不得放在内网;数据库服务器和其他不對外服务的服务器应放置在内网。
配置防火墙之后,应满足一下要求:从外网能够且只能够访问到非军事化区内指定服务器的指定服务。未经授权,从外网不允许访问到内网的任何主机和服务。从非军事化区可以根据需要访问内网的指定服务器上的指定服务。从非军事化区可以根据需要访问外网的指定服务。从内网可以根据需要访问非军事化区的指定服务器上的指定服务。从内网可以根据需要访问外网的指定服务。防火墙的配置必须针对某个机主、网段、某种服务。防火墙的配置必须能够防范IP地址欺骗等行为。防火墙的配置必须是可以调整的。配置防火墙后,必须能够隐藏内部网络结构,包括内部IP地址分配。
网络环境下病毒的防范分以下层次,用户可根据自己的实际情况进行选择配置:配置网关型防毒服务器的防病毒软件,对进出信息网络系统的数据包进行病毒检测和清除;网关型防病毒服务器应尽可能与防火墙统一管理。配置专门保护邮件服务器的防病毒软件,防止通过邮件正文、邮件附件传播病毒。配置保护重要服务器的防病毒软件,防止病毒通过服务器访问传播。对每台主机进行保护,防止病毒通过单机访问(如使用带毒光盘、软盘等)进行传播。
入侵检测系统应该具备以下特征:必须具备丰富的攻击方法库,能够检测到当前主要的黑客攻击。软件厂商必须定期提供更新的攻击方法库,以检测最新出现的黑客攻击方法。必须能够在入侵行为发生之后,及时检测出黑客攻击并进行处理。必须提供包括弹出对话窗口、发送电子邮件、寻呼等在内的多种报警手段。发现入侵行为后,必须能够及时阻断这种入侵行为、并进行记录。不允许占用过多的网络资源,系统启动后,网络速度和不启动时不应用明显区别。应尽可能与防火墙设备统一管理、统一配置。
内容过滤系统应具备以下特征:具有科学、全面和及时升级的因特网网址分类数据库。具有和防火墙结合进行访问控制的功能。具有全面的访问管理手段。
(4)网络层安全的安全性检测应符合以下要求:防攻击。信息网络应能抵御来自防火墙以外的网络攻击,使用流行的攻击手段进行模拟攻击,不能攻破判为合格。因特网访问控制。信息网络应根据需求控制内部终端机的因特网连接请求和内容,使用终端机用不同身份访问因特网的不同资源,符合设计要求判为合格。信息网络与控制网络的安全隔离。测试方法应按《智能建筑工程质量验收规范》(GB50339-2003)第5.3.2条的要求,保证做到未经授权,从信息网络不能进入控制网络;符合此要求者判为合格。防病毒系统的有效性。将含有当前已知流行病毒的文件(病毒样本)通过文件传输、邮件附件、网上邻居等方式向各点传播。各点的防病毒软件应能正确地检测到该含病毒文件,并执行杀毒操作;符合本要求者判为合格。入侵检测系统的有效性。如果安装了入侵检测系统,使用功能流行的攻击手段进行模拟攻击,这些攻击应被入侵检测系统发现和阻断;符合此要求者判为合格。内容过滤系统的有效性。如果安装了内容过滤系统,则尝试访问若干受限网址或者访问受限内容,这些尝试应该阻断;然后,访问若干未受限的网址或者内容,应该可以正常访问;符合此要求者为合格。
(5)系统层安全应满足一下要求:操作系统应选用经过实践检验的具有一定安全强度的操作系统。使用安全性较高的文件系统。严格管理操作系统的用户账户,要求用户必须使用满足安全要求的口令。服务器应只提供必须的服务,其他无关服务应关闭,对可能存在漏洞的服务或操作系统,应更换或者升级相应的补丁程序;扫描服务器,无漏洞者为合格。认真设置并正确利用审计系统,对一些非法的侵入尝试必须有记录;模拟非法尝试,审计日志中有正确记录者判为合格。
(6)应用层安全应符合下列要求:身份认证。用户口令应该加密传输,或者禁止在网络上传输;严格管理用户账户,要求用户必须使用满足安全要求的口令。访问控制。必须在身份认证的基础上根据用户及资源对象实施访问控制;用户能正确访问其获得授权的对象资源,同时不能访问获得授权的资源,符合此要求者判为合格。
(7)应用软件要具备身份认证、访问控制机制,同时应考虑完整性、保密性和安全审计。完整性。数据在存储、使用和网络传输过程中,不得被篡改、破坏。保密性。数据在存储、使用和网络传输过程中,不应被非法用户获得。安全审计。对应用系统的访问,应有必要的审计记录。
应用层安全的检测有以下三种方法:使用应用开发平台,如数据库服务器、WEB服务器、操作系统等提供的各种安全服务。使用开发商在开发应用系统时提供的各种安全服务。使用第三方应用安全平台提供的各种安全服务。
3结语
网络安全系统宜从物理层安全、网络层安全、系统层安全、应用层安全等四个方便进行检测,以保证信息的保密性、真实性、完整性、可控性、和可用性等信息安全性能符合设计要求。