資源描述:
《論分布式網(wǎng)絡(luò)的信息安全性分析new》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)。
1、引言 九十年代以來(lái),由于網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和網(wǎng)絡(luò)規(guī)模的日益擴(kuò)大,尤其是internet的飛速發(fā)展,使的網(wǎng)絡(luò)類型多樣化和網(wǎng)絡(luò)設(shè)備日趨負(fù)責(zé)話,因此,如何有小的提高網(wǎng)絡(luò)的性能降低網(wǎng)絡(luò)的故障,成為人們關(guān)注的重點(diǎn),網(wǎng)絡(luò)管理技術(shù)也就成為網(wǎng)絡(luò)研究領(lǐng)域的一個(gè)熱點(diǎn)問(wèn)題?! ≡缙诰W(wǎng)絡(luò)協(xié)議對(duì)internet安全問(wèn)題的忽視、網(wǎng)絡(luò)本身的開(kāi)放性、計(jì)算機(jī)操作系統(tǒng)的不完善性以及interner在使用和管理上的無(wú)序狀態(tài),都導(dǎo)致了internet上存在著諸多不安全因素,信息領(lǐng)域的犯罪也隨之而來(lái)。因此,保障網(wǎng)絡(luò)按照已經(jīng)成為當(dāng)前刻不容緩的重要課題。
2、 大型分布式網(wǎng)絡(luò),其主要特征一是“大”,二是“分布式”。所謂大是指網(wǎng)絡(luò)規(guī)模、信息總量、使用人員都具有相當(dāng)?shù)囊?guī)模;所謂分布式是指其下屬機(jī)構(gòu)在地理上是分散的,但他們之間的業(yè)務(wù)關(guān)系又是緊密的。由于這樣的特點(diǎn)存在,分布式網(wǎng)絡(luò)在網(wǎng)絡(luò)建設(shè)和網(wǎng)絡(luò)應(yīng)用上勢(shì)必反映出與小型集中式的企業(yè)不同,那么其安全需求和采用的信息安全技術(shù)也不同?! ∫?、物理層安全需求 物理層安全就是要求物理隔離。所謂物理隔離,簡(jiǎn)單地說(shuō)就是讓存有用戶重要數(shù)據(jù)的內(nèi)網(wǎng)和外部的互聯(lián)網(wǎng)不具有物理上的連接,將用戶涉密信息與非涉密的可以公布到互聯(lián)網(wǎng)上的信息隔離開(kāi)來(lái),讓黑
3、客無(wú)機(jī)可乘。實(shí)施物理隔離的目的決不是讓網(wǎng)絡(luò)回到以前那種信息孤島的狀態(tài),而是讓使用者在確保安全的前提下,充分享受網(wǎng)絡(luò)互聯(lián)所帶來(lái)的一切優(yōu)點(diǎn)。在物理隔離系統(tǒng)中會(huì)包含對(duì)外網(wǎng)內(nèi)容進(jìn)行采集轉(zhuǎn)播的系統(tǒng),這樣可以使安全的信息迅捷地在內(nèi)外網(wǎng)之間流轉(zhuǎn),完全實(shí)現(xiàn)互聯(lián)網(wǎng)互聯(lián)互通的宗旨?! 《⒕W(wǎng)絡(luò)層安全需求 (1)網(wǎng)絡(luò)層風(fēng)險(xiǎn) 網(wǎng)絡(luò)中心連通Internet之后,內(nèi)部網(wǎng)絡(luò)可能遭受到來(lái)自Internet的不分國(guó)籍、不分地域的惡意攻擊;在Internet上廣為傳播的網(wǎng)絡(luò)病毒將通過(guò)Web訪問(wèn)、郵件、新聞組、網(wǎng)絡(luò)聊天以及下載軟件、信息等傳播,
4、感染內(nèi)部網(wǎng)絡(luò)的服務(wù)器、主機(jī);更有一些黑客程序也將通過(guò)這種方式進(jìn)入內(nèi)部網(wǎng)絡(luò),為黑客、競(jìng)爭(zhēng)對(duì)手獲取企業(yè)數(shù)據(jù)創(chuàng)造條件;內(nèi)部網(wǎng)絡(luò)的用戶很多,很難保證沒(méi)有用戶會(huì)攻擊企業(yè)的服務(wù)器。事實(shí)上,權(quán)威數(shù)據(jù)表明,來(lái)自于內(nèi)部的攻擊,其成功的可能性要遠(yuǎn)遠(yuǎn)大于來(lái)自于Internet的攻擊,而且內(nèi)部攻擊的目標(biāo)主要是獲取國(guó)家機(jī)關(guān)的機(jī)密信息,其損失要遠(yuǎn)遠(yuǎn)高于系統(tǒng)破 (2)網(wǎng)絡(luò)層安全需求 基于以上風(fēng)險(xiǎn),在網(wǎng)絡(luò)方案中,網(wǎng)絡(luò)層安全主要解決內(nèi)部網(wǎng)絡(luò)互聯(lián)時(shí)和在網(wǎng)絡(luò)通訊層安全問(wèn)題,需要解決的問(wèn)題有:內(nèi)部網(wǎng)絡(luò)進(jìn)出口控制(即IP過(guò)濾)內(nèi)部網(wǎng)絡(luò)和網(wǎng)絡(luò)層數(shù)據(jù)加
5、密:安全檢測(cè)和報(bào)警、防殺病毒。 重點(diǎn)在于內(nèi)部網(wǎng)絡(luò)本身內(nèi)部的安全,如果解決了分布網(wǎng)絡(luò)環(huán)境中各個(gè)子網(wǎng)的安全,那么分布網(wǎng)絡(luò)互聯(lián)的安全只需解決網(wǎng)絡(luò)層以及應(yīng)用層的傳輸加密即可?! ?)網(wǎng)絡(luò)進(jìn)出口控制 需要對(duì)進(jìn)入內(nèi)部網(wǎng)絡(luò)進(jìn)行管理和控制。在每個(gè)部門(mén)和單位的局域網(wǎng)也需要對(duì)進(jìn)入本局域網(wǎng)進(jìn)行管理和控制。各網(wǎng)之間通過(guò)防火墻或虛擬網(wǎng)段進(jìn)行分割和訪問(wèn)權(quán)限的控制?! ⊥瑯有枰獙?duì)內(nèi)網(wǎng)到外網(wǎng)(Internet)進(jìn)行管理和控制。 要達(dá)到授權(quán)用戶可以進(jìn)出內(nèi)部網(wǎng)絡(luò),防止非授權(quán)用戶進(jìn)出內(nèi)部網(wǎng)絡(luò)這個(gè)基本目標(biāo)。 2)網(wǎng)絡(luò)和網(wǎng)絡(luò)層、應(yīng)用層數(shù)據(jù)加密
6、 對(duì)關(guān)鍵應(yīng)用需要進(jìn)行網(wǎng)絡(luò)層、應(yīng)用層數(shù)據(jù)加密,特別是最核心的領(lǐng)導(dǎo)辦公服務(wù)系統(tǒng)、關(guān)鍵數(shù)據(jù)系統(tǒng),需要有高強(qiáng)度的數(shù)據(jù)加密措施?! ?)安全檢測(cè)和報(bào)警、防殺病毒安全檢測(cè)是實(shí)時(shí)對(duì)公開(kāi)網(wǎng)絡(luò)和公開(kāi)服務(wù)器進(jìn)行安全掃描和檢測(cè),及時(shí)發(fā)現(xiàn)不安全因素,對(duì)網(wǎng)絡(luò)攻擊進(jìn)行報(bào)警。這主要是提供一種監(jiān)測(cè)手段,保證網(wǎng)絡(luò)和服務(wù)的正常運(yùn)行。要實(shí)現(xiàn): ?。皶r(shí)發(fā)現(xiàn)來(lái)自網(wǎng)絡(luò)內(nèi)外對(duì)網(wǎng)絡(luò)的攻擊行為; ?。攲?shí)地記錄攻擊發(fā)生的情況; ?。?dāng)發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊時(shí),系統(tǒng)必須能夠向管理員發(fā)出報(bào)警消息; ?。?dāng)發(fā)現(xiàn)網(wǎng)絡(luò)遭到攻擊時(shí),系統(tǒng)必須能夠及時(shí)阻斷攻擊的繼續(xù)進(jìn)行?! 。獙?duì)
7、防火墻進(jìn)行安全檢測(cè)和分析; ?。獙?duì)Web服務(wù)器檢測(cè)進(jìn)行安全檢測(cè)和分析; *對(duì)操作系統(tǒng)檢測(cè)進(jìn)行安全檢測(cè)和分析。 需要采用網(wǎng)絡(luò)防病毒機(jī)制來(lái)防止網(wǎng)絡(luò)病毒的攻擊和蔓延。嚴(yán)格地講,防殺病毒屬于系統(tǒng)安全需求范疇?! ∪?、應(yīng)用層安全需求 應(yīng)用層安全主要是對(duì)網(wǎng)絡(luò)資源的有效性進(jìn)行控制,管理和控制什么用戶對(duì)資源具有什么權(quán)限。資源包括信息資源和服務(wù)資源。其安全性主要在用戶和服務(wù)器問(wèn)的雙向身份認(rèn)證以及信息和服務(wù)資源的訪問(wèn)控制,具有審計(jì)和記錄機(jī)制,確保防止拒絕和防抵賴的防否認(rèn)機(jī)制。需要進(jìn)行安全保護(hù)的資源如前面所述的公共應(yīng)用、辦公系
8、統(tǒng)應(yīng)用、信息查詢、財(cái)務(wù)管理、電子申報(bào)、電子審計(jì)等應(yīng)用?! ?1)應(yīng)用系統(tǒng)安全風(fēng)險(xiǎn): 對(duì)應(yīng)用系統(tǒng)的攻擊可以分為兩類: 1由于攻擊者對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和系統(tǒng)應(yīng)用模式不了解,主要通過(guò)對(duì)應(yīng)用服務(wù)器進(jìn)行系統(tǒng)攻擊,破壞操作系統(tǒng)或獲取操作系統(tǒng)管理員的權(quán)限,再對(duì)應(yīng)用系統(tǒng)進(jìn)行攻擊,以獲取重要數(shù)據(jù);在現(xiàn)在通用的三層結(jié)構(gòu)(數(shù)據(jù)庫(kù)服務(wù)器一應(yīng)用服務(wù)器一應(yīng)用客戶端)中,通過(guò)對(duì)數(shù)據(jù)庫(kù)服務(wù)器的重點(diǎn)保護(hù),可以防止大多數(shù)攻擊