IPSec是通过使用各种加密算法、验证算法、封装协议和一些特殊的安全保护机制来实现这些目的,而这些算法及其参数是保存在进行IPSec通信两端的SA(Security Association,安全联盟),当两端的SA中的设置匹配时,两端就可以进行IPSec通信了。
在虚拟专用网(VPN)中主要采用了IPSec技术。
(2)访问控制
访问控制决定了用户可以访问的网络范围、使用的协议、端口;能访问系统的何种资源以及如何使用这些资源。
在路由器上可以建立访问控制列表,它是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝。至于数据包是被接收还是被拒绝,可以由类似于源地址、目的地址、端口号、协议等特定指示条件来决定。
建立访问控制列表后,可以限制网络流量,提高网络性能,对通信流量起到控制的手段,这也是对网络访问的基本安全手段。由于访问控制列表ACL(Access Control List)的表项可以灵活地增加,所以可以把ACL当作一种网络控制的有力工具,用来过滤流入和流出路由器接口的数据包。
在应用系统中,访问控制的手段包括用户识别代码、口令、登录控制、资源授权(例如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据,根据授予的权限限制其对资源的利用范围和程度。
3)漏洞扫描
对一个网络系统而言,存在不安全隐患,将是黑客攻击得手的关键因素。就目前的网络系统来说,在硬件、软件、协议的具体实现或系统安全策略方面都可能存在一定的安全缺陷即安全漏洞。及时检测出网络中每个系统的安全漏洞是至关重要的。
安全扫描是增强系统安全性的重要措施之一,它能够有效地预先评估和分析系统中的安全问题。漏洞扫描系统是用来自动检测远程或本地主机安全漏洞的程序,按功能可分为:操作系统漏洞扫描、网络漏洞扫描和数据库漏洞扫描。网络漏洞扫描系统,是指通过网络远程检测目标网络和主机系统漏洞的程序,它对网络系统和设备进行安全漏洞检测和分析,从而发现可能被入侵者非法利用的漏洞。
定期对网络系统进行漏洞扫描,可以主动发现安全问题并在第一时间完成有效防护,让攻击者无隙可钻。
六网络安全防范措施
a)在国家层面上尽快提出一个具有战略眼光的“国家网络安全计划”。充分研究和分析国家在信息领域的利益和所面临的内外部威胁,结合我国国情制定的计划能全面加强和指导国家政治、军事、经济、文化以及社会生活各个领域的网络安全防范体系,并投入足够的资金加强关键基础设施的信息安全保护。 b)建立有效的国家信息安全管理体系。改变原来职能不匹配、重叠、交*和相互冲突等不合理状况,提高政府的管理职能和效率。
c)加快出台相关法律法规。改变目前一些相关法律法规太笼统、缺乏操作性的现状,对各种信息主体的权利、义务和法律责任,做出明晰的法律界定。
d)在信息技术尤其是信息安全关键产品的研发方面,提供全局性的具有超前意识的发展目标和相关产业政策,保障信息技术产业和信息安全产品市场有序发展。
e)加强我国信息安全基础设施建设,建立一个功能齐备、全局协调的安全技术平台(包括应急响应、技术防范和公共密钥基础设施(PKI)等系统),与信息安全管理体系相互支撑和配合。
目前国内网络安全产品在技术上比较成熟,而且品种也比较多。这里建议企业按部门或工作组来进行子网的划分,并禁止各子网相互访问来控 制网络的访问范围;配置公共服务器子网,将企业公共的服务器放人公共服务器子网,例如邮件服务器、即时通讯服务器、主页服务器、办公自动化服务器、数据库 服务器、企业资源规划服务器和产品数据管理服务器等,并允许其他子网的计算机访问公共服务器子网的服务器,从而实现企业内部跨部门或工作组的信息共享和交 换通过网络交换机的配置来控制其他子网计算机只能访Iral各公共服务器指定的网络服务端口,从而较好地保护公共服务器的安全在企业核心网络交换机上配置 人侵侦测系统,来侦测跨部门或工作组的网络攻击行为;通过MAC地址和网络端口绑定Windows活动目录和网络交换机Radius认证的集成来防止非法 的网络接人。
七 结论
网络环境的复杂性、多变性,以及信息系统的脆弱性,决定了网络安全威胁的客观存在。我国日益开放并融入世界,但加强安全监管和建立保护屏障不可或缺。国家科技部部长徐冠华曾在某市信息安全工作会议上说:“信息安全是涉及我国经济发展、社会发展和国家安全的重大问题。近年来,随着国际政治形势的发展,以及经济全球化过程的加快,人们越来越清楚,信息时代所引发的信息安全问题不仅涉及国家的经济安全、金融安全,同
时也涉及国家的国防安全、政治安全和文化安全。因此,可以说,在信息化社会里,没有信息安全的保障,国家就没有安全的屏障。信息安全的重要性怎么强调也不过分。”目前我国政府、相关部门和有识之士都把网络监管提到新的高度,上海市负责信息安全工作的部门提出采用非对称战略构建上海信息安全防御体系,其核心是在技术处于弱势的情况下,用强化管理体系来提高网络安全整体水平。衷心希望在不久的将来,信息安全工作能跟随信息化发展,上一个新台阶。
八 参考文献
《计算机网络基础》 杜煜 姚鸿 人民邮电出版社 《入侵检测技术》 曹元大 人民邮电出版社 《WEB站点安全与防火墙技术》 刘宗田 机械工业出版社 《计算机病毒诊断与防治》 张小磊 北京希望电子出版社 夏明萍 董南萍 《计算机网络管理》 清华
大学出版社
吴企渊 《计算机网络》 清华
大学出版社
黄中伟 《计算机网络管理与安全技术》 人民
邮电出版社