扫二维码与项目经理沟通
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流
网络安全架构是国际标准化组织ISO于1989年2月公布的ISO7498-2“OSI参考模型的安全体系结构?,简称OSI安全体系结构。OSI安全体系结构主要包括网络安全服务和网络安全机制两方面的内容。
创新互联公司是创新、创意、研发型一体的综合型网站建设公司,自成立以来公司不断探索创新,始终坚持为客户提供满意周到的服务,在本地打下了良好的口碑,在过去的十年时间我们累计服务了上千家以及全国政企客户,如成都房屋鉴定等企业单位,完善的项目管理流程,严格把控项目进度与质量监控加上过硬的技术实力获得客户的一致称誉。
第一是五大网络安全服务
(1) 鉴别服务(Authentication)
鉴别服务是对对方实体的合法性、真实性进行确认,以防假冒。这里的实体可以是用户或代表用户的进程。
(2) 访问控制服务(Access Control)
访问控制服务用于防止未授权用户非法使用系统资源。它包括用户身份认证,用户的权限确认。在实际网络安全的应用中,为了提高效率,这种保护服务常常提供给用户组,而不是单个用户。
(3) 数据完整性服务(Integrity)
数据完整性服务是阻止非法实体对交换数据的修改、插入和删除。
(4) 数据保密性服务(Confidentiality)
数据保密服务防止网络中各个系统之间交换的数据被截获或被非法存取而造成泄密,提供加密保护。
(5) 抗抵赖性服务(Non-Repudiation)
抗抵赖性服务防止发送方在发送数据后否认自己发送过此数据,接收方在收到数据后否认自己收到过此数据或伪造接收数据。
第二是八大网络安全机制
(1) 加密机制
加密机制是提供信息保密的核心方法,它分为对称密钥算法和非对称密钥算法。加密算法除了提供信息的保密性之外,还可以和其他技术结合,例如与hash函数结合来实现信息的完整性验证等。
(2) 访问控制机制
访问控制机制是通过对访问者的有关信息进行检查来限制或禁止访问者使用资源的技术。访问控制还可以直接支持数据机密性、数据完整性、可用性以及合法使用的安全目标。
(雹握3) 数据完整性机制
数据完整性机制是指数据不被增删改,通常是把文件用hash函数产生一个标记,接收者在收到文件后也用相同的hash函数处理一遍,看看产生的两个标记是否相同就可知道数据是否完整。
(4) 数字签名机制
数字签名机源历庆制的作用类似于我们现实生活中的手写签名,具有鉴别作用。假设A是发送方,B是接收方, 基本方法是:发送方用自己的私钥加密,接收方用发送方的公钥解密,加密公式是E a私(P),解密公式是 Da公(Ea私(P))。
(5) 交换鉴别机制
交换鉴别机制是通过互相交换信息的方式来确定彼此身份。用于交换鉴别的常用技术有:
l 口令,由发送方给出自己的口令,以证明自己的身份,接收方则根据口令来判断对方的身份。
l 密码技术,接收方在收到已加密的信息时,通过自己掌握的密钥解密,能够确定信息的发送者是掌握了另一个密钥的那个人,例如,数字签名机制。在许多情况下,密码技术还和时间标记、同步时钟、数字签名、第三方公证等相结合,以提供更加完善的身份鉴别。
l 特征实物,例如指纹、声音频谱等。
(6) 公证机制
公证机制是通过公证机构中转双方的交换信息,并提取必要的证据,日后一旦发生纠纷,就可以据此做出仲裁。网络上鱼龙混杂,很难说相信谁不相信谁,同时,客观上网络的有些故障和缺陷也可能导致信息的丢失或延误。为了免得事后说不清,可以找一个大家都信任的公证机构,如电信公司,各方的交换的信息都通过公证机构来中转,达到解决纠纷的目的。
(7) 流量填充机制
流量填充机制提供针对流量分析的保护,流量填充机制能够保持流量基本恒定,因此观测者不能获取任何信息。流量填充的实现方法是:随机生成数据并对其加密,再通过网络发送。
(8) 路由控制机制
路由控制机制使得可以指定通过网络发送数据的路径。这样,可以选择那些可信的网络节点,从而确保数据不会暴露在烂喊安全攻击之下。路由选择控制机制使得路由能动态地或预定地选取,以便使用物理上安全的子网络、中继站或链路来进行通信,保证敏感数据只在具有适当保护级别的路由上传输。
“人在江湖漂,哪能不挨刀”--这应该算得上是引用率非常高的一句经典俏皮话。如今,企业在肢庆网络中如何避免这句谶语落到自家头上也成了企业互相慰问或扪心自问时常常想起的一件事。而在构建安全的企业网络这样一个并不简单的问题上,看看别人的应用实践和组网思路,应该可以让企业尽早懂得如何利用自己的长处来保护自己。 网络江湖防身术 - 实践中,网络平台从总体上可以分为用户接入区和应用服务区。应用服务区从结构上又可以分成三部分:发布区即外部区域,面向公众供直接访问的开放网络;数据区,通过防火墙隔离的、相对安全和封闭的数据资源区,把大量重要的信息资源服务器放置在该区域内,在较严密的安全策略控制下,不直接和外网访问用户发生连接;内部工作区主要连接内网服务器和工作站,完成网站管理、信息采集编辑等方面的工作。 布阵 采用两台防火墙将整个网络的接入区和应用服务区彻底分开。接入区通过接入交换机,利用光纤、微波、电话线等通信介质,实现各部门、地市的网络接入。出于性能和安全上的考虑,数据区放在第二道防火墙之后。对于Web服务器的服务请求,由Web服务器提交应用服务器、数据库服务器后,进行相关操作。 为避免网站内容遭到入侵后被篡改,在数据区还设置一个Web页面恢复系统,通过内部通讯机制,Web恢复系统会实时检测WWW服务器的页面内容,如果发现未授权的更改,恢复系统会自动将一份拷贝发送到Web服务器上,实现Web页面的自动恢复。发布区域的主机充分暴露,有WWW、FTP、DNS、E-mail。在与二个防火墙的两个接口上使用入侵检测系统实时检测网络的使用情况,防止对系统的滥用和入侵行为。 中心交换机可选用高性能路由交换器,例如Catalyst 6000,它具有提供虚网划分及内部路由连接功能,避免笑饥敏了网络广播风暴,减轻了网络负荷,同时也提供了一定的安全性。冗余电源及冗余连接为网络正常运行打下了较好的基础,把第二层交换机的转发性能和路由器的可伸缩性及控制能力融于一身。第二级交换机可选用类似Catalyst 3500级别的设备,它支持VLAN功能,交换能力强大,提供高密度端口集成,配置光纤模块,提供与Catalyst 6000的高带宽上行连接,保证了部门接入网络、工作站的高带宽应用。 网络平台总体结构图 招数 首先,把第一台防火墙设置在路由器与核心交换机之间,实现较粗的访问碰枝控制,以降低安全风险。设置第二台防火墙则主要为了保护数据区内的服务器,合理地配置安全策略,使服务器的安全风险降到最低。只开放服务器必要的服务端口,对于不必要的服务端口一律禁止。 其次,IP地址分配。所有部门的接入网络都在防火墙之后,一律使用内部保留IP地址。每个部门各分配一个完整的C类地址。 再次,中心交换机VLAN配置。具体划分采用基于端口的虚拟LAN方式,将每一个部门作为一个 VLAN, VLAN间的路由协议采用 RIP。 此外,通用信息服务设计。外网的建设,突出了统一规划、资源共享的原则。除了在安全问题上由网络平台统一考虑外,对于各部门需要通用的信息服务系统如域名系统、邮件系统、代理系统等,也统一设计、统一实施。 最后,邮件服务器统一规划,采用集中的邮件服务,给用户提供了完整的TCP/IP支持下的邮件系统。 秘笈 网站建设主要体现以下技术特点: 其一,网站应用系统从传统的两层客户机/服务器结构,转向BWAD(浏览器+Web 应用服务器+数据库)的三层体系架构。这种跨平台、多技术融合的三层结构的技术方案,保证网站应用系统的先进性和可扩展性。 其二,采用非结构化和结构化数据库技术,灵活支持、方便扩展宽带应用和多媒体应用,使用户界面不只是文字和图片,而是以文字、声音、图像、视频等发布的全媒体界面,提高用户的关注率、提升服务水平。 其三,采用自主开发的网站动态管理平台技术,可以任意组合和改变网页界面风格,定义不同模板,将网站管理的人力成本降低,并降低由于网站管理复杂而产生的技术风险和人员更迭风险。降低和减少了页面开发的工作量,使大量的人力可以投入到具体的政务应用系统中去。 其四,网站管理系统为网站的建设、管理、维护、统计分析提供了一个统一的环境。提供各类业务系统上网发布接口,以及信息发布模板和工具,使普通用户不需要编程就可建立信息发布栏目,并可自行对栏目信息进行编辑与维护。网站管理系统具有灵活的功能,方便的内容创作环境,灵活的发布方式,强大的信息查询能力,能进行实用而有效的模板设计、支持丰富的内容类型,按照栏目结构进行信息组织。它采用了ASP、JSP和数据库的技术,基于B/S结构,还可以对用户的IP地址进行限定信息检索功能。 战绩 从运行的效果上看,所设定的方案合理、可靠,有效地保护了内部网络,因为所有的访问都是一个间接过程,直接攻击比较困难。代理技术的使用,随着内部网络规模的扩大,重复访问的可能性就越大,使传输效果的改善也就越明显,同时也提高了信道的利用率,降低了网络使用成本。
还是B/S架构的应用,如何保证数据传输的安全是管理员要面对的问题,安全的关注点主要在三个方面:
用户身份验证的安全性:
用户身份验证的安全主要包括用户身份密码的安全和验证安全两个环节,传统的应用体系中,用户验证通常有用户名/密码验证、USB key验证及智能卡验证等方法。在EWEBS 2008 中,采用用户帐号和Windows帐号关联的方式,在EWEBS 2008中存储用户密码,用户访问应用程序时不直接使用Windows 帐号密码,而是使用EWEBS 2008中为用户单独创建的帐号。用户帐号的身份验证支持用户名/密码、USB Key验证、智能卡、指纹或视网膜等生物学身份验证方法。
服务器的安全性:
在传统的远程接入模式中,因为用户的应用直接在服务器端运行,如何保证服务器的安全性是管理员面临的一个大问题,一般都采用Windows 组策略等手段来保护服务的安全,但是组策略配置的复杂性、效果都不尽举团如人意。
在EWEBS 2008中,直接内嵌了Windows Active Directory 组策略的配置设置,管理员无需熟悉组策略的具体配置,只需要进行简单的选择,就可以轻松的限制用户对某个具体的硬盘、系统任务栏或IE等服务器端资源的访问。
数据传输的安全性:
在传统的应用模式中,客户端和服务器端需要传送应用程序相关的数据记录,如数据库的查询结果集等,这就对数据在网络上的传输安全提出了较高的要求,通常采用VPN加密、SSL加密等技术来保证应用数据的安全。在EWEBS 2008中,由于所有的应用程序都在服务器(集群)上运行,所以客户端和服务器端传送的仅仅是应用程序的输入输出逻辑,在没有特别授权的情况下,数据无法离开服务器(集群),保证了数据的安全。EWEBS 2008中还内前答磨嵌了SSL通信技术来保证客户端和服务器端网络通讯的安全。
除了上述的三个方面的安全之外,在EWEBS 2008中,管理员还可以轻松的对客户端进行控制,可以根据用户帐号、访问时间、慧斗客户端IP地址、客户端MAC地址、客户端机器特征码(从CPU、主板、硬盘等硬件计算而来)等来限制客户端对应用程序的访问,从而做到即使用户帐号信息泄露,第三方也无法盗用应用程序,有效的保证了用户关键应用和数据的安全。
我们在微信上24小时期待你的声音
解答本文疑问/技术咨询/运营咨询/技术建议/互联网交流