·对接入互联网的组织内部网的外部用户进行隔离,防止进入内部网。如果组织建立自己的互联网站点并允许外部用户访问,应将提供给外部用户访问的服务器放在防火墙外。绝对禁止外部互联网用户穿透防火墙访问组织内部网。利用防火墙提供的功能屏蔽内部网细节,阻止外部用户对内部资源的访问请求。.进行完整的审计和日志,及时发现侵入者。
防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,故防火墙对内部的非法访问难以有效地控制;防火墙最适合于相对独立的与外部网络互联途径有限、网络服务种类相对集中的单一网络。因此,应清醒地认识到防火墙不是万能的。
(4)物理/逻辑隔离
互联网是一个全球性的巨大的计算机网络体系,它把全球数万个计算机网络,数千万台主机连接起来,包含了难以计数的信息资源,向全世界提供信息服务,是开放范围极大的网络。互联网的开放性使其在任何时间、任何地点都可能遭受入侵。因此,既要保证互联网数据传输交换的畅通,又要求其具有较高的安全性。由于互联网是一个基于TCP/IP协议簇的国际互联网络,使其在安全保密方面具有很大的脆弱性,在互联网上对TCP/IP的攻击能够导致服务性能下降或中断、数据泄露或篡改。
国家保密局2000年1月1日起颁布实施的《计算机信息系统国际联网保密管理规定》第二章保密制度第六条规定:“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其他公共信息网络相连接,必须实行物理隔离。”所谓物理隔离是指内部网不直接或间接地连接公共网。物理隔离的目的是保护路由器、工作站、网络服务器等硬件实体和通信链路免受自然灾害、人为破坏和搭线窃听攻击。只有使内部网和公共网物理隔离,才能真正保证国家重要部门的内部信息网络不受来自互联网的黑客攻击。
对于物理隔离技术而言,要使其真正地发挥优势,不仅要选择适合的物理隔离产品,制定相应的安全解决方案,真正做到物理上的隔离以保证信息的机密性和完整性,还要实施完善的安全策略和管理措施,才能保证物理隔离产品和安全解决方案的实施真正发挥作用。
(5)网络防攻击
由于互联网终端具有一定智能,并且提供多样化服务,所以互联网比较容易遭受攻击。互联网被攻击主要分几个层面,通常有控制层面的攻击、消耗网络资源的攻击以及对关键应用服务器的攻击。
控制层面的攻击主要针对互联网不区分UNI接口和NNI接口,路由信息和数据在相同通道传输。为防止恶意用户试图发布错误路由信息来干扰全网连通性,通常采用路由协议鉴权和认证的手段。
消耗网络资源的攻击主要采用病毒感染大量终端,致使大量无用信息在网络上传输,消耗网络带宽资源以及CPU资源。可能使设备拥塞、控制信息无法传递甚至系统崩溃。消耗资源型的攻击很难防止,必须采用有效的手段例如防火墙以及接入控制等措施防止消耗资源型的攻击。
关键应用服务器的失效可能影响网络业务提供。对关键应用服务器的防护应纳入互联网防攻击的范围,应采用有效手段防止对关键应用服务器的攻击。
(6)网络防病毒
一般意义上来说,防病毒属计算机安全防护的范畴。病毒对网络的影响有下面三方面:
·网络设备和关键应用服务器受病毒感染,影响网络业务正常开展。
·用户设备受病毒感染,会滥用网络资源。
·病毒在网络上传播消耗网络资源。
例如域名服务器被病毒感染可能导致无法使用域名访问互联网;门户网站被感染可能导致大量用户无法使用网络。用户设备被感染可能发送大量垃圾邮件,占用系统资源。当前大量病毒通过网络传染,因此防病毒也是网络安全关键技术。
(7)入侵检测
安全不是一个稳定的状态,不能一步到位。随着技术的发展,任何先进的防攻击手段都会过时,因此入侵检测是互联网安全重要组成部分。入侵检测和网络故障检测一样,需要及时迅速。及时的入侵检测加上快速的故障恢复,能有效地提高互联网安全性。
(8)业务控制
互联网的不安全性很大程度上来源于互联网业务的可控性较差。由于互联网业务通常不计费或者费率较低,用户容易自觉或者不自觉滥用网络资源。由于大多互联网业务很难追查来源,滥用服务的行为无法追查。又由于互联网业务很难确认用户身份,恶意用户肆无忌惮,因此要提高互联网安全性,必须加强业务可控性。
(9)防止垃圾邮件
垃圾邮件实际上是网络业务被滥用的一种。虽然防止垃圾邮件也是网络防攻击和业务控制的一部分,但是由于该问题日益严重有必要将其作为网络安全关键技术之一加以研究。
垃圾邮件实际上与骚扰电话没有本质区别。区别在于打骚扰电话会被收费,而且会被追查到电话所有人;而发送垃圾邮件几乎没有费用,而且很难被追踪,即使被追查到也很难处理。此外,用户可能感染病毒后大量发送垃圾邮件,恶意发送与感染病毒无辜发送很难区别。
当前防止垃圾邮件没有非常有效的技术,只能通过各运营商的合作,通过管理手段加以缓解。
虽然本文提出大量通信网络安全的技术问题,但是网络的安全问题的核心和瓶颈不是在于技术而是在于管理和投入。通信网络安全问题不是一朝一夕就能够完全解决的。目前解决网络安全问题的大部分技术是存在的,但是如何把这些技术综合起来,还存在很多问题。解决通信网络安全问题的难度很大,需要继续进行理论上的研究和在试验环境下进行实际测试来验证,才能在一定程度上解决网络的安全问题。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
