您的位置: 网界网 > 周报全文 > 正文

[周报全文]两种安全策略并行

2002年09月23日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:两种安全策略并行

标签
两种安全策略并行
裴秋红

    网络安全是一个十分复杂的问题,在网络系统的各个层次(从物理层到应用层)、各个级别(网络主机级和用户级)中都存在安全问题。即使网络协议本身足够安全,在实现过程中又会出现各种漏洞,所以只解决某一层次或者某一级别的安全问题是不能提高网络系统整体安全水平的。从根本上解决安全问题,除了加强安全管理之外,人们还需要从网络体系结构和网络系统两方面综合考虑采取措施。


    网络体系结构的安全策略

    TCP/IP协议簇的开放性既拓宽了资源共享渠道,也加大了Internet所面临的风险。加上早期网络协议对安全问题的忽视使Internet的安全面临前所未有的威胁。为了保证网络体系结构安全,人们可以在物理层和链路层上采用数据流加密技术,不过这项技术可能会影响网络性能。在网络层,人们可以利用IP路由选择安全机制和基于IP协议安全技术的控制机制,IPv4没有提供这种安全机制,但是IPv6提供了网络层安全机制。除了利用协议本身的安全机制外,人们可以在IP协议基础上采取网络层的身份认证、一致性检查以及加密等安全措施。在传输层,除了利用IPv6提供的基于TCP/UDP的安全机制,人们还可以采用基于面向连接和无连接服务的加密/解密和安全控制机制,具体包括身份认证、访问控制等技术。在传输层以上的各层,对于TCP/IP协议而言,都属于应用层,人们可以采用更加复杂的安全手段,如加密、用户级的身份认证、数字签名技术、访问控制技术以及主机安全技术等措施。


    网络系统的安全策略

    网络系统的安全策略可以分为三个层次,分别是防火墙、主机以及安全监测系统。

    防火墙构成了用户对外防御的第一条防线,用来隔离被保护的内部网络。人们可以根据实际情况,单独或者结合使用几种防火墙来构筑第一道防线。不过,防火墙并不能完全保护内部网络,用户必须结合其他安全措施才能提高系统的安全水平。

    主机系统的物理安全、操作系统内核安全、系统服务安全、应用服务安全、文件系统安全、主机安全检查、漏洞修补以及系统备份安全,共同措施构成网络系统的第二道防线。这道防线能够防范突破防火墙的攻击以及从内部发起的攻击。值得一提的是(+本站微信networkworldweixin),许多主机安全检查系统可以用来对系统进行攻击。

    继防火墙和主机安全措施之后,是由系统安全审计、入侵检测和应急处理构成的安全监测系统。它从网络系统中的防火墙、网络主机甚至直接从网络链路上提取网络状态信息,并将信息提供给入侵检测子系统。入侵检测子系统根据一定的规则判断是否有入侵事件发生,如果有入侵发生,则启动应急处理措施,并产生告警信息。系统的安全审计还可以作为以后对攻击行为和后果进行分析、对系统安全策略进行改进的信息来源。系统备份是网络系统的最后安全措施,用来在遭受攻击之后进行恢复系统。此外,系统备份也可以用在网络主机的安全检查方面,例如定期检查现存的文件系统和备份系统的差异,判断系统是否被纂改。

    以上措施只能解决一部分网络安全问题。人们应该明白,安全问题光靠技术是不行的,还需要人们在安全管理上下功夫,制订相应的法律、法规对攻击者进行治理整顿。 

[责任编辑:程永来 cheng_yonglai@cnw.com.cn]