網絡安全基礎知識的認識及應用

   網絡連接的安全問題隨著計算機技術的迅速發展日益突出，從網絡運行和管理者角度說，他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制，避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法占用和非法控制等威脅，制止和防御網絡黑客的攻擊。對安全保密部門來說，他們希望對非法的、有害的或涉及國家機密的信息進行過濾和防堵，避免機要信息泄露，避免對社會產生危害，對國家造成巨大損失。從社會教育和意識形態角度來講，網絡上不健康的內容，會對社會的穩定和人類的發展造成阻礙，必須對其進行控制。

　　準確地說，關于信息安全或者信息保障主要有兩個要素：首先，正確配置系統和網絡并且保持這種正確配置，因為這一點很難做到完美;第二個要素就是清楚知道進出網絡的流量。這樣的話，當發生嚴重的問題時，你就能檢測出問題錯在。因此，網絡安全的主要任務主要包括以下三方面：

　　1：保護，我們應該盡可能正確地配置我們的系統和網絡

　　2：檢測，我們需要確認配置是否被更改，或者某些網絡流量出現問題

　　3：反應，在確認問題后，我們應該立即解決問題，盡快讓系統和網絡回到安全的狀態

　　縱深防御

　　因為我們并不能實現絕對的安全，所以我們需要接受一定級別的風險。風險的定義就是系統漏洞帶來威脅的可能性，風險是很難計算的，不過我們可以通過分析已知的攻擊面、可能被攻擊者獲取或者利用的漏洞等因素來確定大概的風險級別。漏洞掃描器或者滲透測試可以幫助我們衡量或者定義攻擊面，可以幫助我們降低風險以及改進系統安全狀況的方法就是采用多層防御措施，主要有五種基本因素來建立縱深防御：

　　縱深防御保護方法一般都會采用防火墻將內部可信區域與外部互聯網分離，大多數安全部署都會在服務器和計算機的郵件存儲和發送進行防病毒檢測，這意味著所有的內部主機都受到計算機網絡基礎設施的相同級別的保護。這是最常見且最容易部署的安全措施，但是從實現高水準信息安全保障的角度來看，這也是實用率最低的方式，因為所有計算機包含的信息資產對于企業并不是相等重要的。

　　受保護的領域，這意味著將內部網絡分成若干個子區域，這樣網絡就不是一個沒有內部保護的大區域。這可以通過防火墻、VPN、VPN、VLAN和網絡訪問控制來實現。

　　信息中心

　　一位早期著名的計算研究員Adm. Grace Hopper曾表示，“將來，在企業資產負債表上的大部分條目中都會出現‘信息’這兩個字，信息將會比處理信息的硬件更加重要。”我們必須理解并且能夠幫助其他人理解信息的價值。除了非常重要的知識產權信息(如專利、商標、版權等)外，企業記錄數據也越來越重要。想要建立一個信息為中心的縱深防御架構，我們必須確定關鍵的有價值的信息的存儲位置，并且必須確保部署了適當的保護。從過去來看，這是非常昂貴的并且通常被企業忽視這方面的保護，不過根據法律法規的修改，很多企業必須建立定位和標記所有信息的程序。

　　威脅矢量分析縱深防御與信息為中心很類似，它要求我們首先確定我們想要保護的資產(按照優先權的順序)，對威脅可能用于利用漏洞的路徑進行分析確認，并且找出如何對矢量部署控制以預防威脅利用漏洞的方法。

　　基于角色的訪問控制(RBAC)是一種訪問權限控制方法，企業部署這種控制主要是為了確保只有授權用戶才能訪問指定數據。與其他訪問權限控制方法不同的是，基于角色的訪問控制為用戶分配了具體的角色，并且根據用戶的工作要求為每種角色設置了權限。可以給用戶分配任何角色類型以幫助用戶完成每日工作任務。例如，用戶可能需要開發者角色以及分析師角色等。每個角色都會定義不同的權限以訪問不同的對象。有了網絡訪問控制，我們可以將這種控制方法從系統組群擴大到整個企業，這需要更高的配置以及更好的保護。

　　加密

　　當縱深防御措施失效的時候，對于數據的保護就只能靠加密了。加密功能可以是非常強大的：如果企業使用的是現代算法，且加密信息得到了非常強大的保護，那么加密數據就不會被攻擊。但是，我們用于管理加密的程序可能被攻擊，而這使與密鑰管理相關的程序變得非常重要。例如，很多企業購買了全盤加密解決方案，但是如果沒有密鑰的話，就無法修改加密程序。不過位于普林斯頓的研究人員近日研究出了從內存中獲取密鑰的方法，這也使很多廠商的產品受到威脅。主要有三種類型的加密算法：秘密密鑰、公鑰和hash函數。與私鑰和公鑰算法不同的是，hash函數(也被稱為信息摘要或者單向加密)沒有密鑰。固定長度的hash值是基于純文本(可以涵蓋純文本的內容或者長度)來計算的。在加密學中Hash函數的主要應用應用就是信息完整性，hash值為信息內容提供了一個數字指紋，這能夠確保信息不會被攻擊者、病毒或者其他對象所修改。因為兩種不同的文本產生相同的hash值的可能性是非常低的，這也使hash算法是很有效的。

　　訪問權限，身份驗證，授權

　　有時候也被稱為AAA或者三A，這三個是確保企業安全性的關鍵因素。訪問權限可以確保只有正確的人才能訪問企業的計算和網絡資源。由于密碼是共享的，很多企業使用物理令牌來進行身份驗證，驗證成功后，還需要確保某個用戶只能訪問允許他訪問的資源。

　　職責分離，服務分離

　　當人們在處理金錢的時候經常會采用職責分離方法，這樣就能夠減少錯誤的發生。因為信息也可以很簡單地被購買和兜售，因此信息也需要采用職責分離這種方式。如果你的系統管理員表示他們的職責不能分離的話，需要讓他們了解這樣做的重要性。在過去，服務器是很昂貴的，通常是在一臺服務器上運行多個服務。只要這臺服務器崩潰，在服務器上運行的多個服務都會失效。后來，大家開始采用一個服務一臺服務器的方式，郵件服務器和文件服務器等。現在，隨著虛擬機和服務導向的網絡架構的發展，我們又回到了一臺服務器運行多個服務的年代，甚至運行比以前更多的服務。不過只要部署了適當的措施還是能夠避免錯誤的發生，例如操作分離、災難恢復等等。

　　端點安全和無處不在的網絡

　　無線網絡不斷壯大，只要使用PDA或者先進點的手機就能夠隨時連接到網絡。這些設備也可以通過藍牙與你的電腦或者筆記本進行連接。企業必須確保這些設備的安全，這也就是所謂的端點安全。不能因為連接到受防火墻和入侵防御解決方案保護的企業局域網絡，就認為你的處境非常安全。我們需要從無處不在的網絡的角度來考慮安全問題。

　　Web, Web瀏覽器和AJAX

　　與五年前相比，現在企業可能花費了更多的錢在網絡管理員和網絡程序員身上。大多數軟件程序開發都開始集中在網絡傳輸上，這意味著大多數流通于用戶計算機的信息都是通過網絡進行的。但是，很多網絡瀏覽器，如IE等，都不是很安全。這也使攻擊者可能利用瀏覽器來攻擊用戶或者計算機。隨著安全成為web瀏覽軟件的關鍵要素，這種問題依然存在，尤其是使用最近開發的支持AJAX的web瀏覽器以及web2.0界面等。

　　SOA及未來展望

　　基于網絡的程序是很難創造和維護的，因為它們提供非常多的功能。例如，如果你有一個網絡股票交易帳戶，你可以研究、交易、運行財務報表甚至進行網上銀行業務。 為了管理復雜性并且能夠讓產品更快進入市場，企業都開始學院創造原子服務，也叫做SOA(面向服務的架構)，這也許將會成為支持關鍵應用程序的主要工具。如果你的企業需要一個服務，它將會咨詢一個稱為UDDI的目錄來找到服務。這與使用Google等搜索引擎市議員的。

　　SOA比常見web服務器提供和暴露更多的業務邏輯，如果你想要客戶端程序找到你，就需要把所有你提供的服務放入目錄中。未來的安全戰場就轉移到以SOA為中心。

　　總結

　　網絡的安全問題，應該像每家每戶的防火防盜問題一樣，做到防范于未然。甚至不會想到你自己也會成為目標的時候，威脅就已經出現了，一旦發生，常常措手不及，造成極大的損失。希望大家多多學習網絡安全的知識，盡可能少的避免困擾。