imgboxbg

网络安全

现为中央政府采购供应商和北京市政府采购供应商。也在不断提升自身的品牌价值和塑造自己的经营理念,我们将以踏实的作风、超前的创新意识、和服务能力快速地成长壮大,在为客户提供优质工程和增值服务的同时。力争在工程建设和技术服务等方面,成为工程优良、技术先进、产品过硬、服务周到、信誉卓著的信息化技术公司。
零售价
0.0
市场价
0.0
浏览量:
1000
产品编号
所属分类
解决方案
数量
-
+
库存:
1
详细描述

网络系统安全综合解决方案

 

局域网安全解决方案

由于局域网中采用广播方式、若在某个广播域中可以侦听到所有的信息包,因此,黑客就可以对信息包进行分析,那么本广播域的信息传递都会暴露在黑客面前。

网络分段

网络分段是保证安全的一项重措施、从而达到限制用户非法访问的目的,其指导思想在于将非法用户与网络资源相互隔离,同时也是一项基本措施。 

网络分段可分为物理分段和逻辑分段两种方式:物理分段通常是指将网络从物理层和数据链路层(ISO/OSI模型中的第一层和第二层)上分为若干网段,各网段相互之间无法进行直接通讯。目前,许多交换机都有一定的访问控制能力,可实现对网络的物理分段。

逻辑分段则是指将整个系统在网络层(ISO/OSI模型中的第三层)上进行分段。例如,对于TCP/IP网络、可把网络分成若干IP子网,利用这些中间设备(含软件、硬件)的安全机制来控制各子网间的访问,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接。

在实际应用过程中,通常采取物理分段与逻辑分段相结合的方法来实现对网络系统的安全性控制。

VLAN的实现

虚拟网技术主要基于近年发展的局域网交换技术(ATM和以太网交换)。交换技术将传统的基于广播的局域网技术发展为面向连接的技术。因此。网管系统有能力限制局域网通讯的范围而无需通过开销很大的路由器。以太网从本质上基于广播机制。实际上转变为点到点通讯,信息交换也不会存在监听和插入(改变)问题,除非设置了监听口,但应用了交换机和VLAN技术后。

由以上运行机制带来的网络安全的好处是显而易见的:信息只到达应该到达的地点。因此。防止了大部分基于网络监听的入侵手段。通过虚拟网设置的访问控制。使在虚拟网外的网络节点不能直接访问虚拟网内节点。但是。从而成为被攻击的对象,虚拟网技术也带来了新的问题:执行虚拟网交换的设备越来越复杂。基于网络广播原理的入侵监控技术在高速交换网络内需要特殊的设置。基于MAC的VLAN不能防止MAC欺骗攻击。采用基于MAC的VLAN划分将面临假冒MAC地址的攻击。因此,VLAN的划分最好基于交换机端口。但这要求整个网络桌面使用交换端口或每个交换端口所在的网段机器均属于相同的VLAN。

VLAN之间的划分原则

VLAN的划分方式的目的是保证系统的安全性。因此,如数据库服务器、电子邮件服务器等,可以按照系统的安全性来划分VLAN:可以将总部中的服务器系统单独划作一个VLAN。也可以按照机构的设置来划分VLAN、其他VLAN不能访问LVLAN的信息,并且控制LVLAN与其它VLAN之间的单向信息流向,即允许LVLAN查看其他VLAN的相关信息,其它司局(或下级机构)分别作为一个VLAN,如将领导所在的网络单独作为一个Leader VLAN(LVLAN)。VLAN之内的连接采用交换技术实现。VLAN与VLAN之间采用路由实现。由于路由控制的能力有限。不能实现LVLAN与其他VLAN之间的单向信息流动,需要在LVLAN与其他VLAN之间设置一个NetScreen防火墙作为安全隔离设备,控制VLAN与VLAN之间的信息交换。

广域网安全解决方案

由于广域网采用公网传输数据,因而在广域网上进行传输时信息也可能会被不法分子截取。如分支机构从异地发一个信息到总部时,这个信息包就可能被人截取和利用。因此在广域网上发送和接收信息时要保证: 

除了发送方和接收方外,其他人是不可知悉的(隐私性); 

传送过程中不被篡改(真实性); 

发送方能确信接收方不是假冒的(非伪装性);

发送方不能否认自己的发送行为(非否认)。 

如果没有专门的软件对数据进行控制。因此任何一个对通信进行监测的人都可以对通信数据进行截取,所有的广域网通信都将不受限制地进行传输。这种形式的"攻击"是相对比较容易成功的。只要使用现在可以很容易得到的"包检测"软件即可。如果从一个联网的UNIX工作站上使用"跟踪路由"命令的话。就可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统,所有这些都被认为是最容易受到黑客攻击的目标。一般地,一个监听攻击只需通过在传输数据的末尾获取IP包的信息即可以完成。这种办法并不需要特别的物理访问。如果对网络用线具有直接的物理访问的话,还可以使用网络诊断软件来进行窃听。对付这类攻击的办法就是对传输的信息进行加密,或者是至少要对包含敏感数据的部分信息进行加密。

加密技术 

加密型网络安全技术的基本思想是不依赖于网络中数据路径的安全性来实现网络系统的安全。而是通过对网络数据的加密来保障网络的安全可靠性,因而这一类安全保障技术的基石是使用放大数据加密技术及其在分布式系统中的应用。 

数据加密技术可以分为三类、即对称型加密、不对称型加密和不可逆加密。 对称型加密使用单个密钥对数据进行加密或解密、其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难、从而使用成本较高,主要是密钥管理困难,保安性能也不易保证。这类算法的代表是在计算机专网系统中广泛使用的DES算法(Digital Encryption Standard)。 

不对称型加密算法也称公用密钥算法,只有二者搭配使用才能完成加密和解密的全过程,其特点是有二个密钥(即公用密钥和私有密钥)。由于不对称算法拥有二个密钥、在Internet中得到广泛应用,它特别适用于分布式系统中的数据加密。其中公用密钥在网上公布、为数据对数据加密使用,而用于解密的相应私有密钥则由数据的接收方妥善保管。

不对称加密的另一用法称为"数字签名"(digital signature)、而数据接收方则用相应的公用密钥解读"数字签名",即数据源使用其私有密钥对数据的求校验和(checksum)或其它与数据内容有关的变量进行加密,并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法(Digital Signature Algorithm)。不对称加密法在分布式系统中应用需注意的问题是如何管理和确认公用密钥的合法性。

不可逆加密算法的特征是加密过程不需要密钥。并且经过加密 的数据无法被解密,只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题,所以通常用于数据量有限的情形下的加密,例如计算机系统中的口令就是利用不可逆算法加密的,适合于分布式网络系统上使用,但是其加密计算工作量相当可观。近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。在计算机网络中应用较多的有RSA公司发明的MD5算法和由美国国家标准局建议的可靠不可逆加密标准(SHS-Secure Hash Standard)。

加密技术用于网络安全通常有二种形式。即面向网络或面向应用服务。前者通常工作在网络层或传输层。从而保证网络的连通性和可用性不受损害,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外,通过适当的密钥管理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。SKIP协议即是近来IETF在这方面的努力之一。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法。以及用作电子邮件加密的PEM(Privacy Enhanced Mail)和PGP(Pretty Good Privacy),例如使用Kerberos服务的telnet、NFS、rlogion等。这一类加密技术的优点在于实现相对较为简单。不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。

数字签名和认证技术 

认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术,同时数字签名还可用于通信过程中的不可抵赖要求的实现。 

认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。

User Name/Password认证 

该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,即password容易被监听和解密,但此种认证方式过程不加密。 

使用摘要算法的认证 

Radius(拨号认证协议)、OSPF(路由协议)、SNMP Security Protocol等均使用共享的Security Key。加上摘要算法(MD5)进行认证,因此,敏感信息不在网络上传输,在认证过程中,由于摘要算法是一个不可逆的过程,由摘要信息不能技术出共享的security key。市场上主要采用的摘要算法有MD5和SHA-1。 

基于PKI的认证

使用公开密钥体系进行认证和加密。该种方法安全程度较高。综合采用了摘要算法、不对称加密、对称加密、数字签名等技术,很好地将安全性和高效性结合起来。这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙认证等领域。

该种认证方法安全程度很高,但是涉及到比较繁重的证书管理任务。

数字签名

数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对、任何人均可验证签名的真实性,CA使用私有密钥技术其数字签名,利用CA提供的公共密钥,作为验证发送者身份和消息完整性的根据。伪造数字签名从计算机能力上不可行的。并且。对消息的任何修改在验证数字签名时都将会被发现,如果消息随数字签名一同发送。 

通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥,并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。 

基于此种加密模式,需要管理的密钥数目与通讯者的数量为线性关系。而其它的加密模式需要管理的密钥数目与通讯者数目的平方成正比。

VPN技术

网络系统总部和各分支机构之间采用公网网络进行连接,其最大的弱点在于缺乏足够的安全性。企业网络接入到公网中,暴露出两个主要危险:

来自公网的未经授权的对企业内部网的存取。 

当网络系统通过公网进行通讯时、信息可能受到窃听和非法修改。 完整的集成化的企业范围的VPN安全解决方案、提供在公网上安全的双向通讯,以及透明的加密方案以保证数据的完整性和保密性。 

VPN技术的原理: 

VPN系统使分布在不同地方的专用网络在不可信任的公共网络上安全的通信。它采用复杂的算法来加密传输的信息,使得敏感的数据不会被窃听。其处理过程大体是这样: 

要保护的主机发送明文信息到连接公共网络的VPN设备;

VPN设备根据网管设置的规则,确定是否需要对数据进行加密或让数据直接通过。 

对需要加密的数据,VPN设备对整个数据包进行加密和附上数字签名。 

VPN设备加上新的数据报头,其中包括目的地VPN设备需要的安全信息和一些初始化参数。 

VPN 设备对加密后的数据、鉴别包以及源IP地址、目标VPN设备IP地址进行重新封装,重新封装后的数据包通过虚拟通道在公网上传输。 

当数据包到达目标VPN设备时、数字签名被核对无误后,数据包被解密,数据包被解封装。 

IPSec

IPSec作为在IPv4及IPv6上的加密通讯框架,已为大多数厂商所支持。

IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式,Authentication Header(AH)及encapsulating security payload(ESP)。IPSec使用ISAKMP/Oakley及SKIP进行密钥交换、管理及加密通讯协商(Security Association)。

IPSec包含两个部分:

IP security Protocol proper,定义IPSec报头格式。

ISAKMP/Oakley,负责加密通讯协商。

IPSec提供了两种加密通讯手段: 

IPSec Tunnel:整个IP封装在Ipsec-gateway之间的通讯。

Ipsec transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。 

IPsec Tunnel 不要求修改已配备好的设备和应用。网络黑客不能看到实际的通讯源地址和目的地址,绝大多数厂商均使用该模式,因此,并且能够提供专用网络通过Internet加密传输的通道。 

ISAKMP/Oakley使用X.509数字证书。因此,使VPN能够容易地扩大到企业级。(易于管理)。 

在为远程拨号服务的Client端。为拨号用户提供加密网络通讯,也能够实现IPsec的客户端。由于IPsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。

如何保证远程访问的安全性

对于从外部拨号访问总部内部局域网的用户、由于使用公用电话网进行数据传输所带来的风险,必须严格控制其安全性。首先,应严格限制拨号上网用户所访问的系统信息和资源,这一功能可通过在拨号访问服务器后设置NetScreen防火墙来实现。其次。使用RADIUS等专用身份验证服务器,应加强对拨号用户的身份认证。一方面。可以实现对拨号用户帐号的统一管理;另一方面。在身份验证过程中采用加密的手段,避免用户口令泄露的可能性。第三。防止数据被非法窃取,在数据传输过程中采用加密技术。一种方法是使用PGP for Business Security,对数据加密。另一种方法是采用NetScreen防火墙所提供的VPN(虚拟专网)技术。VPN在提供网间数据加密的同时,也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性。

未找到相应参数组,请于后台属性模板中添加
上一个
下一个

最新客户案例

立信会计师事务所
立信会计师事务所(以下简称“立信”)由中国会计泰斗潘序伦于1927年在上海创建,是中国最早建立和最有影响的会计师事务所之一。1986年复办,2000年成立上海立信长江会计师事务所有限公司,2007年更名为立信会计师事务所有限公司。立信依法独立承办注册会计师业务,具有从事证券期货相关业务的资格。2009年立信加入了BDO国际集团,业务扩展到为委托人提供境外审计服务。2010年,立信获得首批H股审计执业资格。12月改制成为国内第一家特殊普通合伙会计师事务所。本次我们承接的为北京立信会记事务所的智能化办公楼,楼高5层,我们主要承接其综合布线系统、计算机网络系统、电话交换系统、安防监控系统、楼宇广播系统、门禁系统、多媒体会议系统、可视对讲系统及机房建设等。其中网络和电话信息点共800多个、门禁点18个,大小会议室5个,以及机房UPS、空调、配电等,安防监控点50多个,广播点20个。
查看详情 白箭头 黑箭头
北京当升材料科技股份有限公司
北京当升材料科技股份有限公司(简称“当升科技”)、起源于中央企业北京矿冶科技集团有限公司的一个课题组,逐步发展成为我国锂电正极材料行业的龙头企业,目前已发展成为锂电正极材料及智能装备领域集自主创新、成果转化、产业运营于一体的最具影响力的企业之一,于2010年在创业板上市。本次我们承接的为总部基地其中之一的智能化办公楼,我们主要承接其综合布线系统、计算机网络系统、电话交换系统、安防监控系统、楼宇广播系统、门禁系统、多媒体会议系统、及机房建设等,楼高11层。其中网络和电话信息点共1000多个、安防监控点50多个,大小会议室8个,以及机房装修、UPS、空调、配电等,广播点30多个,门禁点20多个。
查看详情 白箭头 黑箭头
工信部软件与集成促进中心
工信部软件与集成促进中心是工业和信息化部直属事业单位、全面承担了国家软件与集成电路等公共服务平台的建设、维护、运营和管理工作,位于海淀区永丰信息产业基地。我们本次主要承担其办公区无线网络覆盖工程、机房建设工程(机房配电、空调、UPS、新风、装修、消防、环境监控等),具体包括近100个点AP的无线网络覆盖、200平米的机房建设、网络系统集成、综合布线等。工程于2018年3月16日开工,2018年5月
查看详情 白箭头 黑箭头

联系威廉希尔

 

客户服务热线: 13701352827

1362132052618211173256
公司联系总机: 010-82894836
专线联系电话: 010-82894836
服务信箱:service@hyhtnet.com

  • 咨询电话
    总机电话:029-85208160
    专线电话::029-85208160
    客户服务热线: 18211173256、13621320526、13701352827
  • 在线询价 400--033-4456
  • 分司电话
    皖北公司电话:
    0557-2812777:029-85208160
    福建公司电话:
    0592-6029566 15960818198 15960818198(葛总)
    烟台公司电话:
    (0535)6020339
    山西办事处电话:
    13911460188
  • 留言咨询
  • 返回顶部
威廉希尔

关注威廉希尔官方微信

   页面版权所有@2020  威廉希尔       京ICP备05016541号  网站建设:中企动力 北京