產品詳細介紹網絡安全
隨著信息網絡技術的應用正日益普及, 應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展。而網絡所具有的開放性、自由性在增加應用自由度的同時,對網絡的安全提出了更高的要求。據統計,全世界由于信息系統的脆弱性而導致的經濟損失,每年達數億美元,并且逐年上升。據美國《金融時報》報道,現在平均每20秒就發生一次入侵計算機互聯網的事件。而我們面臨的這些網絡安全問題的解決,主要還是依賴于現代信息理論與技術手段;依賴于安全體系結構和網絡安全通信協議等技術;依賴借助于此產生的各種硬件的或軟件的安全產品。
下面是網絡安全中的主要技術以及產品的簡介:
殺毒軟件技術
殺毒軟件是最為普遍的一種安全技術方案,因為這種技術實現起來最為簡單,但我們都知道殺毒軟件的主要功能就是殺毒,功能十分有限,不能完全滿足網絡安全的需要。國外殺毒軟件占主導地位的有五大品牌:賽門鐵克的Norton、NAI的McAfee、趨勢的PC-Cillin以及Panda和CA的殺毒軟件。國內的產品主要是瑞星、Kill、江民公司的KV3000、金山毒霸等。
防火墻技術
防火墻是一個系統或一組系統,它在企業內網與因特網間執行一定的安全策略。
一個有效的防火墻應該能夠確保:所有從因特網流入或流向因特網的信息都將經過防火墻;所有流經防火墻的信息都應接受檢查。
防火墻如果從實現方式上來分,又分為硬件防火墻和軟件防火墻兩類,我們通常意義上講的硬防火墻為硬件防火墻,它是通過硬件和軟件的結合來達到隔離內、外部網絡的目的,它的性能很好。軟件防火墻它是通過純軟件的方式來達到,價格比較便宜,但這類防火墻只能通過一定的規則來達到限制一些非法用戶訪問內部網的目的,并且性能比硬件防火墻差。
防火墻市場作為用戶解決網絡安全隱患的最起碼和最必要的裝備,具有最大的市場容量。目前防火墻在國內市場上的競爭十分激烈。一方面,國外廠商如Cisco Pix、NetScreen、CheckPoint、Gauntlet等紛紛進入中國市場;另一方面由于防火墻市場需求量大,國內許多網絡安全廠商都生產防火墻作產品。像東大阿爾派、聯想、紫光、天網、天融信、海信等都有了自己開發的防火墻。
與國內產品相比,國外防火墻產品優勢在于技術成熟、知名度高,因此在國內高端防火墻市場中,國外產品始終占據優勢。金融、電信、大型ISP、除特殊部門外的大部分行業用戶一般都選用了國外防火墻產品。國內自主開發的防火墻主要集中在低端防火墻領域。國產防火墻在技術上和國外的相比還有一定的差距,但也在國家機關、軍隊、金融、電信等部門占據了一定的市場份額。
文件加密和數字簽名技術
文件加密和數字簽名技術主要分為數據傳輸、數據存儲、數據完整性的鑒別以及密鑰管理技術四種。
· 數據傳輸加密技術
目的是對傳輸中的數據流加密, 常用的方針有線路加密和端對端加密兩種。目前最常用的加密技術有對稱加密技術和非對稱加密技術,對稱加密技術是指同時運用一個密鑰進行加密和解密,非對稱加密方式就是加密和解密所用的密鑰不一樣,它有一對密鑰,稱為“公鑰”和“私鑰”兩個。
· 數據存儲加密技術
這種加密技術的目的是防止在存儲環節上的數據失密, 可分為密文存儲和存取控制兩種。前者一般是通過加密法轉換、附加密碼、加密模塊等方法實現;后者則是對用戶資格、權限加以審查和限制, 防止非法用戶存取數據或合法用戶越權存取數據,這種技術主要應用于NT系統和一些網絡操作系統中,在系統中可以對不同工作組的用戶賦予相應的權限以達到保護重要數據不被非正常訪問。
· 數據完整性鑒別技術
目的是對介入信息的傳送、存取、處理的人的身份和相關數據內容進行驗證, 達到保密的要求, 一般包括口令、密鑰、身份 、數據等項的鑒別, 系統通過對比驗證對象輸入的特征值是否符合預先設定的參數, 實現對數據的安全保護。
入侵檢測技術
入侵檢測是防火墻的合理補充,幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。入侵檢測被認為是防火墻之后的第二道安全閘門,在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。這些都通過它執行以下任務來實現:
· 監視、分析用戶及系統活動;
· 系統構造和弱點的審計;
· 識別反映已知進攻的活動模式并向相關人士報警;
· 異常行為模式的統計分析;
· 評估重要系統和數據文件的完整性;
· 操作系統的審計跟蹤管理,并識別用戶違反安全策略的行為。
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。更為重要的一點是,它應該管理、配置簡單,從而使非專業人員非常容易地獲得網絡安全。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。
入侵檢測系統根據其檢測數據來源分為兩類:基于主機的入侵檢測系統和基于網絡的入侵檢測系統。基于主機的入侵檢測系統從單個主機上提取數據(如審計記錄等)作為入侵分析的數據源,而基于網絡的入侵檢測系統從網絡上提取數據(如網絡鏈路層的數據幀)作為入侵分析的數據源。通常來說基于主機的入侵檢測系統只能檢測單個主機系統,而基于網絡的入侵檢測系統可以對本網段的多個主機系統進行檢測,多個分布于不同網段上的基于網絡的入侵檢測系統可以協同工作以提供更強的入侵檢測能力。
常見的入侵檢測產品有:eTrust Intrusion Detection (CA)、Security IDS (Cisco) 、NetEye IDS (東軟)、ZYNetEye-Ⅱ(漢邦軟科)。
世界領先的電子商務管理解決方案供應商CA公司的CA eTrust產品向企業提供了保護其環境所需的具有主動性的全面安全保護功能,包括虛擬專用網(VPN)、訪問控制、用戶管理、加密、防惡意代碼和防病毒保護、入侵探測、X.500目錄等。
|
在線客服
與企業聯系時請告知該信息來自教育裝備網!
