# s' s4 n' ?; b$ v审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集与积累并且加以分析,有选择性地对其中的某些站点或用户进行审计跟踪,以便对发现或可能产生的破坏性行为提供有力的证据。$ ~' { H+ s. j1 r
* Z+ q* {6 y) R1 M: p) {9 R- {( t
因此,除使用一般的网管软件和系统监控管理系统外,还应使用目前以较为成熟的网络监控设备或实时入侵检测设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。) Q/ d" W$ q3 H) b
8 O2 N0 ?2 ~% Q# E0 c5)、 网络反病毒 ! D& p$ G: r( w( P6 X+ M H
; b2 z$ \" X" `/ v1 w3 k% r3 v! b由于在网络环境下,计算机病毒有不可估量的威胁性和破坏力,一次计算机病毒的防范是网络安全性建设中重要的一环。. n; e, V! E# q( R1 X& b$ [6 f- t
网络反病毒技术包括预防病毒、检测病毒和消毒三种技术:2 \6 ~/ q" Y O$ k/ G9 B" z) [
+ u& n3 a: c5 \
1. 预防病毒技术:它通过自身常驻系统内存,优先获得系统的控制权,监视和判断系统中是否有病毒存在,进而阻止计算机病毒进入计算机系统和对系统进行破坏。这类技术有,加密可执行程序、引导区保护、系统监控与读写控制(如防病毒卡等)。 6 `: V) s5 q$ ?" G( W/ p 0 U6 Y3 }; q7 A$ v6 |& x2. 检测病毒技术:它是通过对计算机病毒的特征来进行判断的技术,如自身校验、关键字、文件长度的变化等。 8 K. A, w! N; n. | n3 J5 c( t1 X f) f7 v! d# i0 L
3. 消毒技术:它通过对计算机病毒的分析,开发出具有删除病毒程序并恢复原文件的软件。, F1 G6 Z0 c% j& h, W& V9 b- @1 D8 J) {
网络反病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测;在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。 7 {! o, x6 f. P8 z# r5 z# M; ?3 q# h7 d$ N! V# J* K* F
6)、 网络备份系统 * J4 e, y0 A2 O, [ @备份系统为一个目的而存在:尽可能快地全盘恢复运行计算机系统所需的数据和系统信息。根据系统安全需求可选择的备份机制有:场地内高速度、大容量自动的数据存储、备份与恢复;场地外的数据存储、备份与恢复;对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用,同时亦是系统灾难恢复的前提之一。& u( }4 Z- `) K
& z% g D4 I# p) Z" W一般的数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件,其优点是只需两组磁带就可恢复最后一次全盘备份的磁带和最后一次差分备份的磁带。" b4 H; U# }; D! [( G
/ v) ?9 v2 N( v: }/ t8 d在确定备份的指导思想和备份方案之后,就要选择安全的存储媒介和技术进行数据备份,有"冷备份"和"热备份"两种。热备份是指"在线"的备份,即下载备份的数据还在整个计算机系统和网络中,只不过传到令一个非工作的分区或是另一个非实时处理的业务系统中存放。"冷备份"是指"不在线"的备份,下载的备份存放到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装,有一部分原始的数据长期保存并作为查询使用。热备份的优点是投资大,但调用快,使用方便,在系统恢复中需要反复调试时更显优势。热备份的具体做法是:可以在主机系统开辟一块非工作运行空间,专门存放备份数据,即分区备份;另一种方法是,将数据备份到另一个子系统中,通过主机系统与子系统之间的传输,同样具有速度快和调用方便的特点,但投资比较昂贵。冷备份弥补了热备份的一些不足,二者优势互补,相辅相成,因为冷备份在回避风险中还具有便于保管的特殊优点。 / N, [7 @% W8 p! K ( M" A: Y& L+ c r2 j- y在进行备份的过程中,常使用备份软件,它一般应具有以下功能。保证备份数据的完整性,并具有对备份介质的管理能力;支持多种备份方式,可以定时自动备份,还可设置备份自动启动和停止日期;支持多种校验手段(如字节校验、CRC循环冗余校验、快速磁带扫描),以保证备份的正确性;提供联机数据备份功能;支持RAID容错技术和图像备份功能。 0 _8 {+ W9 g+ G 7 F0 c u/ @ @+ e$ j3、 信息安全 , s, R; \) ?1 J% a# t, E
7 N6 O4 v& `, o主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。 4 S* v8 I/ x6 P5 S信息安全:信息传输安全(动态安全) 数据加密、数据完整性鉴别、防抵赖;) s- c5 m& G1 m3 a! @" t9 p0 e8 y# o
信息存储安全:(静态安全) 数据库安全、终端安全; , n% P- n- H. M, P8 ~# z9 J( H信息的防泄密:信息内容审计;- ? q/ Y2 M6 _# Q) ]" u- m
用户鉴别、授权 2 @) O: D5 v( b1 b 4 y$ C7 B% B" X2 h, J8 P6 f1、鉴别 * _: i/ j E# v1 ]# x$ }$ q
8 S: ~! [) }+ U/ N
鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无7 |# K: E1 S* H
二的特征或能力,如指纹、声音、视网膜或签字等。" K1 B' E- X- B* t: U. f
0 u+ j) Q, L3 S: d2 V F- D* X口令机制:口令是相互约定的代码,假设只有用户和系统知道。口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。口令有多种,如一次性口令,系统生成一次性口令的清单,第一次时必须使用X,第二次时必须使用Y,第三次时用Z,这样一直下去;还有基于时间的口令,即访问使用的正确口令随时间变化,变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变,使其更加难以猜测。5 S0 X" K1 W! o
( y/ d1 C# f7 i$ _( q# V9 c, q智能卡:访问不但需要口令,也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡,一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数(ID)和其它数据的加密形式。ID保证卡的真实性,持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份识别码(PIN)同时使用。若仅有卡而不知PIN码,则不能进入系统。智能卡比传统的口令方法进行鉴别更好,但其携带不方便,且开户费用较高。 / r; z1 e. `0 @0 x- o) f1 q" [; y4 B! F# r. B* d; C' @
主体特征鉴别:利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括:视网膜扫描仪、声音验证设备、手型识别器。 ; X/ S$ \$ Y/ Q6 W% g) W* S 9 h7 S N( Z9 A8 A2、 数据传输安全系统 : K0 x* p" J9 t! ~) G0 P6 L7 g
' V9 J; B& P. l& x* ^. d数据传输加密技术 目的是对传输中的数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现,即链路加密(位于OSI网络层以下的加密),节点加密,端到端加密(传输前对文件加密,位于OSI网络层以上的加密)。! W- T# b) C% d6 o) O. T