一、基础网络安全(按网络区域划分):
内部局域网()安全:内部访问控制(包括接入控制)、网络阻塞(网络风暴)、病毒检测;
二、系统安全(系统层次划分):
操作系统级安全:系统登录安全、系统资源安全、存储安全、服务安全等;
;三、数据、应用安全(信息对象划分):
服务器数据安全:数据库安全、服务器文件安全、服务器应用系统、服务程序安全。
鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。
IDXYZ  智能卡:访问不但需要口令,也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡,一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数()和其它数据的加密形式。保证卡的真实性,持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份识别码()同时使用。若仅有卡而不知码,则不能进入系统。智能卡比传统的口令方法进行鉴别更好,但其携带不方便,且开户费用较高。
数据传输加密技术目的是对传输中的数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现,即链路加密(位于网络层以下的加密),节点加密,端到端加密(传输前对,位于网络层以上的加密)。
TCP/IP  数据完整性鉴别技术目前,对于动态传输的信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法,但黑客的攻击可以改变信息包内部的内容,所以应采取有效的措施来进行完整性控制。
CRCICVIntegratedCheckVectorICVICVICV  校验和:一个最简单易行的完整性控制方法是使用校验和,计算出该文件的校验和值并与上次计算出的值比较。若相等,说明文件没有改变;若不等,则说明文件可能被未察觉的行为改变了。校验和方式可以查错,但不能保护数据。
CRCCRC  消息完整性编码():使用简单单向散列函数计算消息的摘要,连同信息发送给接收方,接收方重新计算摘要,并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此,一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。
鉴于为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便,有必要选取集成的安全保密技术措施及设备。这种设备应能够为大型网络系统的主机或重点服务器提供加密服务,为应用系统提供安全性强的数字签名和自动密钥分发功能,支持多种单向散列函数和校验码算法,以实现对数据完整性的鉴别。
在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全很重要。
1.物理完整性,即数据能够免于物理方面破坏的问题,如掉电、火灾等;
3.元素完整性,包括在每个元素中的数据是准确的;
5.用户鉴别,确保每个用户被正确识别,避免非法用户入侵;
7.可审计性,能够追踪到谁访问过数据库。
终端安全:主要解决微机信息的安全保护问题,一般的安全功能如下。基于口令或(和)密码算法的身份验证,防止非法使用机器;自主和强制存取控制,防止非法访问文件;多级权限管理,防止越权操作;存储设备安全管理,防止非法软盘拷贝和硬盘启动;数据和程序存储,防止信息被窃;预防病毒,防止病毒侵袭;严格的审计跟踪,便于追查责任事故。
信息内容审计系统
实时对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。因此,为了满足国家保密法的要求,在某些重要或涉密网络,应该安装使用此系统。
