文档介绍：白皮书
编码:SR01110220201
保证内外网服务器安全
北京天威诚信电子商务服务有限公司
iTruschina Co.,Ltd
概述
最近几年,组织纷纷热情拥抱内网及外网技术。这并不奇怪:内网和外网提供了相对于采用专有技术的租赁网络或广域网而言具有更少的成本、更容易的安装及管理。而且,组织能通过使用内网或外网达到更合理的花费和更快速地发布信息。他们可以使用之建立一个广泛的应用程序满足自身服务的同时还能有效减少管理费用。此外他们还能用之提高与雇员或业务合作伙伴的协作能力。
随着内网及外网的应用越来越广,随之而来的安全挑战也凸现出来。在许多组织配置防火墙及访问控制技术来改善安全性的同时,还遗留下这些技术本身并不能处理的安全隐患。
本指南回顾了配置内网和外网的主要安全隐患,接着讨论了安全系统的六个基本安全目标:机密性、可鉴别性、信息完整性、抗抵赖性、可审计性、易用性。还阐明了怎样使用基于数字证书的PKI技术来配置一个完整的安全系统。最后,说明了我们的产品怎样帮助你的组织快速及有效地配置PKI。
内网和外网的快速增长
随着因特网的普及和因特网技术的不断进步,个人和企业上网的呼声越来越高。据统计,至2000年7月,中国互联网用户数已达1690万人,比半年前增加了1倍;成;互联网国际出口带宽达1234M,。中国因特网的发展从用户数到基础设施的建设都在以超常规的速度进行着,企业和用户对因特网上的应用需求也越来越高级,他们已不再满足于传统的信息浏览和信息发布,有很多网站已经开始提供一些初级的B2B、B2C和ASP等服务,很多企业已经开始将自己的一些基本业务通过基于因特网技术的内网或外网提供,金融行业正积极酝酿网上支付,一个基于因特网的有中国特色的电子商务模式正在形成。
内网及外网的优点
因特网快速增长的原因很明显,和基于专有技术或租赁线路的WAN而言,内网和外网具有更容易和更经济的安装和运营。内网能够提供组织更有效地运营,因此能提高组织的投资回报率。
与WAN使用昂贵的租赁线路不同,内网和外网允许用户通过便宜的公网线路来与很远的人通信。组织在试图把LAN扩展到WAN时,受到通讯协议的限制,不同应用不能很好协同工作。但是通过标准的互联协议TCP/IP,内网和外网很容易保证不同的计算机系统在组织内外协同工作。使用超文本和基于一个图形化的和易用的界面。
一旦建立和运营,内网和外网在多方面减少费用并改善操作,包括:
减少分发信息的成本
内网使政策、产品、公司新闻分发给雇员更容易且更快速;外网使在线配置和报价信息更容易更经济。
减少管理成本
内网和外网允许用户通过自己独立完成许多任务,而这以前需要管理员的协助。例如B2B客户通过外网给供应商下定单。
提高可协作性
使用内网和外网允许用户组成在线的虚拟的团队来提高工作效率。这些团队不需要昂贵的经常的交通费用或通过邮寄信息造成的时延。在组织内,内网可以使决策层扁平化,允许更多的用户访问在决策时需要的信息。在外网中允许合作伙伴之间象一个整体协作,如外网能用来使供应链完整化,用内部电子数据交换来取代昂贵的专有系统。
内外网带来的安全问题
伴随着网内及外网的应用越来越广,安全需求也随着增加。因为互联网络是以统一的TCP/IP协议为规则运作的,是一个对全世界所有国家开放的网络,任何团体或个人都可以在网上方便地传送和获取各种各样的信息。TCP/IP是一个连接协议,他把数据分解成很包,包通过网络随意寻找最适合路径传到最终的目的地。因此,除非增加适当的防范,数据很容易被截取或被修改,且经常收发双方均没意识到已经发生了安全问题。因为参与通讯的各方很难相互鉴别,因此参与一方很容易假扮成另一方。
而由于网络迅速发展而自身的安全防护能力很弱,网络在为人们提供便利、带来效益的同时,也使人类面临着信息安全方面的巨大挑战。
目前2种最常用的安全措施就是防火墙及口令。口令设计用来提供只有授权用户能直接访问服务器上的敏感数据。相反,防火墙设计用来形成防范机制,阻止非授权用户在组织外能直接访问组织内的敏感数据。据最近的IDC研究,全部的前500名组织均配置了防火墙。
但是尽管防火墙在网络安全具有重要地位并被广泛采用,但他只能提供部分方案,他并不能防止内部的攻击。口令对于内部的攻击也不是足够有效,许多口令很容易被猜出来,且经常通过雇员计算机上的记事本而被泄密出去。
即使口令不被猜出且和相应的访问控制相结合,但只使用访问控制并不能保证信息的机密性。尽管好的口令系统可以阻止用户直接进入服务器获得敏感信息,但他并不能保护数据在服务器和用户之间通讯的安全。
当数据通过防火墙传出后,在公司服务器与分支机构、客户、供应商、远程雇员之间传递的信息也存在与上面类似问题。在防火