文档介绍:网络安全网络安全显然离不开网络, 而网络按照行业性质上来划分, 大致可以划分为电信级网络和企业级网络。另外, 要谈网络安全也离不开两个视角:来自自身的安全威胁和来自外部的安全威胁。本文仅仅站在网络安全技术层面,从两个视角浅谈企业级 IP网络安全技术及其发展。不涉及非 IP 网络的安全技术。企业级网络安全从企业网络的构成来看,大致可以分为三个部分:终端设备、内网和网关设备。终端设备包括办公计算机、服务器、存储设备等;内网实际上是由各种终端设备、交换机、 HUB 等构成的企业局域网络; 网关是企业局域网接入城域网的门户。从网络安全的角度来看, 企业网络安全可以分为内部网络安全和网络边界安全。企业内部网络安全不同于企业网络边界安全, 企业网络边界安全威胁来自 上的攻击,内网安全威胁主要源于企业内部。恶性的黑客攻击事件一般都会先控制局域网络内部的一台服务器,然后以此为基础,获取企业内部机密信息,或者对 Interne t 上其他主机发起恶性攻击。所以, 从一定意义上说, 企业网络内部安全威胁主要来自于不可信的终端, 而企业网络边界安全威胁主要来自于外部网络的攻击行为, 自然终端和网关就成为企业网络安全防范措施部署的重要部件。企业网络内部安全据统计, 大约 70% 的安全威胁来自于企业内部网络。而来自企业内部网络的安全威胁多数是不可信终端发起的。于是可信终端管理成为企业内网安全的重要保证。目前,企业内网安全技术归纳如下: 可信计算国际性的非盈利机构可信计算工作组( puting Group , TCG ) 对可信的定义: 可信是一种期望, 在这种期望下设备按照特定的目的以特定的方式运转。 TCG 针对不同的终端类型和平台形式制订出了一系列完整的规范,例如个人电脑、服务器、移动电话、通信网络、软件等等,这些规范所定义的可信平台模块( TPM )通常以硬件的形式被嵌入到各种计算终端以用于提供更可信的运算基础。系统审计嵌入到终端的 TPM 硬件芯片可以对终端的系统情况比如是否及时更新病毒软件库、是否安装了操作系统补丁等进行审计, 并实时地把此终端的信息发送给安全设备, 安全设备接收到此信息后立即分析并根据预先所制定的安全策略对终端进行管理。如果终端没有安装 TPM 硬件, 则当终端访问外部网络或者访问企业内部网络的重要信息的时候, 可以通过部署在网关位置的安全设备自动推送一个控件到终端,此控件将强制对终端的系统情况进行审计。访问控制对于内部网络的终端, 要访问的资源要么位于企业内部, 要么位于企业外部的 网络上。除了要确保终端是可信的以外,还需要对终端的访问行为实施控制。访问企业内部资源, 一般可以通过 认证终端;访问企业外部资源,在网关上通过认证授权模块对终端进行认证。实时监控部署在企业内部网络中或者在企业网络边界网关上的安全设备可以实时地监控网络中终端的行为和内部网络的流量, 如果流入或者流出某个终端的流量出现异常, 安全设备将自动进行分析并启动安全策略实施相应的安全防护措施, 要么警告终端, 要么主动阻断有关此终端的所有连接。终端可信度评估终端可信度对内网是否安全影响很大, 所以对终端的可信度管理非常重要。在安全设备中可以对内网的终端的可信度进行评估并纳入此终端的历史数据库中,如果某个终端的异常行为超出预设的阀值, 将对终端实施相应的惩罚措施。联想在 2005 年推出符合 TPM 标准的安全芯片“恒智”,联想网御的可信终端管理产品与嵌入在终端的 TPM 硬件芯片相互配合, 在整个企业网络内部建立起一个验证体系, 通过确保每个终端的安全性提升整个企业网络的安全性。企业网络边界安全企业网络边界安全威胁通常来自 上,所以部署在企业网络边界的安全措施就显得尤为重要, 同时也是当前安全技术最为集中、最为成熟的领域。从网络安全防御的角度来说, 网络安全防护无非两种: 被动防御和主动防御。传统的网络边界安全技术比如防火墙、 VPN 、网闸、防病毒、反垃圾、 IDS 、 IPS 以及 UTM 等基本上都属于被动防御的范畴,而主动防御的相关技术、产品、方案、管理到目前为止还相对不成熟。被动防御从数据在网络中的“活动周期”来看从数据在网络中的“活动周期”来看,大致可以分为数据产生、获取、传输、计算和存储五个阶段, 数据获取一般采用访问控制和数据加密与压缩等技术, 但是数据传输、计算和存储三个阶段, 要实现数据安全,则不是那么容易。(1 )数据获取为了保证数据不被非法获取, 一般有两种思维: 一种是阻止非法访问数据, 另外一种是数据可以随意获得, 但是查看或者使用数据必须有合法的身份或者权力。阻止非法访问的安全技术主要有: 身份认证与授权身份认证与授权的技术有很多, 比如 、 AAA 、 RADIUS 、 TACA S 等