8.4 攻击防御

8.4 攻击防御

8.4.1 访问控制

没有预先经过授权就使用网络资源即被视为非授权访问，这是任何网络都会面临的最常见的风险之一。为了抵御非授权访问，应在内外网物理隔离的基础上，部署多级的访问控制体系，这样将有利于最大限度地防范对不同系统、不同业务的信息资源的非授权访问，实现对各网络节点的保护，避免单个节点或网络的安全问题传播到整个网络。

 

8.4.2 入侵检测

网络安全是整体的概念，不是单一产品就能实现的。防火墙是最基本、经济、有效的措施之一。但防火墙不能完全防止新的攻击方式或那些不经过防火墙的其他攻击。

入侵检测作为一种积极主动地安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。入侵检测被人认为是防火墙之后的第二道闸门，在不影响网络性能的情况下对网络进行监测。“知情权是网络安全的关键”。

 

8.4.3 网络身份鉴别

网络上的身份验证很复杂，因为通信双方在通信时没有接触，这会为不法分子截获消息或冒充另一个人或实体提供可乘之机。

身份鉴别时使身份标示和可以证明身份的鉴别证书集相符合的过程。用户必须在与另一方通信时有能力证实双方的身份，常用的识别信息如下：

·口令鉴别

·IP地址

·用户证书

·基于密钥的鉴别证书

·人体特征鉴别

 

8.4.4 病毒防御

构建一个全面有效的防病毒系统，对整个网络安全来说是至关重要的。反病毒技术的具体实现方法包括对网络中服务器及工作站中的文件和电子邮件等进行频繁地扫描和监测。

 

8.4.5 加密

当今，在网络社会选择加密，我们别无选择，原因之一是Internet上进行文件传输、电子邮件商务往来都存在不安全因素。一些网络基础协议，是使用明文传输的，所以很有可能被窃听。

 

8.4.6 安全管理

信息系统的安全管理部门应根据惯例原则和该系统处理出具的保密性，制定相应的管理制度或采用相应的规范。具体工作如下：

·根据工作的重要程度，确定该系统的安全等级；

·根据确定的安全等级，确定安全管理的范围；

·制定相应的机房出入管理制度；

·制定密码策略。