网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

1999年9月13日国家质量技术监督局公布了我国第一部关于计算机信息系统安全等级划分的标准“计算机信息系统安全保护等级划分准则”（GB17859-1999）。而国外同标准的是美国国防部在1985年12月公布的可信计算机系统评价标准TCSEC(又称桔皮书)。在TCSEC划分了7个安全等级：D级、C1级、C2级、B1级、B2级、B3级和A1级。其中D级是没有安全机制的级别，A1级是难以达到的安全级别，如表3-1所示

表3-1网络安全等级及安全级别的性能要求

3.1.2 GB17859划分的特点

GB17859把计算机信息安全保护能力划分为5个等级，它们是：系统自我保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这5个级别的安全强度从低到高排列让高一级包括低一级的安全能力，如表3-2所示。

表3-2 GB17859的划分标准

同。

3.1.3 安全等级标准模型

计算机信息系统的安全模型主要又访问监控器模型、军用安全模仿和信息流模型等三类模型，它们是定义计算机信息系统安全等级划分标准的依据。 3.2 防火墙技术

随着网络安全问题日益严重，网络安全技术和产品也被人们逐渐重视起来，防火墙作为最早出现的网络安全技术和使用量最大的网络安全产品，受到用户和研发机构的亲睐。

3.2.1 防火墙的基本概念和作用

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它执行预先制定的访问控制策略，决定了网络外部与网络内部的访问方式。

在网络中，防火墙实际是一种隔离技术，它所执行的隔离措施有： 1．拒绝未经授权的用户访问内部网和存取敏感数据 2．允许合法用户不受妨碍地访问网络资源 （1）作为网络安全的屏障

一个防火墙作为阻塞节点和控制节点能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险，只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

（2）可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有的安全软件配置在防火墙上，体现集中安全管理更经济。

（3）对网络存取和访问进行检测审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

（4）防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

（5）协议的支持

支持具有因特网服务性的企业内部网络技术体系VPN。

3.2.2 防火墙的分类

防火墙的分类有很多种。根据受保护的对象，可以分为网络防火墙的单机防火墙；根据防火墙主要部分的形态，可以分为软件防火墙和硬件防火墙；根据防火墙使用的对象，可以分外企业防火墙和个人防火墙；根据防火墙检查数据包的位置，可以分外包过滤、防火墙应用代理防火墙和检测防火墙。 3.3 数据加密技术

数据机密技术是网络中最基本的安全技术，主要是通过对网络中传输的信息进行数据加密来保障其安全性，这是一种主动安全防御策略，用很小的代价即可为信息提供相当大的安全保护。 3.3.1数据加密原理

数据加密是通过某种函数进行变换，把正常数据包文（称为明文或明码）转换为密文（密码）。解密是指把密文还原成明文的过程。密码体制是指一个系统所采用基本工作方式以及它的两个基本构成要素，即加密/解密算法和密钥。密钥是一个数值，它和加密算法一起生成特别的密文。传统密码体制所用的加密密钥和解密密钥相同，称为对称密码体制。如果加密密钥和解密密钥不相同，则称为非对称密码体制，密钥可以看作是密码算法中的可变参数。从数学的角度来看，改变了密钥，实际上也就改变了明文与密文之间等价的数学函数关系。密码算法是相对稳定的，在这种意义上，可以把密码算法视为常量，而密钥则是一个变量。在设计加密系统中，加密算法是可以公开的，真正需要保密的是密钥，密钥本质是非常大的数，密钥大小用位表示。在公开密钥加密方法中，密钥越大密文就越安全。利用密码技术，在信源和通信信道之间对报文进行加密，经过信道传输，到信宿接收时进行解密，以实现网络通信保密，加密与解密过程如图3-5所示

明文 图3-5加密与解密过程