첫째, 운영 체제 보안 관리
안전의 핵심은 사람이기 때문에 안전관리는 인위적인 핵심으로 각종 첨단 보안기술을 채택하여 불법 공격으로부터 시스템을 보호하고, 액세스 권한이 없는 사용자가 시스템 기밀 정보를 훔치는 것을 방지하며, 시스템을 안전하고 안정적으로 운영할 수 있도록 해야 한다.
비즈니스 시스템의 핵심 데이터베이스인 호스트 시스템은 보안이 더욱 중요합니다. 서버 운영 체제의 보안 관리는 주로 기존 네트워크 보안 리소스를 활용하여 데이터 흐름과 사용자 및 시스템 관리자의 운영 체제 관리를 관리하는 것입니다. 운영 체제는 인증 및 액세스 제어 기능을 제공해야 하며 모든 사용자 운영 및 네트워크 서비스 프로세스에 대한 완벽한 감사 시스템을 갖추고 있어야 합니다.
운영 체제 관리자의 비밀번호는 가능한 한 짧아 3 ~ 6 개월마다 교체하여 비밀번호 도난을 방지합니다. 액세스 제어 목록을 사용하여 서버의 자원을 관리할 수 있습니다. 주체 (예: 사용자) 의 객체 (예: 파일, 데이터베이스, 장치) 에 대한 액세스 권한 (예: 읽기, 쓰기 가능) 은 액세스 제어 목록으로 규정됩니다. 파일 시스템, 데이터베이스 시스템 및 디바이스 관리에서 액세스 제어 기술을 사용하여 사용자의 액세스 권한을 제어해야 합니다.
둘째, 다중 계층 바이러스 방어 시스템
네트워크 시스템은 인터넷 게이트웨이, 내부 및 외부 네트워크 세그먼트를 포함한 다양한 바이러스 위협을 받을 수 있다고 생각합니다. 바이러스로 인한 손실을 피하기 위해 비즈니스 시스템은 다중 계층 바이러스 방어 시스템을 사용하는 것이 좋습니다. 소위 다중 계층 바이러스 방어 시스템은 모든 데스크톱에 데스크톱 바이러스 백신 소프트웨어를 설치하고, 서버측에는 서버측 바이러스 백신 소프트웨어를 설치하고, 인터넷 게이트웨이는 인터넷 측 바이러스 백신 소프트웨어를 설치해야 한다. 단위에게 바이러스 공격을 방지하는 것은 모든 직원의 책임이기 때문이다. 모든 사람은 자신이 사용하는 데스크톱이 바이러스에 감염되지 않도록 해야 전체 네트워크가 바이러스에 감염되지 않도록 해야 한다.
(a) 클라이언트 안티바이러스 시스템
통계에 따르면 바이러스의 50% 이상이 플로피 디스크를 통해 시스템에 들어가기 때문에 데스크탑 시스템의 바이러스는 엄격하게 예방해야 한다. 데스크탑 바이러스 백신 제품을 사용하여 데스크탑 컴퓨터가 바이러스에 침입하는 것을 방지하다.
(2) 서버 안티바이러스 시스템
서버가 감염되면 감염된 파일이 바이러스 감염의 원천이 되며 데스크톱 감염에서 바이러스로 빠르게 발전하여 네트워크 전체에서 폭발합니다. 따라서 서버 기반 바이러스 보호는 비즈니스 시스템의 최우선 과제가 되었습니다. 따라서 비즈니스 시스템 엑스트라넷, 인터넷 및 연결된 네트워크 세그먼트의 중요한 웹 및 메일 서버에 전문 안티바이러스 소프트웨어 시스템을 도입하여 포괄적인 서버 기반 바이러스 보호 기능을 제공합니다.
(c) 인터넷 안티바이러스 시스템
ICSA 보고서에 따르면 일반 회사나 기관의 컴퓨터 바이러스 중 20% 이상은 인터넷에서 파일을 다운로드하여 감염됐고, 나머지 26% 는 이메일의 첨부 파일을 통해 감염됐다. 많은 비즈니스 시스템이 인터넷에 연결되어 있기 때문에 인터넷에서 파일을 다운로드하는 바이러스에 의해 공격을 받고 악의적인 Java 및 ActiveX 애플릿의 위협을 받을 가능성이 높습니다. 그래서이 지부는 비즈니스 시스템 예방의 초점이되었습니다.
비즈니스 시스템이 인터넷에 연결된 네트워크 세그먼트의 메일 서버, 웹 서버, DNS 서버 등의 프록시 서버에 전문 방화벽 소프트웨어 시스템을 설치하면 인터넷의 바이러스, 악성 Java, Active-x 가 비즈니스 네트워크 애플리케이션 시스템에 손상을 방지할 수 있습니다.
셋째, 네트워크 시스템 보안 기술
(1) 일반적인 보안 위협
컴퓨터 네트워크가 발달하면서 네트워크의 보안 문제가 점점 더 심각해지고 있으며, 우리 네트워크에 저장되고 전송되는 대량의 데이터가 도난, 노출 또는 변조될 수 있습니다. 네트워크의 보안 위협은 주로 다음과 같습니다.
비밀 누설: 통신 양측이 인터넷을 통해 통화할 때 보안 조치를 취하지 않으면 다른 사람이 통신 내용을' 도청' 할 수 있으므로 필요한 경우 통신 내용을 암호화할 수 있다.
사기꾼: 컴퓨터 네트워크 시스템에 들어가는 사용자가 합법적인지 어떻게 알 수 있습니까? 따라서 시스템에는 식별 기능이 있어야 합니다. 네트워크의 한 노드가 서비스를 제공하는 것으로 가장할 때 시스템이 상대방이 가장을 하고 있는지 어떻게 알 수 있습니까? 합법적인 사용자 데이터베이스를 제공하고 TACACS 또는 RADIUS 프로토콜을 사용하여 사용자를 식별할 수 있습니다. 누군가가 PC 를 사용하여 라우팅 정보를 악의적으로 위조하는 경우 시스템은 어떤 라우팅 정보가 신뢰할 수 있는지 어떻게 알 수 있습니까? "OSPF" 및 "EIGRP" 와 같은 인증 기능을 갖춘 라우팅 프로토콜을 사용할 수 있습니다. RIP 와 같은 일부 라우팅 프로토콜은 인증 기능을 지원하지 않습니다.
조작: 전달 중 메시지가 제 3 자에 의해 변조되는 것을 방지하기 위해 응용 프로그램 계층에서 사용자의 메시지를 암호화하거나 확인할 수 있습니다.
공격: 위에서 언급한 사용자 간의 통신 정보 보안 문제 외에도 네트워크 자체는 컴퓨터 바이러스, 컴퓨터 웜, 트로이 목마, 논리 폭탄 등과 같은 악성 프로그램의 공격에 취약합니다
네트워크에서 공격받는 대상은 주로 다음 그림과 같이 호스트, 라우팅 노드 및 전송 회선입니다.
네트워크 보안은 네트워크의 액세스 계층에서 사용자 id 확인, 네트워크 백본의 IP 스트림을 모니터링하여 네트워크 보안을 달성하는 등 여러 가지 방법으로 수행할 수 있습니다. 네트워크의 각 특정 애플리케이션 포트를 기반으로 보안 조치를 구현합니다. 이러한 모든 보안 조치는 네트워크의 다양한 응용 프로그램 및 수준에 해당하며, 특정 요구에 따라 유연하게 채택하거나 여러 보안 조치를 동시에 사용하여 여러 수준의 보안을 구현할 수 있습니다.
(2) 데이터 흐름 암호화
네트워크 보안을 위해 고려할 수 있는 방법 중 하나는 전송된 데이터를 암호화하는 것입니다. 현재 널리 사용되는 키 암호화 알고리즘은 주로 DES 와 RSA 입니다. 실제 상황에 따라 네트워크의 라우터 쌍을 피어로 선택하여 일부 데이터를 암호화/해독할 수 있습니다.
매우 중요한 데이터의 경우 RSA 알고리즘을 사용하여 데이터를 암호화할 수 있습니다. RSA 는 공개 키 알고리즘에 속하며, 각 사람은 공개 키와 개인 키라는 두 개의 키를 가지고 있습니다. 효율성을 높이기 위해 우리는 RSA 와 DES 를 결합했다.
암호화할 때 시스템은 임의로 DES 키를 선택하여 DES 알고리즘을 사용하여 원본 정보를 암호화합니다. 그런 다음 공개 키로 DES 키를 암호화합니다. DES 로 암호화된 정보와 RSA 로 암호화된 DES 키를 결합하여 암호문을 형성합니다.
암호 해독할 때 개인 키에 따라 DES 키를 암호 해독합니다. 그런 다음 DES 키를 사용하여 DES 암호화 정보를 해독하여 최종 암호 해독 정보를 얻습니다.
데이터 암호화 및 데이터 암호 해독 프로세스는 그림과 같습니다.
이 경우 메시지의 제어 정보 섹션 (예: 소스 및 대상 노드 주소, 라우팅 정보 등) 입니다. ) 암호화할 수 없습니다. 그렇지 않으면 중간 노드가 경로를 제대로 선택할 수 없습니다. 각 노드는 다른 노드와 동일한 키를 보유해야 하므로 네트워크 전체에서 키 배포 및 키 관리가 필요합니다.
데이터 암호화 전송 후의 다이어그램은 다음과 같습니다.
정보 시스템 엔지니어링에는 민감한 데이터가 있을 수 있습니다. 필요한 경우 데이터를 암호화하고 전송할 수 있습니다. Cisco 라우터는 데이터 암호화 전송을 지원하며 특수 IPSEC 암호화 소프트웨어를 사용하여 장치의 전반적인 보안 성능을 향상시킬 수 있습니다.
(3) 액세스 제어
분명히 암호화만 사용해도 모든 문제가 해결되지는 않습니다. 동적 어댑티브 라우팅이 있는 네트워크의 경우 공격자가 제어하는 노드를 관리하여 라우팅을 변경할 수 있습니다. 이로 인해 대량의 정보가 유출되거나 네트워크가 마비될 수 있습니다.
Dell 은 사용자가 네트워크 노드에 로그인할 때 사용자의 ID 및 권한 확인과 같은 초기 보안 제어를 수행할 수 있습니다. Dell 이 채택한 구체적인 방법에 따라 이러한 보안 제어는 중앙 집중식 보안 제어 모드와 분산 보안 제어 모드로 나눌 수 있습니다.
중앙 집중식 보안 제어 모드의 다이어그램은 다음과 같습니다.
이 경우 네트워크의 어떤 노드에도 로그인을 시도하면 먼저 전용 보안 서버의 승인을 받아 네트워크의 노드 보안을 보장해야 합니다. 서버의 안정성 등을 고려하여 기본 보안 서버에 장애가 발생할 경우 유지 관리 담당자가 네트워크 노드에 정상적으로 로그인할 수 있도록 백업 보안 서버를 구성할 수 있습니다.
네트워크의 모든 Cisco 장치는 구성된 네트워크 관리 소프트웨어를 통해 이러한 방식으로 관리할 수 있습니다.
(4) 데이터 흐름 필터링
백본 네트워크를 통해 흐르는 데이터 스트림을 필터링하여 네트워크 보안을 더욱 강화할 수 있습니다. 필터링 계층에 따라 MAC 주소 기반 데이터 흐름 필터링, 네트워크 계층 기반 데이터 흐름 필터링, 상위 레벨 기반 데이터 흐름 필터링의 세 가지 범주로 나눌 수 있습니다.
예를 들어, IP 트래픽 기반 보안 제어를 구현하는 방법은 무엇입니까? 먼저 IP 패킷 형식을 살펴 보겠습니다.
버전, 헤더 길이, 서비스 유형, 총 길이
표식기, 기호, 세그먼트 간격띄우기
수명, 프로토콜, 헤더 체크섬
소스 스테이션 IP 주소
대상 IP 주소
선택 필드입니다
전송 계층 데이터
.....
패킷의 네 번째와 다섯 번째 바이트는 각각 소스 스테이션의 IP 주소와 대상 스테이션의 IP 주소입니다. 소스 IP 주소를 필터링하여 IP 트래픽을 제한합니다.
또 다른 보안 제어 메커니즘은 MAC 주소를 기반으로 합니다. 우리 네트워크에서는 모든 사용자가 라우팅 모듈에 직접 연결된 것은 아니므로 네트워크의 데이터 흐름이 하위 수준으로 제한되지 않으면 사용자가 다른 호스트의 IP 주소를 위조하여 네트워크에 불법적으로 액세스할 수 있습니다. 스위치에서 소스 MAC 주소 기반 데이터 흐름 필터링 기능이 지원되므로 제한된 수의 확인 합법적인 호스트만 네트워크에 액세스할 수 있습니다.
(5) LAN 보안
기업사업 단위의 네트워크 시스템이 건설된 후, 모든 컴퓨터 설비는 일반적으로 내부 LAN 에 있다. LAN 의 데이터를 공격으로부터 보호하기 위해서는 VLAN 기술을 사용하여 LAN 을 계획하고, 부서와 어플리케이션의 기능에 따라 서로 다른 VLAN 을 분할하여 부서나 애플리케이션을 효과적으로 격리하는 것이 좋습니다. VLANs 는 네트워크 센터의 다중 계층 스위치에 의해 라우팅 및 전달됩니다.
VLAN 기술 외에도 방화벽을 사용하여 인트라넷을 외부 네트워크에서 격리하고 인트라넷에 대한 효과적인 액세스 제어를 구현하여 중앙 내부 데이터 네트워크가 별도의 애플리케이션 데이터 네트워크 보안 시스템을 형성할 수 있도록 해야 합니다.
(6) 광역 네트워크 보안
광역 네트워크는 광범위하고, 연결 사용자가 많으며, 광대역 LAN, 전화 접속, DDN 전용 회선, 프레임 릴레이 등과 같은 다양한 네트워킹 방식을 갖추고 있습니다. 네트워크 보안 고려 사항은 비교적 복잡하며 "회선 보안, 데이터 흐름 보안 등" 을 포함합니다. 。 위의 요소에 따라 회선 암호화 방법이 설계되었습니다. 위의 예를 들어, 액세스 측 라우팅 정책은 정적 라우팅을 사용하며 NAT 주소 변환, 라우터에 암호화 채널 추가, 암호화된 데이터 스트림을 사용하여 전송하면 네트워크 데이터 전송의 보안을 보장할 수 있습니다. 보안, 인증, 동적 백업을 위해 중앙의 라우터에서 정적 라우팅과 부동 정적 라우팅이 결합되는 방식을 구성합니다.
끝말
정보 시스템의 보안은 동적 문제입니다. 보안 요구 사항과 이벤트를 동시에 관리하는 방법, 보안 요구 사항의 변화에 대한 보안 정책을 적시에 개발하는 방법, 지식 곡선의 가장 높은 지점에 머무는 방법, 정보 시스템 보안의 문을 파악하는 방법, 차세대 시스템 관리자가 직면한 과제가 될 것입니다.