部分从各类网络攻击的统计频次,按照发生频率和损失大小自上而下分别是网页防篡改模块、防病毒服务、系统软件升级服务、漏洞自动扫描报警服务、防DDoS(Distributed Denial of Service, 分布式拒绝服务)攻击等。主要防范方式有:Р路由器技术。路由器是一种多端口设备,它按照协议和网络信息负责数据帧的转发。路由器位于一个或多个网段的交界处,一般工作在网络层和传输层。在网络层,当路由器遇到一个IP包时,它便检查IP包中的目的IP地址,并与路由选择表中的项目进行比较。如果匹配,路由器则依照表中的指示转发IP包,如果不匹配,并且没有缺省的路由选择,IP包便被滤掉。在传输层,路由器利用TCP报头中的源端口号、目的端口号和TCP标志(如SYN和ACK标志)进行包过滤。路由器可以阻塞广播信息和不知名地址的传输,达到保护内部安全的目的。Р防火墙技术。防火墙位于开放的、不安全的公共网与内部局域网之间,用于实现两个网络之间的访问控制和安全策略。防火墙技术一般分为包过滤、应用网关、代理服务器、电路层网关和自适应代理等几类。Р入侵测试系统。可装在每台机器上进行实时监测,不但能监测来自外部的入侵,也能监测来自内部的入侵,并能进行报警,弥补了现有防火墙的许多缺陷。Р2.2.2. 统一认证体系。Р统一认证体系包含身份认证集成接口、SSO(Single Sign-on, 单点登录)接口以及基于行业用户和会员服务的Passport认证服务。分别完成与第三方信息交互、用户身份控制、用户身份识别、用户自身安全保证等功能。为保证信息传送的完整性及真实性,还将引入基于公钥体制的数字签名。Р2.2.3. 审计体系Р审计系统在不修改原系统软件或硬件的基础上,引入了稳定可靠的身份认证机制,并以此实现恰当的集中管理和权限管理。该机制作为整个系统的重要组成部分,与访问控制及审计一起大大加强原系统的安全强度。
全文预览
