Con el rápido desarrollo de Internet, la seguridad de la red se ha convertido gradualmente en un problema potencialmente enorme. La ciberseguridad es una cuestión de amplio alcance que también implica si constituye un acto delictivo. En su forma más simple, se ocupa principalmente de garantizar que personas no relacionadas no puedan leer, y mucho menos modificar, la información transmitida a otros destinatarios. En este punto, está enfocado a personas que no tienen acceso a él, pero que intentan acceder a servicios remotos. La seguridad también se ocupa de la interceptación y reproducción de mensajes legítimos y de si el remitente alguna vez envió el mensaje.
La mayoría de los problemas de seguridad son causados intencionalmente por personas malintencionadas con el fin de obtener algunos beneficios o dañar a algunas personas. Se puede observar que garantizar la seguridad de la red es más que simplemente liberarla de errores de programación. Incluyendo protegerse de personas inteligentes, a menudo astutas, profesionales y ricas en tiempo y dinero. Al mismo tiempo, debemos ser conscientes de que los métodos que pueden detener a los enemigos que inadvertidamente causan destrucción tendrán poco efecto en los veteranos que están acostumbrados a cometer crímenes.
La seguridad de la red se puede dividir a grandes rasgos en cuatro partes entrelazadas: confidencialidad, autenticación, anti-denegación y control de integridad. La confidencialidad consiste en proteger la información del acceso no autorizado y es lo más común en lo que la gente piensa cuando piensa en ciberseguridad. La autenticación se refiere principalmente a confirmar la identidad de la otra parte antes de revelar información confidencial o realizar transacciones. El antirepudio se refiere principalmente a las firmas. La privacidad y la integridad se logran mediante el uso de correo certificado y bloqueos de archivos.
2 objetivos del plan
Este plan considera principalmente el nivel de red y diseña el sistema de red como una red segura que admite usuarios o grupos de usuarios en todos los niveles. Esta red no solo garantiza la seguridad de la red interna del sistema, sino que también realiza una interconexión segura con Internet u otras redes domésticas. Esta solución puede garantizar la seguridad de la red y satisfacer las necesidades de varios usuarios, como la privacidad de las llamadas personales y la seguridad de los sistemas informáticos de los clientes corporativos. No se accederá ni destruirá ilegalmente la base de datos, y el sistema no será invadido por virus. Al mismo tiempo, también puede impedir la difusión de información dañina, como obscenidades reaccionarias, en Internet.
Lo que hay que dejar claro es que la tecnología de seguridad no puede prevenir todas las intrusiones y daños a la red; su función es sólo maximizar la prevención y minimizar las pérdidas después de que se produzcan las intrusiones y los daños. Específicamente, las funciones principales de la tecnología de seguridad de la red son las siguientes:
1. Adoptar métodos de defensa multicapa para minimizar la probabilidad de intrusión y destrucción;
2. Uso ilegal y puntos de entrada iniciales ilegales, y verificar y rastrear las actividades de los intrusos;
3. Proporcionar métodos para recuperar datos y sistemas dañados y minimizar las pérdidas; detectar intrusos.
La tecnología de seguridad de la red es la base de la gestión de la seguridad. En los últimos años, la tecnología de seguridad de redes se ha desarrollado rápidamente y ha producido contenidos teóricos y prácticos muy ricos.
3 Requisitos de seguridad
A través del análisis de riesgos del sistema de red y los problemas de seguridad que deben resolverse, es necesario formular estrategias y planes de seguridad razonables para garantizar la confidencialidad. e integridad del sistema de red, disponibilidad, controlabilidad y auditabilidad. Es decir,
Disponibilidad: Las entidades autorizadas pueden acceder a los datos.
Confidencialidad: La información no será expuesta a entidades o procesos no autorizados.
Integridad: Garantizar que los datos no serán modificados sin autorización.
Controlabilidad: Controlar el flujo de información y los métodos de operación dentro del alcance de la autorización.
Auditabilidad: Proporcionar bases y medios para los problemas de seguridad que surjan.
Control de acceso: la red interna debe estar aislada de la red externa que no es de confianza a través de un firewall. La red interna y los hosts que intercambian datos con la red externa y los datos intercambiados deben estar estrictamente controlados. De manera similar, para las redes internas, debido a los diferentes servicios de aplicaciones y diferentes niveles de seguridad, también es necesario utilizar firewalls para aislar diferentes LAN o segmentos de red para lograr un control de acceso mutuo.
Cifrado de datos: el cifrado de datos es un medio eficaz para evitar el robo ilegal y la manipulación de la información durante la transmisión y el almacenamiento de datos.
La auditoría de seguridad es uno de los medios importantes para identificar y prevenir ataques a la red y rastrear las vulnerabilidades de la red. Específicamente, incluye dos aspectos: primero, el uso de sistemas de monitoreo de red y prevención de intrusiones para identificar diversas operaciones y ataques ilegales en la red, responder de inmediato (como alarmas) y bloquearlos; segundo, la auditoría del contenido de la información puede prevenirlos internamente; confidencialidad o divulgación ilegal de información sensible.
4 Análisis de Riesgos
La seguridad de la red es un requisito previo para el funcionamiento normal de la red. La seguridad de la red no es solo un punto único de seguridad, sino la seguridad de toda la red de información, que requiere protección tridimensional desde aspectos físicos, de red, de sistemas, de aplicaciones, de administración y otros. Para saber cómo proteger, primero hay que saber de dónde vienen los riesgos de seguridad. El sistema de seguridad de la red debe incluir tecnología y gestión, cubriendo múltiples categorías de riesgo en la capa física, la capa del sistema, la capa de red, la capa de aplicación y la capa de gestión. No importa qué nivel de medidas de seguridad no se implementen, habrá grandes riesgos de seguridad y pueden causar interrupciones en la red. Con base en la estructura de la red y la aplicación de los sistemas de red domésticos, se realiza un análisis integral de aspectos como la seguridad de la red, la seguridad del sistema, la seguridad de las aplicaciones y la seguridad de la gestión.
El análisis de riesgos es una función importante que la tecnología de seguridad de red debe proporcionar. Debe detectar continuamente mensajes y eventos en la red y analizar los riesgos de intrusión y daño al sistema. El análisis de riesgos debe incluir todos los componentes relevantes de la red.
5 Soluciones
5.1 Principios de diseño
En vista de la situación actual de los sistemas de red, existe una necesidad urgente de resolver los problemas de seguridad de la red. Teniendo en cuenta la dificultad técnica y los fondos, el diseño debe seguir las siguientes ideas:
1. Mejorar en gran medida la seguridad y la confidencialidad del sistema.
2. red, es decir, tiene buena transparencia para los protocolos y la transmisión de la red;
3. Es fácil de operar y mantener, facilita la gestión automatizada y no agrega ni reduce operaciones adicionales;
4. Trate de no afectar la topología de red original también facilita la expansión del sistema y las funciones del sistema;
5. El sistema de seguridad es rentable y se puede utilizar durante mucho tiempo con uno. -inversión de tiempo;
6. Los productos de seguridad y contraseñas son legales y han sido reconocidos o certificados por los departamentos de gestión nacionales pertinentes;
7. Principio de implementación paso a paso: jerárquico. La gestión se implementa paso a paso.
5.2 Política de seguridad
En vista del análisis anterior, adoptamos la siguiente política de seguridad:
1. Utilizar tecnología de escaneo de vulnerabilidades para realizar evaluaciones de riesgos importantes. equipos de red para garantizar que los sistemas de información funcionen en las mejores condiciones posibles.
2. Utilice diversas tecnologías de seguridad para construir un sistema de defensa, que incluyen principalmente:
(1) Tecnología de firewall: en la interfaz externa de la red, la tecnología de firewall se utiliza para controlar el acceso. en la capa de red.
(2) Tecnología NAT: Oculta información de la red interna.
(3) VPN: Red Privada Virtual (VPN) es una extensión de la red corporativa en redes públicas * * como Internet. Crea una conexión privada segura en la red * * * pública a través de una. canal privado. Conecta usuarios remotos, sucursales de la empresa, socios comerciales de la empresa, etc. Forme una red empresarial corporativa extendida con la red empresarial de la empresa a través de un canal de datos seguro. Los hosts de esta red desconocen la existencia de la red pública, como si todas las máquinas estuvieran en una red. La red pública parece ser exclusiva de esta red, pero no lo es.
(4) Tecnología de cifrado de red (IPsec): utilice tecnología de cifrado de red para cifrar y encapsular paquetes IP transmitidos en la red pública para lograr la confidencialidad e integridad de la transmisión de datos. Puede resolver el problema de seguridad de la transmisión de datos de la red en la red pública y el problema de seguridad de los usuarios remotos que acceden a la intranet.
(5) Autenticación: proporciona autenticación basada en identidad y se puede utilizar para varios mecanismos de autenticación.
(6) Sistema antivirus de nivel empresarial multinivel y multinivel: utilice un sistema antivirus de nivel empresarial multinivel y multinivel para lograr una protección integral contra virus.
(7) Monitoreo de red en tiempo real: utilice un sistema de detección de intrusiones para monitorear y advertir a los hosts y redes para mejorar aún más la capacidad de la red para resistir ataques externos.
3. Respuesta y recuperación en tiempo real: Desarrollar y mejorar sistemas de gestión de seguridad para mejorar las capacidades de respuesta y recuperación en tiempo real ante ataques a la red.
4. Establecer centros de gestión jerárquica y de gestión de la seguridad a todos los niveles.
Sistema de Defensa 5.3
Utilizamos tecnología firewall, tecnología NAT, tecnología VPN, tecnología de cifrado de red (Ipsec), tecnología de autenticación de identidad, sistema antivirus multinivel y tecnología de detección de intrusos. para formar un sistema de defensa de seguridad de la red.
5.3.1 Seguridad Física
La seguridad física es la protección de los equipos, instalaciones y otros medios de redes informáticas contra accidentes ambientales como terremotos, inundaciones, incendios, así como errores humanos o errores y varios El proceso de daño causado por delitos informáticos.
Para garantizar la seguridad física del sistema de red de información, también es necesario evitar la propagación de la información del sistema en el espacio. Generalmente se toman algunas medidas de protección física para reducir o interferir con la propagación de señales espaciales. Ésta es la condición principal para que los gobiernos, las instituciones militares y financieras establezcan centros de información.
Para garantizar el funcionamiento normal de la red, se deben tomar las siguientes medidas en términos de seguridad física:
1. Garantía del producto: se refiere principalmente a las medidas de seguridad en la adquisición de productos. , transporte e instalación.
2. Seguridad operativa: Los equipos de la red, especialmente los productos de seguridad, deben poder recibir servicios rápidos de soporte técnico de los fabricantes o proveedores durante su uso. Para algunos equipos y sistemas críticos, se debe configurar un sistema de respaldo.
3. Radiación antielectromagnética: todos los equipos confidenciales importantes deben estar equipados con productos antiradiación electromagnética, como bloqueadores de radiación.
4. Seguridad: principalmente antirrobo, prevención de incendios, etc. , incluida la protección de seguridad de todos los dispositivos de red, computadoras y dispositivos de seguridad en el sistema de red.
5.3.2 Tecnología de firewall
El firewall es un método de seguridad de la red y una medida de control de acceso implementada en el proceso de comunicación de la red. Su objetivo principal es prevenir la red que necesita ser protegida de interferencias y daños por factores externos controlando el acceso hacia y desde la red y obligando a todas las conexiones a someterse a esta inspección. Lógicamente; un firewall es un separador; limitador y analizador que monitorea efectivamente cualquier actividad entre la red interna e Internet y garantiza la seguridad de la red interna. En la implementación física, un firewall es un conjunto de dispositivos de hardware: enrutadores, computadoras u otros dispositivos de hardware especiales, que se encuentran en ubicaciones específicas de la red. El firewall puede ser un sistema independiente o puede estar conectado a la red en el enrutador. Cuando se utiliza un firewall para lograr la seguridad de la red, se debe considerar la topología de la red del firewall;
(1) Enrutador de protección: también conocido como firewall de filtrado de paquetes.
(2) Host de doble puerto: el host de doble puerto es una alternativa a la puerta de enlace de filtrado de paquetes.
(3) Estructura de filtrado de host: esta estructura es en realidad una combinación de filtrado de paquetes y proxy.
(4) Estructura de subred blindada: este tipo de firewall es una variación del host de doble orificio y del host blindado.
Según las diferentes tecnologías utilizadas por los firewalls, podemos dividirlas en cuatro tipos básicos: filtrado de paquetes, traducción de direcciones de red-NAT, proxy y monitorización.
5.3.2.1 Tipo de filtrado de paquetes
El producto de filtrado de paquetes es el producto principal del firewall y su base técnica es la tecnología de transmisión de paquetes de datos en la red. Los datos en la red se transmiten en forma de paquetes. Los datos se dividen en paquetes de un cierto tamaño. Cada paquete contiene información específica, como la dirección de origen, la dirección de destino, el puerto de origen TCP/UDP, el puerto de destino, etc. de los datos. El firewall puede determinar si estos "paquetes de datos" provienen de un sitio seguro y confiable leyendo la información de la dirección en los paquetes de datos. Una vez que se descubren paquetes de sitios peligrosos, el firewall rechazará los datos. Los administradores del sistema también pueden formular de manera flexible reglas de juicio basadas en condiciones reales. La ventaja de la tecnología de filtrado de paquetes es que es sencilla y práctica y tiene un bajo coste de implementación. Cuando el entorno de la aplicación es simple, la seguridad del sistema se puede garantizar hasta cierto punto a un costo relativamente bajo. Sin embargo, las deficiencias de la tecnología de filtrado de paquetes también son obvias. La tecnología de filtrado de paquetes es una tecnología de seguridad basada completamente en la capa de red. Solo se puede juzgar en función del origen, el propósito, el puerto y otra información de red del paquete de datos. No puede identificar intrusiones maliciosas basadas en la capa de aplicación. Los subprogramas de Java y los virus adjuntos a los correos electrónicos esperan. Los piratas informáticos experimentados pueden falsificar fácilmente direcciones IP y engañar a los cortafuegos de filtrado de paquetes.
5.3.2.2 Traducción de direcciones de red
La traducción de direcciones de red es un estándar para convertir direcciones IP en direcciones IP temporales, externas y registradas. Permite que una red interna con una dirección IP privada acceda a Internet. Esto también significa que los usuarios no pueden obtener la dirección IP registrada de cada máquina en su red. Cuando la red interna accede a la red externa a través de la tarjeta de red segura, se generará un registro de mapeo. El sistema asigna la dirección de origen saliente y el puerto de origen a una dirección y un puerto disfrazados, y conecta la dirección y el puerto disfrazados a la red externa a través de una tarjeta de red no segura, ocultando así la dirección de red interna real del exterior. Cuando la red externa accede a la red interna a través de una tarjeta de red no segura, no conoce la conexión a la red interna y solo solicita acceso a través de la dirección IP y el puerto abiertos. El firewall OLM determina si el acceso es seguro según reglas de mapeo predefinidas.
Cuando se cumplen las reglas, el firewall considera que el acceso es seguro y puede aceptar la solicitud de acceso o asignar la solicitud de conexión a una computadora interna diferente. Cuando no se cumplen las reglas, el firewall considera el acceso inseguro e inaceptable y bloquea las solicitudes de conexión externa. El proceso de traducción de direcciones de red es transparente para los usuarios. Los usuarios no necesitan configurarlo y solo deben realizar operaciones regulares.
5.3.2.3 Tipo de proxy
Un firewall proxy también puede denominarse servidor proxy. Su seguridad es mayor que la de los productos de filtrado de paquetes y ha comenzado a desarrollarse hacia la aplicación. capa. El servidor proxy está ubicado entre el cliente y el servidor, bloqueando completamente el intercambio de datos entre ambos. Desde la perspectiva del cliente, el servidor proxy es equivalente a un servidor real; desde la perspectiva del servidor, el servidor proxy es un cliente real. Cuando el cliente necesita usar datos en el servidor, primero envía una solicitud de datos al servidor proxy, y luego el servidor proxy solicita datos del servidor de acuerdo con esta solicitud, y luego el servidor proxy transmite los datos al cliente. Dado que no existe un canal de datos directo entre el sistema externo y el servidor interno, es difícil que una infracción maliciosa externa cause daño al sistema de red interno de la empresa. La ventaja del firewall proxy es que tiene alta seguridad, puede detectar y escanear la capa de aplicación y es muy eficaz contra intrusiones y virus basados en la capa de aplicación. Su desventaja es que tiene un gran impacto en el rendimiento general del sistema. Los servidores proxy deben configurarse para todos los tipos de aplicaciones que pueda generar el cliente, lo que aumenta enormemente la complejidad de la gestión del sistema.
5.3.2.4 Tipos de monitoreo
Los firewalls de monitoreo son una nueva generación de productos y, de hecho, esta tecnología ha superado la definición original de firewall. Los firewalls de monitoreo pueden monitorear proactivamente los datos en todos los niveles en tiempo real. Según el análisis de estos datos, el monitoreo de los firewalls puede determinar efectivamente las intrusiones ilegales en cada capa. Al mismo tiempo, estos productos de firewall de detección generalmente tienen detectores distribuidos instalados en varios servidores de aplicaciones y otros nodos de la red. No sólo pueden detectar ataques desde fuera de la red, sino que también tienen un fuerte efecto preventivo contra daños maliciosos desde dentro. Según estadísticas de organizaciones autorizadas, una proporción considerable de los ataques contra sistemas de red se producen desde dentro de la red. Por lo tanto, los firewalls de monitoreo no solo superan la definición de firewalls tradicionales, sino que también superan a las dos generaciones anteriores de productos en términos de seguridad. Aunque los firewalls de monitoreo han superado a los firewalls de filtrado de paquetes y los firewalls de servidores proxy en términos de seguridad, en el uso real, la tecnología de firewall de monitoreo sigue siendo un producto proxy de segunda generación, pero también ha comenzado a usarse en algunos aspectos. Con base en una consideración integral del costo del sistema y el costo de la tecnología de seguridad, los usuarios pueden utilizar selectivamente algunas tecnologías de monitoreo. Esto no solo puede garantizar los requisitos de seguridad del sistema de red, sino también controlar eficazmente el costo total de propiedad del sistema de seguridad. De hecho, como tendencia generalizada en los productos de firewall, la mayoría de los servidores proxy (también llamados puertas de enlace de aplicaciones) también integran tecnología de filtrado de paquetes. La aplicación mixta de estas dos tecnologías obviamente tiene mayores ventajas que el uso único. Dado que el producto está basado en aplicaciones, las puertas de enlace de aplicaciones pueden proporcionar filtrado de protocolos. Por ejemplo, los comandos PUT en conexiones FTP se pueden filtrar a través de aplicaciones proxy, las puertas de enlace de aplicaciones pueden evitar eficazmente la fuga de información en la intranet. Es precisamente debido a estas características de las puertas de enlace de aplicaciones que las contradicciones en el proceso de solicitud se centran principalmente en el soporte efectivo de varios protocolos de aplicaciones de red y el impacto en el rendimiento general de la red.
Relevancia: tesis de graduación, tesis de graduación gratuita, tesis de graduación universitaria, plantilla de tesis de graduación
Tecnología de red privada virtual
La seguridad de VPN se realiza principalmente a través de tecnología de firewall , se implementan enrutadores con tecnología de túnel, protocolos de cifrado y claves de seguridad para garantizar que los empleados accedan de forma segura a la red de la empresa.
VPN tiene tres soluciones:
(1) Si los empleados dentro de la empresa son móviles o necesitan trabajar de forma remota, o los comerciantes desean brindar servicios de acceso seguro B2C, puede considerar usar acceso VPN.
AccessVPN proporciona acceso remoto a la intranet o extranet de una empresa a través de una infraestructura compartida con las mismas políticas que una red privada. AccessVPN permite a los usuarios acceder a recursos corporativos en cualquier momento, en cualquier lugar y como quieran. Es más adecuado para empresas que suelen tener trabajadores móviles que trabajan de forma remota. Los empleados en viajes de negocios pueden utilizar el servicio VPN proporcionado por el ISP local para establecer una conexión de túnel dedicada con la puerta de enlace VPN de la empresa.
(2) Si desea interconectar sucursales dentro de la empresa, utilizar una VPN de intranet es un buen método. Cada vez más empresas necesitan establecer diversas oficinas, sucursales, institutos de investigación, etc. En todo el país y en todo el mundo.
El método tradicional de conexión de red entre sucursales es generalmente el arrendamiento de líneas. Obviamente, cuando aumenta el número de sucursales y el alcance del negocio se vuelve cada vez más amplio, la estructura de la red se vuelve más compleja, por lo que el costo también aumenta. Con la función VPN, puede establecer una VPN de intranet global en Internet. Las líneas de Internet se utilizan para garantizar la interconexión de la red, y los túneles VPN, el cifrado y otras funciones pueden garantizar la transmisión segura de información a través de toda la VPN de Internet.
(3) Si proporciona servicios de acceso seguro entre B2B, puede considerar una VPN externa.
La tecnología VPN se puede utilizar para establecer una red externa segura. No sólo puede proporcionar a clientes y socios servicios de información eficaces, sino también garantizar la seguridad de su propia red interna. Extranet VPN conecta a clientes, proveedores, socios o grupos de interés a la intranet a través de una infraestructura dedicada. Las empresas tienen las mismas políticas para las redes privadas, incluida la seguridad, la calidad de servicio (QoS), la capacidad de administración y la confiabilidad.
Tecnología de cifrado de red (Ipsec)
La capa IP es la capa más crítica en la red TCP/IP. Como protocolo de capa de red, el mecanismo de seguridad de IP puede proporcionar protección de seguridad de cobertura transparente para diversos servicios de aplicaciones en su capa superior. Por lo tanto, la seguridad IP es la base de toda la seguridad TCP/IP y el núcleo de la seguridad de la red. Las funciones o servicios de seguridad proporcionados por IPSec incluyen principalmente:
1. Control de acceso
2. Sin integridad de la conexión
3.
4. Resistencia a los ataques de repetición
5. Confidencialidad
6. Confidencialidad limitada del flujo de datos
La tecnología de cifrado de intercambio de información se divide en dos categorías: Cifrado simétrico y cifrado asimétrico.
Tecnología de cifrado simétrico
En la tecnología de cifrado simétrico, se utiliza la misma clave para cifrar y descifrar la información, es decir, una clave abre un candado. Este método de cifrado puede simplificar el proceso de cifrado y ambas partes del intercambio de información no necesitan estudiar e intercambiar algoritmos de cifrado especiales entre sí. Si la clave privada no se ve comprometida durante la fase de intercambio, se garantiza la confidencialidad y la integridad del mensaje. La tecnología de cifrado simétrico también tiene algunas desventajas. Si una parte tiene n objetos de intercambio, entonces debe mantener n claves privadas. Otro problema con el cifrado simétrico es que ambas partes comparten una clave privada y cualquier información de ambas partes se cifra con esta clave y luego se transmite a la otra parte. Por ejemplo, triple DES es una variante de DES (Estándar de cifrado de datos). Este método utiliza dos claves independientes de 56 bits para cifrar la información tres veces, lo que hace que la longitud efectiva de la clave sea de hasta 112 bits.
5.3.4.2 Cifrado asimétrico/cifrado de clave pública
En un sistema de cifrado asimétrico, la clave se divide en un par (es decir, clave pública y clave privada). Cualquiera de las claves del par se puede revelar a otros de manera no confidencial como clave pública (clave de cifrado), mientras que la otra clave se puede conservar como clave privada (clave de descifrado). La clave pública se utiliza para cifrar y la clave privada para descifrar. La clave privada está únicamente en manos de la parte intercambiadora que generó la clave. Una clave pública puede distribuirse ampliamente, pero solo corresponde a la parte intercambiadora que generó la clave. El cifrado asimétrico puede establecer una comunicación segura sin intercambiar claves por adelantado y se utiliza ampliamente en campos de intercambio de información como la autenticación de identidad y las firmas digitales. Los sistemas de cifrado asimétrico generalmente se basan en algunos problemas matemáticos conocidos, lo cual es un resultado inevitable del desarrollo de la teoría de la complejidad informática. El más representativo es el sistema de criptografía de clave pública RSA.
5.3.4.3 Algoritmo RSA
El algoritmo RSA es el primer sistema de criptografía de clave pública perfecta propuesto por Rivest, Shamir y Adleman en 1977. Su seguridad se basa en la descomposición de números enteros grandes de dificultad. En el sistema RSA se utiliza el hecho básico: hasta el momento, no se ha encontrado ningún algoritmo eficiente para factorizar el producto de dos números primos. La descripción del algoritmo RSA es la siguiente: Clave pública: n=pq (p y Q son dos números primos grandes diferentes, P y Q deben mantenerse en secreto) y clave privada: d = E-1 (P-1) son relativamente primo. Descifrado: m = cd (mod n) Utilizando el conocimiento y la teoría que domina actualmente, la descomposición de números enteros de 2048 bits ha excedido la potencia de cálculo de una computadora de 64 bits, por lo que es lo suficientemente segura en la actualidad y en el futuro previsible.
Autenticación
En un entorno más abierto, admitir conexiones a otros sistemas a través de la red requiere que "los usuarios demuestren su identidad al llamar a cada servicio, y estos servidores también deben demostrar su identidad". ." Protege la información del usuario y los recursos ubicados en el servidor.
5.3.5.1 Autoridad de Certificación
CA (Autor de Certificación) es una entidad autorizada que garantiza la confianza. Su principal responsabilidad es emitir certificados y verificar la autenticidad de las identidades de los usuarios. Certificado de identidad electrónico de usuario de red emitido por CA. Cualquiera que confíe en la CA, según el principio de confianza en terceros, también debe confiar en el usuario que posee el certificado. La CA también debería tomar una serie de medidas correspondientes para evitar que los certificados electrónicos sean falsificados o manipulados. Es muy importante establecer una CA con una seguridad sólida. No sólo está relacionado con la criptografía, sino también con el marco y el modelo de todo el sistema PKI. Además, la flexibilidad también es clave para determinar si el mercado puede reconocer a CA. No es necesario que admita varios estándares internacionales comunes y puede ser muy compatible con productos CA de otros fabricantes.
5.3.5.2 Autoridad de registro
Ra (autoría de registro) es la interfaz entre el usuario y la CA. La precisión de la identidad del usuario obtenida por ella es la base para que la CA. emitir certificados. La RA debe admitir no sólo el registro presencial, sino también el registro remoto. Para garantizar la seguridad y flexibilidad de todo el sistema PKI, es necesario diseñar e implementar un sistema RA en red, seguro y fácil de operar.
5.3.5.3 Gestión estratégica
En el sistema PKI, es muy importante formular e implementar una gestión de políticas de seguridad científica. Estas políticas de seguridad deben adaptarse a diferentes necesidades y pueden integrarse en la implementación del sistema de CA y RA a través de la tecnología CA y RA. Al mismo tiempo, estas estrategias deben cumplir con los requisitos de la criptografía y la seguridad del sistema, aplicar científicamente las teorías de la criptografía y la seguridad de la red y tener buena escalabilidad e interoperabilidad.
5.3.5.4 Copia de seguridad y recuperación de claves
Para garantizar la seguridad de los datos, es muy importante actualizar las claves periódicamente y restaurar las claves dañadas accidentalmente. Diseñar e implementar una solución completa de administración de claves para garantizar la copia de seguridad, actualización y recuperación de claves también es un factor importante relacionado con la solidez, seguridad y disponibilidad de todo el sistema PKI.
5.3.5.5 Sistema de gestión y revocación de certificados
El certificado es un medio electrónico utilizado para demostrar la identidad del titular del certificado. Se utiliza para vincular la identidad del titular del certificado y su. clave pública correspondiente. Normalmente, esta vinculación es válida durante toda la vida útil del certificado emitido. Sin embargo, a veces hay situaciones en las que el certificado emitido ya no es válido y requiere la revocación del certificado. Existen varios motivos para la revocación del certificado, que pueden incluir cambios de trabajo, dudas clave, etc. La implementación del sistema de revocación de certificados consiste en utilizar un mecanismo de liberación periódica para revocar certificados o un mecanismo de consulta en línea para consultar certificados revocados en cualquier momento.
5.3.6 Sistema antivirus multinivel y multinivel
Los productos antivirus pueden resistir la intrusión de virus y pequeños programas maliciosos en cada entrada, protegiendo PC y servidores. y ordenadores de la red. Tiene poderosas herramientas de administración que pueden actualizar archivos automáticamente, racionalizar las operaciones de administración y servicio, y pueden usarse para administrar mecanismos de seguridad antivirus en toda la empresa desde el centro de control, optimizar el rendimiento del sistema, resolver y prevenir problemas y proteger a las empresas contra virus. ataques y peligros.
Principios de diseño del sistema antivirus
1. El proceso de implementación de todo el sistema debe ser fluido y estable, y tratar de no afectar el funcionamiento normal del sistema de red existente.
2. El producto antivirus instalado en el sistema de aplicación original debe garantizar su estabilidad y no afectar las funciones de otras aplicaciones. Se debe minimizar el apagado y reinicio de todo el sistema durante el proceso de instalación.
3. El nivel de gestión y la estructura del sistema antivirus deben ser lo más coherentes posible con la propia estructura de gestión de la organización.
4. Las funciones de actualización e implementación del sistema antivirus deben estar completamente automatizadas y todo el sistema debe poder actualizarse diariamente.
5. Debería ser posible gestionar y supervisar de forma centralizada todo el sistema, ¿y poder hacerlo? /cn>;