计算机网络的逻辑安全包括哪些方面
计算机网络的逻辑安全包括以下方面:
用户身份认证:身份证明是所有安全系统不可或缺的一个组件。它是区别授权用户和入侵者的唯一方法。为了实现对信息资源的保护,并知道何人试图获取网络资源的访问权,任何网络资源拥有者都必须对用户进行身份认证。当使用某些更尖端的通信方式时,身份认证特别重要。
访问控制:访问控制是制约用户连接特定网络、计算机与应用程序,获取特定类型数据流量的能力。访问控制系统一般针对网络资源进行安全控制区域划分,实施区域防御的策略。在区域的物理边界或逻辑边界使用一个许可或拒绝访问的集中控制点。
加密:即使访问控制和身份验证系统完全有效,在数据信息通过网络传送时,企业仍可能面临被窃听的风险。事实上,低成本和连接的简便性已使Internet成为企业内和企业间通信的一个极为诱人的媒介。同时,无线网络的广泛使用也在进一步加大网络数据被窃听的风险。加密技术用于针对窃听提供保护。它通过使信息只能被具有解密数据所需密钥的人员读取来提供信息的安全保护。它与第三方是否通过Internet截取数据包无关,因为数据即使在网络上被第三方截取,它也无法获取信息的本义。这种方法可在整个企业网络中使用,包括在企业内部(内部网)、企业之间(外部网)或通过公共Internet在虚拟专用网络(VPN)中传送私人数据。
安全管理:安全系统应当允许由授权人进行监视和控制。使用验证的任何系统都需要某种集中授权来验证这些身份,而无论它是UNIX主机、Windows NT域控制器还是Novell Directory Services(NDS)服务器上的/etc/passwd文件。由于能够查看历史记录,如突破防火墙的多次失败尝试,安全系统可以为那些负责保护信息资源的人员提供宝贵的信息。一些更新的安全规范,如IPSec,需要包含策略规则数据库。要使系统正确运行,就必须管理所有这些要素。但是,管理控制台本身也是安全系统的另一个潜在故障点。因此,必须确保这些系统在物理上得到安全保护,并确保对管理控制台的任何登录进行验证。