內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個(gè)主要組成部分�,其安全性也受到越來(lái)越多的重視。據(jù)不完全統(tǒng)計(jì)�,國(guó)外在建設(shè)內(nèi)網(wǎng)時(shí),投資額的15%是用于加強(qiáng)內(nèi)網(wǎng)的網(wǎng)絡(luò)安全�����。在我國(guó)IT市場(chǎng)中��,安全廠商保持著旺盛的增長(zhǎng)勢(shì)頭。運(yùn)營(yíng)商在內(nèi)網(wǎng)安全方面的投資比例不如國(guó)外多��,但依然保持著持續(xù)的增長(zhǎng)態(tài)勢(shì)���。要提高內(nèi)網(wǎng)的安全�,可以使用的方法很多�,本文將就此做一些探討。
采用安全交換機(jī)
由于內(nèi)網(wǎng)的信息傳輸采用廣播技術(shù)�����,數(shù)據(jù)包在廣播域中很容易受到監(jiān)聽(tīng)和截獲�,因此需要使用安全交換機(jī),利用網(wǎng)絡(luò)分段及VLAN的方法從物理上或邏輯上隔離網(wǎng)絡(luò)資源�����,以加強(qiáng)內(nèi)網(wǎng)的安全性�。
操作系統(tǒng)的安全
從終端用戶的程序到服務(wù)器應(yīng)用服務(wù)���、以及網(wǎng)絡(luò)安全的很多技術(shù)���,都是運(yùn)行在操作系統(tǒng)上的����,因此���,保證操作系統(tǒng)的安全是整個(gè)安全系統(tǒng)的根本����。除了不斷增加安全補(bǔ)丁之外���,還需要建立一套對(duì)系統(tǒng)的監(jiān)控系統(tǒng)�����,并建立和實(shí)施有效的用戶口令和訪問(wèn)控制等制度���。
對(duì)重要資料進(jìn)行備份
在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對(duì)用戶的重要性越來(lái)越大,實(shí)際上引起電腦數(shù)據(jù)流失或被損壞�、篡改的因素已經(jīng)遠(yuǎn)超出了可知的病毒或惡意的攻擊,用戶的一次錯(cuò)誤操作�����,系統(tǒng)的一次意外斷電以及其他一些更有針對(duì)性的災(zāi)難可能對(duì)用戶造成的損失比直接的病毒和黑客攻擊還要大�����。
為了維護(hù)企業(yè)內(nèi)網(wǎng)的安全,必須對(duì)重要資料進(jìn)行備份�����,以防止因?yàn)楦鞣N軟硬件故障��、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰���,進(jìn)而蒙受重大損失�����。
對(duì)數(shù)據(jù)的保護(hù)來(lái)說(shuō)��,選擇功能完善�、使用靈活的備份軟件是必不可少的���。目前應(yīng)用中的備份軟件是比較多的,配合各種災(zāi)難恢復(fù)軟件�����,可以較為全面地保護(hù)數(shù)據(jù)的安全。
使用代理網(wǎng)關(guān)
使用代理網(wǎng)關(guān)的好處在于�����,網(wǎng)絡(luò)數(shù)據(jù)包的交換不會(huì)直接在內(nèi)外網(wǎng)絡(luò)之間進(jìn)行�。內(nèi)部計(jì)算機(jī)必須通過(guò)代理網(wǎng)關(guān),進(jìn)而才能訪問(wèn)到Internet ����,這樣操作者便可以比較方便地在代理服務(wù)器上對(duì)網(wǎng)絡(luò)內(nèi)部的計(jì)算機(jī)訪問(wèn)外部網(wǎng)絡(luò)進(jìn)行限制。
在代理服務(wù)器兩端采用不同協(xié)議標(biāo)準(zhǔn)�����,也可以阻止外界非法訪問(wèn)的入侵��。還有�,代理服務(wù)的網(wǎng)關(guān)可對(duì)數(shù)據(jù)封包進(jìn)行驗(yàn)證和對(duì)密碼進(jìn)行確認(rèn)等安全管制。
設(shè)置防火墻
防火墻的選擇應(yīng)該適當(dāng)��,對(duì)于微小型的企業(yè)網(wǎng)絡(luò)��,可從Norton Internet Security �、 PCcillin 、天網(wǎng)個(gè)人防火墻等產(chǎn)品中選擇適合于微小型企業(yè)的個(gè)人防火墻����。
而對(duì)于具有內(nèi)部網(wǎng)絡(luò)的企業(yè)來(lái)說(shuō)�����,則可選擇在路由器上進(jìn)行相關(guān)的設(shè)置或者購(gòu)買更為強(qiáng)大的防火墻產(chǎn)品���。對(duì)于幾乎所有的路由器產(chǎn)品而言,都可以通過(guò)內(nèi)置的防火墻防范部分的攻擊��,而硬件防火墻的應(yīng)用��,可以使安全性得到進(jìn)一步加強(qiáng)���。
信息保密防范
為了保障網(wǎng)絡(luò)的安全�����,也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施�����。以Windows為例,進(jìn)行用戶名登錄注冊(cè)�,設(shè)置登錄密碼���,設(shè)置目錄和文件訪問(wèn)權(quán)限和密碼,以控制用戶只能操作什么樣的目錄和文件�,或設(shè)置用戶級(jí)訪問(wèn)控制,以及通過(guò)主機(jī)訪問(wèn)Internet等���。
同時(shí)���,可以加強(qiáng)對(duì)數(shù)據(jù)庫(kù)信息的保密防護(hù)。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫(kù)兩種����。由于文件組織形式的數(shù)據(jù)缺乏共享性,數(shù)據(jù)庫(kù)現(xiàn)已成為網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的主要形式���。由于操作系統(tǒng)對(duì)數(shù)據(jù)庫(kù)沒(méi)有特殊的保密措施����,而數(shù)據(jù)庫(kù)的數(shù)據(jù)以可讀的形式存儲(chǔ)其中����,所以數(shù)據(jù)庫(kù)的保密也要采取相應(yīng)的方法。電子郵件是企業(yè)傳遞信息的主要途徑,電子郵件的傳遞應(yīng)行加密處理���。針對(duì)計(jì)算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件的泄密渠道�����,如電磁泄露�、非法終端���、搭線竊取����、介質(zhì)的剩磁效應(yīng)等���,也可以采取相應(yīng)的保密措施���。
從攻擊角度入手
目前,計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅有很大一部分來(lái)自拒絕服務(wù)(DoS)攻擊和計(jì)算機(jī)病毒攻擊���。為了保護(hù)網(wǎng)絡(luò)安全�,也可以從這幾個(gè)方面進(jìn)行��。
對(duì)付"拒絕服務(wù)"攻擊有效的方法,是只允許跟整個(gè)Web站臺(tái)有關(guān)的網(wǎng)絡(luò)流量進(jìn)入���,就可以預(yù)防此類的黑客攻擊,尤其對(duì)于ICMP封包�,包括ping指令等,應(yīng)當(dāng)進(jìn)行阻絕處理�。
通過(guò)安裝非法入侵偵測(cè)系統(tǒng),可以提升防火墻的性能����,達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即攔截動(dòng)作以及分析過(guò)濾封包和內(nèi)容的動(dòng)作��,當(dāng)竊取者入侵時(shí)可以立刻有效終止服務(wù)����,以便有效地預(yù)防企業(yè)機(jī)密信息被竊取。同時(shí)應(yīng)限制非法用戶對(duì)網(wǎng)絡(luò)的訪問(wèn)���,規(guī)定具有IP地址的工作站對(duì)本地網(wǎng)絡(luò)設(shè)備的訪問(wèn)權(quán)限��,以防止從外界對(duì)網(wǎng)絡(luò)設(shè)備配置的非法修改�����。
防范計(jì)算機(jī)病毒
從病毒發(fā)展趨勢(shì)來(lái)看�,現(xiàn)在的病毒已經(jīng)由單一傳播、單種行為��,變成依賴互聯(lián)網(wǎng)傳播�,集電子郵件、文件傳染等多種傳播方式�����,融黑客�����、木馬等多種攻擊手段為一身的廣義的"新病毒"�。計(jì)算機(jī)病毒更多的呈現(xiàn)出如下的特點(diǎn):與Internet和Intranet更加緊密地結(jié)合,利用一切可以利用的方式(如郵件��、局域網(wǎng)�、遠(yuǎn)程管理、即時(shí)通信工具等)進(jìn)行傳播��;所有的病毒都具有混合型特征��,集文件傳染���、蠕蟲(chóng)����、木馬、黑客程序的特點(diǎn)于一身���,破壞性大大增強(qiáng);因?yàn)槠鋽U(kuò)散極快���,不再追求隱藏性�����,而更加注重欺騙性�����;利用系統(tǒng)漏洞將成為病毒有力的傳播方式�����。
因此�����,在內(nèi)網(wǎng)考慮防病毒時(shí)選擇產(chǎn)品需要重點(diǎn)考慮以下幾點(diǎn):防殺毒方式需要全面地與互聯(lián)網(wǎng)結(jié)合�����,不僅有傳統(tǒng)的手動(dòng)查殺與文件監(jiān)控�����,還必須對(duì)網(wǎng)絡(luò)層�、郵件客戶端進(jìn)行實(shí)時(shí)監(jiān)控,防止病毒入侵��;產(chǎn)品應(yīng)有完善的在線升級(jí)服務(wù)�,使用戶隨時(shí)擁有最新的防病毒能力;對(duì)病毒經(jīng)常攻擊的應(yīng)用程序提供重點(diǎn)保護(hù)�����;產(chǎn)品廠商應(yīng)具備快速反應(yīng)的病毒檢測(cè)網(wǎng)����,在病毒爆發(fā)的第一時(shí)間即能提供解決方案;廠商能提供完整����、即時(shí)的反病毒咨詢�����,提高用戶的反病毒意識(shí)與警覺(jué)性�,盡快地讓用戶了解到新病毒的特點(diǎn)和解決方案����。
密鑰管理
在現(xiàn)實(shí)中,入侵者攻擊Intranet目標(biāo)的時(shí)候����,90%會(huì)把破譯普通用戶的口令作為第一步����。以Unix系統(tǒng)或Linux 系統(tǒng)為例,先用" finger遠(yuǎn)端主機(jī)名"找出主機(jī)上的用戶賬號(hào)�����,然后用字典窮舉法進(jìn)行攻擊���。這個(gè)破譯過(guò)程是由程序來(lái)完成的��。大概十幾個(gè)小時(shí)就可以把字典里的單詞都完成���。
如果這種方法不能奏效��,入侵者就會(huì)仔細(xì)地尋找目標(biāo)的薄弱環(huán)節(jié)和漏洞��,伺機(jī)奪取目標(biāo)中存放口令的文件 shadow或者passwd ����。然后用專用的破解DES加密算法的程序來(lái)解析口令���。
在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理����,如口令的位數(shù)盡可能的要長(zhǎng)�;不要選取顯而易見(jiàn)的信息做口令;不要在不同系統(tǒng)上使用同一口令��;輸入口令時(shí)應(yīng)在無(wú)人的情況下進(jìn)行���;口令中最好要有大小寫(xiě)字母����、字符、數(shù)字�;定期改變自己的口令;定期用破解口令程序來(lái)檢測(cè)shadow文件是否安全�����。沒(méi)有規(guī)律的口令具有較好的安全性����。
結(jié)語(yǔ)
以上九個(gè)方面僅是多種保障內(nèi)網(wǎng)安全措施中的一部分,為了更好地解決內(nèi)網(wǎng)的安全問(wèn)題�����,需要有更為開(kāi)闊的思路看待內(nèi)網(wǎng)的安全問(wèn)題�。在安全的方式上,為了應(yīng)付比以往更嚴(yán)峻的"安全"挑戰(zhàn)����,安全不應(yīng)再僅僅停留于"堵"��、"殺"或者"防"��,應(yīng)該以動(dòng)態(tài)的方式積極主動(dòng)應(yīng)用來(lái)自安全的挑戰(zhàn)�,因而健全的內(nèi)網(wǎng)安全管理制度及措施是保障內(nèi)網(wǎng)安全必不可少的措施。
關(guān)鍵詞標(biāo)簽:內(nèi)網(wǎng)安全
網(wǎng)絡(luò)安全管理軟件-PCHunter使用教程
虛擬主機(jī)中ASPX一些安全設(shè)置
“和諧”內(nèi)網(wǎng)保護(hù)神——ProVisa內(nèi)網(wǎng)安全管理
Discuz!配置文件中的安全設(shè)置