九個方面保障內網安全的措施

2008年05月23日16:25  

 【字號 打印 留言 論壇 網摘 手機點評 糾錯
E-mail推薦:  

  內網是網絡應用中的一個主要組成部分,其安全性也受到越來越多的重視。據不完全統計,國外在建設內網時,投資額的15%是用於加強內網的網絡安全。在我國IT市場中,安全廠商保持著旺盛的增長勢頭。運營商在內網安全方面的投資比例不如國外多,但依然保持著持續的增長態勢。要提高內網的安全,可以使用的方法很多,本文將就此做一些探討。

  採用安全交換機

  由於內網的信息傳輸採用廣播技術,數據包在廣播域中很容易受到監聽和截獲,因此需要使用安全交換機,利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源,以加強內網的安全性。

  操作系統的安全

  從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術,都是運行在操作系統上的,因此,保証操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立一套對系統的監控系統,並建立和實施有效的用戶口令和訪問控制等制度。

  對重要資料進行備份

  在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。

  為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。

  對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。

  使用代理網關

  使用代理網關的好處在於,網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關,進而才能訪問到Internet ,這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。

  在代理服務器兩端採用不同協議標准,也可以阻止外界非法訪問的入侵。還有,代理服務的網關可對數據封包進行驗証和對密碼進行確認等安全管制。

  設置防火牆

  防火牆的選擇應該適當,對於微小型的企業網絡,可從Norton Internet Security 、 PCcillin 、天網個人防火牆等產品中選擇適合於微小型企業的個人防火牆。

  而對於具有內部網絡的企業來說,則可選擇在路由器上進行相關的設置或者購買更為強大的防火牆產品。對於幾乎所有的路由器產品而言,都可以通過內置的防火牆防范部分的攻擊,而硬件防火牆的應用,可以使安全性得到進一步加強。

  信息保密防范

  為了保障網絡的安全,也可以利用網絡操作系統所提供的保密措施。以Windows為例,進行用戶名登錄注冊,設置登錄密碼,設置目錄和文件訪問權限和密碼,以控制用戶隻能操作什麼樣的目錄和文件,或設置用戶級訪問控制,以及通過主機訪問Internet等。

  同時,可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。由於文件組織形式的數據缺乏共享性,數據庫現已成為網絡存儲數據的主要形式。由於操作系統對數據庫沒有特殊的保密措施,而數據庫的數據以可讀的形式存儲其中,所以數據庫的保密也要採取相應的方法。電子郵件是企業傳遞信息的主要途徑,電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網絡部件的泄密渠道,如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等,也可以採取相應的保密措施。

  從攻擊角度入手

  目前,計算機網絡系統的安全威脅有很大一部分來自拒絕服務(DoS)攻擊和計算機病毒攻擊。為了保護網絡安全,也可以從這幾個方面進行。

  對付“拒絕服務”攻擊有效的方法,是隻允許跟整個Web站台有關的網絡流量進入,就可以預防此類的黑客攻擊,尤其對於ICMP封包,包括ping指令等,應當進行阻絕處理。

  通過安裝非法入侵偵測系統,可以提升防火牆的性能,達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作,當竊取者入侵時可以立刻有效終止服務,以便有效地預防企業機密信息被竊取。同時應限制非法用戶對網絡的訪問,規定具有IP地址的工作站對本地網絡設備的訪問權限,以防止從外界對網絡設備配置的非法修改。

  防范計算機病毒

  從病毒發展趨勢來看,現在的病毒已經由單一傳播、單種行為,變成依賴互聯網傳播,集電子郵件、文件傳染等多種傳播方式,融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機病毒更多的呈現出如下的特點:與Internet和Intranet更加緊密地結合,利用一切可以利用的方式(如郵件、局域網、遠程管理、即時通信工具等)進行傳播﹔所有的病毒都具有混合型特征,集文件傳染、蠕虫、木馬、黑客程序的特點於一身,破壞性大大增強﹔因為其擴散極快,不再追求隱藏性,而更加注重欺騙性﹔利用系統漏洞將成為病毒有力的傳播方式。

  因此,在內網考慮防病毒時選擇產品需要重點考慮以下幾點:防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網絡層、郵件客戶端進行實時監控,防止病毒入侵﹔產品應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力﹔對病毒經常攻擊的應用程序提供重點保護﹔產品廠商應具備快速反應的病毒檢測網,在病毒爆發的第一時間即能提供解決方案﹔廠商能提供完整、即時的反病毒咨詢,提高用戶的反病毒意識與警覺性,盡快地讓用戶了解到新病毒的特點和解決方案。

  密鑰管理

  在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。以Unix系統或Linux 系統為例,先用“ finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典裡的單詞都完成。

  如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd 。然后用專用的破解DES加密算法的程序來解析口令。

  在內網中系統管理員必須要注意所有密碼的管理,如口令的位數盡可能的要長﹔不要選取顯而易見的信息做口令﹔不要在不同系統上使用同一口令﹔輸入口令時應在無人的情況下進行﹔口令中最好要有大小寫字母、字符、數字﹔定期改變自己的口令﹔定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。

  結語

  以上九個方面僅是多種保障內網安全措施中的一部分,為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。在安全的方式上,為了應付比以往更嚴峻的“安全”挑戰,安全不應再僅僅停留於“堵”、“殺”或者“防”,應該以動態的方式積極主動應用來自安全的挑戰,因而健全的內網安全管理制度及措施是保障內網安全必不可少的措施。

(責任編輯:宋陽)
我要發表留言
匿名發表  署名:        驗証碼:
                                   留言須知
新聞檢索:    
   熱圖推薦
有錢買不到的珍貴照相機
iPhone使用技巧
微波爐安全十大禁忌
飲茶后嚼茶葉渣可保護牙齒
   精彩新聞
·品牌參考:華晨寶馬第二工廠的圖謀
·四因素致A.O.史密斯在華水土不服 重振堪虞
·迅雷電影下載等8視頻網登載色情暴力內容遭紅牌
·電信運營行業薪酬調查:員工平均年薪超10萬元
·神舟電腦董事長吳海軍怒斥冷血員工 不捐就滾蛋
·災區一斤餃子50元?工商部門責令停業
·地震未推高豬肉價格 農產品價格小幅下跌
·喜力亞太加入廣東啤酒  中國啤酒競爭愈加激烈
·奇美在大陸首推液晶電視 定位高於國產品牌
·廠家倒閉保修無門 家電“孤兒”誰來領養?
   播客·視頻
章子怡戛納素服落淚募捐
汶川大地震 十個感動時刻
   數碼導購
·相機:索尼新機上市送卡·相機:08年最具人氣相機排行
·本本:價位低廉筆記本導購·本本:網友關注度最高的本
·液顯:22寸大屏LCD抱回家·液顯:淺談大屏液晶優勢
·MP3:節后MP3排行TOP10  ·MP3:哪些名牌MP3淪為平民價
·手機:五月最值得購買新機·手機:51節前跌價最狠手機
   一周精品回顧
·IT學院:QQ2009 Preview2即將發布 新增10大功能
軟件哀悼同胞網站變灰色的方法·暴風影音V3.6四則技巧
安全:08年頂級殺毒軟件排名·新方法幫你識隱藏木馬
系統:電腦始終身輕如燕的秘訣·強化XP系統磁盤清理工具
QQ:QQ2009 Preview2 即將發布·新增10大功能
[一語驚壇]把地震局建在地震帶上,以真正負起使命!
[論壇]揭開"地震無法預測"的畫皮·俄羅斯救援隊為何憤怒
[訪談]地震局副局長·教育部建設部地震局官員·西藏今昔
[辯論]萬科王石要求員工為震災捐款不得超10元,您怎麼看?
[博客]"胡溫團隊"開足馬力! 溫總理對誰發怒
[博客]遼寧女辱罵災區人民 央視開除脫逃女記者?
   彩信·手機報
人民日報手機報抗震特刊
手機網友愛心接力
人民網