史萊姆論壇

史萊姆論壇 (http://forum.slime.com.tw/)
-   網路軟硬體架設技術文件 (http://forum.slime.com.tw/f133.html)
-   -   以動態的方式應對安全威脅 局內網安全9項措施 (http://forum.slime.com.tw/thread82291.html)

psac 2003-11-15 02:29 AM

以動態的方式應對安全威脅 局內網安全9項措施
 
 局內網是網路套用中的一個主要組成部分,其安全性也受到越來越多的重視。

據不完全統計,國外在建設局內網時,投資額的15%是用於加強局內網的網路安全。在我國IT市場中,安全廠商保持著旺盛的增長勢頭。

運營商在局內網安全方面的投資比例不如國外多,但依然保持著持續的增長態勢。要提高局內網的安全,可以使用的方法很多,本文將就此做一些探討。
  
  採用安全交換機
  
  由於局內網的信息傳輸採用廣播技術,資料包在廣播域中很容易受到監聽和截獲,因此需要使用安全交換機,利用網路分段及VLAN的方法從物理上或邏輯上隔離網路資源,以加強局內網的安全性。
  
  操作系統的安全
  
  從終端用戶的程序到伺服器套用服務、以及網路安全的很多技術,都是執行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。

除了不斷增加安全修正檔之外,還需要建立一套對系統的監控系統,並建立和實施有效的用戶密碼和訪問控制等制度。
  
  對重要資料進行制作備份
  
  在局內網系統中資料對用戶的重要性越來越大,實際上引起電腦資料流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。
  
  為了維護企業局內網的安全,必須對重要資料進行制作備份,以防止因為各種軟硬體故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。
  
  對資料的保護來說,選項功能完善、使用靈活的制作備份軟體是必不可少的。目前套用中的制作備份軟體是比較多的,配合各種災難恢復軟體,可以較為全面地保護資料的安全。
  
  使用代理網關
  
  使用代理網關的好處在於,網路資料包的交換不會直接在內外網路之間進行。

內部電腦必須通過代理網關,進而才能訪問到Internet ,這樣操作者便可以比較方便地在代理伺服器上對網路內部的電腦訪問外部網路進行限制。
  
  在代理伺服器兩端採用不同傳輸協定標準,也可以阻止外界非法訪問的入侵。還有,代理服務的網關可對資料封包進行驗證和對密碼進行驗證等安全管制。
  
  設定防火牆
  
  防火牆的選項應該適當,對於微小型的企業網路,可從Norton Internet Security 、 PCcillin 、天網個人防火牆等產品中選項適合於微小型企業的個人防火牆。
  
  而對於具有內部網路的企業來說,則可選項在路由器上進行相關的設定或者購買更為強大的防火牆產品。

對於幾乎所有的路由器產品而言,都可以通過內裝的防火牆防範部分的攻擊,而硬體防火牆的套用,可以使安全性得到進一步加強。
  
  信息保密防範
  
  為了保障網路的安全,也可以利用網路操作系統所提供的保密措施。以Windows為例,進行用戶名登入註冊,設定登入密碼,設定目錄和文件訪問權限和密碼,以控制用戶只能操作什麼樣的目錄和文件,或設定用戶級訪問控制,以及通過主機訪問Internet等。
  
  同時,可以加強對資料庫信息的保密防護。網路中的資料組織形式有文件和資料庫兩種。

由於文件組織形式的資料缺乏共享性,資料庫現已成為網路存儲資料的主要形式。由於操作系統對資料庫沒有特殊的保密措施,而資料庫的資料以可讀的形式存儲其中,所以資料庫的保密也要採取相應的方法。

電子郵件是企業傳遞信息的主要途徑,電子郵件的傳遞應行加密處理。針對電腦及其外部設備和網路設備的洩密渠道,如電磁洩露、非法終端、搭線竊取、CD片的剩磁效應等,也可以採取相應的保密措施。
  
  從攻擊角度入手
  
  目前,電腦網路系統的安全威脅有很大一部分來自拒絕服務(DoS)攻擊和電腦病毒攻擊。為了保護網路安全,也可以從這幾個方面進行。
  
  對付「拒絕服務」攻擊有效的方法,是只允許跟整個Web站台有關的網路流量進入,就可以預防此類的黑客攻擊,尤其對於ICMP封包,包括ping指令等,應當進行阻絕處理。
  
  通過安裝非法入侵偵測系統,可以提升防火牆的效能,達到監控網路、執行立即攔截動作以及分析過濾封包和內容的動作,當竊取者入侵時可以立刻有效終止服務,以便有效地預防企業機密信息被竊取。

同時應限制非法用戶對網路的訪問,規定具有IP位址的工作站對本機網路設備的訪問權限,以防止從外界對網路設備配置的非法修改。
  
  防範電腦病毒
  
  從病毒發展趨勢來看,現在的病毒已經由單一傳播、單種行為,變成依賴網際網路傳播,集電子郵件、文件傳染等多種傳播方式,融黑客、木馬等多種攻擊手段為一身的廣義的「新病毒」。

電腦病毒更多的呈現出如下的特點:

與Internet和Intranet更加緊密地結合,利用一切可以利用的方式(如郵件、區域網路、遠端管理、即時通信工具等)進行傳播;

所有的病毒都具有混合型特徵,集文件傳染、蠕蟲、木馬、黑客程序的特點於一身,破壞性大大增強;因為其擴散極快,不再追求隱藏性,而更加注重欺騙性;
利用系統漏洞將成為病毒有力的傳播方式。
  
  因此,在局內網考慮防病毒時選項產品需要重點考慮以下幾點:
防殺毒方式需要全面地與網際網路結合,不僅有傳統的手動查殺與文件監控,還必須對網路層、郵件客戶端進行既時監控,防止病毒入侵;
產品應有完善的在線昇級服務,使用戶隨時擁有最新的防病毒能力;
對病毒經常攻擊的應用程式提供重點保護;
產品廠商應具備快速反應的病毒檢測網,在病毒爆發的第一時間即能提供解決方案;

廠商能提供完整、即時的反病毒咨詢,提高用戶的反病毒意識與警覺性,儘快地讓用戶瞭解到新病毒的特點和解決方案。

  密鑰管理
  
  在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的密碼作為第一步。以Unix系統或Linux 系統為例,先用「 finger遠端主機名」找出主機上的用戶帳號,然後用字典窮舉法進行攻擊。這個破譯程序是由程序來完成的。大概十幾個小時就可以把字典裡的單詞都完成。
  
  如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放密碼的文件 shadow或者passwd 。

然後用專用的破解DES加密算法的程序來解析密碼。
  
  在局內網中系統管理員必須要注意所有密碼的管理,如密碼的位數盡可能的要長;不要選取顯而易見的信息做密碼;不要在不同系統上使用同一密碼;輸入密碼時應在無人的情況下進行;密碼中最好要有大小寫字母、字串、數字;定期改變自己的密碼;定期用破解密碼程序來檢測shadow文件是否安全。

沒有規律的密碼具有較好的安全性。
  
  結語
  
  以上九個方面僅是多種保障局內網安全措施中的一部分,為了更好地解決局內網的安全問題,需要有更為開闊的思路看待局內網的安全問題。

在安全的方式上,為了應付比以往更嚴峻的「安全」挑戰,安全不應再僅僅停留於「堵」、「殺」或者「防」,應該以動態的方式積極主動套用來自安全的挑戰,因而健全的局內網安全管理制度及措施是保障局內網安全必不可少的措施。
文章來源:safechina 引自:www.duba.net


所有時間均為台北時間。現在的時間是 03:38 AM

Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.

『服務條款』

* 有問題不知道該怎麼解決嗎?請聯絡本站的系統管理員 *


SEO by vBSEO 3.6.1