淺談局域網(wǎng)安全內(nèi)部防范

薛惠茗

[摘要]隨著越來越多的企事業(yè)單位建立起自己的局域網(wǎng)絡(luò),并將公司內(nèi)部的信息在局域網(wǎng)中共享,雖然局域網(wǎng)有著速度快,穩(wěn)定,方便靈活等特性,但是其缺乏安全保障的結(jié)構(gòu)卻使其成為病毒肆虐、資料外泄的首要薄弱環(huán)節(jié)。要更好的解決內(nèi)網(wǎng)的安全問題,需要從各種角度看待內(nèi)網(wǎng)安全。

[關(guān)鍵詞]局域網(wǎng) 安全 保密

一、邊際設(shè)備保護(hù)

網(wǎng)關(guān)是內(nèi)外網(wǎng)通信的必經(jīng)之路,是外網(wǎng)聯(lián)入內(nèi)網(wǎng)的咽喉。相對來說,內(nèi)網(wǎng)的木馬病毒都是比較少的,但是缺乏隔離機(jī)制的內(nèi)網(wǎng),一旦有一臺計算機(jī)被病毒木馬所感染,其它的也就都陷入了非常危險的境地。

建議在網(wǎng)絡(luò)內(nèi)部使用代理網(wǎng)關(guān)。使用代理網(wǎng)關(guān)的好處在于,網(wǎng)絡(luò)數(shù)據(jù)包的交換不會直接在內(nèi)外網(wǎng)絡(luò)之間進(jìn)行。內(nèi)部計算機(jī)必須通過代理網(wǎng)關(guān),進(jìn)而才能訪問到Internet,這樣操作者便可以比較方便地在代理服務(wù)器上對網(wǎng)絡(luò)內(nèi)部的計算機(jī)訪問外部網(wǎng)絡(luò)進(jìn)行限制。

在代理服務(wù)器兩端采用不同協(xié)議標(biāo)準(zhǔn),也可以阻止外界非法訪問的入侵。還有,代理服務(wù)的網(wǎng)關(guān)可對數(shù)據(jù)封包進(jìn)行驗證和對密碼進(jìn)行確認(rèn)等安全管制。

所以對于一個局域網(wǎng)絡(luò)來說,在邊際處至少應(yīng)當(dāng)有一個初具安全防范功能的路由器或是防火墻,以建立第一道防線。防火墻的選擇應(yīng)該適當(dāng),對于微小型的企業(yè)網(wǎng)絡(luò),可從BlackICE、LockDown2000、ZoneAlarm、Norton Internet Securitv2001、PCcillin2001、天網(wǎng)個人防火墻等產(chǎn)品中選擇適合于微小型企業(yè)的個人防火墻。

而對于具有內(nèi)部網(wǎng)絡(luò)的企業(yè)來說,最好選擇在路由器上進(jìn)行相關(guān)的設(shè)置或者購買更為強(qiáng)大的防火墻產(chǎn)品。對于幾乎所有的路由器產(chǎn)品而言,都可以通過內(nèi)置的IOS防火墻防范部分的攻擊,而硬件防火墻的應(yīng)用,可以使安全性得到進(jìn)一步加強(qiáng)。對于擁有數(shù)十臺、上百臺甚至以上的企業(yè),添加域控制器進(jìn)行管理是一個十分有效的方法。企業(yè)一般通過代理或者路由上網(wǎng),那么可以使用“網(wǎng)盾IPtrust內(nèi)網(wǎng)安全管理系統(tǒng)”對內(nèi)部計算機(jī)的操作行為進(jìn)行監(jiān)控,他可以對終端操作、網(wǎng)站瀏覽和各類即時信息軟件進(jìn)行監(jiān)控,并且也可以限制或禁止游戲、多媒體、股票軟件等非工作用的軟件,還能進(jìn)行網(wǎng)站的過濾,限制色情、政治或是其它各類網(wǎng)站。

二、口令安全

現(xiàn)在大部分人都認(rèn)識到口令安全的重要性了,不過還是要重申一下:口令的位數(shù)要盡可能的長;不要選用生日、門牌號碼、電話號碼等容易猜測的密碼作為口令;不要在每個系統(tǒng)上都使用同一種口令;最好使用大小寫的字母和數(shù)字混合和沒有規(guī)律的密碼作為口令,并定期改變各系統(tǒng)的口令。另外,個人私用密碼最好與工作時使用的密碼分開。

為了保障網(wǎng)絡(luò)的安全,也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施。以Windows為例,進(jìn)行用戶名登錄注冊,設(shè)置登錄密碼,設(shè)置目錄和文件訪問權(quán)限和密碼,以控制用戶只能操作什么樣的目錄和文件,或設(shè)置用戶級訪問控制,以及通過主機(jī)訪問Internet等。為了安全起見,還可對主機(jī)的網(wǎng)絡(luò)屬性進(jìn)行設(shè)置,去掉TCP/IP協(xié)議和其他協(xié)議中的“Microsoft網(wǎng)絡(luò)上的文件與打印機(jī)共享”和“Microsoft網(wǎng)絡(luò)用戶”的綁定,其他計算機(jī)也可進(jìn)行同樣的設(shè)置,且可去掉TCP/IP協(xié)議中的綁定。若使用Windows2000,可使用其自帶的一個Routing amp; Remote Access工具,設(shè)定輸入ICMP代碼255丟棄可防ICMP的風(fēng)暴攻擊和碎片攻擊。

同時,可以加強(qiáng)對數(shù)據(jù)庫信息的保密防護(hù)。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫兩種。文件組織形式的數(shù)據(jù)缺乏共享性,現(xiàn)已成為網(wǎng)絡(luò)存儲數(shù)據(jù)的主要形式。由于操作系統(tǒng)對數(shù)據(jù)庫沒有特殊的保密措施,而數(shù)據(jù)庫的數(shù)據(jù)以可讀的形式存儲其中,所以數(shù)據(jù)庫的保密需采取另外的方法。針對計算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件的泄密渠道,可以采取相應(yīng)的保密措施。

電子郵件是企業(yè)傳遞信息的主要途徑,因此,必須對電子郵件進(jìn)行加密處理,可安裝網(wǎng)盾或手寫的數(shù)碼簽名onSign2.0等工具軟件。

三、終端計算機(jī)防護(hù)

一般來說,終端計算機(jī)上必然需要安裝的防護(hù)軟件就是殺毒軟件了,基本要求就是能實時防護(hù)(特別在上外網(wǎng)的時候)、數(shù)據(jù)庫更新快,以及占用系統(tǒng)資源小。個人強(qiáng)烈推薦使用kaspersky,技術(shù)實力沒的說,俄國技術(shù),病毒數(shù)據(jù)庫每天更新兩次,并承諾對新病毒的響應(yīng)時間為30分鐘,使用起來也比較方便,又有漢化版,好處說不完(唯一缺點(diǎn)就是不是國產(chǎn)的,使用它不能算支持民族企業(yè)了)。

操作系統(tǒng)絕大多數(shù)人用的是微軟的windows系列,主要受影響的就是在安裝軟件時不小心裝上的那些如同“牛皮癬”一般的各類插件了,不僅占用了大量的系統(tǒng)資源和窗口空間,影響開機(jī)速度,有時還會引起不知名的錯誤。值得注意的是系統(tǒng)補(bǔ)丁也要及時打上。

定期備份重要數(shù)據(jù)也是非常重要的。一方面,硬盤數(shù)據(jù)恢復(fù)的價格一般要高于購買硬盤的價格,而且未必能夠恢復(fù)出來;另一方面,若誤操作將重要數(shù)據(jù)刪除,這時候備份的重要性就體現(xiàn)出來了。

四、防范外部攻擊

目前,計算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅有很大一部分來自拒絕服務(wù)(DoS)攻擊和計算機(jī)病毒攻擊。為了保護(hù)網(wǎng)絡(luò)安全,也可以從這幾個方面進(jìn)行。對付“拒絕服務(wù)”攻擊有效的方法,是只允許跟整個Web站臺有關(guān)的網(wǎng)絡(luò)流量進(jìn)入,就可以預(yù)防此類的黑客攻擊,尤其對于ICMP封包,包括ping指令等,應(yīng)當(dāng)進(jìn)行阻絕處理。

通過安裝非法入侵偵測系統(tǒng),可以提升防火墻的性能,達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即攔截動作以及分析過濾封包和內(nèi)容的動作,當(dāng)竊取者入侵時可以立刻有效終止服務(wù),以便有效地預(yù)防企業(yè)機(jī)密信息被竊取。同時應(yīng)限制非法用戶對網(wǎng)絡(luò)的訪問,規(guī)定具有IP地址的工作站對本地網(wǎng)絡(luò)設(shè)備的訪問權(quán)限,以防止從外界對網(wǎng)絡(luò)設(shè)備配置的非法修改。

最后,網(wǎng)管人員還應(yīng)經(jīng)常到有關(guān)網(wǎng)站下載最新的補(bǔ)丁程序,以便進(jìn)行網(wǎng)絡(luò)維護(hù),同時經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全漏洞并及時補(bǔ)上,才能做到有備無患。

五、重要資料及時進(jìn)行備份

為了維護(hù)企業(yè)局域網(wǎng)的安全,必須對重要資料進(jìn)行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進(jìn)而蒙受重大損失。

對數(shù)據(jù)的保護(hù)來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應(yīng)用中的備份軟件是比較多的,例如ARC Serve、CA的InocuLAN等,配合CA的災(zāi)難恢復(fù)軟件,可以較為全面地保護(hù)數(shù)據(jù)的安全。

六、外部環(huán)境安全

這里指的是各種PC、路由器、交換機(jī)、工作站等硬件設(shè)備和通信鏈路的安全,主要應(yīng)當(dāng)注意重要設(shè)備如對外提供服務(wù)的服務(wù)器的供電以及防止水災(zāi)、火災(zāi)、雷擊等自然災(zāi)害,人為破壞和誤操作、外界的電磁干擾等,物理安全的威脅可直接造成設(shè)備的損壞和數(shù)據(jù)的丟失。為防止這類事故要建立機(jī)房的管理制度,并嚴(yán)格執(zhí)行,在基建階段就要做好機(jī)房、電源的防雷工作。