內(nèi)網(wǎng)是網(wǎng)絡(luò)應(yīng)用中的一個主要組成部分����,其安全性也受到越來越多的重視���。據(jù)不完全統(tǒng)計�,國外在建設(shè)內(nèi)網(wǎng)時�����,投資額的15%是用于加強內(nèi)網(wǎng)的網(wǎng)絡(luò)安全�。在我國IT市場中,安全廠商保持著旺盛的增長勢頭��。運營商在內(nèi)網(wǎng)安全方面的投資比例不如國外多��,但依然保持著持續(xù)的增長態(tài)勢��。要提高內(nèi)網(wǎng)的安全�,可以使用的方法很多����,本文將就此做一些探討。
采用安全交換機
由于內(nèi)網(wǎng)的信息傳輸采用廣播技術(shù)����,數(shù)據(jù)包在廣播域中很容易受到監(jiān)聽和截獲��,因此需要使用安全交換機��,利用網(wǎng)絡(luò)分段及VLAN的方法從物理上或邏輯上隔離網(wǎng)絡(luò)資源�����,以加強內(nèi)網(wǎng)的安全性�。
操作系統(tǒng)的安全
從終端用戶的程序到服務(wù)器應(yīng)用服務(wù)���、以及網(wǎng)絡(luò)安全的很多技術(shù)�����,都是運行在操作系統(tǒng)上的���,因此,保證操作系統(tǒng)的安全是整個安全系統(tǒng)的根本���。除了不斷增加安全補丁之外�,還需要建立一套對系統(tǒng)的監(jiān)控系統(tǒng),并建立和實施有效的用戶口令和訪問控制等制度�。
對重要資料進行備份
在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大,實際上引起電腦數(shù)據(jù)流失或被損壞����、篡改的因素已經(jīng)遠(yuǎn)超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作���,系統(tǒng)的一次意外斷電以及其他一些更有針對性的災(zāi)難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大����。
為了維護企業(yè)內(nèi)網(wǎng)的安全�����,必須對重要資料進行備份��,以防止因為各種軟硬件故障�����、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰��,進而蒙受重大損失�。
對數(shù)據(jù)的保護來說�,選擇功能完善�����、使用靈活的備份軟件是必不可少的���。目前應(yīng)用中的備份軟件是比較多的,配合各種災(zāi)難恢復(fù)軟件��,可以較為全面地保護數(shù)據(jù)的安全�����。
使用代理網(wǎng)關(guān)
使用代理網(wǎng)關(guān)的好處在于�,網(wǎng)絡(luò)數(shù)據(jù)包的交換不會直接在內(nèi)外網(wǎng)絡(luò)之間進行。內(nèi)部計算機必須通過代理網(wǎng)關(guān)�����,進而才能訪問到Internet ����,這樣操作者便可以比較方便地在代理服務(wù)器上對網(wǎng)絡(luò)內(nèi)部的計算機訪問外部網(wǎng)絡(luò)進行限制。
在代理服務(wù)器兩端采用不同協(xié)議標(biāo)準(zhǔn)���,也可以阻止外界非法訪問的入侵��。還有�,代理服務(wù)的網(wǎng)關(guān)可對數(shù)據(jù)封包進行驗證和對密碼進行確認(rèn)等安全管制。
設(shè)置防火墻
防火墻的選擇應(yīng)該適當(dāng)�����,對于微小型的企業(yè)網(wǎng)絡(luò)����,可從Norton Internet Security 、 PCcillin �、天網(wǎng)個人防火墻等產(chǎn)品中選擇適合于微小型企業(yè)的個人防火墻。
而對于具有內(nèi)部網(wǎng)絡(luò)的企業(yè)來說���,則可選擇在路由器上進行相關(guān)的設(shè)置或者購買更為強大的防火墻產(chǎn)品�。對于幾乎所有的路由器產(chǎn)品而言�,都可以通過內(nèi)置的防火墻防范部分的攻擊,而硬件防火墻的應(yīng)用����,可以使安全性得到進一步加強�����。
信息保密防范
為了保障網(wǎng)絡(luò)的安全,也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施�。以Windows為例,進行用戶名登錄注冊���,設(shè)置登錄密碼��,設(shè)置目錄和文件訪問權(quán)限和密碼���,以控制用戶只能操作什么樣的目錄和文件,或設(shè)置用戶級訪問控制���,以及通過主機訪問Internet等��。
同時�����,可以加強對數(shù)據(jù)庫信息的保密防護��。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫兩種�����。由于文件組織形式的數(shù)據(jù)缺乏共享性�,數(shù)據(jù)庫現(xiàn)已成為網(wǎng)絡(luò)存儲數(shù)據(jù)的主要形式。由于操作系統(tǒng)對數(shù)據(jù)庫沒有特殊的保密措施����,而數(shù)據(jù)庫的數(shù)據(jù)以可讀的形式存儲其中,所以數(shù)據(jù)庫的保密也要采取相應(yīng)的方法�。電子郵件是企業(yè)傳遞信息的主要途徑,電子郵件的傳遞應(yīng)行加密處理����。針對計算機及其外部設(shè)備和網(wǎng)絡(luò)部件的泄密渠道,如電磁泄露�、非法終端、搭線竊取�、介質(zhì)的剩磁效應(yīng)等,也可以采取相應(yīng)的保密措施��。
從攻擊角度入手
目前�����,計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅有很大一部分來自拒絕服務(wù)(DoS)攻擊和計算機病毒攻擊�����。為了保護網(wǎng)絡(luò)安全,也可以從這幾個方面進行�。
對付“拒絕服務(wù)”攻擊有效的方法����,是只允許跟整個Web站臺有關(guān)的網(wǎng)絡(luò)流量進入,就可以預(yù)防此類的黑客攻擊���,尤其對于ICMP封包����,包括ping指令等��,應(yīng)當(dāng)進行阻絕處理��。
通過安裝非法入侵偵測系統(tǒng)��,可以提升防火墻的性能��,達到監(jiān)控網(wǎng)絡(luò)�、執(zhí)行立即攔截動作以及分析過濾封包和內(nèi)容的動作,當(dāng)竊取者入侵時可以立刻有效終止服務(wù)����,以便有效地預(yù)防企業(yè)機密信息被竊取�。同時應(yīng)限制非法用戶對網(wǎng)絡(luò)的訪問���,規(guī)定具有IP地址的工作站對本地網(wǎng)絡(luò)設(shè)備的訪問權(quán)限��,以防止從外界對網(wǎng)絡(luò)設(shè)備配置的非法修改���。
防范計算機病毒
從病毒發(fā)展趨勢來看,現(xiàn)在的病毒已經(jīng)由單一傳播��、單種行為�����,變成依賴互聯(lián)網(wǎng)傳播�,集電子郵件、文件傳染等多種傳播方式�,融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”�。計算機病毒更多的呈現(xiàn)出如下的特點:與Internet和Intranet更加緊密地結(jié)合,利用一切可以利用的方式(如郵件�����、局域網(wǎng)�、遠(yuǎn)程管理��、即時通信工具等)進行傳播����;所有的病毒都具有混合型特征�,集文件傳染�、蠕蟲、木馬�、黑客程序的特點于一身,破壞性大大增強��;因為其擴散極快�����,不再追求隱藏性�,而更加注重欺騙性;利用系統(tǒng)漏洞將成為病毒有力的傳播方式��。
因此���,在內(nèi)網(wǎng)考慮防病毒時選擇產(chǎn)品需要重點考慮以下幾點:防殺毒方式需要全面地與互聯(lián)網(wǎng)結(jié)合����,不僅有傳統(tǒng)的手動查殺與文件監(jiān)控,還必須對網(wǎng)絡(luò)層��、郵件客戶端進行實時監(jiān)控�,防止病毒入侵;產(chǎn)品應(yīng)有完善的在線升級服務(wù)����,使用戶隨時擁有最新的防病毒能力;對病毒經(jīng)常攻擊的應(yīng)用程序提供重點保護�;產(chǎn)品廠商應(yīng)具備快速反應(yīng)的病毒檢測網(wǎng),在病毒爆發(fā)的第一時間即能提供解決方案��;廠商能提供完整�����、即時的反病毒咨詢����,提高用戶的反病毒意識與警覺性,盡快地讓用戶了解到新病毒的特點和解決方案��。
密鑰管理
在現(xiàn)實中����,入侵者攻擊Intranet目標(biāo)的時候�,90%會把破譯普通用戶的口令作為第一步��。以Unix系統(tǒng)或Linux 系統(tǒng)為例���,先用“ finger遠(yuǎn)端主機名”找出主機上的用戶賬號����,然后用字典窮舉法進行攻擊���。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成�。
如果這種方法不能奏效,入侵者就會仔細(xì)地尋找目標(biāo)的薄弱環(huán)節(jié)和漏洞���,伺機奪取目標(biāo)中存放口令的文件 shadow或者passwd �。然后用專用的破解DES加密算法的程序來解析口令�����。
在內(nèi)網(wǎng)中系統(tǒng)管理員必須要注意所有密碼的管理�,如口令的位數(shù)盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統(tǒng)上使用同一口令�����;輸入口令時應(yīng)在無人的情況下進行���;口令中最好要有大小寫字母�、字符��、數(shù)字��;定期改變自己的口令�;定期用破解口令程序來檢測shadow文件是否安全。沒有規(guī)律的口令具有較好的安全性��。
結(jié)語
以上九個方面僅是多種保障內(nèi)網(wǎng)安全措施中的一部分����,為了更好地解決內(nèi)網(wǎng)的安全問題,需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題�。在安全的方式上,為了應(yīng)付比以往更嚴(yán)峻的“安全”挑戰(zhàn)�,安全不應(yīng)再僅僅停留于“堵”、“殺”或者“防”���,應(yīng)該以動態(tài)的方式積極主動應(yīng)用來自安全的挑戰(zhàn)��,因而健全的內(nèi)網(wǎng)安全管理制度及措施是保障內(nèi)網(wǎng)安全必不可少的措施��。
