淺析如何加強中小型企業網絡安全建設 上篇
企業網絡安全建設引言
隨著電子信息和計算機技術的發展,計算機網絡已逐步成為當今社會發展的一個主題,網絡已滲透到經濟和生活的各個領域,眾多的企業、組織、政府部門與機構都在組建和發展自己的網絡。并連接到互聯網上,以充分共享、利用網絡的信息和瓷源。
網絡安全方案設計分析
(一)網絡系統安全分析
網絡入侵者通常有以下步驟進行入侵:
1、信息收集。
信息收集是為了了解所要攻擊目標的詳細信息,通常黑客利用相關的網絡協議或實用程序來收集,如用SNWP協議可用來查看路由器的路由表,了解目標主機內部拓撲結構的細節,用TraceRoute程序可獲得到達目標主機所要經過的網絡數和路由數,用Ping程序可以檢測一個指定主機的位置并確定是否可到達等。
2、探測分析系統的安全弱點。
在收集到目標的相關信息以后,黑客會探測網絡上的每一臺主機,以尋求系統的安全漏洞或安全弱點,黑客一般會使用Telnet、FTP等軟件向目標主機申請服務,如果目標主機有應答就說明開放了這些端口的服務,其次使用一些公開的工具軟件如Internet安全掃描程序ISS、兩絡安全分析工具SATAN等來對整個網絡或子網進行掃描,尋求系統的安全漏洞,獲取攻擊目標系統的非法訪問權。
3、實施攻擊在獲得了目標系統的非法訪問權以后,黑客一般會實施以下的攻擊:試圖毀掉入侵的痕跡,并在受到攻擊的目標系統中建立新的安全漏洞或后門,以便在先前的攻擊點被發現以后能繼續訪問該系統:在目標系統安裝探測器軟件,如特洛伊木馬程序,用來窺探目標系統的活動,繼續收集黑客感興趣的一切信息,如帳號與口令等敏感數據;進一步發現目標系統的信任等級,以展開對整個系統的攻擊;如果黑客在被攻擊的目標系統上獲得了特許訪問權,那么他就可以讀取郵件,搜索和盜取私人文件,毀壞重要數據以至破壞整個網絡系統,那么后果將不堪設想,黑客攻擊通常采用以下幾種典型的攻擊方式:密碼破解、IP欺騙(Spoofing)與嗅探(Sniffing),系統漏洞,端口掃描。(二)網絡安全方案分類
通過對網絡系統的全面了解,按照網絡風險分析結果、安全策略的要求、安全目標及整個網絡安全方案的設計原則,整個網絡安全措施應按系統整體建立,具體的安全控制系統由以下幾個方面組成,保證計算機信息系統各種設備的物理安全是整個計算機信息系統安全的前提,物理安全是保護計算機網絡設備、設施以及其它媒體免遭地震、水災、火災等環境事故以及人為操作失誤或錯誤及各種計算機犯罪行為導致的破壞過程,網絡結構的安全主要指,網絡拓撲結構是否合理;線路是否有冗余:路由是否冗余,防止單點失敗等,工行網絡在設計時,比較好的考慮了這些因素,可以說網絡結構是比較合理的、比較安全的.
對于操作系統的安全防范可以采取如下策略:盡量采用安全性較高的網絡操作系統并進行必要的安全配置、關閉一些起不常用卻存在安全隱患的應用、對一些保存有用戶信息及其口令的關鍵文件(如UNIX下:/.host、etc/host、passwd、shadow,、group等;WindowsNT下的LMHOST、SAM等)使用權限進行嚴格限制等等方法。訪問控制可以通過如下幾個方面來實現,比如制定嚴格的管理制度,配備相應的安全設備,通過交換機劃分VLILN,使用應用代理。
數據的機密性與完整性,主要是為了保護在網上傳送的涉及企業秘密的信息,經過配備加密設備,使得在網上傳送的數據是密文形式,而不是明文,可以選擇以下幾種方式:鏈路層加密,網絡層加密,入侵檢測等,數據保護所包含的內容比較廣,除了前面講過的訪問控制和通信保密外,還包括以下幾個方面:制定明確的數據保護策略和管理制度保護鐿略,可以制定如下管理制度: 《系統信息安全保密等級劃分及保護規范》、《數據安全管理辦法》、《上網數據的審批規定》。
安全審計主要通過如下幾方面實現:制訂審計策略和管理制度,使用安全審計設備和軟件、網絡監視系統等方法,防病毒措施主要包括技術和管理方面,技術上可在服務器中安裝服務器端防病毒系統,以提供對病毒的檢測、清除、免疫和對抗能力,在客戶端的主機也應安裝單機防病毒軟件,將病毒在本地清除而不至于擴散到其他主機或服務器。
管理上應制定一整套有關的規章制度,如:不許使用來歷不明的軟件或盜版軟件,軟盤使用前要首先進行殺毒等,只有提高了工作人員的安全意識,并自覺遵守有關規定,才能從根本上防止病毒對網絡信息系統的危害,備份恢復,對重要設備系統進行備份。數據備份則主要通過磁盤、磁帶、光盤等介質來進行。
網絡安全在企業中的建設是很重要的環節,企業在這方面是不能疏忽的,在以后的文章中,我們還會繼續向大家介紹:淺析如何加強中小型企業網絡安全建設 下篇
【編輯推薦】
