發(fā)布時(shí)間:2014-11-29所屬分類:科技論文瀏覽:1次
摘 要: 文章分析了局域網(wǎng)的安全管理所涉及的問題,并根據(jù)自己的經(jīng)驗(yàn)提出了相應(yīng)的解決方法。
摘要:文章分析了局域網(wǎng)的安全管理所涉及的問題,并根據(jù)自己的經(jīng)驗(yàn)提出了相應(yīng)的解決方法。本文選自:《中國(guó)核電》全球能源十分缺乏,為了響應(yīng)節(jié)能、環(huán)保、減排,世界各國(guó)在大力加速發(fā)展核電能源,中國(guó)也將大力發(fā)展清潔電源,其中核電是全國(guó)今后電源結(jié)構(gòu)調(diào)整的主攻方向,投資規(guī)模將大大超過常規(guī)電廠。國(guó)家對(duì)核電發(fā)展的戰(zhàn)略由“適度發(fā)展”到“積極發(fā)展”。在這樣的背景下,中國(guó)的核電能源將獲得很好的發(fā)展機(jī)遇。
關(guān)鍵字:系統(tǒng),防火墻,INTERNET,信息安全,數(shù)據(jù)庫(kù),病毒
隨著計(jì)算機(jī)信息技術(shù)的發(fā)展,網(wǎng)絡(luò)已成為我們生活的重要組成部分。但網(wǎng)絡(luò)在應(yīng)用過程中也會(huì)帶來許多問題,由于頻繁使用互聯(lián)網(wǎng),病毒的傳播日益猖獗,黑客的攻擊也越來越多,給局域網(wǎng)數(shù)據(jù)的管理、網(wǎng)絡(luò)的安全帶來很多問題,筆者從事局域網(wǎng)的管理工作多年,結(jié)合自己的工作實(shí)際,提出一些關(guān)于局域網(wǎng)的安全管理方面的經(jīng)驗(yàn)與教訓(xùn),供大家借鑒。
我們單位的局域網(wǎng)綜合了公司生產(chǎn)管理、經(jīng)營(yíng)管理、物資管理、安全管理、生產(chǎn)日?qǐng)?bào)、月報(bào)等各方面的許多信息,并且這些信息都是每天靠相關(guān)專業(yè)人員寫進(jìn)數(shù)據(jù)庫(kù)的,因此在使用中出現(xiàn)了許多問題,但通過我們的努力工作,網(wǎng)絡(luò)運(yùn)行狀況一直良好。經(jīng)驗(yàn)告訴我們:要管好局域網(wǎng),必須由局域網(wǎng)用戶和管理員共同來努力。
一.網(wǎng)絡(luò)管理員應(yīng)作到的安全措施
1.加強(qiáng)服務(wù)器主機(jī)的獨(dú)立性
局域網(wǎng)中,通常有一臺(tái)以上的主服務(wù)器,提供所有計(jì)算機(jī)的連結(jié)并控制.這臺(tái)計(jì)算機(jī)就是黑客攻擊的主要目標(biāo).因此,企業(yè)內(nèi)部應(yīng)對(duì)服務(wù)器主機(jī)的安全性加強(qiáng)控制,盡可能將其獨(dú)立,不要將重要資料放置此處,將重要資料獨(dú)立放在內(nèi)部機(jī)器上,這樣可保證資料的安全性、完整性。
2.網(wǎng)絡(luò)分段
把網(wǎng)絡(luò)上相互間沒有直接關(guān)系的系統(tǒng)分布在不同的網(wǎng)段,由于各網(wǎng)段
間不能直接互訪,從而減少各系統(tǒng)被正面攻擊的機(jī)會(huì)。以前,網(wǎng)段分離是
物理概念,組網(wǎng)單位要為各網(wǎng)段單獨(dú)購(gòu)置集線器等網(wǎng)絡(luò)設(shè)備。現(xiàn)在有了虛
擬網(wǎng)技術(shù),網(wǎng)段分離成為邏輯概念,網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)控制臺(tái)上對(duì)網(wǎng)
段做任意劃分。
網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式:
物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層(ISO/OSI)模型中的第一層和第二層)上分為若干網(wǎng)段,各網(wǎng)段相互之間無法進(jìn)行直接通訊。目前,許多交換機(jī)都有一定的訪問控制能力,可實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的物理分段。
邏輯分段則是指將整個(gè)系統(tǒng)在網(wǎng)絡(luò)層(ISO/OSI模型中的第三層)上進(jìn)行分段。例如,對(duì)于TCP/IP網(wǎng)絡(luò),可把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器、路由交換機(jī)、網(wǎng)關(guān)或防火墻等設(shè)備進(jìn)行連接,利用這些中間設(shè)備(含軟件、硬件)的安全機(jī)制來控制各子網(wǎng)間的訪問。在實(shí)際應(yīng)用過程中,通常采取物理分段與邏輯分段相結(jié)合的方法來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)系統(tǒng)的安全性控制。
3.防火墻技術(shù)
如果網(wǎng)絡(luò)在沒有防火墻的環(huán)境中,網(wǎng)絡(luò)安全性完全依賴主系統(tǒng)的安全性。在一定意義上,所有主系統(tǒng)必須通力協(xié)作來實(shí)現(xiàn)均勻一致的高級(jí)安全性。子網(wǎng)越大,把所有主系統(tǒng)保持在相同的安全性水平上的可管理能力就越小,隨著安全性的失策和失誤越來越普遍,入侵就時(shí)有發(fā)生。防火墻有助于提高主系統(tǒng)總體安全性。 防火墻的基本思想——不是對(duì)每臺(tái)主機(jī)系統(tǒng)進(jìn)行保護(hù),而是讓所有對(duì)系統(tǒng)的訪問通過某一點(diǎn),并且保護(hù)這一點(diǎn),并盡可能地對(duì)外界屏蔽保護(hù)網(wǎng)絡(luò)的信息和結(jié)構(gòu)。它是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外界之間的一道屏障,它可以實(shí)施比較廣泛的安全政策來控制信息流,防止不可預(yù)料的潛在的入侵破壞。防火墻系統(tǒng)可以是路由器,也可以是個(gè)人機(jī)、主系統(tǒng)或者是一批主系統(tǒng),專門用于把網(wǎng)點(diǎn)或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。 防火墻可以從通信協(xié)議的各個(gè)層次以及應(yīng)用中獲取、存儲(chǔ)并管理相關(guān)的信息,以便實(shí)施系統(tǒng)的訪問安全決策控制。防火墻的技術(shù)已經(jīng)經(jīng)歷了三個(gè)階段,即包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)。
防火墻是一種用來阻止外面的未經(jīng)授權(quán)的用戶的非法訪問你的網(wǎng)絡(luò)下的設(shè)備的工具,它通常是軟件和硬件的結(jié)合體。
為了更好地理解防火墻的工作原理,我們就使用以前提到過的例子來說明.首先,大多數(shù)網(wǎng)絡(luò)身份驗(yàn)證除了用戶帳號(hào)和口令之外的,就是IP地址,IP地址是INTERNET網(wǎng)絡(luò)上最普遍的身份索引,它有動(dòng)態(tài)和靜態(tài)兩種。
(1)動(dòng)態(tài)IP地址指每次強(qiáng)制分配給不同上網(wǎng)機(jī)器的主機(jī)的地址。ISP提供的撥號(hào)服務(wù)通常是分配動(dòng)態(tài)IP地址,一個(gè)撥號(hào)計(jì)算機(jī)通常每次撥號(hào)都有一個(gè)不同的IP但是總有一個(gè)范圍。
(2)靜態(tài)IP地址是固定不變的地址,它可以是某臺(tái)連入Internet的主機(jī)地址,靜態(tài)IP分幾類,一類是whois可以查詢到的,并且此類IP地址主要是Internet中最高層主機(jī)的地址,這些主機(jī)可以是域名服務(wù)器,httpd服務(wù)器(Web Server)、郵件服務(wù)器、BBS主機(jī)或者網(wǎng)絡(luò)棋類游戲服務(wù)器。另一類靜態(tài)IP地址被分配給Internet網(wǎng)絡(luò)中的第二層和第三層的主機(jī),這些機(jī)器有固定的物理地址。然而他們不一定有注冊(cè)的主機(jī)名。
4.使用企業(yè)級(jí)殺毒軟件
在網(wǎng)絡(luò)病毒日益猖獗的今天,不管人們多么小心翼翼,仍然會(huì)難免碰翻病毒這個(gè)“潘多拉”盒子。在這時(shí)候,選擇一個(gè)功力高深的網(wǎng)絡(luò)版病毒“殺手”就至關(guān)重要了。一般而言,查殺是否徹底細(xì)致,界面是否友好方便,能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個(gè)“殺手”的三大要素。現(xiàn)在病毒日益猖獗,日常需要寫入服務(wù)器的單機(jī)的安全也特別重要,我建議購(gòu)買企業(yè)版殺毒軟件,并控制寫入服務(wù)器的客戶端,網(wǎng)管可以隨時(shí)殺毒,保證寫入數(shù)據(jù)的安全性,服務(wù)器的安全性。
最好選擇從事反病毒行業(yè)歷史比較悠久,在市場(chǎng)上有較高知名度企業(yè)研發(fā)的產(chǎn)品,千萬(wàn)不能貪便宜選擇不知名廠商生產(chǎn)的廉價(jià)產(chǎn)品,不僅產(chǎn)品質(zhì)量、售后服務(wù)得不到保證,而且一旦造成損失,將會(huì)得不償失。
5.防止黑客攻擊
隨著寬帶網(wǎng)絡(luò)的普及,個(gè)人服務(wù)器、家庭局域網(wǎng)如雨后春筍般出現(xiàn)在小區(qū)局域網(wǎng)和校園網(wǎng)中,他們根據(jù)自己的喜好開設(shè)的各種各樣的共享服務(wù),為廣大網(wǎng)蟲們提供了豐富的共享資源,但由于自身的精力與資金的原因不能建立完善的防護(hù)體系,往往成為黑客和準(zhǔn)黑客們的試驗(yàn)品,造成數(shù)據(jù)的丟失或硬件的損壞。因此如何保證網(wǎng)絡(luò)安全及自身機(jī)器的安全就成了一個(gè)越來越重要的問題。
黑客與管理員是兩個(gè)互相獨(dú)立又互相了解的對(duì)立面,一個(gè)好的管理員如果不了解黑客的思路、做法,就無法來設(shè)置安全策略保護(hù)自己的網(wǎng)絡(luò),而一個(gè)黑客如果不熟悉各種安全措施,在面對(duì)著種類繁多的防護(hù)措施又會(huì)無從下手,雙方為了攻擊與反擊想盡了方法,用盡了手段。正所謂“工欲善其事,必先利其器”,如果我們想要保護(hù)自己防范攻擊就必須先了解對(duì)方的想法和思路以及他們使用的方法和工具,這樣我們就可以根據(jù)他們所采用的方式方法來制定自己的安全策略,做到因法而異,準(zhǔn)備以不變應(yīng)萬(wàn)變,來對(duì)抗入侵。黑客入侵常用方法如下:
●Data Diddling-------------未經(jīng)授權(quán)刪除檔案,更改其資料(15.5%)
●Scanner-------------利用工具尋找暗門漏洞(15.8%)
●Sniffer--------------監(jiān)聽加密之封包(11.2%)
●Denial of Service-------------使其系統(tǒng)癱瘓(16.2%)
●IP Spoofing---------------冒充系統(tǒng)內(nèi)網(wǎng)絡(luò)的IP地址(12.4%)
●Other------------其他(13.9%)
知道了黑客的入侵方法,我們就可以對(duì)癥下藥。
如果要給黑客們分類的話,大致可以分成兩類。一類是偶然攻擊者,他們與前面提到的偶然威脅中的用戶可不一樣,他們往往無目的地攻擊服務(wù)器,試圖搜索里面的信息,這樣做的原因僅僅是為了滿足他們的好奇心,使他們過了一把當(dāng)黑客的癮,這些人一般只會(huì)使用已有的黑客軟件,或者從網(wǎng)上照搬來的攻擊方法來試探系統(tǒng)漏洞。總體來說,水平一般,很業(yè)余,只要采取一般的保護(hù)措施,比如簡(jiǎn)單的防火墻或者升級(jí)系統(tǒng)補(bǔ)丁就可以把他們屏蔽在外了。而對(duì)付另一類頑固攻擊者就沒有這么簡(jiǎn)單了。他們大部分為網(wǎng)絡(luò)及編程高手,熟悉各種程序語(yǔ)言、操作系統(tǒng)及網(wǎng)絡(luò)各層間的協(xié)議,能夠自己編寫攻擊程序,找到系統(tǒng)的漏洞,發(fā)現(xiàn)侵入的方法。而且這些人的目的遠(yuǎn)遠(yuǎn)不只是為滿足一下自己的好奇心,而是為了商業(yè)機(jī)密,報(bào)復(fù)等原因。
現(xiàn)在我們?cè)賮碚f一下黑客幾種主要和常見的攻擊類型。拒絕服務(wù)攻擊,這是目前最常見的攻擊方式,一般是通過程序占用了主機(jī)上所有的資源,或者是在短時(shí)間內(nèi)向主機(jī)發(fā)送大量數(shù)據(jù)包,影響其它正常數(shù)據(jù)交換,從而造成系統(tǒng)過載或系統(tǒng)癱瘓。網(wǎng)絡(luò)蠕蟲是目前最為常見的影響最大的實(shí)現(xiàn)拒絕攻擊服務(wù)的方法。此外通過中止TCP握手過程和郵件炸彈也可以實(shí)現(xiàn)拒絕服務(wù)攻擊。前門攻擊,這種攻擊方式最為直接,黑客會(huì)試圖以系統(tǒng)承認(rèn)的合法用戶的身份登錄系統(tǒng)進(jìn)行訪問。他們會(huì)直接試圖利用字母組合去破解合法的用戶名及密碼。由于使用了配置強(qiáng)大的計(jì)算機(jī)運(yùn)算的破解程序,前門攻擊對(duì)于高級(jí)黑客來說也不是什么難事,所以當(dāng)服務(wù)器日志中出現(xiàn)了大量登錄失敗的信息后,就說明很可能已經(jīng)有黑客開始光顧服務(wù)器的前門了。天窗攻擊和特洛伊木馬攻擊很相似,前者是直接利用管理員留下的后門(就是用于系統(tǒng)檢測(cè)或故障維護(hù)的特殊用戶通道)侵入系統(tǒng);而后者是通過一些駐留內(nèi)存的程序(后門病毒,代碼炸彈等),為非法入侵者打開一個(gè)隨時(shí)出入的特殊通道。IP欺騙和中間人攻擊是另外兩種類似的攻擊手段,第一種前面已經(jīng)提過,通過新生成的IP報(bào)頭非法進(jìn)入合法網(wǎng)絡(luò)進(jìn)行通訊,而中間人攻擊則是首先通過IP欺騙獲得合法身份,然后截取網(wǎng)絡(luò)中的數(shù)據(jù)包獲取其中的數(shù)據(jù),從這些數(shù)據(jù)竊取合法的用戶名和密碼。
管理員在配置服務(wù)器的安全策略時(shí)一定要小心謹(jǐn)慎,比如在配置授權(quán)服務(wù)時(shí),盡量用自己的方式為每個(gè)用戶加上詳細(xì)的描述來表述其身份,這樣一旦發(fā)現(xiàn)新出現(xiàn)的用戶沒有描述,或未用你的方法進(jìn)行描述,你可以立刻核對(duì)它的合法性,看是否為入侵后留下的額外控制賬號(hào)。配置數(shù)據(jù)保護(hù)和數(shù)據(jù)集成可以為主機(jī)上的各種數(shù)據(jù)提供授權(quán)保護(hù)和加密,這樣可以防止用戶在遠(yuǎn)端登錄主機(jī)時(shí),登錄信息被中途監(jiān)聽、截獲,如果已經(jīng)被截獲,可以防止被破解。安全策略是管理員手里最基礎(chǔ)的工具,有效地利用這個(gè)工具可以擊退大部分非法入侵。
做為要建立服務(wù)器的管理員,首先要評(píng)估和分析自己服務(wù)器會(huì)受到哪些入侵,以及自己服務(wù)器上哪些資源數(shù)據(jù)容易被別人攻擊。做好這樣的評(píng)析才能方便地建立自己的安全策略,花最小的代價(jià)建立好最妥當(dāng)?shù)姆雷o(hù)方法。入侵監(jiān)視軟件也是管理員必備的武器之一,它替代管理員對(duì)流入流出服務(wù)器的數(shù)據(jù)進(jìn)行監(jiān)視,檢測(cè)其合法性。這類軟件都還有一個(gè)規(guī)則數(shù)據(jù)庫(kù),用來和網(wǎng)絡(luò)中實(shí)時(shí)交流的數(shù)據(jù)進(jìn)行檢測(cè)比較,通過那些合法的,中止那些非法的。管理員可以自行設(shè)置網(wǎng)絡(luò)規(guī)則和應(yīng)變手段,比如在發(fā)現(xiàn)入侵后進(jìn)行反跟蹤,找到入侵的源頭。或者是直接進(jìn)行反擊,迫使黑客停止攻擊,轉(zhuǎn)入防御(比較常見的監(jiān)聽軟件有ISS RealSecure、Axent Intruder Alert等)。而且在配置服務(wù)器時(shí),盡量避免使用系統(tǒng)的默認(rèn)配置,這些默認(rèn)配置是為了方便普通用戶使用的,但是很多黑客都熟悉默認(rèn)配置的漏洞,能很方便地、從這里侵入系統(tǒng),所以當(dāng)系統(tǒng)安裝完畢后第一步就是要升級(jí)最新的補(bǔ)丁,然后更改系統(tǒng)的默認(rèn)設(shè)置。為用戶建立好詳細(xì)的屬性和權(quán)限,方便確認(rèn)用戶身份以及他能訪問修改的資料。定期修改用戶密碼,這樣可以讓密碼破解的威脅降到最低。總之要利用好服務(wù)器自身系統(tǒng)的各種安全策略,就可以占用最小的資源,擋住大部分黑客了。
6.數(shù)據(jù)庫(kù)的安全保護(hù):
服務(wù)器中的程序、數(shù)據(jù)是動(dòng)態(tài)的,隨時(shí)變化,因此要作好備份工作,備份要多留幾份,這樣才使系統(tǒng)崩潰時(shí),可以及時(shí)恢復(fù)數(shù)據(jù),保證工作正常進(jìn)行。
隨時(shí)修改口令、密碼, 不要將密碼泄露出去,服務(wù)器不用時(shí)就進(jìn)入鎖定狀態(tài),免得由于誤錯(cuò)做,引起故障,帶來不必要的麻煩。
二.局域網(wǎng)用戶應(yīng)做的安全防護(hù)
許多企業(yè)內(nèi)發(fā)生的網(wǎng)絡(luò)安全危機(jī),有多半來自員工本身沒有具備基本的網(wǎng)絡(luò)安全常識(shí).導(dǎo)致黑客有機(jī)會(huì)侵入計(jì)算機(jī),達(dá)到破壞的目的.因此企業(yè)或個(gè)人加強(qiáng)本身的網(wǎng)絡(luò)保護(hù)知識(shí),有絕對(duì)的不要.以下列出幾項(xiàng),供各位參考.
1.保密自己的口令、密碼。嚴(yán)禁帳號(hào),密碼外借,密碼設(shè)置不要過于簡(jiǎn)單,平時(shí)我們?cè)O(shè)定密碼時(shí)往往隨便就以簡(jiǎn)單的數(shù)字,電話號(hào)碼,或單純的英文字母,單詞設(shè)定,這樣很不安全,很容易被輕易獲取.因此設(shè)定密碼愈復(fù)雜,就愈安全.密碼、帳號(hào)不要借給他人使用,避免不必要的麻煩.
2.安裝在線殺毒軟件,隨時(shí)監(jiān)視病毒的侵入,保護(hù)硬盤及系統(tǒng)不受傷害。常見的有KV3000、金山毒霸等,還要記得及時(shí)給病毒庫(kù)升級(jí)。這樣才能加強(qiáng)殺毒軟件的抗病毒能力。
3.瀏覽WEB時(shí)不要輕易打開來歷不明的電子郵件. 常見黑客入侵的方式,都是先寄發(fā)內(nèi)含入侵程序的電子郵件給對(duì)方,使收件人在不知情的情況下打開郵件,入侵程序便悄悄進(jìn)駐你的計(jì)算機(jī),這樣不僅會(huì)被竊取重要資料,而且會(huì)破壞你硬盤的所有資料.也有的黑客將郵件以HTM格式放在WEB頁(yè)上寄出,只要上網(wǎng)者輕輕一擊,你的計(jì)算機(jī)就種著了.
4.不要隨便借你的計(jì)算機(jī)給別人使用
黑客會(huì)在你的計(jì)算機(jī)上種植木馬程序或獲取你的相關(guān)網(wǎng)絡(luò)資源密碼等, 以后他就可以在任何計(jì)算機(jī)上隨意獲取你的資源,監(jiān)視你的一舉一動(dòng),控制你 的計(jì)算機(jī),使你的機(jī)器速度下降,甚至死機(jī).
