资料显示,目前与网络连通性相关的计算机安全问题主要有三种:
● 非授权访问: 没有访问权的人访问授权之外的资源;
● 信息泄露: 有价值或机密信息泄露给无权访问该信息的人;
● 拒绝服务: 使系统难以或不能执行预定任务,使用户服务请求不能响应。
与此相对应,入侵者要侵入(或破坏)一台网络上的主机,一般会由下列几种方式达到其目的:
● 找出该网络主机上的服务程序的设计缺陷;
● 找出该网络通信协议的安全漏洞;
● 借由某种手段使该网络主机瘫痪;
● 困扰主机上的系统管理员,降低其工作能力。
无论是哪种方式,都是对网络的重大威胁,都必须给予充分地重视,然后采取必要的有效措施,防患于未然。
对一个覆盖面广、线路交错、网络设备复杂、操作系统繁多的网络来说,网络的复杂性要求必须有一个全面的网络安全解决方案。为此,建议从以下几个方面建立安全体系。
1. 防火墙技术
在与互联网连接的网关上安装防火墙,通过分组过滤和IP伪装,监视网络内外的通信,以起到对内部网的保护作用。
2.用户身份验证技术
根据每个用户的工作范围、功能需求,建立相应的账号,设定相应的权限,做好记录并进行定期的巡查;利用操作系统对用户的登录需求进行辨别,合法用户则对其登录信息和退出信息进行记录,对非法用户则予以拒绝并对多次频繁出现的非法访问进行记录并跟踪。
3. 入侵检测技术
通过该技术保护与Internet连接的系统不受恶意代码的破坏。其功能包括实时袭击干预、自动探测、阻止和通知各类恶意袭击的内容如Java、ActiveX和病毒。自动的攻击特征文件更新功能与预先制定的政策相结合,能保证用户在潜在的攻击发生之前抢先一步进行防御。具有自动攻击特征文件更新功能的集成式防病毒机制,通过“探测、报警、预防”的方法来保护网络,具备实时反入侵检测、基于政策的报警以及自动预防功能。其他保护功能包括通过动态的URL阻断和登录来强化企业政策等。
4. 口令管理
最简单实用的网络安全措施就是设置口令,据CERT估计,约80%的网络安全问题是由于不良的口令造成的,因此我们对设置口令制定了以下安全措施。
① 所有账户都设有口令。
② 口令长度都设有下限。
③ 定义口令的存活期,禁止自始至终一成不变的用户口令。
④ 不准使用用户名(账号)作为口令。
⑤ 不准使用用户名(账号)的变换形式作为口令。
⑥ 不准使用自己或者亲友的生日作为口令。
⑦ 不准使用常用的英文单词作为口令。
5. 病毒防治
计算机病毒是对计算机网络重大的安全威胁。大部分人都曾领教过在单机上的计算机病毒,但单机的病毒一般能查出病毒的来源,网络病毒往往是在毫不知情的情况下悄悄入驻,令人防不胜防,而且网络病毒不一定发生在个人机上,只要造成网络瘫痪和网络效率降低,对使用者来说也是不能忍受的。因此,采用适当的措施防治病毒,也是减少和避免文件损坏、提高网络安全的重要措施。
① 建立病毒防火墙,及时查杀服务器、客户端病毒。
② 限制共享目录及读写权限的使用。
③ 限制网上软件的下载和禁用盗版软件。
④ 对进出企业网的邮件先查毒后使用。
⑤ 将服务器上某些可执行文件的写属性设为禁止。
6. 网络管理
网络的正常运行,很重要的一个方面是加强对网络的管理。
① 使用网管软件,对网络流量进行适当监控。
② 合理划分网段,减少无用的广播包对网络攻击的风险。
③ 使用网络日志。
④ 通过定义虚拟子网隔断非法访问。
⑤ 限制远程登录的使用。
⑥ 通过IP地址与网卡MAC地址捆绑的方法,防止IP盗用。
⑦ 禁止企业网内用Modem上网。
7. 系统管理
① 在各种操作系统使用最新的补丁。各种操作系统,即使是像Windows操作系统都存在着很多Bugs。有资料统计表明,Unix、NT等著名网络操作系统都有数目不同的漏洞,见下表。
随着时间的延长,发现的漏洞会更多。面对这么多的漏洞,必须不断加补丁。
② 定期对服务器尤其是关键的服务器进行安全评估,发现其中的安全漏洞,根据专家建议进行修补。
③ 禁止从软盘、光驱引导。从软盘、光驱引导,不仅能传播计算机病毒,还可以使一些安全措施形同虚设。
④ 设置开机口令。开机口令设置在CMOS中,它的安全性是毋庸置疑的。开机口令,只要不是太简单,在开机时攻破几乎是不可能的,而且要攻击开机口令必须在本机上才能进行,这就要求攻击者必须接近被攻击的机器,并不是很多人能做到这一点。
⑤ 设置屏幕保护口令。当不使用机器时,屏幕保护口令不仅能保持工作现场,还能有效地防止非授权者使用自己的计算机,避免对计算机的安全构成威胁。
⑥ 在NT中只使用NTFS格式。
Windows NT在缺省时提供两种文件系统:
● 文件分配表(FAT);
● 新技术文件系统(NTFS)。
这两种文件系统在安全方面的差异明显,其中包括:
● FAT系统缺少错误恢复,易受损害,一旦FAT文件系统被损坏,计算机就会瘫痪甚至不正常关机;
● 使用FAT系统的硬盘,只要拿到别的机器上,几乎不需要任何安全措施就能读到其中的内容;
● FAT的大小有限,在MS-DOS和Win 95下,FAT卷限制为2GB,后来的系统使用FAT 32,但与其他任何操作系统不兼容;
● FAT系统只支持单用户,FAT是为MS-DOS的单用户操作系统开发的,它除了隐藏、只读等有限的公共属性外,无法实施其他安全防护措施。
与FAT相比,NTFS则有很大的优越性:
● NTFS有优异的容错能力,包括事项记录、热修理技术、磁盘镜像和有校验的磁盘条纹化等;
● NTFS实现了很多安全功能,包括基于用户的许可权、审计、拥有权、可靠的文件清除和上一次访问的时间标记等。
鉴于FAT与NTFS的差异,我们规定在NT上只使用NTFS。
⑦ 尽量少将应用程序设置成自动登录。
⑧ 删除不用的账号。
⑨ 采用“悲观法”进行安全设置。
8. 硬件管理
① 在交换机上定义访问属性,只允许经过认证的数据访问请求通过,非法的访问请求被拒绝并记录日志。
② 在与兄弟公司连接的唯一接点处增加一个路由器,只对经过认可的连接进行处理。
③ 厂外接入点与企业网没有数据交换者,走旁路进出。
9. 代理技术
在路由器的后面使用代理服务器。代理服务器上安装两个网络接口卡,一个网卡接到内部局域网,另一个接到Internet,这样使内部网络与Internet从物理上建立了隔离。代理服务器作为一种网关,在内部网络和Internet之间形成一道屏障,使内部网络用户可以向Internet提出请求并接收Internet信息,但它不允许入侵者访问你的内部网络,从而提高了网络的安全性。
使用代理服务器还有一个好处就是隐藏了局域网的IP地址,使Internet上只有该服务器是可见的,从内部网出来的信息都只拥有代理服务器的报头,使入侵者找不到除代理服务器之外的攻击目标。
另外,代理服务器还利用动态信息包过滤技术,使管理员能阻止或允许接收通过某些端口的某些包类型,从而也提高了网络的安全性。
在使用代理服务器时,代理服务器作为单独一个域中的主域控制器(PDC),它所使用的域对其他的域是信任域,其他的内部域则是被信任域,是提高网络安全性的一个不错的方法。
除此以外,系统还可以通过双机冗余、磁盘阵列技术及一些物理上的安全技术使整个网络系统处于最大程度的安全环境之中。