6. 网络管理
网络的正常运行,很重要的一个方面是加强对网络的管理。
① 使用网管软件,对网络流量进行适当监控。
② 合理划分网段,减少无用的广播包对网络攻击的风险。
③ 使用网络日志。
④ 通过定义虚拟子网隔断非法访问。
⑤ 限制远程登录的使用。
⑥ 通过IP地址与网卡MAC地址捆绑的方法,防止IP盗用。
⑦ 禁止企业网内用Modem上网。
7. 系统管理
① 在各种操作系统使用最新的补丁。各种操作系统,即使是像Windows操作系统都存在着很多Bugs。有资料统计表明,Unix、NT等着名网络操作系统都有数目不同的漏洞,见下表。
随着时间的延长,发现的漏洞会更多。面对这么多的漏洞,必须不断加补丁。
② 定期对服务器尤其是关键的服务器进行安全评估,发现其中的安全漏洞,根据专家建议进行修补。
③ 禁止从软盘、光驱引导。从软盘、光驱引导,不仅能传播计算机病毒,还可以使一些安全措施形同虚设。
④ 设置开机口令。开机口令设置在CMOS中,它的安全性是毋庸置疑的。开机口令,只要不是太简单,在开机时攻破几乎是不可能的,而且要攻击开机口令必须在本机上才能进行,这就要求攻击者必须接近被攻击的机器,并不是很多人能做到这一点。
⑤ 设置屏幕保护口令。当不使用机器时,屏幕保护口令不仅能保持工作现场,还能有效地防止非授权者使用自己的计算机,避免对计算机的安全构成威胁。
⑥ 在NT中只使用NTFS格式。
Windows NT在缺省时提供两种文件系统:
● 文件分配表(FAT);
● 新技术文件系统(NTFS)。
这两种文件系统在安全方面的差异明显,其中包括:
● FAT系统缺少错误恢复,易受损害,一旦FAT文件系统被损坏,计算机就会瘫痪甚至不正常关机;
● 使用FAT系统的硬盘,只要拿到别的机器上,几乎不需要任何安全措施就能读到其中的内容;
● FAT的大小有限,在MS-DOS和Win 95下,FAT卷限制为2GB,后来的系统使用FAT 32,但与其他任何操作系统不兼容;
● FAT系统只支持单用户,FAT是为MS-DOS的单用户操作系统开发的,它除了隐藏、只读等有限的公共属性外,无法实施其他安全防护措施。
与FAT相比,NTFS则有很大的优越性:
● NTFS有优异的容错能力,包括事项记录、热修理技术、磁盘镜像和有校验的磁盘条纹化等;
● NTFS实现了很多安全功能,包括基于用户的许可权、审计、拥有权、可靠的文件清除和上一次访问的时间标记等。
鉴于FAT与NTFS的差异,我们规定在NT上只使用NTFS。
⑦ 尽量少将应用程序设置成自动登录。
⑧ 删除不用的账号。
⑨ 采用“悲观法”进行安全设置。
8. 硬件管理
① 在交换机上定义访问属性,只允许经过认证的数据访问请求通过,非法的访问请求被拒绝并记录日志。
② 在与兄弟公司连接的唯一接点处增加一个路由器,只对经过认可的连接进行处理。
③ 厂外接入点与企业网没有数据交换者,走旁路进出。
9. 代理技术
在路由器的后面使用代理服务器。代理服务器上安装两个网络接口卡,一个网卡接到内部局域网,另一个接到Internet,这样使内部网络与Internet从物理上建立了隔离。代理服务器作为一种网关,在内部网络和Internet之间形成一道屏障,使内部网络用户可以向Internet提出请求并接收Internet信息,但它不允许入侵者访问你的内部网络,从而提高了网络的安全性。
使用代理服务器还有一个好处就是隐藏了局域网的IP地址,使Internet上只有该服务器是可见的,从内部网出来的信息都只拥有代理服务器的报头,使入侵者找不到除代理服务器之外的攻击目标。
另外,代理服务器还利用动态信息包过滤技术,使管理员能阻止或允许接收通过某些端口的某些包类型,从而也提高了网络的安全性。
在使用代理服务器时,代理服务器作为单独一个域中的主域控制器(PDC),它所使用的域对其他的域是信任域,其他的内部域则是被信任域,是提高网络安全性的一个不错的方法。
除此以外,系统还可以通过双机冗余、磁盘阵列技术及一些物理上的安全技术使整个网络系统处于最大程度的安全环境之中。
