淺談局域網安全內部防范

薛惠茗

[摘要]隨著越來越多的企事業單位建立起自己的局域網絡,并將公司內部的信息在局域網中共享,雖然局域網有著速度快,穩定,方便靈活等特性,但是其缺乏安全保障的結構卻使其成為病毒肆虐、資料外泄的首要薄弱環節。要更好的解決內網的安全問題,需要從各種角度看待內網安全。

[關鍵詞]局域網 安全 保密

一、邊際設備保護

網關是內外網通信的必經之路,是外網聯入內網的咽喉。相對來說,內網的木馬病毒都是比較少的,但是缺乏隔離機制的內網,一旦有一臺計算機被病毒木馬所感染,其它的也就都陷入了非常危險的境地。

建議在網絡內部使用代理網關。使用代理網關的好處在于,網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關,進而才能訪問到Internet,這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。

在代理服務器兩端采用不同協議標準,也可以阻止外界非法訪問的入侵。還有,代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。

所以對于一個局域網絡來說,在邊際處至少應當有一個初具安全防范功能的路由器或是防火墻,以建立第一道防線。防火墻的選擇應該適當,對于微小型的企業網絡,可從BlackICE、LockDown2000、ZoneAlarm、Norton Internet Securitv2001、PCcillin2001、天網個人防火墻等產品中選擇適合于微小型企業的個人防火墻。

而對于具有內部網絡的企業來說,最好選擇在路由器上進行相關的設置或者購買更為強大的防火墻產品。對于幾乎所有的路由器產品而言,都可以通過內置的IOS防火墻防范部分的攻擊,而硬件防火墻的應用,可以使安全性得到進一步加強。對于擁有數十臺、上百臺甚至以上的企業,添加域控制器進行管理是一個十分有效的方法。企業一般通過代理或者路由上網,那么可以使用“網盾IPtrust內網安全管理系統”對內部計算機的操作行為進行監控,他可以對終端操作、網站瀏覽和各類即時信息軟件進行監控,并且也可以限制或禁止游戲、多媒體、股票軟件等非工作用的軟件,還能進行網站的過濾,限制色情、政治或是其它各類網站。

二、口令安全

現在大部分人都認識到口令安全的重要性了,不過還是要重申一下:口令的位數要盡可能的長;不要選用生日、門牌號碼、電話號碼等容易猜測的密碼作為口令;不要在每個系統上都使用同一種口令;最好使用大小寫的字母和數字混合和沒有規律的密碼作為口令,并定期改變各系統的口令。另外,個人私用密碼最好與工作時使用的密碼分開。

為了保障網絡的安全,也可以利用網絡操作系統所提供的保密措施。以Windows為例,進行用戶名登錄注冊,設置登錄密碼,設置目錄和文件訪問權限和密碼,以控制用戶只能操作什么樣的目錄和文件,或設置用戶級訪問控制,以及通過主機訪問Internet等。為了安全起見,還可對主機的網絡屬性進行設置,去掉TCP/IP協議和其他協議中的“Microsoft網絡上的文件與打印機共享”和“Microsoft網絡用戶”的綁定,其他計算機也可進行同樣的設置,且可去掉TCP/IP協議中的綁定。若使用Windows2000,可使用其自帶的一個Routing amp; Remote Access工具,設定輸入ICMP代碼255丟棄可防ICMP的風暴攻擊和碎片攻擊。

同時,可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。文件組織形式的數據缺乏共享性,現已成為網絡存儲數據的主要形式。由于操作系統對數據庫沒有特殊的保密措施,而數據庫的數據以可讀的形式存儲其中,所以數據庫的保密需采取另外的方法。針對計算機及其外部設備和網絡部件的泄密渠道,可以采取相應的保密措施。

電子郵件是企業傳遞信息的主要途徑,因此,必須對電子郵件進行加密處理,可安裝網盾或手寫的數碼簽名onSign2.0等工具軟件。

三、終端計算機防護

一般來說,終端計算機上必然需要安裝的防護軟件就是殺毒軟件了,基本要求就是能實時防護(特別在上外網的時候)、數據庫更新快,以及占用系統資源小。個人強烈推薦使用kaspersky,技術實力沒的說,俄國技術,病毒數據庫每天更新兩次,并承諾對新病毒的響應時間為30分鐘,使用起來也比較方便,又有漢化版,好處說不完(唯一缺點就是不是國產的,使用它不能算支持民族企業了)。

操作系統絕大多數人用的是微軟的windows系列,主要受影響的就是在安裝軟件時不小心裝上的那些如同“牛皮癬”一般的各類插件了,不僅占用了大量的系統資源和窗口空間,影響開機速度,有時還會引起不知名的錯誤。值得注意的是系統補丁也要及時打上。

定期備份重要數據也是非常重要的。一方面,硬盤數據恢復的價格一般要高于購買硬盤的價格,而且未必能夠恢復出來;另一方面,若誤操作將重要數據刪除,這時候備份的重要性就體現出來了。

四、防范外部攻擊

目前,計算機網絡系統的安全威脅有很大一部分來自拒絕服務(DoS)攻擊和計算機病毒攻擊。為了保護網絡安全,也可以從這幾個方面進行。對付“拒絕服務”攻擊有效的方法,是只允許跟整個Web站臺有關的網絡流量進入,就可以預防此類的黑客攻擊,尤其對于ICMP封包,包括ping指令等,應當進行阻絕處理。

通過安裝非法入侵偵測系統,可以提升防火墻的性能,達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作,當竊取者入侵時可以立刻有效終止服務,以便有效地預防企業機密信息被竊取。同時應限制非法用戶對網絡的訪問,規定具有IP地址的工作站對本地網絡設備的訪問權限,以防止從外界對網絡設備配置的非法修改。

最后,網管人員還應經常到有關網站下載最新的補丁程序,以便進行網絡維護,同時經常掃描整個內部網絡,以發現任何安全漏洞并及時補上,才能做到有備無患。

五、重要資料及時進行備份

為了維護企業局域網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。

對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,例如ARC Serve、CA的InocuLAN等,配合CA的災難恢復軟件,可以較為全面地保護數據的安全。

六、外部環境安全

這里指的是各種PC、路由器、交換機、工作站等硬件設備和通信鏈路的安全,主要應當注意重要設備如對外提供服務的服務器的供電以及防止水災、火災、雷擊等自然災害,人為破壞和誤操作、外界的電磁干擾等,物理安全的威脅可直接造成設備的損壞和數據的丟失。為防止這類事故要建立機房的管理制度,并嚴格執行,在基建階段就要做好機房、電源的防雷工作。