从多个方面全面管理 建立网络安全体系.docVIP

?硅谷动力 摘要：对一个覆盖面广、线路交错、网络设备复杂、操作系统繁多的网络来说，网络的复杂性要求必须有一个全面的网络安全解决方案。为此，建议从以下几个方面建立安全体系。 ? 资料显示，目前与网络连通性相关的计算机安全问题主要有三种： ● 非授权访问： 没有访问权的人访问授权之外的资源; ● 信息泄露： 有价值或机密信息泄露给无权访问该信息的人; ● 拒绝服务： 使系统难以或不能执行预定任务，使用户服务请求不能响应。 与此相对应，入侵者要侵入(或破坏)一台网络上的主机，一般会由下列几种方式达到其目的： ● 找出该网络主机上的服务程序的设计缺陷; ● 找出该网络通信协议的安全漏洞; ● 借由某种手段使该网络主机瘫痪; ● 困扰主机上的系统管理员，降低其工作能力。 无论是哪种方式，都是对网络的重大威胁，都必须给予充分地重视，然后采取必要的有效措施，防患于未然。 对一个覆盖面广、线路交错、网络设备复杂、操作系统繁多的网络来说，网络的复杂性要求必须有一个全面的网络安全解决方案。为此，建议从以下几个方面建立安全体系。 1. 防火墙技术 在与互联网连接的网关上安装防火墙，通过分组过滤和IP伪装，监视网络内外的通信，以起到对内部网的保护作用。 2.用户身份验证技术 根据每个用户的工作范围、功能需求，建立相应的账号，设定相应的权限，做好记录并进行定期的巡查;利用操作系统对用户的登录需求进行辨别，合法用户则对其登录信息和退出信息进行记录，对非法用户则予以拒绝并对多次频繁出现的非法访问进行记录并跟踪。 3. 入侵检测技术 通过该技术保护与Internet连接的系统不受恶意代码的破坏。其功能包括实时袭击干预、自动探测、阻止和通知各类恶意袭击的内容如Java、ActiveX和病毒。自动的攻击特征文件更新功能与预先制定的政策相结合，能保证用户在潜在的攻击发生之前抢先一步进行防御。具有自动攻击特征文件更新功能的集成式防病毒机制，通过“探测、报警、预防”的方法来保护网络，具备实时反入侵检测、基于政策的报警以及自动预防功能。其他保护功能包括通过动态的URL阻断和登录来强化企业政策等。 4. 口令管理 最简单实用的网络安全措施就是设置口令，据CERT估计，约80%的网络安全问题是由于不良的口令造成的，因此我们对设置口令制定了以下安全措施。 ① 所有账户都设有口令。 ② 口令长度都设有下限。 ③ 定义口令的存活期，禁止自始至终一成不变的用户口令。 ④ 不准使用用户名(账号)作为口令。 ⑤ 不准使用用户名(账号)的变换形式作为口令。 ⑥ 不准使用自己或者亲友的生日作为口令。 ⑦ 不准使用常用的英文单词作为口令。 5. 病毒防治 计算机病毒是对计算机网络重大的安全威胁。大部分人都曾领教过在单机上的计算机病毒，但单机的病毒一般能查出病毒的来源，网络病毒往往是在毫不知情的情况下悄悄入驻，令人防不胜防，而且网络病毒不一定发生在个人机上，只要造成网络瘫痪和网络效率降低，对使用者来说也是不能忍受的。因此，采用适当的措施防治病毒，也是减少和避免文件损坏、提高网络安全的重要措施。 ① 建立病毒防火墙，及时查杀服务器、客户端病毒。 ② 限制共享目录及读写权限的使用。 ③ 限制网上软件的下载和禁用盗版软件。 ④ 对进出企业网的邮件先查毒后使用。 ⑤ 将服务器上某些可执行文件的写属性设为禁止。 6. 网络管理 网络的正常运行，很重要的一个方面是加强对网络的管理。 ① 使用网管软件，对网络流量进行适当监控。 ② 合理划分网段，减少无用的广播包对网络攻击的风险。 ③ 使用网络日志。 ④ 通过定义虚拟子网隔断非法访问。 ⑤ 限制远程登录的使用。 ⑥ 通过IP地址与网卡MAC地址捆绑的方法，防止IP盗用。 ⑦ 禁止企业网内用Modem上网。 7. 系统管理 ① 在各种操作系统使用最新的补丁。各种操作系统，即使是像Windows操作系统都存在着很多Bugs。有资料统计表明，Unix、NT等着名网络操作系统都有数目不同的漏洞，见下表。 随着时间的延长，发现的漏洞会更多。面对这么多的漏洞，必须不断加补丁。 ② 定期对服务器尤其是关键的服务器进行安全评估，发现其中的安全漏洞，根据专家建议进行修补。 ③ 禁止从软盘、光驱引导。从软盘、光驱引导，不仅能传播计算机病毒，还可以使一些安全措施形同虚设。 ④ 设置开机口令。开机口令设置在CMOS中，它的安全性是毋庸置疑的。开机口令，只要不是太简单，在开机时攻破几乎是不可能的，而且要攻击开机口令必须在本机上才能进行，这就要求攻击者必须接近被攻击的机器，并不是很多人能做到这一点。 ⑤ 设置屏幕保护口令。当不使用机器时，屏幕保护口令不仅能保持工作现场，还能有效地防止非授权者使用自己的计算机，避免对计算机的安全构成威胁。 ⑥ 在NT中只使用NTFS格式。 Window