煙草系統(tǒng)中青年論壇材料：淺談局域網(wǎng)安全內(nèi)部防范

1、logo 淺談局域網(wǎng)安全內(nèi)部防范淺談局域網(wǎng)安全內(nèi)部防范 縣煙草專賣局（分公司） -煙草系統(tǒng)中青年論壇材料煙草系統(tǒng)中青年論壇材料- company name 摘要隨著越來越多的企事業(yè)單位建立起自己的局域網(wǎng)絡(luò),并 將公司內(nèi)部的信息在局域網(wǎng)中共享,雖然局域網(wǎng)有著速度快,穩(wěn)定, 方便靈活等特性,但是其缺乏安全保障的結(jié)構(gòu)卻使其成為病毒肆 虐、資料外泄的首要薄弱環(huán)節(jié)。要更好的解決內(nèi)網(wǎng)的安全問題, 需要從各種角度看待內(nèi)網(wǎng)安全。 關(guān)鍵詞局域網(wǎng) 安全 保密 company name 一、邊際設(shè)備保護一、邊際設(shè)備保護 網(wǎng)關(guān)是內(nèi)外網(wǎng)通信的必經(jīng)之路,是外網(wǎng)聯(lián)入內(nèi)網(wǎng)的咽喉。相對來說,內(nèi)網(wǎng)的木馬 病毒都是比較少的,但是缺

2、乏隔離機制的內(nèi)網(wǎng),一旦有一臺計算機機被病毒木馬所感 染,其它的也就都陷入了非常危險的境地。 建議在網(wǎng)絡(luò)內(nèi)部使用代理網(wǎng)關(guān)。使用代理網(wǎng)關(guān)的好處在于,網(wǎng)絡(luò)數(shù)據(jù)包的交換不 會直接在內(nèi)外網(wǎng)絡(luò)之間進行。內(nèi)部計算機必須通過代理網(wǎng)關(guān),進而才能訪問到 internet,這樣操作者便可以比較方便地在代理服務(wù)器上對網(wǎng)絡(luò)內(nèi)部的計算機訪問外 部網(wǎng)絡(luò)進行限制。 在代理服務(wù)器兩端采用不同協(xié)議標準,也可以阻止外界非法訪問的入侵。還有, 代理服務(wù)的網(wǎng)關(guān)可對數(shù)據(jù)封包進行驗證和對密碼進行確認等安全管制。 所以對于一個局域網(wǎng)絡(luò)來說,在邊際處至少應當有一個初具安全防范功能的路由 器或是防火墻,以建立第一道防線。防火墻的選擇應該適當,對

3、于微小型的企業(yè)網(wǎng)絡(luò), 可從blackice、zonealarm、norton internet security、pccillin、天網(wǎng)個人防火 墻等產(chǎn)品中選擇適合于微小型企業(yè)的個人防火墻，如果是一個大型企業(yè)，建議采用 更高檔次的硬件防火墻，在出入口上加上一把鎖。 company name 而對于具有內(nèi)部網(wǎng)絡(luò)的企業(yè)來說,最好選擇在路由器上進行相關(guān)的設(shè)置或 者購買更為強大的防火墻產(chǎn)品。對于幾乎所有的路由器產(chǎn)品而言,都可以通過 內(nèi)置的ios防火墻防范部分的攻擊,而硬件防火墻的應用,可以使安全性得到進 一步加強。對于擁有數(shù)十臺、上百臺甚至以上的企業(yè),添加域控制器進行管理 是一個十分有效的方法。企業(yè)一

4、般通過代理或者路由上網(wǎng),那么可以使用“上 網(wǎng)行為管理系統(tǒng)”對內(nèi)部計算機的操作行為進行監(jiān)控,他可以對終端操作、網(wǎng) 站瀏覽和各類即時信息軟件進行監(jiān)控,并且也可以限制或禁止游戲、多媒體、 股票軟件等非工作用的軟件,還能進行網(wǎng)站的過濾,限制色情、政治或是其它各 類網(wǎng)站。 company name 二、口令安全二、口令安全 現(xiàn)在大部分人都認識到口令安全的重要性了,不過還是要重申一下:口令的位 數(shù)要盡可能的長;不要選用生日、門牌號碼、電話號碼等容易猜測的密碼作為口 令;不要在每個系統(tǒng)上都使用同一種口令;最好使用大小寫的字母和數(shù)字混合和 沒有規(guī)律的密碼作為口令,并定期改變各系統(tǒng)的口令。另外,個人私用密碼最好

5、 與工作時使用的密碼分開。 為了保障網(wǎng)絡(luò)的安全,也可以利用網(wǎng)絡(luò)操作系統(tǒng)所提供的保密措施。以 windows為例,進行用戶名登錄注冊,設(shè)置登錄密碼,設(shè)置目錄和文件訪問權(quán)限和 密碼,以控制用戶只能操作什么樣的目錄和文件,或設(shè)置用戶級訪問控制,以及通 過主機訪問internet等。為了安全起見,還可對主機的網(wǎng)絡(luò)屬性進行設(shè)置,去掉 tcp/ip協(xié)議和其他協(xié)議中的“microsoft網(wǎng)絡(luò)上的文件與打印機共享”和 “microsoft網(wǎng)絡(luò)用戶”的綁定,其他計算機也可進行同樣的設(shè)置,且可去掉 tcp/ip協(xié)議中的綁定。若使用服務(wù)器版的windows，可使用自帶的路由命令，以 防止風暴攻擊和碎片攻擊。 com

6、pany name 如圖所示設(shè)置系統(tǒng)登錄密碼 如圖所示取消網(wǎng)絡(luò)共享 company name 同時,可以加強對數(shù)據(jù)庫信息的保密 防護。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和 數(shù)據(jù)庫兩種。文件組織形式的數(shù)據(jù)缺乏 共享性,現(xiàn)已成為網(wǎng)絡(luò)存儲數(shù)據(jù)的主要 形式。由于操作系統(tǒng)對數(shù)據(jù)庫沒有特殊 的保密措施,而數(shù)據(jù)庫的數(shù)據(jù)以可讀的 形式存儲其中,所以數(shù)據(jù)庫的保密需采 取另外的方法。針對計算機及其外部設(shè) 備和網(wǎng)絡(luò)部件的泄密渠道,可以采取相 應的保密措施。 電子郵件是企業(yè)傳遞信息的主要途 徑,因此,必須對電子郵件進行加密處理, 可安裝網(wǎng)盾或采用數(shù)字簽名工具軟件 （id-sign）對所需要處理的各類文檔 進行加密。 如圖所示

7、給所需要的文件加上 數(shù)字簽名，確保文件安全性 company name 三、終端計算機防護三、終端計算機防護 一般來說,終端計算機上必然需要安裝的防護軟件就是殺毒軟件了,基本要 求就是能實時防護(特別在上外網(wǎng)的時候)、數(shù)據(jù)庫更新快,以及占用系統(tǒng)資源小。 對一個企業(yè)來講應該購買整套殺毒軟件包括服務(wù)器端以及客戶端，在各終端機 上安裝，以服務(wù)器端進行控制，確保每臺終端機器的良好運作。操作系統(tǒng)絕大 多數(shù)人用的是微軟的windows系列,主要受影響的就是在安裝軟件時不小心裝上 的那些如同“牛皮癬”一般的各類插件了,不僅占用了大量的系統(tǒng)資源和窗口空 間,影響開機速度,有時還會引起不知名的錯誤，推薦使用36

8、0安全衛(wèi)士定期進行 插件掃描和清理，同時對各終端機器嚴格限制軟件安裝的數(shù)量和種類，不得安 裝與工作無關(guān)的軟件并要求各終端機器定期從服務(wù)器上同步更新各類系統(tǒng)補丁。 定期備份重要數(shù)據(jù)也是非常重要的。一方面,硬盤數(shù)據(jù)恢復的價格一般要高 于購買硬盤的價格,而且未必能夠恢復出來;另一方面,若誤操作將重要數(shù)據(jù)刪除, 這時候備份的重要性就體現(xiàn)出來了。 company name 四、防范外部攻擊四、防范外部攻擊 目前,計算機網(wǎng)絡(luò)系統(tǒng)的安全威脅有很大一部分來自拒絕服務(wù)(dos)攻擊和計算機病 毒攻擊。為了保護網(wǎng)絡(luò)安全,也可以從這幾個方面進行。對付“拒絕服務(wù)”攻擊有效的 方法,是只允許跟整個web站臺有關(guān)的網(wǎng)絡(luò)流

9、量進入,就可以預防此類的黑客攻擊,尤其 對于icmp封包,包括ping指令等,應當進行阻絕處理。 通過安裝非法入侵偵測系統(tǒng),可以提升防火墻的性能,達到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即攔 截動作以及分析過濾封包和內(nèi)容的動作,當竊取者入侵時可以立刻有效終止服務(wù),以便 有效地預防企業(yè)機密信息被竊取。同時應限制非法用戶對網(wǎng)絡(luò)的訪問,規(guī)定具有ip地址 的工作站對本地網(wǎng)絡(luò)設(shè)備的訪問權(quán)限,以防止從外界對網(wǎng)絡(luò)設(shè)備配置的非法修改。 最后,網(wǎng)管人員還應經(jīng)常到有關(guān)網(wǎng)站下載最新的補丁程序,以便進行網(wǎng)絡(luò)維護,同時 經(jīng)常掃描整個內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全漏洞并及時補上,才能做到有備無患。 company name company nam

10、e 五、重要資料及時進行備份五、重要資料及時進行備份 為了維護企業(yè)局域網(wǎng)的安全,必須對重要資料進行備份,以防止因為各種 軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰,進而蒙受重大 損失。 對數(shù)據(jù)的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。 目前應用中的備份軟件是比較多的,例如arc serve、ca的inoculan等,配合 c a 的 災 難 恢 復 軟 件 , 可 以 較 為 全 面 地 保 護 數(shù) 據(jù) 的 安 全 。 如圖所示是使用賽門鐵克公司 出產(chǎn)的ghost備份軟件進行系統(tǒng) 映像備份 company name 六、外部環(huán)境安全六、外部環(huán)境安全 這里指的是各種pc、路由器、交換機、工作站等硬件設(shè)備和通信 鏈路的安全,主要應當注意重要設(shè)備如對外提供服務(wù)的服務(wù)器的供電以 及防止水災、火災、雷擊等自然災害,人為破壞和誤操作、外界的電磁 干擾等,物理安全的威脅可直接造成設(shè)備的損壞和數(shù)據(jù)的丟失。為防止 這