如何保證區域網安全
隨著企業上網的迅猛發展,網路安全問題變得越來越重要,作為一個上網企業,必須對網路安全採取一定的措施。今天就根據本人的工作經驗,談一些這方面的觀點。要提高區域網的安全,可以使用以下的方法:
對重要資料進行備份
要維護企業區域網的安全, 首先必須對重要資料進行備份,以預防各種軟硬體故障、病毒的侵襲和黑客的破壞等導致系統崩潰而遭受損失。
對保護資料來說,選擇功能完善、使用靈活的備份軟體是必不可少的。參考各種備份軟體,選擇ARCServe與CA的防病毒軟體InocuLAN,配合CA的災難恢復軟體,便能較全面地保護資料的安全。
在網路內部使用代理閘道器
使用代理閘道器使得網路資料包不能直接在內外網路之間進行。內部計算機必須通過代理閘道器訪問Internet,這樣容易在代理伺服器上對內部網路計算機訪問外界計算機進行限制。由於代理伺服器兩端採用不同協議標準也可以直接阻止外界非法入侵。還有,代理服務的閘道器可對資料封包進行驗證和對密碼進行確認等安全管制。
設定防火牆
1.選擇適當的防火牆,針對小型企業區域網,可從BlackICE、LockDown2000、ZoneAlarm、Norton Internet Securitv2001、PCcillin2001、天網個人防火牆2.44等選擇合適的個人防火牆。
2. 可選擇Cisco 805路由器,其路由器中都有內建的IOS防火牆以解決安全問題,並採用Cisco交換機視覺化管理器***CVSM***進行網路管理,使用Network Management software 網管軟體等措施對網路進行管理。
資訊保密防範
1.充分利用網路作業系統提供的保密措施。以Windows為例,進行使用者名稱登入註冊,設定登入密碼;設定目錄和檔案訪問許可權和密碼,以控制使用者只能操作什麼樣的目錄和檔案,或設定使用者級訪問控制;通過主機訪問Internet。為了安全起見,可對主機的網路屬性進行設定,去掉TCP/IP協議和其它協議中的“Microsoft網路上的檔案與印表機共享”和“Microsoft網路使用者”的繫結,其它計算機也可進行同樣的設定,且可去掉TCP/IP協議中的繫結。若使用Windows2000,可使用其自帶的一個Routing & Remote Access工具,設定輸入ICMP程式碼255丟棄可防ICMP的風暴攻擊和碎片攻擊。
2.加強資料庫的資訊保密防護。網路中的資料組織形式有檔案和資料庫兩種。檔案組織形式的資料缺乏共享性,現已成為網路儲存資料的主要形式。由於作業系統對資料庫沒有特殊的保密措施,而資料庫的資料以可讀的形式儲存其中,所以資料庫的保密需採取另外的方法。如充分利用Office文件的密碼進行保密等。
3.針對計算機及其外部裝置和網路部件的洩密渠道,有電磁洩露、非法終端、搭線竊取、介質的剩磁效應等,可以採取相應的保密措施。
4.***是企業傳遞資訊的主要途徑,因此,必須對***進行加密處理,可安裝網盾或手寫的數碼簽名onSign2.0等工具軟體。
其它方面
計算機網路系統的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務***DoS***攻擊三個方面,則需採取相應的措施:
1.對付“拒絕服務”的攻擊有效的方法是隻允許跟整個Web站臺有關的網路流量進入,就可以預防類似的黑客攻擊,尤其是所有的ICMP封包,包括ping指令等,應當都要進行封包的阻絕,因為ICMP的服務大都是被用來發動"拒絕服務"攻擊的。
2.安裝非法入侵的偵測系統,它可以提升目前防火牆的功能,使兩者達到監控網路、執行立即的攔截動作以及分析過濾封包和內容的動作,當竊取者入侵時便可以立刻有效終止。能有效地預防企業機密資訊被竊取。
3. 要限制非法使用者對網路的訪問,防制具有某IP地址的工作站對網路裝置的訪問許可權,防止對網路裝置配置的非法修改。網管人員可主動跟蹤與預防對網路的非法訪問。
4.用LIDS來建立安全系統。LIDS*** Linux入侵偵察系統***是Linux核心補丁和系統管理員工具***lidsadm***,它加強了Linux核心。
5.網管人員要經常到有關網站上下載最新的補丁程式,以便進行網路維護,同時經常掃描整個內部網路,以發現任何安全漏洞並及時補上,才能做到有備無患。儘量減少企業資源暴露在外部網上的機會和次數,減少黑客進攻的機會。將網路的TCP起時限制在15分鐘以內,減少黑客入侵的機會。並擴大連線表,增加黑客填寫整個連線表的難度。