內(nèi)網(wǎng)通信安全的九項技術措施

2019-11-05 03:19:35

字體：大中小

供稿：網(wǎng)友

內(nèi)網(wǎng)是網(wǎng)絡應用中的一個主要組成部分，其安全性也受到越來越多的重視。據(jù)不完全統(tǒng)計，國外在建設內(nèi)網(wǎng)時，投資額的15%是用于加強內(nèi)網(wǎng)的網(wǎng)絡安全。在我國IT市場中，安全廠商保持著旺盛的增長勢頭。運營商在內(nèi)網(wǎng)安全方面的投資比例不如國外多，但依然保持著持續(xù)的增長態(tài)勢。要提高內(nèi)網(wǎng)的安全，可以使用的方法很多，本文將就此做一些探討。

　　采用安全交換機

　　由于內(nèi)網(wǎng)的信息傳輸采用廣播技術，數(shù)據(jù)包在廣播域中很輕易受到監(jiān)聽和截獲，因此需要使用安全交換機，利用網(wǎng)絡分段及VLAN的方法從物理上或邏輯上隔離網(wǎng)絡資源，以加強內(nèi)網(wǎng)的安全性。

　　操作系統(tǒng)的安全

　　從終端用戶的程序到服務器應用服務、以及網(wǎng)絡安全的很多技術，都是運行在操作系統(tǒng)上的，因此，保證操作系統(tǒng)的安全是整個安全系統(tǒng)的根本。除了不斷增加安全補丁之外，還需要建立一套對系統(tǒng)的監(jiān)控系統(tǒng)，并建立和實施有效的用戶口令和訪問控制等制度。

　　對重要資料進行備份

　　在內(nèi)網(wǎng)系統(tǒng)中數(shù)據(jù)對用戶的重要性越來越大，實際上引起電腦數(shù)據(jù)流失或被損壞、篡改的因素已經(jīng)遠超出了可知的病毒或惡意的攻擊，用戶的一次錯誤操作，系統(tǒng)的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。

　　為了維護企業(yè)內(nèi)網(wǎng)的安全，必須對重要資料進行備份，以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因?qū)е孪到y(tǒng)崩潰，進而蒙受重大損失。

　　對數(shù)據(jù)的保護來說，選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的，配合各種災難恢復軟件，可以較為全面地保護數(shù)據(jù)的安全。

　　使用代理網(wǎng)關

　　使用代理網(wǎng)關的好處在于，網(wǎng)絡數(shù)據(jù)包的交換不會直接在內(nèi)外網(wǎng)絡之間進行。內(nèi)部計算機必須通過代理網(wǎng)關，進而才能訪問到Internet ，這樣操作者便可以比較方便地在代理服務器上對網(wǎng)絡內(nèi)部的計算機訪問外部網(wǎng)絡進行限制。

　　在代理服務器兩端采用不同協(xié)議標準，也可以阻止外界非法訪問的入侵。還有，代理服務的網(wǎng)關可對數(shù)據(jù)封包進行驗證和對密碼進行確認等安全管制。

　　設置防火墻

　　防火墻的選擇應該適當，對于微小型的企業(yè)網(wǎng)絡，可從Norton Internet Security 、 PCcillin 、天網(wǎng)個人防火墻等產(chǎn)品中選擇適合于微小型企業(yè)的個人防火墻。

　　而對于具有內(nèi)部網(wǎng)絡的企業(yè)來說，則可選擇在路由器上進行相關的設置或者購買更為強大的防火墻產(chǎn)品。對于幾乎所有的路由器產(chǎn)品而言，都可以通過內(nèi)置的防火墻防范部分的攻擊，而硬件防火墻的應用，可以使安全性得到進一步加強。

　　信息保密防范

　　為了保障網(wǎng)絡的安全，也可以利用網(wǎng)絡操作系統(tǒng)所提供的保密措施。以Windows為例，進行用戶名登錄注冊，設置登錄密碼，設置目錄和文件訪問權(quán)限和密碼，以控制用戶只能操作什么樣的目錄和文件，或設置用戶級訪問控制，以及通過主機訪問Internet等。

　　同時，可以加強對數(shù)據(jù)庫信息的保密防護。網(wǎng)絡中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫兩種。由于文件組織形式的數(shù)據(jù)缺乏共享性，數(shù)據(jù)庫現(xiàn)已成為網(wǎng)絡存儲數(shù)據(jù)的主要形式。由于操作系統(tǒng)對數(shù)據(jù)庫沒有非凡的保密措施，而數(shù)據(jù)庫的數(shù)據(jù)以可讀的形式存儲其中，所以數(shù)據(jù)庫的保密也要采取相應的方法。電子郵件是企業(yè)傳遞信息的主要途徑，電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網(wǎng)絡部件的泄密渠道，如電磁泄露、非法終端、搭線竊取、介質(zhì)的剩磁效應等，也可以采取相應的保密措施。

　　從攻擊角度入手

　　目前，計算機網(wǎng)絡系統(tǒng)的安全威脅有很大一部分來自拒絕服務(DoS)攻擊和計算機病毒攻擊。為了保護網(wǎng)絡安全，也可以從這幾個方面進行。

　　對付“拒絕服務”攻擊有效的方法，是只答應跟整個Web站臺有關的網(wǎng)絡流量進入，就可以預防此類的黑客攻擊，尤其對于ICMP封包，包括ping指令等，應當進行阻絕處理。

　　通過安裝非法入侵偵測系統(tǒng)，可以提升防火墻的性能，達到監(jiān)控網(wǎng)絡、執(zhí)行立即攔截動作以及分析過濾封包和內(nèi)容的動作，當竊取者入侵時可以馬上有效終止服務，以便有效地預防企業(yè)機密信息被竊取。同時應限制非法用戶對網(wǎng)絡的訪問，規(guī)定具有ip地址的工作站對本地網(wǎng)絡設備的訪問權(quán)限，以防止從外界對網(wǎng)絡設備配置的非法修改。

　　防范計算機病毒

　　從病毒發(fā)展趨勢來看，現(xiàn)在的病毒已經(jīng)由單一傳播、單種行為，變成依靠互聯(lián)網(wǎng)傳播，集電子郵件、文件傳染等多種傳播方式，融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機病毒更多的呈現(xiàn)出如下的特點：與Internet和Intranet更加緊密地結(jié)合，利用一切可以利用的方式(如郵件、局域網(wǎng)、遠程治理、即時通信工具等)進行傳播；所有的病毒都具有混合型特征，集文件傳染、蠕蟲、木馬、黑客程序的特點于一身，破壞性大大增強；因為其擴散極快，不再追求隱藏性，而更加注重欺騙性；利用系統(tǒng)漏洞將成為病毒有力的傳播方式。

　　因此，在內(nèi)網(wǎng)考慮防病毒時選擇產(chǎn)品需要重點考慮以下幾點：防殺毒方式需要全面地與互聯(lián)網(wǎng)結(jié)合，不僅有傳統(tǒng)的手動查殺與文件監(jiān)控，還必須對網(wǎng)絡層、郵件客戶端進行實時監(jiān)控，防止病毒入侵；產(chǎn)品應有完善的在線升級服務，使用戶隨時擁有最新的防病毒能力；對病毒經(jīng)常攻擊的應用程序提供重點保護；產(chǎn)品廠商應具備快速反應的病毒檢測網(wǎng)，在病毒爆發(fā)的第一時間即能提供解決方案；廠商能提供完整、即時的反病毒咨詢，提高用戶的反病毒意識與警覺性，盡快地讓用戶了解到新病毒的特點和解決方案。

　　密鑰治理

　　在現(xiàn)實中，入侵者攻擊Intranet目標的時候，90%會把破譯普通用戶的口令作為第一步。以Unix系統(tǒng)或linux 系統(tǒng)為例，先用“ finger遠端主機名”找出主機上的用戶賬號，然后用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。

　　假如這種方法不能奏效，入侵者就會仔細地尋找目標的薄弱環(huán)節(jié)和漏洞，伺機奪取目標中存放口令的文件 shadow或者passwd 。然后用專用的破解DES加密算法的程序來解析口令。

　　在內(nèi)網(wǎng)中系統(tǒng)治理員必須要注重所有密碼的治理，如口令的位數(shù)盡可能的要長；不要選取顯而易見的信息做口令；不要在不同系統(tǒng)上使用同一口令；輸入口令時應在無人的情況下進行；口令中最好要有大小寫字母、字符、數(shù)字；定期改變自己的口令；定期用破解口令程序來檢測shadow文件是否安全。沒有規(guī)律的口令具有較好的安全性。

　　結(jié)語

　　以上九個方面僅是多種保障內(nèi)網(wǎng)安全措施中的一部分，為了更好地解決內(nèi)網(wǎng)的安全問題，需要有更為開闊的思路看待內(nèi)網(wǎng)的安全問題。在安全的方式上，為了應付比以往更嚴重的“安全”挑戰(zhàn)，安全不應再僅僅停留于“堵”、“殺”或者“防”，應該以動態(tài)的方式積極主動應用來自安全的挑戰(zhàn)，因而健全的內(nèi)網(wǎng)安全治理制度及措施是保障內(nèi)網(wǎng)安全必不可少的措施。

上一篇：對等網(wǎng)組建不求人

下一篇：如何實現(xiàn)網(wǎng)絡分段