摘要:文章分析了局域網(wǎng)的安全管理所涉及的問題,并根據(jù)自己的經(jīng)驗提出了相應(yīng)的解決方法。
關(guān)鍵字:系統(tǒng)、防火墻、INTERNET、信息安全、數(shù)據(jù)庫、病毒
隨著計算機信息技術(shù)的發(fā)展,網(wǎng)絡(luò)已成為我們生活的重要組成部分。但網(wǎng)絡(luò)在應(yīng)用過程中也會帶來許多問題,由于頻繁使用互聯(lián)網(wǎng),病毒的傳播日益猖獗,黑客的攻擊也越來越多,給局域網(wǎng)數(shù)據(jù)的管理、網(wǎng)絡(luò)的安全帶來很多問題,筆者從事局域網(wǎng)的管理工作多年,結(jié)合自己的工作實際,提出一些關(guān)于局域網(wǎng)的安全管理方面的經(jīng)驗與教訓(xùn),供大家借鑒。
我們單位的局域網(wǎng)綜合了公司生產(chǎn)管理、經(jīng)營管理、物資管理、安全管理、生產(chǎn)日報、月報等各方面的許多信息,并且這些信息都是每天靠相關(guān)專業(yè)人員寫進數(shù)據(jù)庫的,因此在使用中出現(xiàn)了許多問題,但通過我們的努力工作,網(wǎng)絡(luò)運行狀況一直良好。經(jīng)驗告訴我們:要管好局域網(wǎng),必須由局域網(wǎng)用戶和管理員共同來努力。
一.網(wǎng)絡(luò)管理員應(yīng)作到的安全措施
1.加強服務(wù)器主機的獨立性
局域網(wǎng)中,通常有一臺以上的主服務(wù)器,提供所有計算機的連結(jié)并控制.這臺計算機就是黑客攻擊的主要目標(biāo).因此,企業(yè)內(nèi)部應(yīng)對服務(wù)器主機的安全性加強控制,盡可能將其獨立,不要將重要資料放置此處,將重要資料獨立放在內(nèi)部機器上,這樣可保證資料的安全性、完整性。
2.網(wǎng)絡(luò)分段
把網(wǎng)絡(luò)上相互間沒有直接關(guān)系的系統(tǒng)分布在不同的網(wǎng)段,由于各網(wǎng)段
間不能直接互訪,從而減少各系統(tǒng)被正面攻擊的機會。以前,網(wǎng)段分離是
物理概念,組網(wǎng)單位要為各網(wǎng)段單獨購置集線器等網(wǎng)絡(luò)設(shè)備?,F(xiàn)在有了虛
擬網(wǎng)技術(shù),網(wǎng)段分離成為邏輯概念,網(wǎng)絡(luò)管理員可以在網(wǎng)絡(luò)控制臺上對網(wǎng)
段做任意劃分。
網(wǎng)絡(luò)分段可分為物理分段和邏輯分段兩種方式:
物理分段通常是指將網(wǎng)絡(luò)從物理層和數(shù)據(jù)鏈路層(ISO/OSI)模型中的第一層和第二層)上分為若干網(wǎng)段,各網(wǎng)段相互之間無法進行直接通訊。目前,許多交換機都有一定的訪問控制能力,可實現(xiàn)對網(wǎng)絡(luò)的物理分段。
邏輯分段則是指將整個系統(tǒng)在網(wǎng)絡(luò)層(ISO/OSI模型中的第三層)上進行分段。例如,對于TCP/IP網(wǎng)絡(luò),可把網(wǎng)絡(luò)分成若干IP子網(wǎng),各子網(wǎng)間必須通過路由器、路由交換機、網(wǎng)關(guān)或防火墻等設(shè)備進行連接,利用這些中間設(shè)備(含軟件、硬件)的安全機制來控制各子網(wǎng)間的訪問。在實際應(yīng)用過程中,通常采取物理分段與邏輯分段相結(jié)合的方法來實現(xiàn)對網(wǎng)絡(luò)系統(tǒng)的安全性控制。
3.防火墻技術(shù)
如果網(wǎng)絡(luò)在沒有防火墻的環(huán)境中,網(wǎng)絡(luò)安全性完全依賴主系統(tǒng)的安全性。在一定意義上,所有主系統(tǒng)必須通力協(xié)作來實現(xiàn)均勻一致的高級安全性。子網(wǎng)越大,把所有主系統(tǒng)保持在相同的安全性水平上的可管理能力就越小,隨著安全性的失策和失誤越來越普遍,入侵就時有發(fā)生。防火墻有助于提高主系統(tǒng)總體安全性。 防火墻的基本思想——不是對每臺主機系統(tǒng)進行保護,而是讓所有對系統(tǒng)的訪問通過某一點,并且保護這一點,并盡可能地對外界屏蔽保護網(wǎng)絡(luò)的信息和結(jié)構(gòu)。它是設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外界之間的一道屏障,它可以實施比較廣泛的安全政策來控制信息流,防止不可預(yù)料的潛在的入侵破壞。防火墻系統(tǒng)可以是路由器,也可以是個人機、主系統(tǒng)或者是一批主系統(tǒng),專門用于把網(wǎng)點或子網(wǎng)同那些可能被子網(wǎng)外的主系統(tǒng)濫用的協(xié)議和服務(wù)隔絕。 防火墻可以從通信協(xié)議的各個層次以及應(yīng)用中獲取、存儲并管理相關(guān)的信息,以便實施系統(tǒng)的訪問安全決策控制。防火墻的技術(shù)已經(jīng)經(jīng)歷了三個階段,即包過濾技術(shù)、代理技術(shù)和狀態(tài)監(jiān)視技術(shù)。
防火墻是一種用來阻止外面的未經(jīng)授權(quán)的用戶的非法訪問你的網(wǎng)絡(luò)下的設(shè)備的工具,它通常是軟件和硬件的結(jié)合體。
為了更好地理解防火墻的工作原理,我們就使用以前提到過的例子來說明.首先,大多數(shù)網(wǎng)絡(luò)身份驗證除了用戶帳號和口令之外的,就是IP地址,IP地址是INTERNET網(wǎng)絡(luò)上最普遍的身份索引,它有動態(tài)和靜態(tài)兩種。
(1)動態(tài)IP地址指每次強制分配給不同上網(wǎng)機器的主機的地址。ISP提供的撥號服務(wù)通常是分配動態(tài)IP地址,一個撥號計算機通常每次撥號都有一個不同的IP但是總有一個范圍。
(2)靜態(tài)IP地址是固定不變的地址,它可以是某臺連入Internet的主機地址,靜態(tài)IP分幾類,一類是whois可以查詢到的,并且此類IP地址主要是Internet中最高層主機的地址,這些主機可以是域名服務(wù)器,httpd服務(wù)器(Web Server)、郵件服務(wù)器、BBS主機或者網(wǎng)絡(luò)棋類游戲服務(wù)器。另一類靜態(tài)IP地址被分配給Internet網(wǎng)絡(luò)中的第二層和第三層的主機,這些機器有固定的物理地址。然而他們不一定有注冊的主機名。
4.使用企業(yè)級殺毒軟件
在網(wǎng)絡(luò)病毒日益猖獗的今天,不管人們多么小心翼翼,仍然會難免碰翻病毒這個“潘多拉”盒子。在這時候,選擇一個功力高深的網(wǎng)絡(luò)版病毒“殺手”就至關(guān)重要了。一般而言,查殺是否徹底細致,界面是否友好方便,能否實現(xiàn)遠程控制、集中管理是決定一個“殺手”的三大要素?,F(xiàn)在病毒日益猖獗,日常需要寫入服務(wù)器的單機的安全也特別重要,我建議購買企業(yè)版殺毒軟件,并控制寫入服務(wù)器的客戶端,網(wǎng)管可以隨時殺毒,保證寫入數(shù)據(jù)的安全性,服務(wù)器的安全性。
最好選擇從事反病毒行業(yè)歷史比較悠久,在市場上有較高知名度企業(yè)研發(fā)的產(chǎn)品,千萬不能貪便宜選擇不知名廠商生產(chǎn)的廉價產(chǎn)品,不僅產(chǎn)品質(zhì)量、售后服務(wù)得不到保證,而且一旦造成損失,將會得不償失。
5.防止黑客攻擊
隨著寬帶網(wǎng)絡(luò)的普及,個人服務(wù)器、家庭局域網(wǎng)如雨后春筍般出現(xiàn)在小區(qū)局域網(wǎng)和校園網(wǎng)中,他們根據(jù)自己的喜好開設(shè)的各種各樣的共享服務(wù),為廣大網(wǎng)蟲們提供了豐富的共享資源,但由于自身的精力與資金的原因不能建立完善的防護體系,往往成為黑客和準(zhǔn)黑客們的試驗品,造成數(shù)據(jù)的丟失或硬件的損壞。因此如何保證網(wǎng)絡(luò)安全及自身機器的安全就成了一個越來越重要的問題。