企业网络安全建设引言
随着电子信息和计算机技术的发展,计算机网络已逐步成为当今社会发展的一个主题,网络已渗透到经济和生活的各个领域,众多的企业、组织、政府部门与机构都在组建和发展自己的网络。并连接到互联网上,以充分共享、利用网络的信息和瓷源。
网络安全方案设计分析
(一)网络系统安全分析
网络入侵者通常有以下步骤进行入侵:
1、信息收集。
信息收集是为了了解所要攻击目标的详细信息,通常黑客利用相关的网络协议或实用程序来收集,如用SNWP协议可用来查看路由器的路由表,了解目标主机内部拓扑结构的细节,用TraceRoute程序可获得到达目标主机所要经过的网络数和路由数,用Ping程序可以检测一个指定主机的位置并确定是否可到达等。
2、探测分析系统的安全弱点。
在收集到目标的相关信息以后,黑客会探测网络上的每一台主机,以寻求系统的安全漏洞或安全弱点,黑客一般会使用Telnet、FTP等软件向目标主机申请服务,如果目标主机有应答就说明开放了这些端口的服务,其次使用一些公开的工具软件如Internet安全扫描程序ISS、两络安全分析工具SATAN等来对整个网络或子网进行扫描,寻求系统的安全漏洞,获取攻击目标系统的非法访问权。
3、实施攻击在获得了目标系统的非法访问权以后,黑客一般会实施以下的攻击:试图毁掉入侵的痕迹,并在受到攻击的目标系统中建立新的安全漏洞或后门,以便在先前的攻击点被发现以后能继续访问该系统:在目标系统安装探测器软件,如特洛伊木马程序,用来窥探目标系统的活动,继续收集黑客感兴趣的一切信息,如帐号与口令等敏感数据;进一步发现目标系统的信任等级,以展开对整个系统的攻击;如果黑客在被攻击的目标系统上获得了特许访问权,那么他就可以读取邮件,搜索和盗取私人文件,毁坏重要数据以至破坏整个网络系统,那么后果将不堪设想,黑客攻击通常采用以下几种典型的攻击方式:密码破解、IP欺骗(Spoofing)与嗅探(Sniffing),系统漏洞,端口扫描。(二)网络安全方案分类
通过对网络系统的全面了解,按照网络风险分析结果、安全策略的要求、安全目标及整个网络安全方案的设计原则,整个网络安全措施应按系统整体建立,具体的安全控制系统由以下几个方面组成,保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提,物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程,网络结构的安全主要指,网络拓扑结构是否合理;线路是否有冗余:路由是否冗余,防止单点失败等,工行网络在设计时,比较好的考虑了这些因素,可以说网络结构是比较合理的、比较安全的.
对于操作系统的安全防范可以采取如下策略:尽量采用安全性较高的网络操作系统并进行必要的安全配置、关闭一些起不常用却存在安全隐患的应用、对一些保存有用户信息及其口令的关键文件(如UNIX下:/.host、etc/host、passwd、shadow,、group等;WindowsNT下的LMHOST、SAM等)使用权限进行严格限制等等方法。访问控制可以通过如下几个方面来实现,比如制定严格的管理制度,配备相应的安全设备,通过交换机划分VLILN,使用应用代理。
数据的机密性与完整性,主要是为了保护在网上传送的涉及企业秘密的信息,经过配备加密设备,使得在网上传送的数据是密文形式,而不是明文,可以选择以下几种方式:链路层加密,网络层加密,入侵检测等,数据保护所包含的内容比较广,除了前面讲过的访问控制和通信保密外,还包括以下几个方面:制定明确的数据保护策略和管理制度保护镱略,可以制定如下管理制度: 《系统信息安全保密等级划分及保护规范》、《数据安全管理办法》、《上网数据的审批规定》。
安全审计主要通过如下几方面实现:制订审计策略和管理制度,使用安全审计设备和软件、网络监视系统等方法,防病毒措施主要包括技术和管理方面,技术上可在服务器中安装服务器端防病毒系统,以提供对病毒的检测、清除、免疫和对抗能力,在客户端的主机也应安装单机防病毒软件,将病毒在本地清除而不至于扩散到其他主机或服务器。
管理上应制定一整套有关的规章制度,如:不许使用来历不明的软件或盗版软件,软盘使用前要首先进行杀毒等,只有提高了工作人员的安全意识,并自觉遵守有关规定,才能从根本上防止病毒对网络信息系统的危害,备份恢复,对重要设备系统进行备份。数据备份则主要通过磁盘、磁带、光盘等介质来进行。
网络安全在企业中的建设是很重要的环节,企业在这方面是不能疏忽的,在以后的文章中,我们还会继续向大家介绍:浅析如何加强中小型企业网络安全建设 下篇
【编辑推荐】
