今很多企業都建設了企業網並通過各種渠道接入了Internet,企業的運作越來越融人計算機網絡,但隨之產生的網絡安全問題也日漸明顯地擺在了網絡管理員面前。
對於網絡管理者來說,網絡的安全管理直接關系到企業工作的穩定和正常開展。而企業對安全性的要求有其自身的特殊性,除了傳統意義上的信息安全以外,還應提高對病毒、惡意攻擊以及物理設備的安全防范。
本文根據本人在企業任職多年網絡管理員的實際,側重談了下如何加強對企業網絡的安全管理。主要分別從企業內部網絡安全管理與病毒防范、企業服務器的安全、基於VLAN的企業網絡安全部署三個角度作了調查和研究。
一、企業內部網絡安全管理與病毒防范
在網絡環境下,病毒傳播擴散快,僅用單機版防病毒產品已經很難徹底防范和清除網絡病毒,必須有適合於局域網的全方位防病毒產品。
在企業網絡中,可以配置一台高性能的汁算機安裝網絡版殺毒軟件的控制端,負責管理各終端主機病毒的防治工作,在各用戶主機上安裝網絡版殺毒軟件的客戶端。通過殺毒軟件的控制台進行定時殺毒的設置和自動升級的設置,確保殺毒和升級的時效性,使網絡具有較強的防病毒能力。
(一)使用和配置防火牆
防火牆是網絡的第一道防線,一般安裝在內網與外網的交界處,如各級路由器上。利用防火牆,在網絡通訊時執行一種訪問控制尺度,允許防火牆同意訪間的用戶與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡外的黑客訪問自己的網絡,防止他們隨意更改、移動甚至刪除網絡上的重要信息。
防火牆是一種行之有效且應用廣泛的網絡安全機制,可有效防止Internet上的不安全因素蔓延到企業內部。所以,防火牆是企業網絡安全的重要一環。
(二)采用入提檢測系統
入侵檢測系統是一種對網絡傳輸進行即時監視,在發現可疑傳輸時發出警報或者采取主動反應措施的網絡安全設備。它與其他網絡安全設備的不同之處在於是一種積極主動的安全防護技術。入侵檢測系統一般要安裝在網絡的關鍵點上,如Internet接入路由器之後的第一台交換機上,在入侵檢測系統中利用審計記錄,入侵檢測系統能夠識別出任何不希望有的活動,從而達到限制這些活動,以保護系統的安全。
(三)Web, Email的安全監測系統
在網絡的WWW服務器、Email服務器等環節中使用網絡安全監測系統,實時跟蹤、監視網絡,截獲Internet網上傳輸的內容,並將其還原成完整的WWW,Email,FTP, Telnet應用的內容,建立保存相應記錄的數據庫。及時發現在網絡上傳輸的非法內容,及時采取有效措施。
(四)漏洞掃描系統
解決網絡層安全問題,首先要清楚網絡中存在哪些安全隱患、脆弱點。面對企業龐大的網絡,僅僅依靠個人的技術和經驗尋找安全漏洞、做出評估.顯然是不現實的。我們可以尋找一種能查找網絡安全漏洞、評估並提出修改建議的網絡安全掃描工具,利用優化系統配置和安裝安全補丁等多種方式最大可能地彌補最新的安全漏洞和消除安全隱患。可以利用各種黑客工具,定期對網絡模擬攻擊從而暴露出網絡的漏洞,以便更好地發現和杜絕網絡中的安全隱患。
(五)ARP病毒的防御
ARP是Address Resolution Protocol的縮寫,即地址解析協議,它是一個位於TCP/IP協議棧中的低層協議,負責將某個IP地址解析成對應的MAC地址。它是系統進行通訊的基礎。是以信任為基礎的,如果破壞了這個信任,那就形成ARP欺騙了。局域網經常會受到來自各方面的攻擊,導致不能正常工作,其中ARP攻擊是一個經常發生的攻擊,只要有一台電腦感染ARP,就可能導致整個局域網都無法上網,嚴重的甚至可能帶來整個網絡的癱瘓,這給網絡用戶造成了很大的不便,因此了解ARP攻擊原理,防御ARP攻擊是保障企業網絡正常工作應該引起重視的一個問題。目前對於ARP攻擊防御問題出現最多是綁定IP地址和MAC地址或使用ARP防護軟件。
采用綁定IP地址和MAC地址這種方式進行綁定,如果網絡中有上百台計算機,這個工作量是非常大的.所以這種方式不推薦在大型網絡中使用,企業內部更適合使用ARP防護軟件,目前ARP防護軟件很多,比較常用的ARP工具軟件主要是360ARP防火牆、AntiARP、彩影ARP防火牆等。可以在這類軟件中綁定IP地址和網關,另外這類軟件還會在提示框內出現病毒主機的MAC地址,方便我們快速找到攻擊源,然後進行清除。根據實際網絡環境,我們采取相應的防御方法,還是非常有效的。
(六)使用GHOST軟件備份操作系統
Ghost(是General Hardware Oriented Software Transfer的縮寫譯為“面向通用型硬件系統傳送器”)軟件是美國賽門鐵克公司推出的一款出色的硬盤備份還原工具,可以實現FAT16, FAT32, NTFS,OS2等多種硬盤分區格式的分區及硬盤的備份還原。該技術的應用有效地解決了計算機系統崩潰,重新安裝操作系統及後續應用程序需要花費大量時間的問題。提供了一種便捷、高效的途徑。
Ghos,的備份還原是以硬盤的扇區為單位進行的,也就是說可以將一個硬盤上的物理信息完整復制,而不僅僅是數據的簡單復制。Ghost支持將分區或硬盤直接備份到一個擴展名為.gho。的文件裡(賽門鐵克公司把這種文件稱為鏡像文件),也支持直接備份到另一個分區或硬盤裡。
網絡管理者可以在完成操作系統及各種驅動的安裝後,將常用的軟件(如殺毒、媒體播放軟件、office。辦公軟件等)安裝到系統所在盤,接著安裝操作系統和常用軟件的各種升級補丁,然後優化系統,最後做系統盤的克隆備份,這樣就可以在下次出現系統故障時免去安裝系統及相關應用軟件的麻煩,提高工作效率、節約大量的時間。
二、企業網絡服務器的安全
企業網絡服務器的安全一般可分為硬件系統安全及軟件系統安全。
(一)硬件系統的安全防護
硬件系統的安全主要是指防止意外事件或人為破壞設備。機房和機櫃的鑰匙一定要管理好,不要讓無關人員隨意進入機房;放置服務器的機房應做好防雷、防電、防火、防水、防高溫等常規防護工作。
(二)軟件系統的安全防護
同硬件系統相比,服務器軟件系統的安全問題是最多的。
1、安裝補丁程序
補丁程序即修復系統漏洞的程序。一般在一個軟件的開發過程中,一開始有很多因素是沒有考慮到的,但是隨著時問的推移,軟件所存在的問題會慢慢的被發現。這時候.為了對軟件本身存在的問題進行修復,軟件開發者會發布相應的補丁,目前大部分企業服務器使用的是微軟的Windows Server操作系統,由於使用的人比較多,漏洞不斷被發現,所以微軟也經常有新的補丁程序發布。我們應及時安裝好新的補丁程序,配置好自動升級功能,以防漏洞被非授權人員利用。
2、安裝防火牆與殺毒軟件
在企業網絡中,重要的數據通常保存在整個中心結點的服務器上,所以保證服務器免受病毒攻擊就成了保證企業網絡安全的重要任務。我們可以在服務器上安裝最新的殺毒軟件和防火牆,通過合理的配置達到防御病毒破壞,抵制非法人侵的目的。
3、加強操作系統權限管理和口令管理
刪除所有非法用戶;禁止Guest用戶,因為黑客常用Guest進行系統控制;對於Administrator則應進行改名操作並設置足夠復雜的密碼,密碼至少8個字符,至少包含四類字符中的三類,即大寫字母、小寫字母、數字,以及鍵盤上的符號。
4、關閉服務器上沒有必要的網絡服務
系統安全的最大漏洞就在於網絡服務,對於系統中沒有必要的服務我們就應關閉,往往是越精簡的系統越安全。
5、監測系統日志
系統日志即記錄系統中硬件、軟件和系統問題的信息,同時還可以監視系統中發生的事件。用戶可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡,便於及時解決出現的問題。
6、定期對服務器文件進行備份與維護
為防止不能預料的系統故障或用戶不小心的非法操作,系統管理員需要定期備份服務器上的重要文件。服務器最好采用RAID方式進行備份,重要的資料還應保存在其它服務器上或者備份在光盤中。監視服務器上資源的使用情況,刪除過期和無用的文件,確保服務器高效運行。
三、基於VLAN的企業網絡安全部署
VLAN(Virtual Local Area Network)即“虛擬局域網”。ULAN是一種將局域網設備從邏輯上劃分成一個個網段,從而實現虛擬工作組的數據交換技術。這一技術主要應用於交換機和路由器中.但主流應用還是在交換機之中。但又不是所有交換機都具有此功能,只有VLAN協議的第三層以上交換機才具有此功能。
采用通過將企業網絡劃分為虛擬網絡VLAN網段,可以強化網絡管理和網絡安全,控制不必要的數據廣播。在共享網絡中,一個物理的網段就是一個廣播域。而在交換網絡中,廣播域可以是有一組任意選定的第二層網絡地址(MAC地址)組成的虛擬網段。這樣,網絡中工作組的劃分可以突破共享網絡中的地理位置限制,而完全根據管理功能來劃分。
VLAN技術的核心是網絡分段,根據不同的應用業務以及不同的安全級別,將網絡分段並進行隔離,實現相互問的訪問控制以達到限制非法訪問的目的。為了提高網絡的安全性,應避免將企業不同部門處於同一網段,可將不同部門劃分在不同的VLAN中。設置VLAN還可以縮小ARP病毒的影響范圍,ARP病毒的有效作用域為帶毒主機所在的廣播域。
按照使用的需要在企業網內設置多個廣播域可以有效抑制由ARP病毒發作造成的廣播風暴。ULAN技術很好地解決了網絡管理的問題,提高了網絡的安全性。
企業網絡安全是一個系統性工程,不能僅僅依靠技術,還需要建立相應的管理制度,將各種技術與管理手段結合在一起,就能生成一個高效、通用、安