内网外网通信:内网通信安全的 9项技术措施

on 2010-3-8 in 安全 | 0 Comment
    内网是网络应用中个主要组成部分其安全性也受到越来越多重视据不完全统计国外在建设内网时投资额15%是用于加强内网网络安全在我国IT市场中安全厂商保持着旺盛增长势头运营商在内网安全方面投资比例不如国外多但依然保持着持续增长态势要提高内网安全可以使用思路方法很多本文将就此做些探讨

    采用安全交换机

    由于内网信息传输采用广播技术数据包在广播域中很容易受到监听和截获因此需要使用安全交换机利用网络分段及VLAN思路方法从物理上或逻辑上隔离网络资源以加强内网安全性

    操作系统安全

    从终端用户到服务器应用服务、以及网络安全很多技术都是运行在操作系统上因此保证操作系统安全是整个安全系统根本除了不断增加安全补丁的外还需要建立套对系统监控系统并建立和实施有效用户口令和访问控制等制度

    对重要资料进行备份

    在内网系统中数据对用户重要性越来越大实际上引起电脑数据流失或被损坏、篡改原因已经远超出了可知病毒或恶意攻击用户操作系统次意外断电以及其他些更有针对性灾难可能对用户造成损失比直接病毒和黑客攻击还要大

    为了维护企业内网安全必须对重要资料进行备份以防止各种软硬件故障、病毒侵袭和黑客破坏等原因导致系统崩溃进而蒙受重大损失

    对数据保护来说选择功能完善、使用灵活备份软件Software是必不可少目前应用中备份软件Software是比较多配合各种灾难恢复软件Software可以较为全面地保护数据安全

    使用代理网关

    使用代理网关好处在于网络数据包交换不会直接在内外网络的间进行内部计算机必须通过代理网关进而才能访问到Internet 这样操作者便可以比较方便地在代理服务器上对网络内部计算机访问外部网络进行限制

    在代理服务器两端采用区别协议标准也可以阻止外界非法访问入侵还有代理服务网关可对数据封包进行验证和对密码进行确认等安全管制

    设置防火墙

    防火墙选择应该适当对于微小型企业网络可从Norton Internet Security 、 PCcillin 、天网个人防火墙等产品中选择适合于微小型企业个人防火墙

    而对于具有内部网络企业来说则可选择在路由器上进行相关设置或者购买更为强大防火墙产品对于几乎所有路由器产品而言都可以通过内置防火墙防范部分攻击而硬件防火墙应用可以使安全性得到进步加强

    信息保密防范

    为了保障网络安全也可以利用网络操作系统所提供保密措施以Windows为例进行用户名登录注册设置登录密码设置目录和文件访问权限和密码以控制用户只能操作什么样目录和文件或设置用户级访问控制以及通过主机访问Internet等

    同时可以加强对数据库信息保密防护网络中数据组织形式有文件和数据库两种由于文件组织形式数据缺乏共享性数据库现已成为网络存储数据主要形式由于操作系统对数据库没有特殊保密措施而数据库数据以可读形式存储其中所以数据库保密也要采取相应思路方法电子邮件是企业传递信息主要途径电子邮件传递应行加密处理针对计算机及其外部设备和网络部件泄密渠道如电磁泄露、非法终端、搭线窃取、介质剩磁效应等也可以采取相应保密措施

    从攻击角度入手

    目前计算机网络系统安全威胁有很大部分来自拒绝服务(DoS)攻击和计算机病毒攻击为了保护网络安全也可以从这几个方面进行

    对付“拒绝服务”攻击有效思路方法是只允许跟整个Web站台有关网络流量进入就可以预防此类黑客攻击尤其对于ICMP封包包括ping指令等应当进行阻绝处理

    通过安装非法入侵侦测系统可以提升防火墙性能达到监控网络、执行立即拦截动作以及分析过滤封包和内容动作当窃取者入侵时可以立刻有效终止服务以便有效地预防企业机密信息被窃取同时应限制非法用户对网络访问规定具有IP地址工作站对本地网络设备访问权限以防止从外界对网络设备配置非法修改

    防范计算机病毒

    从病毒发展趋势来看现在病毒已经由单传播、单种行为变成依赖互联网传播集电子邮件、文件传染等多种传播方式融黑客、木马等多种攻击手段为广义“新病毒”计算机病毒更多呈现出如下特点:和Internet和Intranet更加紧密地结合利用切可以利用方式(如邮件、局域网、远程管理、即时通信工具等)进行传播;所有病毒都具有混合型特征集文件传染、蠕虫、木马、黑客特点于破坏性大大增强;其扩散极快不再追求隐藏性而更加注重欺骗性;利用系统漏洞将成为病毒有力传播方式

    因此在内网考虑防病毒时选择产品需要重点考虑以下几点:防杀毒方式需要全面地和互联网结合不仅有传统手动查杀和文件监控还必须对网络层、邮件客户端进行实时监控防止病毒入侵;产品应有完善在线升级服务使用户随时拥有最新防病毒能力;对病毒经常攻击应用提供重点保护;产品厂商应具备快速反应病毒检测网在病毒爆发时间即能提供解决方案;厂商能提供完整、即时反病毒咨询提高用户反病毒意识和警觉性尽快地让用户了解到新病毒特点和解决方案

    密钥管理

    在现实中入侵者攻击Intranet目标时候90%会把破译普通用户口令作为第以Unix系统或Linux 系统为例先用“ finger远端主机名”找出主机上用户账号然后用字典穷举法进行攻击这个破译过程是由来完成大概十几个小时就可以把字典里单词都完成

    如果这种思路方法不能奏效入侵者就会仔细地寻找目标薄弱环节和漏洞伺机夺取目标中存放口令文件 shadow或者passwd 然后用专用破解DES加密算法来解析口令

    在内网中系统管理员必须要注意所有密码管理如口令位数尽可能要长;不要选取显而易见信息做口令;不要在区别系统上使用同口令;输入口令时应在无人情况下进行;口令中最好要有大小写字母、、数字;定期改变自己口令;定期用破解口令来检测shadow文件是否安全没有规律口令具有较好安全性

    结语

    以上 9个方面仅是多种保障内网安全措施中部分为了更好地解决内网安全问题需要有更为开阔思路看待内网安全问题在安全方式上为了应付比以往更严峻“安全”挑战安全不应再仅仅停留于“堵”、“杀”或者“防”应该以动态方式积极主动应用来自安全挑战因而健全内网安全管理制度及措施是保障内网安全必不可少措施

Tags:  内网通信软件 内网外网通信

延伸阅读

最新评论

发表评论