怎樣保證局域網(wǎng)安全
隨著企業(yè)上網(wǎng)的迅猛發(fā)展,網(wǎng)絡(luò)安全問題變得越來越重要,作為一個(gè)上網(wǎng)企業(yè),必須對(duì)網(wǎng)絡(luò)安全采取一定的措施。今天學(xué)習(xí)啦帶來了一些方法,要提高局域網(wǎng)的安全,可以使用以下的方法:
對(duì)重要資料進(jìn)行備份
要維護(hù)企業(yè)局域網(wǎng)的安全, 首先必須對(duì)重要資料進(jìn)行備份,以預(yù)防各種軟硬件故障、病毒的侵襲和黑客的破壞等導(dǎo)致系統(tǒng)崩潰而遭受損失。
對(duì)保護(hù)數(shù)據(jù)來說,選擇功能完善、使用靈活的備份軟件是必不可少的。參考各種備份軟件,選擇ARCServe與CA的防病毒軟件InocuLAN,配合CA的災(zāi)難恢復(fù)軟件,便能較全面地保護(hù)數(shù)據(jù)的安全。
在網(wǎng)絡(luò)內(nèi)部使用代理網(wǎng)關(guān)
使用代理網(wǎng)關(guān)使得網(wǎng)絡(luò)數(shù)據(jù)包不能直接在內(nèi)外網(wǎng)絡(luò)之間進(jìn)行。內(nèi)部計(jì)算機(jī)必須通過代理網(wǎng)關(guān)訪問Internet,這樣容易在代理服務(wù)器上對(duì)內(nèi)部網(wǎng)絡(luò)計(jì)算機(jī)訪問外界計(jì)算機(jī)進(jìn)行限制。由于代理服務(wù)器兩端采用不同協(xié)議標(biāo)準(zhǔn)也可以直接阻止外界非法入侵。還有,代理服務(wù)的網(wǎng)關(guān)可對(duì)數(shù)據(jù)封包進(jìn)行驗(yàn)證和對(duì)密碼進(jìn)行確認(rèn)等安全管制。
設(shè)置防火墻
1.選擇適當(dāng)?shù)姆阑饓?,針?duì)小型企業(yè)局域網(wǎng),可從BlackICE、LockDown2000、ZoneAlarm、Norton Internet Securitv2001、PCcillin2001、天網(wǎng)個(gè)人防火墻2.44等選擇合適的個(gè)人防火墻。
2. 可選擇Cisco 805路由器,其路由器中都有內(nèi)置的IOS防火墻以解決安全問題,并采用Cisco交換機(jī)可視化管理器(CVSM)進(jìn)行網(wǎng)絡(luò)管理,使用Network Management software 網(wǎng)管軟件等措施對(duì)網(wǎng)絡(luò)進(jìn)行管理。
信息保密防范
1.充分利用網(wǎng)絡(luò)操作系統(tǒng)提供的保密措施。以Windows為例,進(jìn)行用戶名登錄注冊(cè),設(shè)置登錄密碼;設(shè)置目錄和文件訪問權(quán)限和密碼,以控制用戶只能操作什么樣的目錄和文件,或設(shè)置用戶級(jí)訪問控制;通過主機(jī)訪問Internet。為了安全起見,可對(duì)主機(jī)的網(wǎng)絡(luò)屬性進(jìn)行設(shè)置,去掉TCP/IP協(xié)議和其它協(xié)議中的“Microsoft網(wǎng)絡(luò)上的文件與打印機(jī)共享”和“Microsoft網(wǎng)絡(luò)用戶”的綁定,其它計(jì)算機(jī)也可進(jìn)行同樣的設(shè)置,且可去掉TCP/IP協(xié)議中的綁定。若使用Windows2000,可使用其自帶的一個(gè)Routing & Remote Access工具,設(shè)定輸入ICMP代碼255丟棄可防ICMP的風(fēng)暴攻擊和碎片攻擊。
2.加強(qiáng)數(shù)據(jù)庫(kù)的信息保密防護(hù)。網(wǎng)絡(luò)中的數(shù)據(jù)組織形式有文件和數(shù)據(jù)庫(kù)兩種。文件組織形式的數(shù)據(jù)缺乏共享性,現(xiàn)已成為網(wǎng)絡(luò)存儲(chǔ)數(shù)據(jù)的主要形式。由于操作系統(tǒng)對(duì)數(shù)據(jù)庫(kù)沒有特殊的保密措施,而數(shù)據(jù)庫(kù)的數(shù)據(jù)以可讀的形式存儲(chǔ)其中,所以數(shù)據(jù)庫(kù)的保密需采取另外的方法。如充分利用Office文檔的密碼進(jìn)行保密等。
3.針對(duì)計(jì)算機(jī)及其外部設(shè)備和網(wǎng)絡(luò)部件的泄密渠道,有電磁泄露、非法終端、搭線竊取、介質(zhì)的剩磁效應(yīng)等,可以采取相應(yīng)的保密措施。
4.電子郵件是企業(yè)傳遞信息的主要途徑,因此,必須對(duì)電子郵件進(jìn)行加密處理,可安裝網(wǎng)盾或手寫的數(shù)碼簽名onSign2.0等工具軟件。
其它方面
計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全威脅主要來自黑客攻擊、計(jì)算機(jī)病毒和拒絕服務(wù)(DoS)攻擊三個(gè)方面,則需采取相應(yīng)的措施:
1.對(duì)付“拒絕服務(wù)”的攻擊有效的方法是只允許跟整個(gè)Web站臺(tái)有關(guān)的網(wǎng)絡(luò)流量進(jìn)入,就可以預(yù)防類似的黑客攻擊,尤其是所有的ICMP封包,包括ping指令等,應(yīng)當(dāng)都要進(jìn)行封包的阻絕,因?yàn)镮CMP的服務(wù)大都是被用來發(fā)動(dòng)"拒絕服務(wù)"攻擊的。
2.安裝非法入侵的偵測(cè)系統(tǒng),它可以提升目前防火墻的功能,使兩者達(dá)到監(jiān)控網(wǎng)絡(luò)、執(zhí)行立即的攔截動(dòng)作以及分析過濾封包和內(nèi)容的動(dòng)作,當(dāng)竊取者入侵時(shí)便可以立刻有效終止。能有效地預(yù)防企業(yè)機(jī)密信息被竊取。
3. 要限制非法用戶對(duì)網(wǎng)絡(luò)的訪問,防制具有某IP地址的工作站對(duì)網(wǎng)絡(luò)設(shè)備的訪問權(quán)限,防止對(duì)網(wǎng)絡(luò)設(shè)備配置的非法修改。網(wǎng)管人員可主動(dòng)跟蹤與預(yù)防對(duì)網(wǎng)絡(luò)的非法訪問。
4.用LIDS來建立安全系統(tǒng)。LIDS( Linux入侵偵察系統(tǒng))是Linux內(nèi)核補(bǔ)丁和系統(tǒng)管理員工具(lidsadm),它加強(qiáng)了Linux內(nèi)核。
5.網(wǎng)管人員要經(jīng)常到有關(guān)網(wǎng)站上下載最新的補(bǔ)丁程序,以便進(jìn)行網(wǎng)絡(luò)維護(hù),同時(shí)經(jīng)常掃描整個(gè)內(nèi)部網(wǎng)絡(luò),以發(fā)現(xiàn)任何安全漏洞并及時(shí)補(bǔ)上,才能做到有備無患。盡量減少企業(yè)資源暴露在外部網(wǎng)上的機(jī)會(huì)和次數(shù),減少黑客進(jìn)攻的機(jī)會(huì)。將網(wǎng)絡(luò)的TCP起時(shí)限制在15分鐘以內(nèi),減少黑客入侵的機(jī)會(huì)。并擴(kuò)大連接表,增加黑客填寫整個(gè)連接表的難度。