如何建立安全穩(wěn)定的局域網(wǎng)
如何建立安全穩(wěn)定的局域網(wǎng)
導語:內網(wǎng)安全建設是一項系統(tǒng)工程,需要周密的設計和部署,同時內網(wǎng)安全也是一項長期的任務,這其中既包含網(wǎng)絡安全制度建設和人員安全意識培養(yǎng)層面,也包含了網(wǎng)絡安全防護系統(tǒng)建設層面。步驟/方法
11.網(wǎng)絡安全管理制度的建設
通常所說的網(wǎng)絡安全建設“三分技術,七分管理”,也就是突出了“管理”在網(wǎng)絡安全建設中所處的重要地位。長期以來,由于管理制度上的不完善、人員責任心差而導致的網(wǎng)絡攻擊事件層出不窮。
盡管在所有的網(wǎng)絡安全建設中。網(wǎng)絡安全管理制度的建設都被提到極其重要的位置,但能按相關標準制定出具有全面性、可行性、合理性的安全制度,并嚴格按其實施的項目數(shù)量并不是很多。
這一點,不得不引起用戶的重視,內網(wǎng)安全建設中,安全制度的良好實施和執(zhí)行能從很大程度上保證網(wǎng)絡的安全,同時為網(wǎng)絡的管理和長期監(jiān)控提供有理可依的指導性理論。例如,建立完善的機房管理制度、完善的網(wǎng)絡使用制度、責任到人的設備管理制度、網(wǎng)絡安全應急預案和定期網(wǎng)絡評估制度等。
22.網(wǎng)絡使用人員安全意識的培養(yǎng)
長期的安全攻擊事件分析證明,很多攻擊事件是由于人員的安全意識薄弱,無意中觸發(fā)了黑客設下的機關、打開了帶有惡意攻擊企圖的郵件或網(wǎng)頁造成的。針對這種情況,首要解決的問題是提高網(wǎng)絡使用人員的安全意識,定期進行相關的網(wǎng)絡安全知識的培訓,全面提高網(wǎng)絡使用人員的安全意識,是提高網(wǎng)絡安全性的有效手段。
在網(wǎng)絡安全防護系統(tǒng)建設層面,主要包括:
2.1.合理的網(wǎng)絡安全區(qū)域劃分
對于一個大型的局域網(wǎng)絡內部。往往會根據(jù)實際需要劃分出多個安全等級不同的區(qū)域,合理的進行安全域的劃分,利用網(wǎng)絡設備所提供的劃分VLAN技術等對網(wǎng)絡進行初步的安全防護。
2.2.網(wǎng)絡安全防護系統(tǒng)建設
當前常見的網(wǎng)絡安全防護系統(tǒng)包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計系統(tǒng)、病毒防護系統(tǒng)、非法外聯(lián)系統(tǒng)、、漏洞掃描系統(tǒng)和綜合網(wǎng)絡安全管理平臺等。
防火墻通常被用來進行網(wǎng)絡安全邊界的防護,事實證明,在內網(wǎng)中不同安全級別的安全域之間采用防火墻進行安全防護,不但能保證各安全域之間相對安全,同時對于網(wǎng)絡日常運行中,各安全域中訪問權限的調整提供了便利條件。
入侵檢測的出現(xiàn),很大程度地彌補了防火墻防外不防內的特性。同時,對網(wǎng)絡內部的信息做到了實時的監(jiān)控和預警,入侵檢測系統(tǒng)與防火墻的聯(lián)動,給內網(wǎng)中重要的安全域打造了一個動態(tài)的實時防護屏障。
利用安全審計系統(tǒng)的記錄功能,對網(wǎng)絡中所出現(xiàn)的操作和數(shù)據(jù)等做詳細的記錄,為事后攻擊事件的分析提供了有力的原始依據(jù)。
利用網(wǎng)關防病毒系統(tǒng)將病毒盡最大可能地攔截在網(wǎng)絡外部,同時在網(wǎng)絡內部采用全方位的網(wǎng)絡防病毒客戶端進行全網(wǎng)的病毒防護,針對服務器采用專有的服務器防病毒客戶端,同時保證全網(wǎng)病毒防護系統(tǒng)做到統(tǒng)一管理和病毒防護策略的統(tǒng)一。
非法外聯(lián)系統(tǒng)能有效的保證內網(wǎng)中接入節(jié)點的合法性,同時對于通過非正常鏈路連入非安全域的節(jié)點做實時預警和阻斷。
針對內網(wǎng)中重要的服務器部分,為保證訪問人員身份的合法性,采用身份認證系統(tǒng)對訪問人員身份的合法性加以確認,對訪問服務器的人員做詳細的訪問控制。
綜合網(wǎng)絡安全管理平臺
網(wǎng)絡中各安全設備協(xié)同工作,各自提供相應的安全數(shù)據(jù),綜合網(wǎng)絡安全管理平臺對各數(shù)據(jù)的統(tǒng)一并進行綜合分析,得出整個網(wǎng)絡的安全分析報告,為后續(xù)的網(wǎng)絡安全設備的策略制定和網(wǎng)絡安全制度的管理提供指導性的建議。
33.安全可控的網(wǎng)絡
當企業(yè)建設一個相對封閉的內部網(wǎng)絡時,一定要保證對該網(wǎng)絡做到完全控制,所謂完全控制,在這里包含以下幾層含義:
1.連入網(wǎng)絡的節(jié)點的監(jiān)控。內部網(wǎng)絡是相對封閉的環(huán)境,對于網(wǎng)絡中的節(jié)點信息和與連入內部網(wǎng)絡的節(jié)點,要做詳細的監(jiān)控和及時的防范。
2.非法對外訪問的監(jiān)控。內部網(wǎng)絡中的節(jié)點通過非正當渠道對外訪問,如通過Modem撥號的方式連入外部網(wǎng)絡的方式,及時發(fā)現(xiàn)并做到安全防范。
3.網(wǎng)絡數(shù)據(jù)實時監(jiān)控和審計。針對內部網(wǎng)絡中的傳輸數(shù)據(jù),通過網(wǎng)絡設備做到實時監(jiān)控,實時發(fā)現(xiàn)可疑信息并報警,同時做相應的安全審計,從而為事后的電子取證提供有力的依據(jù)。
4.實時病毒監(jiān)控。對內部網(wǎng)絡進行實時的病毒防范,對網(wǎng)絡中病毒的防護狀況做實時監(jiān)控,包括重要的服務器、工作站和工作PC等網(wǎng)絡安全系統(tǒng)。
5.全網(wǎng)的統(tǒng)一監(jiān)控。對全網(wǎng)的安全數(shù)據(jù)做到統(tǒng)一管理,統(tǒng)一下發(fā)安全策略,統(tǒng)一分析安全數(shù)據(jù),得出全網(wǎng)安全狀況和風險級別。