目前，網(wǎng)絡(luò)中各式各樣的非法攻擊，讓人防不勝防。為了遠離惡意攻擊，我們必須要對網(wǎng)絡(luò)進行層層設(shè)防，才能有效提升網(wǎng)絡(luò)安全的保障能力。

　　對黑客入侵進行設(shè)防

　　黑客攻擊現(xiàn)在是層出不窮，以商業(yè)利益和經(jīng)濟利益為主的非法攻擊正大行其道，其利用的攻擊技術(shù)也是讓人眼花繚亂，例如：惡意用戶使用網(wǎng)絡(luò)監(jiān)聽技術(shù)來截獲內(nèi)網(wǎng)用戶的登錄賬號信息，并冒充內(nèi)網(wǎng)的合法用戶進行惡意登錄，獲取內(nèi)網(wǎng)中的重要數(shù)據(jù)信息;惡意用戶通過網(wǎng)絡(luò)嗅探工具來掃描測試內(nèi)網(wǎng)客戶端系統(tǒng)和網(wǎng)絡(luò)設(shè)備存在的安全漏洞和關(guān)鍵信息，如開放的TCP端口、網(wǎng)絡(luò)IP地址、操作系統(tǒng)類型、保存登錄賬號的系統(tǒng)文件，并利用這些信息嘗試進行內(nèi)網(wǎng)攻擊;惡意用戶通過對內(nèi)網(wǎng)的重要服務(wù)器進行不停地ping攻擊，造成目標服務(wù)器系統(tǒng)有限的系統(tǒng)資源被過度消耗，最終使得服務(wù)器系統(tǒng)不能正常工作，甚至發(fā)生癱瘓現(xiàn)象等。

　　由于單位內(nèi)部網(wǎng)絡(luò)常常會涉及到單位的許多隱私信息，甚至會涉及到重大的商業(yè)秘密，防范黑客進行惡意攻擊，保護重要數(shù)據(jù)的安全顯得更加重要、更加迫切：

　　1、保護邊界安全

　　單位內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)進行數(shù)據(jù)交換傳輸是單位日常辦公的必然要求，因此，任何嚴格的安全防范措施也難保證內(nèi)網(wǎng)不存在安全漏洞，所以我們有必要在單位內(nèi)網(wǎng)的邊界位置處設(shè)立信息安全島。借助信息安全島，來將單位內(nèi)網(wǎng)中的信息與外網(wǎng)中的信息實現(xiàn)物理隔離，確保內(nèi)、外網(wǎng)在交換、傳輸數(shù)據(jù)信息時能夠安全地進行。

　　所謂信息安全島，其實就是一個獨立的過渡網(wǎng)絡(luò)，它既不屬于單位內(nèi)部網(wǎng)絡(luò)，也不屬于外部網(wǎng)絡(luò)，它所處的位置就在內(nèi)、外網(wǎng)的交界處，它的作用就是既要將單位內(nèi)網(wǎng)與外網(wǎng)物理隔離開來，避免黑客直接入侵到單位內(nèi)網(wǎng)系統(tǒng)，又要保證內(nèi)、外網(wǎng)的數(shù)據(jù)信息能夠正常地進行交換傳輸。信息安全島在工作的時候，會通過一定的技術(shù)把來自外網(wǎng)的信息進行提取，之后將提取出來的信息通過數(shù)據(jù)擺渡技術(shù)發(fā)送到單位內(nèi)網(wǎng)中，完成數(shù)據(jù)的交換傳輸，在這一過程中內(nèi)網(wǎng)與外網(wǎng)在物理上是隔離斷開的，這樣一來就能防止黑客的長驅(qū)直入。

　　此外，為了進一步保護網(wǎng)絡(luò)邊界的安全，我們可以結(jié)合其他技術(shù)手段進行安全防護，例如進行訪問控制、進行入侵檢測、進行認證授權(quán)、進行地址轉(zhuǎn)換、進行數(shù)據(jù)過濾、進行惡意代碼防護、進行病毒入侵測試等等。

　　2、保護服務(wù)器安全

　　在單位內(nèi)部網(wǎng)絡(luò)中，服務(wù)器系統(tǒng)通常扮演一個非常重要的角色，因為它是整個內(nèi)網(wǎng)穩(wěn)定運行的基礎(chǔ)，同時也是內(nèi)網(wǎng)重要數(shù)據(jù)的存儲中心，所以對服務(wù)器系統(tǒng)的運行環(huán)境進行保護，避免黑客直接入侵服務(wù)器應(yīng)該是單位內(nèi)網(wǎng)安全防護的重點。我們可以根據(jù)服務(wù)器的重要程度，采用分級保護的辦法，來構(gòu)建服務(wù)器的安全運行環(huán)境，安全保護等級最高的應(yīng)該是專業(yè)的服務(wù)器系統(tǒng)，其次是內(nèi)網(wǎng)中的加密服務(wù)器系統(tǒng)，之后就是內(nèi)網(wǎng)中的普通服務(wù)器系統(tǒng)，最后就是公共服務(wù)器系統(tǒng)。

　　對于那些非常重要，有著特別要求的專業(yè)服務(wù)器系統(tǒng)，我們可以在該系統(tǒng)所在工作子網(wǎng)的邊界位置處使用專業(yè)保密設(shè)備配合硬件防火墻的辦法，來禁止來歷不明的用戶對其進行隨意訪問，并且對進出服務(wù)器系統(tǒng)的任何數(shù)據(jù)信息進行自動加密。對于那些相對重要的加密服務(wù)器系統(tǒng)來說，我們可以將它們連接到三層交換機上，并將其劃分到一個獨立的虛擬工作子網(wǎng)中，確保加密服務(wù)器系統(tǒng)與其他子網(wǎng)全部邏輯隔離，同時采用訪問控制技術(shù)來讓有權(quán)限的用戶進行訪問，同時禁止那些沒有授權(quán)的用戶進行訪問。對于那些重要性一般的普通服務(wù)器系統(tǒng)來說，我們只要在三層交換機上設(shè)置適當?shù)臋?quán)限規(guī)則，控制來自外網(wǎng)的用戶隨意訪問就行了。而對于那些直接對外發(fā)布的服務(wù)器系統(tǒng)來說，我們能做的就是采用一般的入侵防護技術(shù)以及網(wǎng)絡(luò)防火墻或殺毒軟件來保護就行了。

對病毒傳播進行設(shè)防

　　現(xiàn)在的網(wǎng)絡(luò)病毒瘋狂肆虐，它主要是通過網(wǎng)絡(luò)傳輸通道進行非法傳播、擴散的，傳染的對象就是網(wǎng)絡(luò)中的一些重要可執(zhí)行文件，這些病毒通常破壞力大，傳染性強，它們常常會利用網(wǎng)絡(luò)中各個系統(tǒng)的漏洞實施非法攻擊，來竊取網(wǎng)絡(luò)中重要系統(tǒng)的控制權(quán)。所以，單位內(nèi)網(wǎng)的安全防護系統(tǒng)很重要的任務(wù)，拒絕網(wǎng)絡(luò)病毒的攻擊。

　　1、使用防病毒網(wǎng)關(guān)

　　防病毒網(wǎng)關(guān)是一個基于安全操作系統(tǒng)平臺的在網(wǎng)關(guān)處具有防病毒功能的硬件設(shè)備，該設(shè)備可以對進出內(nèi)網(wǎng)的數(shù)據(jù)信息進行分析過濾，阻止病毒代碼從該設(shè)備穿過滲透到單位內(nèi)部網(wǎng)絡(luò)，同時能夠有效預(yù)防蠕蟲病毒攻擊，以及垃圾郵件對單位內(nèi)網(wǎng)正常辦公的干擾。在單位內(nèi)部網(wǎng)絡(luò)中，防病毒網(wǎng)關(guān)是一個很重要的安全防線，能夠抑制來自外網(wǎng)的病毒入侵內(nèi)網(wǎng)。例如，筆者單位采用了天融信網(wǎng)絡(luò)衛(wèi)士防病毒網(wǎng)關(guān)，該設(shè)備采用流掃描技術(shù)來獲得很高的性能，同時大大減少網(wǎng)絡(luò)延遲和超時。流掃描技術(shù)在收到文件的一部分時就開始掃描，大大減少總的處理時間。在傳統(tǒng)的使用隨機存取算法的防病毒系統(tǒng)中，只有當整個文件都被收到的時候才開始掃描，總的掃描時間比較長，性能較低。防病毒網(wǎng)關(guān)實現(xiàn)了真正的即插即用，不需要改動現(xiàn)有網(wǎng)絡(luò)的任何設(shè)置。在單位內(nèi)網(wǎng)部署好防病毒網(wǎng)關(guān)后，只需要連接上網(wǎng)線，開啟電源，并進行合適的配置，就可以對進出內(nèi)網(wǎng)的數(shù)據(jù)信息進行病毒掃描測試，而且這是單位內(nèi)網(wǎng)與外網(wǎng)直接聯(lián)系的唯一橋梁，能夠在很大程度上抑制外網(wǎng)病毒的瘋狂入侵。

　　2、部署補丁服務(wù)器

　　預(yù)防網(wǎng)絡(luò)病毒，最主要的就是預(yù)防蠕蟲病毒，而蠕蟲病毒很多時候都是利用內(nèi)網(wǎng)系統(tǒng)中的漏洞進行傳播、擴散的，為此我們需要在內(nèi)網(wǎng)中對各個應(yīng)用系統(tǒng)的漏洞補丁程序進行強化管理，確保各種漏洞能夠被及時堵住。有鑒于此，我們有必要在內(nèi)網(wǎng)中安裝部署補丁分發(fā)服務(wù)器，讓單位內(nèi)網(wǎng)中的應(yīng)用系統(tǒng)直接連到服務(wù)器上下載補丁，使得更新補丁時間大大縮短，提高了安全性。另外對于沒有連到外網(wǎng)的應(yīng)用系統(tǒng)只要在內(nèi)網(wǎng)中可以訪問這臺補丁服務(wù)器，也能隨時安裝最新的補丁，這樣就可以有效地防止漏洞型病毒在內(nèi)網(wǎng)的瘋狂傳播。

　　3、部署防病毒服務(wù)器

　　除了要做好上面的安全防范措施外，我們還需要在內(nèi)網(wǎng)中安裝部署防病毒服務(wù)器，來強制內(nèi)網(wǎng)中的所有客戶端系統(tǒng)自動在線更新病毒庫，同時我們也要定期通過外網(wǎng)對防病毒服務(wù)器進行更新病毒庫，至少要保證每周一次，通過不斷升級病毒庫，保證防病毒程序可以及時發(fā)現(xiàn)內(nèi)網(wǎng)中的新型病毒。有了防病毒系統(tǒng)的保障，那么整個內(nèi)網(wǎng)的病毒入侵就能得到有效監(jiān)控、管理，同時對出現(xiàn)在內(nèi)網(wǎng)中的網(wǎng)絡(luò)病毒能夠及時測試、查殺。

　　對內(nèi)部攻擊進行設(shè)防

　　所謂“明槍易躲，暗箭難防”，對于處于明處的外部攻擊，相對來說比較容易防范，而對于來自單位內(nèi)網(wǎng)中的惡意攻擊，那就非常難防范了。首先，在內(nèi)網(wǎng)中進行共享訪問時，一些重要的數(shù)據(jù)信息很容易對外泄密;其次內(nèi)網(wǎng)中的網(wǎng)絡(luò)管理員有可能在不經(jīng)意間暴露具有超級權(quán)限的登錄賬號信息，或者是對外泄露內(nèi)網(wǎng)中重要資源的存儲位置，也有可能將內(nèi)網(wǎng)的組網(wǎng)結(jié)構(gòu)泄露出去;此外，還存在這樣一種可能，那就是內(nèi)網(wǎng)用戶故意將黑客程序放置在共享文件夾中做陷阱等現(xiàn)象。所以，提升網(wǎng)絡(luò)安全能力，不僅僅是防范來自外網(wǎng)的安全威脅，更要防范來自內(nèi)網(wǎng)的安全隱患。

　　為了預(yù)防內(nèi)網(wǎng)中的重要信息對外泄密，或者預(yù)防來自內(nèi)網(wǎng)的惡意攻擊，從技術(shù)層面上來說，我們可以在單位內(nèi)網(wǎng)中安裝部署安全隱患掃描監(jiān)測系統(tǒng)，主機監(jiān)控系統(tǒng)、內(nèi)網(wǎng)用戶管理系統(tǒng)、事件分析響應(yīng)系統(tǒng);對于內(nèi)網(wǎng)中的重要服務(wù)器系統(tǒng)來說，我們還要單獨安裝部署身份認證系統(tǒng)、資源管理系統(tǒng)、VPN連接系統(tǒng)、內(nèi)容過濾系統(tǒng)、防火墻系統(tǒng)以及進行IP地址綁定操作等。除了要采取這些技術(shù)措施外，更為重要的工作就是建立一套行之有效的內(nèi)網(wǎng)安全管理制度，以便約束內(nèi)網(wǎng)用戶的上網(wǎng)行為，并定期進行嚴格督查內(nèi)網(wǎng)安全制度的落實，相信這樣一來可以更加有效地管理內(nèi)網(wǎng)安全。

對終端系統(tǒng)進行設(shè)防

　　在將重點安全防控力量部署在內(nèi)網(wǎng)服務(wù)器系統(tǒng)的同時，也要加強對內(nèi)網(wǎng)普通客戶端系統(tǒng)的安全防范，因為許多非法攻擊常常會通過客戶端系統(tǒng)間接實現(xiàn)。要對普通終端系統(tǒng)進行安全防范，可以采取下面一些措施：

　　1、更新補丁

　　要及時從微軟公司的官方網(wǎng)站中下載安裝最新的系統(tǒng)漏洞補丁程序，確保終端系統(tǒng)的漏洞可以被正確堵住。

　　2、安全宣傳

　　要定期對內(nèi)網(wǎng)用戶進行安全宣傳，提高他們的上網(wǎng)安全意識，其中包括不能輕易運行一些來歷不明的應(yīng)用程序、要及時更新殺毒軟件的病毒庫、安裝使用最新版本的個人防火墻、定期進行漏洞掃描以及病毒查殺操作、要從正規(guī)的官方網(wǎng)站中下載信息、不輕易打開陌生郵件的附近內(nèi)容等等。

　　3、正確設(shè)置

　　主要就是對IE瀏覽器的安全設(shè)置，包括分級審查、Cookie設(shè)置、本地安全設(shè)置以及腳本設(shè)置等等。在防范腳本攻擊時，只要打開IE瀏覽器窗口，依次點擊“工具”、“Internet選項”、“安全”、“自定義級別”，將安全級別調(diào)整為“安全級-高”，同時在“ActiveX控件和插件”位置處要將腳本項設(shè)置為“禁用”。這樣設(shè)置后，當客戶端系統(tǒng)的用戶使用IE瀏覽網(wǎng)頁時，就能有效避免惡意網(wǎng)頁中惡意代碼的攻擊。

　　4、取消共享

　　很多時候，木馬程序都是通過共享訪問通道植入到內(nèi)網(wǎng)客戶端系統(tǒng)中的，為此我們必須取消本地資源的所有共享設(shè)置，如果確實要進行共享訪問的話，必須將共享資源設(shè)置成“只讀”權(quán)限，同時要設(shè)置共享訪問密碼。關(guān)閉共享很簡單，只要用鼠標右擊“網(wǎng)絡(luò)鄰居”，執(zhí)行“屬性”命令，然后取消選中“文件和打印共享”組件的選中狀態(tài)就可以了。

　　5、禁用Guest

　　有很多非法入侵都是通過Guest賬號間接獲得超級用戶的密碼或者權(quán)限的，要是不想把內(nèi)網(wǎng)的客戶端系統(tǒng)給別人當玩具，那還是禁止該賬號的好。打開控制面板，依次雙擊“用戶賬戶”、“管理其他賬戶”，再單擊Guest賬號，之后點關(guān)閉來賓賬戶就可以了。

標簽： 安全 代碼 防火墻 防火墻系統(tǒng) 服務(wù)器 服務(wù)器安全 服務(wù)器系統(tǒng) 機 腳本 漏洞 權(quán)限 數(shù)據(jù) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)防火墻 信息安全 硬件防火墻

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。