內網是網絡應用中的壹個主要組成部分,其安全性也受到越來越多的重視。據不完全統計,國外在建設內網時,投資額的15%是用於加強內網的網絡安全。在我國IT市場中,安全廠商保持著旺盛的增長勢頭。運營商在內網安全方面的投資比例不如國外多,但依然保持著持續的增長態勢。要提高內網的安全,可以使用的方法很多,本文將就此做壹些探討。 在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的壹次錯誤操作,系統的壹次意外斷電以及其他壹些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。
為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。
對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的;現今應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。 使用代理網關的好處在於,網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關,進而才能訪問到Internet ,這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。
在代理服務器兩端采用不同協議標準,也可以阻止外界非法訪問的入侵。還有,代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。 防火墻的選擇應該適當,對於微小型的企業網絡,可從Norton Internet Security 、 PCcillin 、天網個人防火墻等產品中選擇適合於微小型企業的個人防火墻。
而對於具有內部網絡的企業來說,則可選擇在路由器上進行相關的設置或者購買更為強大的防火墻產品。對於幾乎所有的路由器產品而言,都可以通過內置的防火墻防範部分的攻擊,而硬件防火墻的應用,可以使安全性得到進壹步加強。 為了保障網絡的安全,也可以利用網絡操作系統所提供的保密措施。以Windows為例,進行用戶名登錄註冊,設置登錄密碼,設置目錄和文件訪問權限和密碼,以控制用戶只能操作什麽樣的目錄和文件,或設置用戶級訪問控制,以及通過主機訪問Internet等。
同時,可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。由於文件組織形式的數據缺乏***享性,數據庫現已成為網絡存儲數據的主要形式。由於操作系統對數據庫沒有特殊的保密措施,而數據庫的數據以可讀的形式存儲其中,所以數據庫的保密也要采取相應的方法。電子郵件是企業傳遞信息的主要途徑,電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網絡部件的泄密渠道,如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等,也可以采取相應的保密措施。
從攻擊角度入手
計算機網絡系統的安全威脅有很大壹部分來自拒絕服務(DoS)攻擊和計算機病毒攻擊。為了保護網絡安全,也可以從這幾個方面進行。
對付“拒絕服務”攻擊有效的方法,是只允許跟整個Web站臺有關的網絡流量進入,就可以預防此類的黑客攻擊,尤其對於ICMP封包,包括ping指令等,應當進行阻絕處理。
通過安裝非法入侵偵測系統,可以提升防火墻的性能,達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作,當竊取者入侵時可以立刻有效終止服務,以便有效地預防企業機密信息被竊取。同時應限制非法用戶對網絡的訪問,規定具有IP地址的工作站對本地網絡設備的訪問權限,以防止從外界對網絡設備配置的非法修改。 從病毒發展趨勢來看,病毒已經由單壹傳播、單種行為,變成依賴互聯網傳播,集電子郵件、文件傳染等多種傳播方式,融黑客、木馬等多種攻擊手段為壹身的廣義的“新病毒”。計算機病毒更多的呈現出如下的特點:與Internet和Intranet更加緊密地結合,利用壹切可以利用的方式(如郵件、局域網、遠程管理、即時通信工具等)進行傳播;所有的病毒都具有混合型特征,集文件傳染、蠕蟲、木馬、黑客程序的特點於壹身,破壞性大大增強;因為其擴散極快,不再追求隱藏性,而更加註重欺騙性;利用系統漏洞將成為病毒有力的傳播方式。
因此,在內網考慮防病毒時選擇產品需要重點考慮以下幾點:防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網絡層、郵件客戶端進行實時監控,防止病毒入侵;產品應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力;對病毒經常攻擊的應用程序提供重點保護;產品廠商應具備快速反應的病毒檢測網,在病毒爆發的第壹時間即能提供解決方案;廠商能提供完整、即時的反病毒咨詢,提高用戶的反病毒意識與警覺性,盡快地讓用戶了解到新病毒的特點和解決方案。 在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第壹步。以Unix系統或Linux 系統為例,先用“ finger遠端主機名”找出主機上的用戶賬號,然後用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典裏的單詞都完成。
如果這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd 。然後用專用的破解DES加密算法的程序來解析口令。
在內網中系統管理員必須要註意所有密碼的管理,如口令的位數盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統上使用同壹口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符、數字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。 以上九個方面僅是多種保障內網安全措施中的壹部分,為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。在安全的方式上,為了應付比以往更嚴峻的“安全”挑戰,安全不應再僅僅停留於“堵”、“殺”或者“防”,應該以動態的方式積極主動應用來自安全的挑戰,因而健全的內網安全管理制度及措施是保障內網安全必不可少的措施。