• 易迪拓培训,专注于微波、射频、天线设计工程师的培养
首页 > 无线通信 > 技术文章 > 防护网络安全原则

防护网络安全原则

录入:edatop.com     点击:
        显然,防护网络的第一步是防护网络中的所有计算机,包括个人工作站和服务器。然而,这只是网络安全的一部分,防火墙必不可少,大多数专家还建议用IDS,有许多IDS可供选择,有些甚至还是免费的。IDS可以检测攻击行为,像端口扫描,这可能预示着有人尝试侵入网络边界安全。

  假如网络很大,就要考虑用带防火墙的路由器把网络分成若干部分,这样的话,一个部分发生问题,不会影响成个网络。这里,可以考虑把所有重要的服务器都放在一个安全区域内,这通常叫DMZ区。

  如Web服务器是对外提供服务的,并且最常受到攻击,把他们单独放在一个区域内是比较合理的。许多网络管理员会考虑在Web服务器与其它网络之间再放一个防火墙。这样的话,骇客就算利用服务器漏洞侵入了Web服务器,也不能进入整个网络。同时,一定要有策略指导用户如何使用系统,再健壮的安全系统都会因为用户的稍不注意而功亏一篑。一定要记住必须要有安全策略指导用户哪些能做,哪些不能做。

  在加固服务器(打补丁,关闭不必要的服务等)的同时,也需要加固路由器。如何加固路由器需要咨询相应的安全厂商,但是这里有一些基本原则:

  1、使用强壮的密码:所有的路由器都可配置。因此,必须要遵循统一的安全策略,最少字符、复杂度、生存期、密码历史等要求。如果路由器支持加密(如Cisco及一些大厂商),那么最好加密。

  2、使用日志:大多数路由器有日志功能。应该把此功能打开,就像监视服务日志那样。

  3、安全原则:一些基本的路由安全准则要遵守。

  4、不要响应非本地网络内主机的ARP(Address Resolution Protocol,地址解析协议)。

  5、网络内不需要端口应该在路由器关闭。

  6、不是从本地网络内发起的数据不予转发(此条为企业网原则,不适用于透传情况)。

  以上是总体原则。好了,还是理一下防护网络的常规动作吧。分为两个级别:一般级和增强级。

  一般级:没有达到这个要求,是很危险的。

  1、所有的工作站和服务器都应用基本PC安全清单(基本安全级别)。

  2、在内网和外网连接处部署包过滤防火墙。

  3、在内网和外网连接处部署代理服务器。

  4、所有路由器都设置为不转发广播包。

  5、所有密码长度至少8位,6个月至少修改一次。

  6、服务器物理安全措施到位,只有必要的人员才能接触。

  7、有明确策略规定禁止从internet下载任何软件。

  8、有明确策略规定如何处理邮件附件。

  9、有明确策略规定如何处理离职员工。

  10、加强员工安全意识并遵守企业策略。

  11、每月至少备份和检查一次服务器日志。

  12、每周所有服务器至少备份一次,每个月的备份移出并安全存储。

  13、只有管理员才具有完全控制权限。

  增强级:满足一般级的前提下,增加如下安全措施。

  14、在网络边界部署状态包检查防火墙。

  15、所有通往子网的路由器都具有包过滤防火墙功能。

  16所有服务器每天至少备份一次。每个礼拜的备份移出并安全存储。

  17、制定一个明确的灾难恢复计划,并对IT人员进行培训。

  18、安装入侵检测系统。

  19、每周至少备份和检查一次服务器日志。

  20、每60天对所有计算机检查和更新补丁。

  21、对所有特权网络管理员进行额外的背景检查。

  22、所有计算机的浏览器在中等安全级别设置的基础上执行自定义设置。

  23、所有密码长度至少8位,包含混合字符,并每90天修改一次。

  24、至少每90天对所有计算机利用安全分析器和端口扫描器进行检查。

  25、外部登陆只在非常严格的条件下才允许,如利用VPN。

  26、所有安全活动(备份、扫描、下载补丁、更改密码、增加/删除用户,更改许可等等)都必须记录,记录内容包括执行人、时间、授权人等。

  27、每个季度执行一次安全审计,包括检查补丁、日志、策略。

  28、每年对整个网络进行一次安全审计,包括管理员个人背景、模拟攻击测验、包嗅探、日志审计等等。

  29、定期的给用户发送安全更新警告,提示当前网络欺骗、病毒、木马等信息。

  30、废旧介质(硬盘、磁带等)要完全销毁。

  至此,可以说安全保障的本职工作已经做的相当好了,但前一部分的侧重点在"物",我们堵住了设备的"漏洞"。前面介绍过,"人"的因素也很重要,赌不住人性的"漏洞",只能功亏一篑。易中天以人物说故事,以故事说历史,以历史说人性,古今多少年,还是落脚点在人性上,可见人性多么关键。网络安全也一样,离不开人的因素,而且是个动态对抗的过程,没有一成不变的理论,只有举一反三,灵活运用。下面就介绍一下如何洞悉人性弱点,防止网络欺骗。

上一篇:IT人员应当了解的七个存储事实
下一篇:第三代移动通信TD -SCDMA 标准的提出与形成

手机天线设计培训教程详情>>

手机天线设计培训教程 国内最全面、系统、专业的手机天线设计培训课程,没有之一;是您学习手机天线设计的最佳选择...【More..

射频和天线工程师培训课程详情>>

  网站地图