如今很多企业都建设了企业网并通过各种渠道接入了Internet,企业的运作越来越融人计算机网络,但随之产生的网络安全问题也日渐明显地摆在了网络管理员面前。
对于网络管理者来说,网络的安全管理直接关系到企业工作的稳定和正常开展。而企业对安全性的要求有其自身的特殊性,除了传统意义上的信息安全以外,还应提高对病毒、恶意攻击以及物理设备的安全防范。
本文根据本人在企业任职多年网络管理员的实际,侧重谈了下如何加强对企业网络的安全管理。主要分别从企业内部网络安全管理与病毒防范、企业服务器的安全、基于VLAN的企业网络安全部署三个角度作了调查和研究。
一、企业内部网络安全管理与病毒防范
在网络环境下,病毒传播扩散快,仅用单机版防病毒产品已经很难彻底防范和清除网络病毒,必须有适合于局域网的全方位防病毒产品。
在企业网络中,可以配置一台高性能的汁算机安装网络版杀毒软件的控制端,负责管理各终端主机病毒的防治工作,在各用户主机上安装网络版杀毒软件的客户端。通过杀毒软件的控制台进行定时杀毒的设置和自动升级的设置,确保杀毒和升级的时效性,使网络具有较强的防病毒能力。
(一)使用和配置防火墙
防火墙是网络的第一道防线,一般安装在内网与外网的交界处,如各级路由器上。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访间的用户与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络外的黑客访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
防火墙是一种行之有效且应用广泛的网络安全机制,可有效防止Internet上的不安全因素蔓延到企业内部。所以,防火墙是企业网络安全的重要一环。
(二)采用入提检测系统
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于是一种积极主动的安全防护技术。入侵检测系统一般要安装在网络的关键点上,如Internet接入路由器之后的第一台交换机上,在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
(三)Web,Email的安全监测系统
在网络的WWW服务器、Email服务器等环节中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的WWW,Email,FTP,Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时采取有效措施。
(四)漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对企业庞大的网络,仅仅依靠个人的技术和经验寻找安全漏洞、做出评估。显然是不现实的。我们可以寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和安装安全补丁等多种方式最大可能地弥补最新的安全漏洞和消除安全隐患。可以利用各种黑客工具,定期对网络模拟攻击从而暴露出网络的漏洞,以便更好地发现和杜绝网络中的安全隐患。
(五)ARP病毒的防御
ARP是Address Resolution Protocol的缩写,即地址解析协议,它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。它是系统进行通讯的基础。是以信任为基础的,如果破坏了这个信任,那就形成ARP欺骗了。局域网经常会受到来自各方面的攻击,导致不能正常工作,其中ARP攻击是一个经常发生的攻击,只要有一台电脑感染ARP,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪,这给网络用户造成了很大的不便,因此了解ARP攻击原理,防御ARP攻击是保障企业网络正常工作应该引起重视的一个问题。目前对于ARP攻击防御问题出现最多是绑定IP地址和MAC地址或使用ARP防护软件。
采用绑定IP地址和MAC地址这种方式进行绑定,如果网络中有上百台计算机,这个工作量是非常大的。所以这种方式不推荐在大型网络中使用,企业内部更适合使用ARP防护软件,目前ARP防护软件很多,比较常用的ARP工具软件主要是360ARP防火墙、AntiARP、彩影ARP防火墙等。可以在这类软件中绑定IP地址和网关,另外这类软件还会在提示框内出现病毒主机的MAC地址,方便我们快速找到攻击源,然后进行清除。根据实际网络环境,我们采取相应的防御方法,还是非常有效的。
(六)使用GHOST软件备份操作系统
Ghost(是General Hardware Oriented Software Transfer的缩写译为“面向通用型硬件系统传送器”)软件是美国赛门铁克公司推出的一款出色的硬盘备份还原工具,可以实现FAT16,FAT3, NTF,OS2等多种硬盘分区格式的分区及硬盘的备份还原。该技术的应用有效地解决了计算机系统崩溃,重新安装操作系统及后续应用程序需要花费大量时间的问题。提供了一种便捷、高效的途径。
Ghost,的备份还原是以硬盘的扇区为单位进行的,也就是说可以将一个硬盘上的物理信息完整复制,而不仅仅是数据的简单复制。Ghost支持将分区或硬盘直接备份到一个扩展名为。gho。的文件里(赛门铁克公司把这种文件称为镜像文件),也支持直接备份到另一个分区或硬盘里。
网络管理者可以在完成操作系统及各种驱动的安装后,将常用的软件(如杀毒、媒体播放软件、office办公软件等)安装到系统所在盘,接着安装操作系统和常用软件的各种升级补丁,然后优化系统,最后做系统盘的克隆备份,这样就可以在下次出现系统故障时免去安装系统及相关应用软件的麻烦,提高工作效率、节约大量的时间。
二、企业网络服务器的安全
企业网络服务器的安全一般可分为硬件系统安全及软件系统安全。
(一)硬件系统的安全防护
硬件系统的安全主要是指防止意外事件或人为破坏设备。机房和机柜的钥匙一定要管理好,不要让无关人员随意进入机房;放置服务器的机房应做好防雷、防电、防火、防水、防高温等常规防护工作。
(二)软件系统的安全防护
同硬件系统相比,服务器软件系统的安全问题是最多的。
1、安装补丁程序
补丁程序即修复系统漏洞的程序。一般在一个软件的开发过程中,一开始有很多因素是没有考虑到的,但是随着时问的推移,软件所存在的问题会慢慢的被发现。这时候。为了对软件本身存在的问题进行修复,软件开发者会发布相应的补丁,目前大部分企业服务器使用的是微软的Windows Server操作系统,由于使用的人比较多,漏洞不断被发现,所以微软也经常有新的补丁程序发布。我们应及时安装好新的补丁程序,配置好自动升级功能,以防漏洞被非授权人员利用。
2、安装防火墙与杀毒软件
在企业网络中,重要的数据通常保存在整个中心结点的服务器上,所以保证服务器免受病毒攻击就成了保证企业网络安全的重要任务。我们可以在服务器上安装最新的杀毒软件和防火墙,通过合理的配置达到防御病毒破坏,抵制非法人侵的目的。
3、加强操作系统权限管理和口令管理
删除所有非法用户;禁止Guest用户,因为黑客常用Guest进行系统控制;对于Administrator则应进行改名操作并设置足够复杂的密码,密码至少8个字符,至少包含四类字符中的三类,即大写字母、小写字母、数字,以及键盘上的符号。
4、关闭服务器上没有必要的网络服务
系统安全的最大漏洞就在于网络服务,对于系统中没有必要的服务我们就应关闭,往往是越精简的系统越安全。
5、监测系统日志
系统日志即记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹,便于及时解决出现的问题。
6、定期对服务器文件进行备份与维护
为防止不能预料的系统故障或用户不小心的非法操作,系统管理员需要定期备份服务器上的重要文件。服务器最好采用RAID方式进行备份,重要的资料还应保存在其它服务器上或者备份在光盘中。监视服务器上资源的使用情况,删除过期和无用的文件,确保服务器高效运行。
三、基于VLAN的企业网络安全部署
VLAN(Virtual Local Area Network)即“虚拟局域网”。ULAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的数据交换技术。这一技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。但又不是所有交换机都具有此功能,只有VLAN协议的第三层以上交换机才具有此功能。
采用通过将企业网络划分为虚拟网络VLAN网段,可以强化网络管理和网络安全,控制不必要的数据广播。在共享网络中,一个物理的网段就是一个广播域。而在交换网络中,广播域可以是有一组任意选定的第二层网络地址(MAC地址)组成的虚拟网段。这样,网络中工作组的划分可以突破共享网络中的地理位置限制,而完全根据管理功能来划分。
VLAN技术的核心是网络分段,根据不同的应用业务以及不同的安全级别,将网络分段并进行隔离,实现相互问的访问控制以达到限制非法访问的目的。为了提高网络的安全性,应避免将企业不同部门处于同一网段,可将不同部门划分在不同的VLAN中。设置VLAN还可以缩小ARP病毒的影响范围,ARP病毒的有效作用域为带毒主机所在的广播域。
按照使用的需要在企业网内设置多个广播域可以有效抑制由ARP病毒发作造成的广播风暴。ULAN技术很好地解决了网络管理的问题,提高了网络的安全性。
企业网络安全是一个系统性工程,不能仅仅依靠技术,还需要建立相应的管理制度,将各种技术与管理手段结合在一起,就能生成一个高效、通用、安全的网络系统。
