如今很多企業(yè)都建設(shè)了企業(yè)網(wǎng)并通過各種渠道接入了Internet,企業(yè)的運(yùn)作越來越融人計(jì)算機(jī)網(wǎng)絡(luò),但隨之產(chǎn)生的網(wǎng)絡(luò)安全問題也日漸明顯地?cái)[在了網(wǎng)絡(luò)管理員面前。
對于網(wǎng)絡(luò)管理者來說,網(wǎng)絡(luò)的安全管理直接關(guān)系到企業(yè)工作的穩(wěn)定和正常開展。而企業(yè)對安全性的要求有其自身的特殊性,除了傳統(tǒng)意義上的信息安全以外,還應(yīng)提高對病毒、惡意攻擊以及物理設(shè)備的安全防范。
本文根據(jù)本人在企業(yè)任職多年網(wǎng)絡(luò)管理員的實(shí)際,側(cè)重談了下如何加強(qiáng)對企業(yè)網(wǎng)絡(luò)的安全管理。主要分別從企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理與病毒防范、企業(yè)服務(wù)器的安全、基于VLAN的企業(yè)網(wǎng)絡(luò)安全部署三個角度作了調(diào)查和研究。
一、企業(yè)內(nèi)部網(wǎng)絡(luò)安全管理與病毒防范
在網(wǎng)絡(luò)環(huán)境下,病毒傳播擴(kuò)散快,僅用單機(jī)版防病毒產(chǎn)品已經(jīng)很難徹底防范和清除網(wǎng)絡(luò)病毒,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。
在企業(yè)網(wǎng)絡(luò)中,可以配置一臺高性能的汁算機(jī)安裝網(wǎng)絡(luò)版殺毒軟件的控制端,負(fù)責(zé)管理各終端主機(jī)病毒的防治工作,在各用戶主機(jī)上安裝網(wǎng)絡(luò)版殺毒軟件的客戶端。通過殺毒軟件的控制臺進(jìn)行定時殺毒的設(shè)置和自動升級的設(shè)置,確保殺毒和升級的時效性,使網(wǎng)絡(luò)具有較強(qiáng)的防病毒能力。
(一)使用和配置防火墻
防火墻是網(wǎng)絡(luò)的第一道防線,一般安裝在內(nèi)網(wǎng)與外網(wǎng)的交界處,如各級路由器上。利用防火墻,在網(wǎng)絡(luò)通訊時執(zhí)行一種訪問控制尺度,允許防火墻同意訪間的用戶與數(shù)據(jù)進(jìn)入自己的內(nèi)部網(wǎng)絡(luò),同時將不允許的用戶與數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)外的黑客訪問自己的網(wǎng)絡(luò),防止他們隨意更改、移動甚至刪除網(wǎng)絡(luò)上的重要信息。
防火墻是一種行之有效且應(yīng)用廣泛的網(wǎng)絡(luò)安全機(jī)制,可有效防止Internet上的不安全因素蔓延到企業(yè)內(nèi)部。所以,防火墻是企業(yè)網(wǎng)絡(luò)安全的重要一環(huán)。
(二)采用入提檢測系統(tǒng)
入侵檢測系統(tǒng)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處在于是一種積極主動的安全防護(hù)技術(shù)。入侵檢測系統(tǒng)一般要安裝在網(wǎng)絡(luò)的關(guān)鍵點(diǎn)上,如Internet接入路由器之后的第一臺交換機(jī)上,在入侵檢測系統(tǒng)中利用審計(jì)記錄,入侵檢測系統(tǒng)能夠識別出任何不希望有的活動,從而達(dá)到限制這些活動,以保護(hù)系統(tǒng)的安全。
(三)Web,Email的安全監(jiān)測系統(tǒng)
在網(wǎng)絡(luò)的WWW服務(wù)器、Email服務(wù)器等環(huán)節(jié)中使用網(wǎng)絡(luò)安全監(jiān)測系統(tǒng),實(shí)時跟蹤、監(jiān)視網(wǎng)絡(luò),截獲Internet網(wǎng)上傳輸?shù)膬?nèi)容,并將其還原成完整的WWW,Email,F(xiàn)TP,Telnet應(yīng)用的內(nèi)容,建立保存相應(yīng)記錄的數(shù)據(jù)庫。及時發(fā)現(xiàn)在網(wǎng)絡(luò)上傳輸?shù)姆欠▋?nèi)容,及時采取有效措施。
(四)漏洞掃描系統(tǒng)
解決網(wǎng)絡(luò)層安全問題,首先要清楚網(wǎng)絡(luò)中存在哪些安全隱患、脆弱點(diǎn)。面對企業(yè)龐大的網(wǎng)絡(luò),僅僅依靠個人的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出評估.顯然是不現(xiàn)實(shí)的。我們可以尋找一種能查找網(wǎng)絡(luò)安全漏洞、評估并提出修改建議的網(wǎng)絡(luò)安全掃描工具,利用優(yōu)化系統(tǒng)配置和安裝安全補(bǔ)丁等多種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患?梢岳酶鞣N黑客工具,定期對網(wǎng)絡(luò)模擬攻擊從而暴露出網(wǎng)絡(luò)的漏洞,以便更好地發(fā)現(xiàn)和杜絕網(wǎng)絡(luò)中的安全隱患。
(五)ARP病毒的防御
ARP是Address Resolution Protocol的縮寫,即地址解析協(xié)議,它是一個位于TCP/IP協(xié)議棧中的低層協(xié)議,負(fù)責(zé)將某個IP地址解析成對應(yīng)的MAC地址。它是系統(tǒng)進(jìn)行通訊的基礎(chǔ)。是以信任為基礎(chǔ)的,如果破壞了這個信任,那就形成ARP欺騙了。局域網(wǎng)經(jīng)常會受到來自各方面的攻擊,導(dǎo)致不能正常工作,其中ARP攻擊是一個經(jīng)常發(fā)生的攻擊,只要有一臺電腦感染ARP,就可能導(dǎo)致整個局域網(wǎng)都無法上網(wǎng),嚴(yán)重的甚至可能帶來整個網(wǎng)絡(luò)的癱瘓,這給網(wǎng)絡(luò)用戶造成了很大的不便,因此了解ARP攻擊原理,防御ARP攻擊是保障企業(yè)網(wǎng)絡(luò)正常工作應(yīng)該引起重視的一個問題。目前對于ARP攻擊防御問題出現(xiàn)最多是綁定IP地址和MAC地址或使用ARP防護(hù)軟件。
采用綁定IP地址和MAC地址這種方式進(jìn)行綁定,如果網(wǎng)絡(luò)中有上百臺計(jì)算機(jī),這個工作量是非常大的.所以這種方式不推薦在大型網(wǎng)絡(luò)中使用,企業(yè)內(nèi)部更適合使用ARP防護(hù)軟件,目前ARP防護(hù)軟件很多,比較常用的ARP工具軟件主要是360ARP防火墻、AntiARP、彩影ARP防火墻等?梢栽谶@類軟件中綁定IP地址和網(wǎng)關(guān),另外這類軟件還會在提示框內(nèi)出現(xiàn)病毒主機(jī)的MAC地址,方便我們快速找到攻擊源,然后進(jìn)行清除。根據(jù)實(shí)際網(wǎng)絡(luò)環(huán)境,我們采取相應(yīng)的防御方法,還是非常有效的。
(六)使用GHOST軟件備份操作系統(tǒng)
Ghost(是General Hardware Oriented Software Transfer的縮寫譯為“面向通用型硬件系統(tǒng)傳送器”)軟件是美國賽門鐵克公司推出的一款出色的硬盤備份還原工具,可以實(shí)現(xiàn)FAT16,F(xiàn)AT3, NTF,OS2等多種硬盤分區(qū)格式的分區(qū)及硬盤的備份還原。該技術(shù)的應(yīng)用有效地解決了計(jì)算機(jī)系統(tǒng)崩潰,重新安裝操作系統(tǒng)及后續(xù)應(yīng)用程序需要花費(fèi)大量時間的問題。提供了一種便捷、高效的途徑。
Ghost,的備份還原是以硬盤的扇區(qū)為單位進(jìn)行的,也就是說可以將一個硬盤上的物理信息完整復(fù)制,而不僅僅是數(shù)據(jù)的簡單復(fù)制。Ghost支持將分區(qū)或硬盤直接備份到一個擴(kuò)展名為.gho。的文件里(賽門鐵克公司把這種文件稱為鏡像文件),也支持直接備份到另一個分區(qū)或硬盤里。
網(wǎng)絡(luò)管理者可以在完成操作系統(tǒng)及各種驅(qū)動的安裝后,將常用的軟件(如殺毒、媒體播放軟件、office辦公軟件等)安裝到系統(tǒng)所在盤,接著安裝操作系統(tǒng)和常用軟件的各種升級補(bǔ)丁,然后優(yōu)化系統(tǒng),最后做系統(tǒng)盤的克隆備份,這樣就可以在下次出現(xiàn)系統(tǒng)故障時免去安裝系統(tǒng)及相關(guān)應(yīng)用軟件的麻煩,提高工作效率、節(jié)約大量的時間。
二、企業(yè)網(wǎng)絡(luò)服務(wù)器的安全
企業(yè)網(wǎng)絡(luò)服務(wù)器的安全一般可分為硬件系統(tǒng)安全及軟件系統(tǒng)安全。
(一)硬件系統(tǒng)的安全防護(hù)
硬件系統(tǒng)的安全主要是指防止意外事件或人為破壞設(shè)備。機(jī)房和機(jī)柜的鑰匙一定要管理好,不要讓無關(guān)人員隨意進(jìn)入機(jī)房;放置服務(wù)器的機(jī)房應(yīng)做好防雷、防電、防火、防水、防高溫等常規(guī)防護(hù)工作。
(二)軟件系統(tǒng)的安全防護(hù)
同硬件系統(tǒng)相比,服務(wù)器軟件系統(tǒng)的安全問題是最多的。
1、安裝補(bǔ)丁程序
補(bǔ)丁程序即修復(fù)系統(tǒng)漏洞的程序。一般在一個軟件的開發(fā)過程中,一開始有很多因素是沒有考慮到的,但是隨著時問的推移,軟件所存在的問題會慢慢的被發(fā)現(xiàn)。這時候.為了對軟件本身存在的問題進(jìn)行修復(fù),軟件開發(fā)者會發(fā)布相應(yīng)的補(bǔ)丁,目前大部分企業(yè)服務(wù)器使用的是微軟的Windows Server操作系統(tǒng),由于使用的人比較多,漏洞不斷被發(fā)現(xiàn),所以微軟也經(jīng)常有新的補(bǔ)丁程序發(fā)布。我們應(yīng)及時安裝好新的補(bǔ)丁程序,配置好自動升級功能,以防漏洞被非授權(quán)人員利用。
2、安裝防火墻與殺毒軟件
在企業(yè)網(wǎng)絡(luò)中,重要的數(shù)據(jù)通常保存在整個中心結(jié)點(diǎn)的服務(wù)器上,所以保證服務(wù)器免受病毒攻擊就成了保證企業(yè)網(wǎng)絡(luò)安全的重要任務(wù)。我們可以在服務(wù)器上安裝最新的殺毒軟件和防火墻,通過合理的配置達(dá)到防御病毒破壞,抵制非法人侵的目的。
3、加強(qiáng)操作系統(tǒng)權(quán)限管理和口令管理
刪除所有非法用戶;禁止Guest用戶,因?yàn)楹诳统S肎uest進(jìn)行系統(tǒng)控制;對于Administrator則應(yīng)進(jìn)行改名操作并設(shè)置足夠復(fù)雜的密碼,密碼至少8個字符,至少包含四類字符中的三類,即大寫字母、小寫字母、數(shù)字,以及鍵盤上的符號。
4、關(guān)閉服務(wù)器上沒有必要的網(wǎng)絡(luò)服務(wù)
系統(tǒng)安全的最大漏洞就在于網(wǎng)絡(luò)服務(wù),對于系統(tǒng)中沒有必要的服務(wù)我們就應(yīng)關(guān)閉,往往是越精簡的系統(tǒng)越安全。
5、監(jiān)測系統(tǒng)日志
系統(tǒng)日志即記錄系統(tǒng)中硬件、軟件和系統(tǒng)問題的信息,同時還可以監(jiān)視系統(tǒng)中發(fā)生的事件。用戶可以通過它來檢查錯誤發(fā)生的原因,或者尋找受到攻擊時攻擊者留下的痕跡,便于及時解決出現(xiàn)的問題。
6、定期對服務(wù)器文件進(jìn)行備份與維護(hù)
為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作,系統(tǒng)管理員需要定期備份服務(wù)器上的重要文件。服務(wù)器最好采用RAID方式進(jìn)行備份,重要的資料還應(yīng)保存在其它服務(wù)器上或者備份在光盤中。監(jiān)視服務(wù)器上資源的使用情況,刪除過期和無用的文件,確保服務(wù)器高效運(yùn)行。
三、基于VLAN的企業(yè)網(wǎng)絡(luò)安全部署
VLAN(Virtual Local Area Network)即“虛擬局域網(wǎng)”。ULAN是一種將局域網(wǎng)設(shè)備從邏輯上劃分成一個個網(wǎng)段,從而實(shí)現(xiàn)虛擬工作組的數(shù)據(jù)交換技術(shù)。這一技術(shù)主要應(yīng)用于交換機(jī)和路由器中,但主流應(yīng)用還是在交換機(jī)之中。但又不是所有交換機(jī)都具有此功能,只有VLAN協(xié)議的第三層以上交換機(jī)才具有此功能。
采用通過將企業(yè)網(wǎng)絡(luò)劃分為虛擬網(wǎng)絡(luò)VLAN網(wǎng)段,可以強(qiáng)化網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全,控制不必要的數(shù)據(jù)廣播。在共享網(wǎng)絡(luò)中,一個物理的網(wǎng)段就是一個廣播域。而在交換網(wǎng)絡(luò)中,廣播域可以是有一組任意選定的第二層網(wǎng)絡(luò)地址(MAC地址)組成的虛擬網(wǎng)段。這樣,網(wǎng)絡(luò)中工作組的劃分可以突破共享網(wǎng)絡(luò)中的地理位置限制,而完全根據(jù)管理功能來劃分。
VLAN技術(shù)的核心是網(wǎng)絡(luò)分段,根據(jù)不同的應(yīng)用業(yè)務(wù)以及不同的安全級別,將網(wǎng)絡(luò)分段并進(jìn)行隔離,實(shí)現(xiàn)相互問的訪問控制以達(dá)到限制非法訪問的目的。為了提高網(wǎng)絡(luò)的安全性,應(yīng)避免將企業(yè)不同部門處于同一網(wǎng)段,可將不同部門劃分在不同的VLAN中。設(shè)置VLAN還可以縮小ARP病毒的影響范圍,ARP病毒的有效作用域?yàn)閹Ф局鳈C(jī)所在的廣播域。
按照使用的需要在企業(yè)網(wǎng)內(nèi)設(shè)置多個廣播域可以有效抑制由ARP病毒發(fā)作造成的廣播風(fēng)暴。ULAN技術(shù)很好地解決了網(wǎng)絡(luò)管理的問題,提高了網(wǎng)絡(luò)的安全性。
企業(yè)網(wǎng)絡(luò)安全是一個系統(tǒng)性工程,不能僅僅依靠技術(shù),還需要建立相應(yīng)的管理制度,將各種技術(shù)與管理手段結(jié)合在一起,就能生成一個高效、通用、安全的網(wǎng)絡(luò)系統(tǒng)。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊(yùn)涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標(biāo)題:探析企業(yè)網(wǎng)絡(luò)安全管理與維護(hù)
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839512086.html