将安全进行到底－－安全分析篇(转)

admin管理员组

文章数量:1665201

将安全进行到底－－安全分析篇(转)[@more@]

　　 家家装防盗门，户户配窗护网，已成为大都市居民住宅的一景，虽然它很煞风景，但目的却很明确：防贼防盗。贼在难以破门而入的情况下，常会选择其他的入室办法，窗户是最大的入侵目标，护网为此而设。其实，让贼惦记着的薄弱之处还很多，比如，在您外出或回家开门之时，趁您不备，进行突然袭击。小区通常考虑这些因素，为加强治安管理，招聘治安人员，在小区入口处设防，或全天巡视小区。特别地，有些住户安全意识很强，在室内还安装报警系统，如有意外，迅速通知治安或公安人员。

　　

　　 如上所述，人们之所以层层设防，就是为了求得一片安全的栖身之地，而单纯的依靠防盗门、护网或者报警系统等，不足以得到全面的安全防护。实际上，住宅安全防范与网络安全防范曲异同工。如果把网络比做一所住宅，防盗门就好比防火墙，治安人员就好比入侵检测……，为保障网络安全，必须从方方面面抵御外来入侵。然而，从调查来看，我国企业对网络安全的认识远不及人们对住宅安全的认识，往往认为装个防毒软件或(往深了说)买个防火墙就万事大吉了，殊不知，许多黑客入侵是绕过防火墙对网络进行攻击的，要尽早查出这种攻击，需要采用入侵检测等全套的安全技术。

　　

　　 目前，对网络安全系统重视程度较高的企业集中在像金融、电信、政府和军队等行业，还有需要进行电子支付的网上银行和电子商务网站等。一些大型企业（包括中小企业）也逐渐认识到安全的重要性，纷纷构建安全系统。但在构建安全系统的时候又容易步入一个误区，即以堆砌安全产品的方式营造安全环境。

　　

　　 美国经济学家艾尔伯特?赫希曼曾针对世界经济发展不平衡现象提出“木桶原理”的思想，该理论认为: 沿口高低不整齐的一只木桶，其盛水量的多少既不取决于最长板条的长度，也不取决于各板条的平均长度，而是取决于最短板条的长度。住宅的安全性取决于最薄弱的环节，就像盛水量取决于最短木板，其他方面都安全了，有一处不安全，整个环境的安全性就会降低，因此，安全的住宅环境需要您全面系统地建设，决不是靠几款产品几项安全管理就能保障安全。网络系统的总体安全与此同出一辙，系统安全的程度也是取决于系统安全管理中最薄弱的环节，只有从网络、服务器操作系统、用户、各种应用系统、业务数据以及应用模式等各个方面统筹考虑(而不单单是选用一些安全产品)，并与实际应用环境、工作业务流程和机构组织形式等密切合作，把每一个薄弱环节都建设强壮，并本着系统工程的原则，才能构建一个完善的安全体系。

　　

　　

　　安全分析篇

　　

　　

　　 古人云: 工欲善其事，必先利其器。如果了解了网络系统有哪些安全弱点，可以采用哪些安全防范措施和关键技术，用户才能够更好地进行安全建设。

　　

　　

　　 系统安全分析

　　

　　

　　 数据安全和设备安全是企业网络安全保护的2个重要内容。通常，对数据和设备构成安全威胁的因素很多，有的来自企业外部，有的来自企业内部; 有的是人为的，有的是自然力造成的; 有的是恶意的，有的是无意的。其中来自外部和内部人员的恶意攻击和入侵是企业网面临的最大威胁，也是企业网安全策略最需要解决的问题。从技术角度来讲，用户应该做好网络层、系统级和应用级3个方面的防护。

　　

　　

　　 一、网络层安全防护

　　

　　

　　 网络层的安全保护是防御外部黑客入侵和内部网络滥用与误用的第一道屏障。用户应该通过定义网络安全规范，明确各级部门对网络使用的范围与权限，保证经授权许可的信息才能在客户机和服务器间通信。

　　

　　

　　 1．隔离与访问控制

　　 在网络与外界连接处实施网络访问控制，可以让企业用户了解外部网络用户的身份和工作性质，提供访问规则，并针对存取要求授予不同的权限，禁止非法用户进入内部系统。网络访问控制系统应该能够按照来访者的ip地址区分用户，并对来访者的身份进行验证，支持面向连接和非连接的通讯，控制用户可访问的网络资源和允许访问的日期与时间。对于一些复杂的应用协议，可通过特定的方法进行逻辑监视和数据包过滤。除此之外，访问控制还能对现有的各种网络攻击手段(如ip spoofing、rip攻击和icmp攻击等)进行有效的阻截。

　　

　　 我们可以采用划分虚拟子网方法实现较精细的访问控制，也可以采用防火墙技术，通过制定严格的安全策略，实现不信任域之间的隔离与访问控制。

　　

　　

　　 2． 地址转换

　　 使用地址转换技术，让ip数据包的源地址和目的地址以及tcp或udp的端口号在进出内部网时发生改变，这样可以屏蔽网络内部细节，防止外部黑客利用ip探测技术发现内部网络结构和服务器真实地址。

　　

　　

　　 3． 入侵检测

　　 含activex、java、javascript和vbscript的web页面、电子邮件的附件以及带宏的office文档等经常携带一些可执行程序，这些程序中很可能携带计算机病毒、特洛伊木马和bo等黑客工具，具有潜在的危险性，系统应该能够对这些可疑目标进行检测，隔离未知应用。

　　

　　 在内部网络上，也可能存在来自内部的一些恶意攻击，甚至可能存在来自外部的恶意入侵，安全防护体系应该能够监视内部关键的网段，扫描网络上的所有数据，检测服务拒绝型袭击、可疑活动、恶意的小型应用程序和病毒等攻击，及时报告管理人员，阻止这些攻击到达目标主机。

　　

　　

　　 二、系统级安全防护

　　

　　

　　 系统级安全是指操作系统安全和应用系统安全。

　　

　　

　　 1．使用漏洞扫描技术

　　 网络中的所有设备都可能存在安全隐患，定期扫描操作系统和数据库系统的安全漏洞与错误配置，及时发现系统中的弱点或漏洞，提示管理员进行正确配置，及时分析和评估，尽早采取补救措施，可避免各种损失。

　　

　　

　　 2．加强操作系统用户认证授权管理

　　 对于操作系统的安全防范，应尽量采用安全性较高的网络操作系统，并进行必要的安全配置，关闭一些不常用却存在安全隐患的应用，严格限制对关键文件的使用权限。特别要限制用户口令的规则和长度，禁止用户使用简单口令，并强制用户定期修改口令，按照登录时间、地点和登录方式限制用户的登录请求。同时加强口令的使用，及时给系统打补丁。另外，配备安全扫描系统，对操作系统进行安全性扫描，并有针对性地对网络设备重新配置或升级。

　　

　　

　　 3．增强访问控制管理

　　 首先，对文件的访问控制除提供读、写和执行权限外，还应该有建立、搜索、删除、更改和控制等权限，以满足复杂安全环境的需求。其次，应该能够限制访问文件的时间和日期，而且即使是超级用户，也不应透过安全屏障访问未经授权的文件。另外，应对计算机进程提供安全保护，防止非法用户启动或制止关键进程。最后，控制对网络和端口的访问。

　　

　　 比如，在应用系统的安全上，应用服务器尽量关闭那些不是必须开放的端口和服务(对于像文件服务和电子邮件服务器这样的应用系统，应关闭服务器上如http、ftp、rlogin和 telnet等服务)，严格限制登录者的操作权限，加强登录身份认证，确保用户使用的合法性。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。

　　

　　

　　 4．病毒防范

　　 在网络环境下，计算机病毒有着不可估量的破坏力，病毒防范是网络安全建设中需要考虑的重要环节。

　　

　　 5． web服务器的专门保护

　　 针对重要的、最常受到攻击的应用系统，用户需要开展特别的保护措施。web 服务器是一个单位直接面向外界的大门，也是最先面临网络攻击威胁的部分，由于主页是一个单位的形象，对于系统的web保护十分重要。我们可以对web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意的小型应用程序和电子邮件等在内的安全策略进行明确规划。

　　

　　

　　 三、应用级安全保护

　　

　　

　　 人常道: 三分长相七分打扮，对于网络安全，则是三分技术七分管理。安全管理是网络安全中非常重要又常被忽视的一项内容。经调查，it环境中出现的不安全问题并不全是由单纯的it设备引发的，还有其他非it技术因素带来的问题，比如管理。因此，我们在对设备和数据进行安全保护的同时，需要加强对用户的安全管理。

　　

　　

　　 1．实施单一的登录机制

　　 系统安全管理应该实现“一人一个账号一个口令”登录管理模式，可通过用户名/口令、指纹识别器、智能卡和令牌卡等多种方式获得安全管理服务器的系统认证，然后双击代表某一应用的图标直接访问。我们可以采用口令pin密钥管理、数据加密和数字签名等安全机制，最大限度地保证用户和口令等信息的安全。

　　

　　

　　 2．统一的用户和目录管理机制

　　 系统安全管理应该允许用户在单一的界面中管理不同系统的用户和目录结构，并同时在多种不同的操作系统平台上创建、修改和删除用户，提供跨平台用户策略的一致性管理，确保系统安全，减少it管理人员管理目录和用户的时间和精力，隐藏不同操作系统的差异。

　　

　　 总之，实现应用级安全保护，需要进行3方面的建设: 制定健全的安全管理体制(根据自身实际情况制定安全操作流程、不安全事故的奖罚制度及对任命安全管理人员的考查等)、构建安全管理平台(如组成安全管理子网，安装集中统一的安全管理软件)和增强用户的安全防范意识。

　　

　　 要做好安全管理，只靠网络管理员是不够的。管理员本身承担了保证一个网络高效、畅通运行的任务，没有精力也没有能力去做全面的安全防护。实际上，安全管理需要很强很深很精湛的安全技术背景、专业素质和经验积累，只有专业的安全服务商才能提供相应的管理保障。

来自 “ ITPUB博客 ” ，链接：http://blog.itpub/8403220/viewspace-935156/，如需转载，请注明出处，否则将追究法律责任。

0 0 分享到： 上一篇： 信息安全管理完全手册(转) 下一篇： 将安全进行到底－－安全建设篇(转) 请登录后发表评论 登录 全部评论 <%=items[i].createtime%>

<%=items[i].content%>

<%if(items[i].items.items.length) { %> <%for(var j=0;j <%=items[i].items.items[j].createtime%> 回复

<%=items[i].items.items[j].username%>   回复   <%=items[i].items.items[j].tousername%>： <%=items[i].items.items[j].content%>

<%}%> <%if(items[i].items.total > 5) { %> 还有<%=items[i].items.total-5%>条评论 ) data-count=1 data-flag=true>点击查看 <%}%> <%}%> <%}%> blogzone

• 博文量 834
• 访问量 6246437

最新文章

• 添加/删除Windows2000/XP系统组件一法(转)
• WindowsXPProfessional系统恢复浅谈(转)
• 软件卸载全攻略(转)
• “电脑万能加锁专家”让文件紧锁(转)
• 非常关机“秀”(转)
• Win系统目录解析(转)
• 玩转XP“多用户”功能（上）(转)
• 玩转XP“多用户”功能（下）(转)
• Windows2000中蓝屏死机之停止信息分析(转)
• 在WindowsNT退休前应考虑的问题(转)

支持我们 作者招募 用户协议 FAQ Contact Us

北京盛拓优讯信息技术有限公司. 版权所有  京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号：11010802021510

广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员

转载于:http://blog.itpub/8403220/viewspace-935156/

本文标签： 进行到底