烟草系统中青年论坛材料：浅谈局域网安全内部防范

1、logo 浅谈局域网安全内部防范浅谈局域网安全内部防范 县烟草专卖局（分公司） -烟草系统中青年论坛材料烟草系统中青年论坛材料- company name 摘要随着越来越多的企事业单位建立起自己的局域网络,并 将公司内部的信息在局域网中共享,虽然局域网有着速度快,稳定, 方便灵活等特性,但是其缺乏安全保障的结构却使其成为病毒肆 虐、资料外泄的首要薄弱环节。要更好的解决内网的安全问题, 需要从各种角度看待内网安全。 关键词局域网 安全 保密 company name 一、边际设备保护一、边际设备保护 网关是内外网通信的必经之路,是外网联入内网的咽喉。相对来说,内网的木马 病毒都是比较少的,但是缺

2、乏隔离机制的内网,一旦有一台计算机机被病毒木马所感 染,其它的也就都陷入了非常危险的境地。 建议在网络内部使用代理网关。使用代理网关的好处在于,网络数据包的交换不 会直接在内外网络之间进行。内部计算机必须通过代理网关,进而才能访问到 internet,这样操作者便可以比较方便地在代理服务器上对网络内部的计算机访问外 部网络进行限制。 在代理服务器两端采用不同协议标准,也可以阻止外界非法访问的入侵。还有, 代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。 所以对于一个局域网络来说,在边际处至少应当有一个初具安全防范功能的路由 器或是防火墙,以建立第一道防线。防火墙的选择应该适当,对

3、于微小型的企业网络, 可从blackice、zonealarm、norton internet security、pccillin、天网个人防火 墙等产品中选择适合于微小型企业的个人防火墙，如果是一个大型企业，建议采用 更高档次的硬件防火墙，在出入口上加上一把锁。 company name 而对于具有内部网络的企业来说,最好选择在路由器上进行相关的设置或 者购买更为强大的防火墙产品。对于几乎所有的路由器产品而言,都可以通过 内置的ios防火墙防范部分的攻击,而硬件防火墙的应用,可以使安全性得到进 一步加强。对于拥有数十台、上百台甚至以上的企业,添加域控制器进行管理 是一个十分有效的方法。企业一

4、般通过代理或者路由上网,那么可以使用“上 网行为管理系统”对内部计算机的操作行为进行监控,他可以对终端操作、网 站浏览和各类即时信息软件进行监控,并且也可以限制或禁止游戏、多媒体、 股票软件等非工作用的软件,还能进行网站的过滤,限制色情、政治或是其它各 类网站。 company name 二、口令安全二、口令安全 现在大部分人都认识到口令安全的重要性了,不过还是要重申一下:口令的位 数要尽可能的长;不要选用生日、门牌号码、电话号码等容易猜测的密码作为口 令;不要在每个系统上都使用同一种口令;最好使用大小写的字母和数字混合和 没有规律的密码作为口令,并定期改变各系统的口令。另外,个人私用密码最好

5、 与工作时使用的密码分开。 为了保障网络的安全,也可以利用网络操作系统所提供的保密措施。以 windows为例,进行用户名登录注册,设置登录密码,设置目录和文件访问权限和 密码,以控制用户只能操作什么样的目录和文件,或设置用户级访问控制,以及通 过主机访问internet等。为了安全起见,还可对主机的网络属性进行设置,去掉 tcp/ip协议和其他协议中的“microsoft网络上的文件与打印机共享”和 “microsoft网络用户”的绑定,其他计算机也可进行同样的设置,且可去掉 tcp/ip协议中的绑定。若使用服务器版的windows，可使用自带的路由命令，以 防止风暴攻击和碎片攻击。 com

6、pany name 如图所示设置系统登录密码 如图所示取消网络共享 company name 同时,可以加强对数据库信息的保密 防护。网络中的数据组织形式有文件和 数据库两种。文件组织形式的数据缺乏 共享性,现已成为网络存储数据的主要 形式。由于操作系统对数据库没有特殊 的保密措施,而数据库的数据以可读的 形式存储其中,所以数据库的保密需采 取另外的方法。针对计算机及其外部设 备和网络部件的泄密渠道,可以采取相 应的保密措施。 电子邮件是企业传递信息的主要途 径,因此,必须对电子邮件进行加密处理, 可安装网盾或采用数字签名工具软件 （id-sign）对所需要处理的各类文档 进行加密。 如图所示

7、给所需要的文件加上 数字签名，确保文件安全性 company name 三、终端计算机防护三、终端计算机防护 一般来说,终端计算机上必然需要安装的防护软件就是杀毒软件了,基本要 求就是能实时防护(特别在上外网的时候)、数据库更新快,以及占用系统资源小。 对一个企业来讲应该购买整套杀毒软件包括服务器端以及客户端，在各终端机 上安装，以服务器端进行控制，确保每台终端机器的良好运作。操作系统绝大 多数人用的是微软的windows系列,主要受影响的就是在安装软件时不小心装上 的那些如同“牛皮癣”一般的各类插件了,不仅占用了大量的系统资源和窗口空 间,影响开机速度,有时还会引起不知名的错误，推荐使用36

8、0安全卫士定期进行 插件扫描和清理，同时对各终端机器严格限制软件安装的数量和种类，不得安 装与工作无关的软件并要求各终端机器定期从服务器上同步更新各类系统补丁。 定期备份重要数据也是非常重要的。一方面,硬盘数据恢复的价格一般要高 于购买硬盘的价格,而且未必能够恢复出来;另一方面,若误操作将重要数据删除, 这时候备份的重要性就体现出来了。 company name 四、防范外部攻击四、防范外部攻击 目前,计算机网络系统的安全威胁有很大一部分来自拒绝服务(dos)攻击和计算机病 毒攻击。为了保护网络安全,也可以从这几个方面进行。对付“拒绝服务”攻击有效的 方法,是只允许跟整个web站台有关的网络流

9、量进入,就可以预防此类的黑客攻击,尤其 对于icmp封包,包括ping指令等,应当进行阻绝处理。 通过安装非法入侵侦测系统,可以提升防火墙的性能,达到监控网络、执行立即拦 截动作以及分析过滤封包和内容的动作,当窃取者入侵时可以立刻有效终止服务,以便 有效地预防企业机密信息被窃取。同时应限制非法用户对网络的访问,规定具有ip地址 的工作站对本地网络设备的访问权限,以防止从外界对网络设备配置的非法修改。 最后,网管人员还应经常到有关网站下载最新的补丁程序,以便进行网络维护,同时 经常扫描整个内部网络,以发现任何安全漏洞并及时补上,才能做到有备无患。 company name company nam

10、e 五、重要资料及时进行备份五、重要资料及时进行备份 为了维护企业局域网的安全,必须对重要资料进行备份,以防止因为各种 软硬件故障、病毒的侵袭和黑客的破坏等原因导致系统崩溃,进而蒙受重大 损失。 对数据的保护来说,选择功能完善、使用灵活的备份软件是必不可少的。 目前应用中的备份软件是比较多的,例如arc serve、ca的inoculan等,配合 c a 的 灾 难 恢 复 软 件 , 可 以 较 为 全 面 地 保 护 数 据 的 安 全 。 如图所示是使用赛门铁克公司 出产的ghost备份软件进行系统 映像备份 company name 六、外部环境安全六、外部环境安全 这里指的是各种pc、路由器、交换机、工作站等硬件设备和通信 链路的安全,主要应当注意重要设备如对外提供服务的服务器的供电以 及防止水灾、火灾、雷击等自然灾害,人为破坏和误操作、外界的电磁 干扰等,物理安全的威胁可直接造成设备的损坏和数据的丢失。为防止 这