企业网络安全整体解决方案的研究与应用(3)

据有关资料统计，在己知的网络安全事件中，约７０％的攻击是来自内部网。首先各节点内部网中用户之间通过网络共享网络资源。对于常用的操作系统ｗｉ１３ｄ０ｗｓ其网络共享的数据便是局域网所有用户都可读甚至可写，这样就可能因无意中把重要的涉密信息存放在共享目录下，造成信息泄漏。另外，内部管理人员无意泄漏系统管理员的用户名、口令等关键信息，泄漏内部网的网络结构以及重要信息的分布情况，都为黑客控制并入侵主机提供了机会。因此，网络安全不仅要防范外部网，同时也要加强内部网的防范管理工作。下面是网络安全评估与分析系统示意图，如图ｌ＿Ｉ。

企业网络安全整体解决方案的研究与应用

企业网络安全整体解决方案的研究与应用

图卜１安全评估与分析系统示意图

Ｆｉｇｕｒｅ卜１Ａｓｓｅｓｓａｎｄａｎａｌｙｓｉｓｔｈｅｓｋｅｔｃｈｍａｐｓｙｓｔｅｍａｔｉｃａｌｌｙｓａｆｅｌｙ

１）网络需求分析：

网络安全需求是保护网络不受破坏，确保网络服务的可用性。首先，作为信息网络之间互联的边界安全应作为主要安全需求：

需要保证信息网络之间安全互联，能够实现网络安全隔离；

对于专有应用的安全服务；

必要的信息交互的可信任性；

能够提供对于主流网络应用（如Ｗｗｗ、Ｍａｉｌ、Ｆｔｐ、０ｉｃｑ和

ＮｅｔＭｅｅｔｉｎｇ等）良好支持，并能够实现安全应用；

同时信息网络公共资源能够对开放用户提供安全访问：

能够防范包括：

ａ 利用Ｈｔｔｐ应用，通过ＪａｖａＡｐｐｌｅｔ、ＡｃｔｉｖｅＸ以及ＪａｖａＳｃｒｉｐｔ形式；

ｂ．利用Ｆｔｐ应用，通过文件传输形式；ｃ 利用ＳＭＴＰ应用，通过对邮件分析及利用附件所造成的信息泄漏和有害信息对

企业网络安全整体解决方案的研究与应用

企业网络安全整体解决方案的研究与应用

于信息网络的侵害； 对网络安全事件的审计；对于网络安全状态的量化评估；对网络安全状态的实时监控；

其次，对于信息网络内部同样存在安全需求，包括：

信息网络中的各单位网络之间建立连接控制手段；能够满足信息网络内的授权用户对相关专用网络资源访问同时对于远程访问用户增强安全管理；加强对于整个信息网络资源和人员的安全管理与培训。

２）安全管理需求分析

如前所述，能否制定一个统一的安全策略，在全网范围内实现统一的安全管理，剥于信息网来说就至关重要了。安全管理主要包括两个方面：

内部安全管理：主要是建立内部安全管理制度，如机房管理制度、设备管理制度、安全系统管理制度、病毒防范制度、操作安全管理制度、安全事件应急制度等，并采取切实有效的措施保证制度的执行。内部安全管理主要采取行政手段和技术手段相结合的方法。

网络安全管理：在网络层设置路由器、防火墙、安全检测系统后，必须保证路由器和防火墙的ＡＣＬ设置正确，其配置不允许被随便修改。网络层的安全管理可以通过防火墙、安全检测、网络病毒防治以及网管等～些网络层的管理工具来实现。

３）安全系统需求分析

保证网络安全，通常需要以下方面的需求。

ｌ、保证网络不存在弱点，漏洞与不当的系统配置。

２．网络系统能阻止来自外部的攻击行为和防止内部职工的违规操作行为。

３．企业网络系统和外界的网络系统具有安全隔离，以及良好的安全边界。

４．企业广域网无论是租用电信部门的线路，还是使用Ｉｎｔｅｒｎｅｔ网络，保证数据传输过程的安全，防止重要信息泄漏或被修改。

５．保证企业的重要数据的安全。６．保证企业网络系统正常运行。

企业网络安全整体解决方案的研究与应用

垒些塑丝塞全墼堡塑堡查塞塑竺塞量壁生

７、保证安全系统是可管理的。一——

企业可根据自己的实际情况对网络系统进行需求分析，以配备相应的安全设备及实施安全措施。如利用防火墙实现内部网与外部网之间的隔离与访问控制并作日志；通过防火墙的一次性口令认证机制，实现远程用户对内部网的访问控制；通过入侵检测系统全面监视进出网络的所有访问行为，及时发现和拒绝不安全的操作和黑客攻击行为并对攻击行为作日志；通过网络及系统的安全扫描系统检测网络安全漏洞，减少可能被黑客利用的不安全因素；利用全网的防病毒系统软件，保证网络和主机不被病毒的侵害；利用备份与灾难恢复来强化系统备份，实现系统快速恢复；通过安全服务提高整个网络系统的安全性。具体需求情况如下：

４）操作系统需求

针对系统中存在的诸多风险，应该采取相应的安全维护措施：

及时安装操作系统和服务器软件的最新版本和修补程序。不断会有一些系统的漏洞被发现，通常软件厂商会发布新的版本或补丁程序，以修补安全漏洞，保持使用的版本是最新的可以使安全的威胁最小；

进行必要的安全配置，在系统配置中关闭存在安全隐患的、不需要的服务，比如：ＦＴＰ，Ｔｏｌｎｅｔ，ｆｉｎｇｅｒ，ｌｏｇｉｎ，ｓｈｅｌｌ，ＢＯＯＴＰ，ＴＦＴＰ等等，这些协议都存在安全隐患。禁止某些ｒ命令，比如；ｒｌｏｇｉｎ，ｒｓｈ等；

加强登录过程的身份认证，设置复杂、不易猜测的登录口令，严密保护帐号口令并经常变更，防止非法用户轻易猜出口令，确保用户使用的合法性，限制未授权的用户对主机的访问；

严格限制系统中关键文件（如ＵＮＩＸ下的／．ｒｈｏｓｔ、ｅｔｃ／ｈｏｓｔ、ｐａｓｓｗｄ、ｓｈａｄｏｗ、ｇｒｏｕｐ等）的使用许可权限；

严格控制登录访问者的操作权限，将其完成的操作限制在最小的范围内；

充分利用系统本身的日志功能，对用户的所有访问作记录，定期检查系统安全日志和系统状态，以便及早发现系统中可能出现的非法入侵行为，为管理员的安全决策提供依据，为事后审查提供依据；

还要利用相应的扫描软件对操作系统进行安全性扫描评估、检测其存在的安全漏洞，分析系统的安全性，提出补救措施。

操作系统安全漏洞，安全配置不严密是黑客入侵者攻击屡屡得手的重要因索之一。并且，随着网络的升级或新增应用服务，网络会不断出现新的安全漏洞。因此，必需配备网络安全扫描系统和系统安全扫描系统检测网络中存在的安全漏洞；同时需要经常使用，对扫描结果进行分析审计，及时采取相应的措施填补系统漏洞；关闭一些不常用却存在安全隐患的应用，对一些关键文件的使用权限进行严格限制，加强口令字的使用，及时升级系统安全补丁。另外，系统内部的相互调用也应做到严格保密。在应用系统安全上，主要考虑身份鉴别和审计跟踪记录。必须加强登录过程的身份认证，通过设置无规律性的口令，确保用户使用的合法性：其次应该严格限制登录者的操作权限，将其完成的操作限制在最小的范围内。充分利用操作系统和应用系统本身的曰志功能，对用户所访问的信息做记录，为事后审查提供依据。

企业网络安全整体解决方案的研究与应用

企业网络安全整体解决方案的研究与应用

５）应用系统安全

应用系统一般都是针对某些应用而开发的，但由于它的通用性，其所提供的服务并非都是每个具体用户所必需的，因此，对应用系统的安全性，也应该进行安全配置，尽量做到只开放必须使用的服务，而关闭不经常用的协议及协议端口号。还有就是对应用系统的使用要加强用户登录身份认证。 …… 此处隐藏：2280字，全部文档内容请下载后查看。喜欢就下载吧 ……