内网应用和外网应用如何安全通信
- 采用安全交换机
由于内网中信息的传输采用广播技术,数据包在广播域中很容易受到监听和截获,因此需要使用安全交换机,利用网络分段及VLAN的方法从物理上或者逻辑上隔离网络资源,以加强内网的安全性。
- 操作系统的安全
从终端用户的程序到服务器的应用服务,以及网络安全的很多技术,都是以操作系统为平台的。因此,保证操作系统的安全是整个安全系统的根本。除了不断更新安全补丁之外,还需要建立一套对操作系统的监控系统,并建立和实行有效的用户口令和访问控制等制度。对于拥有百台以上客户端的企业,添加域控制器进行管理是一个十分有效的方法。小型企业一般通过代理或者路由上网,那么可以使用“网路岗”软件对内部计算机的上网行为进行监控,他可以对网站浏览,收发邮件和即时信息软件进行监控,并且也可以限制网络游戏和股票软件等非工作用的软件,过滤掉涉及色情和政治等不良网站。
- 对资料进行备份
在内网系统中数据对用户的重要性越来越大,引起电脑数据的流失或者被损坏,篡改的因素除了可知的病毒或者网络恶意攻击,用户的误操作,系统的意外断电等之外,还有许多不可预知的灾难性破坏,并且对用户造成的损失可以要比病毒或者黑客攻击来的更大。
为了维护企业内网的安全,必须对重要资料进行定期备份,某些资料甚者可以进行实时备份,以避免意外发生而蒙受重大损失。对于一些常规资料,比如word文档和邮件等,可以定期备份到服务器或者磁带上,如果是非常重要的资料,比如数据库资料等工程项目等资料,可以使用数据备份精灵还进行备份。
- 使用代理网关
使用代理网关的好处在于,网络数据包的交换不会直接在内网和外网之间进行。内部的计算机必须通过代理网关,才能访问internet,这样网络管理员便可以方便的通过设置代理服务器来对内网中的计算机访问外部网络进行一些必要的限制。微型企业计算机终端一般较少,使用ccproxy等代理服务软件即可达到要求,对于小型企业,计算机客户端一般在一百台以上,那么可以从wingate,sygete或者MS ISA SERVER这些网关和代理软件中选择合适的一款。
- 使用网络防火墙
防火墙的选择应该适合企业的需求,考虑到防火墙价格昂贵,对于微小型的企业网络,由于功能要求比较单一,可以从Norton Internet Security,PCcillin,天网防火墙等个人防火墙产品中选择合适的一款即可。
而对于具有内部网络的企业来说,则可以在路由器上进行相关的过滤设置,或者购买功能强大的硬件防火墙产品。网络中的各终端安装客户端,由服务器统一管理。对于几乎所有的路由器产品而言,都可以通过内置防火墙设置来防范部分常见的攻击,而硬件防火墙的使用,可以使得内网安全性能提升到一个新的高度。如果需要使用代理并且监控流量等信息,可以使用MS ISA SERVER,后台设置SQL SERVER,配合域账户控制器的管理,可以对数据流向进行详细的限定,设置简单,方便管理员进行操作和监控。
- 信息安全防范
为了保障网络的安全,可以利用网络操作系统所提供的保密措施。以Windows为例,进行用户名登录注册,设置登录密码,设置目录和文件夹的访问权限,可以对用户操作进行限制,减少因误操作造成对数据或系统的破坏,并且可以对用户访问外部网络的权限进行控制。
同时,也可以加强对数据库信息的保密防护。网络中的数据组织形式主要有文件和数据库记录两种。由于文件组织形式的数据缺乏共享性,数据库现已成为网络存储数据的的主要形式。由于操作系统对数据库没有特殊的保密措施。而数据库的数据以可读的形式存储其中,所以数据库的保密也要采取相应的方法。电子邮件也是企业传递信息的一个主要途径,因此对电子邮件的发送也应采取加密处理。针对计算机及其外部设备和网络部件的泄密渠道,比如电磁泄露,非法终端,搭线窃取,介质剩磁效应等,也可以采取相应的保密措施,考虑到技术手段难以完全防范外,除了必要技术手段外,还可以采取人工和行政措施管理保护。
- 从攻击角度入手防范
目前,计算机网络系统的安全威胁有很大一部分来自拒绝服务(Dos)攻击和计算机木马攻击。为了保护网络安全,也可以从这几个方面来进行防范。
为了对付“拒绝服务攻击”,可以只允许跟整个Web站点有关的网络流量进入,这样就可以预防此类的攻击,尤其对于ICMP封包,包括ping指令等,应当进行隔绝处理。
通过安装非法入侵侦测系统,可以提升防火墙的性能,达到监控网络,执行立即拦截动作以及分析过滤封包和内容的动作。当窃取者入侵时可以立刻有效中止服务,以便预防企业机密信息被窃取。同时应限制非法用户对网络的访问,规定具有公网IP地址的工作站对本地网络设备的访问权限,以防止从外界对网络设备配置的非法修改。
- 防范计算机病毒
从病毒发展的趋势来看,现在的病毒已经由单一传播,单种行为变成通过互联网传播,集电子邮件,文件传染等多种传播方式,融黑客,木马等多种攻击手段为一身的广义的病毒。目前计算机病毒更多的呈现出如下的特点:与internet和intranet结合的更加紧密,利用一切可以利用的方式(如电子邮件,局域网络,远程管理,即时通讯工具等)进行传播;所有的病毒都具有混合型特征,集文件传染,蠕虫,木马以及黑客程序的特点于一身,破坏性大大增强;因为其扩散十分迅速,不再追求隐藏性,而更加注重欺骗性,利用系统漏洞将成为病毒有力的传播方式。
因此,在选择内网防病毒时选择产品需要考虑以下几点:防杀毒方式需要全面的与互联网相结合,不仅有传统的手动查杀与文件监控,还必须对网络层,邮件客户端进行实时监控,防止病毒入侵;产品应有完善的在线升级服务,使客户计算机随时拥有最新的防范能力;对病毒经常攻击的应用程序应提供特别保护措施;产品厂商应具备有快速反应能力的病毒检测网,在病毒爆发后第一时间提供解决方案;厂商能提供完整的,即时的反病毒咨询,提高用户的反病毒意识与警觉性,尽快地让用户了解到新病毒的特点与解决方案。作为国际知名的产品,使用Symantec Norton Antivirus Corporation软件是比较好的解决方案,它不但可以查杀多种病毒,病毒库升级迅速,并且只要在服务器端进行操作,客户端会自动跟随服务器端升级,大大减少管理员的工作量。
- 密钥管理
在网络攻击中,入侵者攻击Intranet目标的时候,90%会把破译普通用户的口令作为第一步。以使用Unix或者Linux作为操作系统的服务器为例,先找出主机上的用户帐号,然后用穷举法或者其他一些方法进行破译。接着在破译管理员帐号的密码以达到控制系统的目的。在现在的高端家庭电脑上,破译程序可能只需要几个到十几小时就能完成破译过程。
如果这个方法不能奏效,入侵者就会仔细地寻找目标主机的薄弱环节和漏洞,获得主机中存放口令的文件shadow或者passwd。然后利用专门的破解DES加密算法的程序来破译口令。
在内网中系统管理员必须要注意所有密码的管理,如口令的为数要尽可能的长;不要选用生日,公司名称等容易猜测的密码作为口令;不要在每个系统上都使用同一种口令;最好使用大小写的字母和数字混合和没有规律的密码最为口令,定期改变各系统的口令;管理员可以定期的使用口令破译程序对口令进行攻击破译检测口令的安全性。