将安全进行到底 － 分析篇

 

　PC安全-分析篇

　　古人云: 工欲善其事，必先利其器。如果了解了网络系统有哪些安全弱点，可以采用哪些安全防范措施和关键技术，用户才能够更好地进行安全建设。

　　系统安全分析

　　数据安全和设备安全是企业网络安全保护的2个重要内容。通常，对数据和设备构成安全威胁的因素很多，有的来自企业外部，有的来自企业内部; 有的是人为的，有的是自然力造成的; 有的是恶意的，有的是无意的。其中来自外部和内部人员的恶意攻击和入侵是企业网面临的最大威胁，也是企业网安全策略最需要解决的问题。从技术角度来讲，用户应该做好网络层、系统级和应用级3个方面的防护。

　　一、网络层安全防护

　　网络层的安全保护是防御外部黑客入侵和内部网络滥用与误用的第一道屏障。用户应该通过定义网络安全规范，明确各级部门对网络使用的范围与权限，保证经授权许可的信息才能在客户机和服务器间通信。

　　1.隔离与访问控制

　　在网络与外界连接处实施网络访问控制，可以让企业用户了解外部网络用户的身份和工作性质，提供访问规则，并针对存取要求授予不同的权限，禁止非法用户进入内部系统。网络访问控制系统应该能够按照来访者的ip地址区分用户，并对来访者的身份进行验证，支持面向连接和非连接的通讯，控制用户可访问的网络资源和允许访问的日期与时间。对于一些复杂的应用协议，可通过特定的方法进行逻辑监视和数据包过滤。除此之外，访问控制还能对现有的各种网络攻击手段(如ip spoofing、rip攻击和icmp攻击等)进行有效的阻截。

　　我们可以采用划分虚拟子网方法实现较精细的访问控制，也可以采用防火墙技术，通过制定严格的安全策略，实现不信任域之间的隔离与访问控制。

　　2. 地址转换

　　使用地址转换技术，让ip数据包的源地址和目的地址以及tcp或udp的端口号在进出内部网时发生改变，这样可以屏蔽网络内部细节，防止外部黑客利用ip探测技术发现内部网络结构和服务器真实地址。

　　3. 入侵检测

　　含activex、java、javascript和vbscript的web页面、电子邮件的附件以及带宏的office文档等经常携带一些可执行程序，这些程序中很可能携带计算机病毒、特洛伊木马和bo等黑客工具，具有潜在的危险性，系统应该能够对这些可疑目标进行检测，隔离未知应用。

　　在内部网络上，也可能存在来自内部的一些恶意攻击，甚至可能存在来自外部的恶意入侵，安全防护体系应该能够监视内部关键的网段，扫描网络上的所有数据，检测服务拒绝型袭击、可疑活动、恶意的小型应用程序和病毒等攻击，及时报告管理人员，阻止这些攻击到达目标主机。

　　二、系统级安全防护

　　系统级安全是指操作系统安全和应用系统安全。

　　1.使用漏洞扫描技术

　　网络中的所有设备都可能存在安全隐患，定期扫描操作系统和数据库系统的安全漏洞与错误配置，及时发现系统中的弱点或漏洞，提示管理员进行正确配置，及时分析和评估，尽早采取补救措施，可避免各种损失。

　　2.加强操作系统用户认证授权管理

　　对于操作系统的安全防范，应尽量采用安全性较高的网络操作系统，并进行必要的安全配置，关闭一些不常用却存在安全隐患的应用，严格限制对关键文件的使用权限。特别要限制用户口令的规则和长度，禁止用户使用简单口令，并强制用户定期修改口令，按照登录时间、地点和登录方式限制用户的登录请求。同时加强口令的使用，及时给系统打补丁。另外，配备安全扫描系统，对操作系统进行安全性扫描，并有针对性地对网络设备重新配置或升级。

　　3.增强访问控制管理

　　首先，对文件的访问控制除提供读、写和执行权限外，还应该有建立、搜索、删除、更改和控制等权限，以满足复杂安全环境的需求。其次，应该能够限制访问文件的时间和日期，而且即使是超级用户，也不应透过安全屏障访问未经授权的文件。另外，应对计算机进程提供安全保护，防止非法用户启动或制止关键进程。最后，控制对网络和端口的访问。

　　比如，在应用系统的安全上，应用服务器尽量关闭那些不是必须开放的端口和服务(对于像文件服务和电子邮件服务器这样的应用系统，应关闭服务器上如http、ftp、rlogin和 telnet等服务)，严格限制登录者的操作权限，加强登录身份认证，确保用户使用的合法性。充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。

　　4.病毒防范

　　在网络环境下，计算机病毒有着不可估量的破坏力，病毒防范是网络安全建设中需要考虑的重要环节。

　　5. web服务器的专门保护

　　针对重要的、最常受到攻击的应用系统，用户需要开展特别的保护措施。web 服务器是一个单位直接面向外界的大门，也是最先面临网络攻击威胁的部分，由于主页是一个单位的形象，对于系统的web保护十分重要。我们可以对web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意的小型应用程序和电子邮件等在内的安全策略进行明确规划。

　　三、应用级安全保护

　　人常道: 三分长相七分打扮，对于网络安全，则是三分技术七分管理。安全管理是网络安全中非常重要又常被忽视的一项内容。经调查，it环境中出现的不安全问题并不全是由单纯的it设备引发的，还有其他非it技术因素带来的问题，比如管理。因此，我们在对设备和数据进行安全保护的同时，需要加强对用户的安全管理。

　　1.实施单一的登录机制

　　系统安全管理应该实现“一人一个账号一个口令”登录管理模式，可通过用户名/口令、指纹识别器、智能卡和令牌卡等多种方式获得安全管理服务器的系统认证，然后双击代表某一应用的图标直接访问。我们可以采用口令pin密钥管理、数据加密和数字签名等安全机制，最大限度地保证用户和口令等信息的安全。

　　2.统一的用户和目录管理机制

　　系统安全管理应该允许用户在单一的界面中管理不同系统的用户和目录结构，并同时在多种不同的操作系统平台上创建、修改和删除用户，提供跨平台用户策略的一致性管理，确保系统安全，减少it管理人员管理目录和用户的时间和精力，隐藏不同操作系统的差异。

　　总之，实现应用级安全保护，需要进行3方面的建设: 制定健全的安全管理体制(根据自身实际情况制定安全操作流程、不安全事故的奖罚制度及对任命安全管理人员的考查等)、构建安全管理平台(如组成安全管理子网，安装集中统一的安全管理软件)和增强用户的安全防范意识。

　　要做好安全管理，只靠网络管理员是不够的。管理员本身承担了保证一个网络高效、畅通运行的任务，没有精力也没有能力去做全面的安全防护。实际上，安全管理需要很强很深很精湛的安全技术背景、专业素质和经验积累，只有专业的安全服务商才能提供相应的管理保障。