DIY编程器网

 找回密码
 注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 788|回复: 0
打印 上一主题 下一主题

[待整理] 防护网络安全原则

[复制链接]
跳转到指定楼层
楼主
发表于 2014-10-13 14:55:26 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
显然,防护网络的第一步是防护网络中的所有计算机,包括个人工作站和服务器。然而,这只是网络安全的一部分,防火墙必不可少,大多数专家还建议用IDS,有许多IDS可供选择,有些甚至还是免费的。IDS可以检测攻击行为,像端口扫描,这可能预示着有人尝试侵入网络边界安全。  假如网络很大,就要考虑用带防火墙的路由器把网络分成若干部分,这样的话,一个部分发生问题,不会影响成个网络。这里,可以考虑把所有重要的服务器都放在一个安全区域内,这通常叫DMZ区。
  如Web服务器是对外提供服务的,并且最常受到攻击,把他们单独放在一个区域内是比较合理的。许多网络管理员会考虑在Web服务器与其它网络之间再放一个防火墙。这样的话,骇客就算利用服务器漏洞侵入了Web服务器,也不能进入整个网络。同时,一定要有策略指导用户如何使用系统,再健壮的安全系统都会因为用户的稍不注意而功亏一篑。一定要记住必须要有安全策略指导用户哪些能做,哪些不能做。
  在加固服务器(打补丁,关闭不必要的服务等)的同时,也需要加固路由器。如何加固路由器需要咨询相应的安全厂商,但是这里有一些基本原则:
  1、使用强壮的密码:所有的路由器都可配置。因此,必须要遵循统一的安全策略,最少字符、复杂度、生存期、密码历史等要求。如果路由器支持加密(如Cisco及一些大厂商),那么最好加密。
  2、使用日志:大多数路由器有日志功能。应该把此功能打开,就像监视服务日志那样。
  3、安全原则:一些基本的路由安全准则要遵守。
  4、不要响应非本地网络内主机的ARP(Address Resolution Protocol,地址解析协议)。
  5、网络内不需要端口应该在路由器关闭。
  6、不是从本地网络内发起的数据不予转发(此条为企业网原则,不适用于透传情况)。
  以上是总体原则。好了,还是理一下防护网络的常规动作吧。分为两个级别:一般级和增强级。
  一般级:没有达到这个要求,是很危险的。
  1、所有的工作站和服务器都应用基本PC安全清单(基本安全级别)。
  2、在内网和外网连接处部署包过滤防火墙。
  3、在内网和外网连接处部署代理服务器。
  4、所有路由器都设置为不转发广播包。
  5、所有密码长度至少8位,6个月至少修改一次。
  6、服务器物理安全措施到位,只有必要的人员才能接触。
  7、有明确策略规定禁止从internet下载任何软件。
  8、有明确策略规定如何处理邮件附件。
  9、有明确策略规定如何处理离职员工。
  10、加强员工安全意识并遵守企业策略。
  11、每月至少备份和检查一次服务器日志。
  12、每周所有服务器至少备份一次,每个月的备份移出并安全存储。
  13、只有管理员才具有完全控制权限。
  增强级:满足一般级的前提下,增加如下安全措施。
  14、在网络边界部署状态包检查防火墙。
  15、所有通往子网的路由器都具有包过滤防火墙功能。
  16所有服务器每天至少备份一次。每个礼拜的备份移出并安全存储。
  17、制定一个明确的灾难恢复计划,并对IT人员进行培训。
  18、安装入侵检测系统。
  19、每周至少备份和检查一次服务器日志。
  20、每60天对所有计算机检查和更新补丁。
  21、对所有特权网络管理员进行额外的背景检查。
  22、所有计算机的浏览器在中等安全级别设置的基础上执行自定义设置。
  23、所有密码长度至少8位,包含混合字符,并每90天修改一次。
  24、至少每90天对所有计算机利用安全分析器和端口扫描器进行检查。
  25、外部登陆只在非常严格的条件下才允许,如利用VPN。
  26、所有安全活动(备份、扫描、下载补丁、更改密码、增加/删除用户,更改许可等等)都必须记录,记录内容包括执行人、时间、授权人等。
  27、每个季度执行一次安全审计,包括检查补丁、日志、策略。
  28、每年对整个网络进行一次安全审计,包括管理员个人背景、模拟攻击测验、包嗅探、日志审计等等。
  29、定期的给用户发送安全更新警告,提示当前网络欺骗、病毒、木马等信息。
  30、废旧介质(硬盘、磁带等)要完全销毁。
  至此,可以说安全保障的本职工作已经做的相当好了,但前一部分的侧重点在“物”,我们堵住了设备的“漏洞”。前面介绍过,“人”的因素也很重要,赌不住人性的“漏洞”,只能功亏一篑。易中天以人物说故事,以故事说历史,以历史说人性,古今多少年,还是落脚点在人性上,可见人性多么关键。网络安全也一样,离不开人的因素,而且是个动态对抗的过程,没有一成不变的理论,只有举一反三,灵活运用。下面就介绍一下如何洞悉人性弱点,防止网络欺骗。
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友 微信微信
收藏收藏 分享分享 支持支持 反对反对
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|文字版|手机版|DIY编程器网 ( 桂ICP备14005565号-1 )

GMT+8, 2024-11-15 21:43 , 耗时 0.088395 秒, 18 个查询请求 , Gzip 开启.

各位嘉宾言论仅代表个人观点,非属DIY编程器网立场。

桂公网安备 45031202000115号

DIY编程器群(超员):41210778 DIY编程器

DIY编程器群1(满员):3044634 DIY编程器1

diy编程器群2:551025008 diy编程器群2

QQ:28000622;Email:libyoufer@sina.com

本站由桂林市临桂区技兴电子商务经营部独家赞助。旨在技术交流,请自觉遵守国家法律法规,一旦发现将做封号删号处理。

快速回复 返回顶部 返回列表