有線電視網(wǎng)絡(luò)安全管理的解決方案論文
摘要:
文章分析了上海嘉定區(qū)有線電視中心網(wǎng)絡(luò)的安全管理所涉及的問(wèn)題,并根據(jù)本身的工作實(shí)踐介紹了對(duì)于網(wǎng)絡(luò)內(nèi)外的供電設(shè)備系統(tǒng)、計(jì)算機(jī)病毒防治、防火墻技術(shù)等問(wèn)題采取的安全管理措施。
關(guān)鍵詞:
網(wǎng)絡(luò)安全;防火墻;數(shù)據(jù)庫(kù);病毒;網(wǎng)絡(luò)入侵者
當(dāng)今許多的企業(yè)都廣泛的使用信息技術(shù),特別是網(wǎng)絡(luò)技術(shù)的應(yīng)用越來(lái)越多,而寬帶接入已經(jīng)成為企業(yè)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)接入國(guó)際互聯(lián)網(wǎng)的主要方式。而與此同時(shí),因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)特有的開(kāi)放性,企業(yè)的網(wǎng)絡(luò)安全問(wèn)題也隨之而來(lái),由于安全問(wèn)題給企業(yè)造成了相當(dāng)大的損失。因此,預(yù)防和檢測(cè)網(wǎng)絡(luò)設(shè)計(jì)的安全問(wèn)題和來(lái)自國(guó)際互聯(lián)網(wǎng)的網(wǎng)絡(luò)入侵者攻擊以及病毒入侵成為網(wǎng)絡(luò)管理員一個(gè)重要課題。
一、網(wǎng)絡(luò)安全問(wèn)題
在實(shí)際應(yīng)用過(guò)程中,遇到了不少網(wǎng)絡(luò)安全方面的問(wèn)題。網(wǎng)絡(luò)安全是一個(gè)十分復(fù)雜的問(wèn)題,它的劃分大體上可以分為內(nèi)網(wǎng)和外網(wǎng)。如下表所示:
由上表可以看出,外部網(wǎng)的安全問(wèn)題主要集中在入侵方面,主要的體現(xiàn)在:未授權(quán)的訪問(wèn),破壞數(shù)據(jù)的完整性,拒絕服務(wù)攻擊和利用網(wǎng)絡(luò)、網(wǎng)頁(yè)瀏覽和電子郵件夾帶傳播病毒。但是網(wǎng)絡(luò)安全不僅要防范外部網(wǎng),同時(shí)更防范內(nèi)部網(wǎng)。因?yàn)閮?nèi)部網(wǎng)安全措施對(duì)網(wǎng)絡(luò)安全的意義更大。據(jù)調(diào)查,在已知的網(wǎng)絡(luò)安全事件中,約70%的攻擊是來(lái)自內(nèi)部網(wǎng)。內(nèi)部網(wǎng)的安全問(wèn)題主要體現(xiàn)在:物理層的安全,資源共享的訪問(wèn)控制策略,網(wǎng)內(nèi)病毒侵害,合法用戶非授權(quán)訪問(wèn),假冒合法用戶非法授權(quán)訪問(wèn)和數(shù)據(jù)災(zāi)難性破壞。
二、安全管理措施
綜合以上對(duì)于網(wǎng)絡(luò)安全問(wèn)題的初步認(rèn)識(shí),有線中心采取如下的措施:
。ㄒ唬┽槍(duì)與外網(wǎng)的一些安全問(wèn)題
對(duì)于外網(wǎng)造成的安全問(wèn)題,使用防火墻技術(shù)來(lái)實(shí)現(xiàn)二者的隔離和訪問(wèn)控制。
防火墻是實(shí)現(xiàn)網(wǎng)絡(luò)安全最基本、最經(jīng)濟(jì)、最有效的措施之一。防火墻可以對(duì)所有的訪問(wèn)進(jìn)行嚴(yán)格控制(允許、禁止、報(bào)警)。
防火墻可以監(jiān)視、控制和更改在內(nèi)部和外部網(wǎng)絡(luò)之間流動(dòng)的網(wǎng)絡(luò)通信;用來(lái)加強(qiáng)網(wǎng)絡(luò)之間訪問(wèn)控制,防止外部網(wǎng)絡(luò)用戶以非法手段通過(guò)外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),訪問(wèn)內(nèi)部網(wǎng)絡(luò)資源,從而保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境。所以,安裝防火墻對(duì)于網(wǎng)絡(luò)安全來(lái)說(shuō)具有很多優(yōu)點(diǎn):(1)集中的網(wǎng)絡(luò)安全;(2)可作為中心“扼制點(diǎn)”;(3)產(chǎn)生安全報(bào)警;(4)監(jiān)視并記錄Internet的使用;(5)NAT的位置;(6)WWW和FTP服務(wù)器的理想位置。
但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過(guò)防火墻的其它攻擊。為此,中心選用了RealSecureSystemAgent和NetworkEngine。其中,RealSecureSystemAgent是一種基于主機(jī)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品,一旦發(fā)現(xiàn)對(duì)主機(jī)的入侵,RealSecure可以中斷用戶進(jìn)程和掛起用戶賬號(hào)來(lái)阻止進(jìn)一步入侵,同時(shí)它還會(huì)發(fā)出警報(bào)、記錄事件等以及執(zhí)行用戶自定義動(dòng)作。RealSecureSystemAgent還具有偽裝功能,可以將服務(wù)器不開(kāi)放的端口進(jìn)行偽裝,進(jìn)一步迷惑可能的入侵者,提高系統(tǒng)的防護(hù)時(shí)間。Re?鄄alSecureNetworkEngin是基于網(wǎng)絡(luò)的實(shí)時(shí)入侵檢測(cè)產(chǎn)品,在網(wǎng)絡(luò)中分析可疑的數(shù)據(jù)而不會(huì)影響數(shù)據(jù)在網(wǎng)絡(luò)上的傳輸。網(wǎng)絡(luò)入侵檢測(cè)RealSecureNetworkEngine在檢測(cè)到網(wǎng)絡(luò)入侵后,除了可以及時(shí)切斷攻擊行為之外,還可以動(dòng)態(tài)地調(diào)整防火墻的防護(hù)策略,使得防火墻成為一個(gè)動(dòng)態(tài)的、智能的防護(hù)體系。
通過(guò)部署入侵檢測(cè)系統(tǒng),我們實(shí)現(xiàn)了以下功能:
對(duì)于WWW服務(wù)器,配置主頁(yè)的自動(dòng)恢復(fù)功能,即如果WWW服務(wù)器被攻破、主頁(yè)被纂改,系統(tǒng)能夠自動(dòng)識(shí)別并把它恢復(fù)至事先設(shè)定的頁(yè)面。
入侵檢測(cè)系統(tǒng)與防火墻進(jìn)行“互動(dòng)”,即當(dāng)入侵檢測(cè)系統(tǒng)檢測(cè)到網(wǎng)絡(luò)攻擊后,通知防火墻,由防火墻對(duì)攻擊進(jìn)行阻斷。
。ǘ┽槍(duì)網(wǎng)絡(luò)物理層的穩(wěn)定
網(wǎng)絡(luò)物理層的穩(wěn)定主要包括設(shè)備的電源保護(hù),抗電磁干擾和防雷擊。
本中心采用二路供電的措施,并且在配電箱后面接上穩(wěn)壓器和不間斷電源。所有的網(wǎng)絡(luò)設(shè)備都放在機(jī)箱中,所有的機(jī)箱都必須有接地的設(shè)計(jì),在機(jī)房安裝的時(shí)候必須按照接地的規(guī)定做工程;對(duì)于供電設(shè)備,也必須做好接地的工作。這樣就可以防止靜電對(duì)設(shè)備的破壞,保證了網(wǎng)內(nèi)硬件的安全。
。ㄈ┽槍(duì)病毒感染的問(wèn)題
病毒程序可以通過(guò)電子郵件、使用盜版光盤(pán)等傳播途徑潛入內(nèi)部網(wǎng)。網(wǎng)絡(luò)中一旦有一臺(tái)主機(jī)受病毒感染,則病毒程序就完全可能在極短的時(shí)間內(nèi)迅速擴(kuò)散,傳播到網(wǎng)絡(luò)上的`所有主機(jī),可能造成信息泄漏、文件丟失、機(jī)器死機(jī)等不安全因素。防病毒解決方案體系結(jié)構(gòu)中用于降低或消除惡意代碼;廣告軟件和間諜軟件帶來(lái)的風(fēng)險(xiǎn)的相關(guān)技術(shù)。中心使用企業(yè)網(wǎng)絡(luò)版殺毒軟件,(例如:SymantecAntivirus等)并控制寫(xiě)入服務(wù)器的客戶端,網(wǎng)管可以隨時(shí)升級(jí)并殺毒,保證寫(xiě)入數(shù)據(jù)的安全性,服務(wù)器的安全性,以及在客戶端安裝由奇虎安全衛(wèi)士之類來(lái)防止廣告軟件和間諜軟件。
。ㄋ模┽槍(duì)應(yīng)用系統(tǒng)的安全
應(yīng)用系統(tǒng)的安全主要面對(duì)的是服務(wù)器的安全,對(duì)于服務(wù)器來(lái)說(shuō),安全的配置是首要的。對(duì)于本中心來(lái)說(shuō)主要需要2個(gè)方面的配置:服務(wù)器的操作系統(tǒng)(Windows2003)的安
全配置和數(shù)據(jù)庫(kù)(SQLServer2000)的安全配置。
1.操作系統(tǒng)(Windows2003)的安全配置
。1)系統(tǒng)升級(jí)、打操作系統(tǒng)補(bǔ)丁,尤其是IIS6.0補(bǔ)丁。
(2)禁止默認(rèn)共享。
。3)打開(kāi)管理工具-本地安全策略,在本地策略-安全選項(xiàng)中,開(kāi)啟不顯示上次的登錄用戶名。
(4)禁用TCP/IP上的NetBIOS。
。5)停掉Guest帳號(hào),并給guest加一個(gè)異常復(fù)雜的密碼。
。6)關(guān)閉不必要的端口。
。7)啟用WIN2003的自身帶的網(wǎng)絡(luò)防火墻,并進(jìn)行端口的改變。
。8)打開(kāi)審核策略,這個(gè)也非常重要,必須開(kāi)啟。
2.?dāng)?shù)據(jù)庫(kù)(SQLServer2000)的安全配置
。1)安裝完SQLServer2000數(shù)據(jù)庫(kù)上微軟網(wǎng)站打最新的SP4補(bǔ)丁。
。2)使用安全的密碼策略設(shè)置復(fù)雜的sa密碼。
。3)在IPSec過(guò)濾拒絕掉1434端口的UDP通訊,可以盡可能地隱藏你的SQLServer。
。4)使用操作系統(tǒng)自己的IPSec可以實(shí)現(xiàn)IP數(shù)據(jù)包的安全性。
。ㄎ澹┕芾韱T的工具
除了以上的一些安全措施以外,作為網(wǎng)絡(luò)管理員還要準(zhǔn)備一些針對(duì)網(wǎng)絡(luò)監(jiān)控的管理工具,通過(guò)這些工具來(lái)加強(qiáng)對(duì)網(wǎng)絡(luò)安全的管理。
Ping、Ipconfig/winipcfg、Netstat:
Ping,TCP/IP協(xié)議的探測(cè)工具。
Ipconfig/winipcfg,查看和修改網(wǎng)絡(luò)中的TCP/IP協(xié)議的有關(guān)配置,
Netstat,利用該工具可以顯示有關(guān)統(tǒng)計(jì)信息和當(dāng)前TCP/IP網(wǎng)絡(luò)連接的情況,用戶或網(wǎng)絡(luò)管理人員可以得到非常詳盡的統(tǒng)計(jì)結(jié)果。
SolarWindsEngineer''sEditionToolset
另外本中心還采用SolarWindsEngineer''sEditionToolset。它的用途十分廣泛,涵蓋了從簡(jiǎn)單、變化的ping監(jiān)控器及子網(wǎng)計(jì)算器(Subnetcalculators)到更為復(fù)雜的性能監(jiān)控器何地址管理功能!
SolarWindsEngineer''sEditionToolset的介紹:
SolarWindsEngineer’sEdition是一套非常全面的網(wǎng)絡(luò)工具庫(kù),包括了網(wǎng)絡(luò)恢復(fù)、錯(cuò)誤監(jiān)控、性能監(jiān)控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外,Engineer’sEdition還增加了新的SwitchPortMapper工具,它可以在您的switch上自動(dòng)執(zhí)行Layer2和Layer3恢復(fù)。工程師版包含了SolarwindsMIB瀏覽器和網(wǎng)絡(luò)性能監(jiān)控器(NetworkPerformanceMonitor),以及其他附加網(wǎng)絡(luò)管理工具。
SnifferPro能夠了解本機(jī)網(wǎng)絡(luò)的使用情況,它使用流量顯示和圖表繪制功能在眾多網(wǎng)管軟件中最為強(qiáng)大最為靈活;它能在于混雜模式下的監(jiān)聽(tīng),也就是說(shuō)它可以監(jiān)聽(tīng)到來(lái)自于其他計(jì)算機(jī)發(fā)往另外計(jì)算機(jī)的數(shù)據(jù),當(dāng)然很多混雜模式下的監(jiān)聽(tīng)是以一定的設(shè)置為基礎(chǔ)的,只有了解了對(duì)本機(jī)流量的監(jiān)聽(tīng)設(shè)置才能夠進(jìn)行高級(jí)混雜模式監(jiān)聽(tīng)。
除了上面說(shuō)的五個(gè)措施以外,還有不少其他的措施加強(qiáng)了安全問(wèn)題的管理:
●制訂相應(yīng)的機(jī)房管理制度;
●制訂相應(yīng)的軟件管理制度;
●制訂嚴(yán)格的操作管理規(guī)程;
●制訂在緊急情況下系統(tǒng)如何盡快恢復(fù)的應(yīng)急措施,使損失減至最;
●建立人員雇用和解聘制度,對(duì)工作調(diào)動(dòng)和離職人員要及時(shí)調(diào)整相應(yīng)的授權(quán)。
總之,網(wǎng)絡(luò)安全是一個(gè)系統(tǒng)工程,包含多個(gè)層面,因此安全隱患是不可能完全消除的,但是通過(guò)各種有力措施,卻可以將其減到最小程度。所以需在網(wǎng)絡(luò)安全問(wèn)題方面不斷探索,使網(wǎng)絡(luò)建設(shè)和應(yīng)用兩方面相互促進(jìn)形成良性循環(huán)。
【有線電視網(wǎng)絡(luò)安全管理的解決方案論文】相關(guān)文章:
網(wǎng)絡(luò)安全解決方案12-04
規(guī)范管理體系的有線電視論文07-04
網(wǎng)絡(luò)安全與管理論文04-01
網(wǎng)絡(luò)安全管理設(shè)計(jì)與實(shí)現(xiàn)論文07-03
網(wǎng)絡(luò)安全管理系統(tǒng)設(shè)計(jì)思考論文10-28