1、 网管员必读网管员必读网络安全网络安全欢 迎 词 非常感谢贵校选择本书作为教材!网管员必读网络安全一书是近两年来一直畅销全国、在各权威机构近两年的年度IT图书评比中大获全胜,获得过许多第一的网管员必读系列丛书中的一本。同时,该系列有多本图书输出到了我国台湾省。在此以本书作者身份,祝您们通过对本书的学习能取得实实在在的进步,学到实实在在的网络安全管理方面的的知识和培养实实在在的安全策略部署方面的动手实践能力。目录目录第一章第一章 企业网络安全概述企业网络安全概述第二章恶意软件的浓度防护第二章恶意软件的浓度防护第三章第三章 防火墙在网络安全中的应用防火墙在网络安全中的应用第四章第四章 入侵检测系统
2、及应用入侵检测系统及应用第五章第五章 企业网络安全隔离企业网络安全隔离第六章第六章 Windows用户账户安全策略用户账户安全策略第七章第七章 公钥基础结构公钥基础结构第八章第八章 文件加密与数字签名文件加密与数字签名第九章第九章 数据备份与恢复数据备份与恢复第十章第十章 远程网络连接的安全配置远程网络连接的安全配置教学目的与要求教学目的与要求 通过本书的学习学员要达到以下基本目的:通过本书的学习学员要达到以下基本目的:u 了解企业网络中主要的网络安全隐患来源了解企业网络中主要的网络安全隐患来源u 了解各种网络安全隐患的主要特点和威胁了解各种网络安全隐患的主要特点和威胁u 掌握各种安全隐患的安
3、全防护策略和方法掌握各种安全隐患的安全防护策略和方法 以下是学员在学习本书时的基本要求:以下是学员在学习本书时的基本要求:u 要全局,不孤立地看待任何一种安全隐患要全局,不孤立地看待任何一种安全隐患u 要从网络,而不是要从网络,而不是PC机角度分析安全隐患机角度分析安全隐患u 尽可能亲自配置书中介绍的设备和软件系统尽可能亲自配置书中介绍的设备和软件系统u 具体内容仍在课本上,必须与课本同时使用具体内容仍在课本上,必须与课本同时使用 基本教学思路基本教学思路本书是目前国内图书市场中唯一一本真正从企业本书是目前国内图书市场中唯一一本真正从企业应用角度分析企业网络安全需求、企业网络中可应用角度分析企
4、业网络安全需求、企业网络中可能存在的各种安全隐患,以及应采取的安全策略能存在的各种安全隐患,以及应采取的安全策略和安全防护方法的网络安全类图书。和安全防护方法的网络安全类图书。本书在教学中,建议授课老师遵循以下教学思路:本书在教学中,建议授课老师遵循以下教学思路:u 先要求学生全面预习课本中相应章节内容,然先要求学生全面预习课本中相应章节内容,然后结合使用本课件进行教学后结合使用本课件进行教学u 从网络角度分析相应安全隐患的来源从网络角度分析相应安全隐患的来源u 结合实例阐述主要安全隐患的主要特点和威胁结合实例阐述主要安全隐患的主要特点和威胁u 学习掌握各种安全隐患预防方法和意义学习掌握各种安
5、全隐患预防方法和意义第一章 企业网络安全概述 本章是本书主要内容的综合阐述章,其目的就是想让大家事先对企业网络安全隐患有一个比较全面的了解。这样我们在学习后面各章内容时才会有目的地去学习。本章重点如下:u企业网络安全隐患来源u病毒的主要特点及常见类型u常见的网络攻击类型u企业网络安全策略设计原则u企业网络安全策略设计思路1.1 企业网络安全考虑一般来说企业网络安全隐患有如下几个方面:u病毒入侵和黑客攻击u操作系统安全漏洞u用户密码和权限的滥用u机密文件的非法操作、访问与窃取u机密部门的非法访问u外网用户的非法访问,或入侵u数据备份和存储媒体损坏的损坏、丢失1.1.1 病毒入侵和黑客攻击的基本防
6、护 这是我们最常见的安全隐患,不仅在企业网络中普遍存在,就在我们平时所用的个人计算机中也是四处肆虐。特别是病毒,它并不是近期随着网络的产生而产生,早在DOS时代就已非常普遍。本节在此只作简要说明,详细内容参见书本P2P4页。1.病毒和黑客程序简介 病毒和黑客程序都属于程序软件的类型,只不过它们与一般意义的程序软件在用意上有着明显的区别,那就是病毒和黑客程序是专门用来破坏用户计算机系统、损坏系统硬件,或者使用系统崩溃的,用意不良;而一般的程序软件则是用来解决用户工作中的某种需要,或为用户具体的应用提供平台。与病毒程序相伴相随的就是黑客程序了。它的出现虽然要比病毒程序晚许多,其盛行只是近几年随着计
7、算机网络的普及才开始的,但是它的威胁性和破坏性比病毒更大。2.病毒和黑客程序的传播途经 病毒和黑客传播的途经非常多,但两者的传播途经并不一样。病毒主是通过相互感染进行传播的,如运行带病毒的文件、磁盘(包括软、硬磁盘)、光盘,打开带病毒的邮件附件、图片,更主要是通过网络渗入,如从互联网或局域网上下载带病毒的文件、在互联网上点击带病毒的网页、“热门”图片、动画等。而黑客程序则主要通过黑客工具软件入侵,或者正常文件携带而实现传播的,当然目前也有通过点击网上的网页、“热门”图片、动画等传播的。所以,我们在预防病毒和黑客程序时要分别对待,要采取不同的预防措施。3.病毒和黑客程序的查杀 病毒和黑客程序的查
8、杀方法通常是通过专门的病毒和木马防护软件进行的。有单机版和网络版之分,在网络中建议采用网络版,以便在整个网络中同步杀毒。在这些病毒防护软件中基本上都同时带有软件防火墙系统、漏洞扫描工具和木马查杀工具。也有一些专门的木马类查杀工具,如木马克星、反间谍专家、木马杀客等。也可通过路由器和防火墙的包、IP地址过滤等功能来阻止。1.1.2 操作系统安全漏洞攻击的防护 黑客为了实施他们的攻击目的,就必须寻一个攻击入口,这些入口通常就是各种各样的“安全漏洞”。所有软件都可能存在安全漏洞,但操作系统的安全漏洞被发现的最多,也是黑客们认为最有利用价值的,因为利用这些操作系统属于基础平台,通过它们的安全漏洞最容易
9、实现他们预期攻击目标。同时,操作系统是控制整个计算机和网络系统的安全核心,选择操作系统的安全漏洞进行攻击,可以迅速产生巨大破坏性,使对方迅速处于瘫痪或崩溃状态。本节详细内容参见书本P4P7页。1.操作系统安全漏洞的来源 操作系统的安全漏洞来源可能是多方面的,有些是操作系统程序本身自带的,这主是由于开发商在程序开发时考虑不周造成的。这些漏洞一般都可通过安装在应用过程中开发商后面开发的安全补丁程序来修复。还有一些是用户自身配置不当造成的,如打开一些非必要的端口,设置了过多、过高权限的磁盘和文件共享;或者用户权限配置不当等。这些漏洞不能通过安装补丁来修复了,必须由用户自己重新设置。虽然从数量和见诸媒
10、体的频率来说,微软的Windows系统是最经常被发现安全漏洞的,但这并不能说它的安全性就是最差的。事实上像UNIX、Linux之类系统同样存在安全漏洞,当然不能否认的是,这两类系统的稳定性和安全性确实要稍好于Windows系统,但这也只是Windows为了使用的方便性作出的牺牲 另一方面,由于Windows类操作系统应用面最广,关注度最高,受影响面广,容易操作,所以相对来说黑客们更加喜欢、更加容易分析攻击它的方法,这样被发现的安全漏洞就会感觉到多了。2.操作系统安全漏洞的发现 要知道自己的系统到底存在哪些安全漏洞,一般来说只能通过专门的漏洞扫描工具了。目前一些主要杀毒软件最新版本都带有安全漏洞
11、扫描功能,如金山毒霸、瑞星等。通过它们可以十分方便地查找自己系统的安全漏洞。除此之外,也有一些专门的漏洞扫描工具,如微软自己提供的免费MBSA(微软基准安全分析器),Linux系统中的Nessus等。利用它们扫描发现漏洞后,还可以自动修复,多数是一个补丁安装过程,也有一些需要用户自己配置的,如注册表配置、帐户权限配置等。系统补丁的安装还可利用Windows系统的“自动更新”工具或者“Windows Update”菜单进行。只有这样才能及时把这些系统漏洞补上,防止黑客们利用这些漏洞进行攻击。除了操作系统可能具有安全漏洞外,其他方面也可能有,如网络系统、数据库系统和服务器等。所以目前的漏洞扫描工具
12、基本分为三种:基于服务器的扫描器、基于网络的扫描器和基于数据库的扫描器,分别可以对服务器、网络或数据库的安全漏洞进行扫描,并提出安全分析报告。目前还有一些同时支持UNIX、Linux和Windows系统漏洞、网络漏洞扫描的工具软件,如Secuguard、SecuguardNSE等。【说明】书中P6页详细介绍了利用金山毒霸中的漏洞扫描工具查找系统和修复漏洞的步骤。1.1.3 网络用户密码盗用和权限滥用 这是一非常严重的安全问题,它同时可以在企业内部和外部网络中发生。有些黑客通过一些诸如木马类的黑客程序就可以盗取一些用户的网络帐户和密码,轻松从内部或外部网络中登录进入到企业网络系统中。如果所盗取的
13、用户帐户权限较高,则黑客很轻松地制造出各种网络安全事故,甚至毁坏整个企业网络。用户帐户和密码的盗取可以有多种不同途经的:如用户自己在进入网络系统登录,输入帐户和密码时不小心给人看见了;或者密码长时间不换,或换来换去都是原来的几个密码,这对于那些别有用心的人就很容易猜到。这些可通过网络操作系统的密码策略来预防。还有一种盗取用户帐户和密码的方法就是通过远程控制类黑客程序从目标计算机系统中获取,这类黑客行为就不能仅靠部署系统密码策略来完全预防了。最后一种就是那些非法用户通过各种手段(如穷举法)猜测来获取用户密码,这种方法难度较大,所花时间也较多,一般不会采取。为了预防这种事件发生,笔者强烈建议在企业
14、网络中采用强密码策略,这些将在本书第六章具体介绍。至于用户权限的滥用那主要是因为网络管理员没有正确配置用户权限。本来有些用户的工作只需要一般的用户权限,但网络管理员为了配置方便,干脆把所有需要某些特权的用户都加进了系统管理员组,这样这些用户无形之中就具有了非常高的权限。当这些用户中有用户因某种好奇心,或者出于一种对公司,或某员工不满,想进行一些网络破坏活动时就很容易实现了。具体的用户权限配置也将在本书的第六章介绍。1.1.4重要文件或邮件的非法窃取与访问 在企业网络中一般保存着非常多的重要信息,如员工工资、公司财务报表、公司销售报告、竞标标书等。对于这些重要文件通常需要采取文件加密和网络隔离措
15、施来保护,它们将在本书的第八章和第五章详细介绍。非法用户窃取用户重要文件的另一个重要途经就是窃取用户的邮件。这时除了可对邮件中所发的文件进行文件加密外,还可对邮件进行数字签名,让对方确认这封邮件确实是自己发送的,这样也可确保所接收的文件没有被篡改。具体的邮件加密和数字签名在本书的第八章详细介绍。1.1.5 关键部门的非法访问 不同的隔离需求有不同的隔离措施,如对于一些小型企业,关键部门人员和重要文件都很少,不必采取价格昂贵的物理网络隔离措施,只需要把这个重要文件不设置共享,并且采取一定的加密措施进行保护即可。如果企业规模比较大,关键部门人员和重要数据也较多,这时就可考虑物理网络隔离措施。网络隔
16、离方案总体有三种措施:其一、按子网掩码重新划分子网,把需要保护的关键部门放在单独的子网中,具体参见网管员必读超级网管经验谈一书。其二、采用支持VLAN技术的交换机把需要保护的关键部门用户划分在一个单独的VLAN子网中,具体参见网管员必读网络应用一书。其三、采用物理隔离卡、网路选择器、隔离网闸等物理隔离设备对关键部门网络进行隔离。具体将在本书的第五章具体介绍。1.1.6 外网的非法入侵 外网入侵的方式有多种方式,如IP电子欺骗、毁损攻击、拒绝服务攻击、邮件洪流攻击、中间人攻击、HTTP协议攻击和应用层攻击等。防止这类外网入侵的主要安全措施就是架设防火墙。对于个人用户,出于经济成本、性能需求等各方
17、面的综合考虑,一般都是选择个人软件防火墙,但对于企业用户来说,强列建议采用硬件防火墙,当然主要是硬件防火墙的安全防护功能和性能远比软件防火墙要好。另外,防火墙不仅可以在内、外部网络之间架设,还可在内部网络的关键部门与其他部门之间架设,用于保护关键部门。具体将在本书第三章介绍。1.1.7 备份数据和存储媒体的损坏与丢失 正由于以上各节介绍的那么多网络安全隐患的存在,所以应非常重视系统或数据的备份。个人用户的备份通常是采取Ghost之类的整盘复制软件,或者把一些重要数据在单独一个硬盘中,或者刻成光碟备份。对于企业用户,通常是采用像磁盘阵列、磁带、磁带库、光盘塔、光盘库等专用硬件,加上适当的备份软件
18、系统组成的数据备份与恢复系统进行。然而即使有了完善的数据备份与恢复系统,仍可能存在备份数据和备份媒体损坏或丢失的危险。如存储媒介中的数据读不出来,存储媒价丢失、损坏等。这就需要我们为企业数据备份部署完善的容灾方案。具体将在本书的第十章介绍,但要了解数据存储与备份的详细知识和应用方案请参见本系列网管员必读服务器与数据存储一书。1.2 认识病毒文件 自1946年第一台诺依曼型计算机ENIAC出世以来,计算机已被应用到人类社会的各个领域。1988年在美国发现的蠕虫病毒可以算是病毒的鼻祖了,它是由美国CORNELL大学编写,虽然设计之初的出发点并无恶意,但当时蠕虫病毒大肆在Internet上传播,致使
19、数千台连网的计算机系统停止运行,成为一时的舆论的焦点。在国内,最初引起人们注意的病毒是20世纪80年代末出现的黑色星期五、米氏病毒、小球病毒等。后来出现的Word宏病毒及Windows 95下的CIH病毒,使人们对病毒的认识更加深了一步。1.2.1 计算病毒的演变 20世纪80年代早期出现了第一批计算机病毒。这些早期的尝试大部分是试验性的,仅是相对简单的自行复制,在执行时显示简单的恶作剧而已。1986年,报道了攻击MS-DOS个人计算机的第一批病毒;人们普遍认为Brain病毒是这些计算机病毒中的第一种病毒。然而,1986年出现的其他首批病毒还包括Virdem(第一个文件病毒)和PC-Write
20、(第一个特洛伊木马病毒)。随着更多的人开始研究病毒技术,病毒的数量、被攻击的平台数以及病毒的复杂性和多样性都开始显著提高。1990年,网上出现了病毒交流布告栏,成为病毒编写者合作和共享知识的平台。接着在1992年,出现了第一个多态病毒引擎和病毒编写工具包。随后病毒就变得越来越复杂,病毒开始访问电子邮件通讯簿,并将其自身发送到联系人;宏病毒将其自身附加到各种办公类型的应用程序文件并攻击这些文件等。随着计算机网络的及其应用的普及,电子邮件、网络、网站、共享驱动器和产品漏洞都为病毒复制和攻击提供了平台。在已感染系统上创建的后门使得黑客们可以运行他们所选择的任何软件,进行任何恶意的攻击行为。有些病毒附
21、带其自身的嵌入式电子邮件引擎,可以使已感染的系统直接通过电子邮件传播病毒,而绕过此用户的电子邮件客户端或服务器中的任何设置。病毒编写者还开始设计病毒攻击的结构并使用社会工程,来开发具有可信外观的电子邮件。这种方法旨在获取用户的信任,使其打开附加的病毒文件,来显著地增加大规模感染的可能性。虽然恶意软件演变的同时,防病毒软件也处在不断的发展之中。但是,当前大多数防病毒软件几乎完全依赖于病毒签名或恶意软件的识别特性来识别潜在有害的代码。从一个病毒的初始版本到此病毒的签名文件被防病毒供应商广泛分发之间,仍然存在存活机会。有关恶意程序的防护知识将在本书第二章具体介绍。1.2.2 病毒的产生 目前有这么多
22、病毒,那究竟是如何产生的呢?究其根源不外乎以下几个:u 开玩笑,搞恶作剧u 测试自己的病毒程序开发能力u出于个人报复 u 用于版权保护 本节详细内容参见书本的P11页。1.2.3 病毒的主要特点 病毒也是一种程序文件,它与正常程序相比,具有以下明显的特点:u 未经授权而执行 u 具有传染性 u 具有隐蔽性 u 具有潜伏性 u 具有破坏性 u 具有不可预见性 本节详细内容参见书本的P11P12页。1.3 病毒的分类 目前来说,病毒的种类非常多,总的来说可以按以下几个标准来进行划分。1.按破坏程度分 按破坏性程度可分为:良性病毒,恶性病毒、极恶性病毒和灾难性病毒四种。2.按传染方式划分 按传染方式
23、分为:引导型病毒、文件型病毒和混合型病毒。3.按入侵方式分 按入侵方式分为:源代码嵌入攻击型病毒、代码取代攻击型病毒、系统修改型病毒、外壳附加型病毒。本节详细内容参见书本的P12P17页。1.4 认识黑客的入侵 首先要认识到黑客程序与前面所说的病毒程序一样,也属于程序文件,只不过它与病毒文件一样,开发者开发它们的目的不属于正常的应用,而是用于进行非法的攻击。但黑客程序与病毒程序又有着本质的区别,有些黑客程序其实本身并不具有多大的危害性,它们自身一般并不破坏目标主机系统和数据,只是被黑客们利用进行了一些非法活动。黑客们利用这些黑客程序所获取的信息或获取的权限进行非法的活动,如窃取用户的银行卡资料
24、、转移用户手机上的话费,或者利用获取的高权限非法登录用户网络进行一些破坏活动。同时,黑客程序一般不具有自我复制功能,而这一功能却是病毒的基本特点。1.4.1 黑客攻击的基本步骤 黑客要实施攻击,一般来说它必须有三个基本步骤,那就是:踩点、扫描、攻击。“踩点”就是寻找攻击的对象,看哪个目标系统可以实施攻击;“扫描”就是对确定的攻击对象用专门的扫描工具软件进行扫描,以发现目标存在的安全漏洞,以便采取适当的攻击方法;“攻击”就是通过建立帐户、安装远程控制器、发现信任关等手段,最终达到获取特权,对目标系统进行破坏的目的。它们都需要借助相应的工具软件才能完成的。具体参见书本P17P18页。1.4.2 常
25、见攻击类型 虽然黑客攻击的手法多种多样,但就目前来说,绝大多数中初级黑客们所采用的手法和工具仍具有许多共性。从大的方面来划分的话,归纳起来一般不外乎以下几种:u 网络报文嗅探 嗅探器是利用计算机的网络接口,截获目的计算机数据报文的一种技术。u IP地址欺骗 IP地址欺骗攻击是黑客们假冒受信主机(要么是通过使用你网络IP地址范围内的IP,要么是通过使用你信任,并可提供特殊资源位置访问的外部IP地址)对目标进行攻击。u 密码攻击 密码攻击通过多种不同方法实现,包括蛮力攻击(brute force attack),特洛伊木马程序,IP欺骗和报文嗅探。u拒绝服务攻击 拒绝服务(DoS)攻击是目前最常见
26、的一种攻击类型。它的最终目的就是使你的网络连接堵塞,或者服务器因疲于处理攻击者发送的数据包而使服务器系统的相关服务崩溃、系统资源耗尽。u应用层攻击 应用层攻击能够使用多种不同的方法来实现,最平常的方法是使用服务器上通常可找到的应用软件(如SQL Server、Sendmail、PostScript和FTP)缺陷。通过使用这些缺陷,攻击者能够获得计算机的访问权,以及该计算机上运行相应应用程序所需账户的许可权。本节详细内容参见书本的P18P20页。1.4.3常见拒绝服务攻击行为特征和防御方法 下面是几种典型的拒绝服务攻击行为特征和防御方法:u 死亡之Ping(Ping of death)攻击 “死
27、亡之Ping”的攻击原理就是来源于一般路由器对包的最大大小有限制(通常是在64KB以内),当收到大小超过64KB的ICMP包时就会出现内存分配错误,导致TCP/IP堆栈崩溃,从而使接受方计算机宕机。利用这一机制,黑客们只需不断地通过Ping命令向攻击目标发送超过64KB的数据包,最终使目标计算机的TCP/IP堆栈崩溃。u泪滴(Teardrop)攻击 实施泪滴攻击的黑客们在截取IP数据包后,把偏移字段设置成不正确的值,这样接收端在收后这些分拆的数据包后就不能按数据包中的偏移字段值正确重合这些拆分的数据包,但接收端会不断偿试,这样就可能致使目标计算机操作系统因资源耗尽而崩溃。u TCP SYN洪水
28、(TCP SYN Flood)攻击 “TCP SYN洪水”攻击的原理来源就是TCP/IP栈只能等待有限数量ACK(应答)消息,因为每台计算机用于创建TCP/IP连接的内存缓冲区都是非常有限的。如果这一缓冲区充满了等待响应的初始信息,则该计算机就会对接下来的连接停止响应,直到缓冲区里的连接超时。u Land攻击 这类攻击中的数据包源地址和目标地址是相同的,当操作系统接收到这类数据包时,不知道该如何处理,或者循环发送和接收该数据包,以此来消耗大量的系统资源,从而有可能造成系统崩溃或死机等现象。u Smurf 攻击 Smurf攻击利用多数路由器中具有同时向许多计算机广播请求的功能。攻击者伪造一个合法
29、的IP地址,然后由网络上所有的路由器广播要求向受攻击计算机地址做出回答的请求。由于这些数据包表面上看是来自已知地址的合法请求,因此网络中的所有系统向这个地址做出回答,最终结果可导致该网络的所有主机都对此ICMP应答请求作出答复,导致网络阻塞,这也就达到了黑客们追求的目的了。Fraggle攻击 Fraggle攻击只是对Smurf攻击作了简单的修改,使用的是UDP协议应答消息,而不再是ICMP协议了(因为黑客们清楚UDP协议更加不易被用户全部禁止)。同时Fraggle攻击使用了特定的端口,攻击原理与Smurf攻击基本类似。u 电子邮件炸弹 电子邮件炸弹是最古老的匿名攻击之一,通过设置一台计算机不断
30、地向同一地址发送大量电子邮件来达到攻击目的,此类攻击能够耗尽邮件接受者网络的带宽资源。【说明】以上各种拒绝服务攻击的具体原理和防御方法参见书本中的P20P22页。1.4.4 其他攻击方式行为特征和防御方法 除了前面介绍的那么多典型的拒绝服务类型攻击外,还有一些常见的其他类型攻击方式,如利用型攻击、信息收集型攻击和假消息攻击。在利用型攻击类型中主要包括:口令猜测攻击、特洛伊木马攻击和缓冲区溢出攻击三类。而信息收集型攻击类型中主要包括:地址扫描、端口扫描、反响映射、体系结构刺探、利用信息服务对DNS域进行转换、Finger服务和LDAP服务等几类。假消息攻击类型中主要包括:DNS高速缓存污染和伪造
31、电子邮件两种。本节详细内容参见书本的P22P24页。1.4.5 黑客攻击的十大最新发展趋势 当前黑客攻击技术呈以下几十个方面的发展趋:u 攻击工具功能不断增强,攻击过程实现自动化u 攻击工具越来越智能化u 攻击门槛越来越低u 受攻击面更广u 变种病毒数量不断翻番,防不胜防u 漏洞发现得更快u 防火墙也开始变得“无奈”u 国产木马、后门程序成为主流u“网络钓鱼”形式的诈骗活动增多u 黑客攻击“合法化”、“组织化”本节详细内容参见书本的P24P26页。1.5 企业网络八大安全认识误区 常见的企业网络安全认识误区有如下八个方面:u 安装了防火墙就安全了u 安装了最新的杀毒软件就不怕病毒了u 在每台机
32、中安装单机版杀毒软件与网络版杀毒软件等效u 只要不上网就不会有病毒u 文件设置只读就可以避免病毒u 安装多个不同的杀毒和防火墙软件就越安全u 等有需要时,再建设u 花费太大,投资不起本节详细内容参见书本的P27P29页。1.6 企业网络安全策略设计 网络安全问题的解决,三分靠技术,七分靠管理。根据调查表明,网络安全的威胁60%来自网络内部,如网络用户不及时升级系统补丁、升级病毒库;私设代理服务器、私自访问外部网络等。如果仅通过防火墙和在网络设备上配置访问控制策略是不够的,因为防火墙的防范原则只是“防外不防内”。作为一个企业网络管理员,有责任为自己所在企业设置一个全面而系统的安全防范策略。这个安
33、全策略必须是从用户接入终端、网络设备到中心服务器提供等一系列端到端的安全解决方案,而不仅是表现上的病毒防护系统和防火墙的安装。1.6.1 什么是企业网络安全策略 企业网络安全策略就是一份从整个企业网络安全角度出发而编写的管理性项目文件。它必须从整个企业网络系统的安全角度考虑,而不是像我们平常所认为仅是外部网络的病毒入侵和黑客攻击。从整体情况来看,一个标准企业的安全策略应该能够随着客户基础的增长,策略系统可以进行相应地进行有效升级。它既包括防止来自外部网络所带来的网络攻击,同时也包括防止企业内部网络的攻击;既包括通常意义上所说的病毒入侵和黑客攻击,又包括内部网络中的非法文件访、数据存储和备份的安
34、全等,是一个庞大的系统工程。1.6.2 企业网络安全策略设计的十大原则 网络安全策略设计应遵循以下十大项原则:u 木桶原则u 整体性原则u 均衡性原则u 可行性原则u 等级性原则u 一致性原则u 易操作性原则u 技术与管理相结合原则u 统筹规划,分步实施原则u 动态发展原则本节详细内容参见书本的P30P32页。1.6.3 安全隐患分析和基于系统结构信息的收集 企业网络安全隐患可以分为:网络安全隐患、物理安全隐患、网络服务器自身安全隐患三大类。本节详细内容参见书本的P32P35页。1.网络安全隐患 企业网络方面的安全隐患主要表现在以下方面:u 网络拓扑不合理带来的安全隐患u 病毒和黑客安全隐患u
35、 数据下载和数据存储安全隐u 用户身份认证安全隐u 防火墙的局限性隐u 服务器操作系统本身的安全漏洞隐u IT管理漏洞、文件共享和用户权限安全隐患 2.物理安全隐患 物理安全是指网络设备或工作场所使用不当可能带来的安全隐患。主要包括机房安全,数据安全和用户习惯安全。u 机房安全 主要表现在机房的管理上。u 数据安全 这里的安全就包括物理上的安全和在环境上的安全,如不潮湿,没虫咬、没鼠咬危险。用户习惯安全 作为网管员必须做好培训员工计划,使员工养成当离开自己的电脑或服务器时随时锁住电脑或注销登录帐户,不要把密码或者密码提示以便条的形式写在桌面上。还有,在平时要求对用户的软驱、光驱在CMOS中禁用
36、这两个驱动器,只是当需要使用时再启用它们。3.服务器操作系统的安全隐患 目前所有主流的网络服务器操作系统都会每隔一段时间被发现有一些大大小小的漏洞,其中有很多漏洞可以使攻击者直接取得系统管理员的高级控制权限。1.6.4 现有安全策略/流程的检查与评估 在收集了企业网络安全系统的比较详细信息后,首先要检查现有安全策略的可行性、实施效果,以及主要优缺点。然后对照当前企业网络安全需求对原有安全策略进行评估。为了实现保护需求的评估,你可以使用自动的风险评估工具来收集有关物理的、行政管理的和技术安全方面的信息。这些信息可以用来划分数据类型、存储位置,并且可以满足需求。在大多数情况下,用户并不知道什么数据
37、需要被保护,也不想知道它们为什么需要被保护。这个过程需要进行广泛的调查和分析,从而决定数据如何存储,哪些数据允许哪些人访问。1.6.5 安全策略文档设计 新的安全策略文档的设计必须要考虑你所已经搜集和分析的数据,在设计文档时也要听取用户的意见。设计过程就象一个迭代过程,通常要生成一个草稿让用户来检查。第一次的草稿难免有些局限性,在和用户的交流中你可以对草稿做进一步的完善。好的安全策略文档在设计时应该把设计目的、相关文档的引用、企业背景、问题覆盖范围及应用的对象、职责划分、实施时间表、策略陈述等方面包含进去。网络安全策略设计应遵循如下思想:u 保证可接受的系统安全性和保密性。u 保证网络运行的性能,对网络的协议和传输具有很好的透明性。u 易于操作、维护,并便于自动化管理。u便于系统及系统功能的扩展。u 有较好的性能价格比。u 安全与密码产品具有合法性,并便于安全管理单位与密码管理单位的检查与监督。在编写安全策略文档中通用的项目如下:u 企业网络数据物理安全保证u 数据机密和完整性保证 u 数据可用性保证u 身份验证和数据鉴别保证u 防火墙的使用u 数据加密u 病毒防治 u 安全检测和紧急响应u 安全审计与监控u 数据备份与恢复本节详细内容参见书本的P35P40页。