网络何尝不是战场?特别是维护颇具规模的企业局域网的管理员们,这种感觉应该尤为明显。来自内外的网络攻击,常常让大家有腹背受敌、疲于应付的感觉。要摆脱这种被动挨打的局面,应该主动出击、针锋相对构建集防御与反击为一体的企业局域网。
1、加强服务器安全
服务器是企业的数据重地,与企业的生产、业务等密切相关。通常情况下,企业中的服务器往往不止一台甚至更多,它们是受到攻击较多的网络节点。因此,服务器的安全是我们首先要确保的。而服务器的安全应该的多层次的,主要包括以下几个方面:
(1).平台安全
首先要保证服务器系统平台的安全。在配置服务器时,尽量避免使用系统的默认配置,这些默认配置是为了方便普通用户使用的,但是很多黑客都熟悉默认配置的漏洞,能很方便地、从这里侵入系统。所以当系统安装完毕后较早步就是要升级较新的补丁,然后更改系统的默认配置。要为用户建立详细的属性和权限,方便确认用户身份以及能访问修改的资料。定期修改用户密码,这样可以让密码破解的威胁降到较低。总之要利用好服务器自身系统的各种安全策略,就可以占用较小的资源,挡住大部分黑客。
(2).服务器的独立
服务器较好能够做到专用,确保其独立性,尽量不要在一台服务器上部署多个服务,提供多个应用。不过这样会造成服务器的浪费,有一个不错的方案是实施服务器的虚拟化,保证一台物理服务器上多个服务的独立。
(3).网络拓扑安全
还有一点特别重要,从网络拓扑上保证服务器的安全。尽量不要为重要的企业服务器提供公网IP,将其暴露在Internet中。如果必须要这么做,一定要做好软硬件防护。比如在服务器的外围部署硬件防火墙或者类似ISA的软件防火墙,限制为授权的IP访问等等。另外,内网中要实施网络分段。网络分段应该优先选择物理级别的分段,从物理层和数据链路层上将局域网分为若干网段,这样各网段相互之间无法进行直接通讯。应该所这样比较容易实现,因为许多交换机都有一定的访问控制能力,可实现对网络的物理分段。此外,根据实际情况在某些节点上实施基于网络层的逻辑分段。把网络分成若干IP子网,各子网间必须通过路由器、路由交换机、网关或防火墙等设备进行连接,利用这些中间设备的安全机制来控制子网间的访问。以上基于网络拓扑级别的安全措施,能够在很大程度上加强服务器的安全,将绝大多数的攻击行为拒之门外。
2、搭建病毒防御平台
除了服务器攻击之外,病毒木马也是局域网的大敌。由于局域网客户端网络节点众多,这往往成了病毒木马泛滥的温床,因此搭建病毒防御平台势在必行。在企业局域网中部署什么样的病毒监控平台,应该有一定的考量标准。一般来说,查杀是否彻底细致,界面是否友好方便,能否集中管理是决定一个杀毒软件好坏的关键。所以建议购买企业版杀毒软件,并控制写入服务器的客户端,网管可以随时杀毒,保证写入数据和服务器的安全性。
同时,在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以较好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,使网络免受病毒的侵袭。
3、制定网络安全检测措施
做好局域网的安全,管理员有时候也要扮演攻击者的角色对于局域网进行安全检测。应该将其作为一种制度,并制定相应的网络安全检测措施予于贯彻执行。因为解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。
建议大家掌握必要入侵检测技术,能够定期、主动地进行网络安全检测,这种检测不仅包括外部检测而且包括内部检测。能够掌握一种或者几种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式较大可能地弥补较新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。
4、应对典型的局域网攻击
在企业局域网中,诸如嗅探、IP盗用、DDOS攻击、后门攻击等有一定的典型性,网络安全也要抓典型、抓重点,做好防范类似攻击行为的措施。
以防范IP盗用为例,管理员可在路由器上捆绑IP和MAC地址,当某个口通过路由器访问Intemet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时经发现这个IP广播包的工作站返回一个警告信息。再如防范来自内部的网络攻击,我们可采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。此外备份工作要做好,对于数据库这样的实时更新、动态变化的数据,要制定密集性的备份策略。这是我们在遭到网络攻击后,快速恢复的前提。
5、与用户相关的安全措施
许多企业内发生的网络安全危机,有多半来自员工本身没有具备基本的网络安全常识,导致黑客有机会侵入计算机,达到破坏的目的。因此有必要加强企业或个人的网络保护知识,建立相应的安装制度。比如,作为客户端用户要保护好自己的口令、密码,严禁帐号,密码外借,密码设置过于简单等。 安装在线杀毒软件,随时监视病毒的侵入,保护硬盘及系统不受伤害,还要及时给病毒库升级。在浏览WEB时不要轻易打开来历不明的电子邮件,不要随便借计算机给别人使用等。
总结:构建安全、稳定、高效的企业局域网是网络管理者的职责所在,但具体的实施过程却是非常复杂的。但有一点相信大家都有共识,被动防御是不会有出路,基于需求主动出击才是正途。上面是笔者一点经验,希望对你有所帮助。
筑牢安全防线:安企神企业助力特种设备机械企业数据防泄密解决方案
西安苛菲特机械设备有限公司 西安苛菲特机械设备有限公司致力于特种设备的发展,专业从事特种设备的研发、制造和销售。目前已成为有色冶金特种设备、大型船舶特种设备、煤化工特种设备的领军品牌,并在业内得到了“ 特种设备专家”的称号。公司以打造国内一流特种设备为使命,主要产品定型为高品质特种(高温、高压、高合金)流量控...
安企神软件——为中国铁道建筑集团有限公司筑牢数据防泄密系统
01公司介绍中国铁建是中国乃至全球最具实力、最具规模的特大型综合建设集团之一,入选世界500强企业、全球225家最大承包商之一等荣誉。公司以工程承包为主业,集勘察、设计、投融资、施工、设备安装、工程监理、技术咨询、外经外贸于一体,经营业务遍及除台湾省外全国31个省市(自治区)、世界20多个国家和地区,企业总资产820亿...
强化终端安全,安企神软件与涂料制造企业共创安全未来
西安经建油漆有限责任公司规模化、专业化、现代化涂料制造企业西安经建油漆有限责任公司,年涂料生产能力20万吨,为中国中西部实力较强、产能较大的涂料制造企业。公司成立伊始便积极承担起重点建设项目及国防军事工业、航空航天工业提供配套涂料科研开发及生产任务。多次受到中国航天科技集团总公司的通令嘉奖,为我国航天事业跻身世界前列做...
全球著名减震器制造商——天纳克携手安企神共筑安全制造新防线
天纳克(北京)汽车减振器有限公司天纳克(北京)汽车减振器有限公司成立于1995年,是天纳克在中国最早投资的合资企业。公司集设计、开发、生产及销售汽车减振器于一身。作为天纳克全球网络的一部分,能充分享受天纳克全球的技术积累经验和国际领先的设计理念,加之先进的生产设备和工艺技术。天纳克(北京)汽车减振器有限公司完全能保证为...
强强联合!安企神软件携手瀚颐共筑汽车行业终端安全防线
瀚颐上海汽车电子科技有限公司EAST瀚颐中国团队成立于2015年。是国际AUTOSAR软件联盟的研发伙伴单位。具备汽车电子硬件设计、软件开发、CAN网络集成、系统集成测试以及项目管理的全面研发能力。专注于汽车电子以及相关产业并拥有25年以上的专业经验,拥有来自于德国和中国业内专家和高管组成的顾问团队,并向全球汽车行业客...