防护网络安全原则

日期: 2008-03-17 作者:Rambo 来源:TechTarget中国

  防护网络的第一步是防护网络中的所有计算机,包括个人工作站和服务器。在加固服务器的同时,也需要加固路由器。


  显然,防护网络的第一步是防护网络中的所有计算机,包括个人工作站和服务器。然而,这只是网络安全的一部分,防火墙必不可少,大多数专家还建议用IDS,有许多IDS可供选择,有些甚至还是免费的。IDS可以检测攻击行为,像端口扫描,这可能预示着有人尝试侵入网络边界安全。


  假如网络很大,就要考虑用带防火墙的路由器把网络分成若干部分,这样的话,一个部分发生问题,不会影响成个网络。这里,可以考虑把所有重要的服务器都放在一个安全区域内,这通常叫DMZ区。


  如Web服务器是对外提供服务的,并且最常受到攻击,把他们单独放在一个区域内是比较合理的。许多网络管理员会考虑在Web服务器与其它网络之间再放一个防火墙。这样的话,骇客就算利用服务器漏洞侵入了Web服务器,也不能进入整个网络。同时,一定要有策略指导用户如何使用系统,再健壮的安全系统都会因为用户的稍不注意而功亏一篑。一定要记住必须要有安全策略指导用户哪些能做,哪些不能做。


  在加固服务器(打补丁,关闭不必要的服务等)的同时,也需要加固路由器。如何加固路由器需要咨询相应的安全厂商,但是这里有一些基本原则:


  1、使用强壮的密码:所有的路由器都可配置。因此,必须要遵循统一的安全策略,最少字符、复杂度、生存期、密码历史等要求。如果路由器支持加密(如Cisco及一些大厂商),那么最好加密。


  2、使用日志:大多数路由器有日志功能。应该把此功能打开,就像监视服务日志那样。


  3、安全原则:一些基本的路由安全准则要遵守。


  4、不要响应非本地网络内主机的ARP(Address Resolution Protocol,地址解析协议)。


  5、网络内不需要端口应该在路由器关闭。


  6、不是从本地网络内发起的数据不予转发(此条为企业网原则,不适用于透传情况)。


  以上是总体原则。好了,还是理一下防护网络的常规动作吧。分为两个级别:一般级和增强级。


  一般级:没有达到这个要求,是很危险的。


  1、所有的工作站和服务器都应用基本PC安全清单(基本安全级别)。


  2、在内网和外网连接处部署包过滤防火墙。


  3、在内网和外网连接处部署代理服务器。


  4、所有路由器都设置为不转发广播包。


  5、所有密码长度至少8位,6个月至少修改一次。


  6、服务器物理安全措施到位,只有必要的人员才能接触。


  7、有明确策略规定禁止从internet下载任何软件。


  8、有明确策略规定如何处理邮件附件。


  9、有明确策略规定如何处理离职员工。


  10、加强员工安全意识并遵守企业策略。


  11、每月至少备份和检查一次服务器日志。


  12、每周所有服务器至少备份一次,每个月的备份移出并安全存储。


  13、只有管理员才具有完全控制权限。


  增强级:满足一般级的前提下,增加如下安全措施。


  14、在网络边界部署状态包检查防火墙。


  15、所有通往子网的路由器都具有包过滤防火墙功能。


  16所有服务器每天至少备份一次。每个礼拜的备份移出并安全存储。


  17、制定一个明确的灾难恢复计划,并对IT人员进行培训。


  18、安装入侵检测系统。


  19、每周至少备份和检查一次服务器日志。


  20、每60天对所有计算机检查和更新补丁。


  21、对所有特权网络管理员进行额外的背景检查。


  22、所有计算机的浏览器在中等安全级别设置的基础上执行自定义设置。


  23、所有密码长度至少8位,包含混合字符,并每90天修改一次。


  24、至少每90天对所有计算机利用安全分析器和端口扫描器进行检查。


  25、外部登陆只在非常严格的条件下才允许,如利用VPN。


  26、所有安全活动(备份、扫描、下载补丁、更改密码、增加/删除用户,更改许可等等)都必须记录,记录内容包括执行人、时间、授权人等。


  27、每个季度执行一次安全审计,包括检查补丁、日志、策略。


  28、每年对整个网络进行一次安全审计,包括管理员个人背景、模拟攻击测验、包嗅探、日志审计等等。


  29、定期的给用户发送安全更新警告,提示当前网络欺骗、病毒、木马等信息。


  30、废旧介质(硬盘、磁带等)要完全销毁。


  至此,可以说安全保障的本职工作已经做的相当好了,但前一部分的侧重点在“物”,我们堵住了设备的“漏洞”。前面介绍过,“人”的因素也很重要,赌不住人性的“漏洞”,只能功亏一篑。易中天以人物说故事,以故事说历史,以历史说人性,古今多少年,还是落脚点在人性上,可见人性多么关键。网络安全也一样,离不开人的因素,而且是个动态对抗的过程,没有一成不变的理论,只有举一反三,灵活运用。下面就介绍一下如何洞悉人性弱点,防止网络欺骗。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Rambo
Rambo

相关推荐

  • NSS实验室评估下一代防火墙

    根据NSS实验室对下一代防火墙的评估发现,来自七家供应商的产品可有效保护企业免受恶意流量的侵害,而且总体拥有成 […]

  • 评估厂商安全策略:你应该关注这五个问题

    网络空间的动态特性要求安全策略适应这一趋势。很多安全损害首先是由于针对厂商的攻击引起的,所有企业必须解决与厂商有关的网络威胁。评估厂商的安全策略是一种确保数据安全性的合理方法。

  • 将平板电脑用于工作合适吗?安全问题怎么解决?

    平板电脑是不是不如笔记本电脑安全呢?我在为我的公司制定设备安全策略,是否应该禁用平板?或者采取特定的平板安全策略来限制特定厂商/OS的平板设备的使用?

  • 手把手教你实现有效的漏洞评估

    要想使漏洞评估更有成效,强健的安全策略就应当将漏洞对业务的影响、企业的总体安全策略、漏洞评估的结果联系起来。在本文中,详述了为确保有效性,漏洞评估应遵循的步骤。