如何建立安全穩(wěn)定的局域網(wǎng)
如何建立安全穩(wěn)定的局域網(wǎng)
導(dǎo)語:內(nèi)網(wǎng)安全建設(shè)是一項(xiàng)系統(tǒng)工程,需要周密的設(shè)計(jì)和部署,同時(shí)內(nèi)網(wǎng)安全也是一項(xiàng)長期的任務(wù),這其中既包含網(wǎng)絡(luò)安全制度建設(shè)和人員安全意識培養(yǎng)層面,也包含了網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)層面。步驟/方法
11.網(wǎng)絡(luò)安全管理制度的建設(shè)
通常所說的網(wǎng)絡(luò)安全建設(shè)“三分技術(shù),七分管理”,也就是突出了“管理”在網(wǎng)絡(luò)安全建設(shè)中所處的重要地位。長期以來,由于管理制度上的不完善、人員責(zé)任心差而導(dǎo)致的網(wǎng)絡(luò)攻擊事件層出不窮。
盡管在所有的網(wǎng)絡(luò)安全建設(shè)中。網(wǎng)絡(luò)安全管理制度的建設(shè)都被提到極其重要的位置,但能按相關(guān)標(biāo)準(zhǔn)制定出具有全面性、可行性、合理性的安全制度,并嚴(yán)格按其實(shí)施的項(xiàng)目數(shù)量并不是很多。
這一點(diǎn),不得不引起用戶的重視,內(nèi)網(wǎng)安全建設(shè)中,安全制度的良好實(shí)施和執(zhí)行能從很大程度上保證網(wǎng)絡(luò)的安全,同時(shí)為網(wǎng)絡(luò)的管理和長期監(jiān)控提供有理可依的指導(dǎo)性理論。例如,建立完善的機(jī)房管理制度、完善的網(wǎng)絡(luò)使用制度、責(zé)任到人的設(shè)備管理制度、網(wǎng)絡(luò)安全應(yīng)急預(yù)案和定期網(wǎng)絡(luò)評估制度等。
22.網(wǎng)絡(luò)使用人員安全意識的培養(yǎng)
長期的安全攻擊事件分析證明,很多攻擊事件是由于人員的安全意識薄弱,無意中觸發(fā)了黑客設(shè)下的機(jī)關(guān)、打開了帶有惡意攻擊企圖的郵件或網(wǎng)頁造成的。針對這種情況,首要解決的問題是提高網(wǎng)絡(luò)使用人員的安全意識,定期進(jìn)行相關(guān)的網(wǎng)絡(luò)安全知識的培訓(xùn),全面提高網(wǎng)絡(luò)使用人員的安全意識,是提高網(wǎng)絡(luò)安全性的有效手段。
在網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)層面,主要包括:
2.1.合理的網(wǎng)絡(luò)安全區(qū)域劃分
對于一個(gè)大型的局域網(wǎng)絡(luò)內(nèi)部。往往會根據(jù)實(shí)際需要劃分出多個(gè)安全等級不同的區(qū)域,合理的進(jìn)行安全域的劃分,利用網(wǎng)絡(luò)設(shè)備所提供的劃分VLAN技術(shù)等對網(wǎng)絡(luò)進(jìn)行初步的安全防護(hù)。
2.2.網(wǎng)絡(luò)安全防護(hù)系統(tǒng)建設(shè)
當(dāng)前常見的網(wǎng)絡(luò)安全防護(hù)系統(tǒng)包括防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、安全審計(jì)系統(tǒng)、病毒防護(hù)系統(tǒng)、非法外聯(lián)系統(tǒng)、、漏洞掃描系統(tǒng)和綜合網(wǎng)絡(luò)安全管理平臺等。
防火墻通常被用來進(jìn)行網(wǎng)絡(luò)安全邊界的防護(hù),事實(shí)證明,在內(nèi)網(wǎng)中不同安全級別的安全域之間采用防火墻進(jìn)行安全防護(hù),不但能保證各安全域之間相對安全,同時(shí)對于網(wǎng)絡(luò)日常運(yùn)行中,各安全域中訪問權(quán)限的調(diào)整提供了便利條件。
入侵檢測的出現(xiàn),很大程度地彌補(bǔ)了防火墻防外不防內(nèi)的特性。同時(shí),對網(wǎng)絡(luò)內(nèi)部的信息做到了實(shí)時(shí)的監(jiān)控和預(yù)警,入侵檢測系統(tǒng)與防火墻的聯(lián)動,給內(nèi)網(wǎng)中重要的安全域打造了一個(gè)動態(tài)的實(shí)時(shí)防護(hù)屏障。
利用安全審計(jì)系統(tǒng)的記錄功能,對網(wǎng)絡(luò)中所出現(xiàn)的操作和數(shù)據(jù)等做詳細(xì)的記錄,為事后攻擊事件的分析提供了有力的原始依據(jù)。
利用網(wǎng)關(guān)防病毒系統(tǒng)將病毒盡最大可能地?cái)r截在網(wǎng)絡(luò)外部,同時(shí)在網(wǎng)絡(luò)內(nèi)部采用全方位的網(wǎng)絡(luò)防病毒客戶端進(jìn)行全網(wǎng)的病毒防護(hù),針對服務(wù)器采用專有的服務(wù)器防病毒客戶端,同時(shí)保證全網(wǎng)病毒防護(hù)系統(tǒng)做到統(tǒng)一管理和病毒防護(hù)策略的統(tǒng)一。
非法外聯(lián)系統(tǒng)能有效的保證內(nèi)網(wǎng)中接入節(jié)點(diǎn)的合法性,同時(shí)對于通過非正常鏈路連入非安全域的節(jié)點(diǎn)做實(shí)時(shí)預(yù)警和阻斷。
針對內(nèi)網(wǎng)中重要的服務(wù)器部分,為保證訪問人員身份的合法性,采用身份認(rèn)證系統(tǒng)對訪問人員身份的合法性加以確認(rèn),對訪問服務(wù)器的人員做詳細(xì)的訪問控制。
綜合網(wǎng)絡(luò)安全管理平臺
網(wǎng)絡(luò)中各安全設(shè)備協(xié)同工作,各自提供相應(yīng)的安全數(shù)據(jù),綜合網(wǎng)絡(luò)安全管理平臺對各數(shù)據(jù)的統(tǒng)一并進(jìn)行綜合分析,得出整個(gè)網(wǎng)絡(luò)的安全分析報(bào)告,為后續(xù)的網(wǎng)絡(luò)安全設(shè)備的策略制定和網(wǎng)絡(luò)安全制度的管理提供指導(dǎo)性的建議。
33.安全可控的網(wǎng)絡(luò)
當(dāng)企業(yè)建設(shè)一個(gè)相對封閉的內(nèi)部網(wǎng)絡(luò)時(shí),一定要保證對該網(wǎng)絡(luò)做到完全控制,所謂完全控制,在這里包含以下幾層含義:
1.連入網(wǎng)絡(luò)的節(jié)點(diǎn)的監(jiān)控。內(nèi)部網(wǎng)絡(luò)是相對封閉的環(huán)境,對于網(wǎng)絡(luò)中的節(jié)點(diǎn)信息和與連入內(nèi)部網(wǎng)絡(luò)的節(jié)點(diǎn),要做詳細(xì)的監(jiān)控和及時(shí)的防范。
2.非法對外訪問的監(jiān)控。內(nèi)部網(wǎng)絡(luò)中的節(jié)點(diǎn)通過非正當(dāng)渠道對外訪問,如通過Modem撥號的方式連入外部網(wǎng)絡(luò)的方式,及時(shí)發(fā)現(xiàn)并做到安全防范。
3.網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)監(jiān)控和審計(jì)。針對內(nèi)部網(wǎng)絡(luò)中的傳輸數(shù)據(jù),通過網(wǎng)絡(luò)設(shè)備做到實(shí)時(shí)監(jiān)控,實(shí)時(shí)發(fā)現(xiàn)可疑信息并報(bào)警,同時(shí)做相應(yīng)的安全審計(jì),從而為事后的電子取證提供有力的依據(jù)。
4.實(shí)時(shí)病毒監(jiān)控。對內(nèi)部網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)的病毒防范,對網(wǎng)絡(luò)中病毒的防護(hù)狀況做實(shí)時(shí)監(jiān)控,包括重要的服務(wù)器、工作站和工作PC等網(wǎng)絡(luò)安全系統(tǒng)。
5.全網(wǎng)的統(tǒng)一監(jiān)控。對全網(wǎng)的安全數(shù)據(jù)做到統(tǒng)一管理,統(tǒng)一下發(fā)安全策略,統(tǒng)一分析安全數(shù)據(jù),得出全網(wǎng)安全狀況和風(fēng)險(xiǎn)級別。