內(nèi)網(wǎng)計算機(jī)安全技術(shù)解決方案.ppt

內(nèi)網(wǎng)計算機(jī)安全技術(shù)解決方案,1、注意內(nèi)網(wǎng)安全與網(wǎng)絡(luò)邊界安全的不同,內(nèi)網(wǎng)安全的威脅不同于網(wǎng)絡(luò)邊界的威脅。網(wǎng)絡(luò)邊界安全技術(shù)防范來自Internet上的攻擊，主要是防范來自公共的網(wǎng)絡(luò)服務(wù)器如HTTP或SMTP的攻擊。網(wǎng)絡(luò)邊界防范(如邊界防火墻系統(tǒng)等)減小了資深黑客僅僅只需接入互聯(lián)網(wǎng)、寫程序就可訪問企業(yè)網(wǎng)的幾率。內(nèi)網(wǎng)安全威脅主要源于企業(yè)內(nèi)部。惡性的黑客攻擊事件一般都會先控制局域網(wǎng)絡(luò)內(nèi)部的一臺Server，然后以此為基地，對Internet上其他主機(jī)發(fā)起惡性攻擊。因此，應(yīng)在邊界展開黑客防護(hù)措施，同時建立并加強(qiáng)內(nèi)網(wǎng)防范策略。,2、限制VPN的訪問,虛擬專用網(wǎng)(VPN)用戶的訪問對內(nèi)網(wǎng)的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問企業(yè)內(nèi)網(wǎng)的。因此要避免給每一位VPN用戶訪問內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來限制VPN用戶的登錄權(quán)限的級別，即只需賦予他們所需要的訪問權(quán)限級別即可，如訪問郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。,3、為合作企業(yè)網(wǎng)建立內(nèi)網(wǎng)型的邊界防護(hù),合作企業(yè)網(wǎng)也是造成內(nèi)網(wǎng)安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術(shù)來完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲仍能侵入內(nèi)網(wǎng)，這就是因為企業(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問權(quán)限。由此，既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動，那么就應(yīng)該為每一個合作企業(yè)創(chuàng)建一個DMZ，并將他們所需要訪問的資源放置在相應(yīng)的DMZ中，不允許他們對內(nèi)網(wǎng)其他資源的訪問。,4、自動跟蹤的安全策略,智能的自動執(zhí)行實時跟蹤的安全策略是有效地實現(xiàn)網(wǎng)絡(luò)安全實踐的關(guān)鍵。它帶來了商業(yè)活動中一大改革，極大的超過了手動安全策略的功效。商業(yè)活動的現(xiàn)狀需要企業(yè)利用一種自動檢測方法來探測商業(yè)活動中的各種變更，因此，安全策略也必須與相適應(yīng)。例如實時跟蹤企業(yè)員工的雇傭和解雇、實時跟蹤網(wǎng)絡(luò)利用情況并記錄與該計算機(jī)對話的文件服務(wù)器。總之，要做到確保每天的所有的活動都遵循安全策略。,5、關(guān)掉無用的網(wǎng)絡(luò)服務(wù)器,大型企業(yè)網(wǎng)可能同時支持四到五個服務(wù)器傳送e-mail，有的企業(yè)網(wǎng)還會出現(xiàn)幾十個其他服務(wù)器監(jiān)視SMTP端口的情況。這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點。因此要逐個中斷網(wǎng)絡(luò)服務(wù)器來進(jìn)行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享協(xié)議。,6、首先保護(hù)重要資源,若一個內(nèi)網(wǎng)上連了千萬臺(例如30000臺)機(jī)子，那么要期望保持每一臺主機(jī)都處于鎖定狀態(tài)和補(bǔ)丁狀態(tài)是非常不現(xiàn)實的。大型企業(yè)網(wǎng)的安全考慮一般都有擇優(yōu)問題。這樣，首先要對服務(wù)器做效益分析評估，然后對內(nèi)網(wǎng)的每一臺網(wǎng)絡(luò)服務(wù)器進(jìn)行檢查、分類、修補(bǔ)和強(qiáng)化工作。必定找出重要的網(wǎng)絡(luò)服務(wù)器(例如實時跟蹤客戶的服務(wù)器)并對他們進(jìn)行限制管理。這樣就能迅速準(zhǔn)確地確定企業(yè)最重要的資產(chǎn)，并做好在內(nèi)網(wǎng)的定位和權(quán)限限制工作。,7、建立可靠的無線訪問,審查網(wǎng)絡(luò)，為實現(xiàn)無線訪問建立基礎(chǔ)。排除無意義的無線訪問點，確保無線網(wǎng)絡(luò)訪問的強(qiáng)制性和可利用性，并提供安全的無線訪問接口。將訪問點置于邊界防火墻之外，并允許用戶通過VPN技術(shù)進(jìn)行訪問。,8、建立安全過客訪問,對于過客不必給予其公開訪問內(nèi)網(wǎng)的權(quán)限。許多安全技術(shù)人員執(zhí)行的“內(nèi)部無Internet訪問”的策略，使得員工給客戶一些非法的訪問權(quán)限，導(dǎo)致了內(nèi)網(wǎng)實時跟蹤的困難。因此，須在邊界防火墻之外建立過客訪問網(wǎng)絡(luò)塊。,9、創(chuàng)建虛擬邊界防護(hù),主機(jī)是被攻擊的主要對象。與其努力使所有主機(jī)不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機(jī)來攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營范圍建立虛擬邊界防護(hù)這個問題。這樣，如果一個市場用戶的客戶機(jī)被侵入了，攻擊者也不會由此而進(jìn)入到公司的R&D。因此要實現(xiàn)公司R&D與市場之間的訪問權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)。,10、可靠的安全決策,網(wǎng)絡(luò)用戶也存在著安全隱患。有的用戶或許對網(wǎng)絡(luò)安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網(wǎng)關(guān)和分組過濾防火墻之間的不同等等，但是他們作為公司的合作者，也是網(wǎng)絡(luò)的使用者。因此企業(yè)網(wǎng)就要讓這些用戶也容易使用，這樣才能引導(dǎo)他們自動的響應(yīng)網(wǎng)絡(luò)安全策略。 另外，在技術(shù)上，采用安全交換機(jī)、重要數(shù)據(jù)的備份、使用代理網(wǎng)關(guān)、確保操作系統(tǒng)的安全、使用主機(jī)防護(hù)系統(tǒng)和入侵檢測系統(tǒng)等等措施也不可缺少,保護(hù)電子郵件正常通信的措施,一、垃圾郵件,癥狀：經(jīng)常收到不明來歷的信件騷擾，或常有虛假廣告。更有夾帶病毒、特洛伊木馬程序之類性質(zhì)比較惡劣的郵件。 預(yù)防措施： 1、盡量不要隨便公布自己的信箱地址，尤其是ISP信箱，即使要公開，也得做些手腳。比如Bill#163.net，加了“#”這類符號可逃過專業(yè)郵件地址分離器的搜索，對方也看得懂。 2、在E-mail客戶端軟件中設(shè)置過濾條件，屏蔽掉那些常見的垃圾郵件。 3、啟用專門的防垃圾郵件工具，如Spam Attack Pro、Spam killer，對付垃圾郵件是很有效的。,二、郵件“炸彈”,癥狀：某人往你的信箱扔大量的信件，以致超出你信箱的最大容量，最終導(dǎo)致信箱癱瘓。 預(yù)防措施： 1、不要在公共場合(如聊天室、新聞組)出言不遜與人結(jié)怨，這往往是招來報復(fù)性“轟炸”的重要原因。 2、對E-mail客戶端軟件進(jìn)行相應(yīng)設(shè)置，使所收信件超過一定大小時，就從服務(wù)器刪除。 3、當(dāng)發(fā)覺自己的信箱已經(jīng)被炸后，可以用特殊的工具軟件進(jìn)行刪除，或者請系統(tǒng)管理員幫忙清除。如果是免費信箱，你也可以放棄，再重新申請一個，只是用戶名得改了。,三、郵件亂碼,癥狀：打開郵件后，正文顯示亂碼字符。 預(yù)防措施： 1、從自身做起，對E-mail客戶端軟件進(jìn)行合理設(shè)置。如將發(fā)信編碼設(shè)置為7位，避免有些郵件服務(wù)器截掉第8位。 2、以附件形式發(fā)送，在正文處用英文提示收信者查閱附件即可。 3、安裝專業(yè)的解碼軟件。如安裝南極星之類的多內(nèi)碼轉(zhuǎn)換平臺，即可正常查看日文、韓文、BIG5碼等。,許多入侵者首先會Ping一下你的機(jī)子，如看到TTL值為 128就認(rèn)為你的系統(tǒng)為Windows NT/2000；如果TTL值為32則認(rèn)為目標(biāo)主機(jī)操作系統(tǒng)為Windows 95/98；如果TTL值為255/64就認(rèn)為是UNIX/Linux操作系統(tǒng)。既 然入侵者相信TTL值所反映出來的結(jié)果，那么我們只要修改TTL 值，入侵者就無法入侵電腦了。,操作步驟：,1.打開“記事本”程序，編寫批處理命令 echo REGEDIT4ChangeTTL.regecho.ChangeTTL.reg echo HKEY_LOCAL_MACHlNESystemCurrentControlSetServicesTcpipParametersChangeTTL.reg echo “DefaultTTL“=dword:000000“ChangeTTL.reg REGEDIT /S/C ChangeTTL.reg,2.把編好的程序另存為以.bat為擴(kuò)展名的批處理文件， 點擊這個文件，你的操作系統(tǒng)的缺省TTL值就會被修改為ff，即 10進(jìn)制的255，也就是說把你的操作系統(tǒng)人為地改為UNIX系統(tǒng)了 。同時，在該文件所在的文件夾下會生成一個名為 ChangeTTL.reg 的注冊表文件。如果你想運(yùn)行完這個批處理文件而不產(chǎn)生 ChangeTTL.reg文件，可以在此批處理文件的最后一行加上 deltree/Y ChangeTTL.reg，就可以無須確認(rèn)自動刪除ChangeTTL.reg文件 。,說明：在上面的命令中，echo是DOS下的回顯命令，如 果想看到程序執(zhí)行過程，請將“