|
3.2 局域網(wǎng)安全控制策略
安全管理保護(hù)網(wǎng)絡(luò)用戶資源與設(shè)備以及網(wǎng)絡(luò)管理系統(tǒng)本身不被未經(jīng)授權(quán)的用戶訪問(wèn)。目前網(wǎng)絡(luò)管理工作量最大的部分是客戶端安全部分���, 對(duì)網(wǎng)絡(luò)的安全運(yùn)行威脅最大的也同樣是客戶端安全管理��。只有解決網(wǎng)絡(luò)內(nèi)部的安全問(wèn)題����, 才可以排除網(wǎng)絡(luò)中最大的安全隱患���, 對(duì)于內(nèi)部網(wǎng)絡(luò)終端安全管理主要從終端狀態(tài)����、行為、事件三個(gè)方面進(jìn)行防御����。利用現(xiàn)有的安全管理軟件加強(qiáng)對(duì)以上三個(gè)方面的管理是當(dāng)前解決局域網(wǎng)安全的關(guān)鍵所在
3.2.1 利用桌面管理系統(tǒng)控制用戶入網(wǎng)。入網(wǎng)訪問(wèn)控制是保證網(wǎng)絡(luò)資源不被非法使用�����, 是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略����。它為網(wǎng)絡(luò)訪問(wèn)提供了第一層訪問(wèn)控制。它控制哪些用戶能夠登錄到服務(wù)器并獲取網(wǎng)絡(luò)資源����, 控制用戶入網(wǎng)的時(shí)間和在哪臺(tái)工作站入網(wǎng)。用戶和用戶組被賦予一定的權(quán)限���, 網(wǎng)絡(luò)控制用戶和用戶組可以訪問(wèn)的目錄�����、文件和其他資源, 可以指定用戶對(duì)這些文件��、目錄、設(shè)備能夠執(zhí)行的操作�。啟用密碼策略, 強(qiáng)制計(jì)算機(jī)用戶設(shè)置符合安全要求的密碼����, 包括設(shè)置口令鎖定服務(wù)器控制臺(tái), 以防止非法用戶修改����。設(shè)定服務(wù)器登錄時(shí)間限制、檢測(cè)非法訪問(wèn)�����。刪除重要信息或破壞數(shù)據(jù)���, 提高系統(tǒng)安全行�, 對(duì)密碼不符合要求的計(jì)算機(jī)在多次警告后阻斷其連網(wǎng)�����。
3.2.2 采用防火墻技術(shù)�。防火墻技術(shù)是通常安裝在單獨(dú)的計(jì)算機(jī)上, 與網(wǎng)絡(luò)的其余部分隔開��, 它使內(nèi)部網(wǎng)絡(luò)與In ternet 之間或與其他外部網(wǎng)絡(luò)互相隔離,限制網(wǎng)絡(luò)互訪���, 用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)資源免遭非法使用者的侵入���, 執(zhí)行安全管制措施, 記錄所有可疑事件����。它是在兩個(gè)網(wǎng)絡(luò)之間實(shí)行控制策略的系統(tǒng), 是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ)上的應(yīng)用性安全技術(shù)����。采用防火墻技術(shù)發(fā)現(xiàn)及封阻應(yīng)用攻擊所采用的技術(shù)有:
①深度數(shù)據(jù)包處理。深度數(shù)據(jù)包處理在一個(gè)數(shù)據(jù)流當(dāng)中有多個(gè)數(shù)據(jù)包�, 在尋找攻擊異常行為的同時(shí), 保持整個(gè)數(shù)據(jù)流的狀態(tài)�����。深度數(shù)據(jù)包處理要求以極高的速度分析���、檢測(cè)及重新組裝應(yīng)用流量�����, 以避免應(yīng)用時(shí)帶來(lái)時(shí)延�����。
②IP?U RL 過(guò)濾���。一旦應(yīng)用流量是明文格式, 就必須檢測(cè)HTTP 請(qǐng)求的U RL 部分�, 尋找惡意攻擊的跡象, 這就需要一種方案不僅能檢查RUL , 還能檢查請(qǐng)求的其余部分�。其實(shí), 如果把應(yīng)用響應(yīng)考慮進(jìn)來(lái)��, 可以大大提高檢測(cè)攻擊的準(zhǔn)確性�。雖然U RL 過(guò)濾是一項(xiàng)重要的操作,可以阻止通常的腳本類型的攻擊�。
③TCP? IP 終止。應(yīng)用層攻擊涉及多種數(shù)據(jù)包�����, 并且常常涉及不同的數(shù)據(jù)流��。流量分析系統(tǒng)要發(fā)揮功效���, 就必須在用戶與應(yīng)用保持互動(dòng)的整個(gè)會(huì)話期間��, 能夠檢測(cè)數(shù)據(jù)包和請(qǐng)求�, 以尋找攻擊行為。至少�, 這需要能夠終止傳輸層協(xié)議, 并且在整個(gè)數(shù)據(jù)流而不是僅僅在單個(gè)數(shù)據(jù)包中尋找惡意模式��。系統(tǒng)中存著一些訪問(wèn)網(wǎng)絡(luò)的木馬�����、病毒等IP 地址���, 檢查訪問(wèn)的IP 地址或者端口是否合法���, 有效的TCP? IP 終止, 并有效地扼殺木馬���。時(shí)等�。
④訪問(wèn)網(wǎng)絡(luò)進(jìn)程跟蹤�����。訪問(wèn)網(wǎng)絡(luò)進(jìn)程跟蹤。這是防火墻技術(shù)的最基本部分�, 判斷進(jìn)程訪問(wèn)網(wǎng)絡(luò)的合法性, 進(jìn)行有效攔截�。這項(xiàng)功能通常借助于TD I層的網(wǎng)絡(luò)數(shù)據(jù)攔截��, 得到操作網(wǎng)絡(luò)數(shù)據(jù)報(bào)的進(jìn)程的詳細(xì)信息加以實(shí)現(xiàn)���。[論\文\網(wǎng) LunWenNet\Com]
3.2.3 封存所有空閑的IP 地址�, 啟動(dòng)IP 地址綁定采用上網(wǎng)計(jì)算機(jī)IP 地址與MCA 地址唯一對(duì)應(yīng)����, 網(wǎng)絡(luò)沒(méi)有空閑IP 地址的策略。由于采用了無(wú)空閑IP 地址策略����, 可以有效防止IP 地址引起的網(wǎng)絡(luò)中斷和移動(dòng)計(jì)算機(jī)隨意上內(nèi)部局域網(wǎng)絡(luò)造成病毒傳播和數(shù)據(jù)泄密。
3.2.4 屬性安全控制�。它能控制以下幾個(gè)方面的權(quán)限: 防止用戶對(duì)目錄和文件的誤刪除、執(zhí)行修改���、查看目錄和文件����、顯示向某個(gè)文件寫數(shù)據(jù)、拷貝���、刪除目錄或文件����、執(zhí)行文件���、隱含文件�、共享����、系統(tǒng)屬性等。網(wǎng)絡(luò)的屬性可以保護(hù)重要的目錄和文件�����。
3.2.5 啟用殺毒軟件強(qiáng)制安裝策略�����, 監(jiān)測(cè)所有運(yùn)行在局域網(wǎng)絡(luò)上的計(jì)算機(jī)�����, 對(duì)沒(méi)有安裝殺毒軟件的計(jì)算機(jī)采用警告和阻斷的方式強(qiáng)制使用人安裝殺毒軟件。
3.3 病毒防治
病毒的侵入必將對(duì)系統(tǒng)資源構(gòu)成威脅����, 影響系統(tǒng)的正常運(yùn)行。特別是通過(guò)網(wǎng)絡(luò)傳播的計(jì)算機(jī)病毒��,能在很短的時(shí)間內(nèi)使整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)處于癱瘓狀態(tài)����, 從而造成巨大的損失����。因此, 防止病毒的侵入要比發(fā)現(xiàn)和消除病毒更重要��。防毒的重點(diǎn)是控制病毒的傳染����。防毒的關(guān)鍵是對(duì)病毒行為的判斷, 如何有效辨別病毒行為與正常程序行為是防毒成功與否的重要因素���。防病毒體系是建立在每個(gè)局域網(wǎng)的防病毒系統(tǒng)上的�����, 主要從以下幾個(gè)方面制定有針對(duì)性的防病毒策略:
3.3.1 增加安全意識(shí)和安全知識(shí)�, 對(duì)工作人員定期培訓(xùn)。首先明確病毒的危害��, 文件共享的時(shí)候盡量控制權(quán)限和增加密碼���, 對(duì)來(lái)歷不明的文件運(yùn)行前進(jìn)行查殺等���, 都可以很好地防止病毒在網(wǎng)絡(luò)中的傳播。這些措施對(duì)杜絕病毒�����, 主觀能動(dòng)性起到很重要的作用��。
3.3.2 小心使用移動(dòng)存儲(chǔ)設(shè)備�����。在使用移動(dòng)存儲(chǔ)設(shè)備之前進(jìn)行病毒的掃描和查殺���, 也可把病毒拒絕在外���。
3.3.3 挑選網(wǎng)絡(luò)版殺毒軟件�����。一般而言���, 查殺是否徹底, 界面是否友好��、方便����, 能否實(shí)現(xiàn)遠(yuǎn)程控制、集中管理是決定一個(gè)網(wǎng)絡(luò)殺毒軟件的三大要素����。瑞星殺毒軟件在這些方面都相當(dāng)不錯(cuò)�, 能夠熟練掌握瑞星殺毒軟件使用, 及時(shí)升級(jí)殺毒軟件病毒庫(kù)��, 有效使用殺毒軟件是防毒殺毒的關(guān)鍵����。
通過(guò)以上策略的設(shè)置, 能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)行中存在的問(wèn)題, 快速有效的定位網(wǎng)絡(luò)中病毒�、蠕蟲等網(wǎng)絡(luò)安全威脅的切入點(diǎn), 及時(shí)�、準(zhǔn)確的切斷安全事件發(fā)生點(diǎn)和網(wǎng)絡(luò)。
局域網(wǎng)安全控制與病毒防治是一項(xiàng)長(zhǎng)期而艱巨的任務(wù)����, 需要不斷的探索。隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展計(jì)算機(jī)病毒形式及傳播途徑日趨多樣化��, 安全問(wèn)題日益復(fù)雜化�����, 網(wǎng)絡(luò)安全建設(shè)已不再像單臺(tái)計(jì)算安全防護(hù)那樣簡(jiǎn)單�。計(jì)算機(jī)網(wǎng)絡(luò)安全需要建立多層次的、立體的防護(hù)體系�, 要具備完善的管理系統(tǒng)來(lái)設(shè)置和維護(hù)對(duì)安全的防護(hù)策略。
本文出自:億恩科技【www.allwellnessguide.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�����!15年品質(zhì)保障����!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
