公務(wù)員期刊網(wǎng) 論文中心 正文

探討企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)

前言:想要寫出一篇引人入勝的文章?我們特意為您整理了探討企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)范文,希望能給你帶來靈感和參考,敬請閱讀。

探討企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全基礎(chǔ)防護(hù)

摘要:計(jì)算機(jī)網(wǎng)絡(luò)是利用通信線路把地理位置上分散的計(jì)算機(jī)和通信設(shè)備連接在一起,在系統(tǒng)軟件和協(xié)議的支持下,實(shí)現(xiàn)數(shù)據(jù)通信和資源共享的一個(gè)復(fù)雜系統(tǒng)。網(wǎng)絡(luò)的基本資源包括硬件資源、軟件資源和數(shù)據(jù)資源。當(dāng)今,網(wǎng)絡(luò)已成為維系社會(huì)、企業(yè)正常運(yùn)轉(zhuǎn)的支柱之一,企業(yè)在網(wǎng)絡(luò)中存儲(chǔ)的許多信息是全體員工長期積累下來的智慧結(jié)晶,關(guān)乎企業(yè)的發(fā)展。因此,企業(yè)網(wǎng)絡(luò)的安全十分重要,在企業(yè)網(wǎng)絡(luò)的安全性方面作一研究也顯得非常必要。目前,關(guān)于網(wǎng)絡(luò)安全方面的技術(shù)較多,如防火墻、入侵檢測技術(shù)、信息對(duì)抗技術(shù)、密碼技術(shù)、用戶識(shí)別技術(shù)等等,而該文則是主要從網(wǎng)絡(luò)中的一些基礎(chǔ)的節(jié)點(diǎn)設(shè)備路由器、交換機(jī)、計(jì)算機(jī)方面的安全性作探討

關(guān)鍵詞:計(jì)算機(jī)網(wǎng)絡(luò);基礎(chǔ)設(shè)備;安全性

引言

企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)中,路由器、交換機(jī)、計(jì)算機(jī)是企業(yè)網(wǎng)絡(luò)的主體,也是主要遭到攻擊的對(duì)象[1]。有些典型的攻擊往往也是利用路由器、交換機(jī)、計(jì)算機(jī)自身的設(shè)計(jì)缺陷而展開的。例如發(fā)送虛假路由信息,使路由器路由表混亂導(dǎo)致網(wǎng)絡(luò)癱瘓,或者攻擊者通過更改自己的IP地址偽裝成可信任的用戶,發(fā)送特定的報(bào)文來擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸,或偽造成可接受的路由報(bào)文來更改路由信息,以竊取機(jī)密。計(jì)算機(jī)也是一樣,其上的操作系統(tǒng)本身就有許都漏洞,以及許多服務(wù)端口,這些都是可能被攻擊的途徑。對(duì)于這些,都必須采取安全設(shè)置。

1路由器、交換機(jī)及計(jì)算機(jī)的安全隱患

1.1路由器與交換機(jī)存在的潛在危險(xiǎn)

(1)弱口令:在IOS(Internetworkoperatingsystem)中,特權(quán)密碼的加密方式有強(qiáng)加密與弱加密兩種,而普通存取密碼在默認(rèn)的情況下則是明文,并且密碼設(shè)置強(qiáng)度可能不夠。(2)IOS自身的缺陷:IOS作為路由器與交換機(jī)的操作系統(tǒng),由于自身的漏洞而帶來的安全風(fēng)險(xiǎn)。(3)非授權(quán)用戶可以管理設(shè)備,可以利用Telnet或SNMP通過網(wǎng)絡(luò)對(duì)設(shè)備進(jìn)行帶內(nèi)管理,還可以通過Console與AUX口對(duì)設(shè)備進(jìn)行帶外管理。默認(rèn)情況下帶外管理是沒有密碼限制的,隱含較大的安全風(fēng)險(xiǎn)。(4)CDP協(xié)議造成設(shè)備信息的泄漏:為方便查找聯(lián)網(wǎng)設(shè)備,Cisco專門開發(fā)了CDP協(xié)議,但該協(xié)議在便于查找設(shè)備的同時(shí),也泄露了改設(shè)備的基本信息,很容易被攻擊者利用來發(fā)動(dòng)Dos攻擊。(5)交換機(jī)物理端口未加強(qiáng)管理,在工作組環(huán)境下存在極高風(fēng)險(xiǎn)。(6)企業(yè)網(wǎng)絡(luò)中未通過交換機(jī)劃分Vlan進(jìn)行管理,容易造成內(nèi)部入侵。

1.2計(jì)算機(jī)存在的安全風(fēng)險(xiǎn)

計(jì)算機(jī)的風(fēng)險(xiǎn)主要來自計(jì)算機(jī)操作系統(tǒng),操作系統(tǒng)作為整個(gè)系統(tǒng)管理和應(yīng)用的基礎(chǔ),具有舉足輕重的地位,因操作系統(tǒng)的規(guī)模龐大,從而面臨的風(fēng)險(xiǎn)也非常多[2],下面是一些常見的威脅:(1)Guest帳戶造成非授權(quán)的計(jì)算機(jī)用戶登錄訪問系統(tǒng)。(2)IPS$入侵:IPC$(InternetProcessConnection)是共享"命名管道"的資源,它是為了讓進(jìn)程間通信而開放的命名管道。IPC$入侵,即是通過使用Windows系統(tǒng)中默認(rèn)啟動(dòng)的IPC$共享,來達(dá)到侵略主機(jī),獲得計(jì)算機(jī)控制權(quán)的入侵。(3)自動(dòng)播放功能造成的危害:很多木馬、病毒通過移動(dòng)存儲(chǔ)介質(zhì)(移動(dòng)硬盤、U盤、光盤)進(jìn)行傳播,自動(dòng)播放功能為它們的傳播提供了便利途徑。(4)Windows內(nèi)核消息處理本地緩沖區(qū)溢出漏洞導(dǎo)致本地用戶權(quán)限提升。(5)開啟了不必要的服務(wù)和端口被攻擊者探測到,從而發(fā)起了攻擊。(6)帳戶未使用強(qiáng)密碼策略,密碼容易被猜測。(7)未啟用審核策略對(duì)系統(tǒng)的各種事件進(jìn)行有效審核和跟蹤。(8)沒有及時(shí)更新系統(tǒng)漏洞補(bǔ)丁以及沒有及時(shí)打上系統(tǒng)安全補(bǔ)丁,易被攻擊者利用。

2安全防護(hù)

2.1路由器的安全管理

2.1.1及時(shí)修補(bǔ)程序與更新IOS網(wǎng)絡(luò)設(shè)備制造商一般會(huì)在自己的網(wǎng)站上網(wǎng)絡(luò)設(shè)備的IOS的已知安全漏洞和應(yīng)采取的安全措施,我們要養(yǎng)成經(jīng)常訪問這些網(wǎng)站的好習(xí)慣,及時(shí)修補(bǔ)漏洞。

2.1.2定期審核和查看日志日志功能記錄著多數(shù)的操作記錄,其中也包括所有被拒絕的企圖入侵的操作。利用路由器的日志功能對(duì)設(shè)備的安全來說十分重要。各個(gè)廠商的日志功能大同小異,如Cisco路由器支持如下日志:AAA日志(主要收集關(guān)于用戶撥入連接、登錄、HTTP訪問、權(quán)限變化等信息)、SNMPTrap日志、系統(tǒng)日志。我們最應(yīng)關(guān)注的應(yīng)該是系統(tǒng)日志,它記錄了大量的系統(tǒng)事件,建議使用Syslog服務(wù)器,將路由器日志信息發(fā)送到Windows下的Syslog日志服務(wù)器長期保存下來以便日后查看。我們還可以使用如下命令來查看路由器系統(tǒng)的運(yùn)行情況:

2.1.3阻止無用的數(shù)據(jù)流從互聯(lián)網(wǎng)進(jìn)入路由器的傳入數(shù)據(jù)具有不可控的潛在風(fēng)險(xiǎn),我們可以采用一些手段來阻止此數(shù)據(jù)流。例如在路由器的廣域網(wǎng)接口上啟用擴(kuò)展ACL來實(shí)現(xiàn)對(duì)外部的ICMP報(bào)文回顯的屏蔽,可防止黑客通過相關(guān)回顯內(nèi)容收集到路由設(shè)備的相關(guān)信息,設(shè)置語句如下:另外,因CDP協(xié)議安全性能的薄弱性,如果是以Cisco路由器充當(dāng)邊界路由器的話,要絕對(duì)警用CDP。

2.1.4強(qiáng)化訪問控制(1)使用強(qiáng)密碼策略Enable、telnet等等所有口令在設(shè)置時(shí)都要使用強(qiáng)密碼策略,同時(shí)要啟用Servicepassword-encryption命令。(2)關(guān)閉基于Web的配置使用Web方式來配置路由設(shè)備對(duì)于管理人員來說比較方便,但這種方式很容易繞過用戶認(rèn)證或遭到Dos攻擊,所以應(yīng)該禁止Web配置,語句如下:Router(config)#noiphttpserver(3)控制遠(yuǎn)程訪問與控制臺(tái)訪問由于VTY在網(wǎng)絡(luò)的傳輸過程中數(shù)據(jù)是不加密的,所以對(duì)于使用VTY這種遠(yuǎn)程訪問來配置設(shè)備的方式最好禁用它;對(duì)于通過Console口和AUX口來配置設(shè)備的控制臺(tái)訪問方式,一般我們是將AUX口關(guān)閉,通過Console口來配置設(shè)備便可,同時(shí)也要為Console端口設(shè)置強(qiáng)密碼,這樣才較安全。

2.1.5關(guān)閉路由器中不必要的服務(wù)在企業(yè)網(wǎng)絡(luò)的路由器中,每個(gè)打開的端口都與一個(gè)偵聽服務(wù)相關(guān)聯(lián),為了降低被攻擊的可能性,必須關(guān)閉不必要的默認(rèn)服務(wù),相關(guān)命令如下:2.2交換機(jī)的安全防護(hù)交換機(jī)的安全防護(hù)與路由器的安全防護(hù)相似:修補(bǔ)程序和更新;控制對(duì)交換機(jī)的管理訪問途徑;關(guān)閉危險(xiǎn)服務(wù)等等。與路由器維護(hù)方面略有不同之處主要有以下兩點(diǎn):(1)交換機(jī)上未使用的物理端口要禁用,已使用的物理端口要與計(jì)算機(jī)的MAC地址綁定,尤其是在工作組環(huán)境下的網(wǎng)絡(luò)。(2)利用VLAN技術(shù)將公司的各個(gè)部門劃分到不同的虛擬子網(wǎng)中,通過ACL來控制VLAN之間的數(shù)據(jù)流,使用VLAN之間的ACL可對(duì)來自企業(yè)內(nèi)部的入侵提供直接保護(hù)。

2.3計(jì)算機(jī)的安全防護(hù)

(1)帳戶管理刪除不必要的及已經(jīng)不再使用的帳戶,禁用Guest帳戶,將Administrator賬號(hào)改為其他名稱,為用戶所在的組設(shè)置相應(yīng)的權(quán)限,啟用帳戶策略,同時(shí)在組策略中為用戶啟用強(qiáng)密碼策略。(2)把共享文件的權(quán)限從"everyone"組改為授權(quán)用戶;對(duì)于系統(tǒng)中的默認(rèn)共享則要關(guān)閉掉,要徹底關(guān)閉默認(rèn)共享,可以通過修改注冊表來完成,打開注冊表,找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters],把AutoShareServer(DWORD)的鍵值改為"00000000",重啟系統(tǒng),設(shè)置生效。(3)關(guān)閉不必要的服務(wù)和端口在Windows系統(tǒng)中,類似終端服務(wù)、IIS、RAS、RemoteRegistry等等可能給系統(tǒng)帶來安全威脅的服務(wù),在不影響安全工作的情況下,都應(yīng)通過服務(wù)管理器來關(guān)閉掉它們。在系統(tǒng)目錄\system32\drivers\etc\services文件中有常見端口和服務(wù)的對(duì)照表,通過這個(gè)參考,關(guān)閉掉不必要的端口來提高安全性,關(guān)閉端口的具體設(shè)置可通過本地安全策略中的IP安全策略來設(shè)置。(4)打開審計(jì)策略在系統(tǒng)的安全審計(jì)策略中將所有審計(jì)對(duì)象均設(shè)置為"成功、失敗",當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某些方式入侵時(shí),都會(huì)被安全審計(jì)記錄下來,這樣也就不會(huì)導(dǎo)致系統(tǒng)被入侵許久都沒被發(fā)現(xiàn)的尷尬現(xiàn)象。(5)禁止建立空鏈接默認(rèn)情況下,任何用戶都可通過空連接連上服務(wù)器,進(jìn)而枚舉出賬號(hào),猜測密碼。可以通過修改注冊表來防止這個(gè)危險(xiǎn)的發(fā)生,我們只要把注冊表中Local_Machine\System\CurrentControlSet\Control\LSA_RestrictAnony-mous的值改為"1"即可。(6)自動(dòng)播放功能對(duì)計(jì)算機(jī)的危害也較大,我們應(yīng)該理解、熟悉組策略,充分利用組策略來禁止類似"自動(dòng)播放功能"可能給計(jì)算機(jī)安全帶來威脅的一些不必要的功能。(7)USB口綁定USB口是計(jì)算機(jī)中信息導(dǎo)入、導(dǎo)出的主要途徑之一,為了防止任意U盤都能在企業(yè)計(jì)算機(jī)中使用,從而給計(jì)算機(jī)及計(jì)算機(jī)中的信息帶來威脅,我們必須要做好計(jì)算機(jī)USB口的綁定工作。USB口綁定可通過專門的軟件來實(shí)現(xiàn),如北信源安全管理系統(tǒng)、中孚計(jì)算機(jī)終端安全管理系統(tǒng)等等。(8)使用MBSA掃描系統(tǒng)漏洞微軟的基線安全分析器MBSA(MicrosoftBaselineSecurityAnalyzer)是微軟提供的操作系統(tǒng)漏洞掃描軟件,我們可利用它對(duì)Windows的各種操作系統(tǒng)進(jìn)行本地或遠(yuǎn)程掃描,及時(shí)發(fā)現(xiàn)漏洞并將其堵住,以提高計(jì)算機(jī)的安全性。

3結(jié)語

企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)安全的重要性對(duì)企業(yè)來說不言而喻,必須加強(qiáng)學(xué)習(xí)與研究,網(wǎng)絡(luò)安全方面的內(nèi)容含蓋量很大,分支也較多,可以從不同的角度去論述[3]。路由器、交換機(jī)、計(jì)算機(jī)及通信線路是企業(yè)計(jì)算機(jī)網(wǎng)絡(luò)的骨架,從技術(shù)方面去研究一下對(duì)企業(yè)網(wǎng)絡(luò)的安全性很有必要,像利用NTFS文件系統(tǒng)自帶的加密功能、通信線路的電磁泄漏問題、為提高信息安全而建的RAID磁盤陣列等等,這些方面能充分注意及加以利用,對(duì)提高企業(yè)網(wǎng)絡(luò)的安全性十分重要。

參考文獻(xiàn):

[1]彭鵬.大數(shù)據(jù)時(shí)代計(jì)算機(jī)網(wǎng)絡(luò)安全及防范措施探析[J].黑龍江科學(xué),2020,11(16):80-81.

[2]彭振宇.基于計(jì)算機(jī)網(wǎng)絡(luò)安全及防范對(duì)策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020,(8):3-4.

[3]王玥,岳曉菊,關(guān)麗華.計(jì)算機(jī)網(wǎng)絡(luò)安全問題與防范[J].數(shù)字通信世界,2020,(7):55-56.

作者:王大春 單位:江蘇泰達(dá)機(jī)電設(shè)備有限責(zé)任公司

精選范文推薦