论文导读:保证只有授权许可的通信才可以在客户机和服务器之间建立连接。检测服务拒绝型袭击、可疑活动、病毒等各种网络进攻手段。防火墙处于网络安全体系中的最低层。
关键词:服务器,网络安全,病毒
一、引言
随着互联网技术的成熟与飞速发展,企业信息化的建设步伐越来越大,使更多的企业在网上安家落户,网站已成为企业与用户之间互动沟通的平台,同时也是企业进行营销与宣传的重要渠道。对待企业网站的管理,绝对不可以一建了之,还应把各级各类网站运行好、使用好、维护好、管理好,当前的一个特别突出的问题是网站的信息安全问题,如果企业网站遭受攻击,内容被篡改,信息被泄露,就会使企业形象和声誉受到影响,甚至给企业带来严重的经济损失。那如何确保这些企业网站的信息安全呢?下面从技术角度和管理机制等几个方面来讨论。
二、企业网站信息安全的对策
从企业上网的方式来看,目前主要有两种模式:一是建设专用的互联网络环境,与企业内部网络完全隔离。这种方式由于内外网单独设置,网络安全相对较易实现,但投资比较高,且容易形成投资浪费;二是企业互联网络用户与企业内部网完全融合,内外网之间通过防火墙进行隔离。这种方式可以有效降低投资,但网络安全实现相对较复杂,目前该方式是大多数企业普遍采用的方式。在这种方式下,企业内部信息资源的安全对网站安全防护体系有着很大的依赖性。因此,在设计企业网站的安全防护体系时,应重点考虑以下几个环节:
1、网络层安全防护
网络层安全防护对网络进行安全保护是防治外部黑客入侵和内部网络滥用和误用的第一道屏障。网络层的安全防护应包括监测和防御网络入侵攻击,制止非法信息传输,保护WEB系统,保证只有授权许可的通信才可以在客户机和服务器之间建立连接,而且正在传输当中的数据不能被读取和改变。
从网络层进行安全防护主要应针对如下几个方面:
(1)网络访问控制:在网络与外界连接处进行网络访问控制,正确区分外部网络用户的身份,区分其是进行查询、修改还是管理维护,提供基于用户的访问规则,针对不同的用户和用户的不同存取要求,授予其不同权限,禁止非法用户进入系统。
(2)网络地址翻译:使用网络地址翻译技术,可以让IP数据包的源地址和目的地址以及TCP或UDP的端口号在进出内部网时发生改变,这样可以屏蔽网络内部细节,防止外部黑客利用IP探测技术发现内部网络结构和服务器真实地址,进行攻击。系统安全管理应该在网络与外界接口处实现数据包的网络地址翻译。
(3)网络入侵防御:在企业内部网络上,会存在来自内部的一些恶意袭击和网络误用情况,甚至可能存在来自外部的恶意入侵。安全防护体系应该能够监视内部关键的网段,扫描网络上的所有数据,检测服务拒绝型袭击、可疑活动、病毒等各种网络进攻手段,及时报告管理人员并防止这些攻击手段到达目标主机。
2、系统级安全防护
系统级安全防护主要是针对操作系统本身存在的安全漏洞和隐患,主要包括以下几个方面:
(1)系统弱点扫描:能够定期扫描操作系统以及数据库系统的安全漏洞以及错误配置。
(2)加强操作系统用户认证授权管理。
(3)增强访问控制管理。
(4)计算机病毒防护:保证企业内部网络抵御网络外部的病毒入侵,从而保障系统的安全运行。
(5)WEB服务器的专门保护。Web服务器是一个单位直接面对外界的大门,通常也是最先在网络伤害行为中受到威胁的环节。主页是一个单位的形象,修改主页是一种典型的网络伤害行为,所以主页的保护和及时恢复是对此行为的有效打击。同时,需要对于Web访问、监控/阻塞/报警、入侵探测、攻击探测、恶意applets、恶意Email等在内的安全策略进行明确规划,包括了解其网络利用情况、检测入侵和可疑网络活动时需要的规则。
3、在网络拓扑的设计中,应充分考虑网络的稳定和安全运行
在DNS的设置上使用内外双DNS,外部DNS用来解析外网用户对企业网站的访问,还可为小区接入用户提供DNS域名解析。内外DNS可作为相互之间的备份。在企业内部网络优先使用内部DNS,因为内部DNS可以用作解析内部OA系统、内部FTP、内部Intranet网站,方便内部的网站的访问,并可使内部的所有用户(包括不能连接Internet的用户)访问企业网站及其邮件系统。
在网站整体安全上,采用三个网络区设计:即内部网络区、外部网络区、安全隔离(DMZ)区。将FTP、Email、WWW服务器置于安全隔离区,既保证用户访问的方便性,又使其有一定的安全保护;将后台数据库、身份认证和入侵检测等服务器置于防火墙内网,充分保证网络传输和数据的安全性。在防火墙内侧,设置一个具有带宽管理功能的网络交换机,使其能按不同用户进行网络带宽管理,实现按需供给带宽。在防火墙外侧,部署一台具有带宽管理功能的交换机,以实现企业的带宽管理。
4、防火墙
防火墙处于网络安全体系中的最低层,是内部网络与外部公共网络之间的第一道屏障,能够通过定制或限制对特定资源(如敏感文件或Web浏览等)的访问来帮助企业获得安全保证。
为确保企业内部网的安全,一般采用两道防火墙进行串接。两个防火墙最好采用不同厂家的产品,且至少应有一个是国产。
在两道防火墙的最内侧级联病毒防火墙,实现对通过HTTP、SMTP和FTP服务器传播的病毒进行防治;将内部网络、外部网络划分成多个区域,设立区域病毒防治服务器,实现对所属区域的计算机的集中杀毒控制以及软件更新;在公司的各服务器上安装相应的网络杀毒软件,防止病毒的传播;建立统一的杀毒控制中心,实现全公司范围的病毒查杀及软件更新。
5、设置内容过滤服务器
内容过滤通过设置内容过滤服务器,如CA的EtrustContent nspcin teWay产品,采用相应的策略,对公共信息资源进行过滤,堵截危害信息的传播,保证信息安全和防止恶性程序入侵。
配置内容过滤服务后,所有进入的基于HTTP的可下载对象均被网关拦截,它还可以对已签名对象进行检查并验证其数字签名,对压缩文件进行解压缩操作,对每个可执行文件进行分析并判定它是否符合企业的安全性策略。然后,可以相应地允许这些对象通过(即允许访问网络)或阻挡这些对象(即拒绝访问)。
1/2 1 2 下一页 尾页 |
