网络安全管理

网络安全管理计算机网络所面临的安全威胁有3种：硬件安全、软件安全和数据安全。硬件包括网络中的各种设备及其元配件、接插件及电缆；软件包括网络操作系统、各种驱动程序、通信软件及其他配件；数据包括系统的配置文件、日志文件、用户资料、各种重要的敏感数据库及其网络上两台机器之间的通信内容等机密信息。威胁网络安全的主要因素：非人为因素。它包括自然灾害，如地震、雷电、洪水等；设备老化、断电、电磁泄露；硬盘等存储介质破损、静电效应。2.人为因素。无意失误。表现在网络配置不当、误操作、口令丢失、管理过于简单等。恶意攻击。往往来自企业之间的网络间谍和网上黑客等，这才是计算机网络安全面临的最大威胁。一．网络安全策略网络安全管理策略指在特定的环境里，为保证提供一定级别的安全保护所必须遵守的规则。实现网络安全，不仅要靠先进的技术，而且要靠严格的管理和威严的法律。三者的关系如同安全平台的三根支柱，缺一不可。安全基石是建立与信息安全相关的法律、法规，使网络犯罪活动不再处于无序的状态，使犯罪分子摄于威严的法律，不敢轻举忘动。安全的根本保证是先进的网络安全技术。网络用户特别是网络管理员对自身面临的威胁进行风险分析和评估，决定其所需的安全服务种类，选择安全机制，然后建立全方位的安全集成系统。严格的安全管理是以人为本的具体体现。网络安全的主要威胁来自人为的无意失误和恶意攻击。任何先进的安全技术必须由人掌握和实施。加强内部管理，建立审计和跟踪系统；加强网络安全教育，提高整体安全意识。制定网络安全策略要根据网络资源的职责对哪些人允许使用哪些设备、有否修改设备的配置权限、有否管理权限、对用户该授予什么级别的权限、用户应当承担什么责任等内容加以说明。在明确网络用户、系统管理员的安全责任、正确利用网络资源的同时，还要有应付系统遭受破坏时的应急措施，注意隔离与防护，防止破坏蔓延。每一个网络安全问题都应有文档记录，以便今后进一步消除安全隐患。总之，网络的安全管理策略包括：（1）确定安全管理等级和安全管理范围；（2）制定有关网络操作使用规程和人员出入机房管理制度；（3）制定网络系统的维护制度和应急措施等。安全管理的落实是实现网络安全的关键。二．网络物理安全管理涉及计算机网络的物理安全管理是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故和人为地操作失误导致的破坏过程。网络物理安全管理主要包括：机房的安全技术管理、通信线路的安全管理、设备安全管理和电源系统的安全管理。机房的安全技术管理机房的安全保卫技术是机房安全技术的重要一环，主要的安全技术措施是：防盗、报警、实时监控、安全门禁等。机房安全等级分为A类、B类和C类三个基本级别：A类：对计算机机房有严格要求，有完善的计算机机房安全措施。B类：对计算机机房有较严格要求，有完善的计算机机房安全措施。C类：对计算机机房有基本的要求，有基本的计算机机房安全措施。对计算机机房的安全管理有以下几方面的要求：机房的安全要求。电梯和楼梯不能直接进入机房；(b)建筑物的周围应有足够亮度的照明设施和防止非法进入的设施；外部容易接近的进出口应有栅栏或监控措施，而周边应有物理屏障和监视报警系统；机房进出口须设置应急电话；机房供电系统要将照明用电系统和计算机供电系统分开；机房建筑物方圆100m内不能有危险建筑物；机房内应设置更衣室和换鞋外，机房的门窗具有良好的封闭性能。对机房应有防盗要求。因为计算机网络的大部分设备都是放置在计算机房中的，重要的应用软件和业务数据也都是存放服务器里。此外，机房内的某些设备可能是用来进行机密信息处理的。这类设备本身及其内部存储的信息都非常重要，一旦丢失或被盗，将产生严重的后果。所以，对重要的设备和存储媒体应采取严格的防盗措施。对机房的三度要求:温度应保持在18°C—22°C；湿度控制在40%—60%为宜；洁静度要求机房尘埃颗粒直径小于0.5um,平均每升空气含尘量小于1万颗。防静电措施。计算机系统的CPU、ROM、RAM等关键部件大都采用MOS工艺的大规模集成电路，对静电极为敏感，容易因静电而损坏。为了防静电，机房一般要求安装防静电地板，并将地板和设备接地以便将设备内积聚的静电释放到大地。接地与防雷要求。接地与防雷是保护计算机网络系统和工作场所安全的重要安全措施。接地是指整个计算机网络系统中各处电位均以大地电位为零参考电位。接地可以为计算机系统的数字电路提供一个稳定的OV参考电位,从而可以保证设备和人身的安全，同时也是防止电磁泄漏的有效手段。地线的连接有多种类型，通常有：保护地、直流地、屏蔽地、静电地、雷击地。机房的防火、防水措施。计算机机房的火灾一般是由电气原因、人为事故或外部火灾蔓延引起而水灾一般是由于机房内有渗水、漏水等原因引起。为避免火灾、水灾，应采取以下措施：隔离、火灾报警系统、灭火设施、管理措施；机房内应有排水装置、机房上部应有防水层、下部应有防漏层，以避免漏水和渗水。通信线路安全管理如果所有计算机系统连同所有的计算机终端都接到同一室内，并且锁在室内，这时通信与计算机系统是安全的。但是，当计算机的通信系统接到室外，问题就来了。因此，要采取相应的安全措施。用一种简单的高技术加压电缆，可以获取通信线路上的物理安全。将通信电缆密封在塑料套管中，并在线缆的两端充气加压。线上连接了带有报警系统的监示器，用来测量压力。如果压力下降，则意味着电缆可能被破坏了，此时，还可以进一步检测出破坏点的位置，以便及时进行修复。光纤通信是极为安全的，因为它不可能使用电磁感应线路窃听。但是，光纤的通信距离受到限制，一般，通信距离到达100km，光信号就比较弱了，这时需要放大，即加一电和电——光转换的中继器。虽然，光通信系统安全的薄弱环节就在这里，因为信号可能在这一环节被子搭线窃听.有两个办法可以解决这一问题：一是距离大于这一长度限制的系统之间不采用光纤通信；二是加强中继器的安全，例如，采用加压电缆、报警系统和加强警卫等措施。设备安全管理设备安全管理包括硬件设备的维护和管理、电磁兼容和电磁辐射的防护、信息媒体的安全管理。硬件设备的维护管理。要做好硬件设备的维护管理，首先要做好硬件设备的使用管理，根据硬件设备的具体配置情况，制定切实可行的硬件设备的操作使用规程，并严格地按操作规程进行操作；其次，要做好常用硬件设备的维护和保养，例如，对网络设备的HUB、交换机、路由器、Modem、RJ45接头、网络线缆等的维护保养。电磁兼容和电磁辐射的防护。电磁兼容就是电子设备或系统在一定的电磁环境下互相兼顾、相容的能力；所谓电磁辐射是电子设备本产生的电磁波向外传播成为电磁辐射。为了提高电子设备抗电磁波干扰的能力，除在芯片、部件上提高抗干扰能力外，主要的措施有屏蔽、隔离、滤波、吸收、接地等。信息存储媒体的安全管理。人们知道，计算机的信息存储在媒体上，媒体主要包括：硬盘、磁带、纸带、卡片、打印机和光盘上。对存储媒体的安全管理主要包括：对于有价值的磁盘、磁带或光盘，必须妥善保管，防磁、防潮、防火、防盗，必须垂直放置。对硬盘的数据，要建立有效的级别、权限，并严格管理，必要时进行加密，确保数据安全。存放业务数据或程序的磁盘、磁带或光盘，管理必须落实到人，并建立登记簿，作详细登记。对存有重要信息的磁盘、磁带或光盘，要备份两份并分两处保管。打印机业务数据或程序的打印纸，要视同档案管理。凡超过数据保存期的磁盘、磁带或光盘必须经过特殊的数据清除处理。凡不能正常记录的磁盘、磁带或光盘，经测试确认后由专人销毁。对需要长期保存的有效数据，应在磁盘、磁带、光盘的保质期内进行转储，转储时，应确保内容正确。安全策略规定了计算机系统和网络设备安全方面的技术要求。规定了系统或网络管理员应如何配置系统的安全性。实施安全策略的责任主要是系统和网络管理员。总而言之，团队应为客户白日做梦一个强大的、以事实为依据的应对突发事件的处理建议。三．网络安全保护1.网络访问控制访问控制是网络安全防范和保护的主要策略，它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全、保护网络资源的重要手段。目前进行网络访问控制的方法主要有：MAC地址过滤、VLAN隔离、IEEE802.1Q身份验证、基于IP地址的访问控制列表和防火墙控制等等。2物理隔离首先要明确，物理隔离是网络隔离的早期描述，这里沿用物理隔离，而不用网络隔离这个概念。物理隔离的指导思想与防火墙截然不同，防火墙是在保证互联互通的前提下，尽可能安全；而物理隔离则是保证安全前提下，尽可能互联互通，如果不安全，则断开。逻辑隔离对大多数机关用户来说，逻辑隔离应该是最为经济实用的方法了。广泛地来看，我们所知的各种安全技术都是在使用逻辑隔离。也就是说，在保持网络连通（包括直接或者间接）的同时，对网络流量有所取舍。包括VLAN（虚拟局域网）、访问控制、VPN（虚拟专用网）、防火墙、身份识别、端口绑定等等在内的方法都是在某种限定下实现隔离。在这些手段中，在内网与外网之间设置防火墙（包括分组过滤与应用代理）是保护内部网安全的最常用的措施。防火墙技术概述为了使网络的机密性、完整性、可用性、真实性、实用性和占有性等方面得到保障，计算机系统的安全，尤其在Internet环境中，网络安全体系结构的考虑和选择尤为重要。采用传统的防火墙网络安全体系结构不失为一种简单有效的选择方案。随着安全问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。而防火墙的作用就是防止不希望的、未授权的信息进出被保护的网络。因此，防火墙正在成为控制对网络系统访问的非常流行的方法。入侵检测技术入侵检测技术已经过较长时间的发展阶段，自20世纪80年代提出以来得到了很大的发展，国外一些研究机构已经开发出了应用于不同操作系统的几种典型的攻击检测系统。典型的IDS通常采用静态异常模型和规则误用模型来检测入侵，这些IDS的检测是基于服务器或网络的。早期的IDS模型设计用来监控单一服务器，是基于主机的攻击检测系统；而近期的更多模型则集中用于监控通过网络互连的多个服务器。网络安全漏洞防范网络安全漏洞所带来的威胁（1） 什么是漏洞？漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以便攻击者能够在未授权的情况下访问或破坏系统。（2） 漏洞分析的目的。漏洞分析的目的是发现目标系统中存在安全隐患，分析所使用的安全机制是否能够保证系统的机密性、完整性和可用性。漏洞分析通过对目标进行穿透测试，进而尝试从中获取一些有价值的东西，例如，文本文件、口令文件和机密文档等。穿透测试可以分为两类：无光验知识穿透测试和有光验知识穿透测试。前者通常从外部实施，测试者对被测试网络系统的拓扑结构等信息一无所知；在有光验知识穿透测试中，测试者通常具有被测试网络系统的基本访问权限，并可以了解网络系统拓扑结构等信息。（3） 网络安全漏洞的威胁。对于网络漏洞的威胁可以按照风险等级给予说明。对那些具有低严重度和低影响度的网络安全漏洞可以归纳为低级别的安全漏洞；而那些具有高严重度和高影响度的安全漏洞可以归纳有高级别的安全漏洞。防病毒技术计算机病毒直接破坏计算机数据信息、占用磁盘空间和对信息的破坏、抢占系统资源、影响计算机运行速度、给用户造成严重的心理压力等等危害使人们产生很大的不良影响。因此，要了解计算机病毒的特征及其发展趋势，了解网络防病毒的技术，了解网络防病毒的方计算机病毒的特征要防治计算机病毒，首先要了解计算机病毒的特征和破坏机理，为防范和消除计算机病毒提供充实可靠的依据。根据计算机病毒的产生、传染和破坏行为的分析，计算机病毒通常具有以下特征：非授权可执行性、隐蔽性、传染性、潜伏性、破坏性和可触发性。计算机病毒的发展趋势现在流行的病毒在很多地方改变了人们对病毒的看法，而且，它还改变了人们对病毒预防的看法。过去总是说，只要不用盗版软件，不随便使用别人的软盘，不乱运行程序，就不会染毒。而现在呢？有了互联网Internet和操作系统的漏洞，就算你坐着不动，病毒也会找上门来。病毒有下列特性：与互联网和Internet更加紧密地结合，利用一切可以利用的方式，例如通过电子邮件、局域网、远程管理、即时通信工具进行传播。所有的病毒都具有混合型特征，集文件传染、蠕虫、木马、黑客程序特点于一身，破坏性大大增强。因为其扩散极快，不再追求隐藏性，而更加注重欺骗性。利用系统漏洞将成为病毒有力的传播方式。由于病毒品的迅速发展，势必要求反病毒技术跟上时代发展的步伐，以保证互联网时代的信息系统安全。所以，为了对付新的病毒，必须有新一代反病毒软件的决策。具体有下列几点：全面地与互联网结合，不仅有传染的手动查杀与文件监控，还必须对网络层、邮件客户进行实时监控，防止病毒入侵；快速反应的病毒检测网，在病毒爆发的第一时间即能提供解决方案；完善的在线升级服务，使用户随时拥有最新的防病毒能力；对病毒经常攻击的应用程序提供重点保护，提供完整、即时的反病毒咨询，提高用户的反病毒意识与警惕性，尽快地让用户了解到新病毒的特点和解决方案。四．网络防止病毒的措施1.基于网络安全体系的防病毒策略只有建立一个有层次的、立体的防病毒系统，才能有效地制止病毒在网络上蔓延。下面提供一些网络防病毒的措施。（1） 增加安全意识。（2） 小心邮件（3） 挑选网络版杀毒软件。（4） 在计算机网络中，尽量多用无盘工作站，不用或少用有软驱的工作站。（5） 在计算机网络中，要保证系统管理员有最高的访问权限，避免过多地出现超级用户。（6） 为工作站上用户帐号设置复杂的密码。（7） 工作站采用的防病毒芯片，这样可防止引导型病毒。（8） 正确设置文件属性，合理地规范用户的访问权限。（9） 建立健全网络系统安全管理制度，严格操作规程和规章制度，定期作文件备份和病毒检测。即使有了杀毒软件，也不可掉以轻心，因为没有一个杀毒软件可以完全杀掉所有病毒，所以，仍要定期备份，一旦真的遭到病毒的破坏，只要将受损的数据恢复即可。（10）目前预防病毒入侵的最好办法，就是在计算机中安装具有实时监控功能的防病毒软件，并及时升级。（11）为解决网络防病毒的要求，在网络中使用网络版防病毒软件和网关型防病毒系统。2．服务器的防病毒技术3．终端用户防病毒五．网络防病毒的选择面对众多的网络防毒杀毒软件，如何选择优秀产品？应该着重考虑以下诸因素：能查杀病毒的数量要多，安全可靠性要强。对新病毒的反应能力要强。要有实时反病毒的“防火墙”技术。内存开销要低。要能查杀压缩文件中的病毒为了减少传输的时间，因特网上的文件大都是压缩过的。防火墙使用（一）防火墙概念防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反，防火墙是一种获取安全性的方法；它有助于实施一个比较广泛的安全性政策，用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施（如代替静态口令的先进验证）来说，防火墙是该政策的具体实施。防火墙系统的主要用途就是控制对受保护的网络（即网点）的往返访问。它实施网络访问政策的方法就是逼使各连接点通过能得到检查和评估的防火墙。（二） 采用防火墙的必要性引入防火墙是因为传统的子网系统会把自身暴露给NFS或NIS等先天不安全的服务，并受到网络上其他地方的主系统的试探和攻击。在没有Firewall的环境中，网络安全性完全依赖主系统安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同安全性水平上的可管理能力就越小。随着安全性的失误和失策越来越普遍，闯入时有发生，这不是因为受到多方的攻击，而仅仅是因为配置错误、口令不适当而造成的。防火墙能提高主机整体的安全性，因而给站点带来了众多的好处。以下是使用防火墙的好处：防止易受攻击的服务:控制访问网点系统集中安全性增强的保密、强化私有权有关网络使用、滥用的记录和统计政策执行最后，或许最重要的是,防火墙可提供实施和执行网络访问政策的工具。（三） 防火墙的构成防火墙的主要组成部分有:1*网络政策；2*先进的验证工具3*包过滤；4*应用网关；（四）防火墙的分类防火墙处于5层网络安全体系中的最底层，属于网络层安全技术范畴。在这一层上，企业对安全系统提出的问题是：所有的IP是否都能访问到企业的内部网络系统？如果答案是“是”，则说明企业内部网还没有在网络层采取相应的防范措施。作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。根据防火墙所采用的技术不同，我们可以将它分为三种基本类型：包过滤型、代理型和监测型。1．包过滤型包过滤型产品是防火墙的初级产品，其技术依据是网络中的分包传输技术。网络上的数据都是以“包”为单位进行传输的，数据被分割成为一定大小的数据包，每一个数据包中都会包含一些特定信息，如数据的源地址、目标地址、TCP/UDP源端口和目标端口等。防火墙通过读取数据包中的地址信息来判断这些“包”是否来自可信任的安全站点，一旦发现来自危险站点的数据包，防火墙便会将这些数据拒之门外。系统管理员也可以根据实际情况灵活制订判断规则。包过滤技术的优点是简单实用，