今很多企业都建设了企业网并通过各种渠道接入了Internet,企业的运作越来越融人计算机网络,但随之产生的网络安全问题也日渐明显地摆在了网络管理员面前。
对于网络管理者来说,网络的安全管理直接关系到企业工作的稳定和正常开展。而企业对安全性的要求有其自身的特殊性,除了传统意义上的信息安全以外,还应提高对病毒、恶意攻击以及物理设备的安全防范。
本文根据本人在企业任职多年网络管理员的实际,侧重谈了下如何加强对企业网络的安全管理。主要分别从企业内部网络安全管理与病毒防范、企业服务器的安全、基于VLAN的企业网络安全部署三个角度作了调查和研究。
一、企业内部网络安全管理与病毒防范
在网络环境下,病毒传播扩散快,仅用单机版防病毒产品已经很难彻底防范和清除网络病毒,必须有适合于局域网的全方位防病毒产品。
在企业网络中,可以配置一台高性能的汁算机安装网络版杀毒软件的控制端,负责管理各终端主机病毒的防治工作,在各用户主机上安装网络版杀毒软件的客户端。通过杀毒软件的控制台进行定时杀毒的设置和自动升级的设置,确保杀毒和升级的时效性,使网络具有较强的防病毒能力。
(一)使用和配置防火墙
防火墙是网络的第一道防线,一般安装在内网与外网的交界处,如各级路由器上。利用防火墙,在网络通讯时执行一种访问控制尺度,允许防火墙同意访间的用户与数据进入自己的内部网络,同时将不允许的用户与数据拒之门外,最大限度地阻止网络外的黑客访问自己的网络,防止他们随意更改、移动甚至删除网络上的重要信息。
防火墙是一种行之有效且应用广泛的网络安全机制,可有效防止Internet上的不安全因素蔓延到企业内部。所以,防火墙是企业网络安全的重要一环。
(二)采用入提检测系统
入侵检测系统是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处在于是一种积极主动的安全防护技术。入侵检测系统一般要安装在网络的关键点上,如Internet接入路由器之后的第一台交换机上,在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。
(三)Web, Email的安全监测系统
在网络的WWW服务器、Email服务器等环节中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的WWW,Email,FTP, Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时采取有效措施。
(四)漏洞扫描系统
解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对企业庞大的网络,仅仅依靠个人的技术和经验寻找安全漏洞、做出评估.显然是不现实的。我们可以寻找一种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和安装安全补丁等多种方式最大可能地弥补最新的安全漏洞和消除安全隐患。可以利用各种黑客工具,定期对网络模拟攻击从而暴露出网络的漏洞,以便更好地发现和杜绝网络中的安全隐患。
(五)ARP病毒的防御
ARP是Address Resolution Protocol的缩写,即地址解析协议,它是一个位于TCP/IP协议栈中的低层协议,负责将某个IP地址解析成对应的MAC地址。它是系统进行通讯的基础。是以信任为基础的,如果破坏了这个信任,那就形成ARP欺骗了。局域网经常会受到来自各方面的攻击,导致不能正常工作,其中ARP攻击是一个经常发生的攻击,只要有一台电脑感染ARP,就可能导致整个局域网都无法上网,严重的甚至可能带来整个网络的瘫痪,这给网络用户造成了很大的不便,因此了解ARP攻击原理,防御ARP攻击是保障企业网络正常工作应该引起重视的一个问题。目前对于ARP攻击防御问题出现最多是绑定IP地址和MAC地址或使用ARP防护软件。
采用绑定IP地址和MAC地址这种方式进行绑定,如果网络中有上百台计算机,这个工作量是非常大的.所以这种方式不推荐在大型网络中使用,企业内部更适合使用ARP防护软件,目前ARP防护软件很多,比较常用的ARP工具软件主要是360ARP防火墙、AntiARP、彩影ARP防火墙等。可以在这类软件中绑定IP地址和网关,另外这类软件还会在提示框内出现病毒主机的MAC地址,方便我们快速找到攻击源,然后进行清除。根据实际网络环境,我们采取相应的防御方法,还是非常有效的。
(六)使用GHOST软件备份操作系统