網絡安全的全方位認識(2)
三、確保計算機網絡安全的防范措施 針對網絡系統現實情況,處理好網絡的安全問題是當務之急。為了保證網絡安全采用如下方法:
(一)配置防火墻。防火墻將內部網和公開網分開,實質上是一種隔離技術。它是網絡安全的屏障,是保護網絡安全最主要的手段之一。利用防火墻,在網絡通訊時執行一種訪問控制尺度,允許防火墻同意訪問的人與數據進入自己的內部網絡,同時將不允許的用戶與數據拒之門外,最大限度地阻止網絡中的黑客隨意訪問自己的網絡。防火墻是一種行之有效且應用廣泛的網絡安全機制,防止網絡上的不安全因素蔓延到局域網內部,所以,防火墻是網絡安全的重要一環。
(二)安裝防病毒網關軟件。防病毒網關放置在內部網絡和互聯網連接處。當在內部網絡發現病毒時,可能已經感染了很多計算機,防病毒網關可以將大部分病毒隔離在外部,它同時具有反垃圾郵件和反間諜軟件的能力。當出現新的病毒時,管理員只要將防病毒網關升級就可以抵御新病毒的攻擊。
(三)應用入侵檢測系統。入侵檢測技術是近20年來出現的一種主動保護自己免受黑客攻擊的新型網絡安全技術。它能夠檢測那些來自網絡的攻擊,檢測到超過授權的非法訪問。一個網絡入侵檢測系統不需要改變服務器等主機的配置。由于它不會在業務系統的主機安裝額外的軟件,從而不會影響這些機器的CPU、I/O與磁盤等資源的使用,不會影響業務的性能。它從系統運行過程中產生的或系統所處理的各種數據中查找出威脅系統安全的因素,并對威脅做出相應的處理。入侵檢測被認為是防火墻之后的第二道安全閘門,它在不影響網絡性能的情況下對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。在網絡中同時采用基于網絡和基于主機的入侵檢測系統,則會構架成一套完整立體的主動防御體系。
(四)利用網絡監聽維護子網系統安全。對于網絡外部的入侵可以通過安裝防火墻來解決,但是對于網絡內部的侵襲則無能為力。在這種情況下,可以采用對各個子網做一有一定功能的審計文件,為管理人員分析自己的網絡運作狀態提供依據。設計一個子網專用的監聽程序,該軟件的主要功能為長期監聽子網絡內計算機間相互聯系的情況,為系統中各個服務器的審計文件提供備份。
(五)應用數據加密技術。數據加密技術就是對信息進行重新編碼,從而隱藏信息內容,使非法用戶無法獲取信息的真實內容的一種技術手段。數據加密技術是為提高信息系統及數據的安全性和保密性,防止秘密數據被外部破析所采用的主要手段之一。
(六)常做數據備份。由于數據備份所占有的重要地位,它已經成為計算機領域里相對獨立的分支機構。時至今日,各種操作系統都附帶有功能較強的備份程序,但同時也還存在這樣或那樣的缺陷;各類數據庫管理系統也都有一定的數據復制的機理和功能,但對整個系統的數據備份來說仍有不夠完備之處。所以, 如想從根本上解決整個系統數據的可靠備份問題,選擇專門的備份軟、硬件,建 立專用的數據備份系統是不可缺少的
四、走出網絡安全認識的誤區
作為網絡信息安全策略的重要組成部分,安全評估產品在安全體系中的作用和重要性已經逐步被人們所認識,但是,在部署和使用安全評估產品時,很多人還存在一些認識上的誤區。
下面是我們常見的三個誤區:
誤區一:有了防火墻就有了一切
實際上,防火墻作為網絡安全策略中的一個組成部分,不能保證安全,只能加強安全性,難以抵御黑客的攻擊。原因一,防火墻難以防范網絡內部的入侵行為。二,防火墻對網絡外部入侵的防護作用是有限的。三,防火墻不能完全保證內外網絡的隔離。四,防火墻本身可能存在安全問題,有可能被黑客攻破。
誤區二:安全評估就是安全掃描
在發展的早期,安全評估產品只是簡單地把安全掃描的執行結果羅列出來,直接提供給測試者,而不對信息進行任何分析處理。經過幾年的發展,現在優秀的安全評估產品,除了最基本的安全掃描功能外,都能夠對掃描結果進行說明、給出建議,對系統總體安全狀況作出個評價,同時以多種方式生成包括文字、圖表等內容的報表。這也是安全評估產品與普通的掃描軟件的最大區別。
誤區三:安全掃描就是針對操作系統和應用軟件漏洞的掃描
在一次安全產品展上發生過這樣一幕:一位客戶反映他使用的安全評估系統在安全掃描時,把“被掃描系統打開了FTP服務”作為輕微危險報告出來,客戶抱怨說,這怎么能算是有危險呢,開啟FTP服務難道算是漏洞嗎?其實,這位客戶對安全掃描的含義有誤解。安全掃描,包括對目標的信息搜集和脆弱性掃描分析,而系統和軟件的漏洞僅僅是導致系統脆弱性的一個方面,錯誤的軟件配置和開啟了任何服務同樣會使系統被入侵的幾率增加。
因此,安全評估系統在安全掃描時,絕不是僅僅掃描漏洞,還包括對目標進行配置檢查、信息搜集等等工作,給出會使系統易受攻擊的弱點分析。
計算機網絡安全是一項復雜的系統工程,涉及技術、設備、管理和制度等多方面的因素,所以制定安全解決方案需要從整體上進行把握。我們不僅要依靠殺毒軟件、防火墻、漏洞檢測等硬件設備的防護,還要意識到計算機網絡系統是一個人機系統,安全保護的對象是計算機,而安全保護的主體則是人。所以,應重視對計算機網絡安全的硬件產品開發及軟件研制及建立一個好的計算機網絡安全系統,同時還要注重樹立人的計算機安全意識,才能生成一個高效、通用、安全的網絡系統。