一、硬件设备的检测与维护
首先,需要对硬件设施进行全面体检,按照设备运维的标准和制度对硬件设施进行全面体检,保证网络系统的安全稳定运行,保证pc、服务器、交换机、路由器等硬件设备的稳定性。
根据硬件设备,分为常规设备及网络设备两大类:
(一)pc机、服务器、打印机、扫描仪等设备的维护
pc机检测:需要检测包括电源、硬盘和网卡等,并且应用程序和数据也需要做及时的备份。此外,杀毒软件病毒库更新、安装操作系统的最新补丁包等也是需要升级更新的。
服务器检测:每月对服务器进行一次冷关机断电,然后对其电源、硬盘、网卡、风扇等进行检查,确保其性能良好。其次,若服务器做了raid,一定要检查raid卡和热插拔硬盘工作状态是否正常。此外,进行数据文件的清理及应用程序的备份,确保其有足够的磁盘空间以备份数据资料。
(二)交换机、路由器的检测及其清洁
性能测试:对交换机、路由器进行重启对其功能进行检测,测试的项目如接口测试、性能测试、协议一致性测试和网管测试等,并进行远端测试。
设备清洁:对其进行卫生清洁,清除其外围的灰尘。
(三)辅助设备的检测
网络线路的安全,在防护措施中占重点部分,因此对于网络链路也需要进行检测,以保证其可靠和畅通。对于那些使用时间较长,磨损严重的线路进行更换。
抓住网络中关键设备的检测和做好相应的准备,并注意细节检测。
二、内外网安全防护措施
除了硬件设备检测与防护,网络的安全防范尤其技术策略方面的措施与准备,对于网络安全来说是重中之重。网络攻击或黑客犯罪,一旦攻击,很可能会导致网络全面瘫痪,造成某些程度的伤害。
因此,网络安全是各个防止网络攻击又是其中的首要任务。arp攻击便是暴发最为常见的攻击形式之一。它是大多数内网的祸水。到目前为止,有两种方式可以做好防护:ip/mac双绑、主动防御。
(一)ip/mac双绑技术
在路由器手动绑定所有pc机的ip/mac,从而防止中毒电脑冒充pc机,欺骗路由器; 在pc机端手动绑定路由器的ip/mac,从而防止中毒电脑冒充路由器,欺骗pc机。
(二)主动防御技术
增强路由器arp广播频率,从而使得pc动态信任路由器的ip/mac
开启路由器arp信任机制,从而使得路由器对pc的ip/mac动态绑定
三、防火墙技术
网络安全技术就是防火墙技术,即在internet和内部网络之间设一个防火墙。目前在全球连入internet的计算机中约有1/3是处于防火墙保护之下。防火墙是用来阻挡外部(internet)火情影响内部网络(internal network)的屏障。无论外部世界多么复杂、良莠不齐,经过防火墙的过滤,内部网络大可隔岸观火,不受火灾危害。用专业一点儿的话来描述,防火墙的主要目的就是防止外部网络的未授权访问。如果某个网络决定设定防火墙,那么首先需要由网络决策人员及网络专家共同决定本网络的安全策略(security policy),即确定什么类型的信息允许通过防火墙,什么类型的信息不允许通过防火墙。防火墙的职责就是根据本单位的安全策略,对外部网络与内部网络交流的数据进行检查,符合的予以放行,不符合的拒之门外。另外,还要确定防火墙类型,即防火墙拓扑。防火墙的技术实现通常是基于"包过滤"(packet filtering)。而进行包过滤的标准通常就是根据安全策略制定的。在防火墙产品中,包过滤的标准一般是靠网络管理员在防火墙设备的访问控制清单(access control list)中设定。访问控制一般是基于以下标准:a、包的源地址b、包的目的地址c、连接请求的方向(连入或连出)d、数据包协议(如tcp/ip,decnet等等)e、服务请求的类型(如ftp,www,goper等等)……
另外,防火墙只能阻截来自外部网络的侵扰,而对于内部网络的安全还需要通过对内部网络的有效控制和管理来实现。
四、加密技术
网络安全的另一个非常重要的手段就是加密技术(cryptography)。它的思想核心就是既然网络本身并不安全可靠,那么所有重要信息全部通过加密处理。
(一)单匙技术。即无论加密还是解密都是用同一把钥匙(secret key)。这是比较传统的一种加密方法。发信人用某把钥匙将某重要信息加密,通过网络传给收信人,收信人再用同一把钥匙将加密后的信息解密。这种方法快捷简便,即使传输信息的网络不安全,被别人截走信息,加密后的信息也不易泄露。但这种方法也存在一个问题,即如果收信者和发信者不在同一地理位置,那么他们必须确保有一个安全渠道来传送加密钥匙。
(二)双匙技术。即有两个相关互补的钥匙,一个称为公用钥匙(public key),另一个称为私人钥匙(secret key)。公用钥匙是大家被告知的,而私人钥匙只有每个人自己知道。发信者需用收信人的公用钥匙将重要信息加密,然后通过网络传给收信人。收信人再用自己的私人钥匙将其解密。除了私人钥匙的持有者,没有人,即使是发信者,能够将其解密。公用钥匙是公开的,可以通过网络告知发信人(即使网络不安全)。
加密技术主要有两个用途,一是加密信息;另一个是信息数字署名,即发信者用自己的私人钥匙将信息加密,这就相当于在这条消息上署上了名。任何人只有用发信者的公用钥匙,才能解开这条消息。这一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动(因为只有发信息者才知道自己的私人钥匙),另一方面也确保发信者对自己发出的消息负责,消息一旦发出并署了名,他就无法再否认这一事实。如果既需要保密又希望署名,则可以将上面介绍的两个步骤合并起来。即发信者先用自己的私人钥匙署名再用收信者的公用钥匙加密,再发给对方,反过来收信者只需要用自己的私人钥匙解密,再用发信者的公用钥匙验证签名。这个过程说起来有些繁琐,实际上很多软件都可以只用一条命令实现这些功能,非常简便易行。
五、妥善的系统管理将网络的不安全性降至最低
目前,在unix上发现的大多问题,都归因于一些编程漏洞及管理不善,如果每个网络及系统管理员都能注意到以下几点,即可在现有条件下,将网络安全风险降至最低:
(一)口令管理
目前发现的大多数漏洞,都是由于口令管理不善,使"黑客"得以趁虚而入。因此口令的有效管理是非常基本的,也是非常重要的。
1.首先绝对杜绝不设口令的帐号存在。这可以通过查看/ect/passwd文件发现。
2.缩短口令有效时间,使用户经常更换口令。
3.采用新版本口令管理软件。新的口令管理软件在用户设定一些容易被猜中的口令时,会自动拒绝接受,并提示用户重新选择口令。例如用户不能使用自己的名字、生日日期等做口令,不能选用英语单词做口令,等等。
另外,在比较新的unix系统,passwd文件中的第二项(存放口令密码)均用x代替,而将口令密码放在一个只有root才可读的/etc/shadow文件中,这就杜绝了"黑客"在获得passwd文件后,将口令解密的可能性,提倡用户使用复杂的口令,例如可以用一句话作为口令(passphase)。
(二)用户帐号管理
在为用户建立帐号时,应注意保证每个用户的uid是唯一的,应避免使用公用帐号,对于过期的帐号要及时封闭,对于长期不用的帐号要定期检查,必要时封闭。(因为这样的帐号通常是"黑客"袭击的目标,他们可以在上面大做手脚而很长时间内不被发现。)
(三)inetd/xinetd的妥善管理
inetd是超级服务器,它使得一台机器上可以同时运行几十个服务器。它以这些服务器的名义同时侦听这些服务的口(port)。当有服务请求到来时,它会启动相应的服务器,通过其配置文件/ect/inetd.conf可以对其进行合理配置。
(四)谨慎使用r命令
r命令可以使用户在不需提供密码情况下执行远程操作。因此,在方便的同时,也带来潜在的安全问题。<br>unix系统中,系统是通过查看/ect/hosts.equiv及$home/.rhosts文件来控制可以使用r命令的节点及用户。所以,这两个文件的正确设置是使用r命令安全的基本保障。"黑客"在侵入某个unix系统后,最通常做的一件事就是修改在主目录下.rhosts的文件,以便为自己日后再次进入系统留下后路。因此,建议用户在怀疑自己的系统被闯入时,马上查看.rhosts文件,检查其最后一次修改日期及内容,注意文件中绝对不能出现"++",否则网络上任何一个用户不需知道你的密码就能任意进入你的帐户。
另外,还要特别注意.rhosts文件中不能涉及一些特殊帐户(例如news,bbs等等),一些"黑客"就是通过这条途径进入帐户而又不留下自己的来龙去脉。
可以看出,.rhosts为外部侵入留下了潜在的危险,用户自己在设置时要格外小心,如果不是特别需要,建议在.rhosts文件中不设入口。
对于系统管理员,如果不特别需要,建议在/etc/hosts.equiv中不设入口。如果/ect/hosts.equiv中有入口,而用户个人为了安全起见,可以在.rhosts中加入"--",而关闭所有的入口。
此外,在这两个文件中不要加注释行(以#开头),因为有些特权的"黑客"可以将其节点名设成#而获得进入你系统的权力!
(五)加强信息服务器的安全措施。如果对外开放的信息服务器本身是不安全的,就相当于在系统的防护罩上开了一个漏洞,那么其他的安全工作做得再多,也会付诸东流。因此,系统管理员和信息服务器的管理人员必须细心注意服务器本身的安全设置,并随时更新版本。目前,几乎所有的信息服务器(如www)均提供了安全设置途径。
六、ethernet sniffer
sniffer是如今众多的internet闯入的一种主要途径。与电话专线不同,计算机网络是共享信道,这就意味着网上的计算机可以接收到网上传输的发往其他节点的信息。以ethernet为例,信息被发往同一线路的每个节点,但只有地址与信息头中的目的地址相符的计算机,才接收这个信息包,而其他的机器均放弃。但是如果某台机器可能接受所有信息,而不论这些信息是发给谁的,这台机器就可以称之为sniffer。它可以是网络管理人员用于管理的监视器,也可能成为"黑客"用于侵犯的基地。由于帐号与口令在ethernet上是以文本格式传输的,因此,一旦"黑客"有办法控制sniffer,网络上的所有机器均处于危险中。