您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 销售管理 > (10.0)网络安全与网络管理【全业务组网砖家指引】
【全业务组网砖家指引】由91导购网编辑导购网:告诉我们第十章网络安全与网管第一节计算机网络安全概述计算机网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,确保系统能连续、可靠、正常地运行,使网络服务不中断。计算机网络安全涉及到计算机网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论和信息论等多种学科的综合性学科。网络安全的目标之一是为了信息的安全,即指防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法系统辨识,控制。即确保信息的完整性、保密性、可用性和可控性,主要措施包括操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密与鉴别等方面。信息具有以下四个方面的特征。对信息安全我们要有如下几点认识:安全是相对的,没有绝对的安全。比如说密码越长越安全,但无论多长长,用最笨的方法,一个个去猜测,只要时间充足,都可以试出来。关键是猜测密码的平均时间有多长,我们是否认为足够长与足够安全。加强安全管理的过程就是在合理成本范围内,不断提高被破坏、被窃取、被干扰的难度,以达到相对较安全的程度。安全是有成本的,首先是相关软硬件的购置需要投资,其次是我们为了安全引入的流可用性:指可被授权实体访问并按需求使用的特性。即网络信息服务在需要时,能为授权用户提供有效服务的特性。保密性:指信息不泄漏给非授权的用户、实体或过程,或供其利用的特性。即信息只为授权用户使用。可控性:指对信息的传播及信息的内容具有控制能力。授权实体可用一定的方式去传输与处理信息。完整性:指数据未经授权不能进行改变,信息的存储或传输过程中保持不被修改、不被破坏和丢失的特征。完整性要求保持信息的原样。信息安全【全业务组网砖家指引】由91导购网编辑导购网:告诉我们程与管理规定,可能使得系统使用上更繁琐,牺牲了操作的简易性,第三是在网络中插入了安全管理的设备,在设备上运行了安全相关软件,必然会消耗网络的一些带宽、CPU处理能力、设备端口资源等,最终导致网络与IT应用系统性能下降。因此我们的安全方案往往是安全需求与我们原意付出的成本的折中选择。安全的设施要靠完善的管理来发挥作用,我们部署的软硬件只是工具,只有我们合理应用才能发挥作用。完善的管理制度将是有利于这些软硬件充分发挥安全的作用,否则可能成为摆设。为加强信息安全管理,企事业单位会工具自身情况制定信息安全管理规定,一般包括安全管理组织架构、IT系统使用规范、文档的保密规定、系统授权规定、相关审批流程、对内部员工违反信息安全规定的处罚方式等。主动维护将获得较高的安全性能,安全管理是一个动态的不断完善的过程,只有不断地主动地去发现和解决这些安全问题,才能让计算机网络系统变得更安全。因此要制定主动维护的作业计划,并落实执行。主动维护可防患未然,达到事半功倍的效果。如下表的安全相关的例行维护作业项目表,供参考。序号作业项目周期责任人备注1检查用户密码是否定期修改每季度张三2弱口令扫描每月20日李四3TCP端口扫描每月20日张三4测试备份路由是否通每周一李四5系统补丁升级每周一张三6Domino数据库备份每周六李四7……………关于安全的理论一套套的,非常多,我们这里不再赘述。这里主要分享一下在日常网络使用过程中,注意关注的几个问题:(1)通信链路的备份不仅是电路的备份,更重要是物理路由的备份。许多企事业单位对重要的网络节点的链路进行了备份,向运营商申请了2条以上的电【全业务组网砖家指引】由91导购网编辑导购网:告诉我们路。但容易疏忽的一点是没有考虑这些电路是否走了相同的物理路由。运营商的电路是逻辑上的通道,最终是在相关的设备、光缆与管道等实物上承载的。目前的机房电气环境一般较好,设备的故障已经大幅度降低。但室外的线路故障却始终面临许多不确定的因素:自然灾害、市政建设、违章施工等都可能破坏管道与管道内的光缆与铜缆,路边的线杆被车撞倒、电缆被盗也时有发生。因此室外线路中断的故障率还是比较高的,而且修复时间更长。而设备故障大多数情况下更换备件即可,处理比较快。在运营商组网业务一章已介绍了网络的层次结构。在这里我们假设客户申请了2条DDN电路互为备份地使用,我们从下图由上至下地思考这2电路是否经过相同的路由。如果管道路由不同则是较安全的。运营商接入网机房以上的路由保护是比较完善的,用户评估的重点是从接入网机房到用户网络所在场所的这一段接入线路是否安全。(2)员工擅自拨号接入Internet:许多企事业单位建设防火墙(FireWall),所有出入互联网的数据都经过防火墙监控。但实际上可能存在内部部分用户擅自拨号上网的情况。这些用户直接上互联网,绕开了内部企业网设置的安全屏障。目前拨号上网非常方便,内部员工在其使用的PC上使用一个3G无线上网卡即可通过无线拨号上网,公司的计算机管理人员很难发现这种情况,特别是USB管道、杆路网络光缆网络SDH网DDN网络专线1专线2用户申请了2条专线,互为备用。我们由上至下地思考这2电路的路由情况:①2条专线是否途径相同的DDN设备?②2条专线是否途径相同的SDH设备?③2条专线是否通过相同的光缆来承载?④2条专线最终是否走了相同的管道路由?图10-1-1:电路备份的层次【全业务组网砖家指引】由91导购网编辑导购网:告诉我们上网卡,可以随时插拔,这是很难发现的隐患。这时PC具有双网卡,同时连接到内网与Internet,很容易引入网上流行的各类计算机病毒与木马,容易泄露企业信息。擅自拨号上网危害非常大。(3)使用非法软件带来“后门”所谓的非法软件是指来路不明的软件。目前互联网资源非常丰富,在网上共享的资源非常多,包括许多免费使用的程序。这些程序中不排除个别人在里面设置了后门。后门(BackDoor)是在软件中设置的秘密入口,目的是可以绕过用户的安全性控制规则而获取对程序或系统访问权。有些后门是程序在开发过程中为了方便调测而设置的,一般在软件交付使用之前会去掉软件模块中的后门,但是,有时由于疏忽或者故意而将其留在程序中。而一些别有用心的人在编写小程序过程中有意地植入后门,然后以免费共享的方式诱惑互联网上的用户下载使用。因此企业员工从互联网上下载软件使用存在很大的风险。(4)弱口令危害严重没有口令或使用弱口令的账号是一个普遍的安全隐患。计算机弱口令是指密码过于简单,甚至无设置密码。大多数系统都把口令作为第一层防御线,甚至是惟一的防御线。由于用户的ID是很容易获得的,因此,如果攻击者能够确定一个账号名和密码,就能够进入网络。所以使用弱口令(易猜的口令)、缺省口令和没有口令的账号是很严重的安全问题,都应从系统中清除。弱口令的主要危害是容易被计算机病毒自动扫描出密码,然后将病毒感染到您的计算机;也容易被一些口令扫描工具软件扫描出口令,从而盗走资料,造成商业秘密的泄漏,危及信息安全。互联网3G无线上网企业在内部网络到互联网间设置了防火墙,但部分员工直接通过3G无线上网连接到Internet,绕过了防火墙。图10-1-2:员工擅自拨号接入Internet【全业务组网砖家指引】由91导购网编辑导购网:告诉我们另外,很多系统有内置的或缺省的账号,这些账号在软件的安装过程中通常口令是不变的。攻击者通常会查找并利用这些账号达到破坏系统的目的。因此,所有内置的或缺省的账号都应从系统中移出。其中网络设备如果开启了SNMP网管功能,要注意关注SNMP的默认通信字符串是否已经修改。最常见的默认通信字符串是public(只读)和private(读/写),除此之外还有许多厂商私有的默认通信字符串。在网络配置过程中,许多用户忘记了修改默认的通信字符串,其它用户一旦能连通到这些设备,就可以修改网络参数。(5)系统漏洞(Bug)不及时打补丁程序员在设计系统时,虽然考虑了很多系统安全因素,但是总会有些不足的地方。系统本身的这些脆弱环节,就是通常所说的系统的漏洞。这些漏洞的存在可能被程序的作者秘密使用,也可能被少数人发现并加以利用。各类操作系统的漏洞都不断地被发现并被公开,如果不及时打补丁,将可能被利用。(6)一套完善和精确的权限控制策略对于保证系统的安全性十分重要系统的安全管理机制要不断细化,以建立在用户等级划分、安全管理区域划分及权限等级划分的基础之上。为此一般引入角色的概念。角色是对应于组织中的某一特定职能的岗位,代表了一个特定的权限范畴。角色作为中间桥梁将用户和权限联系起来。安全管理人员根据需要指定各种角色,根据用户的责任和职位再指派其为相应的角色。整个访问控制过程就是访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。角色作为用户与访问权限之间的中介,给用户赋予一定的角色,再把权限赋予角色,用户通过角色获取相应的访问操作权限。在实际应用中,我们建立起用户、角色和权限的关系表,能够快速查找各个角色的用户的相关权限或某个权限的用户的集合。【全业务组网砖家指引】由91导购网编辑导购网:告诉我们(7)完善安全管理,明确责任,安全也要纳入KPI制定信息安全责任部门,将信息安全情况纳入其工作业绩中考核,甚至设置为KPI(KeyPerformanceIndex,关键业绩指标)。安全责任部门首先要制定信息安全的规章制度,然后是定期检查与通报执行情况,如定期检查计算机用户是否使用与办公无关的软件与来路不明的软件。没有安全制度,安全问题就是安全管理部门的责任,有了安全管理相关制度与流程,相当于安全责任分解到相关的计算机系统使用部门,大家共同维护信息的安全。第二节计算机病毒影响计算机网络安全的因素很多,可能是天灾,也可能是人为的,可能是有意的,也可能是无意的。安全的威胁来源主要有三个。黑客破坏、计算机病毒等都属于人为因素。其中最让人头痛的人为因素之一是计算机病毒。计算机病毒是由人为故意编写的,多数病毒可以找到作者信息和产地信息,通过大量的资料分析统计来看,病毒作者主要情况和目的是:一些天才的程序员为了表现自己和证明自己的能力,处于对上司的不满,为了好奇,为了报复,为了祝贺和恶作剧,为了得到控制口令,为了软件拿不到报酬预留的陷阱等。当然也有因政治,军事,宗教,民族。专利等方面天灾:如不可控制的自然灾害人为因素:分为有意和无意两种类型系统本身原因::如计算机与网络系统的硬件故障等用户1用户3用户4用户5角色1角色2角色3角色4角色N权限1权限2权限3权限4用户2用户组1用户组2角色是一些权限的集合。每个用户可以充当不同的角色。图10-1-3:角色管理权限N【全业务组网砖家指引】由91导购网编辑导购网:告诉我们的需求而专门编写的,其中也包括一些病毒研究机构和黑客的测试病毒。计算机病毒(ComputerVirus)在《
本文标题:(10.0)网络安全与网络管理【全业务组网砖家指引】
链接地址:https://www.777doc.com/doc-5155841 .html