分析有線(xiàn)電視中心網(wǎng)絡(luò )安全管理問(wèn)題

【摘要】文章分析了上海嘉定區有線(xiàn)電視中心網(wǎng)絡(luò )的安全管理所涉及的問(wèn)題，并根據本身的工作實(shí)踐介紹了對于網(wǎng)絡(luò )內外的供電設備系統、計算機病毒防治、防火墻技術(shù)等問(wèn)題采取的安全管理措施。

【關(guān)鍵詞】網(wǎng)絡(luò )安全；防火墻；數據庫；病毒；黑客

當今許多的企業(yè)都廣泛的使用信息技術(shù)，特別是網(wǎng)絡(luò )技術(shù)的應用越來(lái)越多，而寬帶接入已經(jīng)成為企業(yè)內部計算機網(wǎng)絡(luò )接入國際互聯(lián)網(wǎng)的主要方式。而與此同時(shí)，因為計算機網(wǎng)絡(luò )特有的開(kāi)放性，企業(yè)的網(wǎng)絡(luò )安全問(wèn)題也隨之而來(lái)，由于安全問(wèn)題給企業(yè)造成了相當大的損失。因此，預防和檢測網(wǎng)絡(luò )設計的安全問(wèn)題和來(lái)自國際互聯(lián)網(wǎng)的黑客攻擊以及病毒入侵成為網(wǎng)絡(luò )管理員一個(gè)重要課題。

一、網(wǎng)絡(luò )安全問(wèn)題

在實(shí)際應用過(guò)程中，遇到了不少網(wǎng)絡(luò )安全方面的問(wèn)題。網(wǎng)絡(luò )安全是一個(gè)十分復雜的問(wèn)題，它的劃分大體上可以分為內網(wǎng)和外網(wǎng)。如下表所示：

由上表可以看出，外部網(wǎng)的安全問(wèn)題主要集中在入侵方面，主要的體現在：未授權的訪(fǎng)問(wèn)，破壞數據的完整性，拒絕服務(wù)攻擊和利用網(wǎng)絡(luò )、網(wǎng)頁(yè)瀏覽和電子郵件夾帶傳播病毒。但是網(wǎng)絡(luò )安全不僅要防范外部網(wǎng)，同時(shí)更防范內部網(wǎng)。因為內部網(wǎng)安全措施對網(wǎng)絡(luò )安全的意義更大。據調查，在已知的網(wǎng)絡(luò )安全事件中，約70%的攻擊是來(lái)自?xún)炔烤W(wǎng)。內部網(wǎng)的安全問(wèn)題主要體現在：物理層的安全，資源共享的訪(fǎng)問(wèn)控制策略，網(wǎng)內病毒侵害，合法用戶(hù)非授權訪(fǎng)問(wèn)，假冒合法用戶(hù)非法授權訪(fǎng)問(wèn)和數據災難性破壞。

二、安全管理措施

綜合以上對于網(wǎng)絡(luò )安全問(wèn)題的初步認識，有線(xiàn)中心采取如下的措施：

（一）針對與外網(wǎng)的一些安全問(wèn)題

對于外網(wǎng)造成的安全問(wèn)題，使用防火墻技術(shù)來(lái)實(shí)現二者的隔離和訪(fǎng)問(wèn)控制。

防火墻是實(shí)現網(wǎng)絡(luò )安全最基本、最經(jīng)濟、最有效的措施之一。防火墻可以對所有的訪(fǎng)問(wèn)進(jìn)行嚴格控制（允許、禁止、報警）。

防火墻可以監視、控制和更改在內部和外部網(wǎng)絡(luò )之間流動(dòng)的網(wǎng)絡(luò )通信；用來(lái)加強網(wǎng)絡(luò )之間訪(fǎng)問(wèn)控制，防止外部網(wǎng)絡(luò )用戶(hù)以非法手段通過(guò)外部網(wǎng)絡(luò )進(jìn)入內部網(wǎng)絡(luò )，訪(fǎng)問(wèn)內部網(wǎng)絡(luò )資源，從而保護內部網(wǎng)絡(luò )操作環(huán)境。所以，安裝防火墻對于網(wǎng)絡(luò )安全來(lái)說(shuō)具有很多優(yōu)點(diǎn)：（1）集中的網(wǎng)絡(luò )安全；（2）可作為中心“扼制點(diǎn)”；（3）產(chǎn)生安全報警；（4）監視并記錄Internet的使用；（5）NAT的位置；（6）WWW和FTP服務(wù)器的理想位置。

但防火墻不可能完全防止有些新的攻擊或那些不經(jīng)過(guò)防火墻的其它攻擊。為此，中心選用了RealSecure System Agent和Network Engine。其中，RealSecure System Agent是一種基于主機的實(shí)時(shí)入侵檢測產(chǎn)品，一旦發(fā)現對主機的入侵，RealSecure可以中斷用戶(hù)進(jìn)程和掛起用戶(hù)賬號來(lái)阻止進(jìn)一步入侵，同時(shí)它還會(huì )發(fā)出警報、記錄事件等以及執行用戶(hù)自定義動(dòng)作。RealSecure System Agent還具有偽裝功能，可以將服務(wù)器不開(kāi)放的端口進(jìn)行偽裝，進(jìn)一步迷惑可能的入侵者，提高系統的防護時(shí)間。Re?鄄alSecure Network Engin 是基于網(wǎng)絡(luò )的實(shí)時(shí)入侵檢測產(chǎn)品，在網(wǎng)絡(luò )中分析可疑的數據而不會(huì )影響數據在網(wǎng)絡(luò )上的傳輸。網(wǎng)絡(luò )入侵檢測RealSecure Network Engine在檢測到網(wǎng)絡(luò )入侵后，除了可以及時(shí)切斷攻擊行為之外，還可以動(dòng)態(tài)地調整防火墻的防護策略，使得防火墻成為一個(gè)動(dòng)態(tài)的、智能的防護體系。

通過(guò)部署入侵檢測系統，我們實(shí)現了以下功能：

對于WWW服務(wù)器，配置主頁(yè)的自動(dòng)恢復功能，即如果WWW服務(wù)器被攻破、主頁(yè)被纂改，系統能夠自動(dòng)識別并把它恢復至事先設定的頁(yè)面。

入侵檢測系統與防火墻進(jìn)行“互動(dòng)”，即當入侵檢測系統檢測到網(wǎng)絡(luò )攻擊后，通知防火墻，由防火墻對攻擊進(jìn)行阻斷。

（二）針對網(wǎng)絡(luò )物理層的穩定

網(wǎng)絡(luò )物理層的穩定主要包括設備的電源保護，抗電磁干擾和防雷擊。

本中心采用二路供電的措施，并且在配電箱后面接上穩壓器和不間斷電源。所有的網(wǎng)絡(luò )設備都放在機箱中，所有的機箱都必須有接地的設計，在機房安裝的時(shí)候必須按照接地的規定做工程；對于供電設備，也必須做好接地的工作。這樣就可以防止靜電對設備的破壞，保證了網(wǎng)內硬件的安全。

（三）針對病毒感染的問(wèn)題

病毒程序可以通過(guò)電子郵件、使用盜版光盤(pán)等傳播途徑潛入內部網(wǎng)。網(wǎng)絡(luò )中一旦有一臺主機受病毒感染，則病毒程序就完全可能在極短的時(shí)間內迅速擴散，傳播到網(wǎng)絡(luò )上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用于降低或消除惡意代碼；廣告軟件和間諜軟件帶來(lái)的風(fēng)險的相關(guān)技術(shù)。中心使用企業(yè)網(wǎng)絡(luò )版殺毒軟件，（例如：Symantec Antivirus等）并控制寫(xiě)入服務(wù)器的客戶(hù)端，網(wǎng)管可以隨時(shí)升級并殺毒，保證寫(xiě)入數據的安全性，服務(wù)器的安全性，以及在客戶(hù)端安裝由奇虎安全衛士之類(lèi)來(lái)防止廣告軟件和間諜軟件。

（四）針對應用系統的安全

應用系統的安全主要面對的是服務(wù)器的安全，對于服務(wù)器來(lái)說(shuō)，安全的配置是首要的。對于本中心來(lái)說(shuō)主要需要2個(gè)方面的配置：服務(wù)器的操作系統（Windows 2003）的安

全配置和數據庫（SQL Server 2000）的安全配置。 1．操作系統（Windows 2003）的安全配置

（1）系統升級、打操作系統補丁，尤其是IIS 6.0補丁。

（2）禁止默認共享。

（3）打開(kāi)管理工具-本地安全策略，在本地策略-安全選項中，開(kāi)啟不顯示上次的登錄用戶(hù)名。

（4）禁用TCP/IP上的NetBIOS。

（5）停掉Guest 帳號，并給guest 加一個(gè)異常復雜的密碼。

（6）關(guān)閉不必要的端口。

（7）啟用WIN2003的自身帶的網(wǎng)絡(luò )防火墻，并進(jìn)行端口的改變。

（8）打開(kāi)審核策略，這個(gè)也非常重要，必須開(kāi)啟。

2． 數據庫（SQL Server 2000）的安全配置

（1）安裝完SQL Server 2000數據庫上微軟網(wǎng)站打最新的SP4補丁。

（2）使用安全的密碼策略

。設置復雜的sa密碼。

（3）在IPSec過(guò)濾拒絕掉1434端口的UDP通訊，可以盡可能地隱藏你的SQL Server。

（4）使用操作系統自己的IPSec可以實(shí)現IP數據包的安全性。

（五）管理員的工具

除了以上的一些安全措施以外，作為網(wǎng)絡(luò )管理員還要準備一些針對網(wǎng)絡(luò )監控的管理工具，通過(guò)這些工具來(lái)加強對網(wǎng)絡(luò )安全的管理。

Ping、Ipconfig/winipcfg、Netstat：

Ping，TCP/IP協(xié)議的探測工具。

Ipconfig/winipcfg，查看和修改網(wǎng)絡(luò )中的TCP/IP協(xié)議的有關(guān)配置，

Netstat，利用該工具可以顯示有關(guān)統計信息和當前TCP/IP網(wǎng)絡(luò )連接的情況 ，用戶(hù)或網(wǎng)絡(luò )管理人員可以得到非常詳盡的統計結果。

SolarWinds Engineer's Edition Toolset

另外本中心還采用SolarWinds Engineer's Edition Toolset。它的用途十分廣泛，涵蓋了從簡(jiǎn)單、變化的ping監控器及子網(wǎng)計算器（Subnet calculators）到更為復雜的性能監控器何地址管理功能?！?/p>

SolarWinds Engineer's Edition Toolset的介紹：

SolarWinds Engineer’s Edition是一套非常全面的網(wǎng)絡(luò )工具庫，包括了網(wǎng)絡(luò )恢復、錯誤監控、性能監控和管理工具等等。除了包含Professional PLUS Edition中所有的工具外，Engineer’s Edition還增加了新的Switch Port Mapper工具，它可以在您的switch上自動(dòng)執行Layer 2和Layer 3恢復。工程師版包含了Solarwinds MIB瀏覽器和網(wǎng)絡(luò )性能監控器（Network Performance Monitor），以及其他附加網(wǎng)絡(luò )管理工具。

Sniffer Pro能夠了解本機網(wǎng)絡(luò )的使用情況，它使用流量顯示和圖表繪制功能在眾多網(wǎng)管軟件中最為強大最為靈活；它能在于混雜模式下的監聽(tīng)，也就是說(shuō)它可以監聽(tīng)到來(lái)自于其他計算機發(fā)往另外計算機的數據，當然很多混雜模式下的監聽(tīng)是以一定的設置為基礎的，只有了解了對本機流量的監聽(tīng)設置才能夠進(jìn)行高級混雜模式監聽(tīng)。

除了上面說(shuō)的五個(gè)措施以外，還有不少其他的措施加強了安全問(wèn)題的管理：

●制訂相應的機房管理制度；

●制訂相應的軟件管理制度；

●制訂嚴格的操作管理規程；

●制訂在緊急情況下系統如何盡快恢復的應急措施，使損失減至最??；

●建立人員雇用和解聘制度，對工作調動(dòng)和離職人員要及時(shí)調整相應的授權。

總之，網(wǎng)絡(luò )安全是一個(gè)系統工程，包含多個(gè)層面，因此安全隱患是不可能完全消除的，但是通過(guò)各種有力措施，卻可以將其減到最小程度。所以需在網(wǎng)絡(luò )安全問(wèn)題方面不斷探索，使網(wǎng)絡(luò )建設和應用兩方面相互促進(jìn)形成良性循環(huán)。