『壹』 區域網面臨安全問題有哪些
面臨的安全如下:
一,設置許可權以保證數據安全
為文件或者文件夾指定合適的許可權,可極大地保證數據的安全。
1,只授予用戶最低級別的許可權。如某用戶只需要讀一個文件,那麼僅給其授予對該文件的「讀取」許可權。這可以在一定程度上避免無意修改或刪除重要文件的可能;
2,為個人數據和應用程序文件夾指定許可權時,可以授予「讀取及運行」許可權,可以在一定程度上避免應用程序及數據被無意破壞;
二,用戶安全設置
1,刪除不必要的用戶,去掉所有的Duplicate User 用戶、測試用戶、共享用戶等等。用戶組策略設置相應的許可權,並且經常檢查系統的用戶,刪除已經不再使用的用戶。這些用戶很多時候都是黑客們入侵系統的突破口;
2,把共享文件許可權從everyone 組改成授權用戶:任何時候都不要把共享文件的用戶設置成「everyone」組,包括列印共享,默認的屬性就是「everyone」組的,一定不要忘了改。
三,密碼安全設置
1,使用安全密碼:注意密碼的復雜性,不要過於簡單,還要記住經常修改密碼;
2,設置屏幕保護密碼:這是一個很簡單也很有必要的操作。也是防止內部人員破壞伺服器的一個屏障;
3,開啟密碼策略;注意應用密碼策略,如啟用密碼復雜性要求,設置密碼長度最小值為6位,設置強制密碼歷史為5次,時間為42天;
4,考慮使用智能卡來代替密碼:對於密碼,總是使管理員進退兩難,密碼設置簡單容易收到黑客的攻擊,設置太復雜又容易忘記。如果條件允許,用智能卡來代替復雜的密碼是一個很好的解決方法。
四,系統安全設置
1,使用NTFS格式分區:最好把伺服器的所有分區都改成NTFS格式,NTFS文件系統比FAT、FAT32的文件系統安全得多;
2,運行殺毒軟體:殺毒軟體不僅能殺掉一些著名的病毒,還能查殺大量木馬和後門程序,要注意經常運行程序並升級病毒庫;
3,到微軟網站下載最新的補丁程序:很多網路管理員沒有訪問安全站點的習慣,以至於一些漏洞都出現很久了,還放著伺服器的漏洞不補,給人家當靶子用。訪問安全站點,下載最新的Service Park 和補丁漏洞是保障伺服器的長久安全的唯一方法;
4,關閉默認共享:Windows XP系統安裝好後系統會創建一些隱藏的共享,可以在Cmd下打「NetShare」查看它們。網上有很多關於IPC入侵的文章,都利用默認共享連接。要禁止這些共享,打開「管理工具計算機管理共享文件夾共享」在相應的共享文件夾上按右鍵,點「停止共享」;
5,禁止用戶從軟盤和光碟機啟動系統:一些第三方的工具能通過引導系統來繞過原有的安全機制。如果你的伺服器對安全要求非常高,可以考慮使用可移動硬碟和光碟機。當然,把機箱鎖起來仍不失為一個好方法.
6,利用Windows XP 的安全設置工具來配置安全策略:微軟提供了一套基於MMC(管理控制台)安全配置和分析工具,利用它們可以很方便地配置你的伺服器以滿足你的要求。
五,服務安全設置
1,關閉不必要的埠,用埠掃描器掃描系統已開放的埠,確定系統開放的哪些服務可能引起黑客的入侵。具體方法:打開「網上鄰居――屬性――本地連接――屬性――Internet協議(TCP/IP)――屬性――高級――選項――TCP/IP篩選――屬性」打開「TCP/IP篩選」,添加需要的TCP、UDP協議即可;
2,設置好安全記錄的訪問許可權;安全記錄在默認情況下是沒有保護的,把它設置成只有Administrators和系統帳戶才有權訪問;
3,把敏感文件存放在另外的文件伺服器中:雖然現在伺服器的硬碟容量都很大,還是應該考慮是否有必要把一些重要的用戶數據(文件、數據表、項目文件等)存放在另外一個安全的伺服器中,並且經常備份它們;
4,禁止建立空連接:默認情況下,任何用戶都可以通過空連接連上伺服器,進而枚舉出帳號,猜測密碼,可以通過修改注冊表來禁止建立空連接:即把「HKEY_LOCAL_MACHINE\SYSTERM\CurrentControlSet/Control/Lsa」的RestrictAnonymous值改成「1」即可。
六,關閉縮略圖的緩存
對於安全性至關重要的共享企業工作站或計算機,必須啟用該設置以關閉縮略圖視圖緩存,因為縮略圖緩存可以被任何人讀取。打開注冊表編輯器:找到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\,在右側窗口中新建或編輯名為「NoThumbnailCache」的DWORD值,將鍵值設置為「1」,關閉縮略圖的緩存;如將鍵值設置為「0」,則打開縮略圖的緩存。
七,設置用戶對軟碟機及CD-ROM的訪問許可權
打開注冊表編輯器,找到:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右側窗格中新建或編輯名為「AllocateCDRoms"的DOWORD值,將鍵值設為「1」,僅僅本地登錄可以使用CDRom驅動器;如將鍵值設置為「0」,則只可以被域中的管理員所使用。
在右側中窗格中新建或編輯名為「AllocateFloppies"的DWOED值,將鍵值設置為「1」,僅僅本地登錄可以使用軟盤驅動器;如將鍵值設置為「0」,則只可以被域中的管理員所使用。
八,設置其他用戶對移動存儲器的訪問許可權
打開注冊表編輯器,找到:HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon,在右側窗格中新建或編輯名為「AllocateDASD」的DWOD值,如將鍵值設為「0」,只允許系統管理員可以訪問;如將鍵值設置為「1」,則只允許系統管理員及有許可權的用戶可以訪問;如將鍵值設置為「2」,則只允許系統管理員及互動式用戶可以訪問。
『貳』 區域網的網路安全
區域網的安全:1、物理安全:是指機房的網路環境安全,機房規范化部署,保持溫度和濕度,防止灰塵,抗電磁干擾等,可預防火災等情況發生。
2、網路結構/系統安全:網路拓撲上考慮冗餘鏈路,設置防火牆,設置入侵檢測,設置實時監控系統。①設置嚴格內外網隔離 ②內網不同區域物理隔離,劃分多個不同廣播域。③網路安全檢測 ④網路監控和管控(上網行為管理軟體)
以上簡單列了一些區域網安全的注意事項,還有需要注意的非常多,題主可以多搜搜。我個人感覺這塊比較簡單一點,防火牆裝一個,上網行為管理軟體裝一個 就差不多了。
防火牆 推薦華為或者思科的防火牆,上網行為管理軟體 推薦Lanecat網貓
『叄』 如何保護內網安全
內網是網路應用中的一個主要組成部分,其安全性也受到越來越多的重視。今天就給大家腦補一下內網安全的保護方法。
對於大多數企業區域網來說,路由器已經成為正在使用之中的最重要的安全設備之一。一般來說,大多數網路都有一個主要的接入點。這就是通常與專用防火牆一起使用的「邊界路由器」。
經過恰當的設置,邊緣路由器能夠把幾乎所有的最頑固的壞分子擋在網路之外。如果你願意的話,這種路由器還能夠讓好人進入網路。不過,沒有恰當設置的路由器只是比根本就沒有安全措施稍微好一點。
在下列指南中,我們將研究一下你可以用來保護網路安全的9個方便的步驟。這些步驟能夠保證你擁有一道保護你的網路的磚牆,而不是一個敞開的大門。
1.修改默認的口令!
據國外調查顯示,80%的安全突破事件是由薄弱的口令引起的。網路上有大多數路由器的廣泛的默認口令列表。你可以肯定在某些地方的某個人會知道你的生日。SecurityStats.com網站維護一個詳盡的可用/不可用口令列表,以及一個口令的可靠性測試。
2.關閉IP直接廣播(IP Directed Broadcast)
你的伺服器是很聽話的。讓它做什麼它就做什麼,而且不管是誰發出的指令。Smurf攻擊是一種拒絕服務攻擊。在這種攻擊中,攻擊者使用假冒的源地址向你的網路廣播地址發送一個「ICMP echo」請求。這要求所有的主機對這個廣播請求做出回應。這種情況至少會降低你的網路性能。
參考你的路由器信息文件,了解如何關閉IP直接廣播。例如,「Central(config)#no ip source-route」這個指令將關閉思科路由器的IP直接廣播地址。
3.如果可能,關閉路由器的HTTP設置
正如思科的技術說明中簡要說明的那樣,HTTP使用的身份識別協議相當於向整個網路發送一個未加密的口令。然而,遺憾的是,HTTP協議中沒有一個用於驗證口令或者一次性口令的有效規定。
雖然這種未加密的口令對於你從遠程位置(例如家裡)設置你的路由器也許是非常方便的,但是,你能夠做到的事情其他人也照樣可以做到。特別是如果你仍在使用默認的口令!如果你必須遠程管理路由器,你一定要確保使用SNMPv3以上版本的協議,因為它支持更嚴格的口令。
4.封鎖ICMP ping請求
ping的主要目的是識別目前正在使用的主機。因此,ping通常用於更大規模的協同性攻擊之前的偵察活動。通過取消遠程用戶接收ping請求的應答能力,你就更容易避開那些無人注意的掃描活動或者防禦那些尋找容易攻擊的'目標的「腳本小子」(script kiddies)。
請注意,這樣做實際上並不能保護你的網路不受攻擊,但是,這將使你不太可能成為一個攻擊目標。
5.關閉IP源路由
IP協議允許一台主機指定數據包通過你的網路的路由,而不是允許網路組件確定最佳的路徑。這個功能的合法的應用是用於診斷連接故障。但是,這種用途很少應用。這項功能最常用的用途是為了偵察目的對你的網路進行鏡像,或者用於攻擊者在你的專用網路中尋找一個後門。除非指定這項功能只能用於診斷故障,否則應該關閉這個功能。
6.確定你的數據包過濾的需求
封鎖埠有兩項理由。其中之一根據你對安全水平的要求對於你的網路是合適的。
對於高度安全的網路來說,特別是在存儲或者保持秘密數據的時候,通常要求經過允許才可以過濾。在這種規定中,除了網路功能需要的之外,所有的埠和IP地址都必要要封鎖。例如,用於web通信的埠80和用於SMTP的110/25埠允許來自指定地址的訪問,而所有其它埠和地址都可以關閉。
大多數網路將通過使用「按拒絕請求實施過濾」的方案享受可以接受的安全水平。當使用這種過濾政策時,可以封鎖你的網路沒有使用的埠和特洛伊木馬或者偵查活動常用的埠來增強你的網路的安全性。例如,封鎖139埠和445(TCP和UDP)埠將使黑客更難對你的網路實施窮舉攻擊。封鎖31337(TCP和UDP)埠將使Back Orifice木馬程序更難攻擊你的網路。
這項工作應該在網路規劃階段確定,這時候安全水平的要求應該符合網路用戶的需求。查看這些埠的列表,了解這些埠正常的用途。
7.建立准許進入和外出的地址過濾政策
在你的邊界路由器上建立政策以便根據IP地址過濾進出網路的違反安全規定的行為。除了特殊的不同尋常的案例之外,所有試圖從你的網路內部訪問互聯網的IP地址都應該有一個分配給你的區域網的地址。例如,192.168.0.1 這個地址也許通過這個路由器訪問互聯網是合法的。但是,216.239.55.99這個地址很可能是欺騙性的,並且是一場攻擊的一部分。
相反,來自互聯網外部的通信的源地址應該不是你的內部網路的一部分。因此,應該封鎖入網的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最後,擁有源地址的通信或者保留的和無法路由的目標地址的所有的通信都應該允許通過這台路由器。這包括回送地址127.0.0.1或者E類(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
從網路嗅探的角度看,路由器比集線器更安全。這是因為路由器根據IP地址智能化地路由數據包,而集線器相所有的節點播出數據。如果連接到那台集線器的一個系統將其網路適配器置於混亂的模式,它們就能夠接收和看到所有的廣播,包括口令、POP3通信和Web通信。
然後,重要的是確保物理訪問你的網路設備是安全的,以防止未經允許的筆記本電腦等嗅探設備放在你的本地子網中。
9.花時間審閱安全記錄
審閱你的路由器記錄(通過其內置的防火牆功能)是查出安全事件的最有效的方法,無論是查出正在實施的攻擊還是未來攻擊的徵候都非常有效。利用出網的記錄,你還能夠查出試圖建立外部連接的特洛伊木馬程序和間諜軟體程序。用心的安全管理員在病毒傳播者作出反應之前能夠查出「紅色代碼」和「Nimda」病毒的攻擊。
此外,一般來說,路由器位於你的網路的邊緣,並且允許你看到進出你的網路全部通信的狀況。
『肆』 如何保障區域網內共享文件安全性
在企業的網路中,最常用的功能莫過於「共享文件」了。財務部門需要當月員工的考勤信息,人事部門可能不會親自拿過去,而是在網路上共享;生產部門的生產報表也不會用書面的資料分發,而是放在網路的共享文件夾下,誰需要的話,就自己去查看就可以了,等等。類似的需求還有很多。
可見,共享文件的功能,提高了企業辦公的效率,使企業區域網應用中的一個不可缺的功能。但是,由於共享文件夾管理不當,往往也給企業帶來了一些安全上的風險。如某些共享文件莫名其妙的被刪除或者修改;有些對於企業來說數據保密的內容在網路上被共享,所有員工都可以訪問;共享文件成為病毒、木馬等傳播的最好載體,等等。
一、實時查看誰在訪問我的共享文件
第二步:依次選擇「系統工具」、共享文件夾、打開文件,此時,在窗口中就會顯示本機上的一些共享資源,被哪些電腦在訪問。同時,在這個窗口中還會顯示一些有用的信息,如其打開了哪一個共享文件;是什麼時候開始訪問的;已經閑置了多少時間。也就是所,只要其打開了某個共享文件夾,即使其沒有打開共享文件,也會在這里顯示。
另外,我們有時候可能出於某些目的,如員工可能認為不能讓這個人訪問這個文件。此時,我們就可以直接右鍵點擊這個會話,然後從快捷菜單中選擇關閉會話,我們就可以阻止這個用戶訪問這個共享文件,而不會影響其他用戶的正常訪問。
二、設置共享文件夾時,最好把文件與文件夾設置為只讀
在大部分時候,用戶都只需要查看或者復制這個共享文件即可,而往往不會在共享文件夾上進行直接修改。但是,有些員工為了貪圖方便,就直接以可讀寫的方式共享某個文件夾以及文件。這是非常危險的。
一方面,這些不受限制的共享文件家與共享文件成為了病毒傳播的載體。筆者在工作中發現,有些用戶在共享文件的時候,沒有許可權限制。一段時間後,再去看這個共享文件,發現有些共享文件或者共享文件夾中有病毒或者木馬的蹤影。原來由於這個共享文件夾有寫的許可權,所以,其他用戶如何打開這個文件,恰巧這台電腦中有病毒或者木馬的話,就會傳染給這個共享文件夾。從而讓其他訪問這個共享文件夾的電腦也中招。可見,沒有保護措施的共享文件夾以及裡面的共享文件,已經成為了病毒傳播的一個很好的載體。
另一方面,當數據非法更改時,很難發現是誰在惡作劇。雖然可以通過相關的日誌信息可以查詢到有哪些人訪問過這個共享文件,以及是否進行了更改的動作。但是,光憑這些信息的話,是不能夠知道這個用戶對這個共享文件夾作了哪些更改。有時候,我們打開一個共享文件,會不小心的按了一個空格鍵或者一個字元鍵,不小心的把某個字覆蓋了,等等。這些情況在實際工作中經常會遇到。有時候,即使找到了責任人,他也不知道到底修改了哪些內容。所以,當把共享文件設置為可寫的話,則很難防止員工有意或者無意的更改。
第三,若以可寫的方式共享文件的話,可能無法保證數據的統一。如人事部門以可讀寫的方式共享了一個考勤文件。此時,若財務部門修改了這個文件,而人事部門並不知道。因為財務人員可能忘記告訴了人事部門,此時,就會導致兩個部門之間的數據不一致,從而可能會造成一些不必要的麻煩。而且,由於沒有相關的證據,到時候誰對誰錯,大家都說不清楚。
為了解決這些問題,筆者建議企業用戶,在共享文件夾的時候,最好把文件夾的許可權設置為只讀。若這個共享文件夾有時候其他用戶需要往這個文件夾中存文件,不能設置為只讀。那我們也可以把共享文件夾中的文件設置為只讀。如此的話,由於文件夾為只讀的,則病毒、木馬也就不能夠感染這些文件夾,從而避免成為散播病毒的污染源;而且,也可以防止用戶未經授權的更改,從而導致數據的不統一等等。
三、建立文件共享伺服器,統一管理共享文件的訪問許可權
另外,若把企業的共享文件分散在各個用戶終端管理的話,有一個問題,就是用戶對於共享操作的熟悉程度不同或者安全觀念有差異,所以,很難從部署一個統一的文件共享安全策略。如分散在用戶主機的共享文件,員工一般不會定期對其進行備份,以防止因為意外損害而進行及時恢復;一般也不會設置具體的訪問許可權,如只允許一些特定的員工訪問等等。因為這些操作的話,一方面可能需要一些專業知識,另一方面,設置企業也比較繁瑣。所以,即使我們出了相關的制度,但是,員工一般很難遵守。
所以,筆者建議,在一些有條件的企業,部署一個文件共享伺服器,來統一管理共享文件。採取這種策略的話,有如下好處。
一是可以定時的對共享文件進行備份,從而減少因為意外修改或者刪除而導致的損失。若能夠把共享文件夾都放在文件伺服器上,則我們就可以定時的對文件伺服器上的文件進行備份。如此的話,即使因為許可權設置不合理,導致文件被意外修改或者刪除;有時會,員工自己也會在不經意中刪除不該刪的文件,遇到這種情況的時候,則我們可以通過文件恢復作業,把原有的文件恢復過來,從而減少這些不必要的損失。
二是可以統一制定文件訪問許可權策略。在共享文件伺服器上,我們可以根據各個員工的需求,在文件服務中預先設置一些文件夾,並設置好具體的許可權。如此的話,放到共享文件伺服器中的文件就自動繼承了文件伺服器文件夾的訪問許可權,從而實現統一管理文件訪問許可權的目的。如對於一些全公司都可以訪問的行政通知類文件,我們可以為此設立一個通知類文件夾,這個文件夾只有行政人員具有讀寫許可權,而其他職工都只有隻讀許可權。如此的話,其他員工就不能夠對這些通知進行更改或者刪除。所以,對共享文件夾進行統一的管理,可以省去用戶每次設置許可權的麻煩,從而提高共享文件的安全性。
三是可以統一進行防毒管理。對於共享文件來說,我們除了要關心其數據是否為泄露或者非法訪問外,另外一個問題就是共享文件是否會被病毒感染。病毒或者木馬是危害企業網路安全的第一把殺手,而共享文件又是其很好的載體。若能夠有效的解決共享文件的病毒木馬感染問題,必定可以有效的抑制病毒或者木馬在企業網路中為非作歹。而我們若能夠在企業中統一部署文件伺服器,則我們就可以利用下班的空閑時間,對文件伺服器上的共享文件統一進行殺毒,以保證共享文件伺服器上的文件都是干凈的,沒有被木馬或者病毒所感染,從而避免其成為病毒或者木馬的有效載體。
綜上所述,共享文件夾以及共享文件的安全性問題,是企業網路安全管理中的一個比較薄弱的環節,但是,又是一個十分重要的環節。筆者相信,做好這件工作,必定可以提高企業網路的利用價值,減少網路安全事故。
『伍』 如何做好區域網的安全維護
維護區域網安全1、預防地址沖突
DHCP監聽技 術可以防止非信任DHCP伺服器通過地址沖突的方式,干擾信任DHCP伺服器的工作穩定性。在實際管理網路的時候,我們經常會發現在相同的工作子網中,可 能同時有多台DHCP伺服器存在,這其中有的是網路管理員專門架設的,也有的是無意中接入到網路中的。比方說,ADSL撥號設備可能就內置有DHCP服務 功能,一旦將該設備接入到區域網中後,那麼該設備內置的DHCP伺服器就會自動為客戶端系統分配IP地址。這個時候,經過網路管理員授權的合法DHCP服 務器,就可能與ADSL撥號設備內置的DHCP伺服器發生地址上的沖突,從而可能會對整個區域網的安全性帶來威脅。這種威脅行為往往比較隱蔽,一時半會很 難找到。一旦使用了DHCP監聽技術,我們就可以在區域網的核心交換機後台系統修改IP源綁定表中的參數,並以此綁定表作為每個上網埠接受數據包的檢測 過濾標准,來將沒有授權的DHCP伺服器發送的數據報文自動過濾掉,那樣一來就能有效預防非法DHCP伺服器引起的地址沖突問題了。
維護區域網安全2、預防Dos攻擊
大家知道,一些非常陰險的攻擊者往往會單獨使用Dos攻擊,襲擊區域網或網路中的重要主機系統;要是不幸遭遇Dos攻擊的話,那麼區域網的寶貴帶寬資源 或重要主機的系統資源,就會被迅速消耗,輕則導致網路傳輸速度緩慢或系統反應遲鈍,重則出現癱瘓現象。而要是在核心交換機中使用了DHCP監聽技術的話, 那麼區域網就可以有效抵禦Dos攻擊了,因為Dos攻擊主要是用大量的連接請求沖擊區域網或重要主機系統,來消耗帶寬資源或系統資源的,而DHCP監聽技 術恰好具有報文限速功能,利用這個功能我們可以合理配置許可的每秒數據包流量,這樣就能實現抵禦Dos攻擊的目的了。
維護區域網安全3、及時發現隱患
大家知道,在默認狀態下核心交換機會自動對第二層Vlan域中的DHCP數據報文進行攔截,具體地說,就是在選用中級代理信息選項的情況下,交換機在將客 戶端的上網請求轉發給特定的DHCP伺服器之前,它會自動將埠號碼、入站模塊、MAC地址、Vlan號等信息插入到上網請求數據包中。這個時候,如果結 合介面跟蹤功能,DHCP監聽技術就能夠自動跟蹤DHCP伺服器中地址池裡的所有上網地址,而不會受到單位區域網中跨網段訪問的限制,這么一來就能及時發 現區域網中的一些安全隱患,對於跨網段的DHCP伺服器運行安全也能起到一定程度的防護作用。
維護區域網安全4、控制非法接入
由於任何一種形 式的數據報文,都是通過交換埠完成發送與接收操作的,顯然交換埠的工作狀態與DHCP監聽的效果息息相關。一般來說,我們會將網路管理員授權的合法 DHCP伺服器所連的交換埠設置為DHCP監聽信任埠,或者是將分布層交換機之間的上行鏈路埠設置為DHCP監聽信任埠。對於信任埠來說,交換 機會允許它正常發送或接收所有的DHCP數據報文,這么一來交換機就會只允許合法的DHCP伺服器對客戶端系統的上網請求進行響應,而非法的DHCP服務 器則不能向區域網發送或接收DHCP數據報文。很明顯,通過這種技術手段,就能控制非法的DHCP伺服器接入到單位區域網中了。
區域網安全維護配置
為了有效使用DHCP監聽功能,防護區域網的運行安全,我們需要對該功能進行正確配置,讓其按照實際安全運行需求進行工作。由於DHCP監聽功能主要是通 過建立埠信任關系實現數據過濾目的的,為此我們需要重點配置究竟哪些交換埠是信任埠,哪些交換埠是非信任埠。具體的說,我們需要在交換機中進行 下面幾項安全維護配置操作:
維護區域網安全5、信任配置
這種配置主要就是在合法DHCP伺服器所連交換埠上啟用信任,或者是在分布層或接入層交換機之間的互連埠上啟用信任。如果不對上述重要埠建立信任配 置,那麼普通客戶端系統將無法正常從合法DHCP伺服器那裡接受到有效的上網參數。當然,為了防止普通員工私下搭建DHCP伺服器,威脅合法DHCP服務 器的運行安全,我們有必要將普通客戶端系統所連的交換埠設置為非信任的埠,那樣一來交換機會將來自客戶端系統的提供響應報文自動丟棄掉,此時區域網中 的其他客戶端系統不知道有這台非法DHCP伺服器的存在。
『陸』 怎樣確保區域網安全
一、對重要資料進行備份:
要維護企業區域網的安全, 首先必須對重要資料進行備份,以預防各種軟硬體故障、病毒的侵襲和黑客的破壞等導致系統崩潰而遭受損失。
二、在網路內部使用代理網關:
使用代理網關使得網路數據包不能直接在內外網路之間進行。
三、設置防火牆 :
1.選擇適當的防火牆
2. 可選擇Cisco 805路由器
『柒』 作為區域網的網路安全管理員,應該從哪些方面來確保整個區域網的安全和可靠
綜合性、整體性原則:應用系統工程的觀點、方法,分析網路的安全及具體措施。安全措施主要包括:行政法律手段、各種管理制度(人員審查、工作流程、維護保障制度等)以及專業措施(識別技術、存取控制、密碼、低輻射、容錯、防病毒、採用高安全產品等)。一個 較好的安全措施往往是多種方法適當綜合的應用結果。一個計算機網路,包括個人、設備、軟體、數據等。這些環節在網路中的地位和影響作用,也只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即計算機網路安全應遵循整體安全性原則,根據規定 的安全策略制定出合理的網路安全體系結構。
需求、風險、代價平衡的原則:對任一網路,絕對安全難以達到,也不一定是必要的。對一個網路進行實際額研究(包括任務、性能、結構、可靠性、可維護性等),並對網路面臨的威脅及可能承擔的風險進行定性與定量相結合的分析,然後制定規范和措施,確定本系統的安全策略。
一致性原則:一致性原則主要是指網路安全問題應與整個網路的工作周期(或生命周期)同時存在,制定的安全體系結構必須與網路的安全需求相一致。安全的網路系統設計(包括初步或詳細設計)及實施計劃、網路驗證、驗收、運行等,都要有安全的內容光煥發及措施, 實際上,在網路建設的開始就考慮網路安全對策,比在網路建設好後再考慮安全措施,不但容易,且花費也小得多。
易操作性原則:安全措施需要人為去完成,如果措施過於復雜,對人的要求過高,本身就降低了安全性。其次,措施的採用不能影響系統的正常運行。
分步實施原則:由於網路系統及其應用擴展范圍廣闊,隨著網路規模的擴大及應用的增加,網路脆弱性也會不斷增加。一勞永逸地解決網路安全問題是不現實的。同時由於實施信息安全措施需相當的費用支出。因此分步實施,即可滿足網路系統及信息安全的基本需求,亦可節省費用開支。
多重保護原則:任何安全措施都不是絕對安全的,都可能被攻破。但是建立一個多重保護系統,各層保護相互補充,當一層保護被攻破時,其它層保護仍可保護信息的安全。
可評價性原則:如何預先評價一個安全設計並驗證其網路的安全性,這需要通過國家有關網路信息安全測評認證機構的評估來實現。