中小型企业网络的安全策略.pdf

趔 生筮2 期煤芷遮i 土3 2 北京煤炭设计研究院 集团 赵俊强 摘要主要介绍中小型企业网络的安全规划和在实际使用时需采取的安全策略。 关键词企业网络安全策略 近年来，随着网络技术的飞速发展，中小型企业网络 迅速普及，网络安全成为日常网络管理的中心问题。网络 的安全规划和在实际使用时采取的安全策略，应根据网络 的实际情况制定。 1 制定安全策略的原则 所谓的网络安全是指为了保护网络不受来自网络内 外的各种危害而采取的防范措施。网络的安全策略就是 针对网络的实际情况 被保护的信息价值和被攻击危险 性 ，在网络管理的整个过程中，对各种网络安全采取的保 护措施。网络的安全策略可以说是在一定条件下的成本 和效率的平衡。虽然网络的具体应用环境不同，但在制定 安全策略时应遵循的一些总的原则。 1 系统性原则网络的安全管理是一个系统化的工 作，必须考虑整个网络的各个方面。在制定安全策略时， 应全面考虑网络上各类用户、各种设备、各种情况，有计 划、有准备地采取相应的策略。任何一点疏漏都会造成整 个网络安全性的降低。 2 简单性原则网络用户越多，网络管理人员越多， 网络拓扑越复杂，采用网络设备种类和软件种类越多，网 络提供的服务和捆绑的协议越多，出现安全漏洞的可能性 就越大，出现安全问题后找出问题原因和责任者的难度也 越大。安全的网络是相对简单的网络，目前最不安全的网 络可以说是I n t e H l e t 。 3 适应性原则安全策略是在一定时期和条件下采 取的安全措施。由于用户不断增加，网络规模不断扩大， 网络技术的发展和变化也很快，而安全措施是防范性的、 持续的，所以制定的安全措施必须适应网络发展和环境变 化，与网络的实际应用环境相结合。 2 网络规划时的安全策略 在网络规划时最好将网络的安全性考虑进去，一些安 全策略也应在网络规划时实施。 1 明确网络安全的责任人和安全策略的实施者。对 于中小型企业网络来说，网络管理员可以是网络安全责任 人。 2 对中小型企业的局域网应将网络上的公用服务器 和主交换设备安置在一间中心机房内集中管理。 3 网络规划应考虑容错和备份。安全策略不可能保 证网络绝对安全和硬件不出故障。网络的主备份系统应 位于中心机房。 4 如果企业网络与I m 唧烈有固定连接 静态的I P 地 址 ，应在网络和I n 把n l e t 之间安装防火墙。 3 网络管理员的安全策略 对于中小型企业网络，网络管理员要承担安全管理员 的角色。网络管理员采取的安全策略，最重要的是保证服 务器的安全和分配好各类用户的权限。 1 网络管理员须了解整个网络中的重要公共数据 限制写 和机密数据 限制读 是哪些，在哪儿，谁使用，属 于哪些人，丢失或泄密会造成怎样的损失。将这些重要数 据集中在中心机房的服务器上。 2 定期对各类用户进行安全培训。 3 设置服务器的B 1 0 6 ，不允许从可移动的存储设备 软驱、光驱、珊、S C I S 设备 启动。 4 通过B 1 0 S 设置软驱无效，并设置B I O S 口令。防 止非法用户利用控制台获取敏感数据，以及由软驱感染病 毒到服务器。 5 取消服务器上不用的服务和协议种类。网络上的 万方数据 3 塞堪芷遮让塑 生筮2 翅 服务和协议越多安全性越差。 6 系统文件和用户数据文件分别存储在不同的卷 上，方便日常的安全管理和数据备份。 7 管理员账号仅甩于网络管理，不在任何客户机上 使用管理员账号。对属于A d r I l i 血s Ⅱa _ 【o r 组和备份组的成员 用户要特别慎重。 8 鼓励用户将数据保存到服务器上。不建议用户在 本地硬盘上共享文件。 9 限制可登录到有敏感数据的服务器的用户数。在 出现问题时可以缩小怀疑范围。 1 0 一般不直接给用户赋权，而通过用户组分配用户 权限。 1 1 新增用户时分配一个口令，并控制用户“首次登 录必须更改口令”，且最好新设置成的口令不低于6 个字 符，以杜绝安全漏洞。 3 ．1 针对提供I n t e m e t 访问服务网络的策略 1 文件服务器不与h t e n l e t 直接连接，设专用代理服 务器；不允许客户机通过M o d e m 连到砷加1 e t ，形成在防火 墙内的连接。 2 可以考虑将对外的w e b 服务器放在防火墙之外， 隔离外界对内的访问以保护内部的敏感数据。 3 对只提供内部访问的服务器和客户机可以采用非 r I ℃P ／I P 协议实现连接，以隔离I n t e m 烈访问。 3 ．2 针对提供远程访问服务的策略 1 设置专门的远程访问服务器，并置于中心机房。 2 对固定的用户最好采取回叫的方式实现远程连 接。 3 对于远程访问的口令采取某种加密鉴别 如 M s C 卧P ，以保证用户口令在远程线路上安全传送。 4 网络用户的安全策略 网络的安全不仅是网络管理员的事，网络上的每个用 户都有责任。网络用户应了解下列安全策略 1 用一个8 位以上的口令。不要将自己的口令告诉 任何人。 2 清楚自己私有数据存储的位置，知道如何备份和 恢复。 3 定期参加网络知识和网络安全的培训，了解网络 安全知识，养成注意安全的工作习惯。 4 尽量不要在本地硬盘上共享文件，因为这将影响 自己的机器安全。应将共享文件存放在服务器上，这样较 安全也可实现共享。 5 设置客户机的B 1 0 S ，不允许从软驱启动。 6 设置有显示的 非黑屏，防止误认为关机 屏幕保 护，并且加上口令保护。 7 当较长时间离开机器时，一定要退出网络。 8 安装启动时的病毒扫描软件。 4 ．1I n t 伽e t 用户需要了解的安全策略 因h t e H l e t 是在网络外部的，访问h 硼e t 有可能将机 器置于不安全的环境，需要在上述安全策略基础上进一步 采取以下安全策略 1 确认你的机器没有安装“文件和打印机共享”服 务。因为I n t 锄e t 上的黑客，有机会通过该服务获取和共 享文件，从而可能造成对局部数据及网络安全的威胁。 2 不要通过M o d e m 直接连接I n t 朗1 e t 。 3 不要下载安装未经安全认证的软件和插件。 4 若发出的电子邮件未加密，内容则可能泄漏。收 到的电子邮件不能确认足由寄件人发出。对特别机密的 文件和具有法律效力的文件，请加密发送和使用数字认证 确认寄件人。 4 ．2 远程访问用户需了解的安全策略 网络上的远程访问用户除要了解上面两类用户的安 全策略，还要遵循下列安全策略 1 在局域网和远程登录时分别使用不同的用户账号 和口令。因有些方式的远程登录 如‰ 账号和口令没 有加密，有可能被截获。 2 不用任何未经网络安全管理员确认的远程访问软 件。 3 最好将拨入时间、连接时间和电话号码告知网络 安全管理员。 4 不要远程拨入未经网络安全管理员确认的机器， 尤其是该机器连接在1 1 1 _ t e H l e t 上。 所有的策略总结为两条保护好中心服务器；保护好 自己的口令。安全策略的选择完全取决于被保护信息的 价值，应权衡这些因素后，制定出恰如其分的解决方案。 目前，我国对计算机网络安全产品的认证研究刚刚开 始，还没有对计算机安全发布权威性的标准方案。因此， 需要企业自己制定出网络安全的方案。 责任编辑马光辉 万方数据