浅析有线电视中心网络安全管理问题
摘要:本文分析了梨树县十家堡镇有线电视中心网络的安全管理
所涉及的问题,根据本身的工作实际介绍了对于网络内外的供电设
备系统,计算机病毒防治,防火墙技术等问题采取的安全管理措施。
关键词:网络安全 防火墙 数据库 病毒
中图分类号:tn943.6 文献标识码:a 文章编号:
1007-9416(2012)08-0168-01
当今许多的单位都广泛的使用信息技术,特别是网络技术的应用
越来越多,而宽带接入已经成为单位内部计算机网络接入国际互联
网的主要方式。而与此同时,因为计算机网络特有的开放性,单位
的网络安全问题也随之而来,由于安全问题给每个单位造成了相当
大的损失。因此,预付和检测网络设计的安全问题和来自国际互联
网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
1、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全
是一个十分复杂的问题,它的划分大体上可以分为内网和外网。外
部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访
问,破坏数据的完整性,拒绝服务攻击和利用网络,网页浏览和电
子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防
范内部网。因为内部网安全措施对网络安全的意义更大。据调查,
在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的
安全问题主要体现在:物理层的安全,资源共享的访问控制策略,
网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问
和数据灾难性破坏。
2、安全管理措施
综合以上对于网络安全问题,我中心采取如下的措施:
2.1 针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和
访问控制。防火墙可以对所有的访问进行严格控制(允许,禁止,
报警)防火墙可以建设,控制和更改在内部和外部网络之间流动的
网络通信; 用来加强网络之间的访问控制,防止外部网络用户以非
法手段通过外部网络进入内部网络,访问内部网络资源,从而保护
内部网络操作环境。它的优点:(1)集中的网络安全;(2)可作为中
心“扼制点”;(3)产生安全报警;(4)监视并记录internet 的使
用;(5)nat的位置;(6)www和ftp 服务器的理想位置。但防火墙不
可能完全防止有些新的攻击或那些不经过防火墙的其他攻击。为
此,中心选用了realsecure system agent和network engine.其
中,realsecure system agent是一种基于主机的实时入侵检测产
品,一旦发现对主机的入侵,realsecure 可以中断用户进程和挂起
用户账户来阻止进一步入侵,同时它还会发出警报,记录事件等以
及执行用户自定义动作。
2.2 针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷
击。本中心采用二路供电的措施,并且有配电箱后面接上稳压器和
不间断电源。所有的网络设备都放在机箱中,所以的机箱都必须有
接地的设计,在机房安装的时候必须按照接地的规定做工程; 对于
供电设备,也必须做好接地的工作。这样就可以防止静电对设备的
破坏,保证网内硬件的安全。
2.3 针对病毒感染的问题
网络病毒可以通过电子邮件,使用盗版光盘等传播途径潜入内部
网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在
极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息
泄露,文件丢失,死机等不安全因素。防病毒解决方案体系结构中
用于降低或消除恶意代码; 广告软件和间谍软件带来的风险的相关
技术。我单位使用企业网络版杀毒软件,(symantec antivirns)
并控制写入数据的安全性,服务器的安全性,以及在客户端安装由
奇虎安全卫士之类来防止广告软件和间谍软件。
2.4 针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,
安全的配置是首要的。对于本中心来说主要需要2个方面的配置:
服务器的操作系统全配置和数据库(sql server2000)的安全配置。
2.4.1 操作系统(windows2003) 的安全配置
(1)系统升级,打操作系统补丁,尤其是iis 6.0补丁。(2)禁止
默认共享。(3)打开管理工具一本地安全策略,在本地策略一安全
选项中,开启不显示上次的登录用户名。(4)禁用tcp/ip上的
netbios 。(5)停掉guest 账户,并给guest 加一个异常复杂的密码。
(6)关闭不必要的端口。
2.4.2 数据库(sql server2000)的安全配置
(1)安装完sql server2000数据库上微软网站打最新的sp4补丁。
(2)使用安全的密码策略。设置复杂的sa 密码。(3)在ipsec 过滤
拒绝掉1434端口的udp 通讯,可以尽可能的隐藏你的sql server 。
(4)使用操作系统自己的ipsec 可以实现ip 数据包的安全性。
2.5 管理员的工具
网络管理员还要准备一些针对网络监控的管理工具,通过这些工
具来加强对网络安全的管理。tcp/ip协议的探测工具。查看和修改
网络中的tcp/ip协议的有关配置,netstat, 利用该工具可以显示
有关统计信息和当前tcp/ip网络连接的情况,用户或网络管理人
员可以得到非常详尽的统计结果。另外本中心还采用solarwinds
engineer ’’s edi-tion toolset.它的用途十分广泛,涵盖了从
简单,变化的ping 监控器及子网计算器(subnet calculators)到
更为复杂的性能监控器和地址管理功能。以及其他附加网络管理工
具。sniffer pro能够了解本机网络的使用情况,它使用流量显示
和图表绘制功能在众多网管软件中最为强大最为灵活,也就是说它
可以监听到来自于其他计算机发往另外计算机的数据。当然很多混
杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量
的监听设置才能够进行高级混杂模式监听。
除了这五个措施以外,还有不少其他的措施加强了安全问题的管
理:制订相应的机房管理制度、软件管理制度操作管理规程和在紧
急情况下系统如何尽快恢复的应急措施,使损失减至最小; 建立人
员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授
权。
网络安全是一个系统工程,包含多个层面,因此安全隐患是不可
能完全消除的,但是通过各种有力措施,却可以将其减到最小程度。
所以需在网络安全问题方面不断探索,使网络建设和应用两方面相
互促进形成良性循环。
浅析有线电视中心网络安全管理问题
摘要:本文分析了梨树县十家堡镇有线电视中心网络的安全管理
所涉及的问题,根据本身的工作实际介绍了对于网络内外的供电设
备系统,计算机病毒防治,防火墙技术等问题采取的安全管理措施。
关键词:网络安全 防火墙 数据库 病毒
中图分类号:tn943.6 文献标识码:a 文章编号:
1007-9416(2012)08-0168-01
当今许多的单位都广泛的使用信息技术,特别是网络技术的应用
越来越多,而宽带接入已经成为单位内部计算机网络接入国际互联
网的主要方式。而与此同时,因为计算机网络特有的开放性,单位
的网络安全问题也随之而来,由于安全问题给每个单位造成了相当
大的损失。因此,预付和检测网络设计的安全问题和来自国际互联
网的黑客攻击以及病毒入侵成为网络管理员一个重要课题。
1、网络安全问题
在实际应用过程中,遇到了不少网络安全方面的问题。网络安全
是一个十分复杂的问题,它的划分大体上可以分为内网和外网。外
部网的安全问题主要集中在入侵方面,主要的体现在:未授权的访
问,破坏数据的完整性,拒绝服务攻击和利用网络,网页浏览和电
子邮件夹带传播病毒。但是网络安全不仅要防范外部网,同时更防
范内部网。因为内部网安全措施对网络安全的意义更大。据调查,
在已知的网络安全事件中,约70%的攻击是来自内部网。内部网的
安全问题主要体现在:物理层的安全,资源共享的访问控制策略,
网内病毒侵害,合法用户非授权访问,假冒合法用户非法授权访问
和数据灾难性破坏。
2、安全管理措施
综合以上对于网络安全问题,我中心采取如下的措施:
2.1 针对与外网的一些安全问题
对于外网造成的安全问题,使用防火墙技术来实现二者的隔离和
访问控制。防火墙可以对所有的访问进行严格控制(允许,禁止,
报警)防火墙可以建设,控制和更改在内部和外部网络之间流动的
网络通信; 用来加强网络之间的访问控制,防止外部网络用户以非
法手段通过外部网络进入内部网络,访问内部网络资源,从而保护
内部网络操作环境。它的优点:(1)集中的网络安全;(2)可作为中
心“扼制点”;(3)产生安全报警;(4)监视并记录internet 的使
用;(5)nat的位置;(6)www和ftp 服务器的理想位置。但防火墙不
可能完全防止有些新的攻击或那些不经过防火墙的其他攻击。为
此,中心选用了realsecure system agent和network engine.其
中,realsecure system agent是一种基于主机的实时入侵检测产
品,一旦发现对主机的入侵,realsecure 可以中断用户进程和挂起
用户账户来阻止进一步入侵,同时它还会发出警报,记录事件等以
及执行用户自定义动作。
2.2 针对网络物理层的稳定
网络物理层的稳定主要包括设备的电源保护,抗电磁干扰和防雷
击。本中心采用二路供电的措施,并且有配电箱后面接上稳压器和
不间断电源。所有的网络设备都放在机箱中,所以的机箱都必须有
接地的设计,在机房安装的时候必须按照接地的规定做工程; 对于
供电设备,也必须做好接地的工作。这样就可以防止静电对设备的
破坏,保证网内硬件的安全。
2.3 针对病毒感染的问题
网络病毒可以通过电子邮件,使用盗版光盘等传播途径潜入内部
网。网络中一旦有一台主机受病毒感染,则病毒程序就完全可能在
极短的时间内迅速扩散,传播到网络上的所有主机,可能造成信息
泄露,文件丢失,死机等不安全因素。防病毒解决方案体系结构中
用于降低或消除恶意代码; 广告软件和间谍软件带来的风险的相关
技术。我单位使用企业网络版杀毒软件,(symantec antivirns)
并控制写入数据的安全性,服务器的安全性,以及在客户端安装由
奇虎安全卫士之类来防止广告软件和间谍软件。
2.4 针对应用系统的安全
应用系统的安全主要面对的是服务器的安全,对于服务器来说,
安全的配置是首要的。对于本中心来说主要需要2个方面的配置:
服务器的操作系统全配置和数据库(sql server2000)的安全配置。
2.4.1 操作系统(windows2003) 的安全配置
(1)系统升级,打操作系统补丁,尤其是iis 6.0补丁。(2)禁止
默认共享。(3)打开管理工具一本地安全策略,在本地策略一安全
选项中,开启不显示上次的登录用户名。(4)禁用tcp/ip上的
netbios 。(5)停掉guest 账户,并给guest 加一个异常复杂的密码。
(6)关闭不必要的端口。
2.4.2 数据库(sql server2000)的安全配置
(1)安装完sql server2000数据库上微软网站打最新的sp4补丁。
(2)使用安全的密码策略。设置复杂的sa 密码。(3)在ipsec 过滤
拒绝掉1434端口的udp 通讯,可以尽可能的隐藏你的sql server 。
(4)使用操作系统自己的ipsec 可以实现ip 数据包的安全性。
2.5 管理员的工具
网络管理员还要准备一些针对网络监控的管理工具,通过这些工
具来加强对网络安全的管理。tcp/ip协议的探测工具。查看和修改
网络中的tcp/ip协议的有关配置,netstat, 利用该工具可以显示
有关统计信息和当前tcp/ip网络连接的情况,用户或网络管理人
员可以得到非常详尽的统计结果。另外本中心还采用solarwinds
engineer ’’s edi-tion toolset.它的用途十分广泛,涵盖了从
简单,变化的ping 监控器及子网计算器(subnet calculators)到
更为复杂的性能监控器和地址管理功能。以及其他附加网络管理工
具。sniffer pro能够了解本机网络的使用情况,它使用流量显示
和图表绘制功能在众多网管软件中最为强大最为灵活,也就是说它
可以监听到来自于其他计算机发往另外计算机的数据。当然很多混
杂模式下的监听是以一定的设置为基础的,只有了解了对本机流量
的监听设置才能够进行高级混杂模式监听。
除了这五个措施以外,还有不少其他的措施加强了安全问题的管
理:制订相应的机房管理制度、软件管理制度操作管理规程和在紧
急情况下系统如何尽快恢复的应急措施,使损失减至最小; 建立人
员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授
权。
网络安全是一个系统工程,包含多个层面,因此安全隐患是不可
能完全消除的,但是通过各种有力措施,却可以将其减到最小程度。
所以需在网络安全问题方面不断探索,使网络建设和应用两方面相
互促进形成良性循环。