企业网络安全管理的方法有哪些
今天小编就要跟大家讲解下企业网络安全管理~那么对此感兴趣的网友可以多来了解了解下。下面就是具体内容!!!
企业网络安全管理(小编这里就以企业的IT设备管理为例子)
1 概述
随着互联网的高速发展和IT网络设备的更新,IT网络设备技术的成熟应用使计算机网络深入到人们生活的各个方面。网络带给人们诸多好处的同时,也带来了很多隐患。企业面临着信息外泄,服务器遭受黑客攻击,大量数据遭受篡改,特别是从事电子商务的企业,信息的安全问题成了瓶颈问题。随着企业网络中安全设备使用的增多,相应的使用设备的管理变得更加复杂。
而企业的信息管理者和信息用户对网络安全认识不足,他们把大量的时间和精力用于提升网络的性能和效率,结果导致了黑客攻击、恶意代码、邮件炸弹等越来越多的安全威胁。为了防范各种各样的安全问题,本文将从企业内部的IT设备产品入手,对企业的网络安全进行研究。
2 企业IT设备的定义和分类概述
企业IT设备其实就是网络互联设备,就是在网间的连接路径中进行协议和功能的转换,它具有很强的层次性。遵循OSI模型,在OSI的每一层对应不同的IT设备产品,每层IT设备产品用于执行某种主要功能,并具有自己的一套通信指令(协议),相同层的IT设备之间共享这些协议。
企业IT设备主要分为交换机、路由器、防火墙。交换机就是一种在通信系统中完成信息交换的功能,交换机拥有一条很高带宽的背部总线和内部交换矩阵,交换机的所有端口都挂接在这条背部总线上,制动电路收到数据包后,处理端口会查找内存中的地址对照表以确定目的的网卡挂接在哪个端口上,通过内部交换矩阵迅速将数据包传送到目的端口。路由器就是一种连接多个网络或网段的网络设备,它能将不同网络或网段之间的数据信息进行翻译,使它们相互读懂对方的数据,从而构成一个更大的网络。
其功能是对用户提供最佳的通信路径,利用路由表查找数据包从当前位置到目的地址的正确路径。防火墙就是隔离在本地网络和外界网络之间的一道防御系统,防火墙可使用内部网络与因特网之间或者与其他外部网络相互隔离、限制网络互访,以保护企业内部网络,其主要功能是隔离不同的网络,防止企业内部信息的泄露;强化网络安全策略;包过滤和流量控制及网络地址转换等。
3 企业IT设备网络安全管理模式研究
在企业IT设备网络安全管理中,网络管理安全模式包括以下三种:
第一,安全管理PC直接与安全设备进行连接是最常见的,也就是传统的对网络安全设备要进行配置管理就必须把管理的计算机直接连接到安全设备上,常见的是将安全管理PC的串口与安全设备的CONSOLE口连接,然后在PC机上运行终端仿真程序,如Windows系统中的超级终端或者使用SecureCRT应用程序。然后在终端仿真程序上建立新连接,选择实际连接安全设备时,使用的安全管理PC上的串口,配置终端通信参数,安全设备进行上电自检,系统自动进行配置,自检结束后提示用户键入回车,直到出现命令行提示符。然后就可键入命令,配置安全设备或者查看其运行状态。
但对于不同设备可能会有不同的设置,例如对于防火墙,联想KingGuard 8000的连接参数就和上面不一致,对于这种情况我们可以采用WEB方式管理。就是用网线连接安全管理设备和计算机上的网卡接口,同时对管理计算机和安全设备的管理接口的IP地址进行配置,以便让它们位于同一个网段。开启安全设备的本地SSH服务,并且允许管理账号使用SSH。
这是因为对大多数安全设备的WEB管理都是通过SSH连接设备的,这样安全管理PC和安全设备之间传输的数据都是通过加密的,安全性比较高。在安全管理PC的浏览器地址栏中输入https://192.168.1.1回车,输入用户名和密码后就可登陆到网络安全设备的WEB管理界面,对其参数和性能进行配置。
第二,安全管理PC通过交换机管理安全设备,只需把安全管理PC直接连接到交换机上,PC和安全设备就都位于同一网段中。除了采用WEB方式对安全设备进行管理配置外,还可以使用Telnet方式管理。用这种方式对安全设备进行管理时,必须首先保证安全管理PC和安全设备之间有路由可达,并且可以用Telnet方式登录到安全设备上,也可以采用SSH方式管理。当用户在一个不能保证安全的网络环境中时,却要远程登录到安全设备上。这时,SSH特性就可以提供安全的信息保障以及认证功能,起到保护安全设备不受诸如IP地址欺诈、明文密码截取等攻击。
第三,通过安全中心服务器管理安全设备,就是把“安全管理计算机”升级成了“安全中心服务器”。在服务器上就可以对网络中所有的安全设备进行管理配置,而不用再把安全管理计算机逐个的连接到安全设备或安全设备所在VLAN的交换机上。在这种管理模式中,除了不能直接连接到安全设备的CONSOLE口上对其进行管理配置外,WEB、Telnet和SSH在安全中心服务器上都可以使用。
总之,以上三种网络安全设备的管理模式主要是根据网络的规模和安全设备的多少来决定使用哪一种管理模式。三种模式之间没有完全的优劣之分。若是网络中只有一两台安全设备,显然采用第一种模式比较好,只需要一台安全管理PC就可以,若是采用架设安全中心服务器的话就有些得不偿失。如果安全设备较多,并且都分布在不同的网段,那选择第二种模式即可,用两三台安全管理PC管理安全设备,比架设两台服务器还是要经济很多。若是安全设备很多就采用第三种模式,它至少能给网络管理员节省很多的时间,因为在一台服务器上就可以对所有的安全设备进行管理。
4 企业IT设备网络安全应用研究
企业的网络拓扑结构比较复杂、网络节点繁多,这就要求企业需要有一套行之有效的IT运维管理模式。IT运维管理是企业IT部门采用相关的方法、技术、制度、流程和文档等,对IT使用人员、IT业务系统和IT运行环境(软硬件环境和网络环境)进行综合的管理以达到提升信息化项目使用,可起到提高IT运维人员对企业网络故障的排查效率。接下来通过下面两个实例来验证:
4.1 企业内部ARP断网攻击
ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗,能够在网络中产生大量的ARP通信量使网络阻塞,攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中IP-MAC列表造成网络中断或中间人攻击。基本原理就是在局域网中,假如有一台计算机感染ARP木马,则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其他计算机的通信信息,并因此造成网内其他计算机的通信故障。
ARP攻击源向电脑用户1发送一个伪造的ARP响应,告诉电脑用户1,电脑用户2的IP地址192.168.0.2和对应的MAC地址是00-aa-00-62-c6-03,电脑用户1信以为真,将这个对应关系写入自己的ARP缓存表中,以后发送数据时,将本应该发往电脑用户2的数据发送给了攻击者。同样的,攻击者向电脑用户2也发送一个伪造的ARP响应,告诉电脑用户2。
电脑用户1的IP地址192.168.0.1对应的MAC地址是00-aa-00-62-c6-03,电脑用户2也会将数据发送给攻击者。至此攻击者就控制了电脑用户1和电脑用户2之间的流量,它可以选择被动地监测流量,获取密码和其他涉密信息,也可以伪造数据,改变电脑用户1和电脑用户2之间的通信内容。
4.2 非法DHCP服务器的快速定位
在DHCP的选择Request过程中,网络上可能有DHCP服务器都会对Discover的广播回应,但新加计算机只选择最先回应的所取得的IP地址。并与DHCP服务器再次确认要用此IP。如果网络上有多个可提供IP地址的DHCP服务器,新加计算机会选择最先回应广播的DHCP服务器所提供的IP地址,但现实中往往非法DHCP服务器回应广播速度比合法DHCP服务器快。
用户电脑发出请求IP广播的时候,非法DHCP服务器和DHCP服务器都会向用户电脑提供一个IP地址给用户电脑使用。当非法DHCP服务器Request速度比DHCP服务器快时,那么这些用户电脑得到的IP也一定是非正常IP,这就导致这些用户电脑无法正常使用Internet。
企业网络管理人员可以通过检测提供IP的DHCP服务器MAC地址,结合网络和电脑资产登记来快速找到非法DHCP是什么设备、归属什么部门。通过上面两个实例,有效地预防网络攻击对于企业说是非常重要的,可以提高IT人员排除故障的效率,确保企业内部网络更加安全。
5 结语
企业IT设备网络安全问题主要是利用网络管理措施保证网络环境中数据的机密性、完整性和可用性。确保经过网络传送的信息,在到达目的地时没有任何增加、改变、丢失或被非法读取。而且要从以前单纯的以防、堵、隔为主,发展到现在的攻、防结合,注重动态安全。在网络安全技术的应用上,要注意从正面防御的角度出发,控制好信息通信中数据的加密、数字签名和认证、授权、访问等。
而从反面要做好漏洞扫描评估、入侵检测、病毒防御、安全报警响应等。要对网络安全有一个全面的了解,不仅需要掌握防护,也需要掌握检测和响应等各个环节。