怎样保证局域网安全
随着企业上网的迅猛发展,网络安全问题变得越来越重要,作为一个上网企业,必须对网络安全采取一定的措施。今天带来了一些方法,要提高局域网的安全,可以使用以下的方法:
对重要资料进行备份
要维护企业局域网的安全, 首先必须对重要资料进行备份,以预防各种软硬件故障、病毒的侵袭和黑客的破坏等导致系统崩溃而遭受损失。
对保护数据来说,选择功能完善、使用灵活的备份软件是必不可少的。参考各种备份软件,选择ARCServe与CA的防病毒软件InocuLAN,配合CA的灾难恢复软件,便能较全面地保护数据的安全。
在网络内部使用代理网关
使用代理网关使得网络数据包不能直接在内外网络之间进行。内部计算机必须通过代理网关访问Internet,这样容易在代理服务器上对内部网络计算机访问外界计算机进行限制。由于代理服务器两端采用不同协议标准也可以直接阻止外界非法入侵。还有,代理服务的网关可对数据封包进行验证和对密码进行确认等安全管制。
设置防火墙
1.选择适当的防火墙,针对小型企业局域网,可从BlackICE、LockDown2000、ZoneAlarm、Norton Internet Securitv2001、PCcillin2001、天网个人防火墙2.44等选择合适的个人防火墙。
2. 可选择Cisco 805路由器,其路由器中都有内置的IOS防火墙以解决安全问题,并采用Cisco交换机可视化管理器(CVSM)进行网络管理,使用Network Management software 网管软件等措施对网络进行管理。
信息保密防范
1.充分利用网络操作系统提供的保密措施。以Windows为例,进行用户名登录注册,设置登录密码;设置目录和文件访问权限和密码,以控制用户只能操作什么样的目录和文件,或设置用户级访问控制;通过主机访问Internet。为了安全起见,可对主机的网络属性进行设置,去掉TCP/IP协议和其它协议中的“Microsoft网络上的文件与打印机共享”和“Microsoft网络用户”的绑定,其它计算机也可进行同样的设置,且可去掉TCP/IP协议中的绑定。若使用Windows2000,可使用其自带的一个Routing & Remote Access工具,设定输入ICMP代码255丢弃可防ICMP的风暴攻击和碎片攻击。
2.加强数据库的信息保密防护。网络中的数据组织形式有文件和数据库两种。文件组织形式的数据缺乏共享性,现已成为网络存储数据的主要形式。由于操作系统对数据库没有特殊的保密措施,而数据库的数据以可读的形式存储其中,所以数据库的保密需采取另外的方法。如充分利用Office文档的密码进行保密等。
3.针对计算机及其外部设备和网络部件的泄密渠道,有电磁泄露、非法终端、搭线窃取、介质的剩磁效应等,可以采取相应的保密措施。
4.电子邮件是企业传递信息的主要途径,因此,必须对电子邮件进行加密处理,可安装网盾或手写的数码签名onSign2.0等工具软件。
其它方面
计算机网络系统的安全威胁主要来自黑客攻击、计算机病毒和拒绝服务(DoS)攻击三个方面,则需采取相应的措施:
1.对付“拒绝服务”的攻击有效的方法是只允许跟整个Web站台有关的网络流量进入,就可以预防类似的黑客攻击,尤其是所有的ICMP封包,包括ping指令等,应当都要进行封包的阻绝,因为ICMP的服务大都是被用来发动"拒绝服务"攻击的。
2.安装非法入侵的侦测系统,它可以提升目前防火墙的功能,使两者达到监控网络、执行立即的拦截动作以及分析过滤封包和内容的动作,当窃取者入侵时便可以立刻有效终止。能有效地预防企业机密信息被窃取。
3. 要限制非法用户对网络的访问,防制具有某IP地址的工作站对网络设备的访问权限,防止对网络设备配置的非法修改。网管人员可主动跟踪与预防对网络的非法访问。
4.用LIDS来建立安全系统。LIDS( Linux入侵侦察系统)是Linux内核补丁和系统管理员工具(lidsadm),它加强了Linux内核。
5.网管人员要经常到有关网站上下载最新的补丁程序,以便进行网络维护,同时经常扫描整个内部网络,以发现任何安全漏洞并及时补上,才能做到有备无患。尽量减少企业资源暴露在外部网上的机会和次数,减少黑客进攻的机会。将网络的TCP起时限制在15分钟以内,减少黑客入侵的机会。并扩大连接表,增加黑客填写整个连接表的难度。