隨著企業(yè)網(wǎng)絡(luò)的普及和網(wǎng)絡(luò)開放性,共享性,互連程度的擴大,網(wǎng)絡(luò)的信息安全問題也越來越引起人們的重視。企業(yè)必須采取統(tǒng)一的安全策略來保證網(wǎng)絡(luò)的安全性。一個完整的安全技術(shù)和產(chǎn)品包括:身份認證、訪問控制、流量監(jiān)測、網(wǎng)絡(luò)加密技術(shù)、防火墻、入侵檢測、防病毒、漏洞掃描等;而造成安全事件的原因則包括技術(shù)因素、管理因素以及安全架構(gòu)設(shè)計上的疏漏等問題。
1、網(wǎng)絡(luò)安全措施
1.1 入侵檢測
IETF將入侵檢測分為四個組件:事件數(shù)據(jù)庫(Event Data Bases),事件產(chǎn)生器(Event Generators),響應(yīng)單元(Response Units)和事件分析器(Event Analyzers)。事件產(chǎn)生器的作用是從整個系統(tǒng)環(huán)境中獲得事件,并向的其他組件提供此事件。事件分析器分析獲得的數(shù)據(jù),并生成分析結(jié)果。響應(yīng)單元是對分析結(jié)果做出處理的功能單元,它可以進行切斷連接、改變屬性等強烈操作,也可能只是簡單報警。事件數(shù)據(jù)庫是存儲中間數(shù)據(jù)和最終數(shù)據(jù)的地方,它可能是復(fù)雜的數(shù)據(jù)倉庫,也可能是簡單的文本文件。
根據(jù)檢測對象不同,入侵檢測可以分為網(wǎng)絡(luò)型和主機型。網(wǎng)絡(luò)型的數(shù)據(jù)源來自于網(wǎng)絡(luò)數(shù)據(jù)包。往往將一臺機器的網(wǎng)卡設(shè)為混雜模式(Promise Mode),對本網(wǎng)段內(nèi)的所有數(shù)據(jù)包進行信息收集和判斷。一般來說,網(wǎng)絡(luò)型入侵檢測肩負著保護全網(wǎng)段的任務(wù)。主機型入侵檢測是以應(yīng)用程序日志、系統(tǒng)日志等作為數(shù)據(jù)源,也可以通過其他方式(如監(jiān)控系統(tǒng)調(diào)用)從主機收集信息并進行分析。主機型入侵檢測主要保護的是本機系統(tǒng),這種系統(tǒng)經(jīng)常運行于被監(jiān)測系統(tǒng)之上,用來監(jiān)測系統(tǒng)內(nèi)正在運行進程的合法性。
入侵檢測系統(tǒng)的核心功能是對事件進行分析,并從中發(fā)現(xiàn)不符合安全策略的行為。從技術(shù)上,入侵檢測分為兩類:一種是基于標志(C Signature—Based),另一種是基于異常情況(Abnormally-Based)。
1.2 防火墻
防火墻是建立在信息安全技術(shù)和通信網(wǎng)絡(luò)技術(shù)基礎(chǔ)上的安全技術(shù),越來越多地被應(yīng)用丁公用網(wǎng)絡(luò)和專用網(wǎng)絡(luò)的環(huán)境之中,尤其廣泛應(yīng)用在Intemet網(wǎng)絡(luò)接入方面。
防火墻是設(shè)置在不同網(wǎng)絡(luò)之間的一系列安全部件的組合,它是不同網(wǎng)絡(luò)之間信息傳輸?shù)奈ǔ鋈肟冢梢愿鶕?jù)企業(yè)的安全策略控制出入網(wǎng)絡(luò)的數(shù)據(jù)流,且本身具有很強的抗攻擊性,它是企業(yè)實現(xiàn)信息和網(wǎng)絡(luò)安的基礎(chǔ)設(shè)施。在邏輯上,防火墻即是限制器、分離器,也是分析器,它有效地監(jiān)控了內(nèi)網(wǎng)和公網(wǎng)之間的任何數(shù)據(jù)活動,為內(nèi)部網(wǎng)絡(luò)安全提供了有效保證。
作為網(wǎng)絡(luò)安全的屏障,防火墻能夠極大地提高內(nèi)部網(wǎng)絡(luò)安全性,通過過濾不安全的數(shù)據(jù)而降低風(fēng)險。由于只有經(jīng)過精心篩選的應(yīng)用數(shù)據(jù)才能通過防火墻,網(wǎng)絡(luò)環(huán)境才變得加更安全。
2、服務(wù)器安全措施
在企業(yè)的機房管理中,只有正確安裝雨I配置操作系統(tǒng),才能提高其在安全方面發(fā)揮的作用。下面以Windows 2003 SERVER的具體設(shè)置為例。
2.1 止確地劃分分區(qū)和邏輯盤
微軟的IIS服務(wù)經(jīng)常被發(fā)現(xiàn)有溢出/泄漏源碼的漏洞,如果把IIS和操作系統(tǒng)放在同一個驅(qū)動器就存在系統(tǒng)文件泄漏,甚至被入侵者遠程獲取管理員權(quán)限的風(fēng)險。以1200硬盤為例,正確的操作系統(tǒng)配置是建立三個邏輯分區(qū),C盤30G,用來安裝操作系統(tǒng)和重要日志文件;D盤40G,安裝IIS服務(wù):E盤50G安裝FTP。這樣,無論FTP或IIS出了安全問題都不會直接影響到操作系統(tǒng)目錄和文件。因為,F(xiàn)TP和IIS往往為外網(wǎng)提供服務(wù),比較容遭受攻擊,而把FTP和IIS分開主要就是為了防止入侵者通過FTP上傳程序并在IIS中運行。
2.2 正確地選擇系統(tǒng)安裝順序
系統(tǒng)管理員要充分重視操作系統(tǒng)安裝順序,不給網(wǎng)絡(luò)黑客留下了可乘之機。Windows2003在安裝過程中有一些順序是一定要注意的。
首先,正確選擇接入網(wǎng)絡(luò)的時機。Windows2003在安裝時有一個系統(tǒng)漏洞,在安裝人員輸入Administrator密碼后,系統(tǒng)就自動建立了ADMIN$共享,但是并沒有使用剛剛錄入的密碼來保護它,而這種情況將一直持續(xù)到系統(tǒng)再次啟動后。在此期間,網(wǎng)絡(luò)上的任何人都可以通過ADMIN$進入服務(wù)器。同時,在安裝過程完成的同時,操作系統(tǒng)中的各種服務(wù)就會自動運行,而此時的服務(wù)器在沒有任何防護下完全暴露在網(wǎng)絡(luò)中,非常容易被入侵。因此,在安裝并完全配置好Windows2003 SERVER之前,一定不要把系統(tǒng)接入網(wǎng)絡(luò)。
其次,注意升級補丁的安裝順序。升級補丁應(yīng)該在操作系統(tǒng)所有應(yīng)用程序都安裝完成之后再進行安裝,因為補丁程序往往要修改/替換某些系統(tǒng)文件,如果先安裝升級補丁再安裝應(yīng)用程序可能會導(dǎo)致文件被覆蓋,使補丁不能起到應(yīng)有的作用。
3、操作系統(tǒng)安全配置
以下同樣以Windows2003 SERVER的具體設(shè)置為例。
3.1 端口配置
端口是連接計算機和外部網(wǎng)絡(luò)的邏輯接口,從系統(tǒng)安全的角度來看,僅打開需要使用的端口會更加安全。配置方法是:在網(wǎng)絡(luò)連接中啟用操作系統(tǒng)自帶的防火墻,并在“例外”選項卡中,添加需要啟用的端口。不過,Windows2003防火墻的端口策略只能設(shè)置打開的端口,不能指定關(guān)閉的端口,這樣對于需要特殊設(shè)置的用戶就比較麻煩,可以使用一些專用的防火墻來實現(xiàn)。
3.2 IIS配置
IIS服務(wù)是微軟服務(wù)器組件中漏洞最多的一個,平均兩三個月就會被發(fā)現(xiàn)一個漏洞,所以IIS服務(wù)的配置是我們關(guān)注的重點,建議采取以下設(shè)置:首先,把操作系統(tǒng)默認安裝在C盤的Metpub目錄徹底刪除掉,在D盤中新建一個lnetpub目錄,設(shè)置IIs的主目錄指向D:\I.netpub。其次,將IIs服務(wù)安裝時默認建立的scripts等虛擬目錄一律刪除,這些目錄都容易成為入侵者的目標。最后,對于權(quán)限要進行正向設(shè)置,即目錄的權(quán)限可以在需要時再建,特別注意執(zhí)行程序的權(quán)限和寫權(quán)限,除非有絕對的必要,否則千萬不要賦予。
3.3 應(yīng)用程序的配置
系統(tǒng)管理員需要在IIS服務(wù)中刪除必要程序以外的任何無用映射,僅保留ASP和其它確定需要使用的文件類型。刪除無用映射的具體方法為:在IIS服務(wù)管理器中,選擇主機屬性,在www服務(wù)編輯的主目錄配置中找到應(yīng)用程序映射,然后就可以根據(jù)需要選擇刪除這些映射,并讓虛擬站點繼承所設(shè)定的屬性。
正確安裝與配置Windows2003 Server,可以使操作系統(tǒng)漏洞得到很好的預(yù)防。同時,增加升級補丁和應(yīng)用服務(wù)安全配置,使操作系統(tǒng)的安全性得到了很好的提升。