迎驾文化
  迎驾史记
  文化活动
  迎驾音画
  酒文化
  您现在的位置:首页 > 迎驾文化 > 文化活动
构建安全 稳定 高效的企业网络
集团信息中心 李工林
来源:迎驾报社 发布时间:2009-04-14
【字体:放大 正常 缩小

  构建安全、稳定、高效的企业局域网是网络管理者的职责所在,但具体的实施过程却是非常复杂的。有一点相信大家都有共识,被动防御是不会有出路,基于需求主动出击才是正途。

       网络何尝不是战场?特别是维护像集团这样具有分布广、地域跨度大的网络管理员们,这种感觉应该尤为明显。来自内外的网络攻击,常常让大家有腹背受敌、疲于应付的感觉。要摆脱这种被动挨打的局面,应该主动出击、针锋相对构建集防御与反击为一体的企业网络。

1、加强机房服务器安全

  服务器设备是集团的数据及应用的重地,与集团的办公、业务、销售等密切相关。由于信息中心的服务器较多,且应用于不同的服务,因此也是受到攻击最多的网络节点。故服务器的安全是我们首先要确保的。而服务器的安全应该的多层次的,故主要采取了包括以下几个方面的措施:

  (1) 平台安全。首先是保证服务器系统平台的安全。在配置服务器时,尽量避免使用系统的默认配置,所以当系统安装完毕后第一步就是要升级最新的补丁,然后更改系统的默认配置。要为用户建立详细的属性和权限,方便确认用户身份以及能访问修改的资料。定期修改用户密码,这样可以让密码破解的威胁降到最低。总之,要利用好服务器自身系统的各种安全策略,就可以占用最小的资源,挡住大部分黑客。

  (2) 服务器的独立。服务器应用能够做到专用,确保其独立性,尽量不在一台服务器上部署多个服务,提供多个应用。实施服务器的虚拟化,保证一台物理服务器上多个服务的独立。

  (3) 网络拓扑安全。从网络拓扑上保证服务器的安全。不为重要的企业服务器提供公网IP,将其暴露在Internet中。做好软硬件防护措施,在服务器的外围部署硬件防火墙和病毒防火墙,限制未授权的IP访问和病毒入侵。另外,实施内外网络分离,内外网也实施网络分段,网络分段优先选择了物理级别的分段,从物理层和数据链路层上将局域网分为若干网段,这样各网段相互之间无法进行直接通讯。此外,根据迎驾实际情况在某些节点上也实施基于网络层的逻辑分段。把网络分成若干IP子网,各子网间必须通过防火墙、交换机、病毒墙等设备进行连接,利用这些中间设备的安全机制来控制子网间的访问。以上基于网络拓扑级别的安全措施,能够在很大程度上加强服务器的安全,将绝大多数的攻击行为拒之门外。

2、搭建病毒防御平台

  除了服务器攻击之外,病毒木马也是局域网的大敌。由于局域网客户端网络节点众多,这往往成了病毒木马泛滥的温床,因此搭建病毒防御平台势在必行。信息中心在集团网络中部署了病毒监控平台,采取病毒墙和病毒客户端相结合的方式来保证网络的安全,并采取集中控制,集中升级,网管可以随时或定时杀毒,保证写入数据和服务器的安全性。

3、制定网络安全检测措施

  做好局域网的安全,管理员有时候也要扮演攻击者的角色对于局域网进行安全检测。因为解决网络层安全问题,首先要清楚网络中存在哪些安全隐患、脆弱点。面对大型网络的复杂性和不断变化的情况,仅仅依靠网络管理员的技术和经验寻找安全漏洞、做出风险评估,显然是不现实的。根据集团现状,信息中心制定了安检制度,并制定出相应的网络安全检测措施予以贯彻执行。

  另外,信息中心内部也要求管理员加强学习,掌握必要的入侵检测技术,能够定期、主动地进行网络安全检测,这种检测不仅包括外部检测而且包括内部检测。能够掌握一种或者几种能查找网络安全漏洞、评估并提出修改建议的网络安全扫描工具,利用优化系统配置和打补丁等各种方式最大可能地弥补最新的安全漏洞和消除安全隐患。在要求安全程度不高的情况下,可以利用各种黑客工具,对网络模拟攻击从而暴露出网络的漏洞。

4、应对典型的局域网攻击

  在集团局域网中,诸如嗅探、IP盗用、DDOS攻击、后门攻击等具有一定的典型性,网络安全也要做好防范类似攻击行为的措施。

  以防范IP盗用为例,管理员在防火墙上捆绑IP和MAC地址,当某个端口通过防火墙访问Internet时,防火墙要检查发出这个IP广播包的工作站的MAC是否与防火墙上的MAC地址表相符,如果相符就放行。否则不允许通过防火墙,同时经发现这个IP广播包的工作站返回一个警告信息。再如防范来自内部的网络攻击,我们采用对各个子网做一个具有一定功能的审计文件,为管理人员分析自己的网络运作状态提供依据。此外备份工作要做好,对于数据库这样的实时更新、动态变化的数据,要制定密集性的备份策略。这是我们在遭到网络攻击后,快速恢复的前提。

5、制定与用户相关的安全措施

  由于许多企业内发生的网络安全危机,有多半来自员工本身没有具备基本的网络安全常识,导致黑客有机会侵入计算机,达到破坏的目的。因此信息中心采取了加强集团或个人的网络保护知识培训,建立了相应的安装制度。比如,作为客户端用户要保护好自己的口令、密码,严禁帐号、密码外借,避免密码设置过于简单。安装在线杀毒软件,随时监视病毒的侵入,保护硬盘及系统不受伤害,并及时给病毒库升级。在浏览WEB时不轻易打开来历不明的电子邮件,不随便借计算机给别人使用等。

     总之,随着IT行业的迅猛发展,提高集团信息化建设水平以及保障网络安全责任重而道远。我们网络管理员也将不断加强学习,与时俱进、扎实工作,为迎驾的发展作出应有的贡献!

                                                           
版权所有 中国·迎驾集团版权所有  技术支持 政维嘉楠  备案号:皖ICP20081222号
Copyright 2008 www.chinayingjia.cn all right reserved by govland.cn