随着网络规模的不断扩大,在企业中连接部门的不断增多,网络中关键应用的不断增加,网络安全已不再是几条规章制度所能保证的了,它已成为一个在网络建设中需要认真分析、综合考虑的关键问题。下面我们将从5个方面来讨论保障网络安全的若干措施。
一、网络设计
在内部网络设计中主要考虑的是网络的可靠性和性能,而如何确保网络安全也是一个不容忽视的问题。
1.尽量避免使用电话拨号线路
如果使用X.25来组建网络,由于拨入方具有电信局分配的唯一的X.121地址,被拨入方的路由器将识别这一地址,非法用户难以入侵。而使用电话拨号线路来组建计算机网络时,被拨入方难以确认拨号方的身份,容易形成安全漏洞。
2.采用网段分离技术
把网络上相互间没有直接关系的系统分布在不同的网段,由于各网段间不能直接互访,从而减少各系统被正面攻击的机会。以前,网段分离是物理概念,组网单位要为各网段单独购置集线器等网络设备。现在有了虚拟网技术,网段分离成为逻辑概念,网络管理员可以在网络控制台上对网段做任意划分。
3.采用通信服务器
在安全方面有一个最基本的原则:系统的安全性与它被暴露的程度成反比。因此,建议引入通信服务器,各系统将要输出的数据放置在通信服务器中,由它向外输出,输入的数据经由通信服务器进入内部的业务系统。由于将数据库和业务系统封闭在系统内部,增加了系统的安全性。
二、业务软件
在网上运行的网络软件需要通过网络收发数据,要确保安全就必须采用一些安全保障方式。
1.用户口令加密存储和传输
目前,绝大多数应用仍采用口令来确保安全,口令需要通过网络传输,并且作为数据存储在计算机硬盘中。如果用户口令仍以原码的形式存储和传输,一旦被读取或窃听,入侵者将能以合法的身份进行非法操作,绝大多数的安全防范措施将会失效。
2.分设操作员
分设操作员的方式在许多单机系统中早已使用。在网络系统中,应增加网络通信员和密押员等操作员类型,以便对用户的网络行为进行限制。
3.日志记录和分析
完整的日志不仅要包括用户的各项操作,而且还要包括网络中数据接收的正确性、有效性及合法性的检查结果,为日后网络安全分析提供依据。对日志的分析还可用于预防入侵,提高网络安全。例如,如果分析结果表明某用户某日失败注册次数高达20次,就可能是入侵者正在尝试该用户的口令。
三、网络配置
网段分离和通信服务器要想起作用,还需要由网络配置来具体实施和保证,如用于实现网段分离的虚网配置。为进一步保证系统安全,还要在网络配置中对防火墙和路由等方面做特殊考虑。
1.路由
为了避免入侵者绕过通信服务器而直接访问数据库等内部资源,还应仔细进行路由配置。
路由技术虽然能阻止对内部网段的访问,但不能约束外界公开网段的访问。为了确保通信服务器的安全运转,避免让人侵者借助公开网段对内部网构成威胁,我们有必要使用防火墙技术对此进行限定。
2.防火墙
Cisco、Bay等公司的路由器通常都具有过滤型防火墙功能。这一功能通俗地说就是由路由器过滤掉非正常IP包,把大量的非法访问隔离在路由器之外。过滤的主要依据在源、目的IP地址和网络访问所使用的TCP或UDP端口号。几乎所有的应用都有其固定的TCP或UDP端口号,通过对端口号的限制,可以限定网络中运行的应用。
四、系统配置
这里的系统配置是主机的安全配置和数据库的安全配置。据调查表明,85%的计算机犯罪是内部作案,因此这两方面的安全配置也相当重要。在主机的安全配置方面,应主要考虑普通用户的安全管理、系统管理员的安全管理及通信与网络的安全管理。
1.网络服务程序
任何非法的入侵最终都需要通过被入侵主机上的服务程序来实现,如果关闭被入侵主机上的这些程序,入侵必然无效。因此,这也是保证主机安全的一个相当彻底的措施。当然,我们不能关闭所有的服务程序,可以只关闭其中没有必要运行的部分。
2.数据库安全配置
在数据库安全配置方面,应主要注意以下几点:
(1)选择口令加密传输的数据库。
(2)避免直接使用超级用户,超级用户的行为不受数据库管理系统的任何约束,一旦它的口令泄露,数据库就毫无安全可言。
(3)一般情况下,不要直接对外界暴露数据库,数据收发可通过通信服务器进行。如果确实有此需要,最好以存储过程的方式提供,并以最低的权限运行。
五、通信软件
应用程序要发送数据时,先发往本地通信服务器,再由它发往目的通信服务器,最后由目的应用主动向目的通信服务器查询、接收。
通信服务器上的通信软件除了能在业务中不重、不错、不漏地转发业务数据外,还应在安全方面具有以下特点:
1.在本地应用与本地通信服务器间提供口令保护。应用向本地通信服务器发送数据或查询、接收数据时要提供口令,由通信服务器判别IP地址及其对应口令的有效性。
2.在通信服务器之间传输密文时,可以采用SSL加密方式。如果在此基础上更再增加签名技术,则更能提高通信的安全性。
3.在通信服务器之间也提供了口令保护。接收方在接收数据时,要验证发送方的IP地址和口令,当出现IP地址无效或口令错时,拒绝进行数据接收。
4.提供完整的日志记录和分析。日志对通信服务器的所有行为进行记录,日志分析将对其中各种行为和错误的频度进行统计。
综上所述,网络安全问题是一个系统性、综合性的问题。我们在进行网络建设时不能将它孤立考虑,只有层层设防,这个问题才能得到有效的解决。我们还应看到,像其他技术一样,入侵者的手段也在不断提高。在安全防范方面没有一个一劳永逸的措施,只有通过不断地改进和完善安全手段,才能保证不出现漏洞,保证网络的正常运转。