企业计算机网络安全基础防护研究

时间:2022-10-13 05:07:40

导语:企业计算机网络安全基础防护研究一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

企业计算机网络安全基础防护研究

摘要:计算机网络是利用通信线路把地理位置上分散的计算机和通信设备连接在一起,在系统软件和协议的支持下,实现数据通信和资源共享的一个复杂系统。网络的基本资源包括硬件资源、软件资源和数据资源。当今,网络已成为维系社会、企业正常运转的支柱之一,企业在网络中存储的许多信息是全体员工长期积累下来的智慧结晶,关乎企业的发展。因此,企业网络的安全十分重要,在企业网络的安全性方面作一研究也显得非常必要。目前,关于网络安全方面的技术较多,如防火墙、入侵检测技术、信息对抗技术、密码技术、用户识别技术等等,而该文则是主要从网络中的一些基础的节点设备路由器、交换机、计算机方面的安全性作探讨。

关键词:计算机网络;基础设备;安全性

在企业计算机网络中,路由器、交换机、计算机是企业网络的主体,也是主要遭到攻击的对象[1]。有些典型的攻击往往也是利用路由器、交换机、计算机自身的设计缺陷而展开的。例如发送虚假路由信息,使路由器路由表混乱导致网络瘫痪,或者攻击者通过更改自己的IP地址伪装成可信任的用户,发送特定的报文来扰乱正常的网络数据传输,或伪造成可接受的路由报文来更改路由信息,以窃取机密。计算机也是一样,其上的操作系统本身就有许都漏洞,以及许多服务端口,这些都是可能被攻击的途径。对于这些,都必须采取安全设置。

1路由器、交换机及计算机的安全隐患

1.1路由器与交换机存在的潜在危险。(1)弱口令:在IOS(Internetworkoperatingsystem)中,特权密码的加密方式有强加密与弱加密两种,而普通存取密码在默认的情况下则是明文,并且密码设置强度可能不够。(2)IOS自身的缺陷:IOS作为路由器与交换机的操作系统,由于自身的漏洞而带来的安全风险。(3)非授权用户可以管理设备,可以利用Telnet或SNMP通过网络对设备进行带内管理,还可以通过Console与AUX口对设备进行带外管理。默认情况下带外管理是没有密码限制的,隐含较大的安全风险。(4)CDP协议造成设备信息的泄漏:为方便查找联网设备,Cisco专门开发了CDP协议,但该协议在便于查找设备的同时,也泄露了改设备的基本信息,很容易被攻击者利用来发动Dos攻击。(5)交换机物理端口未加强管理,在工作组环境下存在极高风险。(6)企业网络中未通过交换机划分Vlan进行管理,容易造成内部入侵。1.2计算机存在的安全风险。计算机的风险主要来自计算机操作系统,操作系统作为整个系统管理和应用的基础,具有举足轻重的地位,因操作系统的规模庞大,从而面临的风险也非常多[2],下面是一些常见的威胁:(1)Guest帐户造成非授权的计算机用户登录访问系统。(2)IPS$入侵:IPC$(InternetProcessConnection)是共享"命名管道"的资源,它是为了让进程间通信而开放的命名管道。IPC$入侵,即是通过使用Windows系统中默认启动的IPC$共享,来达到侵略主机,获得计算机控制权的入侵。(3)自动播放功能造成的危害:很多木马、病毒通过移动存储介质(移动硬盘、U盘、光盘)进行传播,自动播放功能为它们的传播提供了便利途径。(4)Windows内核消息处理本地缓冲区溢出漏洞导致本地用户权限提升。(5)开启了不必要的服务和端口被攻击者探测到,从而发起了攻击。(6)帐户未使用强密码策略,密码容易被猜测。(7)未启用审核策略对系统的各种事件进行有效审核和跟踪。(8)没有及时更新系统漏洞补丁以及没有及时打上系统安全补丁,易被攻击者利用。

2安全防护

2.1路由器的安全管理。2.1.1及时修补程序与更新。IOS网络设备制造商一般会在自己的网站上网络设备的IOS的已知安全漏洞和应采取的安全措施,我们要养成经常访问这些网站的好习惯,及时修补漏洞。2.1.2定期审核和查看日志。日志功能记录着多数的操作记录,其中也包括所有被拒绝的企图入侵的操作。利用路由器的日志功能对设备的安全来说十分重要。各个厂商的日志功能大同小异,如Cisco路由器支持如下日志:AAA日志(主要收集关于用户拨入连接、登录、HTTP访问、权限变化等信息)、SNMPTrap日志、系统日志。我们最应关注的应该是系统日志,它记录了大量的系统事件,建议使用Syslog服务器,将路由器日志信息发送到Windows下的Syslog日志服务器长期保存下来以便日后查看。我们还可以使用如下命令来查看路由器系统的运行情况:Router#showconfigurationRouter#showrunning-config2.1.3阻止无用的数据流。从互联网进入路由器的传入数据具有不可控的潜在风险,我们可以采用一些手段来阻止此数据流。例如在路由器的广域网接口上启用扩展ACL来实现对外部的ICMP报文回显的屏蔽,可防止黑客通过相关回显内容收集到路由设备的相关信息,设置语句如下:Router(config)#access-list101denyicmpany202.100.2.10.0.0.255echoRouter(config)#access-list101permitanyanyRouter(config)#ipaccessgroup101in另外,因CDP协议安全性能的薄弱性,如果是以Cisco路由器充当边界路由器的话,要绝对警用CDP。2.1.4强化访问控制。(1)使用强密码策略Enable、telnet等等所有口令在设置时都要使用强密码策略,同时要启用Servicepassword-encryption命令。(2)关闭基于Web的配置使用Web方式来配置路由设备对于管理人员来说比较方便,但这种方式很容易绕过用户认证或遭到Dos攻击,所以应该禁止Web配置,语句如下:Router(config)#noiphttpserver(3)控制远程访问与控制台访问由于VTY在网络的传输过程中数据是不加密的,所以对于使用VTY这种远程访问来配置设备的方式最好禁用它;对于通过Console口和AUX口来配置设备的控制台访问方式,一般我们是将AUX口关闭,通过Console口来配置设备便可,同时也要为Console端口设置强密码,这样才较安全。2.1.5关闭路由器中不必要的服务在企业网络的路由器中,每个打开的端口都与一个侦听服务相关联,为了降低被攻击的可能性,必须关闭不必要的默认服务,相关命令如下:Router(config)#noipdomain-lookupRouter(config)#noipbootpserverRouter(config)#nosnmp-serverRouter(config)#nosnmp-servercommunitypublicRORouter(config)#nosnmp-servercommunityadminRW2.2交换机的安全防护。交换机的安全防护与路由器的安全防护相似:修补程序和更新;控制对交换机的管理访问途径;关闭危险服务等等。与路由器维护方面略有不同之处主要有以下两点:(1)交换机上未使用的物理端口要禁用,已使用的物理端口要与计算机的MAC地址绑定,尤其是在工作组环境下的网络。(2)利用VLAN技术将公司的各个部门划分到不同的虚拟子网中,通过ACL来控制VLAN之间的数据流,使用VLAN之间的ACL可对来自企业内部的入侵提供直接保护。2.3计算机的安全防护。(1)帐户管理删除不必要的及已经不再使用的帐户,禁用Guest帐户,将Administrator账号改为其他名称,为用户所在的组设置相应的权限,启用帐户策略,同时在组策略中为用户启用强密码策略。(2)把共享文件的权限从"everyone"组改为授权用户;对于系统中的默认共享则要关闭掉,要彻底关闭默认共享,可以通过修改注册表来完成,打开注册表,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters],把AutoShareServer(DWORD)的键值改为"00000000",重启系统,设置生效。(3)关闭不必要的服务和端口在Windows系统中,类似终端服务、IIS、RAS、RemoteRegistry等等可能给系统带来安全威胁的服务,在不影响安全工作的情况下,都应通过服务管理器来关闭掉它们。在系统目录\system32\drivers\etc\services文件中有常见端口和服务的对照表,通过这个参考,关闭掉不必要的端口来提高安全性,关闭端口的具体设置可通过本地安全策略中的IP安全策略来设置。(4)打开审计策略在系统的安全审计策略中将所有审计对象均设置为"成功、失败",当有人尝试对系统进行某些方式入侵时,都会被安全审计记录下来,这样也就不会导致系统被入侵许久都没被发现的尴尬现象。(5)禁止建立空链接默认情况下,任何用户都可通过空连接连上服务器,进而枚举出账号,猜测密码。可以通过修改注册表来防止这个危险的发生,我们只要把注册表中Local_Machine\System\CurrentControlSet\Control\LSA_RestrictAnony-mous的值改为"1"即可。(6)自动播放功能对计算机的危害也较大,我们应该理解、熟悉组策略,充分利用组策略来禁止类似"自动播放功能"可能给计算机安全带来威胁的一些不必要的功能。(7)USB口绑定USB口是计算机中信息导入、导出的主要途径之一,为了防止任意U盘都能在企业计算机中使用,从而给计算机及计算机中的信息带来威胁,我们必须要做好计算机USB口的绑定工作。USB口绑定可通过专门的软件来实现,如北信源安全管理系统、中孚计算机终端安全管理系统等等。(8)使用MBSA扫描系统漏洞微软的基线安全分析器MBSA(MicrosoftBaselineSecurityAnalyzer)是微软提供的操作系统漏洞扫描软件,我们可利用它对Windows的各种操作系统进行本地或远程扫描,及时发现漏洞并将其堵住,以提高计算机的安全性。

3结语

企业计算机网络安全的重要性对企业来说不言而喻,必须加强学习与研究,网络安全方面的内容含盖量很大,分支也较多,可以从不同的角度去论述[3]。路由器、交换机、计算机及通信线路是企业计算机网络的骨架,从技术方面去研究一下对企业网络的安全性很有必要,像利用NTFS文件系统自带的加密功能、通信线路的电磁泄漏问题、为提高信息安全而建的RAID磁盘阵列等等,这些方面能充分注意及加以利用,对提高企业网络的安全性十分重要。

参考文献:

[1]彭鹏.大数据时代计算机网络安全及防范措施探析[J].黑龙江科学,2020,11(16):80-81.

[2]彭振宇.基于计算机网络安全及防范对策研究[J].网络安全技术与应用,2020,(8):3-4.

[3]王玥,岳晓菊,关丽华.计算机网络安全问题与防范[J].数字通信世界,2020,(7):55-56.

作者:王大春 单位:江苏泰达机电设备有限责任公司