设为首页收藏本站

 找回密码
 注册
搜索
热搜: 回贴
微赢网络技术论坛 门户 安全攻防 查看内容

中小规模NT网的安全策略

2009-12-14 01:04| 发布者: admin| 查看: 18| 评论: 0|原作者: 天仙子

近年,Windows NT已成最为流行的网操作系统之一。随着Internet/Intranet迅猛普及,Windows NT网络安全问题成为日常网络管理的中心问题。笔者结合在中小型校园网安全管理的实际工作经验,讨论Windows NT网的安全规划和在实际使用时应采取的安全策略,仅供参考。

  【制定安全策略的原则】

  所谓的网络安全是指为了保护网络不受来自网络内外的各种危害而采取的防范措施的总和。网络的安全策略就是针对网络的实际情况(被保护信息价值、被攻击危险性、可投入的资金),在网络管理的整个过程,具体对各种网络安全措施进行取舍。网络的安全策略可以说是在一定条件下的成本和效率的平衡。虽然网络的具体应用环境不同,但我们在制定安全策略时应遵循一些总的原则。

  1.适应性原则:安全策略是在一定条件下采取的安全措施。我们制定的安全策略必须是和网络的实际应用环境相结合的。通常,在一种情况下实施的安全策略到另一环境下就未必适合。例如:校园网环境就必须允许匿名登录,而一般的企业网络的安全策略不允许匿名登录。

  2.动态性原则:安全策略又是在一定时期采取的安全措施。由于用户在不断增加,网络规模在不断扩大,网络技术本身的发展变化也很快,而安全措施是防范性的、持续不断的,所以制定的安全措施必须不断适应网络发展和环境的变化。

  3.简单性原则:网络用户越多,网络管理人员越多,网络拓扑越复杂,采用网络设备种类和软件种类越多,网络提供的服务和捆绑的协议越多,出现安全漏洞的可能性就越大,出现安全问题后找出问题原因和责任者的难度就越大。安全的网络是相对简单的网络。例如:最不安全的网络可以说是Internet。

  4.系统性原则:网络的安全管理是一个系统化的工作,必须考虑到整个网络的方方面面。也就是在制定安全策略时,应全面考虑网络上各类用户、各种设备、各种情况,有计划有准备地采取相应的策略。任何一点疏漏都会造成整个网络安全性的降低。

  以下的安全策略是基于NT网的中小型校园网。

  【网络规划时的安全策略】

  网络的安全性最好在网络规划阶段就要考虑进去,一些安全策略在网络规划时就要实施。

  1、明确网络安全的责任人和安全策略的实施者。人是制定和执行网络安全策略的主体。对于小型网络来说网络管理员可以是网络安全责任人。

  2、对网络上所有的服务器和网络设备,设置物理上的安全措施(防火、防盗)和环境上的安全措施(供电、温度)。对小型的局域网最好将网络上的公用服务器和主交换设备安置在一间中心机房内集中放置。

  3、网络规划应考虑容错和备份。安全策略不可能保证网络绝对安全和硬件不出故障。我们的网络应允许网络出现的一些故障,并且可以很快从灾难中恢复。网络的主备份系统应位于中心机房。

  4、如果你的网络与Internet有固定连接(静态的IP地址),只要资金允许最好在网络和Internet之间安装防火墙。

  5、网络使用代理服务器访问Internet。不仅可以降低访问成本,而且隐藏了网络规模和特性,加强了网络的安全性。
【网络用户的安全策略】

  网络的安全不仅仅是网络管理员的事,网络上的每一个用户都有责任。网络用户应该了解下列安全策略:

  1.用一个长且难猜的口令。不要将自己的口令告诉任何人。

  2.清楚自己私有数据存储的位置,知道如何备份和恢复。

  3.定期参加网络知识和网络安全的培训,了解网络安全知识,养成注意安全的工作习惯。

  4.尽量不要在本地硬盘上共享文件,因为这样做将影响自己的机器安全。最好将共享文件存放在服务器上,既较安全又方便了他人随时使用文件。

  5.设置客户机的BIOS,不允许从软驱启动。

  6.通过"系统策略编辑器/注册表编辑器"控制在Windows9x工作站上"不显示最后一次登录的用户名"和"禁止使用口令缓存"。防止口令从缓存中被获取和最后一次登录的用户被利用。

  7.设置有显示的(即非黑屏,防止误认为关机)屏幕保护,并且加上口令保护。

  8.当你较长时间离开机器时一定要退出网络。

  9.安装启动时病毒扫描软件。虽然绝大多数病毒对NT服务器不构成威胁,但会通过NT网在客户端很快传播开来。

  Internet有权用户需要了解的安全策略

  由于Internet是在网络外部的,访问Internet有可能将机器至于不安全的环境,需要在上述安全策略基础上进一步采取下述的安全策略:

  10.确认你的机器没有安装"文件和打印机共享"服务。因为Internet上的黑客,有机会通过这个服务获取和共享文件,从而可能造成对局部数据及网络安全的威胁。

  11.不要通过Modem直接连接Internet。

  12.不要下载安装未经安全认证的软件和插件。

  13.WEB页面中的ActiveX,Java小应用、脚本可能泄漏你的秘密,可以禁止其在浏览器上运行。

  14.发出电子邮件如果没有加密,信件有内容可能泄漏。收到的电子邮件不能完全确认是由寄件人发出。对特别机密的文件和具有法律效力的文件请加密发送和使用数字认证确认寄件人。

  网络上的远程访问用户除需要了解上面两类用户的安全策略,还要遵循下列安全策略:

  15.用户在局域网和远程登录分别使用不同的用户账号和口令。因有些方式的远程登录(如Telnet),账号和口令没有加密,有可能被截获。

  16.不用任何未经网络安全管理员确认的远程访问软件。

  17.最好将拨入时间、连接时间和电话号码告知网络安全管理员。

  18.不要远程拨入其他未经网络安全管理员确认的机器,尤其是该机器连接在Internet上。

  以上所有的策略总结起来主要是两条:第一条是保护你的服务器;第二条是保护你的口令。安全策略的选择完全取决于被保护信息的价值、受攻击可能性和危险性及可以投入的资金,权衡这些因素后,制定出恰如其分的解决方案,不存在一种万能的方法。

收藏 分享 邀请

最新评论

相关分类

下级分类

QQ|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )

GMT+8, 2024-9-30 07:19 , Processed in 0.217514 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

返回顶部