[转帖]网络安全防护原则

刘伟

防护网络安全原则
* H7 m5 b4 W3 P+ A* P+ _       
8 k' v* Z# {3 U防护网络的第一步是防护网络中的所有计算机，然而这只是网络安全的一部分，防火墙必不可少，还建议用IDS，有许多开源的IDS对企业是不错选择……
* x( `' A6 H/ U显然，防护网络的第一步是防护网络中的所有计算机，包括个人工作站和服务器。然而，这只是网络安全的一部分，防火墙必不可少，大多数专家还建议用IDS，有许多IDS可供选择，有些甚至还是免费的。IDS可以检测攻击行为，像端口扫描，这可能预示着有人尝试侵入网络边界安全。
       
' n+ h# @; @! ^! s假如网络很大，就要考虑用带防火墙的路由器把网络分成若干部分，这样的话，一个部分发生问题，不会影响成个网络。这里，可以考虑把所有重要的服务器都放在一个安全区域内，这通常叫DMZ区。
. t' S2 s! o9 j! ^: H3 X# I9 D/ u       
如Web服务器是对外提供服务的，并且最常受到攻击，把他们单独放在一个区域内是比较合理的。许多网络管理员会考虑在Web服务器与其它网络之间再放一个防火墙。这样的话，骇客就算利用服务器漏洞侵入了Web服务器，也不能进入整个网络。同时，一定要有策略指导用户如何使用系统，再健壮的安全系统都会因为用户的稍不注意而功亏一篑。一定要记住必须要有安全策略指导用户哪些能做，哪些不能做。
       
在加固服务器(打补丁，关闭不必要的服务等)的同时，也需要加固路由器。如何加固路由器需要咨询相应的安全厂商，但是这里有一些基本原则：
2 q' h! b* R0 H7 t2 _& ~       
) v5 Y& W* l2 a3 k! v* C5 L2 ?5 Q1、使用强壮的密码：所有的路由器都可配置。因此，必须要遵循统一的安全策略，最少字符、复杂度、生存期、密码历史等要求。如果路由器支持加密(如Cisco及一些大厂商)，那么最好加密。
       
2、使用日志：大多数路由器有日志功能。应该把此功能打开，就像监视服务日志那样。
2 O' j& ]; Z; e% z8 ^9 K) y  {       
  V! z: b! x5 @- ^2 q4 `- z  c6 f3、安全原则：一些基本的路由安全准则要遵守。
. W3 ~9 T  k9 {. s5 j5 U; l       
4、不要响应非本地网络内主机的ARP(Address Resolution Protocol，地址解析协议)。
       
5、网络内不需要端口应该在路由器关闭。
       
6、不是从本地网络内发起的数据不予转发(此条为企业网原则，不适用于透传情况)。
       
6 S3 V" X' r4 |4 U% {以上是总体原则。好了，还是理一下防护网络的常规动作吧。分为两个级别：一般级和增强级。
       
# h2 g+ X1 c4 k2 N一般级：没有达到这个要求，是很危险的。
% S" a$ ]: o0 p. u/ r2 O0 z       
" A) B# {9 i" r% _2 O, e) _1、所有的工作站和服务器都应用基本PC安全清单(基本安全级别)。
( Z, p5 H$ D8 K) V" n       
2、在内网和外网连接处部署包过滤防火墙。
! o8 z+ [! t( r1 U       
3、在内网和外网连接处部署代理服务器。
       
4、所有路由器都设置为不转发广播包。
       
  m5 g$ q" E! j& n  X5、所有密码长度至少8位，6个月至少修改一次。
; ~& m' D8 k* Q* M1 m" o% ?6 n4 J4 K( B* c       
* `6 b9 C: v* Z8 U/ i! \/ B6、服务器物理安全措施到位，只有必要的人员才能接触。
       
7、有明确策略规定禁止从internet下载任何软件。
( Y" U4 ]' Y# L3 F       
8、有明确策略规定如何处理邮件附件。
       
9、有明确策略规定如何处理离职员工。
) b$ a: Q* {9 Y3 t' l: G       
10、加强员工安全意识并遵守企业策略。
       
. ^( a  }, B- M4 A# W8 B: v11、每月至少备份和检查一次服务器日志。
3 F  j7 J: g' _" |6 |+ {       
12、每周所有服务器至少备份一次，每个月的备份移出并安全存储。
       
13、只有管理员才具有完全控制权限。
       
增强级：满足一般级的前提下，增加如下安全措施。
       
14、在网络边界部署状态包检查防火墙。
       
- ?- g8 z( D7 n( R# {15、所有通往子网的路由器都具有包过滤防火墙功能。
# E( `" g1 }  o9 Q5 @; m       
16所有服务器每天至少备份一次。每个礼拜的备份移出并安全存储。
0 m, p& {5 d9 s. q2 g& j8 Y5 W       
3 a) u  ]5 n4 E: v17、制定一个明确的灾难恢复计划，并对IT人员进行培训。
       
: v7 F, E1 @' s% H- f% H" P18、安装入侵检测系统。
       
  ?5 c% d% q; Q& e5 `6 r19、每周至少备份和检查一次服务器日志。
9 q2 P7 I- G; q" Z' u       
0 p) Y, j2 k& D- o$ P20、每60天对所有计算机检查和更新补丁。
" x5 ^6 E+ L9 u5 m  \5 ]8 G& x       
21、对所有特权网络管理员进行额外的背景检查。
       
2 r  K' {5 V6 U* y. t$ c+ Q5 i' x22、所有计算机的浏览器在中等安全级别设置的基础上执行自定义设置。
       
23、所有密码长度至少8位，包含混合字符，并每90天修改一次。
5 ~& ?- _9 q1 W* H$ t' ?       
24、至少每90天对所有计算机利用安全分析器和端口扫描器进行检查。
3 W; _3 u2 o6 w  A) H/ ]0 d! L) S       
2 Z  b) z% Q, x8 m5 j25、外部登陆只在非常严格的条件下才允许，如利用VPN。
       
26、所有安全活动(备份、扫描、下载补丁、更改密码、增加/删除用户，更改许可等等)都必须记录，记录内容包括执行人、时间、授权人等。
% Q: p$ v- q! L/ c1 I" |9 Q, n* @       
27、每个季度执行一次安全审计，包括检查补丁、日志、策略。
       
28、每年对整个网络进行一次安全审计，包括管理员个人背景、模拟攻击测验、包嗅探、日志审计等等。
+ x$ M: W# I3 u       
- k4 Q% J; @  w2 ?2 w6 L29、定期的给用户发送安全更新警告，提示当前网络欺骗、病毒、木马等信息。
9 R1 q0 h+ F! g1 x3 r) d5 O       
  x5 f9 T9 A  L8 t+ V% r& b% f. T" o30、废旧介质(硬盘、磁带等)要完全销毁。
       
; v4 h" X' s- k至此，可以说安全保障的本职工作已经做的相当好了，但前一部分的侧重点在“物”，我们堵住了设备的“漏洞”。前面介绍过，“人”的因素也很重要，赌不住人性的“漏洞”，只能功亏一篑。易中天以人物说故事，以故事说历史，以历史说人性，古今多少年，还是落脚点在人性上，可见人性多么关键。网络安全也一样，离不开人的因素，而且是个动态对抗的过程，没有一成不变的理论，只有举一反三，灵活运用。下面就介绍一下如何洞悉人性弱点，防止网络欺骗。

新洋

下面呢?下面没有了?

鸦鸦

来几句吧