[转帖]网络安全防护原则

刘伟

防护网络安全原则
       
防护网络的第一步是防护网络中的所有计算机，然而这只是网络安全的一部分，防火墙必不可少，还建议用IDS，有许多开源的IDS对企业是不错选择……
显然，防护网络的第一步是防护网络中的所有计算机，包括个人工作站和服务器。然而，这只是网络安全的一部分，防火墙必不可少，大多数专家还建议用IDS，有许多IDS可供选择，有些甚至还是免费的。IDS可以检测攻击行为，像端口扫描，这可能预示着有人尝试侵入网络边界安全。
       
假如网络很大，就要考虑用带防火墙的路由器把网络分成若干部分，这样的话，一个部分发生问题，不会影响成个网络。这里，可以考虑把所有重要的服务器都放在一个安全区域内，这通常叫DMZ区。
9 P& W) A! q% i! F" \       
如Web服务器是对外提供服务的，并且最常受到攻击，把他们单独放在一个区域内是比较合理的。许多网络管理员会考虑在Web服务器与其它网络之间再放一个防火墙。这样的话，骇客就算利用服务器漏洞侵入了Web服务器，也不能进入整个网络。同时，一定要有策略指导用户如何使用系统，再健壮的安全系统都会因为用户的稍不注意而功亏一篑。一定要记住必须要有安全策略指导用户哪些能做，哪些不能做。
4 k/ c3 C* u1 A( C: w- i" J7 c3 a$ W% I       
0 D+ {3 F; m! Q# b/ K( {9 ]在加固服务器(打补丁，关闭不必要的服务等)的同时，也需要加固路由器。如何加固路由器需要咨询相应的安全厂商，但是这里有一些基本原则：
4 }7 {# t  [- J# M       
1、使用强壮的密码：所有的路由器都可配置。因此，必须要遵循统一的安全策略，最少字符、复杂度、生存期、密码历史等要求。如果路由器支持加密(如Cisco及一些大厂商)，那么最好加密。
       
2、使用日志：大多数路由器有日志功能。应该把此功能打开，就像监视服务日志那样。
$ M1 i$ k5 `. A1 d, E+ h. l       
1 [7 Z$ r* R9 C$ I! h4 f3 F3、安全原则：一些基本的路由安全准则要遵守。
; k; B) b$ I7 F9 T2 z2 Z; L4 q       
4、不要响应非本地网络内主机的ARP(Address Resolution Protocol，地址解析协议)。
, R2 C+ g. c1 O  R% c  r6 W: O; D       
5、网络内不需要端口应该在路由器关闭。
1 [2 s- [  N3 ^% [3 y, X( d8 U       
) N7 H- `! q0 |% h6、不是从本地网络内发起的数据不予转发(此条为企业网原则，不适用于透传情况)。
. P. ?! L* v' J" ^: i       
( H7 m7 {# W9 f3 [以上是总体原则。好了，还是理一下防护网络的常规动作吧。分为两个级别：一般级和增强级。
1 ^/ q2 i8 B/ U. x9 N& x) P2 j5 V( `& U       
3 ^, s; @% S2 I. E一般级：没有达到这个要求，是很危险的。
6 E/ [3 A1 O) H% j! d       
5 `$ M) v" R9 O6 D2 s1、所有的工作站和服务器都应用基本PC安全清单(基本安全级别)。
2 Z( I: x1 c2 r( Q! L* w       
2、在内网和外网连接处部署包过滤防火墙。
       
3、在内网和外网连接处部署代理服务器。
- {" W2 M1 c* F. t! ^$ M4 V, ^# V       
, C( t/ @1 \& O4、所有路由器都设置为不转发广播包。
  o* J7 x# w% c" T       
5、所有密码长度至少8位，6个月至少修改一次。
2 S/ O% \- r" G- h( d       
6、服务器物理安全措施到位，只有必要的人员才能接触。
8 }- J! z. ], y4 z       
7、有明确策略规定禁止从internet下载任何软件。
       
8、有明确策略规定如何处理邮件附件。
       
9、有明确策略规定如何处理离职员工。
       
8 b# ]* ^+ w& `' t( |10、加强员工安全意识并遵守企业策略。
       
11、每月至少备份和检查一次服务器日志。
, y$ f- B5 k! _0 Y       
12、每周所有服务器至少备份一次，每个月的备份移出并安全存储。
       
5 G# H: \- P: J' n13、只有管理员才具有完全控制权限。
& d  Z/ ?% e0 t/ k4 h       
9 F7 y- |' A1 H增强级：满足一般级的前提下，增加如下安全措施。
       
14、在网络边界部署状态包检查防火墙。
       
" S1 r' O# S! Y& z15、所有通往子网的路由器都具有包过滤防火墙功能。
$ L' T2 p" c' N0 j0 r       
3 `# l& N! r9 N. G6 g( A6 d6 `16所有服务器每天至少备份一次。每个礼拜的备份移出并安全存储。
       
17、制定一个明确的灾难恢复计划，并对IT人员进行培训。
       
& g* ~, h4 t' _* E. K18、安装入侵检测系统。
; p* @! s; r% Z  M+ ]+ _       
19、每周至少备份和检查一次服务器日志。
% v& N7 ?, L1 j# T       
+ w9 z! `6 |' h, c20、每60天对所有计算机检查和更新补丁。
       
' o2 U1 G& S" z3 j* m# O21、对所有特权网络管理员进行额外的背景检查。
  O2 x- L: B6 \# M$ ]       
22、所有计算机的浏览器在中等安全级别设置的基础上执行自定义设置。
& [4 O# d" P3 l  ^# g6 x$ p       
- G9 y  N5 {% l. j, ~23、所有密码长度至少8位，包含混合字符，并每90天修改一次。
& U5 v+ n9 o% \1 W6 W( L       
) L6 F1 ]8 q; p* U24、至少每90天对所有计算机利用安全分析器和端口扫描器进行检查。
8 P$ R0 _/ H- m: J       
, w. Z, G: V( m+ f) s- E) j( ~- l25、外部登陆只在非常严格的条件下才允许，如利用VPN。
7 P6 E. k7 J' a% m; y+ `8 f       
; y5 R0 J- v# l& \* W* |) ?26、所有安全活动(备份、扫描、下载补丁、更改密码、增加/删除用户，更改许可等等)都必须记录，记录内容包括执行人、时间、授权人等。
       
. V0 \! M" M: `$ S3 A- j: ]* y27、每个季度执行一次安全审计，包括检查补丁、日志、策略。
; {9 ]' v  a: u       
28、每年对整个网络进行一次安全审计，包括管理员个人背景、模拟攻击测验、包嗅探、日志审计等等。
       
8 F+ N" Y! @* n$ l" f. B0 w8 f) v29、定期的给用户发送安全更新警告，提示当前网络欺骗、病毒、木马等信息。
       
* W+ {- r$ i. J. ]! z30、废旧介质(硬盘、磁带等)要完全销毁。
       
8 _! F0 g3 K& a% s至此，可以说安全保障的本职工作已经做的相当好了，但前一部分的侧重点在“物”，我们堵住了设备的“漏洞”。前面介绍过，“人”的因素也很重要，赌不住人性的“漏洞”，只能功亏一篑。易中天以人物说故事，以故事说历史，以历史说人性，古今多少年，还是落脚点在人性上，可见人性多么关键。网络安全也一样，离不开人的因素，而且是个动态对抗的过程，没有一成不变的理论，只有举一反三，灵活运用。下面就介绍一下如何洞悉人性弱点，防止网络欺骗。

新洋

下面呢?下面没有了?

鸦鸦

来几句吧