探討企業(yè)計算機網(wǎng)絡(luò)安全基礎(chǔ)防護

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了探討企業(yè)計算機網(wǎng)絡(luò)安全基礎(chǔ)防護范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：計算機網(wǎng)絡(luò)是利用通信線路把地理位置上分散的計算機和通信設(shè)備連接在一起，在系統(tǒng)軟件和協(xié)議的支持下，實現(xiàn)數(shù)據(jù)通信和資源共享的一個復雜系統(tǒng)。網(wǎng)絡(luò)的基本資源包括硬件資源、軟件資源和數(shù)據(jù)資源。當今，網(wǎng)絡(luò)已成為維系社會、企業(yè)正常運轉(zhuǎn)的支柱之一，企業(yè)在網(wǎng)絡(luò)中存儲的許多信息是全體員工長期積累下來的智慧結(jié)晶，關(guān)乎企業(yè)的發(fā)展。因此，企業(yè)網(wǎng)絡(luò)的安全十分重要，在企業(yè)網(wǎng)絡(luò)的安全性方面作一研究也顯得非常必要。目前，關(guān)于網(wǎng)絡(luò)安全方面的技術(shù)較多，如防火墻、入侵檢測技術(shù)、信息對抗技術(shù)、密碼技術(shù)、用戶識別技術(shù)等等，而該文則是主要從網(wǎng)絡(luò)中的一些基礎(chǔ)的節(jié)點設(shè)備路由器、交換機、計算機方面的安全性作探討。

關(guān)鍵詞：計算機網(wǎng)絡(luò)；基礎(chǔ)設(shè)備；安全性

引言

在企業(yè)計算機網(wǎng)絡(luò)中，路由器、交換機、計算機是企業(yè)網(wǎng)絡(luò)的主體，也是主要遭到攻擊的對象[1]。有些典型的攻擊往往也是利用路由器、交換機、計算機自身的設(shè)計缺陷而展開的。例如發(fā)送虛假路由信息，使路由器路由表混亂導致網(wǎng)絡(luò)癱瘓，或者攻擊者通過更改自己的IP地址偽裝成可信任的用戶，發(fā)送特定的報文來擾亂正常的網(wǎng)絡(luò)數(shù)據(jù)傳輸，或偽造成可接受的路由報文來更改路由信息，以竊取機密。計算機也是一樣，其上的操作系統(tǒng)本身就有許都漏洞，以及許多服務(wù)端口，這些都是可能被攻擊的途徑。對于這些，都必須采取安全設(shè)置。

1路由器、交換機及計算機的安全隱患

1.1路由器與交換機存在的潛在危險

(1)弱口令：在IOS(Internetworkoperatingsystem)中，特權(quán)密碼的加密方式有強加密與弱加密兩種，而普通存取密碼在默認的情況下則是明文，并且密碼設(shè)置強度可能不夠。(2)IOS自身的缺陷：IOS作為路由器與交換機的操作系統(tǒng)，由于自身的漏洞而帶來的安全風險。(3)非授權(quán)用戶可以管理設(shè)備，可以利用Telnet或SNMP通過網(wǎng)絡(luò)對設(shè)備進行帶內(nèi)管理，還可以通過Console與AUX口對設(shè)備進行帶外管理。默認情況下帶外管理是沒有密碼限制的，隱含較大的安全風險。(4)CDP協(xié)議造成設(shè)備信息的泄漏：為方便查找聯(lián)網(wǎng)設(shè)備，Cisco專門開發(fā)了CDP協(xié)議，但該協(xié)議在便于查找設(shè)備的同時，也泄露了改設(shè)備的基本信息，很容易被攻擊者利用來發(fā)動Dos攻擊。(5)交換機物理端口未加強管理，在工作組環(huán)境下存在極高風險。(6)企業(yè)網(wǎng)絡(luò)中未通過交換機劃分Vlan進行管理，容易造成內(nèi)部入侵。

1.2計算機存在的安全風險

計算機的風險主要來自計算機操作系統(tǒng)，操作系統(tǒng)作為整個系統(tǒng)管理和應(yīng)用的基礎(chǔ)，具有舉足輕重的地位，因操作系統(tǒng)的規(guī)模龐大，從而面臨的風險也非常多[2]，下面是一些常見的威脅：(1)Guest帳戶造成非授權(quán)的計算機用戶登錄訪問系統(tǒng)。(2)IPS$入侵：IPC$(InternetProcessConnection)是共享"命名管道"的資源，它是為了讓進程間通信而開放的命名管道。IPC$入侵，即是通過使用Windows系統(tǒng)中默認啟動的IPC$共享，來達到侵略主機，獲得計算機控制權(quán)的入侵。(3)自動播放功能造成的危害：很多木馬、病毒通過移動存儲介質(zhì)(移動硬盤、U盤、光盤)進行傳播，自動播放功能為它們的傳播提供了便利途徑。(4)Windows內(nèi)核消息處理本地緩沖區(qū)溢出漏洞導致本地用戶權(quán)限提升。(5)開啟了不必要的服務(wù)和端口被攻擊者探測到，從而發(fā)起了攻擊。(6)帳戶未使用強密碼策略，密碼容易被猜測。(7)未啟用審核策略對系統(tǒng)的各種事件進行有效審核和跟蹤。(8)沒有及時更新系統(tǒng)漏洞補丁以及沒有及時打上系統(tǒng)安全補丁，易被攻擊者利用。

2安全防護

2.1路由器的安全管理

2.1.1及時修補程序與更新IOS網(wǎng)絡(luò)設(shè)備制造商一般會在自己的網(wǎng)站上網(wǎng)絡(luò)設(shè)備的IOS的已知安全漏洞和應(yīng)采取的安全措施，我們要養(yǎng)成經(jīng)常訪問這些網(wǎng)站的好習慣，及時修補漏洞。

2.1.2定期審核和查看日志日志功能記錄著多數(shù)的操作記錄，其中也包括所有被拒絕的企圖入侵的操作。利用路由器的日志功能對設(shè)備的安全來說十分重要。各個廠商的日志功能大同小異，如Cisco路由器支持如下日志：AAA日志(主要收集關(guān)于用戶撥入連接、登錄、HTTP訪問、權(quán)限變化等信息)、SNMPTrap日志、系統(tǒng)日志。我們最應(yīng)關(guān)注的應(yīng)該是系統(tǒng)日志，它記錄了大量的系統(tǒng)事件，建議使用Syslog服務(wù)器，將路由器日志信息發(fā)送到Windows下的Syslog日志服務(wù)器長期保存下來以便日后查看。我們還可以使用如下命令來查看路由器系統(tǒng)的運行情況：

2.1.3阻止無用的數(shù)據(jù)流從互聯(lián)網(wǎng)進入路由器的傳入數(shù)據(jù)具有不可控的潛在風險，我們可以采用一些手段來阻止此數(shù)據(jù)流。例如在路由器的廣域網(wǎng)接口上啟用擴展ACL來實現(xiàn)對外部的ICMP報文回顯的屏蔽，可防止黑客通過相關(guān)回顯內(nèi)容收集到路由設(shè)備的相關(guān)信息，設(shè)置語句如下：另外，因CDP協(xié)議安全性能的薄弱性，如果是以Cisco路由器充當邊界路由器的話，要絕對警用CDP。

2.1.4強化訪問控制(1)使用強密碼策略Enable、telnet等等所有口令在設(shè)置時都要使用強密碼策略，同時要啟用Servicepassword-encryption命令。(2)關(guān)閉基于Web的配置使用Web方式來配置路由設(shè)備對于管理人員來說比較方便，但這種方式很容易繞過用戶認證或遭到Dos攻擊，所以應(yīng)該禁止Web配置，語句如下：Router(config)#noiphttpserver(3)控制遠程訪問與控制臺訪問由于VTY在網(wǎng)絡(luò)的傳輸過程中數(shù)據(jù)是不加密的，所以對于使用VTY這種遠程訪問來配置設(shè)備的方式最好禁用它；對于通過Console口和AUX口來配置設(shè)備的控制臺訪問方式，一般我們是將AUX口關(guān)閉，通過Console口來配置設(shè)備便可，同時也要為Console端口設(shè)置強密碼，這樣才較安全。

2.1.5關(guān)閉路由器中不必要的服務(wù)在企業(yè)網(wǎng)絡(luò)的路由器中，每個打開的端口都與一個偵聽服務(wù)相關(guān)聯(lián)，為了降低被攻擊的可能性，必須關(guān)閉不必要的默認服務(wù)，相關(guān)命令如下：2.2交換機的安全防護交換機的安全防護與路由器的安全防護相似：修補程序和更新；控制對交換機的管理訪問途徑；關(guān)閉危險服務(wù)等等。與路由器維護方面略有不同之處主要有以下兩點：(1)交換機上未使用的物理端口要禁用，已使用的物理端口要與計算機的MAC地址綁定，尤其是在工作組環(huán)境下的網(wǎng)絡(luò)。(2)利用VLAN技術(shù)將公司的各個部門劃分到不同的虛擬子網(wǎng)中，通過ACL來控制VLAN之間的數(shù)據(jù)流，使用VLAN之間的ACL可對來自企業(yè)內(nèi)部的入侵提供直接保護。

2.3計算機的安全防護

(1)帳戶管理刪除不必要的及已經(jīng)不再使用的帳戶，禁用Guest帳戶，將Administrator賬號改為其他名稱，為用戶所在的組設(shè)置相應(yīng)的權(quán)限，啟用帳戶策略，同時在組策略中為用戶啟用強密碼策略。(2)把共享文件的權(quán)限從"everyone"組改為授權(quán)用戶；對于系統(tǒng)中的默認共享則要關(guān)閉掉，要徹底關(guān)閉默認共享，可以通過修改注冊表來完成，打開注冊表，找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]，把AutoShareServer(DWORD)的鍵值改為"00000000"，重啟系統(tǒng)，設(shè)置生效。(3)關(guān)閉不必要的服務(wù)和端口在Windows系統(tǒng)中，類似終端服務(wù)、IIS、RAS、RemoteRegistry等等可能給系統(tǒng)帶來安全威脅的服務(wù)，在不影響安全工作的情況下，都應(yīng)通過服務(wù)管理器來關(guān)閉掉它們。在系統(tǒng)目錄\system32\drivers\etc\services文件中有常見端口和服務(wù)的對照表，通過這個參考，關(guān)閉掉不必要的端口來提高安全性，關(guān)閉端口的具體設(shè)置可通過本地安全策略中的IP安全策略來設(shè)置。(4)打開審計策略在系統(tǒng)的安全審計策略中將所有審計對象均設(shè)置為"成功、失敗"，當有人嘗試對系統(tǒng)進行某些方式入侵時，都會被安全審計記錄下來，這樣也就不會導致系統(tǒng)被入侵許久都沒被發(fā)現(xiàn)的尷尬現(xiàn)象。(5)禁止建立空鏈接默認情況下，任何用戶都可通過空連接連上服務(wù)器，進而枚舉出賬號，猜測密碼?？梢酝ㄟ^修改注冊表來防止這個危險的發(fā)生，我們只要把注冊表中Local_Machine\System\CurrentControlSet\Control\LSA_RestrictAnony-mous的值改為"1"即可。(6)自動播放功能對計算機的危害也較大，我們應(yīng)該理解、熟悉組策略，充分利用組策略來禁止類似"自動播放功能"可能給計算機安全帶來威脅的一些不必要的功能。(7)USB口綁定USB口是計算機中信息導入、導出的主要途徑之一，為了防止任意U盤都能在企業(yè)計算機中使用，從而給計算機及計算機中的信息帶來威脅，我們必須要做好計算機USB口的綁定工作。USB口綁定可通過專門的軟件來實現(xiàn)，如北信源安全管理系統(tǒng)、中孚計算機終端安全管理系統(tǒng)等等。(8)使用MBSA掃描系統(tǒng)漏洞微軟的基線安全分析器MBSA(MicrosoftBaselineSecurityAnalyzer)是微軟提供的操作系統(tǒng)漏洞掃描軟件，我們可利用它對Windows的各種操作系統(tǒng)進行本地或遠程掃描，及時發(fā)現(xiàn)漏洞并將其堵住，以提高計算機的安全性。

3結(jié)語

企業(yè)計算機網(wǎng)絡(luò)安全的重要性對企業(yè)來說不言而喻，必須加強學習與研究，網(wǎng)絡(luò)安全方面的內(nèi)容含蓋量很大，分支也較多，可以從不同的角度去論述[3]。路由器、交換機、計算機及通信線路是企業(yè)計算機網(wǎng)絡(luò)的骨架，從技術(shù)方面去研究一下對企業(yè)網(wǎng)絡(luò)的安全性很有必要，像利用NTFS文件系統(tǒng)自帶的加密功能、通信線路的電磁泄漏問題、為提高信息安全而建的RAID磁盤陣列等等，這些方面能充分注意及加以利用，對提高企業(yè)網(wǎng)絡(luò)的安全性十分重要。

參考文獻：

[1]彭鵬.大數(shù)據(jù)時代計算機網(wǎng)絡(luò)安全及防范措施探析[J].黑龍江科學,2020,11(16):80-81.

[2]彭振宇.基于計算機網(wǎng)絡(luò)安全及防范對策研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2020,(8):3-4.

[3]王玥,岳曉菊,關(guān)麗華.計算機網(wǎng)絡(luò)安全問題與防范[J].數(shù)字通信世界,2020,(7):55-56.

作者：王大春 單位：江蘇泰達機電設(shè)備有限責任公司