有線電視中心網絡安全論文

一、網絡安全問題

在實際應用過程中，遇到了不少網絡安全方面的問題。網絡安全是一個十分複雜的問題，它的劃分大體上可以分為內網和外網。如下表所示：

由上表可以看出，外部網的安全問題主要集中在入侵方面，主要的體現在：未授權的訪問，破壞數據的完整性，拒絕服務攻擊和利用網絡、網頁瀏覽和電子郵件夾帶傳播病毒。但是網絡安全不僅要防範外部網，同時更防範內部網。因為內部網安全措施對網絡安全的意義更大。據調查，在已知的網絡安全事件中,約70%的攻擊是來自內部網。內部網的安全問題主要體現在：物理層的安全，資源共享的訪問控制策略，網內病毒侵害，合法用户非授權訪問，假冒合法用户非法授權訪問和數據災難性破壞。

二、安全管理措施

綜合以上對於網絡安全問題的初步認識，有線中心採取如下的措施：

（一）針對與外網的一些安全問題

對於外網造成的安全問題，使用防火牆技術來實現二者的隔離和訪問控制。

防火牆是實現網絡安全最基本、最經濟、最有效的措施之一。防火牆可以對所有的訪問進行嚴格控制（允許、禁止、報警）。

防火牆可以監視、控制和更改在內部和外部網絡之間流動的網絡通信；用來加強網絡之間訪問控制，防止外部網絡用户以非法手段通過外部網絡進入內部網絡，訪問內部網絡資源，從而保護內部網絡操作環境。所以，安裝防火牆對於網絡安全來説具有很多優點：

（1）集中的網絡安全；

（2）可作為中心“扼制點”；

（3）產生安全報警；

（4）監視並記錄Internet的使用；

（5）NAT的位置；

（6）WWW和FTP服務器的理想位置。

但防火牆不可能完全防止有些新的攻擊或那些不經過防火牆的其它攻擊。為此，中心選用了RealSecureSystemAgent和NetworkEngine。其中，RealSecureSystemAgent是一種基於主機的實時入侵檢測產品，一旦發現對主機的入侵，RealSecure可以中斷用户進程和掛起用户賬號來阻止進一步入侵，同時它還會發出警報、記錄事件等以及執行用户自定義動作。RealSecureSystemAgent還具有偽裝功能，可以將服務器不開放的端口進行偽裝，進一步迷惑可能的入侵者，提高系統的防護時間。Re?鄄alSecureNetworkEngin是基於網絡的實時入侵檢測產品，在網絡中分析可疑的數據而不會影響數據在網絡上的傳輸。網絡入侵檢測RealSecureNetworkEngine在檢測到網絡入侵後，除了可以及時切斷攻擊行為之外，還可以動態地調整防火牆的防護策略，使得防火牆成為一個動態的、智能的防護體系。

通過部署入侵檢測系統，我們實現了以下功能：

對於WWW服務器，配置主頁的自動恢復功能，即如果WWW服務器被攻破、主頁被纂改，系統能夠自動識別並把它恢復至事先設定的頁面。

入侵檢測系統與防火牆進行“互動”，即當入侵檢測系統檢測到網絡攻擊後，通知防火牆，由防火牆對攻擊進行阻斷。

（二）針對網絡物理層的穩定

網絡物理層的穩定主要包括設備的電源保護，抗電磁干擾和防雷擊。

本中心採用二路供電的措施，並且在配電箱後面接上穩壓器和不間斷電源。所有的網絡設備都放在機箱中，所有的機箱都必須有接地的設計，在機房安裝的時候必須按照接地的規定做工程；對於供電設備，也必須做好接地的工作。這樣就可以防止靜電對設備的破壞，保證了網內硬件的安全。

（三）針對病毒感染的問題

病毒程序可以通過電子郵件、使用盜版光盤等傳播途徑潛入內部網。網絡中一旦有一台主機受病毒感染，則病毒程序就完全可能在極短的時間內迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。防病毒解決方案體系結構中用於降低或消除惡意代碼；廣告軟件和間諜軟件帶來的風險的相關技術。中心使用企業網絡版殺毒軟件，（例如：SymantecAntivirus等）並控制寫入服務器的客户端，網管可以隨時升級並殺毒，保證寫入數據的安全性，服務器的安全性，以及在客户端安裝由奇虎安全衞士之類來防止廣告軟件和間諜軟件。

（四）針對應用系統的安全

應用系統的安全主要面對的是服務器的安全，對於服務器來説，安全的配置是首要的。對於本中心來説主要需要2個方面的配置：服務器的操作系統（Windows2003）的安

全配置和數據庫（SQLServer2000）的安全配置。1．操作系統（Windows2003）的安全配置

（1）系統升級、打操作系統補丁，尤其是IIS6.0補丁。

（2）禁止默認共享。

（3）打開管理工具-本地安全策略，在本地策略-安全選項中，開啟不顯示上次的登錄用户名。

（4）禁用TCP/IP上的NetBIOS。

（5）停掉Guest帳號，並給guest加一個異常複雜的密碼。

（6）關閉不必要的端口。

（7）啟用WIN2003的自身帶的網絡防火牆，並進行端口的改變。

（8）打開審核策略，這個也非常重要，必須開啟。

2．數據庫（SQLServer2000）的'安全配置

（1）安裝完SQLServer2000數據庫上微軟網站打最新的SP4補丁。

（2）使用安全的密碼策略設置複雜的sa密碼。

（3）在IPSec過濾拒絕掉1434端口的UDP通訊，可以儘可能地隱藏你的SQLServer。

（4）使用操作系統自己的IPSec可以實現IP數據包的安全性。

（五）管理員的工具

除了以上的一些安全措施以外，作為網絡管理員還要準備一些針對網絡監控的管理工具，通過這些工具來加強對網絡安全的管理。

Ping、Ipconfig/winipcfg、Netstat：

Ping，TCP/IP協議的探測工具。

Ipconfig/winipcfg，查看和修改網絡中的TCP/IP協議的有關配置，

Netstat，利用該工具可以顯示有關統計信息和當前TCP/IP網絡連接的情況，用户或網絡管理人員可以得到非常詳盡的統計結果。

SolarWindsEngineer''sEditionToolset

另外本中心還採用SolarWindsEngineer''sEditionToolset。它的用途十分廣泛，涵蓋了從簡單、變化的ping監控器及子網計算器（Subnetcalculators）到更為複雜的性能監控器何地址管理功能。”

SolarWindsEngineer''sEditionToolset的介紹：

SolarWindsEngineer’sEdition是一套非常全面的網絡工具庫，包括了網絡恢復、錯誤監控、性能監控和管理工具等等。除了包含ProfessionalPLUSEdition中所有的工具外，Engineer’sEdition還增加了新的SwitchPortMapper工具，它可以在您的switch上自動執行Layer2和Layer3恢復。工程師版包含了SolarwindsMIB瀏覽器和網絡性能監控器（NetworkPerformanceMonitor），以及其他附加網絡管理工具。

SnifferPro能夠了解本機網絡的使用情況，它使用流量顯示和圖表繪製功能在眾多網管軟件中最為強大最為靈活；它能在於混雜模式下的監聽，也就是説它可以監聽到來自於其他計算機發往另外計算機的數據，當然很多混雜模式下的監聽是以一定的設置為基礎的，只有瞭解了對本機流量的監聽設置才能夠進行高級混雜模式監聽。

除了上面説的五個措施以外，還有不少其他的措施加強了安全問題的管理：

●制訂相應的機房管理制度；

●制訂相應的軟件管理制度；

●制訂嚴格的操作管理規程；

●制訂在緊急情況下系統如何儘快恢復的應急措施，使損失減至最小；

●建立人員僱用和解聘制度，對工作調動和離職人員要及時調整相應的授權。

總之，網絡安全是一個系統工程，包含多個層面，因此安全隱患是不可能完全消除的，但是通過各種有力措施，卻可以將其減到最小程度。所以需在網絡安全問題方面不斷探索，使網絡建設和應用兩方面相互促進形成良性循環。