探討企業(yè)計算機網絡安全基礎防護

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了探討企業(yè)計算機網絡安全基礎防護范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要：計算機網絡是利用通信線路把地理位置上分散的計算機和通信設備連接在一起，在系統(tǒng)軟件和協(xié)議的支持下，實現(xiàn)數(shù)據通信和資源共享的一個復雜系統(tǒng)。網絡的基本資源包括硬件資源、軟件資源和數(shù)據資源。當今，網絡已成為維系社會、企業(yè)正常運轉的支柱之一，企業(yè)在網絡中存儲的許多信息是全體員工長期積累下來的智慧結晶，關乎企業(yè)的發(fā)展。因此，企業(yè)網絡的安全十分重要，在企業(yè)網絡的安全性方面作一研究也顯得非常必要。目前，關于網絡安全方面的技術較多，如防火墻、入侵檢測技術、信息對抗技術、密碼技術、用戶識別技術等等，而該文則是主要從網絡中的一些基礎的節(jié)點設備路由器、交換機、計算機方面的安全性作探討。

關鍵詞：計算機網絡；基礎設備；安全性

引言

在企業(yè)計算機網絡中，路由器、交換機、計算機是企業(yè)網絡的主體，也是主要遭到攻擊的對象[1]。有些典型的攻擊往往也是利用路由器、交換機、計算機自身的設計缺陷而展開的。例如發(fā)送虛假路由信息，使路由器路由表混亂導致網絡癱瘓，或者攻擊者通過更改自己的IP地址偽裝成可信任的用戶，發(fā)送特定的報文來擾亂正常的網絡數(shù)據傳輸，或偽造成可接受的路由報文來更改路由信息，以竊取機密。計算機也是一樣，其上的操作系統(tǒng)本身就有許都漏洞，以及許多服務端口，這些都是可能被攻擊的途徑。對于這些，都必須采取安全設置。

1路由器、交換機及計算機的安全隱患

1.1路由器與交換機存在的潛在危險

(1)弱口令：在IOS(Internetworkoperatingsystem)中，特權密碼的加密方式有強加密與弱加密兩種，而普通存取密碼在默認的情況下則是明文，并且密碼設置強度可能不夠。(2)IOS自身的缺陷：IOS作為路由器與交換機的操作系統(tǒng)，由于自身的漏洞而帶來的安全風險。(3)非授權用戶可以管理設備，可以利用Telnet或SNMP通過網絡對設備進行帶內管理，還可以通過Console與AUX口對設備進行帶外管理。默認情況下帶外管理是沒有密碼限制的，隱含較大的安全風險。(4)CDP協(xié)議造成設備信息的泄漏：為方便查找聯(lián)網設備，Cisco專門開發(fā)了CDP協(xié)議，但該協(xié)議在便于查找設備的同時，也泄露了改設備的基本信息，很容易被攻擊者利用來發(fā)動Dos攻擊。(5)交換機物理端口未加強管理，在工作組環(huán)境下存在極高風險。(6)企業(yè)網絡中未通過交換機劃分Vlan進行管理，容易造成內部入侵。

1.2計算機存在的安全風險

計算機的風險主要來自計算機操作系統(tǒng)，操作系統(tǒng)作為整個系統(tǒng)管理和應用的基礎，具有舉足輕重的地位，因操作系統(tǒng)的規(guī)模龐大，從而面臨的風險也非常多[2]，下面是一些常見的威脅：(1)Guest帳戶造成非授權的計算機用戶登錄訪問系統(tǒng)。(2)IPS$入侵：IPC$(InternetProcessConnection)是共享"命名管道"的資源，它是為了讓進程間通信而開放的命名管道。IPC$入侵，即是通過使用Windows系統(tǒng)中默認啟動的IPC$共享，來達到侵略主機，獲得計算機控制權的入侵。(3)自動播放功能造成的危害：很多木馬、病毒通過移動存儲介質(移動硬盤、U盤、光盤)進行傳播，自動播放功能為它們的傳播提供了便利途徑。(4)Windows內核消息處理本地緩沖區(qū)溢出漏洞導致本地用戶權限提升。(5)開啟了不必要的服務和端口被攻擊者探測到，從而發(fā)起了攻擊。(6)帳戶未使用強密碼策略，密碼容易被猜測。(7)未啟用審核策略對系統(tǒng)的各種事件進行有效審核和跟蹤。(8)沒有及時更新系統(tǒng)漏洞補丁以及沒有及時打上系統(tǒng)安全補丁，易被攻擊者利用。

2安全防護

2.1路由器的安全管理

2.1.1及時修補程序與更新IOS網絡設備制造商一般會在自己的網站上網絡設備的IOS的已知安全漏洞和應采取的安全措施，我們要養(yǎng)成經常訪問這些網站的好習慣，及時修補漏洞。

2.1.2定期審核和查看日志日志功能記錄著多數(shù)的操作記錄，其中也包括所有被拒絕的企圖入侵的操作。利用路由器的日志功能對設備的安全來說十分重要。各個廠商的日志功能大同小異，如Cisco路由器支持如下日志：AAA日志(主要收集關于用戶撥入連接、登錄、HTTP訪問、權限變化等信息)、SNMPTrap日志、系統(tǒng)日志。我們最應關注的應該是系統(tǒng)日志，它記錄了大量的系統(tǒng)事件，建議使用Syslog服務器，將路由器日志信息發(fā)送到Windows下的Syslog日志服務器長期保存下來以便日后查看。我們還可以使用如下命令來查看路由器系統(tǒng)的運行情況：

2.1.3阻止無用的數(shù)據流從互聯(lián)網進入路由器的傳入數(shù)據具有不可控的潛在風險，我們可以采用一些手段來阻止此數(shù)據流。例如在路由器的廣域網接口上啟用擴展ACL來實現(xiàn)對外部的ICMP報文回顯的屏蔽，可防止黑客通過相關回顯內容收集到路由設備的相關信息，設置語句如下：另外，因CDP協(xié)議安全性能的薄弱性，如果是以Cisco路由器充當邊界路由器的話，要絕對警用CDP。

2.1.4強化訪問控制(1)使用強密碼策略Enable、telnet等等所有口令在設置時都要使用強密碼策略，同時要啟用Servicepassword-encryption命令。(2)關閉基于Web的配置使用Web方式來配置路由設備對于管理人員來說比較方便，但這種方式很容易繞過用戶認證或遭到Dos攻擊，所以應該禁止Web配置，語句如下：Router(config)#noiphttpserver(3)控制遠程訪問與控制臺訪問由于VTY在網絡的傳輸過程中數(shù)據是不加密的，所以對于使用VTY這種遠程訪問來配置設備的方式最好禁用它；對于通過Console口和AUX口來配置設備的控制臺訪問方式，一般我們是將AUX口關閉，通過Console口來配置設備便可，同時也要為Console端口設置強密碼，這樣才較安全。

2.1.5關閉路由器中不必要的服務在企業(yè)網絡的路由器中，每個打開的端口都與一個偵聽服務相關聯(lián)，為了降低被攻擊的可能性，必須關閉不必要的默認服務，相關命令如下：2.2交換機的安全防護交換機的安全防護與路由器的安全防護相似：修補程序和更新；控制對交換機的管理訪問途徑；關閉危險服務等等。與路由器維護方面略有不同之處主要有以下兩點：(1)交換機上未使用的物理端口要禁用，已使用的物理端口要與計算機的MAC地址綁定，尤其是在工作組環(huán)境下的網絡。(2)利用VLAN技術將公司的各個部門劃分到不同的虛擬子網中，通過ACL來控制VLAN之間的數(shù)據流，使用VLAN之間的ACL可對來自企業(yè)內部的入侵提供直接保護。

2.3計算機的安全防護

(1)帳戶管理刪除不必要的及已經不再使用的帳戶，禁用Guest帳戶，將Administrator賬號改為其他名稱，為用戶所在的組設置相應的權限，啟用帳戶策略，同時在組策略中為用戶啟用強密碼策略。(2)把共享文件的權限從"everyone"組改為授權用戶；對于系統(tǒng)中的默認共享則要關閉掉，要徹底關閉默認共享，可以通過修改注冊表來完成，打開注冊表，找到如下主鍵[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]，把AutoShareServer(DWORD)的鍵值改為"00000000"，重啟系統(tǒng)，設置生效。(3)關閉不必要的服務和端口在Windows系統(tǒng)中，類似終端服務、IIS、RAS、RemoteRegistry等等可能給系統(tǒng)帶來安全威脅的服務，在不影響安全工作的情況下，都應通過服務管理器來關閉掉它們。在系統(tǒng)目錄\system32\drivers\etc\services文件中有常見端口和服務的對照表，通過這個參考，關閉掉不必要的端口來提高安全性，關閉端口的具體設置可通過本地安全策略中的IP安全策略來設置。(4)打開審計策略在系統(tǒng)的安全審計策略中將所有審計對象均設置為"成功、失敗"，當有人嘗試對系統(tǒng)進行某些方式入侵時，都會被安全審計記錄下來，這樣也就不會導致系統(tǒng)被入侵許久都沒被發(fā)現(xiàn)的尷尬現(xiàn)象。(5)禁止建立空鏈接默認情況下，任何用戶都可通過空連接連上服務器，進而枚舉出賬號，猜測密碼。可以通過修改注冊表來防止這個危險的發(fā)生，我們只要把注冊表中Local_Machine\System\CurrentControlSet\Control\LSA_RestrictAnony-mous的值改為"1"即可。(6)自動播放功能對計算機的危害也較大，我們應該理解、熟悉組策略，充分利用組策略來禁止類似"自動播放功能"可能給計算機安全帶來威脅的一些不必要的功能。(7)USB口綁定USB口是計算機中信息導入、導出的主要途徑之一，為了防止任意U盤都能在企業(yè)計算機中使用，從而給計算機及計算機中的信息帶來威脅，我們必須要做好計算機USB口的綁定工作。USB口綁定可通過專門的軟件來實現(xiàn)，如北信源安全管理系統(tǒng)、中孚計算機終端安全管理系統(tǒng)等等。(8)使用MBSA掃描系統(tǒng)漏洞微軟的基線安全分析器MBSA(MicrosoftBaselineSecurityAnalyzer)是微軟提供的操作系統(tǒng)漏洞掃描軟件，我們可利用它對Windows的各種操作系統(tǒng)進行本地或遠程掃描，及時發(fā)現(xiàn)漏洞并將其堵住，以提高計算機的安全性。

3結語

企業(yè)計算機網絡安全的重要性對企業(yè)來說不言而喻，必須加強學習與研究，網絡安全方面的內容含蓋量很大，分支也較多，可以從不同的角度去論述[3]。路由器、交換機、計算機及通信線路是企業(yè)計算機網絡的骨架，從技術方面去研究一下對企業(yè)網絡的安全性很有必要，像利用NTFS文件系統(tǒng)自帶的加密功能、通信線路的電磁泄漏問題、為提高信息安全而建的RAID磁盤陣列等等，這些方面能充分注意及加以利用，對提高企業(yè)網絡的安全性十分重要。

參考文獻：

[1]彭鵬.大數(shù)據時代計算機網絡安全及防范措施探析[J].黑龍江科學,2020,11(16):80-81.

[2]彭振宇.基于計算機網絡安全及防范對策研究[J].網絡安全技術與應用,2020,(8):3-4.

[3]王玥,岳曉菊,關麗華.計算機網絡安全問題與防范[J].數(shù)字通信世界,2020,(7):55-56.

作者：王大春 單位：江蘇泰達機電設備有限責任公司