浅议保障网络安全需避免十大错误.doc

浅议保障网络安全需避免十大错误 　　摘要：随着计算机网络的广泛普及和大量应用，网络入侵事件不断发生，给我们造成严重的经济损失和难以估量的政治和军事影响。因此，保护网络安全已经成为组织、企业、各级政府和军事部门十分关心的重要问题。本文从十个方面论述了保障网络安全必须避免的错误。 关键词：密码；安全策略；后门；备份；补丁 中图分类号：TP393.08 文献标识码：A 文章编号：1674-7712 （2013） 02-0077-01 在网络管理过程中，尽管安全管理员尽了最大努力，仍然会有许多常见的网络安全错误发生。有一个列表列出了排名前十位的在网络中经常出现的安全错误。有一些是配置错误，而其他都是程序方法方面的错误。这个列表决不是惟一的，却是一个对网络安全级别进行快速评估的好方法。下面谈谈排名前十位在网络中经常出现的安全错误。 一、脆弱的密码 网络环境中发现排名第一的错误是脆弱的密码。脆弱密码产生的原因是密码策略过于严格或者没有密码策略。密码策略已经预先制定好，但没有实施，也没发挥作用。此外，也包括没有更改的默认密码。网络设备的所有默认账号，在可能的情况下，应该改名，默认密码应该更改。如果账号不再需要了，应该删除或者禁用服务。 比默认密码更为严重的错误是系统没有密码保护。如果设备不需要密码或者其他形式的安全密钥来登录的话，它不应该成为企业网络的一部分。 二、未创建安全策略 公司的最大错误之一是未创建一个牢固、有效和实际可行的安全策略。用户和管理员除非在得到通知的情况下，否则都不愿意去了解如何处理安全问题。 安全策略应该很好地用文档说明，要考虑到不仅是安全需要，而且也是业务需要，以及也是网络用户的需要。如果策略过于严格，它妨碍了用户有效地完成工作；用户就会开始找寻其他方法绕过这一策略，此时安全策略也就不起作用了。 效率低下的安全策略也无法检查整个网络并且可能留下被攻击者轻易利用的更大漏洞。设计安全策略时要涉及到系统管理员和所有部门的管理人员，使他们在策略更新时得到通知。使用清晰和易于理解的语言通知用户关于安全策略的内容，并给他们解释安全限制的必要性。安全策略的沟通方式越有效，网络用户就越可能支持它。 三、非安全方式访问设备 网络上使用的许多设备允许管理员通过Telnet、FTP和其他不加密的方式进行访问。这是产品供应商的错误，不应该在企业网络中长期存在。 四、过分依赖防火墙 防火墙很优秀。它能够为网络提供许多保护，极大增强网络安全。然而，研究员应该是保障网络安全的惟一途径。通常情况下，系统管理员依赖防火墙来完全保护网络，但是防火墙要做到这些也不容易。使用防火墙并结合其他领域的严格安全实践可以为网络提供多个层面的安全性和更好的保护。 在防火墙规则集得不到正确管理的情况下，过分依赖防火墙会导致特别严重的灾难性后果。通常在开始时要对防火墙进行非常严格的配置，然后随着需要的增加，扩充规则集。 五、后门访问 管理员通常会创建第二个账户，增加第二个网络接口或者寻找其他途径为自己访问服务器或者网络提供一种备份方式。只要这种方式已经正确地用文档说明，同时采用了正确的安全预防措施，这本身并没有什么错误。 多数情况下，这些访问方式既没有相关文档说明，也没有进行正确的安全漏洞测试。创建这些访问方式只是为了方便，但是这可能会在网络内部形成很大的安全漏洞。 六、备份 备份本身并没有错，但是许多管理员没有采取正确的安全预警措施，也没有备份正确的信息资料。特别是对网络设备更是如此。路由器和交换机在初次部署时的配置信息或者更改配置时都没有备份。防火墙配置也常常没有备份。规则集更改时也不实行备份。 每天都要对服务器和其他对网络基础设施等非常重要的机器进行备份。路由器、防火墙和交换机的配置在每次更改后都要进行备份。在动态网络中，网络设备经常变动，应该与服务器一样每天都进行备份。 七、不更新防病毒软件 防病毒定义必须经常更新。病毒定义至少应该每周更新，如果是病毒的高发期，则需要提高更新频率。这可能看起来很极端，但是要记住，Melissa病毒从开始发布到传播到三大洲用了不到24小时。 考虑在网络中运行来自两个不同产品供应商的防病毒软件，以此作为附加的安全保护层。一个产品供应商的产品应该侧重于邮件和组件服务器，在这些设备上进行病毒扫描是非常重要的，要防止病毒文件进入系统或通过网络传播。第二个开发商的产品应该用于工作站，捕捉访问层上引入的任何病毒，也可能捕获服务器上的软件漏杀的病毒。 八、未持续实施安全策略 安全策略实现以后，必须坚持一贯地执行。已经制定的安全策略，系统管理员、管理人员和其他网络用户应该遵守和维护。如果用户违