安全经验谈连载之：防护网络安全原则

显然，防护网络的第一步是防护网络中的所有计算机，包括个人工作站和服务器。然而，这只是网络安全的一部分，防火墙必不可少，大多数专家还建议用IDS，有许多IDS可供选择，有些甚至还是免费的。IDS可以检测攻击行为，像端口扫描，这可能预示着有人尝试侵入网络边界安全。

假如网络很大，就要考虑用带防火墙的路由器把网络分成若干部分，这样的话，一个部分发生问题，不会影响成个网络。这里，可以考虑把所有重要的服务器都放在一个安全区域内，这通常叫DMZ区。

如Web服务器是对外提供服务的，并且 常受到攻击，把他们单独放在一个区域内是比较合理的。许多网络管理员会考虑在Web服务器与其它网络之间再放一个防火墙。这样的话，骇客就算利用服务器漏洞侵入了Web服务器，也不能进入整个网络。同时，一定要有策略指导用户如何使用系统，再健壮的安全系统都会因为用户的稍不注意而功亏一篑。一定要记住必须要有安全策略指导用户哪些能做，哪些不能做。

在加固服务器（打补丁，关闭不必要的服务等）的同时，也需要加固路由器。如何加固路由器需要咨询相应的安全厂商，但是这里有一些基本原则：

1、使用强壮的密码：所有的路由器都可配置。因此，必须要遵循统一的安全策略， 少字符、复杂度、生存期、密码历史等要求。如果路由器支持加密（如Cisco及一些大厂商），那么 好加密。

2、使用日志：大多数路由器有日志功能。应该把此功能打开，就像监视服务日志那样。

3、安全原则：一些基本的路由安全准则要遵守。

4、不要响应非本地网络内主机的ARP（Address Resolution Protocol，地址解析协议）。

5、网络内不需要端口应该在路由器关闭。

6、不是从本地网络内发起的数据不予转发（此条为企业网原则，不适用于透传情况）。

以上是总体原则。好了，还是理一下防护网络的常规动作吧。分为两个级别：一般级和增强级。

一般级：没有达到这个要求，是很危险的。

1、所有的工作站和服务器都应用基本PC安全清单（基本安全级别）。

2、在内网和外网连接处部署包过滤防火墙。

3、在内网和外网连接处部署代理服务器。

4、所有路由器都设置为不转发广播包。

5、所有密码长度至少8位，6个月至少修改一次。

6、服务器物理安全措施到位，只有必要的人员才能接触。

7、有明确策略规定禁止从internet下载任何软件。

8、有明确策略规定如何处理邮件附件。

9、有明确策略规定如何处理离职员工。

10、加强员工安全意识并遵守企业策略。

11、每月至少备份和检查一次服务器日志。

12、每周所有服务器至少备份一次，每个月的备份移出并安全存储。

13、只有管理员才具有完全控制权限。

增强级：满足一般级的前提下，增加如下安全措施。

14、在网络边界部署状态包检查防火墙。

15、所有通往子网的路由器都具有包过滤防火墙功能。

16所有服务器每天至少备份一次。每个礼拜的备份移出并安全存储。

17、制定一个明确的灾难恢复计划，并对IT人员进行培训。

18、安装入侵检测系统。

19、每周至少备份和检查一次服务器日志。

20、每60天对所有计算机检查和更新补丁。

21、对所有特权网络管理员进行额外的背景检查。

22、所有计算机的浏览器在中等安全级别设置的基础上执行自定义设置。

23、所有密码长度至少8位，包含混合字符，并每90天修改一次。

24、至少每90天对所有计算机利用安全分析器和端口扫描器进行检查。

25、外部登陆只在非常严格的条件下才允许，如利用VPN。

26、所有安全活动（备份、扫描、下载补丁、更改密码、增加/删除用户，更改许可等等）都必须记录，记录内容包括执行人、时间、授权人等。

27、每个季度执行一次安全审计，包括检查补丁、日志、策略。

28、每年对整个网络进行一次安全审计，包括管理员个人背景、模拟攻击测验、包嗅探、日志审计等等。

29、定期的给用户发送安全更新警告，提示当前网络欺骗、病毒、木马等信息。

30、废旧介质（硬盘、磁带等）要完全销毁。

至此，可以说安全保障的本职工作已经做的相当好了，但前一部分的侧重点在“物”，我们堵住了设备的“漏洞”。前面介绍过，“人”的因素也很重要，赌不住人性的“漏洞”，只能功亏一篑。易中天以人物说故事，以故事说历史，以历史说人性，古今多少年，还是落脚点在人性上，可见人性多么关键。网络安全也一样，离不开人的因素，而且是个动态对抗的过程，没有一成不变的理论，只有举一反三，灵活运用。下面就介绍一下如何洞悉人性弱点，防止网络欺骗。