模板
教程
环境
性能
功能
管理
软件测试之企业网络系统安全设计策略[2]
关键字:企业网络 系统安全 设计策略
虚拟可使得已在路由基础设施中存在的功能得到释放。虚拟的灵活性可让路由器承担它们真正应该做的事情,在工作组间支持实时的安全与存取控制,不管它们位于网络的何处。
2.广域及远程网络连接安全 当将局域网连接到Internet上时,防止外部侵入所能够采取的唯一重要的措施就是设立防火墙。采用Internet网关防火墙,在保证网络安全的前提下建立全面、透明和真正的Internet连接。目前建立Internet防火墙主要有两种方法: ·网关这种方法比较安全但效率不高,对用户和应用不透明,难于建立和管理,只有少量应用支持而且对每一种应用都要对其加以裁剪以适应需要; ·包过滤这种方法一般不很安全,但却很有效,它是一种综合性的方法,对多种协议和应用透明,传统的包过滤器是无状态的(Stateless),只有低层协议理解,难于建立和确认,同时缺乏监听的机制也是一种主要的缺点。 例如,Firewall-1就是一种结合了上述两种方法的高效、纯粹和安全的包过滤机制。它支持应用层次上的安全,统一支持与处理有关协议,并具有监听与报警功能。它的全部操作对于用户和系统建立都是透明的。除了过滤技术之外,Firewall-1还包含了面向对象的图形用户接口,便于管理和配置。 另外,企业网络在远程存取方面还可采用具有安全特性的远程通信服务器实现远程通信,提供企业网络全面的远程拨入存取控制功能。
3.网络与系统管理工具的安全特性 采用企业级网络管理工具提供系统级工具来进行网络管理与系统状态诊断及监测,并可进行企业网络远程监测。一般具有下面一些特性:
·可以监测企业内的所有路由器、集线器和交换机的运行状态; ·可及时确认出错设备和性能问题;
·可以显示出错设备的概要信息;
·提供迅速诊断网络的工具;
·提出简化Trap论断的出错并联分析;
·支持全面RMON协议分析,支持高级网管分析。
高级网管软件一般提供单一控制台管理混合以太网、交换网和令牌环网,其中包括高速主干和地理上分散以及各种各样线缆介质的网络,除兼容简单网络管理协议(SNMP)外,还应该提供企业级网络全方位配置管理、性能监视、出错分析、错误定位等功能,也提供预管理功能,以便在问题出现及对网络性能有负面影响之前侦察到。域值设定允许管理者建立和增强网络特定出错、性能和行为的级别,若达到域值,系统自动生成一个事件通知管理者,这些RMON事件或警告也可以触发用户定义的响应处理,如隔离一个端口,发出报警声,发送电子邮件信息或呼叫传呼机并提供许多附加的工具帮助管理者快捷判断和定位网络问题、查询用户和控制网络存取。 先进系统管理工具一般在网络系统安全方面具有很强的功能。
4.操作系统的安全控制 操作系统是管理计算机资源的核心系统,它负责向通信设备发送信息、管理存储设备上的存储空间和将信息装入内存等调度工作。 操作系统对存储状态下的信息保护可以分为两大部分,存储器的保护和文件保护。其中对文件的有效管理具有很重要的意义,其能方便、灵活、安全和可靠地为用户服务。通常采用管理文件目录的方法进行管理,并且利用口令字标志存取控制权限,用加密及其它一些手段来提高文件的安全性。 企业计算机网络与信息管理系统的操作系统平台主要是Unix和Windows NT,均具有相当完备的操作系统安全管理机制与方法。
①Unix安全特性 Unix的传统功能是通过特权系统(Previlege)来解决安全问题的。这个特权系统中的特权由可信任的主管人控制,且文件的访问权是通过文件允许位来控制的。在很多计算机环境中,这种处理方式是令人满意的,但这种方式没有提供很好的安全性。同时,由于Unix本身的开放性,使它本身容易受到各方攻击。Unix本身也有不同厂商的版本,不同配置的Unix和不同平台的Unix,因此,要制定一个统一的Unix安全性策略具有一定的难度。 一般可从三个方面来考虑建立一个具有适当安全性的Unix系统: ·设置安全帐号; ·保障同其它网络相连的安全性; ·保障文件和目录的安全性。 前两项工作保证减少对系统的非授权访问,第三项实现文件系统安全性,保护文件,防止被那些获得了系统访问权的非法用户访问。 帐号安全性 设置安全的帐号,并且确信所有的帐号是安全的,是配置任务中最重要的一项工作。
关于Unix系统安全性的第一个问题,即口令问题,有许多方法针对这一问题提出建议,如规定了强制更换口令周期的办法等。对于大规模的Unix系统,如何处理大量旧帐号是一个安全问题。对此,可以采用帐号设置截止日期等方法。 互联网络安全 Unix系统可以互连网络,这也使得它容易受到入侵者在连接点所进行的破坏。网络文件系统(NFS)允许两个或多个的宿主机共享文件,如果NFS没有启动任何安全特性,所有网际上的宿主机都可以使用NFS来取得你的软件,因此,要加强NFS安全性。 文件目录安全 只通过帐号安全性和网络安全性控制访问是不够的,每一个Unix文件以及每一个Unix目录,都有3个允许比特位设置,分别设置定义文件的所有者可以使用的分组和其它每个人的权限。所设置的比特位决定了文件和目录的一些特性,如读允许、写允许、执行允许、Setuid允许、Setgid允许等。
②Windows NT安全特性 Windows NT Server提供了管理功能和进行安全管理的使用工具。在企业层次上,Windows NT安全结构建立在域概念基础上。域是组织网络设计的一种结构,它赋予组和用户访问的权限。
它在Windows NT中作为设计目标的一个组成部分。用户从计算机取得资源之前,必须在Windows NT系统中登录。登录认证要求在两个层次即工作站层和服务器层进行。
