安全策略的检查

客户有台3600路由忽然速度奇慢,检查线路、重启动之后发现IOS没了...不得已用Xmodem把IOS重新传上去,启动正常,并没有发现硬件有问题。仔细检查该路由器的配置,发现有这样两个配置指令:
 snmp-server community public RO
 snmp-server community private RW

询问 网管人员,原来他们最近想用一台网络测试仪记录设备工作状态,结果就给配上了这样的snmp参数。对于一台直接连接到Internet的路由器来说,这样的配置...等于敞开大门,欢迎骇客。

Cisco 的配置文档建议通过以下手段建立一个有效的安全策略:

1.确定要重点保护的网络资源

象上面例子中的网络出口,一旦工作不正常,影响很大,需要重点保护;网络中重要的文件、数据库、应用系统等,更是保护的重点。

2.找出危险点

一般来说Internet出口、Internet服务器、拔号访问入口等等是容易发生安全问题的地方,应该重点防护。了解新发现的安全漏洞,及时采取相应的措施,比如打上补丁、升级IOS或暂时关闭有问题的服务。根据CCO “安全顾问”网页, Cisco产品今年以来发现的影响较广泛的严重安全漏洞为:

CSCdw33027  SSH扫描导致当机 2002.6.27
 CSCdt93866  NTP缓冲区溢出漏洞 2002.5.8
 CSCdw67458  SNMP拒绝服务漏洞 2002.2.12

这些漏洞您了解并采取了相应的措施吗? 如果不,那么很可能您最近的一次当机事件就跟它们有关,一些客户的经历证明了这一点。除了安全问题,还有一些其它的功能设计方面的缺陷等等,值得紧跟IOS主要更新版本进行升级。

3.限制访问范围

典型的手段是访问控制列表。在上面那个例子中,把community字配成众所周知道的public/private当然万万不行,由于SNMP是一个相当不安全的协议(尤其是低版本),还应该通过访问控制列表限定能访问设备SNMP的主机: 在snmp-server community xxxx RO/RW 后,可以加上一个标准或扩展的访问控制列表。console口可以配上密码,不要设置no exec-timeout。telnet访问的限制通过在line vty指定access-class实现;CatOS的交换机用ip permit-list; 高端设备可以用SSH取代telnet。不必要的服务,如tcp/udp-small-servers、ip finger、ip http server等应予以关闭。ip http server(Web管理界面)去年就曾爆出了一个严重的安全漏洞,可以用ip http access-class作限制。tftp-server服务用完就应关闭,也可以指定ACL,或用较为安全的FTP代替。路由协议可以加上认证,常用的RIP v2、EIGRP、OSPF以及BGP等都支持明文或md5认证。在端口上应用ACL,过滤不必要的通讯,还可以利用IOS的安全功能,防止IP欺骗和一些常见的攻击。

4.检查安全假定

通常我们都会对网络安全状态做出一些假定,比如我们会认为公司内部不会有人熟悉网络设备/特定应用系统的人,所以攻击来自于内部的机会很少等等。这样的假定需要定期检查,因为环境是会改变的。比如可能会出现一些攻击网络的病毒,或者有一些骇客工具会被好奇的人的拿来乱用,等等。所以,经过一段时间,网络内部设备的软件也要进行必要的升级。

5.确定安全措施的代价

包括实施安全措施对网络系统效率的影响、给用户带来不方便以及管理需求和设备费用等。关于网络安全设备建议尽量采用国内厂家的产品,原因有三个:首先国外的产品可能会留有后门; 其次国外对于安全产品有出口限制,能够买到的产品设计性能低于国内的产品;最后国内厂家能提供便宜但更高质的支持。

6.考虑人为因素

要通过培训等方法让用户理解安全措施,提高安全意识,没有用户的支持安全措施很可能会失效。用户还应保存好密码,不能在电话、mail中向别人透露,输入密码的时候不能让别人看到,不能未注销系统就离开控制台等。

7.保存有限数量的机密

可以采用较少的密码字,但要够复杂,如采用大写字母和%#^*&等符号,telnet密码由于容易被看到,应该与enable secret全不相同,可以使用service password-encryption。密码要保存得当,别记在键盘底下,:-)。

8.实施全面而易于扩展的安全措施

采取系统化的方法,将安全措施应用于整个流程中。系统化的方法还便于在流程变更时相应地作出适当的调整。

9.了解网络的正常工作状态

清楚网络的正常状态才能观察到异常情况,有助于及时发现安全问题。在这点上一个配置正确的网管软件或IDS会很有用,它们能够即时地发现和记录网络中的异常情况,并进行告警。

10.别忘了物理安全

设备如果能被入侵者物理接触,则其安全就完全没了保障,所以这是最基本的一点,不能忘记。

除了应当该经常关注产品厂家网站的安全网页之外,推荐两个值得常去的网络安全站点:CERT、绿盟,如果不方便经常上网,可以订阅相应的邮件列表。

时间: 2024-12-27 23:54:55

安全策略的检查的相关文章

Windows网络安全其实我们只差五步

网络安全不再仅仅是用户组网才会思考的问题,如今的网络情况纷繁复杂,网络安全更要考虑的详尽周到.笔者提醒您P2P用户,其实Windows网络安全体验我们只差五步. 1.必须有本地的安全策略 增强每一个个人的系统安全是重要的,因为在这种设置中没有组策略,你必须要依赖Windows本地的安全策略.你可以通过Window控制面板或者通过运行secpol.msc或者secpol.msc来访问你的本地安全策略设置. 要记住,你需要做的关键的设置包括:启用审计失败事件的记录.要求使用Ctrl+Alt+Del键

谈谈百度站长工具的一些利与弊

能看这篇文章的站长相信都实用了百度开放的站长工具,否则的话也是一掠而过,当然,不管你是不是实用百度站长工具,本人写这篇文章其实也是思考了很久,因为从百度站长工具开始对外的时候,我就在使用,而随着功能的增加,在某个程度上确实方便了站长,但是这个工具也是有两面性的,今天我就跟大家说说百度站长工具的利与弊.   首先说利吧,百度站长工具为每一位站长都提供了可以查询索引量以及现在最新的外链分析,站长工具里面的功能就不多说了,这里面大家都看得见的,所以没必要说它的功能,很多站长都在实用百度的工具,这当然是

十个步骤使您免受勒索软件伤害

本文讲的是 十个步骤使您免受勒索软件伤害,如果您在过去几周一直对安全方面的新闻有所关注,应该听说多家公司受到勒索软件,特别是"Locky"的影响,其中不乏国内知名公司.这款勒索软件于今年二月露面并迅速成长为全球第二大勒索软件系列,排名仅次于CryptoWall,位于TeslaCrypt之前.虽然美国.法国与日本是受Locky影响最严重的三个国家,但是勒索软件同样肆虐其他亚太地区,尤其是中国. 最近发生的这波网络攻击浪潮使许多机构与用户深表担忧,您应该也不例外.勒索软件是很龌龊的事物,但

硬件防火墙的例行检查

硬件防火墙是保障内部网络安全的一道重要屏障.它的安全和稳定,直接关系到整个内部网络的安全.因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的. 系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决. 一般来说,硬件防火墙的例行检查主要针对以下内容: 1.硬件防火墙的配置文件 不管你在安装硬件防火墙的时候考虑得有多么的全面和严密,一旦硬件防火墙投入到实际使用环境中,情况却随时都在发生改变.硬件防火墙的规则总会不断

Oracle数据库的安全策略

Oracle数据库的安全策略 Oracle是关系型数据库管理系统,它功能强大.性能卓越,在当今大型数据库管理系统中占有重要地位.在我们开发的一MIS系统中,选用了Oracle7.3数据库.在正常情况下,Oracle数据库会保证数据的安全.稳定,为用户提供正确的数据,但由于计算机系统的故障(硬件故障.软件故障.网络故障和系统故障)影响数据库系统的操作,影响数据库中数据的正确性,甚至破坏数据库,使数据库中全部或部分数据丢失,整个系统都将处于瘫痪状态.因此,如何保证Oracle数据库的安全就成为整个M

打造SQL Server2000的安全策略

Microsoft建立了一种既灵活又强大的安全管理机制,它能够对用户访问SQL Server服务器系统和数据库的安全进行全面地管理.按照本文介绍的步骤,你可以为SQL Server 7.0(或2000)构造出一个灵活的.可管理的安全策略,而且它的安全性经得起考验. 一.验证方法选择 本文对验证(authentication)和授权(authorization)这两个概念作不同的解释.验证是指检验用户的身份标识:授权是指允许用户做些什么.在本文的讨论中,验证过程在用户登录SQL Server的时候

Oracle 数据库的安全策略

oracle|安全|策略|数据|数据库 Oracle 数据库的安全策略(一) Oracle 是关系型数据库管理系统,它功能强大.性能卓越,在当今大型数据库管理系统中占有重要地位.在我们开发的一 MIS 系统中,选用了 Oracle7.3 数据库.在正常情况下, Oracle 数据库会保证数据的安全.稳定,为用户提供正确的数据,但由于计算机系统的故障(硬件故障.软件故障.网络故障和系统故障)影响数据库系统的操作,影响数据库中数据的正确性,甚至破坏数据库,使数据库中全部或部分数据丢失,整个系统都将处

MIS系统实例中Oracle数据库的安全策略

由于Oracle数据库备份有三种方式,每种方式具有不同的恢复特性,因此应集成数据库与文件系统备份,集成逻辑备份和物理备份. 一.备份策略 1.在操作系统级,使用大容量磁盘阵列,通过磁盘映像技术使每一个数据库文件自动分布于每个物理磁盘.这样,当某个磁盘出现物理损坏时,操作系统会自动引发映像磁盘来取代失效的磁盘,保证数据库的正常运行. 由于我们使用的是双服务器,因此在另一服务器上保留一个备份数据库.备份数据库与正在使用的数据库具有相同的参数状态,这样在数据库故障中,只需作必须的最少恢复,最大限度地缩

深入解析Oracle数据库安全策略

Oracle是关系型数据库管理系统,它功能强大.性能卓越,在当今大型数据库管理系统中占有重要地位.在正常情况下,Oracle数据库会保证数据的安全.稳定,为用户提供正确的数据,但由于计算机系统的故障(硬件故障.软件故障.网络故障和系统故障)影响数据库系统的操作,影响数据库中数据的正确性,甚至破坏数据库,使数据库中全部或部分数据丢失,整个系统都将处于瘫痪状态.因此,如何保证Oracle数据库的安全就成为整个系统安全的重要组成部分. Oracle数据库的安全策略包括数据库的备份和恢复.用户角色管理.