中图分类号:X931 文献标识:A 文章编号:1674-1145物理层面的安全防护
物理安全策略保证计算机网络系统各种设备的物理安全,是整个网络安全保密的前提。物理安全是保护计算机网络设备、设施免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。其目的是保护计算机系统、应用服务器、网络设备等硬件实体和通信链路层网络设备免受自然灾害、人为破坏和搭线攻击等。它主要包括两个方面:
1.环境安全。对系统所在环境的安全保护,确保计算机系统有一个良好的工作环境。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
2.设备安全。包括设备的防盗、防毁、防电磁信息辐射泄漏、抗电磁干扰及电源保护等。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设安全防护圈,以防止非法暴力入侵;第四计算机系统中心设备所在的建筑物应具有抵御各种自然灾害的设施。
网络准入控制。入网访问控制是保证网络资源不被非法使用,是网络安全保密防范和保护的主要策略。它为网络访问提供了第一层访问控制。技术上需要对企业内部网络的内部授权设备进行MAC地址绑定、IP地址绑定等配置,使其具备唯一、固定的接入点;对未使用的交换机端口采取逻辑控制,将其配置关闭AD域控制用户行为。AD域控制用户行为可以控制用户入网的时间和在哪台工作站入网。用户和用户组被赋予一定的权限,网络控制用户和用户组可以访问的目录、文件和其他资源,可以指定用户对这些文件、目录、设备能够执行的操作。启用密码策略,强制计算机用户设置符合安全要求的密码,包括设置口令锁定服务器控制台,以防止非法用户修改。设定服务器登录时间限制、检测非法访问。删除重要信息或破坏数据,提高系统安全行,对密码不符合要求的计算机在多次警告后阻断其连网。
2.数据安全部分。随着计算机的普及和信息技术的进步,特别是计算机网络的飞速发展,信息安全的重要性日趋明显。但是,作为信息安全的一个重要内容——数据的重要性却往往被人们所忽视。只要发生数据传输、数据存储和数据交换,就有可能产生数据故障。这时,如果没有采取相应手段与措施,就会导致数据的丢失。有时造成的损失是无法弥补和无法估量的。如何保护好计算机网络系统中存储的数据,保证系统稳定可靠地运行,并为业务系统提供快捷可靠的访问,通过以下四个方面来防护:
切断传播途径,接口控制。计算机开放了许多外设输入输出接口,如串口、并口、USB、1394、红外传输、读卡器等接口。这些接口是信息外泄和黑客攻击的重要途径,应严格控制。选用接口控制软件,禁用无线传输接口,管理物理接口,物理上拆除读卡器、无线MODEN、无线网卡等。部署三合一管理系统,管理涉密信息系统内部专用的涉密移动存储介质,此类移动存储介质通过注册和授权,在涉密信息系统之外无法使用,防止介质在涉密信息系统内外交叉使用,截断涉密信息网络与外部网络和计算机的数据交叉通道。
内网安全风险管理与审计。内网安全风险管理与审计系统主要针对的是内部网络的一些越权获取数据、信息泄密、一机两用、非法接入、私自使用外来移动存储设备、未经允许接入设备等行为进行监查管理,可有效管理和阻止网络内部主要针对主机的有害行为,并且将过程记录下来提供给事后审计和查证,检查单位可以通过查看可靠的审计日志输出,对所有违规行为做到有据可查,对内部网络行为的管理监控结果有效,审计结果取证完整、记录可信。通过对行为而不是内容进行监管,还可防止管理人员接触无关的秘密,减少泄密的可能,使单位内部的秘密得到可靠保护。
:124-127.
[2] 杨大伟,郑澎.终端安全管理系统提升运维效率[J].网络安全和信息化,2017(3):122-126.
查看全文
false