정보 시스템 경계는 기업 정보 시스템과 외부 데이터의 경계 영역이며 데이터 보안을 보장하는 첫 번째 장벽입니다. 정보 시스템 경계의 데이터 보안을 보장하기 위해서는 다음과 같은 보안 장치와 조치를 배포해야 합니다. 첫째, 네트워크 측면에 효율적이고 안전한 방화벽 장치를 설치하고 액세스 정책과 차단 정책을 통해 경계를 통과하는 양방향 트래픽을 필터링하고 신원 미상의 해커가 정보 시스템에 액세스하는 것을 방지해야 합니다. 두 번째는 고급 IPS 활성 공격 방지 장치를 배포하는 것입니다. 일반적인 네트워크 공격 대응 패키지를 구성하여 애플리케이션 계층에서 양방향 트래픽을 감지함으로써 바이러스, 웜, 트로이 목마의 공격 위험을 효과적으로 줄일 수 있습니다. 셋째, 주류 흐름 제어 장치가 있어야 하며, 비정상적인 트래픽을 검사하여 경계 출구 대역폭의 정상적인 사용을 보호해야 합니다. 넷째, 경계 장비 감사 시스템 및 로그 분석 시스템을 배포하고 네트워크 디바이스 및 보안 디바이스의 운영 로그와 운영 로그를 정기적으로 수집하여 로그 보고서를 작성합니다. 정보 보안 관리자는 로그 보고 분석을 통해 정보 시스템에 대한 공격, 네트워크 경계 규칙의 유효성 및 장비 작동 상태를 평가하여 다음 작업에 적합한 보안 계획을 세울 수 있습니다.
2. 데스크톱 터미널 도메인
데스크톱 터미널 도메인은 직원 데스크톱 작업 터미널로 구성되며 기밀 정보 보안 이벤트의 온상이다. 데스크톱 터미널 도메인 보안은 보안 방어의 두 번째 장벽으로, 주로 다음 세 가지 측면을 포함합니다.
첫째, 데스크톱 터미널 운영 체제의 보안. 회사의 대부분의 PC 에서 사용하는 운영 체제는 Microsoft 의 WindowsXP 또는 WindowsVista 입니다. 해커 공격에 대해 Microsoft 는 정기적으로 시스템 보안 패치를 출시합니다. 정보 인트라넷과 인트라넷에 Microsoft WSUS 패치 서버 세트를 배포하고 운영 체제 보안 패치를 정기적으로 다운로드해야 합니다.
둘째, 시스템 바이러스 백신 전략. 컴퓨터 바이러스는 컴퓨터 시스템 마비의 주범이다. 안티 바이러스 정책은 정보 인트라넷 및 엑스트라넷에 배포 된 안티 바이러스 서버를 통해 구현됩니다. Information Network 와 Information Network 에 안티바이러스 서버를 배치하고, Information Network 및 Information Network 의 PC 장치에 안티바이러스 클라이언트를 설치하고, 바이러스 백신 서버에서 정기적으로 바이러스 백신 데이터베이스를 자동으로 업데이트합니다.
세 번째는 모바일 스토리지 미디어의 보안입니다. 효과적인 보호가 없는 휴대전화 매체는 바이러스 전파의 효과적인 전달자이자 회사 기밀과 국가 기밀을 누설한 주범이다. 회사는 USB 디스크를 암호화하기 위해 안전한 모바일 스토리지 시스템을 구축해야 한다. 모든 직원은 안전한 USB 플래시 드라이브를 사용하여 모바일 미디어의 위험을 방지합니다.
3. 응용 프로그램 시스템 도메인
애플리케이션 시스템 도메인은 엔터프라이즈 애플리케이션 시스템을 실행하는 서버와 엔터프라이즈 애플리케이션 데이터를 저장하는 데이터베이스로 구성됩니다. 시스템 도메인 보안을 적용하는 것은 보안 방어의 세 번째 장벽이다. 응용 프로그램 시스템 도메인과 시스템 경계 사이, 데스크톱 터미널 사이, 보안 수준이 다른 응용 프로그램 시스템 도메인 사이에 방화벽 장치를 배포해야 합니다. 애플리케이션 시스템 유지 관리 담당자는 시스템 애플리케이션을 신중하게 집계하고 상세한 포트 신청을 제공하며 실용적인 액세스 및 차단 정책을 개발해야 합니다.
인터넷에서, 많은 사람들이 안전이나 위험을 의식하지 못한다. 그들은 모두 한 층의 안전체계만 쓰면 만사대길이라고 생각한다. 사실 한 층도 바이러스와 해커의 침입을 막을 수 없다. 그럼 이제 사이버 보안에 대한 몇 가지 관행과 관리 방법을 말씀드리겠습니다!
첫째, 개인 안전
컴퓨터 자물쇠를 보장하는 것 외에도 방화에 더 많은 주의를 기울이고 전선과 인터넷을 비교적 은폐된 곳에 놓아야 한다. 또한 네트워크가 연속 전압에서 작동할 수 있도록 UPS 를 준비해야 합니다. 전자학에서 피크 전압은 매우 중요한 개념이다. 피크 전압이 높을 때 가전제품을 태워서 네트워크를 마비시킬 수 있다. 피크 전압이 가장 낮을 때 네트워크가 전혀 작동하지 않습니다. UPS 를 사용하면 이러한 사고를 없앨 수 있다. 또 쥐가 인터넷 케이블을 물어뜯는 것을 방지하는 일도 잘 해야 한다.
둘째, 시스템 보안 (암호 보안)
우리는 대/소문자, 숫자, 특수 부호가 혼합된 비밀번호를 최대한 사용해야 하지만, 내가 이런 역장을 많이 본 것을 기억해야 한다. 그의 비밀번호 설정은 정말 복잡하고 안전하지만, 늘 기억하지 못하고 매번 노트북을 뒤집는다. 또한 빈 암호나 빈 암호를 사용하지 않는 것이 좋습니다. 일부 해커들이 쉽게 볼 수 있습니다.
또한 화면 보호기와 중요한 어플리케이션에 암호를 추가하여 이중 보안을 보장할 수 있습니다.
셋째, 패치 적용
우리는 제때에 시스템 패치를 업데이트해야 한다. 대부분의 바이러스와 해커는 시스템 취약점을 통해 들어온다. 예를 들어 지난 5 월 1 일 전 세계를 휩쓸었던 악명 높은 진동파는 마이크로소프트 허점 ms04-0 1 1 을 이용했다. 그리고 SQL 서버에서 죽지 않는 바이러스 슬럼머도 SQL 의 허점을 통해 들어왔다. (알버트 아인슈타인, Northern Exposure (미국 TV 드라마), 죽음명언) 따라서 IE, OUTLOOK, SQL, OFFICE 등의 애플리케이션과 시스템을 적시에 패치해야 합니다.
또한 텔넷과 같은 불필요한 서비스를 끄고 게스트 계정을 종료해야 합니다.
넷째, 바이러스 백신 소프트웨어 설치
바이러스 스캔은 모든 파일, 이메일 내용 및 실행 파일을 스캔하는 것입니다. Exe 파일. 검사 결과에는 바이러스 제거, 감염된 파일 삭제 또는 감염된 파일과 바이러스를 격리 폴더에 넣는 작업이 포함됩니다. 따라서 웹 서버에서 메일 서버, 파일 서버에 이르기까지 네트워크의 모든 기계는 바이러스 백신 소프트웨어를 설치하고 최신 바이러스 정의 코드를 유지해야 한다는 것을 알아야 합니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 컴퓨터명언) 우리는 바이러스가 일단 컴퓨터에 들어오면 미친 듯이 자신을 복제하고, 인터넷 전체에 큰 해를 입히고, 심지어 시스템 붕괴를 초래하고, 모든 중요한 정보를 손실한다는 것을 알고 있다. 따라서 일주일에 한 번 이상 전망의 컴퓨터에 대해 중앙 집중식 바이러스 백신을 실시해 정기적으로 바이러스를 격리하는 폴더를 제거해야 한다.
현재 방화벽과 같은 많은 게이트웨이 제품에는 바이러스 백신 기능이 있습니다. 예를 들어, 스크린 회장인 셰청 (Sheqing) 의 미국 비탑 Fortigate 방화벽에는 바이러스 백신 기능이 있습니다.
다섯째, 신청 절차
우리 모두는 바이러스의 절반 이상이 메일을 통해 들어오는 것을 알고 있기 때문에 메일 서버에 바이러스 백신 소프트웨어를 설치하는 것 외에 PC 의 outlook 도 보호해야 한다. 우리는 경각심을 높여야 한다. 제목이 없는 메일을 받거나 모르는 사람으로부터 메일을 받거나, happy99, money, 그리고 첨부 파일이 있는 등 모두 영어로 된 메일을 받을 때, 90% 이상이 바이러스이기 때문에 직접 삭제하는 것이 좋습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), Northern Exposure (미국 TV 드라마), 예술명언 얼마 전, 나는 한 정부 부처에서 이런 상황에 직면했다. 그들 부서의 세 사람은 쉬지 않고 우편물을 받았고, 한 시간 동안 기적적으로 2000 여 통을 받아 우편함이 터졌다. 처음에 그들은 해커가 그들의 네트워크에 들어갔다고 의심했다. 마지막으로 이들에게 물었을 때, 그들은 모두 이메일과 첨부 파일을 받았다고 말했다. 그들이 첨부 파일을 열었을 때, 그들은 사서함이 깨질 때까지 계속 메일을 받았다. 결국 발견한 것은 바이러스로 인한 것이다.
이 메일을 확인하지 않는 것 외에도 outlook 의 블랙리스트 기능과 메일 필터링 기능도 활용해야 한다.
한 페이지를 방문하면 많은 해커들이 들어온다. 당신은 이런 상황에 자주 부딪치나요? 웹 페이지를 열면 많은 창이 팝업되어 닫을 수 없습니다. 이것은 해커가 이미 너의 컴퓨터에 들어가서 너의 컴퓨터를 통제하려고 시도했다는 것을 의미한다.
따라서 IE 의 보안을 강화하고 쿠키 및 오프라인 파일을 자주 삭제하고 해당 ActiveX 컨트롤을 비활성화해야 합니다.
여섯째, 프록시 서버
프록시 서버는 우리가 자주 보는 웹 사이트에 대한 액세스 속도를 높이기 위해 처음 사용되었습니다. 프록시 서버는 버퍼링 역할을 하기 때문에 웹 사이트와 IP 주소 간의 대응 관계를 여기에 보관할 수 있습니다.
프록시 서버를 이해하려면 먼저 프록시 서버의 작동 방식을 이해해야 합니다.
환경: LAN 에는 프록시 서버 역할을 하는 듀얼 네트워크 카드가 있는 시스템이 있으며 다른 컴퓨터는 이를 통해 네트워크에 액세스합니다.
1. 인트라넷의 한 시스템이 시나닷컴에 액세스하려고 하기 때문에 요청을 프록시 서버로 보냅니다.
2. 프록시 서버는 보낸 요청 (헤더 및 내용 포함) 을 확인한 다음 불필요하거나 불법적인 내용을 삭제합니다.
3. 프록시 서버는 패킷을 재구조화하고 요청을 다음 게이트웨이로 보냅니다.
4. 시나닷컴이 요청에 응답하여 해당 IP 주소를 찾았습니다.
5. 프록시 서버는 여전히 제목과 콘텐츠가 합법적인지 확인하고 부적절한 콘텐츠를 삭제합니다.
6. 요청을 재구성한 후 결과를 인트라넷의 컴퓨터로 보냅니다.
프록시 서버의 장점은 시스템을 인트라넷에 숨길 수 있어 해커의 직접 공격을 방지하고 공용 IP 를 절약할 수 있다는 것입니다. 단점은 매번 서버를 통과해서 액세스 속도를 늦추는 것이다. 또한 프록시 서버가 공격 또는 손상되면 다른 컴퓨터가 네트워크에 액세스할 수 없습니다.
일곱째, 방화벽
방화벽의 경우 이름에서 알 수 있듯이 방화벽입니다. 방화벽의 가장 기본적인 작동 원리는 패킷 필터링입니다. 사실 패킷 필터링이 제기되기 전에 방화벽이 이미 나타났다.
패킷 필터링은 헤드 백에 불법 데이터가 포함되어 있는지 확인하는 것입니다. 우리는 차단할 것입니다.
간단한 예를 들어, 스포츠 센터에 유덕화 콘서트가 있고 개찰원이 문 앞에 앉아 있다면, 그는 먼저 당신의 표가 오늘 티켓과 일치하는지 확인한 다음 오른쪽의 것을 떼어 주고 나머지는 콘서트가 어디에 있는지, 어떻게 가는지 알려 줄 것이다. 이것은 기본적으로 패킷 필터링의 작업 흐름입니다.
당신은 사장이 말하는 것을 자주 들을 수 있습니다: 기계를 추가하려면, 우리가 원하지 않는 웹사이트를 금지할 수 있고, 메일을 금지할 수 있습니다. 스팸과 바이러스를 자주 보내지만, 기계를 추가하면 우리가 방문하고 싶지 않은 패킷을 차단할 수 있다고 말하는 사장은 없다. 사실 이런 뜻입니다. 다음은 몇 가지 일반적인 패킷 필터링 도구를 추천합니다.
가장 일반적인 패킷 필터링 도구는 라우터입니다.
또한 LinuxTCP/IP 의 ipchain 과 같은 패킷 필터링 도구도 시스템에 있습니다.
Windows2000 에는 TCP/IPFiltering 필터 등이 포함되어 있습니다. , 그것을 통해 우리는 원하지 않는 가방을 걸러낼 수 있다.
방화벽은 가장 일반적으로 사용되는 패킷 필터링 도구 일 수 있습니다. 이제 소프트웨어 방화벽과 하드웨어 방화벽에 패킷 필터링 기능이 있습니다. 다음으로, 우리는 방화벽에 초점을 맞출 것이다.
방화벽은 다음을 통해 네트워크 보안을 강화합니다.
1, 정책 설정
정책 설정에는 허용 및 금지가 포함됩니다. 예를 들어, 고객이 이메일을 보내고 받을 수 있도록 허용하고 필요한 웹 사이트에 액세스할 수 있도록 합니다. 예를 들어, 방화벽은 일반적으로 인트라넷 시스템이 웹 사이트에 액세스하고, 이메일을 보내고 받고, FTP 에서 자료를 다운로드할 수 있도록 설정되어 있습니다. 이렇게 하면 80,25, 1 10, 2 1 포트, 오픈 HTTP, SMTP, POP3, FTP 등을 개방할 수 있습니다.
금지는 고객이 어떤 서비스에 액세스하는 것을 금지하는 것입니다. 예를 들어, 사서함 고객이 웹 사이트에 액세스하는 것을 금지했기 때문에 25, 1 10, 80 을 열었습니다.
2, NAT
NAT, 즉 네트워크 주소 변환은 인트라넷 시스템이 공용 네트워크 IP 주소가 없는 웹 사이트에 액세스하려고 할 때 사용됩니다. 작업 과정은 이렇습니다. 인트라넷 모 기계192.168.0.10/0 신랑을 방문하고 싶습니다. 방화벽에 도착하면 방화벽은 이를 공용 IP 주소로 변경하고 나간다. 일반적으로 각 워크스테이션에 공용 IP 주소를 할당합니다.
앞서 언급한 패킷 필터링 및 프록시 서버는 방화벽에 사용해야 하며 각각 장단점이 있습니다. 패킷 필터링은 헤더 내용만 확인하는 반면 프록시 서버는 헤더 외에 내용도 확인합니다. 패킷 필터링 도구가 닫히면 모든 패킷이 인트라넷으로 들어가고 프록시 서버가 종료되면 인트라넷의 시스템이 네트워크에 액세스할 수 없습니다.
또한 방화벽은 암호화, 인증 등의 기능도 제공합니다. 외부 사용자에게 VPN 기능을 제공할 수도 있습니다.
여덟째, 비무장 지대
비군사 지역은 원래 북한 내전 중에 제기된 휴전 지역이었다. 그러나 네트워크 보안에서 DMZ 는 웹 사이트, 메일 서버, DNS 서버, FTP 서버 등을 배치하는 데 사용됩니다.
DMZ 를 통해 나갈 수 있습니다. DMZ 는 해커가 들어올 수 있는 채널을 제공하므로 두 번째 방화벽을 추가하여 네트워크 보안을 강화할 필요가 있습니다.
이로 인한 번거로움은 인터넷에서 다운로드하는 것이고, 우선 안전성을 검증해야 하고, 다운로드하는 데 시간이 좀 더 걸릴 것이다.
아홉 번째, IDS
방화벽과 안티바이러스 사용 후, 우리는 IDS 를 사용하여 해커의 공격을 방지한다.
IDS 는 분석 공격, 공격 대상 및 공격의 원천입니다. 우리는 이것으로 공격을 막고 피해를 최소화할 수 있다.
현재 IDS 는 아직 방화벽만큼 보편적이지는 않지만, 이것은 앞으로 몇 년 동안의 추세가 될 것이며, 현재 일부 정부는 이미 사용하기 시작했다.
노망안, 중련루몽, 계명별 등 국내 유명 IDS 제조사.
열 번째, VPN
과거에 우리는 항상 전화와 이메일을 통해 외국 지사에 연락했다. 지사는 전화 접속 인터넷을 통해 본사에서 서류를 찾는다. 즉, 지점 간 프로토콜을 사용하는 것은 안전하지만 비용이 많이 든다. VPN 은 이 문제를 해결할 수 있다.
열한 번째, 시간 로그와 기록 분석
방화벽 로그, 침입 탐지 로그 및 안티바이러스 소프트웨어의 업데이트된 구성 요소가 최신인지 자주 확인해야 합니다.