Cómo mejorar las capacidades de seguridad de la información de la redMedidas sólidas de seguridad de la información y la red Con la popularización de las redes empresariales y la expansión de la apertura, el uso compartido y la interconectividad de la red, las personas prestan cada vez más atención a la red. Seguridad de la información. Una red informática segura debe tener confiabilidad, disponibilidad, integridad, confidencialidad y autenticidad. Las redes informáticas no solo deben proteger la seguridad de los equipos y sistemas de redes informáticas, sino también proteger la seguridad de los datos. Análisis de riesgos de seguridad de la red Las vulnerabilidades del propio sistema informático y las vulnerabilidades de las instalaciones de comunicación son isomórficas y plantean amenazas potenciales a las redes informáticas. Las redes de información hacen pública la información y liberalizan su utilización, lo que lleva al intercambio y la interacción de recursos de información. Cualquiera puede publicar y obtener información en línea. De esta manera, los problemas de seguridad de la información de la red se han convertido en un problema central que perjudica el desarrollo de Internet, y el problema de la infracción de información causada por la conexión entre Internet y el mundo exterior es particularmente grave. En la actualidad, los factores de inseguridad de la información de la red empresarial provienen de virus, hackers, troyanos, spam, etc. Un virus informático es un programa destructivo que daña la seguridad de los sistemas y redes informáticas. Puede destruir directamente información de datos de la computadora, ocupar una gran cantidad de espacio en disco y apoderarse de los recursos del sistema, interfiriendo así con el funcionamiento normal del sistema. Con el desarrollo de la tecnología de Internet, la madurez de los entornos de redes corporativas y el aumento de las aplicaciones de redes corporativas, la capacidad y los métodos de infección y propagación de virus han cambiado de simples a complejos y ocultos, en particular, el entorno de Internet y los entornos de redes corporativas. Proporcionar buenas condiciones para la propagación y supervivencia del virus. Los ataques de piratas informáticos se han convertido en un evento frecuente en los últimos años y hay un sinfín de incidentes de ataques a servidores en la red. Los piratas informáticos se aprovechan de las vulnerabilidades y defectos de los sistemas informáticos, los protocolos de red y las bases de datos, y utilizan descifradores de contraseñas, trampillas, puertas traseras, caballos de Troya y otros medios para invadir los sistemas informáticos, destruir información u ocupar recursos del sistema, imposibilitando a los usuarios utilizar sus máquinas. Normalmente, la red de una gran empresa tiene una conexión a Internet y proporciona servicios como WWW y correo electrónico. Por lo tanto, la red interna de una empresa está conectada al exterior a través de Internet e intercambia una gran cantidad de información. Aproximadamente el 80% de la información es correo electrónico y más de la mitad del correo electrónico es spam, y aumenta año tras año. . No se puede ignorar la seguridad de la información dentro de la LAN corporativa. Los nodos de la red comparten recursos de la red a través de la red y, sin darse cuenta, pueden almacenar información confidencial importante o información de privacidad personal en el directorio compartido, lo que provoca fugas de información, incluso hay personas internas que escriben programas para difundir a través de la red o utilizan piratas informáticos. El fenómeno de los programas que invaden otros; anfitriones de la gente. Por tanto, la seguridad de la red no sólo debe proteger frente a redes externas, sino también frente a redes internas. Medidas de seguridad cibernética Por lo tanto, existen muchos riesgos de seguridad cibernética a considerar. Por lo tanto, las empresas deben adoptar estrategias de seguridad unificadas para garantizar la seguridad de la red. Las tecnologías y productos de seguridad completos incluyen: autenticación de identidad, control de acceso, monitoreo de tráfico, tecnología de cifrado de red, firewalls, detección de intrusiones, antivirus, escaneo de vulnerabilidades, etc. Las causas de los incidentes de seguridad incluyen factores técnicos, factores de gestión y omisiones en el diseño de la arquitectura de seguridad. 1. Medidas para prevenir intrusiones externas (1) Cifrado de red (IPsec) La capa IP es la capa más crítica en la red TCP/IP. Como protocolo de capa de red, el mecanismo de seguridad de IP puede proporcionar protección de seguridad de cobertura transparente para diversos servicios de aplicaciones en su capa superior. Por lo tanto, la seguridad IP es la base de toda la seguridad TCP/IP y el núcleo de la seguridad de la red. IPSec es el único protocolo que puede proporcionar seguridad para cualquier forma de comunicación por Internet. IPSec puede proporcionar seguridad a través de flujos de datos o conexiones, por lo que se puede lograr un control de seguridad muy detallado. Para los usuarios, se pueden definir diferentes niveles de protección de seguridad (es decir, canales IPSec con diferentes niveles de protección) para diferentes necesidades. IPSec proporciona servicios de seguridad para la transmisión de datos de la red, como confidencialidad de datos, integridad de datos, autenticación de fuente de datos, prevención de reproducción, etc. , de modo que cuando los datos se transmiten a través de la red pública, no hay necesidad de preocuparse por ser interceptados, manipulados y falsificados. IPSec logra estos objetivos mediante el uso de varios algoritmos de cifrado, algoritmos de autenticación, protocolos de encapsulación y algunos mecanismos especiales de protección de seguridad. Estos algoritmos y sus parámetros se almacenan en la SA (Asociación de Seguridad) en ambos extremos de la comunicación IPSec. Cuando las configuraciones en las SA en ambos extremos coinciden, la comunicación IPSec puede ocurrir en ambos extremos. La tecnología IPSec se utiliza principalmente en redes privadas virtuales (VPN). (2) Firewall Firewall es un medio de seguridad de la red y un estándar de control de acceso implementado en el proceso de comunicación de la red. Su objetivo principal es establecer un punto de control de seguridad entre las redes internas y externas controlando el acceso a una red, controlando y auditando los servicios y el acceso a la red interna, y evitando que los usuarios de la red externa ingresen ilegalmente a la red interna a través de la red externa, accediendo , e interferir con él y dañar los recursos de la intranet. Lógicamente, un firewall es un separador, limitador y analizador que monitorea efectivamente cualquier actividad entre la red interna e Internet para garantizar la seguridad de la red interna. Los firewalls se pueden dividir en software y hardware. El software que implementa la función de firewall se denomina firewall de software. Los firewalls de software se ejecutan en computadoras específicas y requieren soporte del sistema operativo de la computadora. Los sistemas de firewall basados en plataformas de hardware dedicadas se denominan firewalls de hardware. También se basan en la arquitectura de una PC, ejecutan algunos sistemas operativos simplificados y están equipados con software de firewall. (3) Detección de intrusiones Implementar productos de detección de intrusiones y vincularlos con firewalls para monitorear ataques fuera de la LAN que eluden o pasan a través del firewall, activando el firewall vinculado para cerrar la conexión de manera oportuna, al mismo tiempo, monitorear el comportamiento anormal; del segmento de red del servidor principal para evitar ataques desde dentro de la LAN o uso indebido y abuso involuntario.
La detección de intrusiones es un complemento razonable del firewall, ya que ayuda al sistema a responder a los ataques de red y amplía las capacidades de gestión de seguridad de los administradores del sistema. 2. Prevenir actividades ilegales internas (1) Autenticación La autenticación de seguridad de la red se refiere a la tecnología que utiliza el sistema para confirmar la identidad del usuario al iniciar sesión en la red informática. Es la primera y más importante línea de defensa para la seguridad de la red. Antes de acceder a un sistema de seguridad, los usuarios primero se identifican a través del sistema de autenticación y luego el monitor de acceso determina si el usuario puede acceder a un recurso basándose en la base de datos de identidad y autorización del usuario. La base de datos de autorización la configura según sea necesario el administrador de seguridad. El sistema de auditoría registra las solicitudes y comportamientos del usuario de acuerdo con la configuración de auditoría, y el sistema de detección de intrusiones detecta si hay una intrusión en tiempo real. Tanto los sistemas de control de acceso como los de auditoría se basan en las identidades de los usuarios proporcionadas por los sistemas de autenticación. La autenticación de identidad juega un papel extremadamente importante en los sistemas de seguridad. Es el servicio de seguridad más básico y de él dependen otros servicios de seguridad. Una vez que se viola el sistema de autenticación, todas las medidas de seguridad del sistema serán ineficaces. El objetivo de los ataques de piratas informáticos suele ser el sistema de autenticación de identidad, por lo que la autenticación de identidad es, de hecho, la clave para la seguridad de la red. (2) Control de acceso El control de acceso determina el rango de red, los protocolos y los puertos a los que pueden acceder los usuarios; a qué recursos se puede acceder en el sistema y cómo utilizarlos. Se pueden establecer listas de control de acceso en los enrutadores, que son listas de instrucciones que se aplican a las interfaces del enrutador. Estas listas de comandos se utilizan para indicarle al enrutador qué paquetes se pueden aceptar y qué paquetes deben rechazarse. La recepción o el rechazo de un paquete de datos se puede determinar mediante condiciones de indicación específicas, como la dirección de origen, la dirección de destino, el número de puerto, el protocolo, etc. Después de establecer una lista de control de acceso, puede limitar el tráfico de la red, mejorar el rendimiento de la red y controlar el tráfico de comunicación. Este también es un método de seguridad básico para el acceso a la red. Dado que las entradas en una lista de control de acceso (ACL) se pueden agregar de manera flexible, las ACL pueden verse como una poderosa herramienta para el control de la red, utilizada para filtrar el tráfico entrante y saliente. ¿Es bueno ser bueno con el fenol? ¿Regalo? En los sistemas de aplicaciones, los medios de control de acceso incluyen códigos de identificación de usuario, contraseñas, control de inicio de sesión, autorización de recursos (como archivos de usuario, archivos de recursos y listas de control), verificación de autorización, registros y auditoría. Un control de acceso adecuado evita que usuarios no autorizados obtengan datos, intencionalmente o no, y limita el alcance y la extensión de su utilización de los recursos en función de los permisos otorgados. (3) Monitoreo del tráfico Actualmente, existen muchos factores que causan un tráfico de red anormal, como ataques de denegación de servicio (DoS), la propagación de gusanos de red y una gran cantidad de solicitudes de conexión TCP generadas por algunas herramientas de escaneo de red. paralizar el equipo de red. Estos ataques de red aprovechan las vulnerabilidades del servicio del sistema o los recursos limitados de la red para lanzar ataques de red a gran escala en un corto período de tiempo, consumen recursos específicos y provocan la parálisis de la red o del sistema informático. Por lo tanto, es muy importante monitorear la red para detectar tráfico anormal. La tecnología de monitoreo de tráfico incluye principalmente monitoreo de tráfico basado en SNMP y monitoreo de tráfico basado en Netflow. La recopilación de información de tráfico basada en SNMP recopila algunas variables relacionadas con dispositivos específicos e información de tráfico extrayendo la MIB (Base de información de objetos de gestión) proporcionada por el agente del dispositivo de red. La información del tráfico de red recopilada según SNMP incluye: número de bytes de entrada, número de paquetes de entrada que no son de difusión, número de paquetes de difusión de entrada, número de descartes de paquetes de entrada, número de errores de paquetes de entrada, número de paquetes de protocolo desconocidos de entrada, número de salidas bytes y el número de paquetes de salida no difundidos, el número de paquetes de difusión de salida, el número de descartes de paquetes de salida, el número de errores de paquetes de salida, la longitud de la cola de salida, etc. La recopilación de información de tráfico basada en Netflow se basa en el mecanismo Netflow proporcionado por el equipo de red. La eficiencia y el efecto de la recopilación de información de tráfico logrados sobre esta base pueden satisfacer las necesidades de monitoreo de anomalías del tráfico de la red. Sobre la base de la tecnología de detección de tráfico anterior, han surgido muchos software de gestión y monitoreo del tráfico, que son herramientas efectivas para determinar la dirección del tráfico anormal. Al monitorear los cambios en el tamaño del tráfico, los administradores de red pueden ayudar a los administradores de red a encontrar la dirección del tráfico anormal, especialmente el tráfico anormal grande, y además encontrar la dirección de origen y destino del tráfico anormal. La forma más directa de lidiar con el tráfico anormal es cortar la conexión física del dispositivo fuente de tráfico anormal o usar listas de control de acceso en el enrutador para filtrar paquetes o restringir el tráfico para controlar el tráfico anormal. (4) El escaneo de vulnerabilidades tiene peligros ocultos para un sistema de red, lo que será un factor clave para que los piratas informáticos tengan éxito. En lo que respecta al sistema de red actual, puede haber algunas fallas de seguridad, es decir, agujeros de seguridad, en la implementación específica de hardware, software, protocolos o políticas de seguridad del sistema. Es muy importante descubrir rápidamente las vulnerabilidades de seguridad de varios sistemas en la red. El escaneo de seguridad es una de las medidas importantes para mejorar la seguridad del sistema y puede evaluar y analizar de manera efectiva los problemas de seguridad en el sistema por adelantado. El sistema de escaneo de vulnerabilidades es un programa que se utiliza para detectar automáticamente vulnerabilidades de seguridad del host local o remoto. Según sus funciones, se puede dividir en escaneo de vulnerabilidades del sistema operativo, escaneo de vulnerabilidades de red y escaneo de vulnerabilidades de bases de datos. El sistema de escaneo de vulnerabilidades de red se refiere a un programa que detecta de forma remota vulnerabilidades en las redes de destino y los sistemas host a través de la red. Detecta y analiza vulnerabilidades de seguridad en sistemas y dispositivos de red para descubrir vulnerabilidades que pueden ser explotadas ilegalmente por intrusos. El escaneo regular de las vulnerabilidades del sistema de red puede descubrir de manera proactiva problemas de seguridad y completar una protección efectiva de inmediato, lo que permite a los atacantes explotarlas sin problemas. (5) El sistema antivirus de una empresa antivirus debe ser sistemático y proactivo, capaz de lograr una protección integral y multinivel. Teniendo en cuenta que los virus se almacenan, propagan e infectan de diferentes maneras y a través de múltiples canales en la red, al crear un sistema antivirus de red en consecuencia, se debe utilizar una gama completa de productos antivirus empresariales para implementar un control centralizado, centrándose en la prevención. y combinar estrategia de prevención y matanza.