軟件測試之企業網絡系統安全設計策略[2]

軟件測試之企業網絡系統安全設計策略[2]   軟件測試工具

關鍵字：企業網絡 系統安全 設計策略

　　虛擬可使得已在路由基礎設施中存在的功能得到釋放。虛擬的靈活性可讓路由器承擔它們真正應該做的事情,在工作組間支持實時的安全與存取控制,不管它們位于網絡的何處。

　　2.廣域及遠程網絡連接安全 當將局域網連接到Internet上時,防止外部侵入所能夠采取的唯一重要的措施就是設立防火墻。采用Internet網關防火墻,在保證網絡安全的前提下建立全面、透明和真正的Internet連接。目前建立Internet防火墻主要有兩種方法: ·網關這種方法比較安全但效率不高,對用戶和應用不透明,難于建立和管理,只有少量應用支持而且對每一種應用都要對其加以裁剪以適應需要; ·包過濾這種方法一般不很安全,但卻很有效,它是一種綜合性的方法,對多種協議和應用透明,傳統的包過濾器是無狀態的(Stateless),只有低層協議理解,難于建立和確認,同時缺乏監聽的機制也是一種主要的缺點。 例如,Firewall-1就是一種結合了上述兩種方法的高效、純粹和安全的包過濾機制。它支持應用層次上的安全,統一支持與處理有關協議,并具有監聽與報警功能。它的全部操作對于用戶和系統建立都是透明的。除了過濾技術之外,Firewall-1還包含了面向對象的圖形用戶接口,便于管理和配置。 另外,企業網絡在遠程存取方面還可采用具有安全特性的遠程通信服務器實現遠程通信,提供企業網絡全面的遠程撥入存取控制功能。

　　3.網絡與系統管理工具的安全特性 采用企業級網絡管理工具提供系統級工具來進行網絡管理與系統狀態診斷及監測,并可進行企業網絡遠程監測。一般具有下面一些特性:

　　·可以監測企業內的所有路由器、集線器和交換機的運行狀態; ·可及時確認出錯設備和性能問題;

　　·可以顯示出錯設備的概要信息;

　　·提供迅速診斷網絡的工具;

　　·提出簡化Trap論斷的出錯并聯分析;

　　·支持全面RMON協議分析,支持高級網管分析。

　　高級網管軟件一般提供單一控制臺管理混合以太網、交換網和令牌環網,其中包括高速主干和地理上分散以及各種各樣線纜介質的網絡,除兼容簡單網絡管理協議(SNMP)外,還應該提供企業級網絡全方位配置管理、性能監視、出錯分析、錯誤定位等功能,也提供預管理功能,以便在問題出現及對網絡性能有負面影響之前偵察到。域值設定允許管理者建立和增強網絡特定出錯、性能和行為的級別,若達到域值,系統自動生成一個事件通知管理者,這些RMON事件或警告也可以觸發用戶定義的響應處理,如隔離一個端口,發出報警聲,發送電子郵件信息或呼叫傳呼機并提供許多附加的工具幫助管理者快捷判斷和定位網絡問題、查詢用戶和控制網絡存取。 先進系統管理工具一般在網絡系統安全方面具有很強的功能。

　　4.操作系統的安全控制 操作系統是管理計算機資源的核心系統,它負責向通信設備發送信息、管理存儲設備上的存儲空間和將信息裝入內存等調度工作。 操作系統對存儲狀態下的信息保護可以分為兩大部分,存儲器的保護和文件保護。其中對文件的有效管理具有很重要的意義,其能方便、靈活、安全和可靠地為用戶服務。通常采用管理文件目錄的方法進行管理,并且利用口令字標志存取控制權限,用加密及其它一些手段來提高文件的安全性。 企業計算機網絡與信息管理系統的操作系統平臺主要是Unix和Windows NT,均具有相當完備的操作系統安全管理機制與方法。

　?、賃nix安全特性 Unix的傳統功能是通過特權系統(Previlege)來解決安全問題的。這個特權系統中的特權由可信任的主管人控制,且文件的訪問權是通過文件允許位來控制的。在很多計算機環境中,這種處理方式是令人滿意的,但這種方式沒有提供很好的安全性。同時,由于Unix本身的開放性,使它本身容易受到各方攻擊。Unix本身也有不同廠商的版本,不同配置的Unix和不同平臺的Unix,因此,要制定一個統一的Unix安全性策略具有一定的難度。 一般可從三個方面來考慮建立一個具有適當安全性的Unix系統: ·設置安全帳號; ·保障同其它網絡相連的安全性; ·保障文件和目錄的安全性。 前兩項工作保證減少對系統的非授權訪問,第三項實現文件系統安全性,保護文件,防止被那些獲得了系統訪問權的非法用戶訪問。 帳號安全性 設置安全的帳號,并且確信所有的帳號是安全的,是配置任務中最重要的一項工作。

　　關于Unix系統安全性的第一個問題,即口令問題,有許多方法針對這一問題提出建議,如規定了強制更換口令周期的辦法等。對于大規模的Unix系統,如何處理大量舊帳號是一個安全問題。對此,可以采用帳號設置截止日期等方法。 互聯網絡安全 Unix系統可以互連網絡,這也使得它容易受到入侵者在連接點所進行的破壞。網絡文件系統(NFS)允許兩個或多個的宿主機共享文件,如果NFS沒有啟動任何安全特性,所有網際上的宿主機都可以使用NFS來取得你的軟件,因此,要加強NFS安全性。 文件目錄安全 只通過帳號安全性和網絡安全性控制訪問是不夠的,每一個Unix文件以及每一個Unix目錄,都有3個允許比特位設置,分別設置定義文件的所有者可以使用的分組和其它每個人的權限。所設置的比特位決定了文件和目錄的一些特性,如讀允許、寫允許、執行允許、Setuid允許、Setgid允許等。

　?、赪indows NT安全特性 Windows NT Server提供了管理功能和進行安全管理的使用工具。在企業層次上,Windows NT安全結構建立在域概念基礎上。域是組織網絡設計的一種結構,它賦予組和用戶訪問的權限。

　　它在Windows NT中作為設計目標的一個組成部分。用戶從計算機取得資源之前,必須在Windows NT系統中登錄。登錄認證要求在兩個層次即工作站層和服務器層進行。

原文轉自：http://www.anti-gravitydesign.com