4000-110-253
企業內(nèi)網安全建設. 2020-09-08
|
大(dà)多(duō)企業重視(shì)提高(gāo)企業網的邊界安全,暫且不提它們在這方面的投資多(duō)少(shǎo),但(dàn)是大(dà)多(duō)數(shù)企業網絡的核心內(nèi)網還(hái)是非常脆弱的。企業也對內(nèi)部網絡實施了相應保護措施,如:安裝動辄數(shù)萬甚至數(shù)十萬的網絡防火(huǒ)牆、入侵檢測軟件等,并希望以此實現內(nèi)網與Internet的安全隔離,然而,情況并非如此!企業中經常會(huì)有(yǒu)人(rén)私自以Modem撥号方式、手機或無線網卡等方式上(shàng)網,而這些(xiē)機器(qì)通(tōng)常又置于企業內(nèi)網中,這種情況的存在給企業網絡帶來(lái)了巨大(dà)的潛在威脅,從某種意義來(lái)講,企業耗費巨資配備的防火(huǒ)牆已失去意義。這種接入方式的存在,極有(yǒu)可(kě)能使得(de)黑(hēi)客繞過防火(huǒ)牆而在企業毫不知情的情況下侵入內(nèi)部網絡,從而造成敏感數(shù)據洩密、傳播病毒等嚴重後果。實踐證明(míng),很(hěn)多(duō)成功防範企業網邊界安全的技(jì)術(shù)對保護企業內(nèi)網卻沒有(yǒu)效用。于是網絡維護者開(kāi)始大(dà)規模緻力于增強內(nèi)網的防衛能力。
下面給出了應對企業內(nèi)網安全挑戰的10種策略。這10種策略即是內(nèi)網的防禦策略,同時(shí)也是一個(gè)提高(gāo)大(dà)型企業網絡安全的策略。
1、注意內(nèi)網安全與網絡邊界安全的不同
內(nèi)網安全的威脅不同于網絡邊界的威脅。網絡邊界安全技(jì)術(shù)防範來(lái)自Internet上(shàng)的攻擊,主要是防範來(lái)自公共的網絡服務器(qì)如HTTP或SMTP的攻擊。網絡邊界防範(如邊界防火(huǒ)牆系統等)減小(xiǎo)了資深黑(hēi)客僅僅隻需接入互聯網、寫程序就可(kě)訪問企業網的幾率。內(nèi)網安全威脅主要源于企業內(nèi)部。惡性的黑(hēi)客攻擊事件一般都會(huì)先控制(zhì)局域網絡內(nèi)部的一台Server,然後以此為(wèi)基地,對Internet上(shàng)其他主機發起惡性攻擊。因此,應在邊界展開(kāi)黑(hēi)客防護措施,同時(shí)建立并加強內(nèi)網防範策略。
2、限制(zhì)VPN的訪問
虛拟專用網(VPN)用戶的訪問對內(nèi)網的安全造成了巨大(dà)的威脅。因為(wèi)它們将弱化的桌面操作(zuò)系統置于企業防火(huǒ)牆的防護之外。很(hěn)明(míng)顯VPN用戶是可(kě)以訪問企業內(nèi)網的。因此要避免給每一位VPN用戶訪問內(nèi)網的全部權限。這樣可(kě)以利用登錄控制(zhì)權限列表來(lái)限制(zhì)VPN用戶的登錄權限的級别,即隻需賦予他們所需要的訪問權限級别即可(kě),如訪問郵件服務器(qì)或其他可(kě)選擇的網絡資源的權限。
3、為(wèi)合作(zuò)企業網建立內(nèi)網型的邊界防護
合作(zuò)企業網也是造成內(nèi)網安全問題的一大(dà)原因。例如安全管理(lǐ)員雖然知道(dào)怎樣利用實際技(jì)術(shù)來(lái)完固防火(huǒ)牆,保護MS-SQL,但(dàn)是Slammer蠕蟲仍能侵入內(nèi)網,這就是因為(wèi)企業給了他們的合作(zuò)夥伴進入內(nèi)部資源的訪問權限。由此,既然不能控制(zhì)合作(zuò)者的網絡安全策略和(hé)活動,那(nà)麽就應該為(wèi)每一個(gè)合作(zuò)企業創建一個(gè)DMZ,并将他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內(nèi)網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行(xíng)實時(shí)跟蹤的安全策略是有(yǒu)效地實現網絡安全實踐的關鍵。它帶來(lái)了商業活動中一大(dà)改革,極大(dà)的超過了手動安全策略的功效。商業活動的現狀需要企業利用一種自動檢測方法來(lái)探測商業活動中的各種變更,因此,安全策略也必須與相适應。例如實時(shí)跟蹤企業員工的雇傭和(hé)解雇、實時(shí)跟蹤網絡利用情況并記錄與該計(jì)算(suàn)機對話(huà)的文件服務器(qì)。總之,要做(zuò)到确保每天的所有(yǒu)的活動都遵循安全策略。
5、關掉無用的網絡服務器(qì)
大(dà)型企業網可(kě)能同時(shí)支持四到五個(gè)服務器(qì)傳送e-mail,有(yǒu)的企業網還(hái)會(huì)出現幾十個(gè)其他服務器(qì)監視(shì)SMTP端口的情況。這些(xiē)主機中很(hěn)可(kě)能有(yǒu)潛在的郵件服務器(qì)的攻擊點。因此要逐個(gè)中斷網絡服務器(qì)來(lái)進行(xíng)審查。若一個(gè)程序(或程序中的邏輯單元)作(zuò)為(wèi)一個(gè)window文件服務器(qì)在運行(xíng)但(dàn)是又不具有(yǒu)文件服務器(qì)作(zuò)用的,關掉該文件的共享協議。
6、首先保護重要資源
若一個(gè)內(nèi)網上(shàng)連了千萬台(例如30000台)機子,那(nà)麽要期望保持每一台主機都處于鎖定狀态和(hé)補丁狀态是非常不現實的。大(dà)型企業網的安全考慮一般都有(yǒu)擇優問題。這樣,首先要對服務器(qì)做(zuò)效益分析評估,然後對內(nèi)網的每一台網絡服務器(qì)進行(xíng)檢查、分類、修補和(hé)強化工作(zuò)。必定找出重要的網絡服務器(qì)(例如實時(shí)跟蹤客戶的服務器(qì))并對他們進行(xíng)限制(zhì)管理(lǐ)。這樣就能迅速準确地确定企業最重要的資産,并做(zuò)好在內(nèi)網的定位和(hé)權限限制(zhì)工作(zuò)。
7、建立可(kě)靠的無線訪問
審查網絡,為(wèi)實現無線訪問建立基礎。排除無意義的無線訪問點,确保無線網絡訪問的強制(zhì)性和(hé)可(kě)利用性,并提供安全的無線訪問接口。将訪問點置于邊界防火(huǒ)牆之外,并允許用戶通(tōng)過VPN技(jì)術(shù)進行(xíng)訪問。
8、建立安全過客訪問
對于過客不必給予其公開(kāi)訪問內(nèi)網的權限。許多(duō)安全技(jì)術(shù)人(rén)員執行(xíng)的“內(nèi)部無Internet訪問”的策略,使得(de)員工給客戶一些(xiē)非法的訪問權限,導緻了內(nèi)網實時(shí)跟蹤的困難。因此,須在邊界防火(huǒ)牆之外建立過客訪問網絡塊。
9、創建虛拟邊界防護
主機是被攻擊的主要對象。與其努力使所有(yǒu)主機不遭攻擊(這是不可(kě)能的),還(hái)不如在如何使攻擊者無法通(tōng)過受攻擊的主機來(lái)攻擊內(nèi)網方面努力。于是必須解決企業網絡的使用和(hé)在企業經營範圍建立虛拟邊界防護這個(gè)問題。這樣,如果一個(gè)市場(chǎng)用戶的客戶機被侵入了,攻擊者也不會(huì)由此而進入到公司的R&D。因此要實現公司R&D與市場(chǎng)之間(jiān)的訪問權限控制(zhì)。大(dà)家(jiā)都知道(dào)怎樣建立互聯網與內(nèi)網之間(jiān)的邊界防火(huǒ)牆防護,現在也應該意識到建立網上(shàng)不同商業用戶群之間(jiān)的邊界防護。
10、可(kě)靠的安全決策
網絡用戶也存在着安全隐患。有(yǒu)的用戶或許對網絡安全知識非常欠缺,例如不知道(dào)RADIUS和(hé)TACACS之間(jiān)的不同,或不知道(dào)代理(lǐ)網關和(hé)分組過濾防火(huǒ)牆之間(jiān)的不同等等,但(dàn)是他們作(zuò)為(wèi)公司的合作(zuò)者,也是網絡的使用者。因此企業網就要讓這些(xiē)用戶也容易使用,這樣才能引導他們自動的響應網絡安全策略。
另外,在技(jì)術(shù)上(shàng),采用安全交換機、重要數(shù)據的備份、使用代理(lǐ)網關、确保操作(zuò)系統的安全、使用主機防護系統和(hé)入侵檢測系統等等措施也不可(kě)缺少(shǎo)。
“威盾內(nèi)網安全管理(lǐ)系統”(簡稱ViaControl)是上海騰赫信息科技有限公司一個(gè)對局域網內(nèi)的主機進行(xíng)監控和(hé)管理(lǐ)的遠程主機監測類軟件産品。用于幫助企事業單位、政府機構更好地管理(lǐ)局域網內(nèi)部的重要信息資料,提高(gāo)員工的工作(zuò)效率,協助IT管理(lǐ)者更方便、快捷地進行(xíng)電(diàn)腦(nǎo)、網絡和(hé)內(nèi)部信息的安全管理(lǐ)。
|
