網絡安全十招 鞏固企業的内網

發布日期:2011-07-24首頁 > 安全資(zī)訊
 

<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" /> 

幾乎所有企業對于網絡安全的重視程度一(yī)下(xià)子提高了,紛紛采購防火(huǒ)牆等設備希望堵住來自Internet的不安全因素。然而,Internet内部的攻擊和入侵卻依然猖狂。事實證明,公司内部的不安全因素遠比外(wài)部的危害更恐怖。

下(xià)面給出了應對企業内網安全挑戰的10種策略。這10種策略既是内網的防禦策略,同時也是一(yī)個提高大(dà)型企業網絡安全的策略。

1 注意内網安全與網絡邊界安全的不同

内網安全的威脅不同于網絡邊界的威脅。網絡邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網絡服務器如HTTPSMTP的攻擊。網絡邊界防範(如邊界防火(huǒ)牆系統等)減小(xiǎo)了資(zī)深黑客僅僅隻需接入互聯網、寫程序就可訪問企業網的幾率。内網安全威脅主要源于企業内部。惡性的黑客攻擊事件一(yī)般都會先控制局域網絡内部的一(yī)台Server,然後以此爲基地,對Internet上其他主機發起惡心攻擊。因此,應在邊界展開(kāi)黑客防護措施,同時建立并加強内網防範策略。

2 限制VPN的訪問

虛拟專用網(VPN)用戶的訪問對内網的安全造成了巨大(dà)的威脅。因爲它們将弱化的桌面操作系統置于企業防火(huǒ)牆的防護之外(wài)。很明顯VPN的用戶是可以訪問企業内網的。因此要避免給每一(yī)位VPN用戶訪問内網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級别,即隻需賦予他們所需要的訪問權限級别即可,如訪問郵件服務器或其他可選擇的網絡資(zī)源的權限。

3 爲合作企業網建立内網型的邊界防護

合作企業網也是造成内網安全問題的一(yī)大(dà)原因。例如安全管理員(yuán)雖然知(zhī)道怎樣利用實際技術來完固防火(huǒ)牆,保護MS-SQL,但是Slammer蠕蟲仍能侵入内網,這就是因爲企業給了他們的合作夥伴進入内部資(zī)源的訪問權限。由此,既然不能控制合作者的網絡安全策略和活動,那麽就應該爲每一(yī)個合作企業創建一(yī)個DMZ,并将他們所需要訪問的資(zī)源放(fàng)置在相應的DMZ中(zhōng),不允許他們對内網其他資(zī)源進行訪問。

4 自動跟蹤的安全策略

智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商(shāng)業活動中(zhōng)的一(yī)大(dà)改革,極大(dà)地超過了手動安全策略的功效。商(shāng)業活動的現狀需要企業利用一(yī)種自動檢測方法來探測商(shāng)業活動中(zhōng)的各種變更,因此,安全策略也必須與其相适應。例如實時跟蹤企業員(yuán)工(gōng)的雇傭和解雇、實時跟蹤網絡利用情況并記錄與該計算機對話(huà)的文件服務器。總之,要做到确保每天的所有活動都遵循安全策略。

5 關掉無用的網絡服務器

大(dà)型企業網可能同時支持四到五個服務器傳送e-mail,有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中(zhōng)很可能有潛在的郵件服務器的攻擊點。因此要逐個中(zhōng)斷網絡服務器來進行審查。若一(yī)個程序(或程序中(zhōng)的邏輯單元)作爲一(yī)個windows文件服務器在運行但是又(yòu)不具有文件服務器作用的,關掉該文件的共享協議。

6 首先保護重要資(zī)源

若一(yī)個内網上連了千萬台(例如30000台)機子,那麽要期望保持每一(yī)台主機都處于鎖定狀态和補丁狀态是非常不現實的。大(dà)型企業網的安全考慮一(yī)般都有擇優問題。這樣,首先要對服務器做效益分(fēn)析評估,然後對内網的每一(yī)台網絡服務器進行檢查、分(fēn)類、修補和強化工(gōng)作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)并對他們進行限制管理。這樣就能迅速準确地确定企業最重要的資(zī)産,并做好在内網的定位和權限限制工(gōng)作。

7 建立可靠的無線訪問

審查網絡,爲實現無線訪問建立基礎。排除無意義的無線訪問點,确保無線網絡訪問的強制性和可利用性,并提供安全的無線訪問接口。将訪問點置于邊界防火(huǒ)牆之外(wài),并允許用戶通過VPN技術進行訪問。

8 建立安全過客訪問

對于過客不必給予其公開(kāi)訪問内網的權限。許多安全技術人員(yuán)執行的内部無Internet訪問的策略,使得員(yuán)工(gōng)給客戶一(yī)些非法的訪問權限,導緻了内網實時跟蹤的困難。因此,須在邊界防火(huǒ)牆之外(wài)建立過客訪問網絡塊。

9 創建虛拟邊界防護

主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊内網方面努力。于是必須解決企業網絡的使用和在企業經營範圍内建立虛拟邊界防護這個問題。這樣,如果一(yī)個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場間的訪問權限控制。大(dà)家都知(zhī)道怎樣建立互聯網與内網之間的邊界防火(huǒ)牆防護,現在也應該意識到建立網上不同商(shāng)業用戶群之間的邊界防護。

10可靠的安全決策

網絡用戶也存在着安全隐患。有的用戶或許對網絡安全知(zhī)識非常欠缺,例如不知(zhī)道RADIUSTACACS之間的不同,或不知(zhī)道代理網關和分(fēn)組過濾防火(huǒ)牆之間的不同等等,但是他們作爲公司的合作者,也是網絡的使用者。因此企業網就要讓這些客戶也容易使用,這樣才能引導他們自動地響應網絡安全策略。