企業開放的局域網資源總是允許員工電腦接入,以便加入內網訪問資源實現公司信息數據有效傳遞。但這一舉措存在十分明顯的安全漏洞,比如員工不懷好意地資料盜取等等。其中最致命地就是外來惡意攻擊事件。
最近,安全防范體系相對完備的日本軍工企業也因為外部攻擊栽跤。外媒報道8月中旬他們就發現公司電腦系統受到病毒感染,并且判斷有資料外泄的可能。三菱重工是日本軍工產業的核心,負責制造護衛艦、潛艇、導彈等武器裝備。事件不僅給企業帶來巨大損失,甚至對日本國家的軍備訪問都是致命一擊。企業的信息泄露、商業機密丟失,損失巨大。其實不僅僅是掌握國家軍工機密的大企業,任何企業遭遇漏洞攻擊都會后患無窮。從發生的多次網絡安全事件中不難看出,提高安全意識,布置企業內網的安全防護已然必不可少。提高內網安全系數,可以從以下幾方面入手。
采用安全交換機
由于內網的信息傳輸采用廣播技術,數據包在廣播域中很輕易受到監聽和截獲,因此需要使用安全交換機,利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源,以加強內網的安全性。
操作系統的安全
從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術,都是運行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立一套對系統的監控系統,并建立和實施有效的用戶口令和訪問控制等制度。
對重要資料進行備份
在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的攻擊,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和黑客攻擊還要大。
為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和黑客的破壞等原因導致系統崩潰,進而蒙受重大損失。
對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。
使用代理網關
使用代理網關的好處在于,網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關,進而才能訪問到Internet,這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。
在代理服務器兩端采用不同協議標準,也可以阻止外界非法訪問的入侵。還有,代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。
設置防火墻
防火墻的選擇應該適當。 對于具有內部網絡的企業來說,則可選擇在路由器上進行相關的設置或者購買更為強大的防火墻產品。對于幾乎所有的路由器產品而言,都可以通過內置的防火墻防范部分的攻擊,而硬件防火墻的應用,可以使安全性得到進一步加強。
信息保密防范
為了保障網絡的安全,也可以利用網絡操作系統所提供的保密措施。以Windows為例,進行用戶名登錄注冊,設置登錄密碼,設置目錄和文件訪問權限和密碼,以控制用戶只能操作什么樣的目錄和文件,或設置用戶級訪問控制,以及通過主機訪問Internet等。
同時,可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。由于文件組織形式的數據缺乏共享性,數據庫現已成為網絡存儲數據的主要形式。由于操作系統對數據庫沒有非凡的保密措施,而數據庫的數據以可讀的形式存儲其中,所以數據庫的保密也要采取相應的方法。電子郵件是企業傳遞信息的主要途徑,電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網絡部件的泄密渠道,如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等,也可以采取相應的保密措施。
從攻擊角度入手
目前,計算機網絡系統的安全威脅有很大一部分來自拒絕服務(Dos)攻擊和計算機病毒攻擊。為了保護網絡安全,也可以從這幾個方面進行。
對付“拒絕服務”攻擊有效的方法,是只答應跟整個Web站臺有關的網絡流量進入,就可以預防此類的黑客攻擊,尤其對于ICMP封包,包括ping指令等,應當進行阻絕處理。
通過安裝非法入侵偵測系統,限制非法用戶對網絡的訪問,規定具有IP地址的工作站對本地網絡設備的訪問權限,以防止從外界對網絡設備配置的非法修改。聚生網管軟件(http://www.grabsun.com/)推出了可以有效隔離外來電腦的的“外來電腦控制器”,可以實時探測、隔離外來電腦,既可以禁止外來電腦訪問內網特殊的服務器或者主機,又可以禁止外來電腦訪問內網的所有電腦,從而可以完全實現對內網共享資源的有效保護,同時也避免了病毒、木馬的傳播;同時,還支持將外來電腦白名單功能,可以與內網電腦相互訪問,從而可以實現靈活的、針對性的網絡管理。
防范計算機病毒
從病毒發展趨勢來看,現在的病毒已經由單一傳播、單種行為,變成依靠互聯網傳播,集電子郵件、文件傳染等多種傳播方式,融黑客、木馬等多種攻擊手段為一身的廣義的“新病毒”。計算機病毒更多的呈現出如下的特點:與Internet和Intranet更加緊密地結合,利用一切可以利用的方式(如郵件、局域網、遠程治理、即時通信工具等)進行傳播;所有的病毒都具有混合型特征,集文件傳染、蠕蟲、木馬、黑客程序的特點于一身,破壞性大大增強;因為其擴散極快,不再追求隱藏性,而更加注重欺騙性;利用系統漏洞將成為病毒有力的傳播方式。
因此,在內網考慮防病毒時選擇產品需要重點考慮以下幾點:防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網絡層、郵件客戶端進行實時監控,防止病毒入侵;產品應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力;對病毒經常攻擊的應用程序提供重點保護;產品廠商應具備快速反應的病毒檢測網,在病毒爆發的第一時間即能提供解決方案;廠商能提供完整、即時的反病毒咨詢,提高用戶的反病毒意識與警覺性,盡快地讓用戶了解到新病毒的特點和解決方案。
密鑰治理
在現實中,入侵者攻擊Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。以Unix系統或Linux系統為例,先用“finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行攻擊。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。
假如這種方法不能奏效,入侵者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件shadow或者passwd。然后用專用的破解DES加密算法的程序來解析口令。
在內網中系統治理員必須要注重所有密碼的治理,如口令的位數盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符、數字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。
以上幾個個方面僅是多種保障內網安全措施中的一部分,為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。在安全的方式上,為了應付比以往更嚴重的“安全”挑戰,安全不應再僅僅停留于“堵”、“殺”或者“防”,應該以動態的方式積極主動應用來自安全的挑戰,因而健全的內網安全治理制度及措施是保障內網安全必不可少的措施。
共有條評論
