封鎖移動設備
對于企業的網絡來說,最大的威脅可能就是來自那些隨處移 動的筆記本或其它移 動終端,它們具有網絡的接入權限,可以隨時接入公司的網絡。但是正因為它們具有移 動特性,可以隨著員工遷移到其它不安全的網絡并暴露在黑客的攻擊之下,當這些
筆記本電腦再次回到公司的網絡環境時,就成了最大的安全隱患。其它無線終端也和筆記本有類似的情況。
據Forrester Research調查,到2005年,世界總共將有3500萬移動設備用戶,而到2010年,這個數字將增加到150億。我們不是數學家,不需要具體算出到底這些移動設備會給企業的網絡增加多少受攻擊的幾率,只需要知道這將是企業網絡安全所面臨的巨大考驗。任何一個系統都有可能由于未經驗證的用戶的訪問而被感染。
通過安全策略,你可以讓網絡針對無線終端具有更多的審核,比如快速檢測到無線終端的接入,然后驗證這些終端是否符合你的安全策略,是否是經過認證的用戶,是否有明顯的系統漏洞等。
開啟無線網絡加密功能
在無線網絡系統中,無線網絡加密 (Wireless Encryption,WEP)應該處于開啟狀態,并應該設置為最高安全級別。而且管理者的用戶名和密碼需要經常及時更換。但是這些措施也并不能夠完全防止黑客通過你的無線路由器入侵企業內部網絡。這是由于在大多數無線路由器中,都包含有目前尚未被修補的CVE,黑客可以利用這些CVE進行攻擊。一些高級的黑客會下載免費的工具對這些漏洞進行更高級的利用,以此完全攻破你的安全系統。
為無線路由器打補丁,并使用其自帶的防火墻功能
我強烈建議用戶在使用無線路由器時及時更新產品的固件,而且如果無線路由器有內置防火墻功能,一定學習如何使用并配置它,開啟這個防火墻。你也可以限制同時接入無線路由器的用戶數量,如果企業員工數量不是很多,完全沒有必要讓路由器設置為可以接納無限多的用戶。比如企業只有十五個員工,那么就設置無線路由器只能同時接入十五個連接好了。
設置你的防火墻
雖然防火墻并沒有特別強的安全主動性,但是它可以很好的完成自己該做的那份工作。你應該為防火墻設置智能化的規則,以便關閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口,因此你需要為防火墻建立規則,屏蔽所有系統上的1045端口。另外,當筆記本或其它無線設備連接到網絡中時,防火墻也應該具有動態的規則來屏蔽這些移 動終端的危險端口。
下載安裝商業級的安全工具
目前與安全有關的商業軟件相當豐富,你可以從網上下載相應的產品來幫助你保護企業網絡。這類產品從安全策略模板到反病毒、反垃圾郵件程序等,應有盡有。微軟也針對系統的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網絡的安全等級,因此你應該充分利用它們。
禁止潛在的可被黑客利用的對象
“瀏覽器助手(BHO)”是最常見的可被黑客利用的對象。它一般用來監測用戶的頁面導航情況以及監控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統中的,由于它可以將外界的信息存入你的系統,因此對網絡安全來說是一個威脅。有些人利用BHO對象開發出了間諜軟件,并盡量將起隱藏起來。一般來說,間諜軟件都會不斷變種,盡量避免被流行的間諜軟件檢測程序所發現,直到間諜軟件檢測程序進行了升級。如果你想看看自己的系統中到底有多少 BHO,可以從 Definitive Solutions公司的網站上下載BHODemon工具進行檢測。
BHO是通過ADODB流對象在IE中運行的。通過禁止ADODB流對象,你就可以防止BHO寫入文件、運行程序以及在你的系統上進行其它一些動作。要禁止ADODB流對象,你可以訪問微軟的技術支持頁面。
留意最新的威脅
據計算機安全協會 (CSI)表示,2002 CSI/FBI計算機犯罪和安全調查顯示,“計算機犯罪和信息安全的威脅仍然不衰退,并且趨向于金融領域”。因此,你需要時刻留意網絡上的最新安全信息,以便保護自己的企業。網絡上很多地方可以提供最新的安全信息。
彌補已知的漏洞
系統上已知的漏洞被稱為“通用漏洞批露”(CVEs),它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施,你可以將網絡中所有系統的CVE 漏洞彌補好。目前通過工具軟件,你可以快速檢測系統的CVE漏洞并將其修補好。有關這方面更多的信息,你可以查閱cve.mitre.org網站。
總的來說,一個具有主動性的網絡安全模型是以一個良好的安全策略為起點的。之后你需要確保這個安全策略可以被徹底貫徹執行。最后,由于移動辦公用戶的存在,你的企業和網絡經常處在變化中,你需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯網罪犯提前行動。要做到先行一步,你應該時刻具有主動性的眼光并在第一時刻更新的你安全策略,同時你要確保系統已經安裝了足夠的防護產品,來阻止黑客的各種進攻嘗試。雖然安全性永遠都不是百分之百的,但這樣做足可以使你處于優勢地位。
