·防火墻選擇
防火墻和其它反病毒類軟件都是很好的安全產(chǎn)品,但是要讓你的網(wǎng)絡(luò)體系具有最高級(jí)別的安全等級(jí),還需要你具有一定的主動(dòng)性。
你是不是每天都會(huì)留意各種黑客攻擊、病毒和蠕蟲(chóng)入侵等消息?不過(guò)當(dāng)你看到這些消息時(shí),也許你的系統(tǒng)已經(jīng)受到攻擊了。而現(xiàn)在,我要給你介紹一種更具主動(dòng)性的網(wǎng)絡(luò)安全模型,通過(guò)它,就算再出現(xiàn)什么新病毒,你也可以對(duì)企業(yè)的網(wǎng)絡(luò)系統(tǒng)感到放心。
類似于防火墻或者反XX類軟件(如反病毒、反垃圾郵件、反間諜軟件等),都是屬于被動(dòng)型或者說(shuō)是反應(yīng)型安全措施。在攻擊到來(lái)時(shí),這類軟件都會(huì)產(chǎn)生相應(yīng)的對(duì)抗動(dòng)作,它們可以作為整個(gè)安全體系的一部分,但是,你還需要建立一種具有主動(dòng)性的安全模型,防護(hù)任何未知的攻擊,保護(hù)網(wǎng)絡(luò)安全。另外,雖然在安全方面時(shí)刻保持警惕是非常必要的,但是事實(shí)上很少有企業(yè)有能力24小時(shí)不間斷的派人守護(hù)網(wǎng)絡(luò)。
在實(shí)現(xiàn)一個(gè)具有主動(dòng)性的網(wǎng)絡(luò)安全架構(gòu)前,你需要對(duì)現(xiàn)有的主流網(wǎng)絡(luò)安全體系有一個(gè)大概的了解。防護(hù)方法包括四個(gè)方面:防火墻、VPN、反病毒軟件,以及入侵檢測(cè)系統(tǒng)(IDS)。防火墻可以檢測(cè)數(shù)據(jù)包并試圖阻止有問(wèn)題的數(shù)據(jù)包,但是它并不能識(shí)別入侵,而且有時(shí)候會(huì)將有用的數(shù)據(jù)包阻止。VPN則是在兩個(gè)不安全的計(jì)算機(jī)間建立起一個(gè)受保護(hù)的專用通道,但是它并不能保護(hù)網(wǎng)絡(luò)中的資料。反病毒軟件是與其自身的規(guī)則密不可分的,而且面對(duì)黑客攻擊,基本沒(méi)有什么反抗能力。同樣,入侵檢測(cè)系統(tǒng)也是一個(gè)純粹的受激反應(yīng)系統(tǒng),在入侵發(fā)生后才會(huì)有所動(dòng)作。
雖然這四項(xiàng)基本的安全措施對(duì)企業(yè)來(lái)說(shuō)至關(guān)重要,但是實(shí)際上,一個(gè)企業(yè)也許花費(fèi)了上百萬(wàn)購(gòu)買和建立的防火墻、VPN、反病毒軟件以及IDS系統(tǒng),但是面對(duì)黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無(wú)能為力。CVE本質(zhì)上說(shuō)是應(yīng)用程序內(nèi)部的漏洞,它可以被黑客利用,用來(lái)攻擊網(wǎng)絡(luò)、竊取信息,并使網(wǎng)絡(luò)癱瘓。據(jù)2004 E-Crime Survey(2004 電子犯罪調(diào)查)顯示,90%的網(wǎng)絡(luò)安全問(wèn)題都是由于CVE引起的。
·怎樣實(shí)現(xiàn)網(wǎng)絡(luò)防火墻作用
具有主動(dòng)性的網(wǎng)絡(luò)安全模式是對(duì)上述四種安全措施的綜合管理,使得用戶可以從這四種安全措施中獲得最大的安全性,同時(shí)也是為用戶添加一個(gè)漏洞管理系統(tǒng)。在這種系統(tǒng)中,一個(gè)更有效的防火墻可以正確的攔截?cái)?shù)據(jù)資料。一個(gè)更有效的反病毒程序則更少機(jī)會(huì)被激活,因?yàn)楣粝到y(tǒng)的病毒數(shù)量更少了。而IDS則成為了一個(gè)備份系統(tǒng),因?yàn)楹苌偃四苋肭窒到y(tǒng)而激活報(bào)警機(jī)制。而使用漏洞管理系統(tǒng)來(lái)防止CVE帶來(lái)的入侵則是整個(gè)系統(tǒng)最重要的部分。
為什么這么說(shuō)呢?從上面提到的調(diào)查看,95%的攻擊是由于系統(tǒng)的漏洞或?qū)ο到y(tǒng)的錯(cuò)誤配置而造成的。在現(xiàn)實(shí)生活中也是一樣,大家都試圖將竊賊拒之門外,而很少考慮到當(dāng)盜賊已經(jīng)進(jìn)入屋子后該怎防護(hù)。正如你不會(huì)在外出時(shí)讓大門敞開(kāi),為什么不給網(wǎng)絡(luò)再加一把鎖呢。
實(shí)現(xiàn)主動(dòng)性的網(wǎng)絡(luò)安全模型
那么作為一家企業(yè)的技術(shù)人員,你該如何保護(hù)企業(yè)的網(wǎng)絡(luò)呢?下面我會(huì)介紹幾個(gè)簡(jiǎn)單的步驟,幫助你實(shí)現(xiàn)一個(gè)具有主動(dòng)性的安全網(wǎng)絡(luò)。首先你需要開(kāi)發(fā)一套安全策略,并強(qiáng)迫所有企業(yè)人員遵守這一規(guī)則。同時(shí),你需要屏蔽所有的移 動(dòng)設(shè)備,并開(kāi)啟無(wú)線網(wǎng)絡(luò)的加密功能以增強(qiáng)網(wǎng)絡(luò)的安全級(jí)別。為你的無(wú)線路由器打好補(bǔ)丁并確保防火墻可以正常工作是非常重要的。之后檢查系統(tǒng)漏洞,如果發(fā)現(xiàn)漏洞就立即用補(bǔ)丁或其它方法將其保護(hù)起來(lái),這樣可以防止黑客利用這些漏洞竊取公司的資料,或者令你的網(wǎng)絡(luò)癱瘓。以下是各個(gè)步驟的實(shí)現(xiàn)細(xì)節(jié):
開(kāi)發(fā)一個(gè)安全策略
實(shí)現(xiàn)良好的網(wǎng)絡(luò)安全總是以一個(gè)能夠起到作用的安全策略為開(kāi)始的。就算這個(gè)安全策略只有一頁(yè),公司的全體人員包括總經(jīng)理在內(nèi),都必須按照這個(gè)策略來(lái)執(zhí)行。基本的規(guī)則包括從指導(dǎo)員工如何建立可*的密碼到業(yè)務(wù)連續(xù)計(jì)劃以及災(zāi)難恢復(fù)計(jì)劃(BCP和DRP)。比如,你應(yīng)該有針對(duì)客戶的財(cái)產(chǎn)和其它保密信息的備份策略,比如一個(gè)鏡象系統(tǒng),以便在災(zāi)難發(fā)生后可以迅速恢復(fù)數(shù)據(jù)。在有些情況,你的BCP和DRP也許需要一個(gè)“冷”或“熱”的站點(diǎn),以便當(dāng)災(zāi)難發(fā)生或者有攻擊時(shí)你可以快速將員工的工作重新定向到新的站點(diǎn)。執(zhí)行一個(gè)共同的安全策略也就意味著你向具有主動(dòng)性安全網(wǎng)絡(luò)邁出了第一步。
·各項(xiàng)具體工作
減少對(duì)安全策略的破壞
不論是有限網(wǎng)絡(luò),還是筆記本或者無(wú)線設(shè)備,都很有可能出現(xiàn)破壞安全策略的情況。很多系統(tǒng)沒(méi)有裝防病毒軟件、防火墻軟件,同時(shí)卻安裝了很多點(diǎn)對(duì)點(diǎn)的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時(shí)消息軟件等,它們都是網(wǎng)絡(luò)安全漏洞的根源。因此,你必須強(qiáng)制所有的終端安裝反病毒軟件,并開(kāi)啟Windows XP內(nèi)建的防火墻,或者安裝商業(yè)級(jí)的桌面防火墻軟件,同時(shí)卸載點(diǎn)對(duì)點(diǎn)共享程序以及亂七八糟的聊天軟件。
封鎖移動(dòng)設(shè)備
對(duì)于企業(yè)的網(wǎng)絡(luò)來(lái)說(shuō),最大的威脅可能就是來(lái)自那些隨處移 動(dòng)的筆記本或其它移 動(dòng)終端,它們具有網(wǎng)絡(luò)的接入權(quán)限,可以隨時(shí)接入公司的網(wǎng)絡(luò)。但是正因?yàn)樗鼈兙哂幸?動(dòng)特性,可以隨著員工遷移到其它不安全的網(wǎng)絡(luò)并暴露在黑客的攻擊之下,當(dāng)這些筆記本電腦再次回到公司的網(wǎng)絡(luò)環(huán)境時(shí),就成了最大的安全隱患。其它無(wú)線終端也和筆記本有類似的情況。
據(jù)Forrester Research調(diào)查,到2005年,世界總共將有3500萬(wàn)移 動(dòng)設(shè)備用戶,而到2010年,這個(gè)數(shù)字將增加到150億。我們不是數(shù)學(xué)家,不需要具體算出到底這些移 動(dòng)設(shè)備會(huì)給企業(yè)的網(wǎng)絡(luò)增加多少受攻擊的幾率,只需要知道這將是企業(yè)網(wǎng)絡(luò)安全所面臨的巨大考驗(yàn)。任何一個(gè)系統(tǒng)都有可能由于未經(jīng)驗(yàn)證的用戶的訪問(wèn)而被感染。
通過(guò)安全策略,你可以讓網(wǎng)絡(luò)針對(duì)無(wú)線終端具有更多的審核,比如快速檢測(cè)到無(wú)線終端的接入,然后驗(yàn)證這些終端是否符合你的安全策略,是否是經(jīng)過(guò)認(rèn)證的用戶,是否有明顯的系統(tǒng)漏洞等。
開(kāi)啟無(wú)線網(wǎng)絡(luò)加密功能
在無(wú)線網(wǎng)絡(luò)系統(tǒng)中,無(wú)線網(wǎng)絡(luò)加密 (Wireless Encryption,WEP)應(yīng)該處于開(kāi)啟狀態(tài),并應(yīng)該設(shè)置為最高安全級(jí)別。而且管理者的用戶名和密碼需要經(jīng)常及時(shí)更換。但是這些措施也并不能夠完全防止黑客通過(guò)你的無(wú)線路由器入侵企業(yè)內(nèi)部網(wǎng)絡(luò)。這是由于在大多數(shù)無(wú)線路由器中,都包含有目前尚未被修補(bǔ)的CVE,黑客可以利用這些CVE進(jìn)行攻擊。一些高級(jí)的黑客會(huì)下載免費(fèi)的工具對(duì)這些漏洞進(jìn)行更高級(jí)的利用,以此完全攻破你的安全系統(tǒng)。
為無(wú)線路由器打補(bǔ)丁,并使用其自帶的防火墻功能
我強(qiáng)烈建議用戶在使用無(wú)線路由器時(shí)及時(shí)更新產(chǎn)品的固件,而且如果無(wú)線路由器有內(nèi)置防火墻功能,一定學(xué)習(xí)如何使用并配置它,開(kāi)啟這個(gè)防火墻。你也可以限制同時(shí)接入無(wú)線路由器的用戶數(shù)量,如果企業(yè)員工數(shù)量不是很多,完全沒(méi)有必要讓路由器設(shè)置為可以接納無(wú)限多的用戶。比如企業(yè)只有十五個(gè)員工,那么就設(shè)置無(wú)線路由器只能同時(shí)接入十五個(gè)連接好了。
·設(shè)置防火墻
設(shè)置你的防火墻
雖然防火墻并沒(méi)有特別強(qiáng)的安全主動(dòng)性,但是它可以很好的完成自己該做的那份工作。你應(yīng)該為防火墻設(shè)置智能化的規(guī)則,以便關(guān)閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲(chóng)的攻擊端口,因此你需要為防火墻建立規(guī)則,屏蔽所有系統(tǒng)上的1045端口。另外,當(dāng)筆記本或其它無(wú)線設(shè)備連接到網(wǎng)絡(luò)中時(shí),防火墻也應(yīng)該具有動(dòng)態(tài)的規(guī)則來(lái)屏蔽這些移 動(dòng)終端的危險(xiǎn)端口。
下載安裝商業(yè)級(jí)的安全工具
目前與安全有關(guān)的商業(yè)軟件相當(dāng)豐富,你可以從網(wǎng)上下載相應(yīng)的產(chǎn)品來(lái)幫助你保護(hù)企業(yè)網(wǎng)絡(luò)。這類產(chǎn)品從安全策略模板到反病毒、反垃圾郵件程序等,應(yīng)有盡有。微軟也針對(duì)系統(tǒng)的漏洞不斷給出升級(jí)補(bǔ)丁。所有這些工具都可以有效地提升網(wǎng)絡(luò)的安全等級(jí),因此你應(yīng)該充分利用它們。
禁止?jié)撛诘目杀缓诳屠玫膶?duì)象
“瀏覽器助手(BHO)”是最常見(jiàn)的可被黑客利用的對(duì)象。它一般用來(lái)監(jiān)測(cè)用戶的頁(yè)面導(dǎo)航情況以及監(jiān)控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統(tǒng)中的,由于它可以將外界的信息存入你的系統(tǒng),因此對(duì)網(wǎng)絡(luò)安全來(lái)說(shuō)是一個(gè)威脅。有些人利用BHO對(duì)象開(kāi)發(fā)出了間諜軟件,并盡量將起隱藏起來(lái)。一般來(lái)說(shuō),間諜軟件都會(huì)不斷變種,盡量避免被流行的間諜軟件檢測(cè)程序所發(fā)現(xiàn),直到間諜軟件檢測(cè)程序進(jìn)行了升級(jí)。如果你想看看自己的系統(tǒng)中到底有多少BHO,可以從Definitive Solutions公司的網(wǎng)站上下載BHODemon工具進(jìn)行檢測(cè)。
·注意事項(xiàng)
BHO是通過(guò)ADODB流對(duì)象在IE中運(yùn)行的。通過(guò)禁止ADODB流對(duì)象,你就可以防止BHO寫入文件、運(yùn)行程序以及在你的系統(tǒng)上進(jìn)行其它一些動(dòng)作。要禁止ADODB流對(duì)象,你可以訪問(wèn)微軟的技術(shù)支持頁(yè)面。
留意最新的威脅
據(jù)計(jì)算機(jī)安全協(xié)會(huì) (CSI)表示,2002 CSI/FBI計(jì)算機(jī)犯罪和安全調(diào)查顯示,“計(jì)算機(jī)犯罪和信息安全的威脅仍然不衰退,并且趨向于金融領(lǐng)域”。因此,你需要時(shí)刻留意網(wǎng)絡(luò)上的最新安全信息,以便保護(hù)自己的企業(yè)。網(wǎng)絡(luò)上很多地方可以提供最新的安全信息。
彌補(bǔ)已知的漏洞
系統(tǒng)上已知的漏洞被稱為“通用漏洞批露”(CVEs),它是由MITRE組織匯編整理的漏洞信息。通過(guò)打補(bǔ)丁或其它措施,你可以將網(wǎng)絡(luò)中所有系統(tǒng)的CVE漏洞彌補(bǔ)好。目前通過(guò)工具軟件,你可以快速檢測(cè)系統(tǒng)的CVE漏洞并將其修補(bǔ)好。有關(guān)這方面更多的信息,你可以查閱cve.mitre.org網(wǎng)站。
總的來(lái)說(shuō),一個(gè)具有主動(dòng)性的網(wǎng)絡(luò)安全模型是以一個(gè)良好的安全策略為起點(diǎn)的。之后你需要確保這個(gè)安全策略可以被徹底貫徹執(zhí)行。最后,由于移 動(dòng)辦公用戶的存在,你的企業(yè)和網(wǎng)絡(luò)經(jīng)常處在變化中,你需要時(shí)刻比那些黑客、蠕蟲(chóng)、惡意員工以及各種互聯(lián)網(wǎng)罪犯提前行動(dòng)。要做到先行一步,你應(yīng)該時(shí)刻具有主動(dòng)性的眼光并在第一時(shí)刻更新的你安全策略,同時(shí)你要確保系統(tǒng)已經(jīng)安裝了足夠的防護(hù)產(chǎn)品,來(lái)阻止黑客的各種進(jìn)攻嘗試。雖然安全性永遠(yuǎn)都不是百分之百的,但這樣做足可以使你處于優(yōu)勢(shì)地位。
