1、注意内网安全与网络边界安全的不同
创新互联建站坚持“要么做到,要么别承诺”的工作理念,服务领域包括:成都网站设计、成都网站建设、企业官网、英文网站、手机端网站、网站推广等服务,满足客户于互联网时代的梧州网站设计、移动媒体设计的需求,帮助企业找到有效的互联网解决方案。努力成为您成熟可靠的网络建设合作伙伴!
内网安全的威胁不同于网络边界的威胁。网络边界安全技术防范来自Internet上的攻击,主要是防范来自公共的网络服务器如HTTP或SMTP的攻 击。网络边界防范(如边界防火墙系统等)减小了资深黑客仅仅只需接入互联网、写程序就可访问企业网的几率。内网安全威胁主要源于企业内部。恶性的黑客攻击 事件一般都会先控制局域网络内部的一台Server,然后以此为基地,对Internet上其他主机发起恶性攻击。因此,应在边界展开黑客防护措施,同时 建立并加强内网防范策略。
2、限制VPN的访问
虚拟专用网(VPN)用户的 访问对内网的安全造成了巨大的威胁。因为它们将弱化的桌面操作系统置于企业防火墙的防护之外。很明显VPN用户是可以访问企业内网的。因此要避免给每一位 VPN用户访问内网的全部权限。这样可以利用登录控制权限列表来限制VPN用户的登录权限的级别,即只需赋予他们所需要的访问权限级别即可,如访问邮件服 务器或其他可选择的网络资源的权限。
3、为合作企业网建立内网型的边界防护
合作企业网也是造成内网安全问题的一大原因。例如安全管理员虽然知道怎样利用实际技术来完固防火墙,保护MS-SQL,但是Slammer蠕虫仍能侵入 内网,这就是因为企业给了他们的合作伙伴进入内部资源的访问权限。由此,既然不能控制合作者的网络安全策略和活动,那么就应该为每一个合作企业创建一个 DMZ,并将他们所需要访问的资源放置在相应的DMZ中,不允许他们对内网其他资源的访问。
4、自动跟踪的安全策略
智能的自动执行实时跟踪的安全策略是有效地实现网络安全实践的关键。它带来了商业活动中一大改革,极大的超过了手动安全策略的功效。商业活动的现状需要 企业利用一种自动检测方法来探测商业活动中的各种变更,因此,安全策略也必须与相适应。例如实时跟踪企业员工的雇佣和解雇、实时跟踪网络利用情况并记录与 该计算机对话的文件服务器。总之,要做到确保每天的所有的活动都遵循安全策略。
5、关掉无用的网络服务器
大型企业网可能同时支持四到五个服务器传送e-mail,有的企业网还会出现几十个其他服务器监视SMTP端口的情况。这些主机中很可能有潜在的邮件服 务器的攻击点。因此要逐个中断网络服务器来进行审查。若一个程序(或程序中的逻辑单元)作为一个window文件服务器在运行但是又不具有文件服务器作用 的,关掉该文件的共享协议。
6、首先保护重要资源
若一个内网上连了千万台 (例如30000台)机子,那么要期望保持每一台主机都处于锁定状态和补丁状态是非常不现实的。大型企业网的安全考虑一般都有择优问题。这样,首先要对服 务器做效益分析评估,然后对内网的每一台网络服务器进行检查、分类、修补和强化工作。必定找出重要的网络服务器(例如实时跟踪客户的服务器)并对他们进行 限制管理。这样就能迅速准确地确定企业最重要的资产,并做好在内网的定位和权限限制工作。
7、建立可靠的无线访问
审查网络,为实现无线访问建立基础。排除无意义的无线访问点,确保无线网络访问的强制性和可利用性,并提供安全的无线访问接口。将访问点置于边界防火墙之外,并允许用户通过VPN技术进行访问。
8、建立安全过客访问
对于过客不必给予其公开访问内网的权限。许多安全技术人员执行的“内部无Internet访问”的策略,使得员工给客户一些非法的访问权限,导致了内网实时跟踪的困难。因此,须在边界防火墙之外建立过客访问网络块。
9、创建虚拟边界防护
主机是被攻击的主要对象。与其努力使所有主机不遭攻击(这是不可能的),还不如在如何使攻击者无法通过受攻击的主机来攻击内网方面努力。于是必须解决企 业网络的使用和在企业经营范围建立虚拟边界防护这个问题。这样,如果一个市场用户的客户机被侵入了,攻击者也不会由此而进入到公司的RD。因此 要实现公司RD与市场之间的访问权限控制。大家都知道怎样建立互联网与内网之间的边界防火墙防护,现在也应该意识到建立网上不同商业用户群之间 的边界防护。
10、可靠的安全决策
网络用户也存在着安全隐患。有的用户或 许对网络安全知识非常欠缺,例如不知道RADIUS和TACACS之间的不同,或不知道代理网关和分组过滤防火墙之间的不同等等,但是他们作为公司的合作 者,也是网络的使用者。因此企业网就要让这些用户也容易使用,这样才能引导他们自动的响应网络安全策略。
另外,在技术上,采用安全交换机、重要数据的备份、使用代理网关、确保操作系统的安全、使用主机防护系统和入侵检测系统等等措施也不可缺少。
在企业的网络中,最常用的功能莫过于“共享文件”了。财务部门需要当月员工的考勤信息,人事部门可能不会亲自拿过去,而是在网络上共享;生产部门的生产报表也不会用书面的资料分发,而是放在网络的共享文件夹下,谁需要的话,就自己去查看就可以了,等等。类似的需求还有很多。\x0d\x0a可见,共享文件的功能,提高了企业办公的效率,使企业局域网应用中的一个不可缺的功能。但是,由于共享文件夹管理不当,往往也给企业带来了一些安全上的风险。如某些共享文件莫名其妙的被删除或者修改;有些对于企业来说数据保密的内容在网络上被共享,所有员工都可以访问;共享文件成为病毒、木马等传播的最好载体,等等。\x0d\x0a一、实时查看谁在访问我的共享文件\x0d\x0a第二步:依次选择“系统工具”、共享文件夹、打开文件,此时,在窗口中就会显示本机上的一些共享资源,被哪些电脑在访问。同时,在这个窗口中还会显示一些有用的信息,如其打开了哪一个共享文件;是什么时候开始访问的;已经闲置了多少时间。也就是所,只要其打开了某个共享文件夹,即使其没有打开共享文件,也会在这里显示。\x0d\x0a另外,我们有时候可能出于某些目的,如员工可能认为不能让这个人访问这个文件。此时,我们就可以直接右键点击这个会话,然后从快捷菜单中选择关闭会话,我们就可以阻止这个用户访问这个共享文件,而不会影响其他用户的正常访问。\x0d\x0a二、设置共享文件夹时,最好把文件与文件夹设置为只读\x0d\x0a在大部分时候,用户都只需要查看或者复制这个共享文件即可,而往往不会在共享文件夹上进行直接修改。但是,有些员工为了贪图方便,就直接以可读写的方式共享某个文件夹以及文件。这是非常危险的。\x0d\x0a一方面,这些不受限制的共享文件家与共享文件成为了病毒传播的载体。笔者在工作中发现,有些用户在共享文件的时候,没有权限限制。一段时间后,再去看这个共享文件,发现有些共享文件或者共享文件夹中有病毒或者木马的踪影。原来由于这个共享文件夹有写的权限,所以,其他用户如何打开这个文件,恰巧这台电脑中有病毒或者木马的话,就会传染给这个共享文件夹。从而让其他访问这个共享文件夹的电脑也中招。可见,没有保护措施的共享文件夹以及里面的共享文件,已经成为了病毒传播的一个很好的载体。\x0d\x0a另一方面,当数据非法更改时,很难发现是谁在恶作剧。虽然可以通过相关的日志信息可以查询到有哪些人访问过这个共享文件,以及是否进行了更改的动作。但是,光凭这些信息的话,是不能够知道这个用户对这个共享文件夹作了哪些更改。有时候,我们打开一个共享文件,会不小心的按了一个空格键或者一个字符键,不小心的把某个字覆盖了,等等。这些情况在实际工作中经常会遇到。有时候,即使找到了责任人,他也不知道到底修改了哪些内容。所以,当把共享文件设置为可写的话,则很难防止员工有意或者无意的更改。\x0d\x0a第三,若以可写的方式共享文件的话,可能无法保证数据的统一。如人事部门以可读写的方式共享了一个考勤文件。此时,若财务部门修改了这个文件,而人事部门并不知道。因为财务人员可能忘记告诉了人事部门,此时,就会导致两个部门之间的数据不一致,从而可能会造成一些不必要的麻烦。而且,由于没有相关的证据,到时候谁对谁错,大家都说不清楚。\x0d\x0a为了解决这些问题,笔者建议企业用户,在共享文件夹的时候,最好把文件夹的权限设置为只读。若这个共享文件夹有时候其他用户需要往这个文件夹中存文件,不能设置为只读。那我们也可以把共享文件夹中的文件设置为只读。如此的话,由于文件夹为只读的,则病毒、木马也就不能够感染这些文件夹,从而避免成为散播病毒的污染源;而且,也可以防止用户未经授权的更改,从而导致数据的不统一等等。\x0d\x0a三、建立文件共享服务器,统一管理共享文件的访问权限\x0d\x0a另外,若把企业的共享文件分散在各个用户终端管理的话,有一个问题,就是用户对于共享操作的熟悉程度不同或者安全观念有差异,所以,很难从部署一个统一的文件共享安全策略。如分散在用户主机的共享文件,员工一般不会定期对其进行备份,以防止因为意外损害而进行及时恢复;一般也不会设置具体的访问权限,如只允许一些特定的员工访问等等。因为这些操作的话,一方面可能需要一些专业知识,另一方面,设置企业也比较繁琐。所以,即使我们出了相关的制度,但是,员工一般很难遵守。\x0d\x0a所以,笔者建议,在一些有条件的企业,部署一个文件共享服务器,来统一管理共享文件。采取这种策略的话,有如下好处。\x0d\x0a一是可以定时的对共享文件进行备份,从而减少因为意外修改或者删除而导致的损失。若能够把共享文件夹都放在文件服务器上,则我们就可以定时的对文件服务器上的文件进行备份。如此的话,即使因为权限设置不合理,导致文件被意外修改或者删除;有时会,员工自己也会在不经意中删除不该删的文件,遇到这种情况的时候,则我们可以通过文件恢复作业,把原有的文件恢复过来,从而减少这些不必要的损失。\x0d\x0a二是可以统一制定文件访问权限策略。在共享文件服务器上,我们可以根据各个员工的需求,在文件服务中预先设置一些文件夹,并设置好具体的权限。如此的话,放到共享文件服务器中的文件就自动继承了文件服务器文件夹的访问权限,从而实现统一管理文件访问权限的目的。如对于一些全公司都可以访问的行政通知类文件,我们可以为此设立一个通知类文件夹,这个文件夹只有行政人员具有读写权限,而其他职工都只有只读权限。如此的话,其他员工就不能够对这些通知进行更改或者删除。所以,对共享文件夹进行统一的管理,可以省去用户每次设置权限的麻烦,从而提高共享文件的安全性。\x0d\x0a三是可以统一进行防毒管理。对于共享文件来说,我们除了要关心其数据是否为泄露或者非法访问外,另外一个问题就是共享文件是否会被病毒感染。病毒或者木马是危害企业网络安全的第一把杀手,而共享文件又是其很好的载体。若能够有效的解决共享文件的病毒木马感染问题,必定可以有效的抑制病毒或者木马在企业网络中为非作歹。而我们若能够在企业中统一部署文件服务器,则我们就可以利用下班的空闲时间,对文件服务器上的共享文件统一进行杀毒,以保证共享文件服务器上的文件都是干净的,没有被木马或者病毒所感染,从而避免其成为病毒或者木马的有效载体。\x0d\x0a综上所述,共享文件夹以及共享文件的安全性问题,是企业网络安全管理中的一个比较薄弱的环节,但是,又是一个十分重要的环节。笔者相信,做好这件工作,必定可以提高企业网络的利用价值,减少网络安全事故。
内网是网络应用中的一个主要组成部分,其安全性也受到越来越多的重视。今天就给大家脑补一下内网安全的保护方法。
对于大多数企业局域网来说,路由器已经成为正在使用之中的最重要的安全设备之一。一般来说,大多数网络都有一个主要的接入点。这就是通常与专用防火墙一起使用的“边界路由器”。
经过恰当的设置,边缘路由器能够把几乎所有的最顽固的坏分子挡在网络之外。如果你愿意的话,这种路由器还能够让好人进入网络。不过,没有恰当设置的路由器只是比根本就没有安全措施稍微好一点。
在下列指南中,我们将研究一下你可以用来保护网络安全的9个方便的步骤。这些步骤能够保证你拥有一道保护你的网络的砖墙,而不是一个敞开的大门。
1.修改默认的口令!
据国外调查显示,80%的安全突破事件是由薄弱的口令引起的。网络上有大多数路由器的广泛的默认口令列表。你可以肯定在某些地方的某个人会知道你的生日。SecurityStats.com网站维护一个详尽的可用/不可用口令列表,以及一个口令的可靠性测试。
2.关闭IP直接广播(IP Directed Broadcast)
你的服务器是很听话的。让它做什么它就做什么,而且不管是谁发出的指令。Smurf攻击是一种拒绝服务攻击。在这种攻击中,攻击者使用假冒的源地址向你的网络广播地址发送一个“ICMP echo”请求。这要求所有的主机对这个广播请求做出回应。这种情况至少会降低你的网络性能。
参考你的路由器信息文件,了解如何关闭IP直接广播。例如,“Central(config)#no ip source-route”这个指令将关闭思科路由器的IP直接广播地址。
3.如果可能,关闭路由器的HTTP设置
正如思科的技术说明中简要说明的那样,HTTP使用的身份识别协议相当于向整个网络发送一个未加密的口令。然而,遗憾的是,HTTP协议中没有一个用于验证口令或者一次性口令的有效规定。
虽然这种未加密的口令对于你从远程位置(例如家里)设置你的路由器也许是非常方便的,但是,你能够做到的事情其他人也照样可以做到。特别是如果你仍在使用默认的口令!如果你必须远程管理路由器,你一定要确保使用SNMPv3以上版本的协议,因为它支持更严格的口令。
4.封锁ICMP ping请求
ping的主要目的是识别目前正在使用的主机。因此,ping通常用于更大规模的协同性攻击之前的侦察活动。通过取消远程用户接收ping请求的应答能力,你就更容易避开那些无人注意的扫描活动或者防御那些寻找容易攻击的'目标的“脚本小子”(script kiddies)。
请注意,这样做实际上并不能保护你的网络不受攻击,但是,这将使你不太可能成为一个攻击目标。
5.关闭IP源路由
IP协议允许一台主机指定数据包通过你的网络的路由,而不是允许网络组件确定最佳的路径。这个功能的合法的应用是用于诊断连接故障。但是,这种用途很少应用。这项功能最常用的用途是为了侦察目的对你的网络进行镜像,或者用于攻击者在你的专用网络中寻找一个后门。除非指定这项功能只能用于诊断故障,否则应该关闭这个功能。
6.确定你的数据包过滤的需求
封锁端口有两项理由。其中之一根据你对安全水平的要求对于你的网络是合适的。
对于高度安全的网络来说,特别是在存储或者保持秘密数据的时候,通常要求经过允许才可以过滤。在这种规定中,除了网路功能需要的之外,所有的端口和IP地址都必要要封锁。例如,用于web通信的端口80和用于SMTP的110/25端口允许来自指定地址的访问,而所有其它端口和地址都可以关闭。
大多数网络将通过使用“按拒绝请求实施过滤”的方案享受可以接受的安全水平。当使用这种过滤政策时,可以封锁你的网络没有使用的端口和特洛伊木马或者侦查活动常用的端口来增强你的网络的安全性。例如,封锁139端口和445(TCP和UDP)端口将使黑客更难对你的网络实施穷举攻击。封锁31337(TCP和UDP)端口将使Back Orifice木马程序更难攻击你的网络。
这项工作应该在网络规划阶段确定,这时候安全水平的要求应该符合网络用户的需求。查看这些端口的列表,了解这些端口正常的用途。
7.建立准许进入和外出的地址过滤政策
在你的边界路由器上建立政策以便根据IP地址过滤进出网络的违反安全规定的行为。除了特殊的不同寻常的案例之外,所有试图从你的网络内部访问互联网的IP地址都应该有一个分配给你的局域网的地址。例如,192.168.0.1 这个地址也许通过这个路由器访问互联网是合法的。但是,216.239.55.99这个地址很可能是欺骗性的,并且是一场攻击的一部分。
相反,来自互联网外部的通信的源地址应该不是你的内部网络的一部分。因此,应该封锁入网的192.168.X.X、172.16.X.X和10.X.X.X等地址。
最后,拥有源地址的通信或者保留的和无法路由的目标地址的所有的通信都应该允许通过这台路由器。这包括回送地址127.0.0.1或者E类(class E)地址段240.0.0.0-254.255.255.255。
8.保持路由器的物理安全
从网络嗅探的角度看,路由器比集线器更安全。这是因为路由器根据IP地址智能化地路由数据包,而集线器相所有的节点播出数据。如果连接到那台集线器的一个系统将其网络适配器置于混乱的模式,它们就能够接收和看到所有的广播,包括口令、POP3通信和Web通信。
然后,重要的是确保物理访问你的网络设备是安全的,以防止未经允许的笔记本电脑等嗅探设备放在你的本地子网中。
9.花时间审阅安全记录
审阅你的路由器记录(通过其内置的防火墙功能)是查出安全事件的最有效的方法,无论是查出正在实施的攻击还是未来攻击的征候都非常有效。利用出网的记录,你还能够查出试图建立外部连接的特洛伊木马程序和间谍软件程序。用心的安全管理员在病毒传播者作出反应之前能够查出“红色代码”和“Nimda”病毒的攻击。
此外,一般来说,路由器位于你的网络的边缘,并且允许你看到进出你的网络全部通信的状况。
信息技术在给我们的日常生活和工作带来便利的同时,也存在很大的安全隐患,数字化传输数据使得企业数据变得更容易泄漏,而且企业内网没有绝对的安全,稍不留意或防护就可能会遭到病毒的入侵,所以就需要对内网中各个环节的使用进行全面管理。管理者可以用域之盾系统对企业内网终端安全及数据安全进行多角度管理,比如:
1.文档透明加密
为保护企业文档安全,可以通过文档透明加密的方式对办公常用文档类型加密,加密文档类型下的文件打开后都是加密状态,且只能带企业局域网下正常打开使用,私自外发出去都是乱码的,想对文件外发需要提前向管理端审批;
2.文件外发操作及自动备份
在文档安全中可以对文档修改或删除时进行自动备份,和对文件的修改或删除进行操作记录,并且可以限制邮件客户端、网页和聊天工具等外发文件行为,还能够自定义程序的进程来禁止外发文件;
3.U盘使用及usb接口管理
可以通过U盘管理限制员工随意使用U盘,比如可以设置U盘仅读取、仅写入和禁止使用等权限,还可以设置U盘白名单、U盘文件加密和U盘插拔记录等,还能够在外设管理中禁用便携式设备、移动硬盘、usb外设、蓝牙设备、红外设备和无线网卡等;
4.屏幕录制及本地操作审计
可以在本地审计中开启屏幕录制和屏幕快照审计,这样就能够记录到员工在电脑上做了哪些操作,还可以开启应用程序审计、剪贴板审计、文件操作记录和打印审计等;
5.上网行为审计与管理
可以对员工的上网行为进行审计记录,可以开启浏览网站审计、网络搜索审计、邮件发送审计、上传下载审计和多种常用聊天工具的内容审计,并且通过网站访问控制和应用程序管控的黑白名单可设置员工在电脑上只能够做哪些事情,或禁止做哪些事情。