在做一個詳細的安全策略方案之前,我們首先要十分清楚哪些是對企業(yè)網(wǎng)絡(luò)的安全構(gòu)成威脅的主要因素,然后再從主要因素入手,逐一搜集當前網(wǎng)絡(luò)系統(tǒng)的基本系統(tǒng)結(jié)構(gòu)和安全配置信息。你應(yīng)該主要搜集自己所在企業(yè)的網(wǎng)絡(luò)系統(tǒng)硬件平臺、操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、應(yīng)用程序、網(wǎng)絡(luò)類型/結(jié)構(gòu)、連通性能等方面的具體數(shù)據(jù)信息。通過這些數(shù)據(jù)你可以對網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)有一個較完全的了解,可以得到一份完全的功能級的系統(tǒng)圖表和對所有主要硬件、軟件資源功能的詳盡描述,這對開發(fā)安全策略是十分重要的。雖然在本章開始部分就已介紹了企業(yè)網(wǎng)絡(luò)安全隱患的主要來源,但那只是從宏觀方面進行的闡述,具體到一個企業(yè)還是有許多細節(jié)要充分考慮的。
總的來說,企業(yè)網(wǎng)絡(luò)的安全隱患是多方面的,綜合起來可以分為:網(wǎng)絡(luò)安全隱患、物理安全隱患和網(wǎng)絡(luò)設(shè)備自身安全隱患三大類。下面具體介紹。
一 網(wǎng)絡(luò)安全隱患
在企業(yè)網(wǎng)絡(luò)方面可能存在的安全隱患主要表現(xiàn)在以下幾個方面。
(1) 網(wǎng)絡(luò)拓撲不合理帶來的安全隱患
企業(yè)網(wǎng)絡(luò)中,應(yīng)當做到內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)的安全隔離,體現(xiàn)在企業(yè)網(wǎng)絡(luò)拓撲設(shè)計上就是統(tǒng)一采用服務(wù)器經(jīng)過路由器和防火墻上網(wǎng),原則上不允許企業(yè)內(nèi)部用戶從自己的電腦上通過撥號上網(wǎng)。因為這種直接撥號上網(wǎng)在無形之中就給整個企業(yè)網(wǎng)絡(luò)開了一個后門。要想連接外部網(wǎng)絡(luò)必須通過企業(yè)防火墻的過濾與監(jiān)控。如果條件許可,可以采用盡可能安全的網(wǎng)絡(luò)體系結(jié)構(gòu),甚至劃分DMZ非軍事區(qū),在非軍事區(qū)的兩端分別過濾指定的數(shù)據(jù)包。
(2) OSI/RM參考模型中各層通信的安全隱患
OSI/RM參考模型的每層都可能成為攻擊的目標,因為在每層中運行的服務(wù)和協(xié)議都可能存一些安全漏洞。我們必須依靠相應(yīng)的技術(shù)、產(chǎn)品和方案來加以彌補。
(3) 病毒和黑客安全隱患
隨著近年來計算機的普及,病毒也越來越泛濫,為了保護數(shù)據(jù),企業(yè)應(yīng)當完善病毒防御體系,避免數(shù)據(jù)被病毒破壞。當然這里的防毒體系不再是平常我們個人所用的單機版殺毒軟件,而強烈建議采用網(wǎng)絡(luò)版的殺毒系統(tǒng)。
(4) 數(shù)據(jù)下載和數(shù)據(jù)存儲安全隱患
隨著Internet的普及,很多軟件都可以共享,在使用每一個應(yīng)用程序時都要注意其出處,盡量到大的、可信站點下載,以免受到木馬程序或數(shù)據(jù)驅(qū)動型病毒的攻擊。另外還要注意使用的應(yīng)用程序存在的各項漏洞,及時修正。在數(shù)據(jù)的保護方面應(yīng)該采用數(shù)據(jù)備份與災(zāi)難恢復(fù)體系,根據(jù)企業(yè)的需求采用相應(yīng)的數(shù)據(jù)備份策略,為關(guān)鍵應(yīng)用提供在線的熱備份系統(tǒng),如果要求很高還應(yīng)當考慮采用異地容災(zāi)體系。
(5) 用戶身份認證安全隱患
在網(wǎng)絡(luò)系統(tǒng)中,有遠程訪問權(quán)限的用戶應(yīng)盡可能少,而且對具有遠程訪問權(quán)限的用戶連接也應(yīng)盡量采用先進的加密與身份認證手段,及時彌補認證手段中存在的缺陷。另外當員工向自己的客戶或供應(yīng)商發(fā)送關(guān)鍵郵件時,最好采用郵件加密和數(shù)字簽名等手段,以確保數(shù)據(jù)傳輸?shù)陌踩。不允許在工作中通過QQ或MSN向外發(fā)送數(shù)據(jù)。
(6) 防火墻的局限性隱患
不要認為公司使用了防火墻就能夠萬無一失了,因為防火墻必須開放某些端口,同時還有很多可以繞過防火墻的攻擊方法。各種類型的防火墻都有其局限性與缺陷,應(yīng)當及時與防火墻的廠家聯(lián)系,取得防火墻的最新補丁。另外設(shè)置不當?shù)姆阑饓^濾規(guī)則可能會起到相反的作用,在配置防火墻策略時一定要注意。
(7) 軟件本身的安全漏洞隱患
迄今為止沒有一款軟件是牢不可摧的,各種系統(tǒng)總會有大大小小的安全漏洞,應(yīng)當及時修補這些漏洞,并對系統(tǒng)做好盡可能安全的各項設(shè)置,盡量采用服務(wù)最小化原則。目前所發(fā)現(xiàn)的微軟的Windows系統(tǒng)的安全漏洞比較多,更應(yīng)及時安裝補丁。
在軟件方面,主要是考慮各種網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)和應(yīng)用服務(wù)器的安全,因為這是攻擊者首選的攻擊的目標。目前主流的網(wǎng)絡(luò)服務(wù)器操作系統(tǒng)有Windows、UNIX和Linux這三種,但是不管是哪種類型的操作系統(tǒng),每隔一段時間都會被發(fā)現(xiàn)有一些大大小小的漏洞,其中有很多漏洞可以使攻擊者直接取得系統(tǒng)管理員的高級控制權(quán)限。服務(wù)器一旦被控制,那后果是不堪設(shè)想的,輕則會被拿來作為進攻其他機器的跳板,重則可能造成信息泄漏,更有甚者可能會破壞你所有的數(shù)據(jù)。但是只要扎扎實實地做好系統(tǒng)的各項安全設(shè)置工作,及時打上各種操作系統(tǒng)的補丁,堵住一系列的安全漏洞,同時加強在系統(tǒng)及企業(yè)信息安全方面的管理,我們還是可以抵御絕大多數(shù)入侵的。
另外,有很多基于操作系統(tǒng)的軟件或者是數(shù)據(jù)庫系統(tǒng)的漏洞也可能使得攻擊者取得系統(tǒng)權(quán)限,例如,IIS的各種大大小小的漏洞,MS SQL Server的漏洞和Oracle的漏洞等。同時操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)等的弱密碼策略也是系統(tǒng)的巨大安全隱患,所以也必須加強操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)的密碼管理,提高密碼的復(fù)雜性。
同時要注意,網(wǎng)絡(luò)上沒有絕對安全的服務(wù)器,也沒有絕對安全的主機,即使在一段時間內(nèi)實現(xiàn)了安全,但是隨著新的漏洞被發(fā)現(xiàn),新的攻擊手段被發(fā)現(xiàn),你的服務(wù)器又會處于威脅之下。所以我們必須保持對服務(wù)器和所有工作系統(tǒng)及時更新,以及時堵住黑客入侵、攻擊的途徑。
(8) IT管理漏洞帶來的安全隱患
公司內(nèi)部員工的權(quán)限設(shè)置,離職員工的賬號處理等都是企業(yè)存在的安全隱患。對于暫停使用的員工賬戶,網(wǎng)絡(luò)管理員要立即禁用。對于已離開公司的員工的賬戶一定要及時注銷或者刪除。內(nèi)、外網(wǎng)用戶的訪問控制必須有適當?shù)纳矸蒡炞C機制,對外網(wǎng)的遠程訪問網(wǎng)絡(luò)活動應(yīng)及時監(jiān)控。
(9) 文件共享和用戶權(quán)限安全隱患
在企業(yè)網(wǎng)絡(luò)內(nèi)部有時我們必須為所有或部分用戶提供一些共享文件,但如果共享權(quán)限配置不當,這些都可能給企業(yè)網(wǎng)絡(luò)帶來安全隱患。如具有寫權(quán)限的賬戶就可以在對方計算機上放置文件,這些文件就可能是黑客們安排的惡意程序。還有就是對一些企業(yè)的敏感數(shù)據(jù),一定要嚴格限制用戶的訪問權(quán)限。
二 物理安全隱患
物理安全隱患是指網(wǎng)絡(luò)設(shè)備或工作場所使用不當可能帶來的安全隱患,特別嚴重的是采用無線局域網(wǎng)連接的企業(yè)用戶。主要包括機房安全隱患,數(shù)據(jù)安全隱患和用戶習(xí)慣安全隱患。
(1) 機房安全隱患
機房作為企業(yè)網(wǎng)絡(luò)系統(tǒng)的核心所在,其安全性應(yīng)該是最高的。因為在其中不僅集中了整個企業(yè)網(wǎng)絡(luò)的核心設(shè)備,而且它還是整個企業(yè)網(wǎng)絡(luò)正常運行的核心、企業(yè)信息中心和企業(yè)數(shù)據(jù)中心。對于這么重要的工作場所,現(xiàn)在絕大多數(shù)企業(yè)沒有給予足夠的重視,所有員工進出機房就像進出辦公大廳一樣隨便,還有的企業(yè)甚至允許員工進入機房使用服務(wù)器等設(shè)備登錄,更有甚者在管理員不在的情況下機房長期開敞,這些都可能給整個企業(yè)網(wǎng)絡(luò)帶來巨大的安全隱患。只要有一些別有用心的人,就很容易使整個企業(yè)網(wǎng)絡(luò)處于停止、癱瘓,甚至崩潰狀態(tài)。因為雖然網(wǎng)絡(luò)服務(wù)器可能進不去,但是對其他各種網(wǎng)絡(luò)設(shè)備,包括UPS電源等都是十分容易控制的,只要把某些網(wǎng)線一拔、電源一關(guān)就可能造成嚴重的安全事件。而對于一些技能高超的黑客來說,在機房中長時間沒人,或者被允許使用服務(wù)器登錄時就可以很輕松地竊取服務(wù)器中的關(guān)鍵數(shù)據(jù)或信息,為他日后進行網(wǎng)絡(luò)攻擊打下基礎(chǔ)。這樣的安全隱患,對于一個有責(zé)任心的IT經(jīng)理或網(wǎng)管員來說,真是想都不敢想,然而卻實實在在地在許多企業(yè),特別是中小企業(yè)中存在。
一般來說,為了杜絕機房不安全事件的發(fā)生,我們必須在下班后,或者在管理員不在機房的情況下,用有效的鎖鎖住機房,并且盡可能封鎖其他進入機房的途徑。對于本企業(yè)中一些用戶需要進入機房的情況,要事先做好相應(yīng)的規(guī)定,這樣一來執(zhí)行起來就容易許多,否則很可能上、下不討好。同時要注意,現(xiàn)在無線網(wǎng)絡(luò)技術(shù)已非常發(fā)達,一些技術(shù)高超的黑客可以通過各種無線手段,如電磁滲透技術(shù)竊取服務(wù)器數(shù)據(jù),所以建議在機房周圍劃出一定的安全區(qū),防止別人通過電磁手段截取網(wǎng)絡(luò)中的數(shù)據(jù),甚至是截獲屏幕顯示。
(2) 數(shù)據(jù)安全隱患
對于企業(yè)網(wǎng)絡(luò)數(shù)據(jù)應(yīng)當及時做好各種類型的備份(具體選擇哪種備份類型,依據(jù)各自企業(yè)的容災(zāi)方案而定),而且數(shù)據(jù)的備份媒體應(yīng)當保存在安全的專用保管柜或租用的銀行保管箱中。這里的安全包括物理上的安全(就是指鑰匙不容易自配、保管柜不容易被撬開)和環(huán)境上的安全,如不潮濕、沒蟲咬、鼠咬危險。
如有必要采用雙機熱備份甚至是異地容災(zāi)系統(tǒng),計算機應(yīng)當處于UPS不間斷電源的保護之下,防止因突然斷電導(dǎo)致意外數(shù)據(jù)丟失。網(wǎng)絡(luò)的電纜也不能夠暴露在可視范圍內(nèi),防止別人采用電子手段通過電纜的電磁泄漏竊取重要數(shù)據(jù)(如果條件許可,盡量采用光纖)。另外,敏感的信息不能夠放在桌面或抽屜等別人可以接觸到的地方,對于敏感的打印文檔和磁帶應(yīng)當及時申請銷毀。
(3) 用戶習(xí)慣安全
IT經(jīng)理或網(wǎng)管員必須做好員工培訓(xùn)計劃,使企業(yè)中所有使用計算機的員工,養(yǎng)成當離開自己的電腦或服務(wù)器時,隨時鎖住電腦或注銷登錄賬戶的習(xí)慣,不要把寫有密碼或者密碼提示的便條放在桌面上。如果員工所使用的電腦在CMOS中有開機密碼設(shè)置項,建議由系統(tǒng)管理員設(shè)置開機密碼(之所以應(yīng)由管理員來設(shè),主要是為了預(yù)防員工離職后不給管理員密碼,帶來不必要的麻煩),這樣在關(guān)機后其他不知道密碼的用戶就不能使用這臺電腦登錄系統(tǒng)了。
還有,如果自己所使用的電腦裝有軟驅(qū)、光驅(qū),最好在平常不用時在CMOS中禁用這兩個驅(qū)動器,只是當需要使用時再啟用它們。但這個CMOS設(shè)置一定要加密碼保護。加密碼后,其他用戶就不能隨便更改了,杜絕了非法用戶修改CMOS設(shè)置進入系統(tǒng),或者使用一些可能給網(wǎng)絡(luò)帶來安全隱患的設(shè)備,如軟驅(qū)、光盤(它們都可能因使用帶毒媒體而感染網(wǎng)絡(luò))。
三 網(wǎng)絡(luò)設(shè)備自身的安全隱患
盡管,網(wǎng)絡(luò)硬件設(shè)備受攻擊的難度要遠比軟件高,但在一些特殊行業(yè)中,網(wǎng)絡(luò)設(shè)備自身的安全性也要受到足夠的重視。因為攻擊者都知道,一旦成功入侵并實施攻擊,可以獲得巨大的利益,這點攻擊難度也就不是主要考慮的方面了。
目前企業(yè)網(wǎng)絡(luò)中最主要的網(wǎng)絡(luò)設(shè)備包括交換機、路由器和防火墻這三大類,還有就是各種WLAN設(shè)備。對這些設(shè)備自身的安全保護考慮主要是采用部件、設(shè)備和線路冗余方式進行。
在了解了以上各方面的網(wǎng)絡(luò)安全隱患后,我們接下來就要按上述隱患收集當前企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的運行情況。當然還要包括整個企業(yè)網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu),這對于網(wǎng)絡(luò)安全策略的設(shè)計非常重要。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:企業(yè)網(wǎng)絡(luò)安全隱患詳解
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083954156.html