盡管我們都知道網(wǎng)絡(luò)安全是關(guān)系到企業(yè)信息安全的最重要一環(huán)�,但是我實(shí)際看到的情況卻是�����,很多企業(yè)對(duì)于網(wǎng)絡(luò)設(shè)計(jì)的安全性并不是非常重視�。下面�����,我將介紹幾種在網(wǎng)絡(luò)安全設(shè)計(jì)時(shí)常見(jiàn)的錯(cuò)誤�����,這些錯(cuò)誤會(huì)對(duì)未來(lái)企業(yè)的網(wǎng)絡(luò)安全構(gòu)成嚴(yán)重影響����。
1: 設(shè)置好就高枕無(wú)憂了
我要講到的第一個(gè)錯(cuò)誤更偏重于計(jì)劃而不是網(wǎng)絡(luò)設(shè)計(jì)�����。這種錯(cuò)誤我一般將它稱之為“設(shè)計(jì)好就高枕無(wú)憂”�����。犯這種錯(cuò)誤的企業(yè)一般會(huì)下大力氣去設(shè)計(jì)一個(gè)安全的網(wǎng)絡(luò)���,但是卻忽略了后期對(duì)于這個(gè)設(shè)計(jì)的定期性的重新評(píng)估�。因?yàn)榫W(wǎng)絡(luò)風(fēng)險(xiǎn)是在不斷變化的,因此企業(yè)的網(wǎng)絡(luò)安全設(shè)計(jì)也應(yīng)該不斷進(jìn)化�。最好的辦法就是定期對(duì)網(wǎng)絡(luò)安全設(shè)計(jì)進(jìn)行重新評(píng)估。
2: 在防火墻上開(kāi)放過(guò)多的端口
我們都知道開(kāi)放過(guò)多的端口沒(méi)有好處�,但是有時(shí)候又不得不多開(kāi)放幾個(gè)端口���。就拿 Microsoft Office Communications Server 2007 R2來(lái)說(shuō)吧,如果你計(jì)劃提供外部訪問(wèn)功能��,那要多開(kāi)十幾個(gè)端口�。另外��, OCS 2007 R2還會(huì)隨機(jī)開(kāi)放大量的端口。這種情況下,網(wǎng)絡(luò)安全管理員該怎么辦呢?
最好的解決方案之一是采用逆向代理(如微軟的ForeFront Threat Management Gateway)。逆向代理的位置介于互聯(lián)網(wǎng)和本地需要開(kāi)放多個(gè)端口的服務(wù)器之間。這樣設(shè)置后,服務(wù)器不需要再開(kāi)放大量的端口���,而外界對(duì)服務(wù)器的連接請(qǐng)求會(huì)先經(jīng)過(guò)逆向代理進(jìn)行攔截和過(guò)濾,并傳遞給服務(wù)器����。這種設(shè)計(jì)不但能讓服務(wù)器在外網(wǎng)前隱藏起來(lái)���,還能幫助確保外部的惡意請(qǐng)求不會(huì)到達(dá)服務(wù)器�。
3: 不同應(yīng)用程序混在一起
在經(jīng)濟(jì)危機(jī)下,企業(yè)很少會(huì)花錢(qián)添置新設(shè)備��,因此盡可能壓榨現(xiàn)有設(shè)備資源就成了唯一選擇�����。在這種前提下����,企業(yè)一般會(huì)在一臺(tái)服務(wù)器上安裝多個(gè)應(yīng)用服務(wù),讓一臺(tái)服務(wù)器扮演多個(gè)角色�����。雖然這么做并不是被禁止的,但是在計(jì)算機(jī)行業(yè)有一個(gè)規(guī)律,即代碼越多��,出現(xiàn)安全漏洞的機(jī)會(huì)就越多���。
我并不是說(shuō)每個(gè)服務(wù)器只能運(yùn)行一種應(yīng)用程序�����,或者扮演一種服務(wù)角色,但是至少我們應(yīng)該仔細(xì)考慮應(yīng)該把哪些應(yīng)用程序或服務(wù)角色合并到一臺(tái)服務(wù)器上���。比如��,在最小需求下���,一個(gè)Exchange 2007需要三個(gè)服務(wù)器角色(hub transport, client access, 以及 mailbox server)��,你可以將這三個(gè)角色整合到一臺(tái)服務(wù)器上�����。但是如果你要為外部客戶提供Outlook Web Access服務(wù)就不要這樣做了�。因?yàn)镃lient Access Server服務(wù)器角色需要用到IIS來(lái)實(shí)現(xiàn)Outlook Web Access�����,也就是說(shuō)���,如果你將客戶接入服務(wù)器角色和hub transport以及mailbox server 角色放在了一臺(tái)服務(wù)器上��,實(shí)際上就是把你的郵箱數(shù)據(jù)庫(kù)開(kāi)放給了互聯(lián)網(wǎng)上的所有黑客����。
4: 忽略了網(wǎng)絡(luò)中的工作站
去年有個(gè)記者通過(guò)電話采訪我,他問(wèn):您覺(jué)得對(duì)于網(wǎng)絡(luò)安全威脅最大的是什么���。我的回答是:網(wǎng)絡(luò)里的工作站是網(wǎng)絡(luò)安全的最大威脅��,F(xiàn)在我仍持同樣看法。我總是看到企業(yè)在不但的加強(qiáng)網(wǎng)絡(luò)服務(wù)器的安全性�,但同時(shí)卻忽視了網(wǎng)絡(luò)內(nèi)的每一臺(tái)工作站。除非工作站的安全防護(hù)措施非常好�����,否則使用它的員工很容易在不經(jīng)意間讓系統(tǒng)被惡意軟件入侵�。
5: 在必要的情況下沒(méi)有使用SSL加密
我們都知道,當(dāng)用戶需要在網(wǎng)站上輸入敏感信息時(shí)(比如用戶名����,密碼,信用卡卡號(hào)等)���,網(wǎng)站都會(huì)使用SSL 技術(shù)對(duì)信息進(jìn)行加密�。但是很多企業(yè)在這個(gè)問(wèn)題上犯了錯(cuò)��。我曾經(jīng)遇見(jiàn)過(guò)很多次,企業(yè)將敏感信息和非敏感信息混合在一個(gè)網(wǎng)頁(yè)中���,當(dāng)用戶訪問(wèn)該頁(yè)面時(shí)��,會(huì)收到一條提示����,詢問(wèn)用戶是否同時(shí)查看安全內(nèi)容和非安全的內(nèi)容����。大部分用戶在面對(duì)這個(gè)提示時(shí)都是選擇同時(shí)顯示安全和非安全的內(nèi)容,這就為網(wǎng)絡(luò)安全帶來(lái)了隱患����。
一個(gè)不太明顯但是更常見(jiàn)的錯(cuò)誤是,企業(yè)很少加密自己網(wǎng)站上的一些關(guān)鍵頁(yè)面����。在我看來(lái),任何涉及安全信息���,安全設(shè)備以及聯(lián)系人方式的信息都應(yīng)該經(jīng)過(guò)SSL 加密����。這并不是因?yàn)檫@些內(nèi)容都屬于敏感信息,而是通過(guò)這些加密頁(yè)面讓用戶確信自己所訪問(wèn)的是官方網(wǎng)站�����,而不是似是而非的網(wǎng)絡(luò)釣魚(yú)網(wǎng)站�����。
6: 使用自簽名證書(shū)
由于一些企業(yè)完全忽視了SSL加密的重要性����,因此微軟開(kāi)始在它的一些產(chǎn)品中加入了自簽名的證書(shū)�。這樣用戶在瀏覽網(wǎng)頁(yè)時(shí),就算企業(yè)的網(wǎng)站沒(méi)有要求獲得證書(shū)情況下�����,也可以使用SSL加密����。
雖然自簽名證書(shū)要比沒(méi)有證書(shū)強(qiáng),但它并不能作為一個(gè)來(lái)自受信的證書(shū)頒發(fā)機(jī)構(gòu)所頒發(fā)的證書(shū)的替代品��。自簽名證書(shū)的主要作用其實(shí)只是用來(lái)激活軟件的安全功能�,直到管理員采取了相應(yīng)的安全措施��。雖然自簽名證書(shū)可以實(shí)現(xiàn)SSL加密���,但是用戶會(huì)收到瀏覽器的警告信息,提示用戶系統(tǒng)并不信任此類證書(shū)��。另外����,一些基于SSL的web服務(wù)(比如ActiveSync),由于信任關(guān)系���,并不完全兼容自簽名證書(shū)����。
7: 過(guò)多的安全記錄
雖然記錄各種網(wǎng)絡(luò)事件很重要���,但是避免記錄內(nèi)容過(guò)于冗長(zhǎng)也是很重要的����。太長(zhǎng)的日志會(huì)讓管理員很難從中發(fā)現(xiàn)重要的安全事件�����。因此,與其將所有系統(tǒng)事件都記錄下來(lái)��,還不如將重點(diǎn)放在那些真正重要的事件上���。
8: 隨機(jī)分組虛擬服務(wù)器
虛擬服務(wù)器一般會(huì)根據(jù)其性能在主機(jī)上進(jìn)行分組�����。比如在一臺(tái)服務(wù)器上搭建了一個(gè)對(duì)性能要求較高的虛擬服務(wù)器應(yīng)用后��,與之搭配幾個(gè)對(duì)系統(tǒng)性能要求較低的虛擬服務(wù)器�����,可以實(shí)現(xiàn)資源的合理化應(yīng)用��。從資源利用的角度上說(shuō),這么做非常正確����,但是從安全性的角度看,就不見(jiàn)得了�。
從安全的角度,我建議在一臺(tái)獨(dú)立的服務(wù)器上放置針對(duì)互聯(lián)網(wǎng)應(yīng)用的虛擬服務(wù)器����。換句話說(shuō)�����,如果你需要搭建三個(gè)針對(duì)互聯(lián)網(wǎng)用戶的虛擬服務(wù)器�����,你可以考慮將這三個(gè) 虛擬服務(wù)器分為一組����,放置在同一臺(tái)主機(jī)上�,但是不要將架構(gòu)類服務(wù)器(如域控制器)放在同一臺(tái)主機(jī)上。
之所以這樣建議�����,是針對(duì)虛擬服務(wù)器上的溢出攻擊�。所謂溢出攻擊,是指黑客從一個(gè)虛擬服務(wù)器中溢出�,進(jìn)而控制主機(jī)的攻擊。雖然就我所知�,目前現(xiàn)實(shí)生活中還沒(méi)有真正出現(xiàn)過(guò)此類攻擊,但是我肯定這是遲早的事。一旦那一天到來(lái)�����,同一臺(tái)主機(jī)上如果還安裝了其它重要的虛擬服務(wù)器���,那么對(duì)整個(gè)企業(yè)網(wǎng)絡(luò)來(lái)說(shuō)���,將是一個(gè)災(zāi)難,對(duì)于網(wǎng)絡(luò)管理員來(lái)說(shuō)��,解除威脅也將變得更困難����。
9: 將成員服務(wù)器置于DMZ
能避免的話,就盡量不要將任何成員服務(wù)器置于DMZ中����。否則,一旦被入侵�,這臺(tái)成員服務(wù)器將可能泄露出很多有關(guān)活動(dòng)目錄的信息�。
10: 升級(jí)補(bǔ)丁需要用戶自己安裝
本文所介紹的最后一個(gè)常見(jiàn)的網(wǎng)絡(luò)安全錯(cuò)誤是安全補(bǔ)丁的安裝完全依賴用戶人工操作。最近我見(jiàn)到很多公司網(wǎng)絡(luò)中的電腦都依賴于Windows的自動(dòng)更新服務(wù)進(jìn)行自動(dòng)打補(bǔ)丁��。不幸的是,這類設(shè)計(jì)需要用戶自己點(diǎn)擊鼠標(biāo)來(lái)進(jìn)行補(bǔ)丁安裝確認(rèn)��,而很多用戶都知道���,安裝完補(bǔ)丁后系統(tǒng)會(huì)重新啟動(dòng)�。為了避免這種麻煩����,很多用戶選擇了停止自動(dòng)更新。因此��,與其將安裝補(bǔ)丁的權(quán)利交給用戶�,不如通過(guò)某種補(bǔ)丁管理解決方案,自動(dòng)將系統(tǒng)補(bǔ)丁分發(fā)到每臺(tái)電腦上�����,繞過(guò)用戶的任何操作��。
相關(guān)推薦:
2010年全國(guó)計(jì)算機(jī)等級(jí)考試考試報(bào)考指南 2009年9月計(jì)算機(jī)等級(jí)考試成績(jī)查詢匯總 2010年上半年全國(guó)計(jì)算機(jī)等級(jí)考試報(bào)名匯總
