防護(hù)內(nèi)網(wǎng)安全的措施
限制VPN的訪問(wèn)
虛擬專(zhuān)用網(wǎng)(VPN) 用戶的訪問(wèn)對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。在虛擬專(zhuān)用網(wǎng)中,任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專(zhuān)網(wǎng)所需的端到端的物理鏈路���,而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的���。所以它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護(hù)之外���。很明顯VPN用戶是可以訪問(wèn)企業(yè)內(nèi)網(wǎng)的,很明顯VPN其實(shí)是對(duì)內(nèi)網(wǎng)安全造成威脅的�����。
因此要避免給每一位VPN用戶訪問(wèn)內(nèi)網(wǎng)的全部權(quán)限����。這樣可以利用登錄控制權(quán)限列表來(lái)限制VPN用戶的登錄權(quán)限的級(jí)別,即只需賦予他們所需要的訪問(wèn)權(quán)限級(jí)別即可���,如訪問(wèn)郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。
為網(wǎng)站建立內(nèi)網(wǎng)型的邊界防護(hù)
很多企業(yè)都會(huì)有網(wǎng)絡(luò)上的合作伙伴�����,例如合作的媒體或者是合作的廠商等�,雖然安全管理員雖然知道怎樣利用實(shí)際技術(shù)來(lái)完固防火墻,保護(hù)MS-SQL�����,但是Slammer蠕蟲(chóng)仍能侵入內(nèi)網(wǎng)����,這就是因?yàn)槠髽I(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問(wèn)權(quán)限。
既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動(dòng)���,那么就應(yīng)該為每一個(gè)合作企業(yè)創(chuàng)建一個(gè)DMZ�,并將他們所需要訪問(wèn)的資源放置在相應(yīng)的DMZ中��,不允許他們對(duì)內(nèi)網(wǎng)其他資源的訪問(wèn)���,建立合作專(zhuān)區(qū)還是非常必要的����。
關(guān)掉無(wú)用的網(wǎng)絡(luò)服務(wù)器
大型企業(yè)一般在采購(gòu)上由于人為原因重復(fù)性選擇或者是不合理選擇經(jīng)常會(huì)出現(xiàn),因此難免有一家企業(yè)上跑著四五臺(tái)郵件服務(wù)器的情況����,而實(shí)際的情況是兩臺(tái)機(jī)器即可完全解決。
這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點(diǎn)����。因此要逐個(gè)中斷網(wǎng)絡(luò)服務(wù)器來(lái)進(jìn)行審查���。若一個(gè)程序(或程序中的邏輯單元)作為一個(gè)window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的���,關(guān)掉該文件的共享協(xié)議。
創(chuàng)建虛擬邊界防護(hù)
主機(jī)是被攻擊的主要對(duì)象�����。與其努力使所有主機(jī)不遭攻擊(這是不可能的)���,還不如在如何使攻擊者無(wú)法通過(guò)受攻擊的主機(jī)來(lái)攻擊內(nèi)網(wǎng)方面努力�����。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營(yíng)范圍建立虛擬邊界防護(hù)這個(gè)問(wèn)題���。這樣���,如果一個(gè)市場(chǎng)用戶的客戶機(jī)被侵入了,攻擊者也不會(huì)由此而進(jìn)入到公司的 R&D.因此要實(shí)現(xiàn)公司R&D與市場(chǎng)之間的訪問(wèn)權(quán)限控制����。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù),現(xiàn)在也應(yīng)該意識(shí)到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)�。
身份認(rèn)證設(shè)定訪問(wèn)等級(jí)
采用雙因素身份認(rèn)證的方式,可以達(dá)到高強(qiáng)度的安全保護(hù)���,身份認(rèn)證可以通過(guò)智能卡�、一次性口令�����,或者USB設(shè)備的方式進(jìn)行�����。當(dāng)然,啟動(dòng)前的授權(quán)方式必須是可定制的����。用戶可以選擇使用密碼或令牌做為授權(quán)的方式。真正好的硬盤(pán)加密技術(shù)����,并不是要通過(guò)繁瑣的加密步驟來(lái)困擾用戶,而是為硬盤(pán)本身提供應(yīng)有的保護(hù)�。用戶每天都要登錄系統(tǒng),因此在不影響用戶使用的前提下��,簡(jiǎn)單的操作和高強(qiáng)度的保護(hù)��,才能為用戶提供一個(gè)安全����、便利的環(huán)境���。當(dāng)然這基本上是針對(duì)文檔加密�。
數(shù)據(jù)加密提供基礎(chǔ)安全
利用數(shù)據(jù)加密解決方案可保護(hù)筆記本電腦����、工作站和服務(wù)器等設(shè)備的硬盤(pán)上所有文件(包括操作系統(tǒng)文件)的安全���。即使硬盤(pán)被盜,企業(yè)依然可放心數(shù)據(jù)不會(huì)被非授權(quán)人瀏覽或獲取���。雖然黑客可以潛入企業(yè)的服務(wù)器����,但是�����,也無(wú)法對(duì)服務(wù)器上的數(shù)據(jù)和信息資產(chǎn)造成破壞�����,因?yàn)檫@些資產(chǎn)都得到了安全的加密保護(hù)��。
雖然從目前來(lái)看����,技術(shù)是解決安全問(wèn)題的主要方法,但是從實(shí)際的情況來(lái)看�,合理的安全機(jī)制與決策�����,意識(shí)上對(duì)安全的重視才是解決安全問(wèn)題的正途����。另外�,也許安全問(wèn)題更多的是來(lái)自于內(nèi)部,僅僅是防范外網(wǎng)遠(yuǎn)遠(yuǎn)不能解決內(nèi)部的混亂���。
相關(guān)推薦:
網(wǎng)絡(luò)管理員:提高網(wǎng)絡(luò)速度排除線纜端口等障礙 網(wǎng)絡(luò)管理:網(wǎng)絡(luò)終結(jié)內(nèi)網(wǎng)安全管理難題解析
