史萊姆論壇 - 查看單個文章

psac · 2006-05-23, 02:02 AM

幾乎所有企業對於網路安全的重視程度一下子提高了，紛紛採購防火牆等設備希望堵住來自Internet的不安全因素。然而，Intranet內部的攻擊和入侵卻依然猖狂。事實證明，公司內部的不安全因素遠比外部的危害更恐怖。

　　大多企業重視提高企業網的邊界安全，暫且不提它們在這方面的投資多少，但是大多數企業網路的核心局內網還是非常脆弱的。企業也對內部網路實施了相應保護措施，如:安裝動輒數萬甚至數十萬的網路防火牆、入侵檢測軟體等，並希望以此實現局內網與Internet的安全隔離，然而，情況並非如此!企業中經常會有人私自以Modem撥號方式、手機或無線網路卡等方式上網，而這些機器通常又置於企業局內網中，這種情況的存在給企業網路帶來了巨大的潛在威脅，從某種意義來講，企業耗費巨資配備的防火牆已失去意義。這種接入方式的存在，極有可能使得黑客繞過防火牆而在企業毫不知情的情況下侵入內部網路，從而造成敏感資料洩密、傳播病毒等嚴重後果。實踐證明，很多成功防範企業網邊界安全的技術對保護企業局內網卻沒有效用。於是網路維護者開始大規模致力於增強局內網的防衛能力。

　　下面指出了應對企業局內網安全挑戰的10種原則。這10種原則即是局內網的防禦原則，同時也是一個提高大型企業網路安全的原則。

1、注意局內網安全與網路邊界安全的不同

　　局內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入網際網路、寫程序就可訪問企業網的幾率。局內網安全威脅主要源於企業內部。惡性的黑客攻擊事件一般都會先控制區域網路絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立並加強局內網防範原則。

2、限制VPN的訪問

　　虛擬專用網(VPN)用戶的訪問對局內網的安全造成了巨大的威脅。因為它們將弱化的桌面作業系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業局內網的。因此要避免給每一位VPN用戶訪問局內網的全部權限。這樣可以利用登入控制權限列表來限制VPN用戶的登入權限的等級，即只需賦予他們所需要的訪問權限等級即可，如訪問郵件伺服器或其他可選項的網路資源的權限。

3、為合作企業網建立局內網型的邊界防護

　　合作企業網也是造成局內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入局內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問權限。由此，既然不能控制合作者的網路安全原則和活動，那麼就應該為每一個合作企業新增一個DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對局內網其他資源的訪問。

4、自動跟蹤的安全原則

　　智能的自動執行既時跟蹤的安全原則是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全原則的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全原則也必須與相適應。例如既時跟蹤企業員工的僱傭和解雇、既時跟蹤網路利用情況並記錄與該電腦對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全原則。

5、關掉無用的網路伺服器

　　大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP連接阜的情況。這些主機中很可能有潛在的郵件伺服器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在執行但是又不具有文件伺服器作用的，關掉該檔案的共享傳輸協定。

6、首先保護重要資源

　　若一個局內網上連了千萬台(例如30000台)電腦，那麼要期望保持每一台主機都處於鎖定狀態和修正檔狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對伺服器做效益分析評估，然後對局內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如既時跟蹤客戶的伺服器)並對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產，並做好在局內網的定位和權限限制工作。

7、建立可靠的無線訪問

　　審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問接頭。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。

8、建立安全過客訪問

　　對於過客不必給予其公開訪問局內網的權限。許多安全技術人員執行的「內部無Internet訪問」的原則，使得員工給客戶一些非法的訪問權限，導致了局內網既時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。

9、新增虛擬邊界防護

　　主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊局內網方面努力。於是必須解決企業網路的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶端機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立網際網路與局內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間的邊界防護。

10、可靠的安全決策

　　網路用戶也存在著安全隱患。有的用戶或許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網路閘道和分組過濾防火牆之間的不同等等，但是他們作為公司的合作者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能啟始他們自動的回應網路安全原則。

　　另外，在技術上，採用安全交換機、重要資料的制作備份、使用代理網路閘道、確保作業系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少

2006-05-23, 02:02 AM	#2 (permalink)
psac 榮譽會員榮譽勳章勳章總數19 UID - 3662 在線等級: 註冊日期: 2002-12-07 住址: 木柵市立動物園文章: 17381 精華: 2 現金: 5253 金幣資產: 33853 金幣	幾乎所有企業對於網路安全的重視程度一下子提高了，紛紛採購防火牆等設備希望堵住來自Internet的不安全因素。然而，Intranet內部的攻擊和入侵卻依然猖狂。事實證明，公司內部的不安全因素遠比外部的危害更恐怖。　　大多企業重視提高企業網的邊界安全，暫且不提它們在這方面的投資多少，但是大多數企業網路的核心局內網還是非常脆弱的。企業也對內部網路實施了相應保護措施，如:安裝動輒數萬甚至數十萬的網路防火牆、入侵檢測軟體等，並希望以此實現局內網與Internet的安全隔離，然而，情況並非如此!企業中經常會有人私自以Modem撥號方式、手機或無線網路卡等方式上網，而這些機器通常又置於企業局內網中，這種情況的存在給企業網路帶來了巨大的潛在威脅，從某種意義來講，企業耗費巨資配備的防火牆已失去意義。這種接入方式的存在，極有可能使得黑客繞過防火牆而在企業毫不知情的情況下侵入內部網路，從而造成敏感資料洩密、傳播病毒等嚴重後果。實踐證明，很多成功防範企業網邊界安全的技術對保護企業局內網卻沒有效用。於是網路維護者開始大規模致力於增強局內網的防衛能力。　　下面指出了應對企業局內網安全挑戰的10種原則。這10種原則即是局內網的防禦原則，同時也是一個提高大型企業網路安全的原則。 1、注意局內網安全與網路邊界安全的不同　　局內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊，主要是防範來自公共的網路伺服器如HTTP或SMTP的攻擊。網路邊界防範(如邊界防火牆系統等)減小了資深黑客僅僅只需接入網際網路、寫程序就可訪問企業網的幾率。局內網安全威脅主要源於企業內部。惡性的黑客攻擊事件一般都會先控制區域網路絡內部的一台Server，然後以此為基地，對Internet上其他主機發起惡性攻擊。因此，應在邊界展開黑客防護措施，同時建立並加強局內網防範原則。 2、限制VPN的訪問　　虛擬專用網(VPN)用戶的訪問對局內網的安全造成了巨大的威脅。因為它們將弱化的桌面作業系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業局內網的。因此要避免給每一位VPN用戶訪問局內網的全部權限。這樣可以利用登入控制權限列表來限制VPN用戶的登入權限的等級，即只需賦予他們所需要的訪問權限等級即可，如訪問郵件伺服器或其他可選項的網路資源的權限。 3、為合作企業網建立局內網型的邊界防護　　合作企業網也是造成局內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆，保護MS-SQL，但是Slammer蠕蟲仍能侵入局內網，這就是因為企業給了他們的合作夥伴進入內部資源的訪問權限。由此，既然不能控制合作者的網路安全原則和活動，那麼就應該為每一個合作企業新增一個DMZ，並將他們所需要訪問的資源放置在相應的DMZ中，不允許他們對局內網其他資源的訪問。 4、自動跟蹤的安全原則　　智能的自動執行既時跟蹤的安全原則是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革，極大的超過了手動安全原則的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更，因此，安全原則也必須與相適應。例如既時跟蹤企業員工的僱傭和解雇、既時跟蹤網路利用情況並記錄與該電腦對話的文件伺服器。總之，要做到確保每天的所有的活動都遵循安全原則。 5、關掉無用的網路伺服器　　大型企業網可能同時支持四到五個伺服器傳送e-mail，有的企業網還會出現幾十個其他伺服器監視SMTP連接阜的情況。這些主機中很可能有潛在的郵件伺服器的攻擊點。因此要逐個中斷網路伺服器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件伺服器在執行但是又不具有文件伺服器作用的，關掉該檔案的共享傳輸協定。 6、首先保護重要資源　　若一個局內網上連了千萬台(例如30000台)電腦，那麼要期望保持每一台主機都處於鎖定狀態和修正檔狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣，首先要對伺服器做效益分析評估，然後對局內網的每一台網路伺服器進行檢查、分類、修補和強化工作。必定找出重要的網路伺服器(例如既時跟蹤客戶的伺服器)並對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產，並做好在局內網的定位和權限限制工作。 7、建立可靠的無線訪問　　審查網路，為實現無線訪問建立基礎。排除無意義的無線訪問點，確保無線網路訪問的強制性和可利用性，並提供安全的無線訪問接頭。將訪問點置於邊界防火牆之外，並允許用戶通過VPN技術進行訪問。 8、建立安全過客訪問　　對於過客不必給予其公開訪問局內網的權限。許多安全技術人員執行的「內部無Internet訪問」的原則，使得員工給客戶一些非法的訪問權限，導致了局內網既時跟蹤的困難。因此，須在邊界防火牆之外建立過客訪問網路塊。 9、新增虛擬邊界防護　　主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的)，還不如在如何使攻擊者無法通過受攻擊的主機來攻擊局內網方面努力。於是必須解決企業網路的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣，如果一個市場用戶的客戶端機被侵入了，攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的訪問權限控制。大家都知道怎樣建立網際網路與局內網之間的邊界防火牆防護，現在也應該意識到建立網上不同商業用戶群之間的邊界防護。 10、可靠的安全決策　　網路用戶也存在著安全隱患。有的用戶或許對網路安全知識非常欠缺，例如不知道RADIUS和TACACS之間的不同，或不知道代理網路閘道和分組過濾防火牆之間的不同等等，但是他們作為公司的合作者，也是網路的使用者。因此企業網就要讓這些用戶也容易使用，這樣才能啟始他們自動的回應網路安全原則。　　另外，在技術上，採用安全交換機、重要資料的制作備份、使用代理網路閘道、確保作業系統的安全、使用主機防護系統和入侵檢測系統等等措施也不可缺少
	__________________
	送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次