Loading...

企业网络安全

企业网络安全需注意的问题

请问一下企业网络安全需注意的问题?有哪些常见的错误需要注意的?

悉士凯乐回复: 

网络安全设计常见错误—使用自签名证书

由于一些企业完全忽视了SSL加密的重要性,因此微软开始在它的一些产品中加入了自签名的证书。这样用户在浏览网页时,就算企业的网站没有要求获得证书情况下,也可以使用SSL加密。

虽然自签名证书要比没有证书强,但它并不能作为一个来自受信的证书颁发机构所颁发的证书的替代品。自签名证书的主要作用其实只是用来激活软件的安全 功能,直到管理员采取了相应的安全措施。虽然自签名证书可以实现SSL加密,但是用户会收到浏览器的警告信息,提示用户系统并不信任此类证书。另外,一些 基于SSL的web服务(比如ActiveSync),由于信任关系,并不完全兼容自签名证书。

网络安全设计常见错误—过多的安全记录

虽然记录各种网络事件很重要,但是避免记录内容过于冗长也是很重要的。太长的日志会让管理员很难从中发现重要的安全事件。因此,与其将所有系统事件都记录下来,还不如将重点放在那些真正重要的事件上。

网络安全设计常见错误—随机分组虚拟服务器

虚拟服务器一般会根据其性能在主机上进行分组。比如在一台服务器上搭建了一个对性能要求较高的虚拟服务器应用后,与之搭配几个对系统性能要求较低的虚拟服务器,可以实现资源的合理化应用。从资源利用的角度上说,这么做非常正确,但是从安全性的角度看,就不见得了。

从安全的角度,我建议在一台独立的服务器上放置针对互联网应用的虚拟服务器。换句话说,如果你需要搭建三个针对互联网用户的虚拟服务器,你可以考虑将这三个 虚拟服务器分为一组,放置在同一台主机上,但是不要将架构类服务器(如域控制器)放在同一台主机上。

之所以这样建议,是针对虚拟服务器上的溢出攻击。所谓溢出攻击,是指黑客从一个虚拟服务器中溢出,进而控制主机的攻击。虽然就我所知,目前现实生活 中还没有真正出现过此类攻击,但是我肯定这是迟早的事。一旦那一天到来,同一台主机上如果还安装了其它重要的虚拟服务器,那么对整个企业网络来说,将是一 个灾难,对于网络管理员来说,解除威胁也将变得更困难。

网络安全设计常见错误—将成员服务器置于DMZ

能避免的话,就尽量不要将任何成员服务器置于DMZ中。否则,一旦被入侵,这台成员服务器将可能泄露出很多有关活动目录的信息。

网络安全设计常见错误—升级补丁需要用户自己安装

最近我见到很多公司网络中的电脑都依赖于Windows的自动更新服务进行自动打补丁。不幸的是,这类设计需要用户自己点击鼠标来进行补丁安装确 认,而很多用户都知道,安装完补丁后系统会重新启动。为了避免这种麻烦,很多用户选择了停止自动更新。因此,与其将安装补丁的权利交给用户,不如通过某种 补丁管理解决方案,自动将系统补丁分发到每台电脑上,绕过用户的任何操作。

网络安全设计中的常见错误就为大家介绍完了,希望大家结合以前的文章一起来了解网络安全的相关问题。

如何保护FTP服务器口令安全

作为一名网管,如何保护FTP服务器口令安全

悉士凯乐回复: 
众 所周知,企业网站管理员平时工作,都会通过PTP服务器将文件数据上传与下载,特别一些海外业务频繁的企业,遇到一些文件比较大,无法通过电子邮件发送给 客户,都需要通过FTP服务器将文件互相传递。因此,FTP服务器的安全有时变得十分重要,若保护不慎,被不法分子攻破,不但有可能将FTP上的文件窃 取,威胁到商业机密的泄露,更严重地是如果将病毒、木马放置在FTP服务器上,不仅危害自己,而且影响整个FTP服务器的用户。
为此,笔者请教了具有多年电子商务服务的中国诺网,其权威人士为广大企业的网络管理员提醒:
第一,       口令需要符合复杂性原则
为 了安全起见,需要提高密码的复杂性程度,也就是符合复杂性原则。一般简单易记的纯数字密码安全系数都较低,如果将数字和字母相结合,其破解难度要比纯数字 增加100倍。因此,这是设置密码的第一要诀。同时,密码的设置长度最好长些,虽然与口令的安全不成正比,但是较长的口令被破解难度也会增加几十倍。其 次,请勿将口令与用户名设置为一样,不然就等于告诉不法分子,而此FTP服务器也似乎没口令了。
第二,       保护口令的使用权限
在经常使用FTP服务器上传与下载,有时难免需要多设置一个临时账号和密码。但要切记,设置账号,在口令上则要设置有效期,这样就可以避免没有及时注销临时账号而给服务器带来安全隐患,因为口令会自动失效。
而且考虑口令的安全,需要隔段时间进行密码修改。因为有些企业将重要的客户资源放置在上面,一不小心泄露,可能造成重大的损失。所以,需要每隔段时间更改FTP口令。
第三,       对账户进行锁定
当有不法分子进行尝试不同的口令登录FTP服务器时,一般设置最多只能尝试三次,如果超过三次就会将其账号锁定。而被锁定的账号只有通过管理员手工解禁,而不设置自动解禁、时间设置等解禁方式,这样可以判断是否存在恶意攻击。
通 过上面,我们可以了解到对FTP服务器口令安全设置的一些建议,至少可以起到一定的防御作用。中国诺网为广大企业提供海外服务器租用已经具有多年的老资 历,因此,明白到客户在站点在安全上的保护,从平时的点点滴滴上防微杜渐,降低危险系数。其次,中国诺网与世界排名第一的达拉斯机房合资增建中诺美国机 房,也是从安全保护上为客户们做出自己的本份。
该机房配置技术资深、认真负责的网络工程师队伍,六年丰富的IDC运营和服务经验,提供最高效的网络及服务器技术保障、管理和维护,以及随时响应现场技术支持、维护和网络监控等,保障网络服务器的全天候7X24小时持续稳定运行,保障了广大企业网站的每时每刻的安全。

 

企业网络安全中有关UTM

最近常到同事有说到UTM,请问是什么东东啊?

悉士凯乐回复: 

UTM概念的产生时间并不长,甚至直到现在,业界对于什么样的产品才能算作UTM设备仍然存有分歧。不过多数情况下,厂商和用户按照IDC的3点描述来作为判定UTM的依据:

1.UTM安全设备是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬件设备里,构成一个标准的统一管理平台。

2.UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,但它们应该是UTM设备自身固有的功能。

3.UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。

UTM简单概括起来,就是说一款专用网络安全设备,只要同时具备网络防火墙、网络入侵检测/防御以及网关防病毒功能三大功能,基本就可以归类为UTM产品。

而业界目前主要存在的分歧点在于如下几点:作为统一威胁管理设备,哪些功能UTM是必须具有的;另外对于UTM产品所采用的硬件平台以及技术架构,不同厂商间也有不同的理解。

虽然大家在什么是UTM的问题上还没有达到思想上的统一,但这并不妨碍厂商以高度热情投入到该类产品的研发和市场推广之中。

在国内安全市场中,像Fortinet、WatchGuard这样一些国际著名厂商的UTM产品在经过几年的市场开拓后,在2006年已经取得了非 常好的市场回报。而像方正安全、启明星辰这样一大批国内安全厂商,也都加入到UTM这一新兴安全产品领域中。此外,一些通讯设备生产商也开始涉足这一领 域,像此次选送产品参加专题的合勤科技。虽然这些厂商所推UTM在技术架构、设计理念上都存在很多差异,但是厂商的积极推动让更多的用户开始对UTM这一 概念有了接触和了解。

UTM与安全需求的结合点

之前的网络安全市场基本上是单一功能产品的天下。一个对于网络安全有着较高要求的企业,需要分别购置防火墙、VPN、IDS、病毒过滤网关等众多的 安全设备。这样的多设备组合在实施以及使用维护时需要各方面的支持,要进行大量的协调工作,而且复杂的组网只能导致更多的故障隐患,一旦出现问题,定位与 排错也非常困难。以上还没有将多产品采购需要更多的资金投入计算在内,而事实上很多企业正是出于资金方面的考虑,才不得不降低安全防护标准,增加了内网的 安全风险。

还有一些用户对于网络安全还存在认识上的问题,很多企业还只停留在以防火墙加杀毒软件作为其安全方案的水平。然而事实上这样的组合方式所能起到的安全防护效果有很大的局限性。

以目前仍是网络安全市场中占有率最高的网络防火墙来说,目前仍主要基于包过滤、状态包过滤以及应用代理、状态检测等技术。基于包过滤的产品只是对通 信数据包的包头信息进行提取,与策略表对照,放行规则所允许的源地址与目的地址间的相应应用。由于在一些正常应用中,内网用户访问外网时本机的端口是随机 的,为了让这些应用得到正常通过,防火墙只能将所有可能用到的端口实行静态开放,这样的内网防护就变的非常脆弱。因而纯粹基于包过滤的产品已经非常少见, 更多产品采用了状态包过滤的技术。

基于状态包过滤的产品加入了对数据传输状态的判断,当一个带有连接请求的数据包到达防火墙时,会与策略库进行比 对,拒绝不符合放行条件的数据包,而对于符合要求的数据包在放行的同时,会相应在一个动态维护的连接状态表中记录该连接信息。当后续数据包进入时,会直接 与状态表进行对照,属于已知连接则被放行,否则即使通信双方的地址、服务一致,但源端口不一致也不会被通过,这样就杜绝了由外网发起的针对内网端口的访 问。同时由于大量数据包的处理不再需要与策略库相对比,也加快了数据包的处理速度。但是纵然如此,由于此类防火墙仅涉及到OSI中的传输层,无法对上层的 内容进行审核,对于目前很多基于应用层的攻击或恶意数据内容都无法做到有效的防御。

基于应用代理以及状态检测的防火墙产品,可以对应用层的内容进行审核,具有更高的安全防护能力,但也只能解决对 非法访问控制的问题,而对于如今网络中很多针对系统漏洞的攻击,以及通过正常通信通道附带的病毒等基于内容方面的安全隐患,几乎起不到什么作用。而如果一 个企业的内网安全仅靠不断加强系统以及桌面级杀毒软件来防护,那就更如同寄希望于新的漏洞不被发现或恶意软件不再产生一样渺茫。对于这些无孔不入的安全隐 患,仅仅依靠一两件功能单一的工具是无法完全解决的。这就需要能综合解决多方面问题的方案出现,而UTM则刚好顺应了这一需求。

UTM产品的应用现状

从目前市场中UTM产品来看,多数产品并不局限于对网络防火墙、IDS/IPS以及病毒防护这三大功能的支持。更多的产品还将VPN、反垃圾邮件、 内容过滤等功能整合了进来。而网络安全技术本是向着更专业更深入的方向发展,很多厂商以前仅专注于其中的某几项技术,这就使很多刚刚转到UTM领域的安全 厂商的产品在功能效果上会有所偏重,产品设计仍以其中几项作为重点,功能间的结合也非常松散。

一些传统UTM厂商不仅只着眼于功能的实现,同时更注重产品各功能间的深度融合,它的处理机制更为合理,在UTM工作时,多个功能模块协同处理,以最低的资源消耗提供更全面的安全防护,当然这也是UTM技术发展的趋势所在。

从实际的效果来看,由于很多功能的实现是基于应用层的,对于资源的耗费较大,而UTM往往是多个功能同时应用,这就对产品的处理性能提出了更高要求。而解决UTM这一问题的途径主要有两条,增强功能间的结合度,最大限度的提高处理效率;另外一点就是提升硬件性能,采用处理性能更强的NP和ASIC 加速技术。

UTM是一种有助于增强企业网络安全防护能力的技术,它不仅要相关各方的热情推动,更重要的是需要厂商讲求务实,不断完善UTM的设计,为用户提供更为实用和锋利的“瑞士军刀”。

对于用户来讲,也要理性看待这一技术。寸有所长,尺有所短,对于自己需要的是一款面面俱到的产品,还是要处理更高效、更专业的单一功能产品,在选购前要考虑清楚。

技术与管理:打造企业网络安全体系

技术与管理:打造企业网络安全体系.

悉士凯乐回复: 

在关键数据日益成为企业赖以生存的重要财富的今天,重视网络安全对于企业各阶层人士都十分重要。因为网络安全是关系到企业命运的大事-机密信息被盗有可能给企业带来致命的打击。同时,保障网络安全可以说是一个“全民工程”,因为企业的任何一个子系统被“突破”都有可能导致公司机密被盗。当然,企业必须同时重视技术与管理,才能真正高效率地建设网络安全体系。

如今,民间社会组织(首席安全官)一职已经被越来越多的机构所采用为CISSP(信息系统安全认证专业人员)认证也逐渐被各个单位所青睐。这标志着网络信息安全已经渐渐地为各界所重视,已经成为企业不容忽视的重要问题。

对于大多数企业而言,网络安全并不是他们的核心竞争力。但作为一个信息化社会的企业,在日常的在线商务过程中,网络信息安全却是不容忽视的。因为,一套稳定的网络架构,一个安全的信息平台,在很大程度上已经成为他们业务成功的关键因素。

那么,如何才能保障网络安全呢?想要“防守得力”,就要先知道对手是如何进行“攻击”的,了解安全威胁成为首要问题。企业网络安全有两个大的威胁,即病毒侵袭和黑客入侵。

-病毒侵袭。计算机病毒通常隐藏在文件或程序代码内,伺机进行自我复制,并能够通过网络,磁盘,光盘等诸多手段进行传播。正因为计算机病毒传播速度相当快,影响面大,所以它的危害最能引起关注。病毒的“毒性”各有不同,一些只会玩笑性地在受害机器上显示几个警告信息,一些则可能破坏或危及个人计算机乃至整个企业网络的安全。杀毒软件是对付病毒的最好方法之一。然而,如果没有“忧患意识”,很容易陷入“盲从杀毒软件”的误区。据最新统计显示:被调查的近千家企业中约有80%把单机版杀毒软件当做网络版使用;这些企业网络安全防范意识非常差,超过八成的计算机曾经被病毒入侵过。因此,企业光有工具不行,还必须在意识上加强防范,并且注重操作的正确性;企业应培养集体“防毒”的意识,部署统一的“防毒”策略,高效,及时地应对病毒的入侵。

-黑客入侵。一般来说,常见的黑客入侵可以分为以下两种。

一种是拒绝式服务攻击。这类攻击一般能使单个计算机或整个网络瘫痪,黑客使用这种攻击方式的意图很明显,就是要阻碍合法网络用户使用该服务或破坏正常的商务活动。另一种是非法入侵。非法入侵是指黑客利用企业网络的安全漏洞访问企业内部网络或数据资源,从事删除,复制甚至毁坏数据的活动。无论入侵的人是谁,和企业有着怎样的关系,这种入侵行为都可能导致公司停工,增加清除成本或数据被窃,给企业造成无法挽回的损失。除此之外,非法入侵对于企业的品牌形像,客户信赖度,市场占有率甚至股价都有潜在性的影响。

技术与管理相结合才能保障网络安全。技术与管理不是孤立的,对于一个信息化的企业来说,网络信息安全不仅是一个技术问题,也是一个管理问题。在很多病毒或安全漏洞出现不久,网上通常就会有相应的杀毒程序或者软件补丁出现,但为什么还会让一些病毒肆虐全球呢?归根结底还是因为很多用户(包括企业级用户)没有养成主动维护系统安全的习惯,同时也缺乏安全方面良好的管理机制。保证系统安全的第一步,首先要做到重视安全管理,不要“坐以待毙”。

这就需要企业对自身系统进行风险评估,制定安全计划,并有序地实施这些计划。可以说,企业的信息安全是一个整体的问题,需要从管理与技术相结合的高度制定与时俱进的整体管理策略,并切实认真地实施这些策略,才能达到提高企业信息系统安全性的目的。

如今,建设网络安全体系对于一个企业来说已经变得越来越重要,但企业(特别是中小企业)一般不具备保障网络安全的专业能力,这就为电信运营商以及安全解决方案厂商提供了新的业务机会。随着企业信息化水平的逐步提高,企业网络安全市场必将快速走向繁荣。

 

网关还是终端?

网关还是终端,企业网络安全缺一不可.

悉士凯乐回复: 

如今的企业越来越依靠各种IT设备和网络技术,更多的IT设备以及网络应用被投入到企业环境中,而这也使得其IT系统结构越来越为复杂,而如何保证这个IT系统能够正常运行,也就是保障其网络安全,也显得越来越为重要。

为了保障企业网络安全,企业的IT安全人员可说是费劲了心思。一般而言,企业会从网关到终端步步设防,以图尽可能地保障企业网络安全运行。但是,让很多企业尤其是中小企业的IT人员为难的是,他们往往会面临网络安全预算不足的问题,尤其在当前金融危机的形势下,预算更是捉襟见肘,此时,他们必须考虑的一个问题就是,究竟应该把有限的经费投入到终端安全防护还是网关安全防护上去?

要弄清楚这个问题,我们首先来分析一下企业网络的结构。一般来说,企业网络由终端设备、内网和网关设备构成。终端设备包括办公计算机、服务器、存储设备等;内网则指由各种终端设备、交换机、路由器等构成的企业局域网络;网关则是企业局域网接入城域网的门户。而与之对应,企业网络安全可以分为内网安全和网络边界安全两个部分。其中,内网安全威胁主要来自企业网络内部,而边界安全威胁则来自企业网络外部,也就是外网。对于企业来说,这两种安全威胁都不容忽视。

首先从边界安全防护方面考虑,通过在网关位置设防,把好企业网络大门,可以在威胁进入企业网络之前就将其拦截在企业大门之外,这是一种很有效的方法,这也是目前安全技术最为集中、最为成熟的领域。目前在网关的安全产品,包括有防火墙、防毒墙、反垃圾邮件网关、IDS、IPS、VPN以及UTM等等,这些产品能有效的帮助企业抵御来自外网的病毒、垃圾邮件、黑客攻击等网络威胁,一般对于企业来说,在网关处设置安全防护就能把70%-80%的恶意攻击拦截在企业网络之外。

不过,网关防护也有其不足,它对来自网络内部的威胁无能为力,而根据调查表明,企业网络80%的安全问题是由内网尤其是用户终端引起。如今随着网络技术的发展,企业中的网络应用越来越为丰富,每一个终端正在成为新的网络边界。如随着新的网络接入技术的发展,新型的网络接口如WiFi、红外、蓝牙等都成为新的网络边界,移动办公方式的发展,使得内网边界动态化,但在这些新的边界上,却没有配置必要的安全防护。另外,USB等移动存储设备的大量应用,使得内部终端可能直接暴露在恶意软件面前。对于企业机密数据的泄露等,网关设备也无法防护。

这时,我们就必须考虑到终端防护上来。事实上,对于企业而言,网络安全就是要保证在企业网络环境中,信息数据的保密性、完整性及网络的可用性其根本目的是防止信息网络中储存、传输的信息被非法利用、破坏和篡改。而这些信息数据都是保存在终端上的,也就是说,企业网络安全的核心,最终是为了保护终端的网络安全。很多企业都能意识到这一点,他们在搭建企业网络时,也都会考虑到在终端进行网络安全防护。但是目前很多企业做得还远远不够,他们可能仅仅只是在终端上安装了基本的反病毒软件而已。而目前很多黑客已将目标瞄准了终端,据统计,一家拥有5,000个终端的企业,每年会三分之二的终端被病毒感染。

为何企业终端上的防病毒软件系统往往作用不大呢?首先,终端种类越来越多,PC、笔记本、手机以及U盘等可能随时接入企业网络,这就可能导致病毒在内网传播;另外,终端用户往往缺乏网络安全意识,在企业终端上不安装反病毒软件、不及时更新病毒库、不及时给系统打补丁、自行卸载反病毒软件的情况屡见不鲜,这使得防病毒软件形同虚设。

而事实上,终端面临的安全威胁,并不只有病毒一个方面。如何阻止已感染的终端在内网中散播恶意软件,如何防止终端中的数据泄露,如何规范和管理终端用户的网络行为等,这些都是需要考虑的问题。于是,与之相应,各种安全终端产品也纷纷问世,如数据加密系统、网络准入控制系统、补丁分发管理系统、桌面安全管理系统等,它们都是从安全或者管理的角度去解决终端可能遇到的安全问题,而这些是网关防护所无法做到的。

总体上来说,网关就如同企业网络的大门,必须有一个尽职的看门人,才能将心怀不轨之徒拒之门外;而终端作为企业网络服务的末梢,既是安全防护的核心也是网络中最薄弱、最需要保护的地方。网关防护和终端防护二者都是不可或缺也不可替代的,只有二者相互配合,形成统一的立体纵深防御体系,才能最有效地保障企业网络安全。

 

同步内容

信息系统规划和网络拓扑方案,现在就点击咨询。 技术支持总台: 4006 586 306 | help@sixcolor.com.cn