内网终端安全管理
??????? 概述
??????? 內網管理廣義上指防火墻以內的網絡的綜合管理;狹義上指企業內部網絡的終端的綜合管理。
??????? 對于管理方面,綜合管理通常包含行為監控、補丁分發、ip等遠程設置、進程封殺和禁用U盤等外設的眾多話題。從技術上可以理解為在操作系統、殺毒之外,對三不管的空間采用的防護管理措施。 客觀上來說,內網管理促進了網絡的運營安全、穩定性、可靠性、網絡的封閉性、可管理性等作用。所以有很大的實用價值。
??????? 對于內網安全方面,提起網絡安全,人們自然就會想到病毒破壞和******,其實不然。常規安全防御理念往往局限在網關級別、網絡邊界(防火墻、漏洞掃描、防病毒、IDS)等方面的防御,重要的安全設施大致集中于機房或網絡入口處,在這些設備的嚴密監控下,來自網絡外部的安全威脅大大減小。相反,來自網絡內部的計算機客戶端的安全威脅卻是眾多安全管理人員所普遍反映的問題。
??????? 內部網絡面臨的安全問題
??????? 自2003年來,以SQL蠕蟲、“沖擊波”、“震蕩波”等病毒的連續性爆發為起點,到計算機文件泄密、硬件資產丟失、服務器系統癱瘓等諸多客戶端安全事件在各地網絡頻繁中發生,讓政府機關和企業單位的網絡管理人員頭痛不已。總結起來,政府機關和企業單位的內部網絡管理大致面臨著以下一些常見:
? 如何發現客戶端設備的系統漏洞并自動分發補丁。
? 如何防范移動電腦和存儲設備隨意接入內網。
? 如何防范內網設備非法外聯。
? 如何管理客戶端資產,保障網絡設備正常運行。
? 如何在全網制定統一的安全策略。
? 如何及時發現網絡中占用帶寬最大的客戶端。
? 如何點對點控制異常客戶端的運行。
? 如何防范內部涉密重要信息的泄露。
? 如何對原有客戶端應用軟件進行統一監控、管理。
? 如何快速有效的定位網絡中病毒、蠕蟲、***的引入點,及時、準確的切斷安全事件發生點和網絡。
? 如何構架功能強大的統一網絡安全報警處置平臺,進行安全事件響應和事件查詢,全面管理網絡資源。
??????? 這些常見的客戶端安全威脅隨時隨地都可能影響著用戶網絡的正常運行。在這些問題中,操作系統漏洞管理問題越來越凸現,消除漏洞的根本辦法就是安裝軟件補丁,每一次大規模蠕蟲病毒的爆發,都提醒人們要居安思危,打好補丁,做好防范工作——補丁越來越成為安全管理的一個重要環節。***技術的不斷變化和發展,留給管理員的時間將會越來越少,在最短的時間內安裝補丁將會極大地保護網絡和其所承載的機密,同時也可以使更少的用戶免受蠕蟲的侵襲。對于機器眾多的用戶,繁雜的手工補丁安裝已經遠遠不能適應大規模網絡的管理,必須依靠新的技術手段來實現對操作系統的補丁自動修補。
??????? 行業內網安全面臨的威脅
- 內部合規管理難以落地:金融機構對內部的合規要求、安全操作等都缺乏實質有效的信息化管理手段,比如員工的肆意修改IP地址行為,造成的違規事件無法溯源,無法對員工的行為做有效管理;
- 外部終端缺乏準入控制:終端未經安全認證和授權即可隨意接入到內網,導致組織內部重要信息泄露或毀滅,終端接入后對內網的非授權訪問難以管理,造成不可彌補的重大損失;
- 移動存儲介質疏于管理:移動設備,包括筆記本電腦、便攜式PDA等和新增設備未經過安全檢查和處理違規接入,非法拷貝內網數據,甚至帶來病毒傳播、******等不安全因素;
- 工具濫用危及網絡資源:員工在工作時間內聊天、游戲、×××、電影下載、登陸×××反動網站等行為大量存在,由于工具濫用行為,還包括客戶端發送的違規欺騙包,使內部流量負載增加,影響了工作效率,影響網絡正常使用;
- 脆弱風險阻于行為審計:終端的脆弱點和違規溯源,需要對客戶端的文件操作審計與控制、打印、網站訪問、異常路由、終端Windows登錄、在線違規撥號上網、違規離線上網等審計;
- 終端安全水平參差不齊:客戶端的漏洞密布、口令簡陋、缺少必要的關鍵補丁,缺乏必要的安全知識,同時無法及時掌握進程運行情況,***程序可能就混在其中,無從獲取管理員的幫助支持;
?????? 九個方面保障內網安全的措施
?????? 內網是網絡應用中的一個主要組成部分,其安全性也受到越來越多的重視。據不完全統計,國外在建設內網時,投資額的15%是用于加強內網的網絡安全。在我國IT市場中,安全廠商保持著旺盛的增長勢頭。運營商在內網安全方面的投資比例不如國外多,但依然保持著持續的增長態勢。要提高內網的安全,可以使用的方法很多,本文將就此做一些探討。
?????? 采用安全交換機
?????? 由于內網的信息傳輸采用廣播技術,數據包在廣播域中很容易受到監聽和截獲,因此需要使用安全交換機,利用網絡分段及VLAN的方法從物理上或邏輯上隔離網絡資源,以加強內網的安全性。
??????? 操作系統的安全
??????? 從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術,都是運行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立一套對系統的監控系統,并建立和實施有效的用戶口令和訪問控制等制度。
????? 對重要資料進行備份
?????? 在內網系統中數據對用戶的重要性越來越大,實際上引起電腦數據流失或被損壞、篡改的因素已經遠超出了可知的病毒或惡意的***,用戶的一次錯誤操作,系統的一次意外斷電以及其他一些更有針對性的災難可能對用戶造成的損失比直接的病毒和******還要大。
??????? 為了維護企業內網的安全,必須對重要資料進行備份,以防止因為各種軟硬件故障、病毒的侵襲和***的破壞等原因導致系統崩潰,進而蒙受重大損失。
??????? 對數據的保護來說,選擇功能完善、使用靈活的備份軟件是必不可少的。目前應用中的備份軟件是比較多的,配合各種災難恢復軟件,可以較為全面地保護數據的安全。
?????? 使用代理網關
??????? 使用代理網關的好處在于,網絡數據包的交換不會直接在內外網絡之間進行。內部計算機必須通過代理網關,進而才能訪問到Internet ,這樣操作者便可以比較方便地在代理服務器上對網絡內部的計算機訪問外部網絡進行限制。
在代理服務器兩端采用不同協議標準,也可以阻止外界非法訪問的***。還有,代理服務的網關可對數據封包進行驗證和對密碼進行確認等安全管制。
???? 設置防火墻
???????防火墻的選擇應該適當,對于微小型的企業網絡,可從Norton Internet Security 、 PCcillin 、天網個人防火墻等產品中選擇適合于微小型企業的個人防火墻。而對于具有內部網絡的企業來說,則可選擇在路由器上進行相關的設置或者購買更為強大的防火墻產品。對于幾乎所有的路由器產品而言,都可以通過內置的防火墻防范部分的***,而硬件防火墻的應用,可以使安全性得到進一步加強。
??????? 信息保密防范
??????? 為了保障網絡的安全,也可以利用網絡操作系統所提供的保密措施。以Windows為例,進行用戶名登錄注冊,設置登錄密碼,設置目錄和文件訪問權限和密碼,以控制用戶只能操作什么樣的目錄和文件,或設置用戶級訪問控制,以及通過主機訪問Internet等。同時,可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。由于文件組織形式的數據缺乏共享性,數據庫現已成為網絡存儲數據的主要形式。由于操作系統對數據庫沒有特殊的保密措施,而數據庫的數據以可讀的形式存儲其中,所以數據庫的保密也要采取相應的方法。電子郵件是企業傳遞信息的主要途徑,電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網絡部件的泄密渠道,如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等,也可以采取相應的保密措施。
?????? 從***角度入手
???????目前,計算機網絡系統的安全威脅有很大一部分來自拒絕服務(DoS)***和計算機病毒***。為了保護網絡安全,也可以從這幾個方面進行。
??????? 對付“拒絕服務”***有效的方法,是只允許跟整個Web站臺有關的網絡流量進入,就可以預防此類的******,尤其對于ICMP封包,包括ping指令等,應當進行阻絕處理。
??????? 通過安裝非法***偵測系統,可以提升防火墻的性能,達到監控網絡、執行立即攔截動作以及分析過濾封包和內容的動作,當竊取者***時可以立刻有效終止服務,以便有效地預防企業機密信息被竊取。同時應限制非法用戶對網絡的訪問,規定具有IP地址的工作站對本地網絡設備的訪問權限,以防止從外界對網絡設備配置的非法修改。
?????? 防范計算機病毒
??????? 從病毒發展趨勢來看,現在的病毒已經由單一傳播、單種行為,變成依賴互聯網傳播,集電子郵件、文件傳染等多種傳播方式,融***、***等多種***手段為一身的廣義的“新病毒”。計算機病毒更多的呈現出如下的特點:與Internet和Intranet更加緊密地結合,利用一切可以利用的方式(如郵件、局域網、遠程管理、即時通信工具等)進行傳播;所有的病毒都具有混合型特征,集文件傳染、蠕蟲、***、***程序的特點于一身,破壞性大大增強;因為其擴散極快,不再追求隱藏性,而更加注重欺騙性;利用系統漏洞將成為病毒有力的傳播方式。
??????? 因此,在內網考慮防病毒時選擇產品需要重點考慮以下幾點:防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網絡層、郵件客戶端進行實時監控,防止病毒***;產品應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力;對病毒經常***的應用程序提供重點保護;產品廠商應具備快速反應的病毒檢測網,在病毒爆發的第一時間即能提供解決方案;廠商能提供完整、即時的反病毒咨詢,提高用戶的反病毒意識與警覺性,盡快地讓用戶了解到新病毒的特點和解決方案。
???? 密鑰管理
????????在現實中,***者***Intranet目標的時候,90%會把破譯普通用戶的口令作為第一步。以Unix系統或Linux 系統為例,先用“ finger遠端主機名”找出主機上的用戶賬號,然后用字典窮舉法進行***。這個破譯過程是由程序來完成的。大概十幾個小時就可以把字典里的單詞都完成。
??????? 如果這種方法不能奏效,***者就會仔細地尋找目標的薄弱環節和漏洞,伺機奪取目標中存放口令的文件 shadow或者passwd 。然后用專用的破解DES加密算法的程序來解析口令。
???????在內網中系統管理員必須要注意所有密碼的管理,如口令的位數盡可能的要長;不要選取顯而易見的信息做口令;不要在不同系統上使用同一口令;輸入口令時應在無人的情況下進行;口令中最好要有大小寫字母、字符、數字;定期改變自己的口令;定期用破解口令程序來檢測shadow文件是否安全。沒有規律的口令具有較好的安全性。
?????? 結語
??????? 以上九個方面僅是多種保障內網安全措施中的一部分,為了更好地解決內網的安全問題,需要有更為開闊的思路看待內網的安全問題。在安全的方式上,為了應付比以往更嚴峻的“安全”挑戰,安全不應再僅僅停留于“堵”、“殺”或者“防”,應該以動態的方式積極主動應用來自安全的挑戰,因而健全的內網安全管理制度及措施是保障內網安全必不可少的措施。
??????? 常見的內網安全管理軟件主要有北信源內網安全及補丁分發管理系統VRVEDP(國內高新技術企業,代碼完全自有,可以根據客戶需要進行修改),哈默瑞斯DeskMaster(國內高新技術企業,代碼完全自由,自主開發,可以根據用戶需求進行修改和二次開發),LANDESK(國外公司),LanSecS(國內公司(圣博潤)(其內網安全產品在2005年被計算機報評為優秀內網安全產品),捷普內網綜合審計監管系統(國內公司(西安交大捷普網絡科技有限公司)),StopHacker守護神(國內公司(南京金稅網安系統軟件有限公司)),通軟軟件(國內公司),“清揚”網絡綜合管理系統(北京清揚創新網絡科技有限公司)
轉載于:https://blog.51cto.com/yuntaoliu/543711
總結
- 上一篇: android 亮度 对比度,Andro
- 下一篇: 电子书厂商集体炮轰盛大 阵营模式分歧初现