請選擇語言    繁體中文 English 
 
   
網站首頁 · 解決方案 · 產品介紹 · 下載中心 · 公司資訊 · 典型客戶 · 最新客戶 · 購買流程 · 聯系我們
 聚生網管產品
 聚生網管系統簡介
 聚生網管功能列表
 聚生網管功能截圖
 聚生網管技術優勢
 聚生網管與眾不同
 網絡特警產品
 網絡特警背景簡介
 網絡特警核心理念
 網絡特警核心優勢
 網絡特警獨特架構
 網絡特警功能列表
 網絡特警服務體系
 與聚生網管之關系
 與同類產品之對比
 配套產品
 商用安全計算機
 共享文件監視器
 代理服務掃描器
 主機異常警報器
 混雜模式掃描器
 外來電腦隔離器
 遠程開關機工具

 聚生網管服務熱線
010-82825051
010-82825052
010-82825512
010-62961005
 
 
     新 聞 中 心
保護企業網絡和數據安全 謹防十大陋習
雙擊自動滾屏 發布時間:2009-2-26 16:38:30 閱讀:1次 【字體:
相關鏈接:聚生網管禁止迅雷下載、限制QQ游戲、封堵炒股、限制網速國內最強,使用最簡單!點擊這里了解更多!

安全顧問時常會提出許多保護網絡與數據安全的經驗,但在安全領域里,有些點子不但沒什么幫助,甚至會適得其反。本文總結出了十條“計算機安全陋習”,希望大家看看自己犯了其中哪些錯誤,有則改之,無則加冕。

  陋習一、一旦發現安全漏洞就趕緊購買新軟件試圖補救,過于依賴和相信安全軟件產品而缺乏自己動手和分析的能力

  現在信息安全領域有個很流行但實際上很危險的思想,即相信所有問題都會有相應的工具來對付,只要我們手上有了防病毒軟件、防垃圾軟件、防火墻、補丁管理程序、VPN、PKI、IPS、IDS等等工具,我們就百毒不侵,就有十足的安全感。

  問題是,工具只有到了會用的人手上才能真正發揮作用。“工具只能輔助你而不能取代你,它不會幫你完成所有工作。” Unisys的安全顧問John Pironti說。“請記住,我們至少比計算機聰明50%,計算機只知道‘是’或/和‘否’,但我們還知道‘也許是’。一個工具能發揮出多大的作用是由很多方面決定的。”

  就拿入侵檢測(IDS)和入侵防御系統(IPS)來說,并不是你從廠商那里買來,它就能直接發揮很好的作用。你首先得手把手教它該如何檢測入侵,而且一旦跑起來后,你還得經常查看它的運行記錄,查找所有出現過的攻擊模式。有些IT人員雖然很好地完成了對IDS和IPS的配置工作,但還是為入侵者留下了可以利用的漏洞,原因就在于他們沒有對工具記錄中的大量報告進行足夠的分析。

  “主要問題是沒有明確規定‘查看記錄到底屬于誰的工作范疇?’” SystemExperts公司的安全顧問Mark Mellis說,“這些產品產生了太多的記錄,人們只有在磁盤被占滿后才會想到看一看,然后很多數據就被丟棄了。”

  這就犯了大錯了。仔細查看記錄(甚至只要很快掃一遍)你就能知道系統運行的狀況和正在發生哪些攻擊,這樣就能將這些攻擊納入系統所能防御的范圍。這是個不斷調整的過程。

  過于依賴工具有可能導致矯枉過正,舉個例子:如果你為垃圾郵件所困擾,那么顯然你會考慮購買一款更強力的垃圾郵件過濾器,但如果過濾器的規則太過嚴格的話,可能真正有用的郵件如工作郵件也會受到牽連慘遭過濾。

  用戶經常由于類似的原因而關閉桌面防火墻功能,如果在下載應用程序或者MP3音樂時不停地彈出警告信息,用戶總有會煩的一天。從中得出的教訓是,要想保證數據安全并非只要裝上一大堆安全軟件就夠了,“安全不是用錢買來的,而是用你的實際行動做出來的。” Mellis說。

  正確做法:經常檢查軟件產生的記錄,如果你覺得數據量太大處理不過來,那么可以考慮購買安全信息管理系統(SIM)。

  陋習二、忽視人為因素

  安全不但是個技術問題更是個行為問題,一旦你接受了這樣一個事實后,就會開始理解建立和強制施行安全策略的重要性。

  “現在大家談論的焦點是什么?是網絡欺詐!” Burton Group的安全分析專家Eric Maiwald說,“網絡欺詐實際上屬于社會工程學的范疇,是關于如何誘騙別人做自己希望他們做的事,比如誘騙別人把個人私密信息交到自己手上。有什么軟件產品能阻止這類事情的發生?很少,這是個意識問題。”

  公司的安全策略則是技術和員工行為的結合。策略的建立需要全體人員的共同努力。當然,有些策略可以依靠技術來解決(比如利用域管理和其他配置來限制計算機的功能),而其他則純粹是個人行為問題(比如不要把密碼寫在紙條上),兩者都很重要。

  正確做法:如果公司里還沒有安全策略,趕快建立一個,確保公司所有人都弄懂了并認真執行。

 陋習三、辦事風格魯莽,做重大改變之前欠細致考慮

  在我們最近的一次安全戰略部署調查中發現,約有43%的受訪者表示他們的公司沒有部署任何安全策略。IBM的企業安全戰略部門主管Stuart McIrvine認為他知道問題出在哪里,“他們采取的是先吃一塹,再長一智的消極做法,出了問題才做相應補救。他們缺少一套完整的風險管理策略。” McIrvine領導著一個八人小組對IBM的眾多產品線進行安全策略方面的監督。

  而數據安全問題不斷加重的原因在于大家普遍認為這一直都只是個IT相關的問題,而在這方面技術專家一直被認為起著最關鍵的作用,結果就是跨部門的安全規范的施行(如人力資源部、法規與培訓部)就成了別人的工作。受過培訓的技術專家的任務就是要用技術來解決安全問題。

  不過還好,如果企業有一套風險管理策略的話是可以填補各種IT規范之間的縫隙的。Symantec全球服務事業部的開發主管Chris Wysopal認為很多系統管理員在推出新安全措施之前缺少足夠的安全評估和測試,卻理所當然地就堅持認為“難道我做的這些事情還破壞了公司的網絡安全不成?” 舉個例子,為系統設置缺省密碼就有可能導致對其他系統未經授權的非法訪問。

  一些非常重要的安全問題也可以采用綜合手段來解決。“通過更改Cisco路由器的訪問控制列表我就能解決很多Windows的問題。” Mellis說。

  企業風險管理策略可以為相關人等提供一份關于輕重緩急的優先級列表。如果你是一個在線零售商,而你的系統里有五臺核心服務器每天能產生一千七百萬美元的收入,那比起普通員工的計算機,在這五臺服務器上肯定要做更多的安全保護工作。數字安全系統公司的總裁Sanford Sherizen建議在做任何大的系統加強和軟硬件環境變化前需要進行細致的安全影響調查。

  正確做法:組建一個覆蓋公司各個部門的綜合小組,決定企業內部哪些是在安全方面需要注意的危險區域。

  陋習四、安全管理過于苛刻死板,以安全的名義扮演扼殺者的角色

  信息安全管理員最愛干的事可能就是先搖搖頭再大聲說“這樣不行!”。一些IT部門長久以來形成了一種不好的名聲,就是以安全管理的名義對什么能做什么不能做持最終“一票決定權”。

  但長此以往這樣下去是有害的。“負責安全的人員會傾向于否定其他人的想法,當然主要是從安全管理的角度來看。” Eric Maiwald說,“如果安全管理人員總是用沒有時間來搪塞,長期下來其他人可能就會覺得或多或少受到了排斥。”

  芝加哥安全咨詢公司Neohapsis的首席執行管Kelly Hansen認為總說“不行”只是懶人推卸責任的借口而已。“很多時候他們說不行只是擔心萬一出問題自己要承擔后果而已,他們覺得有可能會出問題,但是又沒有時間去調查,相比之下僅僅說一聲‘不行’則要簡單多了。長此以往,其他人就會覺得安全管理員并沒有起到任何幫助和推動公司業務的作用,而實際上卻壞了很多事。” Hansen說。

  Hansen所工作的一個信息安全部門則推行著一套“只說可以”的制度。設想這樣一個場景,如果一位業務主管想在某個敏感的區域安裝一個無線接入點的話,他來征求安全管理員的意見,這位管理員很可能會回答說“我明白你的需求,這主意不錯,不過對這件事我總結了一份風險概要,你能不能看一下,然后在上面簽個字?” 如果業務主管看了后覺得確實有問題的話,他很可能就會征求并最終采納安全管理員的建議。這種做法就能讓雙方在解決問題時積極配合。

  實際上,公司的安全措施應扮演業務推動者而不是扼殺者的角色。“應該這么看:有了安全措施,什么是你以前做不了而現在可以做的事?它又是怎樣去推動公司業務的發展的?” Maiwald說。

  正確做法:引入一套變化管理系統(CMS)可以有效地解決推動新業務,同時對安全進行維護的矛盾。

  陋習五、對內對外不設置或不細分訪問權

  現在很多企業網絡缺少有效的訪問權控制,只要你有了一個可以進入的用戶名和密碼,企業所有的機密都將暴露在你眼前。如果你是企業的業務合作伙伴而你只

  需要訪問企業的某個特定的網站,你很可能會發現自己手中的數字護照簡直像隱身衣一樣可以讓你暢通無阻。

  如果企業內部系統或網絡沒有一套訪問控制和授權機制,那簡直就和坐在火山口上一樣危險。“如果被攻擊者侵入了,或者內部出現了心懷叵測之人,那就徹底玩完了。” Wysopal說道。“在企業內部網絡實施訪問控制或對關鍵網絡進行適當的隔離,就不會像現在這樣離危險只有一步之遙了。”

  那些現在已經完成或正在部署無線局域網的公司,問題尤其嚴重。其中很多根本沒有對無線接入點進行配置以限制只許公司員工進入,于是只要任何人處在無線信號覆蓋到的區域他就能輕松進入公司網絡。“只要把筆記本帶到紐約的金融區或市中心,你就能發現大量不設防的無線接入點。” Mellis說道。

  為員工和訪問者分配不同的訪問權限使其能完成各自的工作,是相當重要的,安全管理員應該也值得為此付出相應的時間和勞動。而且別忘了系統管理員也不能例外,同樣不能賦予系統管理員不該有的訪問權。

  正確做法:要重視訪問權控制,對用戶身份進行集中管理,并采取一些切實有效的安全措施,比如對登錄系統失敗的行為進行記錄,把關閉所有不需要的網絡服務作為一種習慣保持下去,任何人離開公司后就應該馬上收回其訪問權。

  陋習六、對所有數據一視同仁

  大型的網絡攻擊和對信息進行選擇性竊取是不一樣的。訪問權控制和網絡隔離只是對未授權數據訪問進行防護的方法之一。

  “不對數據進行分類會導致公司很多重要數據的泄漏。” 一家安全咨詢公司的CEO Bill Burk說,“相比較,政府就精于此道:從一級機密、機密、內部數據,一直到向大眾公開的信息,分類詳盡清晰。”

  數據分類不但適用于存在計算機中的數字文件,同樣也適用于打印出來的文本文件。“一份明年的市場戰略計劃不應該隨便出現在某人的桌面上。” Burk說。

  正確做法:對數據按重要程度進行劃分,并采取相應的保護措施。

 陋習七、頻繁備份所有數據卻不檢查數據正確性

  自9·11恐怖襲擊以來,各企業投入了大量的資金用于建立熱備份站點,將企業數據鏡像到另外一個物理位置,這樣不管是由于發生物理災難或是出現黑客攻擊而導致主數據中心失效,備份站點同樣能支持企業的運作。

  “但是,太多的IT人員在建立這些鏡像備份站點時引入了安全隱患而自己卻毫不知情。” Pironti說道。一般來說鏡像過程在每個晚上自動完成,所有數據,不管好的壞的有用的沒用的,通通一股腦兒鏡像起來,但卻不進行任何數據完整性和正確性的檢查。

  這種做法可能產生很嚴重的后果。如果攻擊恰好發生在備份正在進行的時候,那么攻擊就有可能被引向備份站點。

  “我確實親身經歷過這種事情。” Pironti說,“攻擊者在幾個星期前就把攻擊代碼埋在企業數據中,一旦你在備份站點上使用已受到感染的鏡像數據,攻擊就開始了,也就是說,站點A先遭到攻擊,一旦你啟動備份站點B后,同樣的攻擊馬上就會發生在B身上。”

  正確做法:所有數據在被從站點A傳到站點B之前都應該首先被掃描,進行數據完整性和正確性檢查。在建立熱備份站點時應該考慮使用不同的軟硬件平臺,這樣如果病毒和特洛伊木馬專門攻擊你的主平臺的話,那備份站點就有可能逃過一劫。

  陋習八、極少進行全局安全審查和防火墻穿透試驗,即使有也只是在內部進行

  在搭建IT設施和升級操作系統與應用程序時,網絡結構有可能變得面目全非。“由于升級和補丁發生的頻繁性和IT工作的重要性,你不能隔兩年才來做一次全局安全審查。” Burk說道,“審查至少每年必須進行一次,而漏洞分析和防火墻穿透試驗則應該更頻繁一些,也許每個季度就應該進行一次。”

  安全專家認為,投在安全方面的預算至少還應該包括雇傭第三方團體來進行這些審查和測試的費用。“一個常見的錯誤是我們經常會說‘這小伙子擅長這個,就讓他自己檢查自己的工作吧’”Landoll說,“你的工作不應該由你自己來檢查。如果我的木屋是由某個木匠搭建的,我會讓其他木匠來檢查他做得到底好不好。”

  正確做法:要有好的安全審查和測試計劃,并且盡量讓其他專業人士來完成這些事情,而不是一切都自己來。

 陋習九、重視了網絡的安全,卻忽視了外來終端機的安全性

  不管安全專家如何喋喋不休地建議大家在加強對外網絡防御能力的同時也不能忽略那些“受信任”的外部用戶的威脅性,可許多公司對此仍然缺乏相應的保護措施。

  原因之一就是公司允許太多的臨時用戶或外部用戶使用公司的網絡資源。我們會為那些需要在家里辦公或外出進行產品展示的員工提供SSL VPN以便連入公司內部,我們也會為訪客或者設備維修人員提供無線接入。為方便起見我們還會為商業合作伙伴提供登錄內部銷售系統的密碼,在提供這些接入方式時我們也許能用加密等方式來保障數據的傳輸安全,但問題是我們經常忘了檢查這些外部機器本身是否足夠安全。從外部連進來的機器也許本身沒有惡意,但誰又知道它們是否老早就已經在其他地方感染了病毒了呢?

  解決辦法就是用戶在接入網絡之前必須接受相應的安全檢查。“當你用VPN連進來時,首先將通過一段非信任區,在那里你的計算機要被掃描和驗證是否安全,然后才會被允許訪問內部資源。”

  而且還應該對VPN進行配置以限制外部用戶的權限。“你需要訪問公司所有的資源嗎?應不應該允許你在家里做開發?如果對公司來說軟件是絕對機密的,那么從公司外部連入的用戶就不應該有訪問這些軟件資源的權限。” Wysopal說道。

  密碼策略如果設計不好,也會有安全隱患。這是一個很微妙的“如何平衡”的問題,如果密碼策略太嚴格了,比如要求你必須同時使用字符和數字,至少八位長度而且還得經常更換的話,那么用戶很可能就會因為怕記不住而把密碼寫在紙條上;但如果密碼策略太寬松了,那些簡單的密碼又很容易被猜出來。就看你如何找到平衡點了。

  正確做法:除了有網絡訪問控制系統之外還應該部署外來用戶安全檢疫系統。

  陋習十、對用戶有太多要求,有些甚至是強迫性的

  有時候過分要求安全反而會促使用戶采取一些消極的手段來逃避。舉個例子,員工早上來上班,首先,進入Windows需要密碼,進入Novell服務器也需要密碼,進入銷售管理程序還需要密碼,好不容易等輸完所有密碼進去了,還得忍受各種各樣來自桌面防火墻、防垃圾郵件、防病毒軟件的警告信息。

  結果怎樣呢?一旦用戶登錄以后,他們就再也不想退出了,即使是晚上下班回家也不退出,因為第二天來又要重復這個過程,這實在是太討厭了。為了讓桌面防火墻和防病毒程序能安靜點,很多用戶都選擇把它們的安全級別設到最低。

  因此,Unisys的顧問Pironti建議允許使用短而好記的密碼。他舉出銀行的例子來證明這種策略是可行的。

  “銀行一直以來都很小心,不對用戶做太多要求。” Pironti說,“看看PIN碼,使用的是四位數字,數字安全領域的專家可能會覺得這遠遠不夠保險,利用隨機數字產生器很容易就能猜出來,而且用戶很可能會選擇用出生年月做密碼。那銀行為什么還決定這么做呢?因為它們考慮到絕大多數人的記性不會差到需要把四位數字寫在紙上的地步。”

  對銀行來說,短密碼帶來的好處要勝過它的安全隱患。今天大家在使用ATM的時候都不會考慮太多的安全問題,因為大家都相信銀行。

  當然,解決安全中的復雜性,最好的方案就是采用統一用戶身份管理系統,有了它,一張智能卡不但能開公司的門還能幫你登錄計算機系統,不用密碼,省了麻煩。但這種方案需要物理安全和數字安全的緊密配合,而一般這種系統都很昂貴。

  正確做法:不要對用戶要求太多,一套用戶身份管理系統能幫你解決不少問題。

  總結

  上述這些陋習都是過程和行為的問題而不僅僅是技術問題。不是說技術不重要,但正確的安全觀念在于你是否能意識到可能出現的問題,并是否了解到該如何進行安全保護。而且大家常常缺少大局觀,弄不清楚或者意識不到某個部分的改變是否會對整體造成影響。我們只有在接受了“安全威脅總是會出現”這樣一個事實后,才能總結出一些可靠的經驗。

總之,局域網安全管理工具,局域網安全監控技術,局域網安全管理手段,局域網安全防范工具,局域網安全控制系統,局域網安全監視系統,局域網安全運維系統,局域網安全管理系統,上網局域網安全,局域網安全審計系統首選聚生網管局域網安全監控軟件。

相關鏈接:

深入了解聚生網管電腦上網安全管理軟件技術優勢:http://www.glldhx.tw/ProductShow105.htm

即刻下載聚生網管試用:http://www.glldhx.tw/download/grabsun.rar

 


 

 

相關鏈接:聚生網管專業禁止BT下載、限制QQ、封堵大智慧,屏蔽QQ游戲,防ARP欺騙!點擊這里查看詳情!
打印本頁 || 關閉窗口

版權所有 2005-2008 聚生網管公司 版權所有,盜版必究
京ICP備05068297號

白姐大型六合图库