企業(yè)局域網(wǎng)網(wǎng)絡(luò)安全之我見

摘要:企業(yè)局域網(wǎng)被動式的防御方式主要基于以有的病毒特征而開發(fā)出相應(yīng)的反病毒程序，對于漏洞的防護(hù)也是采取補丁方式，這樣的防御系統(tǒng)經(jīng)常受到病毒危害，使用戶蒙受損失，而主動防御系統(tǒng)則較好的解決了這一難題。本文力圖通過主動防御的實現(xiàn)細(xì)節(jié)及安全策略等方案解析企業(yè)局域網(wǎng)內(nèi)網(wǎng)安全。

關(guān)鍵詞:局域網(wǎng);主動式;防御

1引言

計算機(jī)使用者可能每天都會看到各種黑客的攻擊，或是收到各種病毒和蠕蟲入侵的消息。不過當(dāng)你看到這些消息時，也許你的系統(tǒng)已經(jīng)受到攻擊了并在使用上產(chǎn)生了影響。現(xiàn)在，我要給大家介紹一種更具主動性的網(wǎng)絡(luò)安全模型，通過它，就算再出現(xiàn)其他類型的新病毒，大家也可以對企業(yè)的網(wǎng)絡(luò)系統(tǒng)感到放心。

類似于防火墻或者反XX類軟件(如反病毒、反垃圾郵件、反間諜軟件等)，都是屬于被動型或者說是反應(yīng)型安全措施。在攻擊到來時，這類軟件都會產(chǎn)生相應(yīng)的對抗動作，它們可以作為整個安全體系的一部分，但是，還需要建立一種具有主動性的安全模型，防護(hù)任何未知的攻擊，保護(hù)網(wǎng)絡(luò)安全。另外，雖然在安全方面時刻保持警惕是非常必要的，但是事實上很少有企業(yè)有能力24小時不間斷的派人守護(hù)網(wǎng)絡(luò)。

在實現(xiàn)一個具有主動性的網(wǎng)絡(luò)安全架構(gòu)前，需要對現(xiàn)有的主流網(wǎng)絡(luò)安全體系有一個大概的了解。防護(hù)方法包括四個方面:防火墻、VPN、反病毒軟件，以及入侵檢測系統(tǒng)(IDS)。防火墻可以檢測數(shù)據(jù)包并試圖阻止有問題的數(shù)據(jù)包，但是它并不能識別入侵，而且有時候會將有用的數(shù)據(jù)包阻止。VPN則是在兩個不安全的計算機(jī)間建立起一個受保護(hù)的專用通道，但是它并不能保護(hù)網(wǎng)絡(luò)中的資料。反病毒軟件是與其自身的規(guī)則密不可分的，而且面對黑客攻擊，基本沒有什么反抗能力。同樣，入侵檢測系統(tǒng)也是一個純粹的受激反應(yīng)系統(tǒng)，在入侵發(fā)生后才會有所動作。

雖然以上基本安全措施對企業(yè)來說至關(guān)重要，但是實際上，一個企業(yè)也許花費了上百萬購買和建立的防火墻、VPN、反病毒軟件以及IDS系統(tǒng)，但是面對黑客所采用的\"通用漏洞批露\"(CVE)攻擊方法卻顯得無能為力。CVE本質(zhì)上說是應(yīng)用程序內(nèi)部的漏洞，它可以被黑客利用，用來攻擊網(wǎng)絡(luò)、竊取信息，并使網(wǎng)絡(luò)癱瘓。

2 主動防御的實現(xiàn)細(xì)節(jié)

為什么這樣說呢?從之前的調(diào)查中看，95%的攻擊是由于系統(tǒng)的漏洞或?qū)ο到y(tǒng)的錯誤配置而造成的。在現(xiàn)實生活中也是一樣，大家都試圖將竊賊拒之門外，而很少考慮到當(dāng)盜賊已經(jīng)進(jìn)入屋子后該怎么防護(hù)。正如你不會在外出時讓大門敞開，為什么不給網(wǎng)絡(luò)再加一把鎖呢?針對企業(yè)網(wǎng)絡(luò)安全的問題，下面提提我自己的幾點建議:

作為一家企業(yè)的信息技術(shù)人員，你該如何保護(hù)企業(yè)的網(wǎng)絡(luò)呢?下面我會介紹幾個簡單的步驟，幫助你實現(xiàn)一個具有主動性的安全網(wǎng)絡(luò)。首先你需要開發(fā)一套安全策略，并強(qiáng)迫所有企業(yè)人員遵守這一規(guī)則。同時，你需要屏蔽所有的移動設(shè)備，并開啟無線網(wǎng)絡(luò)的加密功能以增強(qiáng)網(wǎng)絡(luò)的安全級別。為你的無線路由器打好補丁并確保防火墻可以正常工作是非常重要的。之后檢查系統(tǒng)漏洞，如果發(fā)現(xiàn)漏洞就立即用打補丁或其它方法將其保護(hù)起來，這樣可以防止黑客利用這些漏洞竊取公司的資料，或者令你的網(wǎng)絡(luò)癱瘓。以下是各個步驟的實現(xiàn)細(xì)節(jié):

2.1 開發(fā)一個安全策略

實現(xiàn)良好的網(wǎng)絡(luò)安全總是以一個能夠起到作用的安全策略為開始的。就算這個安全策略只有一頁，公司的全體人員包括總經(jīng)理在內(nèi)，都必須按照這個策略來執(zhí)行。基本的規(guī)則包括從指導(dǎo)員工如何建立可靠的密碼到業(yè)務(wù)連續(xù)計劃以及災(zāi)難恢復(fù)計劃(BCP和DRP)。比如，你應(yīng)該有針對客戶的財產(chǎn)和其它保密信息的備份策略，比如一個鏡象系統(tǒng)，以便在災(zāi)難發(fā)生后可以迅速恢復(fù)數(shù)據(jù)。在有些情況，你的BCP和DRP也許需要一個\"冷\"或\"熱\"的站點，以便當(dāng)災(zāi)難發(fā)生或者有攻擊時你可以快速將員工的工作重新定向到新的站點。執(zhí)行一個共同的安全策略也就意味著你向具有主動性安全網(wǎng)絡(luò)邁出了第一步。

2.2 減少對安全策略的破壞

不論是有限網(wǎng)絡(luò)，還是筆記本或者無線設(shè)備，都很有可能出現(xiàn)破壞安全策略的情況。很多系統(tǒng)沒有裝防病毒軟件、防火墻軟件，同時卻安裝了很多點對點的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟件等，它們都是網(wǎng)絡(luò)安全漏洞的根源。因此，你必須強(qiáng)制所有的終端安裝反病毒軟件，并開啟Windows XP內(nèi)建的防火墻，或者安裝商業(yè)級的桌面防火墻軟件，同時卸載點對點共享程序以及亂七八糟的聊天軟件。

2.3 封鎖移動設(shè)備

對于企業(yè)的網(wǎng)絡(luò)來說，最大的威脅可能就是來自那些隨處移動的筆記本或其它移動終端，它們具有網(wǎng)絡(luò)的接入權(quán)限，可以隨時接入公司的網(wǎng)絡(luò)。但是正因為它們具有移動特性，可以隨著員工遷移到其它不安全的網(wǎng)絡(luò)并暴露在黑客的攻擊之下，當(dāng)這些筆記本電腦再次回到公司的網(wǎng)絡(luò)環(huán)境時，就成了最大的安全隱患。其它無線終端也和筆記本有類似的情況。通過安全策略，你可以讓網(wǎng)絡(luò)針對無線終端具有更多的審核，比如快速檢測到無線終端的接入，然后驗證這些終端是否符合你的安全策略，是否是經(jīng)過認(rèn)證的用戶，是否有明顯的系統(tǒng)漏洞等。

2.4 開啟無線網(wǎng)絡(luò)加密功能

在無線網(wǎng)絡(luò)系統(tǒng)中，無線網(wǎng)絡(luò)加密 (Wireless Encryption，WEP)應(yīng)該處于開啟狀態(tài)，并應(yīng)該設(shè)置為最高安全級別。而且管理者的用戶名和密碼需要經(jīng)常及時更換。但是這些措施也并不能夠完全防止黑客通過你的無線路由器入侵企業(yè)內(nèi)部網(wǎng)絡(luò)。這是由于在大多數(shù)無線路由器中，都包含有目前尚未被修補的CVE，黑客可以利用這些CVE進(jìn)行攻擊。一些高級的黑客會下載免費的工具對這些漏洞進(jìn)行更高級的利用，以此完全攻破你的安全系統(tǒng)。

2.5 為無線路由器打補丁，并使用其自帶的防火墻功能

我強(qiáng)烈建議用戶在使用無線路由器時及時更新產(chǎn)品的固件，而且如果無線路由器有內(nèi)置防火墻功能，一定學(xué)習(xí)如何使用并配置它，開啟這個防火墻。你也可以限制同時接入無線路由器的用戶數(shù)量，如果企業(yè)員工數(shù)量不是很多，完全沒有必要讓路由器設(shè)置為可以接納無限多的用戶。比如企業(yè)只有十五個員工，那么就設(shè)置無線路由器只能同時接入十五個連接好了。

2.6 設(shè)置你的防火墻

雖然防火墻并沒有特別強(qiáng)的安全主動性，但是它可以很好的完成自己該做的那份工作。你應(yīng)該為防火墻設(shè)置智能化的規(guī)則，以便關(guān)閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口，因此你需要為防火墻建立規(guī)則，屏蔽所有系統(tǒng)上的1045端口。另外，當(dāng)筆記本或其它無線設(shè)備連接到網(wǎng)絡(luò)中時，防火墻也應(yīng)該具有動態(tài)的規(guī)則來屏蔽這些移動終端的危險端口。

2.7 下載安裝商業(yè)級的安全工具

目前與安全有關(guān)的商業(yè)軟件相當(dāng)豐富，你可以從網(wǎng)上下載相應(yīng)的產(chǎn)品來幫助你保護(hù)企業(yè)網(wǎng)絡(luò)。這類產(chǎn)品從安全策略模板到反病毒、反垃圾郵件程序等，應(yīng)有盡有。微軟也針對系統(tǒng)的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網(wǎng)絡(luò)的安全等級，因此你應(yīng)該充分利用它們。

2.8 彌補已知的漏洞

系統(tǒng)上已知的漏洞被稱為\"通用漏洞批露\"(CVEs)，它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施，你可以將網(wǎng)絡(luò)中所有系統(tǒng)的CVE漏洞彌補好。目前通過工具軟件，你可以快速檢測系統(tǒng)的CVE漏洞并將其修補好。有關(guān)這方面更多的信息，你可以查閱cve.mitre.org網(wǎng)站。

3 總結(jié)

總的來說，一個具有主動性的網(wǎng)絡(luò)安全模型是以一個良好的安全策略為起點的。之后你需要確保這個安全策略可以被徹底貫徹執(zhí)行。最后，由于移動辦公用戶的存在，你的企業(yè)和網(wǎng)絡(luò)經(jīng)常處在變化中，你需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯(lián)網(wǎng)罪犯提前行動。要做到先行一步，你應(yīng)該時刻具有主動性的眼光并在第一時刻更新的你安全策略，同時你要確保系統(tǒng)已經(jīng)安裝了足夠的防護(hù)產(chǎn)品，來阻止黑客的各種進(jìn)攻嘗試。雖然安全性永遠(yuǎn)都不是百分之百的，但這樣做足可以使你處于優(yōu)勢地位。

參考文獻(xiàn)

[1]王達(dá) 《網(wǎng)管員必讀-網(wǎng)絡(luò)安全》 電子工業(yè)出版社 2007.6

[2]肖松嶺 《網(wǎng)絡(luò)安全技術(shù)內(nèi)幕》科學(xué)出版社 2008.5.