企業網絡防護應注意的四個基本點
我們在注重企業網絡防護時,往往都在考慮如何引進和部署像網絡防火墻、安全網關之類的產品。不可否認,部署這些網絡安全產品確實會使企業網絡防護能力得到極大地提高。但實際上,即便是部署了這些安全產品仍可能成為黑客們入侵的對象,要知道一些基本操作對于安全防護也是十分重要的。
企業網絡防護1:要經常并且及時打補丁
打補丁絕對有必要,而且幾乎總是免費的。你需要核實的第一件事是:打的所有補丁是不是最新版本。設置iCal/Outlook提醒功能,以便每個月打一次補丁。定在每個月的第二個星期三打補丁是個好日子,因為微軟會在每月的第二個星期二發布安全補丁。你也可以安排在付按揭或房租時,捎帶打補丁— 在付錢時,也要記得打補丁。
打補丁并不是說只要雙擊Windows Update就行了。如果你還沒有激活Microsoft Update(Windows Update的變種),就接收不到任何微軟Office更新程序。不要滿足于此!你要確保時常訪問Adobe網站,更新Flash插件和PDF Reader軟件。Firefox在這方面做得很到位:能夠自動分發更新程序,不需要用戶干預,但它不會把你升級到新的重大版本,所以同樣要訪問 Firefox網站。
期盼有一天,微軟會向所有Windows軟件發布者開放Windows Update基礎架構,以便大家通過一個集中的地方來發布各自的更新程序,而用戶則只要點擊一下就可以升級所有的相關軟件。而在這一天到來之前,不妨使用像Secunia的Personal Software Inspector(個人用戶可免費使用)這類軟件,它會掃描計算機上的所有軟件,以便集中查看哪些還沒有打上安全補丁。
有些企業的IT管理人員很自豪地聲稱,該公司每隔5分鐘就更新反病毒軟件的特征庫,但是其關鍵服務器使用的卻還是老版本的IE和Adobe,2007年以后的操作系統補丁居然都沒有打上!
有人稱,谷歌之所以遭到攻擊,原因就是其一名員工使用了過時的Web瀏覽器。
硬件也需要更新。記得清查一下硬件,檢查固件是否需要更新(這與軟件補丁一樣重要)。只要硬件有網站端口,就要半年訪問一次該硬件廠商的網站— 不僅僅是路由器和交換機,還有多功能復印機、餐館的銷售點(POS)終端、藍光播放機、專用小交換機(PBX)以及具有TwITter功能的咖啡壺等。
企業網絡防護2:別讓某人阻止你運行安全網絡
有的企業CIO會說,自己公司的服務器沒有打補丁,是因為“某人說可以不打補丁”,這個某人可能是公司的產品開發經理或銷售副總裁。這種風險企業其實無法接受。沒有打補丁的服務器絕對不可以訪問互聯網。員工只有通過“不太安全”的專用網絡上的專用計算機(不是用來讀取郵件、瀏覽互聯網的那種計算機),才能訪問這些因為沒有打補丁而變得很危險的服務器。
要是公司下面某個部門運行的軟件導致無法使用最新的安全補丁,IT部門就需要把這些服務器與網絡其余部分隔離開來,就像把機密網絡與非機密網絡隔離開來那樣。
此外,除非企業很重視信息安全,否則就避免不了信息竊取和成本高昂的系統停運問題。只要有可能受到過污染,一罐罐的花生醬就要在廠商開始召回的幾小時內從商場貨架上撤下;然而奇怪的是,一臺用來為數百個員工處理工資的財務服務器明明有安全漏洞,企業卻任其運行好幾個月。
記住,絕對不能因為某人說可以不打補丁,而在網絡上運行那些沒有打補丁的服務器。
企業網絡防護3:P2P應該遠離企業網絡
應該說,P2P就不該出現在辦公計算機上。P2P網絡上的惡意軟件帶來的危險,遠遠超出了對BitTorrent或KaZaa的任何正當需要。應該選擇信譽可靠的網站來獲得共享軟件。
如果非得使用P2P,就使用單獨的非管理員用戶賬戶來進行這些操作。千萬不要在使用管理員賬戶的情況下,運行從P2P網絡上下載的軟件。記得還要一直用幾個不同的反病毒軟件包來不斷掃描這些下載的軟件。如果沒有像Norton Internet Security 2010這樣可靠的安全軟件包,使用Virustotal.com也很不錯,它可以快速掃描可疑的下載內容。如果是精通技術的高級用戶,不妨在虛擬機里面運行P2P軟件,把主機操作系統隔離開來。
企業網絡防護4:牢牢鎖定網絡
趕緊將公司和家里的路由器DNS解析器改成OpenDNS,別使用互聯網服務提供商(ISP)提供的默認DNS。OpenDNS擁有大容量的緩存,可以加快查詢;還有一項免費的網站過濾服務,一些企業可能會有興趣。即使不需要過濾服務,其可靠、安全的DNS基礎架構也可以在DNS層面讓你遠離一些眾所周知的攻擊。
花5分鐘重新配置后,你的互聯網連接會變得更快,因為OpenDNS服務器的響應速度通常快于默認的ISP服務器。OpenDNS的網站上會教會你如何將家里的路由器或公司的活動目錄域控制器改成其解析器;它的基礎架構分布在全世界,確保了快速響應,無論用戶在哪里。
對高級用戶或任何IT從業人員來說,在服務器和工作站上都應該使用基于主機的出站防火墻。某個未知或新的進程決定建立出站連接時能接到通知,絕對很有必要。這樣一來,即使有什么威脅避開了反病毒和反惡意軟件防御機制,還是能在出站防火墻處逮住它。當然,如果用戶對技術一竅不通,又總是點擊任何彈出窗口上顯示的“接受”,那么這一招毫無幫助。
應該在企業內實施出站防火墻規則。大多數公司為用戶制定了“允許所有連接”的出站政策。這在過去也許可以接受,但現在公司不該制定這么寬松的政策了。可以先限制用戶只能建立HTTP和HTTPS出站連接;雖然這不會保護企業網絡遠離一切危險,但可以關閉很大一部分可能未經授權的出站連接。還可以用OpenDNS來限制對不良網站的訪問。
最重要但也最常被忽視的是,服務器和非軍事區(DMZ)網絡應該只允許少數幾個明確的出站連接(比如郵件服務器的出站SMTP連接)。現代的數據包檢測防火墻智能化程度非常高,允許Web服務器回應針對網頁的入站請求,但讓Web服務器與外界建立連接極少有正當的理由。
當然,也有例外的情況(比如業務合作伙伴的庫存交換,或者異地數據備份)。但是一般來說,大多數服務器是響應針對信息的入站請求,自己并不建立連接。要是黑客闖入了你的服務器,他或她最先會做的一件事就是利用你的服務器連接到貴公司內部的另一臺機器,或者連接回自己的網絡。“允許所有連接”的通用政策只會招惹麻煩。
【編輯推薦】
