與僵尸網絡等無形的威脅做斗爭的11種方法

作者：周雪峰譯 2011-01-19 09:32:33

對于擁有機密數據或敏感數據的組織來說，最可怕的現實是網絡安全威脅（例如：僵尸網絡，蠕蟲，和黑客攻擊）是永無止境的。

【51CTO 1月19日外電頭條】對于擁有機密數據或敏感數據的組織來說，最可怕的現實是網絡安全威脅（例如：僵尸網絡，蠕蟲，和黑客攻擊）是永無止境的。

其中，僵尸網絡是最可怕的網絡安全威脅。這些由網絡犯罪者制造出來的，高度成熟的，漏洞探查式的威脅幾乎是無形的。不像前幾年那些破壞磁盤，讓網絡罷工的蠕蟲和特洛伊木馬，僵尸程序會讓網絡和計算機持續地運行，然后把數據發送給“僵尸主”，并且，它們很難被探查到。

大多數國家和當地的政府機構都采取了一些措施，盡量減少網絡被滲透的幾率，如果一次攻擊發生了，可以把這個威脅隔離開來，然后再排除它。但是，因為政府機構總是被要求少花錢多辦事，所以，它們的網絡安全策略可能并不充分。為了幫助政府機構制定出一套可以滿足它們的特定需求的策略來，針對政府機構的規模，類型，可用的預算，和必須要保護的敏感信息，CDW-G提供了以下這些方法：

1，安裝Windows防火墻

雖然可能對于終端用戶來說，禁用它的吸引力會更大一些，但是一個配置合理的Windows防火墻可以阻止許多基于網絡的攻擊。對于那些擁有很多配置相同的機器的大型機構來說，這個方法尤其適用。#p#

2，禁用自動運行功能

自動運行功能可以自動地安裝軟件，為了防止操作系統盲目地運行一些來自于外部的命令，這個功能應該被禁用。#p#

3，不要相信密碼

對本地賬戶進行控制（尤其是本地的管理員賬戶）是至關重要的，這可以隔離并消除一些威脅。禁用計算機的自動連接功能可以防止僵尸程序擴散到整個內部網絡。在一些存儲著高度機密數據的環境中，這一點顯得尤為重要。#p#

4，考慮一下網絡分割

在大多數計算環境中，工作站都無需跨部門地進行通信。關閉這個功能可以有效地防止僵尸程序進行擴散。IT經理應該建立私有的虛擬局域網（VLAN：virtual local area networks），或者在子網之間建立訪問控制列表（ACL：access control lists）來限制“暴露”程度。這個策略也許并不是最合適的，但是，在聲音和數據混合通信的環境中，這個策略可以防止在傳輸過程中negotiate一個虛擬回路（virtual circuit）。#p#

5，提供最少的權限

當用戶不是工作站管理員的時候，惡意軟件很難通過下載的方式來傳播，它們也很難通過自動運行方法駐留在一個系統中。如果不給用戶提供管理員權限的話，惡意軟件很難通過它們的用戶賬戶憑證來傳播，計算機也很難被感染。#p#

6，安裝主機入侵防御系統

為了防止僵尸程序在一個系統中“安家落戶”，IT經理應該在特定的網絡層上添加基于漏洞的防護，例如在特定的硬件和軟件之間的交互層上添加額外的防護。這個方法并不能修復操作系統或應用軟件中的技術缺陷或漏洞，但是它可以減少攻擊成功的機會。雖然這些工具是十分有效的，但是它們是十分昂貴的，而且，它們通常很難部署。#p#

7，加強監控

很多人都知道如何在正常情況下運維一個網絡，當一個僵尸程序入侵引起了微小的異常的時候，要能實時地做出判斷。持續不斷地進行監控絕對是一個好主意，你可以使用一些產品來收集網絡流量方面的數據，讓一些設備來監控異常情況，探測并阻止入侵。但是，使用遠程管理的安全服務也可以填補這塊空白，加強監控也許已經超出許多政府機構的能力范圍了。#p#

8，對流出這個網絡的數據進行過濾

[[18399]]

僵尸程序通常會和一個或多個遠程的服務器（黑客使用這些服務器來獲取一些私有的信息）進行通信。為了阻止這些通信，以及和它們有關的威脅，政府機構應該防止那些機密的數據流出這個網絡，輸出過濾（egress filtering）就是這方面的一個工具。政府機構應該通過代理（在下文中會詳細說明），內容過濾器，或者通過部署一個數據丟失防護（DLP：data loss prevention）解決方案對流向互聯網的數據進行過濾。#p#

9，使用一個代理服務器