內網是網絡安全最薄弱的環節,絕大多數的安全事件來自內部。就企業網絡管理來說,工作量最大的部分是客戶端,對網絡正常運轉最大威脅也來自客戶端。大型網絡一般結構較為復雜,用戶使用水平參差不齊,而網絡管理人員編制有限,往往難以面對數量重大的客戶端事件。事實證明,只有解決網絡內部的安全問題,才可以排除網絡中最大的安令隱患。本文就比較常見的幾個企業IT的安全問題進行闡述并給出建議,希望對您有所幫助。
1、企業網絡安全管理應該注意的幾個點
(1).網絡IP地址管理
企業局域網的IP地址管理是網絡管理遇到的首要問題,如何正確地對企業內部的IP地址進行規劃和管理,是每一個網絡安全管理人員所要面對的必然科目之一。IP地址的管理包含每個員工的IP地址的分配和規劃,訪客進入網絡中可以使用的IP地址,VLAN的劃分,VLAN的劃分原則,各個VLAN之間采用策略進行控制。
目前在企業網絡安全中,IP地址的混亂是大家遇到的首要問題。小規模的企業表現出來的問題要少些,但是稍微有些規模的企業,IP地址的混亂,則嚴重影響了正常的工作。IP地址沖突、IP丟失、自動分配的IP數量不夠等問題層出不窮。而一些惡意軟件或病毒,正是利用企業內部IP地址混亂,造成企業內部的網絡常常訪問不正常。
(2).網絡防病毒
防病毒是每個企業IT遇到的老大難問題,病毒可以通過不同的途徑滲透到企業網內部,在內部進行傳播。病毒甚至可以隱藏在圖片、視頻內部,通過播放器自動加載惡意的程序到系統中間去。
個人版的防病毒由于其防病毒效果完全取決于防病毒使用者對病毒的理解程度,病毒庫和引擎的不統一也是造成病毒泛濫的一個原因。不同品牌的防病毒程序存在于企業網中。造成了策略的嚴重不統一,針對不同的病毒采用不同的方法處理。直接后果就是,大家的計算機在不同的水平線上,通過網絡間的互相拷貝,使得病毒又重復地傳播開來。
相信大家都有這樣的感覺,就算是每臺計算機上安裝上幾種殺毒軟件,病毒卻依然清除不干凈。在一個企業網內部安裝多種不同的防病毒軟件或一種個人版防病毒軟件,效果是近似的。
(3).網絡流量管理
網絡流量的問題是對企業網影響比較大的問題,有些網絡流量是正常的,有些是非正常的,也有隱形的網絡流量和顯性的網絡流量。實際的情況是,就算一臺計算機沒有任何操作,網絡流量依然很大。企業局域網如果有幾臺這樣的計算機,整個公司的網絡出口就基本上被屏蔽了,而具體使用者卻對此一無所知。還有一種比較常見的情況是網絡下載和視頻,都需要比較高的網絡流量,而現在網絡下載和視頻也是員工們最喜歡使用的網絡手段。
通過P2P軟件,在很短時間內下載上G的文件,似乎是很平常的事情,但帶來的問題是,當這些員工把下載工具一打開,整個公司的正常業務基本上陷入癱瘓狀態。
(4).服務器可靠性維護
在當今信息社會,就算是再小的企業,都會擁有至少一臺服務器,這些服務器為企業的發展提供了可靠的保證。大部分服務器上面,保存著企業重要的數據,如財務、檔案等。很多企業,只是使用比較簡單的手段進行備份,而且這些備份,大部分是離線的,如每天一次,每兩天一次等。一旦服務器發生故障,數據丟失是必然的,對于大部分企業來講,花費昂貴成本,構建實時備份中心,有一定難度。
服務器作為企業信息的核心,很多時候得不到有效保護。有一些服務器,甚至連機柜都沒有,任何一個人都可以隨便訪問服務器內的內容,可以打開服務器,可以向服務器上傳內容,安裝程序。造成服務器操作系統的不穩定,應用程序更是隨時可能發生問題。
(5).信息資源和介質的安全問題
每個企業都有代表其核心競爭力的信息資源,這些信息資源以不同的方式存在,有的是文檔數據,有的是視頻數據,有的是語音數據等等。它們可能被存儲在不同的介質上,最常見的是存儲在硬盤或光盤上,這些存儲介質都是易損的,如果我們不嚴格加以保護,造成的結果往往是在需要使用這些數據的時候,沒有辦法讀取其內容。
介質缺乏有效管理還帶來的一個比較大的問題是信息泄露,光盤或硬盤被其他無關人員看到或借用,甚至存儲數據的人員本身就是泄密者,這種行為往往給企業帶來巨大的損失。
(6).資產的管理
企業為員工提供的軟硬件資產是要求員工在工作的環境下,為企業創造價值,可是很多員工卻把這些資產濫用,甚至挪為私用,缺乏管理的U盤上存放著私人信息,管理不善的計算機、CPU、內存,甚至網卡、主板都被使用者更換掉,為企業帶來損失。
筆者就曾經遇到由于員工不使用企業統一購買的正版軟件,而是使用自行安裝的盜版軟件,造成工作環境不穩定,為企業帶來無法估量的損失。資產的損壞帶來的損失有時是隱藏的,并非那么明顯。但是一旦發現,卻是難以彌補的。
#p#副標題#e#
2、針對問題的應對措施
(1).VLAN劃分和IP-MAc地址綁定
只要有部門劃分的企業,必須進行VLAN劃分,VLAN劃分可以規劃為以下幾個部分:
網絡設備連接的VLAN,交換機之間互聯,需要劃分VLAN,然后指定對應的物理端口到相應的VLAN,這部分VLAN可以規劃為ID相對比較大的取值,如從2000-2200。
網絡交換機提供給終端用戶接入的VLAN,可以為每個部門、每個樓層分配一個獨立的VLAN,這部分VLAN可以規劃為ID從lO-1999,這部分預留空間比較大,甚至根據需要可以為每個交換機端口,每個終端分配一個VLAN。
網絡管理和數據中心VPN及其他應用VLAN,這部分VLAN ID可以取2300-4096之間的數值。不同的VLAN之間采用策略進行控制,缺省狀態下,不同VLAN之間是不能訪問的。除非有特別的需求,而且訪問也必須做流向的控制。
VLAN劃分完畢后,IP-MAC綁定就顯得尤為重要了,IP-MAC綁定可以在接入交換機上完成,也可以借助專用工具完成。綁定后的計算機,不僅可以避免ARP病毒的攻擊,而且也非常有助于網絡管理員根據IP地址進行管理。
(2).網絡防病毒+IP MAc地址綁定+ARP防火墻
網絡防病毒的軟件至關重要,對防病毒軟件的要求是:能支持多種平臺,至少是在Windows系列操作系統上都能運行。能提供中心管理工具,對各類服務器和工作站統一管理和控制;在軟件安裝、病毒代碼升級等方面,可通過服務器直接進行分發,盡可能減少客戶端維護工作量;病毒代碼的升級要迅速有效。
AV-test是一個第三方的防病毒軟件評測機構,可以選在AV-test方面處于綜合性能靠前的產品。以一臺服務器作為中央控制一級服務器,實現對網絡中所有計算機的保護和監控,并使用其中有效的管理功能,如,管理員可以向客產端發送病毒警報、強制對遠程客戶端進行病毒掃描、鎖定遠程客產端等。正常情況下,一級服務器病毒代碼庫升級后半分鐘內,客戶端的病毒代碼庫也進行了同步更新。
需要注意的是,防病毒軟件到目前為止都是只升級病毒庫和升級引擎+病毒庫的兩種方式,不同的殺毒軟件的方式是不同的。一定要選擇即要升級病毒庫同時升級病毒引擎的版本。否則,大量防病毒軟件,雖然數據庫是最新的,但是軟件卻是以前的版本,盡管廠家宣稱可以實現,但是,事實上卻是很多新的類型的病毒,老引擎根本沒有辦法消除。
(3).流量排名和流量實時控制
流量排名和流量實時控制可以實現兩個層面的有效保護,第一層面是網絡安全管理員可以對網絡設備及終端計算機進行流量分析及控制。對終端計算機的流量管理主要有兩部分功能:一是對終端計算機的總流入及流出流量的采集,并可以通過設定閾值對異常流量進行告警。二是對終端計算機某個網絡應用或網絡接口網絡流量的閾值設定,通過策略可以限制網絡連接流出流量只能在某個范圍,保證其他主機的有效帶寬使用。這種管理的方式比較粗放。難以判斷正常流量和異常流量之間的差別。
第二層面是采用專用的流量分析控制工具,這種工具是基于網關型的,把硬件設備安裝在網絡的出口處,這樣,流過流量分析控制工具的數據流都會被采集到,并可以進行控制。這種工具全部是基于應用分析的,網絡管理員可以根據收到的實時數據對網絡內的流量進行實時分析,并繪制流量分析表,為更好地管理網絡提供依據。
在較為完善的內部網絡中,兩種方法可以統一,第一種進行終端之間內部流量的控制和管理,第二種進行與互聯網的流量控制和管理。
(4).嚴格的機房管理制度和雙人上崗的服務器管理
要建立機房管理制度,就要建立機房,機房不只是一個安放機器的房間,而是一個管理體系,機房為企業重要的服務器提供了一個載體,這個載體是一個很好的保護容器,整個公司的信息核心,都必須在這個容器中健壯地成長。對于容器的訪問授權則就變得很重要了。
機房管理制度應該滿足至少雙人才能上崗,這樣,每次進入機房內部的人員至少是兩個人,這兩個人互相監督,互相進行日志記錄,每次機房的訪問都應該有詳細的日志記錄。同時,服務器的維護也是相同的道理,每次針對服務器的更改必須是兩個人。避免由于一個人的誤操作,造成服務器宕機、癱瘓等情況發生。
(5).外設控制+專人保管+信息加密
采用專用工具或者是管理手段,將外設進行封存,如可能帶來信息泄密的USB口,可以采用貼封條的方法進行封存,不容許員工使用,以免重要的數據被拷貝。或者采用專用軟件來實現對這些端口的控制,甚至購買沒有這些端口的電腦等。
任何備份的數據或者介質,都必須由專人看管,用專用的柜子保存,柜子內部要注意防潮、防蟲、防鼠等。每次介質的提取都必須得到主管領導的認可,而不能隨意獲得企業備份的數據。
每個臨時的或者是最終載體上的數據,理想的情況下都應該是被加密保護。不用明文的優點在于當發生丟失時不會丟失內部的數據,缺點是必須建立相應的密鑰管理制度,密鑰不能單獨由某個人保管,也不能各個部門各保存一個,而應該采用分段保存的方法,不同的人掌握密鑰的一部分。
在實際情況中,可以根據具體的事實在以上信息保護的手段中選擇。以不影響企業主體業務和效率的情況下選擇最優的解決方案。
(6).資產管理和報警
對于大型客戶端,可能會出現客戶端用戶隨意拆卸網絡終端硬件的現象,這會給網絡終端的管理帶來混亂,甚至可能造成網絡硬件設備資產流失。
專用系統可自動探測終端硬件情況:具體包括客戶端計算機名、CPU型號、內存大小、硬盤品牌及大小、網卡型號及速度,MAC等大小、設備編號等。所有數據上報至數據中心,自動生成報表信息存入相關數據庫,并可對其變化報警。
系統能夠自動地收集計算機已有的各種硬件資產及軟件資產信息。對于不便自動收集的資產信息,系統也提供方便的手工方式錄入。同時,對網絡的軟件及硬件系統資產變更情況進行跟蹤,一旦資產信息發生變更,代理立刻以事件的形式通告系統服務器,通過事件處理,資產能夠很好地被管理起來。
系統也提供完善的針對資產信息的綜合查詢及報表統計功能,使得管理員能夠迅速統計某類資產的分布情況或某些網絡對象的資產情況等信息。系統提供可定制的模糊查詢功能,方便進行特殊需要的檢索。
寫在最后:企業IT安全是個系統工程,類似于“木桶原理”,一點疏忽也許會使得我們構筑的安全體系形同虛設。無論怎樣,分析總結網絡運維中各種不安全因素,并找出解決辦法這是大家的共識。