內(nèi)網(wǎng)是網(wǎng)絡(luò)安全最薄弱的環(huán)節(jié),絕大多數(shù)的安全事件來自內(nèi)部。就企業(yè)網(wǎng)絡(luò)管理來說,工作量最大的部分是客戶端,對網(wǎng)絡(luò)正常運轉(zhuǎn)最大威脅也來自客戶端。大型網(wǎng)絡(luò)一般結(jié)構(gòu)較為復(fù)雜,用戶使用水平參差不齊,而網(wǎng)絡(luò)管理人員編制有限,往往難以面對數(shù)量重大的客戶端事件。事實證明,只有解決網(wǎng)絡(luò)內(nèi)部的安全問題,才可以排除網(wǎng)絡(luò)中最大的安令隱患。本文就比較常見的幾個企業(yè)IT的安全問題進(jìn)行闡述并給出建議,希望對您有所幫助。
1、企業(yè)網(wǎng)絡(luò)安全管理應(yīng)該注意的幾個點
(1).網(wǎng)絡(luò)IP地址管理
企業(yè)局域網(wǎng)的IP地址管理是網(wǎng)絡(luò)管理遇到的首要問題,如何正確地對企業(yè)內(nèi)部的IP地址進(jìn)行規(guī)劃和管理,是每一個網(wǎng)絡(luò)安全管理人員所要面對的必然科目之一。IP地址的管理包含每個員工的IP地址的分配和規(guī)劃,訪客進(jìn)入網(wǎng)絡(luò)中可以使用的IP地址,VLAN的劃分,VLAN的劃分原則,各個VLAN之間采用策略進(jìn)行控制。
目前在企業(yè)網(wǎng)絡(luò)安全中,IP地址的混亂是大家遇到的首要問題。小規(guī)模的企業(yè)表現(xiàn)出來的問題要少些,但是稍微有些規(guī)模的企業(yè),IP地址的混亂,則嚴(yán)重影響了正常的工作。IP地址沖突、IP丟失、自動分配的IP數(shù)量不夠等問題層出不窮。而一些惡意軟件或病毒,正是利用企業(yè)內(nèi)部IP地址混亂,造成企業(yè)內(nèi)部的網(wǎng)絡(luò)常常訪問不正常。
(2).網(wǎng)絡(luò)防病毒
防病毒是每個企業(yè)IT遇到的老大難問題,病毒可以通過不同的途徑滲透到企業(yè)網(wǎng)內(nèi)部,在內(nèi)部進(jìn)行傳播。病毒甚至可以隱藏在圖片、視頻內(nèi)部,通過播放器自動加載惡意的程序到系統(tǒng)中間去。
個人版的防病毒由于其防病毒效果完全取決于防病毒使用者對病毒的理解程度,病毒庫和引擎的不統(tǒng)一也是造成病毒泛濫的一個原因。不同品牌的防病毒程序存在于企業(yè)網(wǎng)中。造成了策略的嚴(yán)重不統(tǒng)一,針對不同的病毒采用不同的方法處理。直接后果就是,大家的計算機(jī)在不同的水平線上,通過網(wǎng)絡(luò)間的互相拷貝,使得病毒又重復(fù)地傳播開來。
相信大家都有這樣的感覺,就算是每臺計算機(jī)上安裝上幾種殺毒軟件,病毒卻依然清除不干凈。在一個企業(yè)網(wǎng)內(nèi)部安裝多種不同的防病毒軟件或一種個人版防病毒軟件,效果是近似的。
(3).網(wǎng)絡(luò)流量管理
網(wǎng)絡(luò)流量的問題是對企業(yè)網(wǎng)影響比較大的問題,有些網(wǎng)絡(luò)流量是正常的,有些是非正常的,也有隱形的網(wǎng)絡(luò)流量和顯性的網(wǎng)絡(luò)流量。實際的情況是,就算一臺計算機(jī)沒有任何操作,網(wǎng)絡(luò)流量依然很大。企業(yè)局域網(wǎng)如果有幾臺這樣的計算機(jī),整個公司的網(wǎng)絡(luò)出口就基本上被屏蔽了,而具體使用者卻對此一無所知。還有一種比較常見的情況是網(wǎng)絡(luò)下載和視頻,都需要比較高的網(wǎng)絡(luò)流量,而現(xiàn)在網(wǎng)絡(luò)下載和視頻也是員工們最喜歡使用的網(wǎng)絡(luò)手段。
通過P2P軟件,在很短時間內(nèi)下載上G的文件,似乎是很平常的事情,但帶來的問題是,當(dāng)這些員工把下載工具一打開,整個公司的正常業(yè)務(wù)基本上陷入癱瘓狀態(tài)。
(4).服務(wù)器可靠性維護(hù)
在當(dāng)今信息社會,就算是再小的企業(yè),都會擁有至少一臺服務(wù)器,這些服務(wù)器為企業(yè)的發(fā)展提供了可靠的保證。大部分服務(wù)器上面,保存著企業(yè)重要的數(shù)據(jù),如財務(wù)、檔案等。很多企業(yè),只是使用比較簡單的手段進(jìn)行備份,而且這些備份,大部分是離線的,如每天一次,每兩天一次等。一旦服務(wù)器發(fā)生故障,數(shù)據(jù)丟失是必然的,對于大部分企業(yè)來講,花費昂貴成本,構(gòu)建實時備份中心,有一定難度。
服務(wù)器作為企業(yè)信息的核心,很多時候得不到有效保護(hù)。有一些服務(wù)器,甚至連機(jī)柜都沒有,任何一個人都可以隨便訪問服務(wù)器內(nèi)的內(nèi)容,可以打開服務(wù)器,可以向服務(wù)器上傳內(nèi)容,安裝程序。造成服務(wù)器操作系統(tǒng)的不穩(wěn)定,應(yīng)用程序更是隨時可能發(fā)生問題。
(5).信息資源和介質(zhì)的安全問題
每個企業(yè)都有代表其核心競爭力的信息資源,這些信息資源以不同的方式存在,有的是文檔數(shù)據(jù),有的是視頻數(shù)據(jù),有的是語音數(shù)據(jù)等等。它們可能被存儲在不同的介質(zhì)上,最常見的是存儲在硬盤或光盤上,這些存儲介質(zhì)都是易損的,如果我們不嚴(yán)格加以保護(hù),造成的結(jié)果往往是在需要使用這些數(shù)據(jù)的時候,沒有辦法讀取其內(nèi)容。
介質(zhì)缺乏有效管理還帶來的一個比較大的問題是信息泄露,光盤或硬盤被其他無關(guān)人員看到或借用,甚至存儲數(shù)據(jù)的人員本身就是泄密者,這種行為往往給企業(yè)帶來巨大的損失。
(6).資產(chǎn)的管理
企業(yè)為員工提供的軟硬件資產(chǎn)是要求員工在工作的環(huán)境下,為企業(yè)創(chuàng)造價值,可是很多員工卻把這些資產(chǎn)濫用,甚至挪為私用,缺乏管理的U盤上存放著私人信息,管理不善的計算機(jī)、CPU、內(nèi)存,甚至網(wǎng)卡、主板都被使用者更換掉,為企業(yè)帶來損失。
筆者就曾經(jīng)遇到由于員工不使用企業(yè)統(tǒng)一購買的正版軟件,而是使用自行安裝的盜版軟件,造成工作環(huán)境不穩(wěn)定,為企業(yè)帶來無法估量的損失。資產(chǎn)的損壞帶來的損失有時是隱藏的,并非那么明顯。但是一旦發(fā)現(xiàn),卻是難以彌補(bǔ)的。
#p#副標(biāo)題#e#
2、針對問題的應(yīng)對措施
(1).VLAN劃分和IP-MAc地址綁定
只要有部門劃分的企業(yè),必須進(jìn)行VLAN劃分,VLAN劃分可以規(guī)劃為以下幾個部分:
網(wǎng)絡(luò)設(shè)備連接的VLAN,交換機(jī)之間互聯(lián),需要劃分VLAN,然后指定對應(yīng)的物理端口到相應(yīng)的VLAN,這部分VLAN可以規(guī)劃為ID相對比較大的取值,如從2000-2200。
網(wǎng)絡(luò)交換機(jī)提供給終端用戶接入的VLAN,可以為每個部門、每個樓層分配一個獨立的VLAN,這部分VLAN可以規(guī)劃為ID從lO-1999,這部分預(yù)留空間比較大,甚至根據(jù)需要可以為每個交換機(jī)端口,每個終端分配一個VLAN。
網(wǎng)絡(luò)管理和數(shù)據(jù)中心VPN及其他應(yīng)用VLAN,這部分VLAN ID可以取2300-4096之間的數(shù)值。不同的VLAN之間采用策略進(jìn)行控制,缺省狀態(tài)下,不同VLAN之間是不能訪問的。除非有特別的需求,而且訪問也必須做流向的控制。
VLAN劃分完畢后,IP-MAC綁定就顯得尤為重要了,IP-MAC綁定可以在接入交換機(jī)上完成,也可以借助專用工具完成。綁定后的計算機(jī),不僅可以避免ARP病毒的攻擊,而且也非常有助于網(wǎng)絡(luò)管理員根據(jù)IP地址進(jìn)行管理。
(2).網(wǎng)絡(luò)防病毒+IP MAc地址綁定+ARP防火墻
網(wǎng)絡(luò)防病毒的軟件至關(guān)重要,對防病毒軟件的要求是:能支持多種平臺,至少是在Windows系列操作系統(tǒng)上都能運行。能提供中心管理工具,對各類服務(wù)器和工作站統(tǒng)一管理和控制;在軟件安裝、病毒代碼升級等方面,可通過服務(wù)器直接進(jìn)行分發(fā),盡可能減少客戶端維護(hù)工作量;病毒代碼的升級要迅速有效。
AV-test是一個第三方的防病毒軟件評測機(jī)構(gòu),可以選在AV-test方面處于綜合性能靠前的產(chǎn)品。以一臺服務(wù)器作為中央控制一級服務(wù)器,實現(xiàn)對網(wǎng)絡(luò)中所有計算機(jī)的保護(hù)和監(jiān)控,并使用其中有效的管理功能,如,管理員可以向客產(chǎn)端發(fā)送病毒警報、強(qiáng)制對遠(yuǎn)程客戶端進(jìn)行病毒掃描、鎖定遠(yuǎn)程客產(chǎn)端等。正常情況下,一級服務(wù)器病毒代碼庫升級后半分鐘內(nèi),客戶端的病毒代碼庫也進(jìn)行了同步更新。
需要注意的是,防病毒軟件到目前為止都是只升級病毒庫和升級引擎+病毒庫的兩種方式,不同的殺毒軟件的方式是不同的。一定要選擇即要升級病毒庫同時升級病毒引擎的版本。否則,大量防病毒軟件,雖然數(shù)據(jù)庫是最新的,但是軟件卻是以前的版本,盡管廠家宣稱可以實現(xiàn),但是,事實上卻是很多新的類型的病毒,老引擎根本沒有辦法消除。
(3).流量排名和流量實時控制
流量排名和流量實時控制可以實現(xiàn)兩個層面的有效保護(hù),第一層面是網(wǎng)絡(luò)安全管理員可以對網(wǎng)絡(luò)設(shè)備及終端計算機(jī)進(jìn)行流量分析及控制。對終端計算機(jī)的流量管理主要有兩部分功能:一是對終端計算機(jī)的總流入及流出流量的采集,并可以通過設(shè)定閾值對異常流量進(jìn)行告警。二是對終端計算機(jī)某個網(wǎng)絡(luò)應(yīng)用或網(wǎng)絡(luò)接口網(wǎng)絡(luò)流量的閾值設(shè)定,通過策略可以限制網(wǎng)絡(luò)連接流出流量只能在某個范圍,保證其他主機(jī)的有效帶寬使用。這種管理的方式比較粗放。難以判斷正常流量和異常流量之間的差別。
第二層面是采用專用的流量分析控制工具,這種工具是基于網(wǎng)關(guān)型的,把硬件設(shè)備安裝在網(wǎng)絡(luò)的出口處,這樣,流過流量分析控制工具的數(shù)據(jù)流都會被采集到,并可以進(jìn)行控制。這種工具全部是基于應(yīng)用分析的,網(wǎng)絡(luò)管理員可以根據(jù)收到的實時數(shù)據(jù)對網(wǎng)絡(luò)內(nèi)的流量進(jìn)行實時分析,并繪制流量分析表,為更好地管理網(wǎng)絡(luò)提供依據(jù)。
在較為完善的內(nèi)部網(wǎng)絡(luò)中,兩種方法可以統(tǒng)一,第一種進(jìn)行終端之間內(nèi)部流量的控制和管理,第二種進(jìn)行與互聯(lián)網(wǎng)的流量控制和管理。
(4).嚴(yán)格的機(jī)房管理制度和雙人上崗的服務(wù)器管理
要建立機(jī)房管理制度,就要建立機(jī)房,機(jī)房不只是一個安放機(jī)器的房間,而是一個管理體系,機(jī)房為企業(yè)重要的服務(wù)器提供了一個載體,這個載體是一個很好的保護(hù)容器,整個公司的信息核心,都必須在這個容器中健壯地成長。對于容器的訪問授權(quán)則就變得很重要了。
機(jī)房管理制度應(yīng)該滿足至少雙人才能上崗,這樣,每次進(jìn)入機(jī)房內(nèi)部的人員至少是兩個人,這兩個人互相監(jiān)督,互相進(jìn)行日志記錄,每次機(jī)房的訪問都應(yīng)該有詳細(xì)的日志記錄。同時,服務(wù)器的維護(hù)也是相同的道理,每次針對服務(wù)器的更改必須是兩個人。避免由于一個人的誤操作,造成服務(wù)器宕機(jī)、癱瘓等情況發(fā)生。
(5).外設(shè)控制+專人保管+信息加密
采用專用工具或者是管理手段,將外設(shè)進(jìn)行封存,如可能帶來信息泄密的USB口,可以采用貼封條的方法進(jìn)行封存,不容許員工使用,以免重要的數(shù)據(jù)被拷貝?;蛘卟捎脤S密浖韺崿F(xiàn)對這些端口的控制,甚至購買沒有這些端口的電腦等。
任何備份的數(shù)據(jù)或者介質(zhì),都必須由專人看管,用專用的柜子保存,柜子內(nèi)部要注意防潮、防蟲、防鼠等。每次介質(zhì)的提取都必須得到主管領(lǐng)導(dǎo)的認(rèn)可,而不能隨意獲得企業(yè)備份的數(shù)據(jù)。
每個臨時的或者是最終載體上的數(shù)據(jù),理想的情況下都應(yīng)該是被加密保護(hù)。不用明文的優(yōu)點在于當(dāng)發(fā)生丟失時不會丟失內(nèi)部的數(shù)據(jù),缺點是必須建立相應(yīng)的密鑰管理制度,密鑰不能單獨由某個人保管,也不能各個部門各保存一個,而應(yīng)該采用分段保存的方法,不同的人掌握密鑰的一部分。
在實際情況中,可以根據(jù)具體的事實在以上信息保護(hù)的手段中選擇。以不影響企業(yè)主體業(yè)務(wù)和效率的情況下選擇最優(yōu)的解決方案。
(6).資產(chǎn)管理和報警
對于大型客戶端,可能會出現(xiàn)客戶端用戶隨意拆卸網(wǎng)絡(luò)終端硬件的現(xiàn)象,這會給網(wǎng)絡(luò)終端的管理帶來混亂,甚至可能造成網(wǎng)絡(luò)硬件設(shè)備資產(chǎn)流失。
專用系統(tǒng)可自動探測終端硬件情況:具體包括客戶端計算機(jī)名、CPU型號、內(nèi)存大小、硬盤品牌及大小、網(wǎng)卡型號及速度,MAC等大小、設(shè)備編號等。所有數(shù)據(jù)上報至數(shù)據(jù)中心,自動生成報表信息存入相關(guān)數(shù)據(jù)庫,并可對其變化報警。
系統(tǒng)能夠自動地收集計算機(jī)已有的各種硬件資產(chǎn)及軟件資產(chǎn)信息。對于不便自動收集的資產(chǎn)信息,系統(tǒng)也提供方便的手工方式錄入。同時,對網(wǎng)絡(luò)的軟件及硬件系統(tǒng)資產(chǎn)變更情況進(jìn)行跟蹤,一旦資產(chǎn)信息發(fā)生變更,代理立刻以事件的形式通告系統(tǒng)服務(wù)器,通過事件處理,資產(chǎn)能夠很好地被管理起來。
系統(tǒng)也提供完善的針對資產(chǎn)信息的綜合查詢及報表統(tǒng)計功能,使得管理員能夠迅速統(tǒng)計某類資產(chǎn)的分布情況或某些網(wǎng)絡(luò)對象的資產(chǎn)情況等信息。系統(tǒng)提供可定制的模糊查詢功能,方便進(jìn)行特殊需要的檢索。
寫在最后:企業(yè)IT安全是個系統(tǒng)工程,類似于“木桶原理”,一點疏忽也許會使得我們構(gòu)筑的安全體系形同虛設(shè)。無論怎樣,分析總結(jié)網(wǎng)絡(luò)運維中各種不安全因素,并找出解決辦法這是大家的共識。