防火墻和其它反病毒類軟件都是很好的安全產(chǎn)品,但是要讓你的網(wǎng)絡(luò)體系具有最高級別的安全等級,還需要你具有一定的主動(dòng)性。
你是不是每天都會(huì)留意各種黑客攻擊、病毒和蠕蟲入侵等消息?不過當(dāng)你看到這些消息時(shí),也許你的系統(tǒng)已經(jīng)受到攻擊了。而現(xiàn)在,我要給你介紹一種更具主動(dòng)性的網(wǎng)絡(luò)安全模型,通過它,就算再出現(xiàn)什么新病毒,你也可以對企業(yè)的網(wǎng)絡(luò)系統(tǒng)感到放心。
類似于防火墻或者反XX類軟件(如反病毒、反垃圾郵件、反間諜軟件等),都是屬于被動(dòng)型或者說是反應(yīng)型安全措施。在攻擊到來時(shí),這類軟件都會(huì)產(chǎn)生相應(yīng)的對抗動(dòng)作,它們可以作為整個(gè)安全體系的一部分,但是,你還需要建立一種具有主動(dòng)性的安全模型,防護(hù)任何未知的攻擊,保護(hù)網(wǎng)絡(luò)安全。另外,雖然在安全方面時(shí)刻保持警惕是非常必要的,但是事實(shí)上很少有企業(yè)有能力24小時(shí)不間斷的派人守護(hù)網(wǎng)絡(luò)。
在實(shí)現(xiàn)一個(gè)具有主動(dòng)性的網(wǎng)絡(luò)安全架構(gòu)前,你需要對現(xiàn)有的主流網(wǎng)絡(luò)安全體系有一個(gè)大概的了解。防護(hù)方法包括四個(gè)方面:防火墻、VPN、反病毒軟件,以及入侵檢測系統(tǒng)(IDS)。防火墻可以檢測數(shù)據(jù)包并試圖阻止有問題的數(shù)據(jù)包,但是它并不能識別入侵,而且有時(shí)候會(huì)將有用的數(shù)據(jù)包阻止。VPN則是在兩個(gè)不安全的計(jì)算機(jī)間建立起一個(gè)受保護(hù)的專用通道,但是它并不能保護(hù)網(wǎng)絡(luò)中的資料。反病毒軟件是與其自身的規(guī)則密不可分的,而且面對黑客攻擊,基本沒有什么反抗能力。同樣,入侵檢測系統(tǒng)也是一個(gè)純粹的受激反應(yīng)系統(tǒng),在入侵發(fā)生后才會(huì)有所動(dòng)作。
雖然這四項(xiàng)基本的安全措施對企業(yè)來說至關(guān)重要,但是實(shí)際上,一個(gè)企業(yè)也許花費(fèi)了上百萬購買和建立的防火墻、VPN、反病毒軟件以及IDS系統(tǒng),但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質(zhì)上說是應(yīng)用程序內(nèi)部的漏洞,它可以被黑客利用,用來攻擊網(wǎng)絡(luò)、竊取信息,并使網(wǎng)絡(luò)癱瘓。據(jù)2004 E-Crime Survey(2004 電子犯罪調(diào)查)顯示,90%的網(wǎng)絡(luò)安全問題都是由于CVE引起的。
具有主動(dòng)性的網(wǎng)絡(luò)安全模式是對上述四種安全措施的綜合管理,使得用戶可以從這四種安全措施中獲得最大的安全性,同時(shí)也是為用戶添加一個(gè)漏洞管理系統(tǒng)。在這種系統(tǒng)中,一個(gè)更有效的防火墻可以正確的攔截?cái)?shù)據(jù)資料。一個(gè)更有效的反病毒程序則更少機(jī)會(huì)被激活,因?yàn)楣粝到y(tǒng)的病毒數(shù)量更少了。而IDS則成為了一個(gè)備份系統(tǒng),因?yàn)楹苌偃四苋肭窒到y(tǒng)而激活報(bào)警機(jī)制。而使用漏洞管理系統(tǒng)來防止CVE帶來的入侵則是整個(gè)系統(tǒng)最重要的部分。
為什么這么說呢?從上面提到的調(diào)查看,95%的攻擊是由于系統(tǒng)的漏洞或?qū)ο到y(tǒng)的錯(cuò)誤配置而造成的。在現(xiàn)實(shí)生活中也是一樣,大家都試圖將竊賊拒之門外,而很少考慮到當(dāng)盜賊已經(jīng)進(jìn)入屋子后該怎防護(hù)。正如你不會(huì)在外出時(shí)讓大門敞開,為什么不給網(wǎng)絡(luò)再加一把鎖呢。
實(shí)現(xiàn)主動(dòng)性的網(wǎng)絡(luò)安全模型
那么作為一家企業(yè)的技術(shù)人員,你該如何保護(hù)企業(yè)的網(wǎng)絡(luò)呢?下面我會(huì)介紹幾個(gè)簡單的步驟,幫助你實(shí)現(xiàn)一個(gè)具有主動(dòng)性的安全網(wǎng)絡(luò)。首先你需要開發(fā)一套安全策略,并強(qiáng)迫所有企業(yè)人員遵守這一規(guī)則。同時(shí),你需要屏蔽所有的移動(dòng)設(shè)備,并開啟無線網(wǎng)絡(luò)的加密功能以增強(qiáng)網(wǎng)絡(luò)的安全級別。為你的無線路由器打好補(bǔ)丁并確保防火墻可以正常工作是非常重要的。之后檢查系統(tǒng)漏洞,如果發(fā)現(xiàn)漏洞就立即用補(bǔ)丁或其它方法將其保護(hù)起來,這樣可以防止黑客利用這些漏洞竊取公司的資料,或者令你的網(wǎng)絡(luò)癱瘓。以下是各個(gè)步驟的實(shí)現(xiàn)細(xì)節(jié):
開發(fā)一個(gè)安全策略
實(shí)現(xiàn)良好的網(wǎng)絡(luò)安全總是以一個(gè)能夠起到作用的安全策略為開始的。就算這個(gè)安全策略只有一頁,公司的全體人員包括總經(jīng)理在內(nèi),都必須按照這個(gè)策略來執(zhí)行。基本的規(guī)則包括從指導(dǎo)員工如何建立可靠的密碼到業(yè)務(wù)連續(xù)計(jì)劃以及災(zāi)難恢復(fù)計(jì)劃(BCP和DRP)。比如,你應(yīng)該有針對客戶的財(cái)產(chǎn)和其它保密信息的備份策略,比如一個(gè)鏡象系統(tǒng),以便在災(zāi)難發(fā)生后可以迅速恢復(fù)數(shù)據(jù)。在有些情況,你的BCP和DRP也許需要一個(gè)“冷”或“熱”的站點(diǎn),以便當(dāng)災(zāi)難發(fā)生或者有攻擊時(shí)你可以快速將員工的工作重新定向到新的站點(diǎn)。執(zhí)行一個(gè)共同的安全策略也就意味著你向具有主動(dòng)性安全網(wǎng)絡(luò)邁出了第一步。
減少對安全策略的破壞
不論是有限網(wǎng)絡(luò),還是筆記本或者無線設(shè)備,都很有可能出現(xiàn)破壞安全策略的情況。很多系統(tǒng)沒有裝防病毒軟件、防火墻軟件,同時(shí)卻安裝了很多點(diǎn)對點(diǎn)的傳輸程序 (如Kazaa、Napster、Gnutella、BT、eMule等)以及即時(shí)消息軟件等,它們都是網(wǎng)絡(luò)安全漏洞的根源。因此,你必須強(qiáng)制所有的終端安裝反病毒軟件,并開啟Windows XP內(nèi)建的防火墻,或者安裝商業(yè)級的桌面防火墻軟件,同時(shí)卸載點(diǎn)對點(diǎn)共享程序以及亂七八糟的聊天軟件。
