目前先进的网络安全设备在阻止网络恶人入侵你的企业方面做了极好的工作。但是,当网络恶人确实进入到你的安全环境中的时候,你要做什么呢?遗憾的是世界上的所有手段对于目前最恶毒的网络恶人都没有多少效果。以下是你的网络可能被从内部攻破的10个途径,以及你能够采取什么措施来保证企业 服务器 的安全。
1. 优盘。 不管你是否相信,优盘实际上是你能够从防火墙内部感染一个网络的常用方法,如果不是最常用的方法的话。这有许多理由:优盘价格便宜,体积小、存储许多数据并且能够在多种设备之间使用。优盘的普遍应用促使黑客开发出一种有针对性的恶意软件,如臭名昭著的Conficker蠕虫。这种蠕虫能够在连接到USB端口的时候自动执行。更严重的是默认的操作系统设置一般都允许大多数程序(包括恶意程序)自动运行。这相当于你的邻居每一个人都有一把你的电子车库门的钥匙,并且利用这个钥匙打开其他人的车库门。
怎么办:修改计算机默认的自动运行政策。你在这里可以找到在Windows环境中如何去做的资料。网址是:#p#
2. 笔记本电脑和上网本:
笔记本电脑是一种考虑周到的便携式设备,包含完整的操作系统,能够使用内置电池工作并且配置了以太网端口可以直接连接到一个网络。此外,笔记本电脑中也许已经有了在后台运行的恶意代码,其任务是寻找网络和发现其它可供感染的系统。这台笔记本电脑也许属于一个内部的员工或者属于一个从开放的办公室来访或者工作的客户。
除了被感染的笔记本电脑破坏内部网络之外,重要的是要考虑这些笔记本电脑本身的问题。所有的公司都拥有绝对不允许带出办公楼的敏感资料(如工资信息、医疗记录、家庭地址、电话号码和社会安全保险号码等)。当这些信息存储在没有安全措施的便携式电脑中的时候,那是很危险的,因为便携式电脑很容易带出去。我们看到过许多存储了敏感数据的笔记本电脑丢失的例子。除非这个笔记本电脑使用一种严格的加密算法,否则,任何文件系统的数据都是很容易恢复的。
怎么办:对于敏感的数据采用一个加密的文件系统。有许多现成的解决方案可供选择,还有开源软件解决方案,如TrueCrypt。对于进出内部系统的端点实施控制也是重要的。虚拟专用网、DV和WiFi接入等敏感信息不应该永久性地存储在笔记本电脑或者上网本等设备上。#p#
3. 无线接入点: 无线接入点为这个网络附近的任何用户提供直接的连接。攻击驾驶员(驾驶汽车搜索没有安全保护措施的WiFi网络的人)实施的无线攻击是很常见的并且曾造成重大损失。Marshalls和TJMaxx公司的东家TJ Stores曾经遭受过使用这种方式进行的攻击。入侵者侵入了这家公司处理和存储客户交易数据的计算机系统 。这些交易数据包括客户的信用卡、借记卡、支票和退货交易等信息。据报道,这次入侵使TJ Stores商店的损失超过了5亿美元。
无线接入点本身是不安全的,无论是否使用加密措施都是如此。无线加密协议等协议都包含已知的安全漏洞,使用Aircrack等攻击框架就很容易攻破。如果不使用强口令,WPA(无线保护接入)和WPA2等更安全的协议也容易受到字典攻击。
怎么办:建议使用带RADIUS(远程认证拨入用户服务协议)的WPA2企业版以及能够进行身份识别和强制执行安全措施的接入点。应该使用强混合口令并且不断地更换口令。一般来说,无线接入点只是为了连接方便,因此,通常没有必要把无线接入点连接到工作环境。#p#
4. 各种各样的USB接口设备: 优盘并不是IT部门需要担心的唯一的USB接口设备。许多设备都能够把数据存储到普通的文件系统中并且通过一个USB接口或者类似的连接进行读写。由于这不是这些设备的主要功能,这些设备通常被忘记是一种潜在的威胁。事实是,如果一个端点能够从这个设备上读取和执行数据,这种设备就能够同优盘一样造成威胁。这些设备包括数码相机、MP3播放机、打印机、扫描仪、传真机、甚至还有数码相框。在2008年,百思买报告称,他们在圣诞节销售的Insignia数码相框中发现了一种病毒。这种病毒直接来自于厂商。
怎么办:实施和强制执行资产控制和政策,规定什么设备可以进入这个环境以及什么时候可以进入这个环境。然后,定期使用政策提醒程序检测这些政策的执行情况。2008年,美国国防部制定了一些政策,禁止优盘和其它可移动介质进/出他们的环境。#p#
5. 内部连接: 公司内部员工也可能意外地或者故意地进入他们不会或者不应该接入的网络,使用本文介绍的一些手段破坏端点。也许一位员工在同事吃午饭的时候“借用”那个同事的电脑。也许一位员工让一位同事帮助他访问他无权访问的网络中的一个区域。
怎么办:应该经常改变口令。为员工规定身份识别和接入等级是必须的。他应该只有访问系统、文件共享等权限。任何特殊的要求应该呈报给有权批准这个请求的团队(而不是有权的一个用户)。#p#
6特洛伊人: 同特洛伊木马一样,特洛伊人以某种伪装的方式进入企业。他可能身穿工作服或者穿着合法的维修工的服装。这类骗子曾经进入过许多非常保密的环境,包括服务器机房等。根据我们自己的社交经验,我们一般不会阻止或者询问在我们的办公环境中的不认识的身穿工作服的人。一个员工也许不会认真思考一下就刷自己的入门卡让一个身穿工作服的人进入他们的环境提供服务。一个无人监视的人不用1分钟就能进入服务器机房去感染整个网络。
怎么办:应该提醒员工有关授权第三方进入的事情。要通过询问一些问题来确定来人的身份,不要通过推测。#p#
7. 光盘: 在2010年6月,一个陆军情报分析师被指控窃取并且在公网上泄露保密数据而被逮捕。知情人士说,这位分析师是使用一张伪装成流行歌手CD的光盘把数据带出去的。一旦他进入一台网络工作站,他就能访问到他有权访问的机密信息并且把数据以加密的方式存储在他的“音乐”CD盘中。为了掩人耳目,这个分析师在使用工作站的时候还会假唱假装存储在CD盘中的歌曲。表面上合法的可记录介质能够用来拷贝数据进出网络。同上面提到的优盘一样,光盘也是网络感染的一个原因。
怎么办:同优盘的技巧一样,重要的是实施和强制执行资产控制和政策,规定什么设备什么时候可以进入这个环境。然后,定期使用政策提醒程序跟踪执行情况。#p#
8. 事后诸葛亮: 虽然这个列表重点介绍缓解利用数字技术的威胁,但是,我们不应该忘记人类的大脑在存储信息方面也是非常有效的。当你登录你的笔记本电脑的时候谁在注意你?你的复印件存储在什么地方?你在咖啡厅、机场等地方在笔记本电脑上阅读了什么保密的文件?
怎么办:最好的防御措施是只要操作敏感的数据就要谨慎并且对这种威胁保持警惕,你甚至要立即停下来观察你的周围环境。#p#
9. 智能手机和其它数字设备: 现在,手机除了让你给世界各地的人打电话之外还能做更多的事情。智能手机是功能齐全的计算机,配置了WiFi连接、多线程操作系统、大存储容量、高分辨率摄像头和大量的应用程序支持。与其它便携式平板电脑一样,智能手机开始获准在企业中使用。智能手机能够引起上面所说的优盘和笔记本电脑引起的同样的威胁。而且,智能手机有可能避开传统的数据泄漏保护解决方案。如何阻止一个用户拍摄计算机显示屏的高清照片并且通过手机的3G网络用电子邮件把这个照片发出去?
怎么办:这里适用针对USB设备和光盘的同样的规则。实施和强制执行资产控制和政策,规定什么设备什么时候可以进入这个环境。#p#
10. 电子邮件: 电子邮件是企业收发数据中经常使用的方法。然而,电子邮件经常被滥用。包含保密信息的邮件很容易发送到外部目标。此外,电子邮件本身也可能携带病毒。一个有针对性的电子邮件可能是为了窃取一个员工的访问证书。这些窃取的证书可以在第二阶段的攻击中使用。
【编辑推荐】
通讯网络的安全隐患有哪些
Internet的前身是APPANET,而APPNET最初是为军事机构服务的,对网络安全的关注较少。 在进行通信时,Internet用户的数据被拆成一个个数据包,然后经过若干结点辗转传递到终点。 在Internet上,数据传递是靠TCP/IP实现的。 但是TCP/IP在传递数据包时,并未对其加密。 换言之,在数据包所经过的每个结点上,都可直接获取这些数据包,并可分析、存储之。 如果数据包内含有商业敏感数据或个人隐私信息,则任何人都可轻易解读。 几种常见的盗窃数据或侵入网络的方法:1.窃听(Eavesdropping)最简易的窃听方式是将计算机连入网络,利用专门的工具软件对在网络上传输的数据包进行分析。 进行窃听的最佳位置是网络中的路由器,特别是位于关卡处的路由器,它们是数据包的集散地,在该处安装一个窃听程序,可以轻易获取很多秘密。 2.窃取(Spoofing)这种入侵方式一般出现在使用支持信任机制网络中。 在这种机制下,通常,用户只需拥有合法帐号即可通过认证,因此入侵者可以利用信任关系,冒充一方与另一方连网,以窃取信息3.会话窃夺(Spoofing)会话劫夺指入侵者首先在网络上窥探现有的会话,发现有攻击价值的会话后,便将参与会话的一方截断,并顶替被截断方继续与另一方进行连接,以窃取信息。 4.利用操作系统漏洞任何操作系统都难免存在漏洞,包括新一代操作系统。 操作系统的漏洞大致可分为两部分:一部分是由设计缺陷造成的。 包括协议方面的、网络服务方面的、共用程序库方面的等等。 另一部分则是由于使用不得法所致。 这种由于系统管理不善所引发的漏洞主要是系统资源或帐户权限设置不当。 5.盗用密码盗用密码是最简单和狠毒的技巧。 通常有两种方式: 密码被盗用,通常是因为用户不小心被他人“发现”了。 而“发现”的方法一般是“猜测”。 猜密码的方式有多种,最常见的是在登录系统时尝试不同的密码,系统允许用户登录就意味着密码被猜中了 另一种比较常见的方法是先从服务器中获得被加密的密码表,再利用公开的算法进行计算,直到求出密码为止,这种技巧最常用于Unix系统6.木马、病毒、暗门 计算机技术中的木马,是一种与计算机病毒类似的指令集合,它寄生在普通程序中,并在暗中进行某些破坏性操作或进行盗窃数据。 木马与计算机病毒的区别是,前者不进行自我复制,即不感染其他程序 暗门(trapdoor)又称后门(backdoor),指隐藏在程序中的秘密功能,通常是程序设计者为了能在日后随意进入系统而设置的 病毒是一种寄生在普通程序中、且能够将自身复制到其他程序、并通过执行某些操作,破坏系统或干扰系统运行的“坏”程序。 其不良行为可能是悄悄进行的,也可能是明目张胆实施的,可能没有破坏性,也可能毁掉用户几十年的心血。 病毒程序除可从事破坏活动外,也可能进行间谍活动,例如,将服务器内的数据传往某个主机等7.隐秘通道安装防火墙、选择满足工业标准的的安全结构、对进出网络环境的存储媒体实施严格管制,可起到一定的安全防护作用,但仍然不能保证绝对安全
怎样有效防范局域网入侵方法?
(1)增加安全意识 杜绝病毒,主观能动性起到很重要的作用。 病毒的蔓延,经常是由于企业内部员工对病毒的传播方式不够了解,病毒传播的渠道有很多种,可通过网络、物理介质等。 查杀病毒,首先要知道病毒到底是什么,它的危害是怎么样的,知道了病毒危害性,提高了安全意识,杜绝毒瘤的战役就已经成功了一半。 平时,企业要从加强安全意识着手,对日常工作中隐藏的病毒危害增加警觉性,如安装一种大众认可的网络版杀毒软件,定时更新病毒定义,对来历不明的文件运行前进行查杀,每周查杀一次病毒,减少共享文件夹的数量,文件共享的时候尽量控制权限和增加密码等,都可以很好地防止病毒在网络中的传播。 (2)小心邮件 随着网络的普及,电子信箱成了人们工作中不可缺少的一种媒介。 它方便快捷在提高了人们的工作效率的同时,也无意之中成为了病毒的帮凶。 有数据显示,如今有超过90%的病毒通过邮件进行传播。 尽管这些病毒的传播原理很简单,但这块决非仅仅是技术问题,还应该教育用户和企业,让它们采取适当的措施。 只要用户随时小心警惕,不要打开值得怀疑的邮件,就可把病毒拒绝在外。 (3)挑选网络版杀毒软件 选择一个功力高深的网络版病毒“杀手“就至关重要了。 一般而言,查杀是否彻底,界面是否友好、方便,能否集中管理是决定一个网络杀毒软件的三大要素。
网络漏洞怎么弥补
及时打上安全补丁 最大限度弥补网络漏洞 天补卫士,占据网络漏洞制高点如何让网络内部主机系统能够及时打上补丁,最大限度的弥补网络漏洞,提供一个安全的网络运行环境?国内网络安全厂商天行网安公司是国内第一款自主知识产权安全隔离网闸的发明者,有深厚的网络安全行业背景。 其产品天补卫士(Topwalk-PMS)采用软硬件一体的设计,在实现系统补丁管理的同时,偏重系统安全,首次在补丁管理产品上提出软件资产安全评估功能。 系统设计上遵循“积极防御”的技术理念,在内部构成一个闭环的运行体系结构,确保内部网络系统的安全性能够得到持续性加强:获取补丁——>补丁验证——>计算机信息收集——>基线检测——>补丁分发——>统计分析——>安全评估,然后进入下一个循环。 管理员可根据需要定制自动的补丁管理策略。 如:根据对客户端的系统以及软件情况的分析,进行补丁定制下载,并对计算机进行分组管理、安装相应业务敏感补丁。 天补卫士补丁管理与智能评估系统是网络管理员对微软系列产品补丁管理的理想工具,它可以完全覆盖补丁管理全过程。 适合政府、电信、金融、证券等大中型企业,是解决大型组织、企业补丁管理问题的最佳方案,可以及时全网打补丁、杜绝70%-80%的病毒侵害、掌握全局补丁基线水平、估量安全状况、统计报告、减少补丁流量、减少对正常工作时间的占用,很大程度上提高了效率。
发表评论