当前的网络环境中,端点不安全会带来整网的威胁。在中小企业中,端点一般包括PC、笔记本电脑、手持设备及其它的特定设备。 服务器 或网关主管着集中化的安全软件,在必要时,还要验证终端用户登录,并向终端发送更新和补丁等。可以将端点安全看成是一种战略,其安全被分配到终端用户设备,但必须实施集中管理。端点安全系统往往以客户端/服务器模式运行。
选择一种端点安全解决方案:无论选择什么工具,都应当寻求对活动目录的本地支持,并且要能够支持你所拥有的设备类型。只有这样,才能更容易实施安全控制。
第一步是确认用户或工作站。一种简单而基本的方法是在活动目录中定义下面这两个组,一是工作站(笔记本/桌面),二是安全组(IT 管理员/用户/临时用户)。
当然,管理员可以根据需要定义其他的组,用以提供更精细的控制。
之后,需要阐述安全策略。本文中会谈到一些适用于中小企业的终端安全项目的制胜之道。作为用户,需要逐个检查这些方法,并将其整合为一套策略,使其可以协同工作,以便于提供最佳的保护和控制。
勿忘抵制病毒侵袭
1、至少每周执行一次扫描,最好在中午时间进行。至于笔记本电脑,在其每次连接到公司网络时,都应当激发并实施完全扫描。
2、在移动设备插入到系统中时,应当执行完全扫描。
3、每三小时执行一次反病毒签名的更新。
4、需要配置工作站,使其在内部服务器发生硬件或软件问题而导致反病毒服务器发生故障时,能够从反病毒厂商的公共服务器直接下载签名更新。
BYOD可以,控制不可少
1、公司内部必须禁用Wi-Fi。此规则还适用于所有的工作站、笔记本电脑和服务器。
2、为了阻止公司策略无法控制的通信,应当禁用modem、蓝牙及红外线等。
3、必须禁用USB key中的U3特性,因为它可用于虚假的光驱检测,使得恶意软件能够自动在工作站上运行。在浏览端点上的可移动设备时,U3 CD-ROM会被误认为是真实的光驱。
4、在将文件写入可移动设备时,要审计插入的所有设备并捕获所有的活动。这样,你就可以监视信息的提取,并监视USB设备的使用。使用这些信息,就可以根据你的发现设置另外的策略。
5、阻止从可移动设备和CD或DVD访问任何可执行的文件和脚本。这会阻止未知的漏洞被攻击者利用,从而防止恶意软件的运行。
6、对写在大容量可移动存储设备(如CD、DVD和USB备份卷)上的所有数据进行加密。
主机IPS和行为保护
1、键盘记录器保护:多数恶意软件都包括某种形式的键盘记录器引擎,借以恢复口令、信用卡号和其它的个人数据。一定要将键盘记录器的防护作为主机IPS策略的一部分。
2、网络监视:建立策略,使其可以监视任何企图访问网络的应用程序。未授权的连接有助于检测那些恶意软件进程。
3、Rootkit保护:使用Windows所加载的驱动程序的预定义白名单,你可以检测貌似合法的恶意软件,可以挫败其盗用驱动程序的硬件厂商或软件厂商授权证书进而实施罪恶行径的企图。
4、防止DLL(动态链接库)注入:恶意软件最喜欢的一种用来阻止反病毒产品将自己清除出去的技术,即将其自身注入到一个正在运行的动态链接库中。反病毒产品无法将已经加载的动态链接库清除或隔离。一般情况下,恶意软件会将其自身加载到winlogon.exe或explorer.exe等系统进程中。
5、使用入侵防御或行为保护的学习模式或测试模式应当成为一种强制要求。这样做可以防止一些似是而非的现象,而且有助于改善部署软件时的信任水平,特别是在涉及到更新或安装新的应用程序时,因为这通常是会导致假象的行动。
对缓冲区溢出的保护如今成为强制性要求。一个很好的例子是前些日子针对微软Windows和Adobe Acrobat的漏洞。须知,收到修复的时间可能要达一个月之久,而互联网上对漏洞的利用在几小时之内就可实现。
加强对应用程序的控制
网络罪犯会利用用户的操作系统。因为操作系统经常发生改变,其目的是为了支持合法的应用程序。因而,管理员必须保障Windows注册表的安全,只有这样才能防止恶意软件的自动加载。例如,恶意软件可注入到系统的DLL、Windows服务、驱动程序中。
应当防止应用程序将可执行文件或脚本复制到网络共享中。这会防止蠕虫在公司网络内的传播。
应当禁用敏感的应用程序(如财务软件)中“打印屏幕(Prt Scr)”以及“复制/粘贴”功能。
应当强化规则,仅准许特定的应用程序在远程服务器上存储文件。
安全水平不仅以当前登录的用户为基础,而且还依赖于用户的连接位置和连接环境。如果是笔记本电脑,根据其位置就应当存在着三种不同的策略水平:公司网络内部、公司网络外部、通过科学连接到互联网。可以阻止其它的连接类型,如试图通过不安全的Wi-Fi网络连接至互联网的企图。
为决定设备的位置,你需要一种能够检测被激活的网络接口所在位置的解决方案,还要能够收集该设备的IP信息(IP地址、DNS等),能够使用本地和网络的活动目录信息,以决定设备的类型、角色、组等。仅使用一台服务器来测试设备的位置是很危险的,因为如果服务器离线了,就再也无法得到合法的位置,并且所有的工作站无法连接到公司网络,因而就会按照一种错误的策略来运行。
注意网络访问的控制
为部署基本的NAC功能,802.1X可成为防止未授权工作站与公司网络建立连接的核心层。对于一个基于Windows的环境而言,实现这一点的最简单的方法是通过活动目录。
在部署了802.1x之后,下一步就是实施一个基于网络的NAC方案,如微软的NAP等。这一步骤会提供必要的机制,用于根据工作站的状态(是否感染恶意软件、客户机的系统等)来与VLAN建立连接。
最后,与NAC方案兼容的端点保护技术可以提升NAC的功能,因为端点代理除了有助于隔离、修复、控制工作站之外,还可提供工作站的深层次的健康状态。
网络安全涉及的内容有哪些?
为了保证企业信息的安全性,企业CIMS网至少应该采取以下几项安全措施:(1)数据加密/解密 数据加密的目的是为了隐蔽和保护具有一定密级的信息,既可以用于信息存储,也可以用于信息传输,使其不被非授权方识别。 数据解密则是指将被加密的信息还原。 通常,用于信息加密和解密的参数,分别称之为加密密钥和解密密钥。 对信息进行加密/解密有两种体制,一种是单密钥体制或对称加密体制(如DES),另一种是双密钥体制或不对称加密体制(如RSA)。 在单密钥体制中,加密密钥和解密密钥相同。 系统的保密性主要取决于密钥的安全性。 双密钥体制又称为公开密钥体制,采用双密钥体制的每个用户都有一对选定的密钥,一个是公开的(可由所有人获取),另一个是秘密的(仅由密钥的拥有者知道)。 公开密钥体制的主要特点是将加密和解密能力分开,因而可以实现多个用户加密的信息只能由一个用户解读,或者实现一个用户加密的消息可以由多个用户解读。 数据加密/解密技术是所有安全技术的基础。 (2)数字签名 数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充等问题。 它与手写签名不同,手写签名反映某个人的个性特征是不变的;而数字签名则随被签的对象而变化,数字签名与被签对象是不可分割的。 数字签名一般采用不对称加密技术(如RSA): 通过对被签对象(称为明文)进行某种变换(如文摘),得到一个值,发送者使用自己的秘密密钥对该值进行加密运算,形成签名并附在明文之后传递给接收者;接收者使用发送者的公开密钥对签名进行解密运算,同时对明文实施相同的变换,如其值和解密结果一致,则签名有效,证明本文确实由对应的发送者发送。 当然,签名也可以采用其它的方式,用于证实接收者确实收到了某份报文。 (3)身份认证 身份认证也称身份鉴别,其目的是鉴别通信伙伴的身份,或者在对方声称自己的身份之后,能够进行验证。 身份认证通常需要加密技术、密钥管理技术、数字签名技术,以及可信机构(鉴别服务站)的支持。 可以支持身份认证的协议很多,如Needham-schroedar鉴别协议、X.509鉴别协议、Kerberos鉴别协议等。 实施身份认证的基本思路是直接采用不对称加密体制,由称为鉴别服务站的可信机构负责用户的密钥分配和管理,通信伙伴通过声明各自拥有的秘密密钥来证明自己的身份。 (4)访问控制 访问控制的目的是保证网络资源不被未授权地访问和使用。 资源访问控制通常采用网络资源矩阵来定义用户对资源的访问权限;对于信息资源,还可以直接利用各种系统(如数据库管理系统)内在的访问控制能力,为不同的用户定义不同的访问权限,有利于信息的有序控制。 同样,设备的使用也属于访问控制的范畴,网络中心,尤其是主机房应当加强管理,严禁外人进入。 对于跨网的访问控制,签证(Visas)和防火墙是企业CIMS网络建设中可选择的较好技术。 (5)防病毒系统 计算机病毒通常是一段程序或一组指令,其目的是要破坏用户的计算机系统。 因此,企业CIMS网必须加强防病毒措施,如安装防病毒卡、驻留防毒软件和定期清毒等,以避免不必要的损失。 需要指出的是,病毒软件也在不断地升级,因此应当注意防毒/杀毒软件的更新换代。 (6)加强人员管理 要保证企业CIMS网络的安全性,除了技术上的措施外,人的因素也很重要,因为人是各种安全技术的实施者。 在CIMS网中,不管所采用的安全技术多么先进,如果人为的泄密或破坏,那么再先进的安全技术也是徒劳的。 因此,在一个CIMS企业中,必须制定安全规则,加强人员管理,避免权力过度集中。 这样,才能确保CIMS网的安全。
解决网络安全问题的主要途径和方法有哪些啊?
看你主要是解决哪一方面的网络安全问题了,如果是想要解决企业内的网络安全问题的,那实行起来还简单一点。比如用域之盾对企业内电脑进行一个网络安全方面的保护,具体操作如下:
访问网站控制:
可以统计到员工在上班期间通过浏览器访问了哪些网站,能够对这些网站进行详细的记录,可设置屏蔽该类型的网页等,以此来保护网络安全。
2.浏览网页审计:
聊天审计:
能够对员工电脑所使用的聊天软件进行一个内容审计,这么做的目的一是为了员工在上班期间能够正常工作,减少聊天时间,另一方面就是防止其通过QQ外发或接收一些文件,以此保证文件安全。
4.U盘管理:
可以禁止员工在企业内部电脑使用自带U盘的行为,只需设置禁止使用、仅读取权限就能够防止员工拷贝电脑资料和将带有病毒的U盘文件拷贝到电脑,从而降低网络安全的威胁。
5.应用程序审计:
可禁止员工在电脑下载新的应用程序,这就能够保证员工电脑不会出现来自软件下载携带病毒的威胁,还能够对员工使用应用的情况进行实时的记录保存。
6.文件加密:
可对企业内部电脑文件进行全盘加密或透明加密,加密之后的文件在电脑能够正常打开,外发的时候需要管理端审批才能进行外发,否则外发文件就会出现乱码的情况,这样做的目的也能够保证文件的安全性。
如何保护DNS服务器?
DNS解析是Internet绝大多数应用的实际定址方式;它的出现完美的解决了企业服务与企业形象结合的问题,企业的DNS名称是Internet上的身份标识,是不可重覆的唯一标识资源,Internet的全球化使得DNS名称成为标识企业的最重要资源。
1.使用DNS转发器
DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。 使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益。
使用DNS转发器的另一个好处是它阻止了DNS服务器转发来自互联网DNS服务器的查询请求。 如果你的DNS服务器保存了你内部的域DNS资源记录的话, 这一点就非常重要。 不让内部DNS服务器进行递归查询并直接联系DNS服务器,而是让它使用转发器来处理未授权的请求。
2.使用只缓冲DNS服务器
只缓冲DNS服务器是针对为授权域名的。 它被用做递归查询或者使用转发器。 当只缓冲DNS服务器收到一个反馈,它把结果保存在高速缓存中,然后把 结果发送给向它提出DNS查询请求的系统。 随着时间推移,只缓冲DNS服务器可以收集大量的DNS反馈,这能极大地缩短它提供DNS响应的时间。
把只缓冲DNS服务器作为转发器使用,在你的管理控制下,可以提高组织安全性。 内部DNS服务器可以把只缓冲DNS服务器当作自己的转发器,只缓冲 DNS服务器代替你的内部DNS服务器完成递归查询。 使用你自己的只缓冲DNS服务器作为转发器能够提高安全性,因为你不需要依赖你的ISP的DNS服务 器作为转发器,在你不能确认ISP的DNS服务器安全性的情况下,更是如此。
3.使用DNS广告者(DNS advertisers)
DNS广告者是一台负责解析域中查询的DNS服务器。
除DNS区文件宿主的其他DNS服务器之外的DNS广告者设置,是DNS广告者只回答其授权的域名的查询。 这种DNS服务器不会对其他DNS服务器进行递归 查询。 这让用户不能使用你的公共DNS服务器来解析其他域名。 通过减少与运行一个公开DNS解析者相关的风险,包括缓存中毒,增加了安全。
4.使用DNS解析者
DNS解析者是一台可以完成递归查询的DNS服务器,它能够解析为授权的域名。 例如,你可能在内部网络上有一台DNS服务器,授权内部网络域名服务器。 当网络中的客户机使用这台DNS服务器去解析时,这台DNS服务器通过向其他DNS服务器查询来执行递归 以获得答案。
DNS服务器和DNS解析者之间的区别是DNS解析者是仅仅针对解析互联网主机名。 DNS解析者可以是未授权DNS域名的只缓存DNS服务器。 你可以让DNS 解析者仅对内部用户使用,你也可以让它仅为外部用户服务,这样你就不用在没有办法控制的外部设立DNS服务器了,从而提高了安全性。 当然,你也 可以让DNS解析者同时被内、外部用户使用。
5.保护DNS不受缓存污染
DNS缓存污染已经成了日益普遍的问题。 绝大部分DNS服务器都能够将DNS查询结果在答复给发出请求的主机之前,就保存在高速缓存中。 DNS高速缓存 能够极大地提高你组织内部的DNS查询性能。 问题是如果你的DNS服务器的高速缓存中被大量假的DNS信息“污染”了的话,用户就有可能被送到恶意站点 而不是他们原先想要访问的网站。
绝大部分DNS服务器都能够通过配置阻止缓存污染。 WindowsServer 2003 DNS服务器默认的配置状态就能够防止缓存污染。 如果你使用的是Windows 2000 DNS服务器,你可以配置它,打开DNS服务器的Properties对话框,然后点击“高级”表。 选择“防止缓存污染”选项,然后重新启动DNS服务器。
6.使DDNS只用安全连接
很多DNS服务器接受动态更新。 动态更新特性使这些DNS服务器能记录使用DHCP的主机的主机名和IP地址。 DDNS能够极大地减
轻DNS管理员的管理费用 ,否则管理员必须手工配置这些主机的DNS资源记录。
然而,如果未检测的DDNS更新,可能会带来很严重的安全问题。 一个恶意用户可以配置主机成为台文件服务器、Web服务器或者数据库服务器动态更新 的DNS主机记录,如果有人想连接到这些服务器就一定会被转移到其他的机器上。
你可以减少恶意DNS升级的风险,通过要求安全连接到DNS服务器执行动态升级。 这很容易做到,你只要配置你的DNS服务器使用活动目录综合区 (Active Directory Integrated Zones)并要求安全动态升级就可以实现。 这样一来,所有的域成员都能够安全地、动态更新他们的DNS信息。
7.禁用区域传输
区域传输发生在主DNS服务器和从DNS服务器之间。 主DNS服务器授权特定域名,并且带有可改写的DNS区域文件,在需要的时候可以对该文件进行更新 。 从DNS服务器从主力DNS服务器接收这些区域文件的只读拷贝。 从DNS服务器被用于提高来自内部或者互联网DNS查询响应性能。
然而,区域传输并不仅仅针对从DNS服务器。 任何一个能够发出DNS查询请求的人都可能引起DNS服务器配置改变,允许区域传输倾倒自己的区域数据 库文件。 恶意用户可以使用这些信息来侦察你组织内部的命名计划,并攻击关键服务架构。 你可以配置你的DNS服务器,禁止区域传输请求,或者仅允 许针对组织内特定服务器进行区域传输,以此来进行安全防范。
8.使用防火墙来控制DNS访问
防火墙可以用来控制谁可以连接到你的DNS服务器上。 对于那些仅仅响应内部用户查询请求的DNS服务器,应该设置防火墙的配置,阻止外部主机连接 这些DNS服务器。 对于用做只缓存转发器的DNS服务器,应该设置防火墙的配置,仅仅允许那些使用只缓存转发器的DNS服务器发来的查询请求。 防火墙策略设置的重要一点是阻止内部用户使用DNS协议连接外部DNS服务器。
9.在DNS注册表中建立访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的注册表中设置访问控制,这样只有那些需要访问的帐户才能够阅读或修改这些注册表设置。
HKLM\CurrentControlSet\Services\DNS键应该仅仅允许管理员和系统帐户访问,这些帐户应该拥有完全控制权限。
10.在DNS文件系统入口设置访问控制
在基于Windows的DNS服务器中,你应该在DNS服务器相关的文件系统入口设置访问控制,这样只有需要访问的帐户才能够阅读或修改这些文件。
发表评论