【IT168 专稿】国庆节长假已经结束,大家或旅行、或居家休闲、或在家工作,而企业网络也渡过了一个信息安全的空白期,现在到了全方位总结保障企业网络安全关键因素的时候了。
互联网监察机构Zone-H发表的一份报告称,2004年全球共发生将近40万起网络攻击事件,较2003年增长36%,而调查发现在各种假期,当主流肇事者——学生们——坐在电脑前而不是教室里的时候,攻击网络的事件就会急剧增加。企业网络容易受到攻击的病毒或者恶意程序其作者很多都是学生,在国庆长假期间,他们又可以大显身手。虽然这些学生黑客并不一定有特定的商业目的,但是由于在假期公司可能没有专人留守维护网络,因此一旦企业网络出现漏洞遭到病毒或者黑客入侵,就可能给企业造成损失。
对国庆假期企业网络安全状况进行总结,只要从企业网络和员工电脑两个方面做好防范,就能保证在假期期间和假期结束之后企业网络正常运转。
(一) 企业网络应该注意的事项
长假期间企业网内虽然没有人上网,接触病毒和暴露漏洞的机会相对大大减少,但是企业网络的漏洞仍然可能会受到黑客和病毒的攻击。所以在假期开始前,企业要确保服务器、网络设备的防护并做好安全管理。
修补漏洞:作为企业网络安全方面的工作人员,要充分认识到网络存在漏洞可能给整个网络系统带来的巨大威胁。不但即时通信软件(IM)、邮件发送软件(outlook)、各种浏览器需要及时查找漏洞、及时修补,而且各种数据库、路由器和交换机也有必要做系统地检查、更新补丁程序。最近时期,由于存在漏洞而被蠕虫(worm)病毒攻击的情况时有发生,去年国庆长假期间就发生过一家电信运商的IP语音网络遭到蠕虫病毒攻击,而导致大规模的网络拥塞。
修改系统密码:定期修改密码是网络系统管理员应该具备的好习惯。一些黑客仅仅用穷举法就可以轻松获得某些系统的管理密码,而且有些密码破译程序可以在互联网上免费下载,能够一天24小时进行破解,很可能会获得系统管理帐号和密码。对付这些黑客,最好的办法就是经常修改密码,并且要尽可能把密码设定为9位以上,且同时使用大、小写字母和符号。所以,在假期到来前修改一下系统管理密码是相当有必要的。
制定应急预案:在假期前要有充分应对网络安全威胁的准备,对企业网络进行安全评估,制定相应的应急预案。企业在假期前应拟好一份应急预案,准备好各种预案措施,以防在网络安全事件发生时,按部就班地进行处理,同时必须确认所有员工充分了解应急预案的具体内容。紧急事件应变措施应说明当紧急事件发生时,应报告给谁知道?谁负责回应?谁做决策?而在准备计划时应包括情境模拟,此外,当网络环境或威胁有所改变时,也应立即审视计划,决定是否需要修正。
关闭假期不使用的系统:企业网络上往往同时运行着多个系统,从内部邮件、内部网站到ERP、OA等等,在一个网络上运行的系统越多就意味着可能遭受安全威胁越多。在假期,可能一些工作日运行的系统并不需要,比如公司内部网站、报销系统等等都可以关闭。这样也可以降低假期网络受到攻击而瘫痪的可能性。
系统安全备份:网络系统安全备份的目的在于最大限度降低企业网络风险,在系统发生灾难后,能提供一种简捷、有效的手段来恢复整个网络(不仅仅包含数据,而且包含系统参数,环境参数等)。目前硬件备份方案有磁盘镜像、磁盘阵列、双机安容错等,网络系统安全备份不等于简单的文件拷贝,因为系统的重要信息无法用拷贝的方法备份下来,而且管理也是备份的重要组成部分,没有管理功能的备份,不能算是真正意义的备份。在网络环境中,系统和应用程序安装起来并不是那么简单:必须找出所有的安装盘和原来的安装记录进行安装,然后重新设置各种参数、用户信息、权限等等,这个过程可能要持续好几天。简单的文件备份不足以及时处理系统灾难。网络系统安全备份与普通数据备份的不同在于它不仅备份系统中的数据,还备份网络中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速恢复整个网络。
(二) 员工应该注意的事项
在假期中,很多商务人士即便是在旅行中也不得不借助笔记本电脑、PDA等移动设备处理事务,因此员工在外出旅行或居家中应该注意以下问题,以保证移动设备回到企业网络中使用时不会对企业网络造成威胁,也不会泄漏公司的保密信息。
选择以太网方式连接到网络:以太网是有线方式连接的,它天生比Wi-Fi更安全。通过Wi-Fi连接,数据通常在没有加密的情况下通过空中在移动设备和酒店房间附近的AP之间进行连接和通信,这样即便是远在酒店外面停车场的黑客,也可以轻易的捕捉到信息。以太网方式连接并不如Wi-Fi连接那样危险,因为你的数据是通过线缆传输,也不那么容易被黑客接触到。无论采取哪种接入方式,当我们在线购物或者在线输入个人信息时一定要使用授信站点,使用安全的Email服务,并且在使用公司程序时使用VPN软件。
使用Wi-Fi连接到网络一定实施安全策略:通过Wi-Fi连接到网络这种情况尤其需要注意,因为通过公共Wi-Fi网络发送的数据通常是没有安全保护的。一般的公众Wi-Fi网络在你的移动设备和附近的AP之间并不提供加密保护,所以在个人笔记本电脑和个人通讯的服务器之间一定要采用端到端的加密措施,在进行Email认证和发送要经过SSL加密。如果不这样做,黑客就可以利用邮件在空中发送的过程中获取并阅读你的邮件。当访问公司的服务器或者使用公司的应用程序时,要在移动设备上使用VPN客户端软件。这种VPN客户端与公司服务器进行通信,并且在通信时进行端到端的加密。这样,黑客通过空中或者本地网络监测数据包的时候,破解出有用的信息是相当困难的。
在家办公也要注意安全:只要是使用互联网,个人的数据和信息安全就会受到威胁,无论是以太网还是Wi-Fi接入,都不要过分相信ISP。在使用Wi-Fi接入的家庭网络时,要在移动设备和路由器或AP之间使用可选的加密措施。如果可能,让你的WPA或者笔记本能够自动鉴权并且定期升级密匙。要指出的是WEP并不能像WPA一样安全,但是它总比什么也没有好。同时,给Wi-Fi路由器的管理登录界面分配一个用户名和密码,也可以阻止黑客来进行有利于他们的配置。此外,还可以停止SSID在Wi-Fi路由器的广播,并且人工在移动设备上进行设置而不是网络自动设置,这可以确保我们的邻居无法找到或者使用我们的网络。
在公共场所避免被别人看到或者听到有用信息:在公共场所,即使最严密的数据传输保密措施也不能阻止你身后的人在电脑屏幕上看到敏感的数据和信息,例如看到你键入的用户名和密码。所以要避免在公共场所中别人目光可触及你笔记本电脑屏幕的地方处理敏感的文件,一个好办法是降低屏幕的亮度,这样可以使别人看到你的屏幕更加困难,也会让笔记本电脑的电池供电更持久。当接听移动电话或者通过Wi-Fi接入的语音电话时,要控制说话的声音。因此,在能够保证电子邮件安全的前提下,如果可能尽量通过电子邮件发送敏感的数据而不是通过电话,要知道,电子邮件在大多数情况下比电话沟通更加有效率且成本低,特别与拨打长途电话相比的时候。
保护好丢失或被盗的移动设备中的数据和信息:最好的办法就是防止设备丢失,要像对待自己的皮夹和钱包那样对待我们的移动设备,让它一直在自己的视线中,最好是在自己的接触之中。为了在移动设备落在别人之手后能尽量减少麻烦,一定要使用电脑的密码保护功能。不要存储敏感的信息在移动设备上,比如用户名、密码、社会保险号码、银行账户号码或者信用卡号。有的公司内部系统有远程对终端的管理和删除功能,这样只要移动设备连接在网络上,管理者就能够远程毁坏移动设备中的数据和应用程序。另外也要确保数据和信息在另外的计算机或者服务器上备份,以应对移动设备永远丢失带来的问题。
定期更新防病毒软件和防火墙:一定要安装防病毒软件和防火墙,并且把软件升级到最新,这已经为几乎所有的人所认知,但是随着移动电话功能的逐渐强大和PDA的普及,越来越多的重要数据和信息从存储在里面,然而很多人在移动电话或者PDA上没有防病毒保护,而现在有很多病毒可以攻击移动电话和PDA,解决办法是马上安装相应的防病毒软件。当上网的时候一定要打开杀毒软件的所有监控功能才能防止病毒的传染,包括文件监控、邮件监控、网页监控、内存监控等等,千万不要为了减小资源消耗而关闭某些监控功能;玩网络游戏或使用网络银行、证券业务时要打开个人防火墙,防火墙可以隔绝病毒跟外界的联系,防止木马病毒盗窃资料。不要安装未经验证的软件,它是移动设备首要的病毒源;如果你收到一封来自不熟悉的公司或者个人的电子邮件,不要打开它,相反要删除它。
这些就是在长假结束之后对保障企业网络安全的总结,只要在企业网络和个人电脑两个方面多加防范,就可以最大限度地保证企业网络在假期和假期结束之后安全运转。