网络安全 频道

经济低潮中 网管更应筑好安全堡垒

    那么哪些是基础性工作呢?

    梳理企业IT资产 在与很多企业运维人员进行交流时,有一个现象让笔者惊诧不已——很多公司对自身的IT资产(包括硬件和软件)没有一个准确的库存清单。试想一下,假如你连一个IT设备是否存在于你的单位中,你又怎么能觉得是否对这个设备制定有效的保护计划呢?因此对企业IT资产实施清理,做到心中有数,是企业提升安全防护能力的首要条件。当然这里所谓的IT资产不仅是那些硬件设备,还包括贵公司已安装的所有软件和服务。

    删除不必要的软件和服务 每安装一个软件程序或者使用一种服务无疑就给黑客提供了一个入侵的潜在机会。如果你确认这些软件或者服务对你的公司没有什么必要的话,建议你请这些没有必要的服务项禁用,并将用不到的软件卸载。这无疑可以大大减少企业网络终端设备被流氓软件等恶意程序操控的机会。

    准备漏洞修补清单 为了以后维护升级和修补漏洞方便,你需要准备一份清单。这份清单所包含的内容最大特点是它们年年都需要经常性地进行补丁升级。这份清单应该包括贵公司使用的操作系统文件及版本信息、大型的应用系统软件、浏览器加载项以及固件等;除了软件之外,还应该包括安全设备,如防火墙、反垃圾邮件设备等需要策略升级的硬件产品;甚至还要包括一些智能电子设备,即贵公司购买的具有嵌入式操作系统的设备。你单位购买的复印件或者是多功能打印机,假若这些设备可以利用浏览器进行访问控制的话,那么就意味着这些设备是在运行Web服务器,它们无疑也要列入清单之中。

    剔除“僵尸”账户 对活动账户进行审查,删除那些不常用的。请确保这些保留下来的账户,其权限是业务所必需的,不需要的权限则要一律禁止。针对现有的程序,你需要进行一次系统的清理:这些系统运行之后,你就会发现用户的权限,并发现哪些用户得到了不应该赋予的权限。

    同时,你还要提醒这些账户的使用者注意密码的安全性问题。安全的密码首先要具有一定的长度( 10个或更多字符长);其次要有一定的时效限制,即密码期限最长不要超过90天。最后就是,要禁止用户使用弱口令(如123、abc等),建议他们使用更加安全的口令。(见《弱口令就是这样出炉的》

    巧妙利用免费工具软件 由午夜研究实验室研发的Depant,是个不错的免费小工具,它利用Nmap、Hydra以及互联网上最流行的默认密码列表来查找网络设备中的密码。这样,你就可以检查企业内部网络中的各种设备是否使用的是默认密码,从而将这些使用出厂密码设置的设备进行密码更改。此工具设计原理非常的简单,实用性却更让人惊讶,其效果十分明显。我们真的应该感谢午夜研究实验室。

    保护好单位的无线网络 目前很多企业网管都在找各种各样的借口,不使用WPA2、802.11i、802.1x等能对无线网络起到一定安全保护作用的网络协议。需要注意的是,这里提到的无线网络不仅是公司内部使用的无线网络,也包括给到访客户使用的无线网络。这两者都应该得到有效防护。

    为了更好的保护公司的无线网络,你还应该要用无线网络终端用户关闭Ad Hoc网络(原来是一种分布式的无线网络,与靠路由器转发数据包的有线网络和靠AP来转发数据包的无线网络不同,任何一个节点都可以为其它的节点转发数据包)功能。另外,你还可以利用一些安全的管理工具对网络内的电脑实施强制性的安全政策。

    记住,IT运维工作需要的更聪明,而不是更辛苦。

    安全记录挖掘提早发现隐患 最后,对相关安全记录进行智能分析和数据挖掘,以找到你真正关注的关键事件点。研究表明,一些企业虽然购买了昂贵入侵检测设备,并从这些设备上获得了全面的安全日子,但由于运维人员对这些日志重视程度不够,导致安全事故在萌芽阶段没有被及时发现,以至于事故后果严重。

    现在无论你是一个大型用户的信息安全管理人员,还是一个小企业的网管,都应该知道你们公司信息安全的薄弱环节是在贵公司网络的安全防御系统上。在目前经济情况下,将这些薄弱环节夯实,将安全漏洞堵住,等到经济好转之时,相信贵公司会取得更大的成功。

0
相关文章