七个技巧 助网管提升企业安全防护能力
2009-10-13 赛迪网 编辑:光迹
正当那些金融分析师们争论我们是否已经进入了全球经济衰退期的时候,现实中的我们却需要直面经济大幅度萎缩。较之以往,人们为了保住现有的好工作要付出更多。
在此状况下,大多数业内专家都对未来进行了预测。不过可想而知,这些预测结果对IT业界来讲称不上是一个好消息——全球经济步入衰退期,用户将尽可能地压缩费用,其中包括在IT领域的投资。
无疑企业会要求我们的每一个员工都力争做到少花钱多办事。谁能帮助企业在确保企业资金有效利用的同时提升整体其安全性,谁就会成为这个企业的英雄。
可能有很多人已经厌倦了我这样的说教,但我还是想就安全问题再次建议:企业运维人员要么花费更多的精力做一些更为基础性的工作来夯实企业安全的基石;要么花费更多的金钱获取那些所谓的具有先进性的安全防御设备,而这些设备的防御效果却未得到证实。选择前者无疑要比选择后者更实用一些。
那么哪些是基础性工作呢?
梳理企业IT资产
在与很多企业运维人员进行交流时,有一个现象让笔者惊诧不已——很多公司对自身的IT资产(包括硬件和软件)没有一个准确的库存清单。
试想一下,假如你连一个IT设备是否存在于你的单位中,你又怎么能觉得是否对这个设备制定有效的保护计划呢?因此对企业IT资产实施清理,做到心中有数,是企业提升安全防护能力的首要条件。当然这里所谓的IT资产不仅是那些硬件设备,还包括贵公司已安装的所有软件和服务。
删除不必要的软件和服务
每安装一个软件程序或者使用一种服务无疑就给黑客提供了一个入侵的潜在机会。如果你确认这些软件或者服务对你的公司没有什么必要的话,建议你请这些没有必要的服务项禁用,并将用不到的软件卸载。这无疑可以大大减少企业网络终端设备被流氓软件等恶意程序操控的机会。
准备漏洞修补清单
为了以后维护升级和修补漏洞方便,你需要准备一份清单。这份清单所包含的内容最大特点是它们年年都需要经常性地进行补丁升级。这份清单应该包括贵公司使用的操作系统文件及版本信息、大型的应用系统软件、浏览器加载项以及固件等;除了软件之外,还应该包括安全设备,如防火墙、反垃圾邮件设备等需要策略升级的硬件产品;甚至还要包括一些智能电子设备,即贵公司购买的具有嵌入式操作系统的设备。
你单位购买的复印件或者是多功能打印机,假若这些设备可以利用浏览器进行访问控制的话,那么就意味着这些设备是在运行Web服务器,它们无疑也要列入清单之中。
剔除“僵尸”账户
对活动账户进行审查,删除那些不常用的。请确保这些保留下来的账户,其权限是业务所必需的,不需要的权限则要一律禁止。针对现有的程序,你需要进行一次系统的清理:这些系统运行之后,你就会发现用户的权限,并发现哪些用户得到了不应该赋予的权利。
同时,你还要提醒这些账户的使用者注意密码的安全性问题。安全的密码首先要具有一定的长度(10个或更多字符长);其次要有一定的时效限制,即密码期限最长不要超过90天。最后就是,要禁止用户使用弱口令(如123、abc等),建议他们使用更加安全的口令。
巧妙利用免费工具软件
可以利用一些免费小工具来查找网络设备中的密码,这样,你就可以检查企业内部网络中的各种设备是否使用的是默认密码,从而将这些使用出厂密码设置的设备进行密码更改。
保护好单位的无线网络
目前很多企业网管都在找各种各样的借口,不使用WPA2、802.11i、802.1x等能对无线网络起到一定安全保护作用的网络协议。需要注意的是,这里提到的无线网络不仅是公司内部使用的无线网络,也包括给到访客户使用的无线网络。这两者都应该得到有效防护。
为了更好的保护公司的无线网络,你还应该要用无线网络终端用户关闭Ad Hoc网络(原来是一种分布式的无线网络,与靠路由器转发数据包的有线网络和靠AP来转发数据包的无线网络不同,任何一个节点都可以为其它的节点转发数据包)功能。
另外,你还可以利用一些安全的管理工具对网络内的电脑实施强制性的安全政策。
记住,IT运维工作需要的更聪明,而不是更辛苦。
安全记录挖掘提早发现隐患
最后,对相关安全记录进行智能分析和数据挖掘,以找到你真正关注的关键事件点。
研究表明,一些企业虽然购买了昂贵入侵检测设备,并从这些设备上获得了全面的安全日子,但由于运维人员对这些日志重视程度不够,导致安全事故在萌芽阶段没有被及时发现,以至于事故后果严重。
现在无论你是一个大型用户的信息安全管理人员,还是一个小企业的网管,都应该知道你们公司信息安全的薄弱环节是在贵公司网络的安全防御系统上。在目前经济情况下,将这些薄弱环节夯实,将安全漏洞堵住,等到经济好转之时,相信贵公司会取得更大的成功。