幾乎所有企業對於網絡安全的重視程度一下子提高了,紛紛采購防火牆等設備希望堵住來自Internet的不安全因素。然而,Intranet內部的攻擊和入侵卻依然猖狂。事實證明,公司內部的不安全因素遠比外部的危害更恐怖。
大多企業重視提高企業網的邊界安全,暫且不提它們在這方面的投資多少,但是大多數企業網絡的核心內網還是非常脆弱的。企業也對內部網絡實施了相應保護措施,如:安裝動辄數萬甚至數十萬的網絡防火牆、入侵檢測軟件等,並希望以此實現內網與Internet的安全隔離,然而,情況並非如此!企業中經常會有人私自以Modem撥號方式、手機或無線網卡等方式上網,而這些機器通常又置於企業內網中,這種情況的存在給企業網絡帶來了巨大的潛在威脅,從某種意義來講,企業耗費巨資配備的防火牆已失去意義。這種接入方式的存在,極有可能使得黑客繞過防火牆而在企業毫不知情的情況下侵入內部網絡,從而造成敏感數據洩密、傳播病毒等嚴重後果。實踐證明,很多成功防范企業網邊界安全的技術對保護企業內網卻沒有效用。於是網絡維護者開始大規模致力於增強內網的防衛能力。
下面給出了應對企業內網安全挑戰的10種策略。這10種策略即是內網的防御策略,同時也是一個提高大型企業網絡安全的策略。
1、注意內網安全與網絡邊界安全的不同
內網安全的威脅不同於網絡邊界的威脅。網絡邊界安全技術防范來自Internet上的攻擊,主要是防范來自公共的網絡服務器如HTTP或SMTP的攻擊。網絡邊界防范(如邊界防火牆系統等)減小了資深黑客僅僅只需接入互聯網、寫程序就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的黑客攻擊事件一般都會先控制局域網絡內部的一台Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開黑客防護措施,同時建立並加強內網防范策略。
2、限制VPN的訪問
虛擬專用網(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面操作系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位VPN用戶訪問內網的全部權限。這樣可以利用登錄控制權限列表來限制VPN用戶的登錄權限的級別,即只需賦予他們所需要的訪問權限級別即可,如訪問郵件服務器或其他可選擇的網絡資源的權限。
3、為合作企業網建立內網型的邊界防護
合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆,保護MS-SQL,但是Slammer蠕蟲仍能侵入內網,這就是因為企業給了他們的合作伙伴進入內部資源的訪問權限。由此,既然不能控制合作者的網絡安全策略和活動,那麼就應該為每一個合作企業創建一個DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。
4、自動跟蹤的安全策略
智能的自動執行實時跟蹤的安全策略是有效地實現網絡安全實踐的關鍵。它帶來了商業活動中一大改革,極大的超過了手動安全策略的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更,因此,安全策略也必須與相適應。例如實時跟蹤企業員工的雇傭和解雇、實時跟蹤網絡利用情況並記錄與該計算機對話的文件服務器。總之,要做到確保每天的所有的活動都遵循安全策略。
5、關掉無用的網絡服務器
大型企業網可能同時支持四到五個服務器傳送e-mail,有的企業網還會出現幾十個其他服務器監視SMTP端口的情況。這些主機中很可能有潛在的郵件服務器的攻擊點。因此要逐個中斷網絡服務器來進行審查。若一個程序(或程序中的邏輯單元)作為一個window文件服務器在運行但是又不具有文件服務器作用的,關掉該文件的共享協議。
6、首先保護重要資源
若一個內網上連了千萬台(例如30000台)機子,那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣,首先要對服務器做效益分析評估,然後對內網的每一台網絡服務器進行檢查、分類、修補和強化工作。必定找出重要的網絡服務器(例如實時跟蹤客戶的服務器)並對他們進行限制管理。這樣就能迅速准確地確定企業最重要的資產,並做好在內網的定位和權限限制工作。