返回列表 回復 發帖

網路系統管理員十大內網安全性原則介紹

網路系統管理員十大內網安全性原則介紹
    1、限制VPN的訪問  
  虛擬私人網路(VPN)用戶的訪問對內網的安全造成了巨大的威脅。因為它們將弱化的桌面作業系統置於企業防火牆的防護之外。很明顯VPN用戶是可以訪問企業內網的。因此要避免給每一位VPN使用者訪問內網的全部許可權。這樣可以利用登錄控制許可權列表來限制VPN用戶的登錄許可權的級別,即只需賦予他們所需要的存取權限級別即可,如訪問郵件伺服器或其他可選擇的網路資源的許可權。
  2、注意內網安全與網路邊界安全的不同    
     內網安全的威脅不同於網路邊界的威脅。網路邊界安全技術防範來自Internet上的攻擊,主要是防範來自公共的網路服務器如HTTP或SMTP的攻擊。網路邊界防範(如邊界防火牆系統等)減小了資深駭客僅僅只需接入互聯網、寫程式就可訪問企業網的幾率。內網安全威脅主要源於企業內部。惡性的駭客攻擊事件一般都會先控制區域網路內部的一台Server,然後以此為基地,對Internet上其他主機發起惡性攻擊。因此,應在邊界展開駭客防護措施,同時建立並加強內網防範策略。  
  3、自動跟蹤的安全性原則  
  智慧的自動執行即時跟蹤的安全性原則是有效地實現網路安全實踐的關鍵。它帶來了商業活動中一大改革,極大的超過了手動安全性原則的功效。商業活動的現狀需要企業利用一種自動檢測方法來探測商業活動中的各種變更,因此,安全性原則也必須與相適應。例如即時跟蹤企業員工的雇傭和解雇、即時跟蹤網路利用情況並記錄與該電腦對話的檔案伺服器。總之,要做到確保每天的所有的活動都遵循安全性原則。  
  4、為合作企業網建立內網型的邊界防護  
  合作企業網也是造成內網安全問題的一大原因。例如安全管理員雖然知道怎樣利用實際技術來完固防火牆,保護MS-SQL,但是Slammer蠕蟲仍能侵入內網,這就是因為企業給了他們的合作夥伴進入內部資源的存取權限。由此,既然不能控制合作者的網路安全性原則和活動,那麼就應該為每一個合作企業創建一個DMZ,並將他們所需要訪問的資源放置在相應的DMZ中,不允許他們對內網其他資源的訪問。  

  5、關掉無用的網路服務器
  大型企業網可能同時支持四到五個伺服器傳送e-mail,有的企業網還會出現幾十個其他伺服器監視SMTP埠的情況。這些主機中很可能有潛在的郵件伺服器的攻擊點。因此要逐個中斷網路服務器來進行審查。若一個程式(或程式中的邏輯單元)作為一個window檔案伺服器在運行但是又不具有檔案伺服器作用的,關掉該檔的共用協議。
  6、首先保護重要資源
  若一個內網上連了千萬台(例如30000台)機子,那麼要期望保持每一台主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網的安全考慮一般都有擇優問題。這樣,首先要對伺服器做效益分析評估,然後對內網的每一台網路服務器進行檢查、分類、修補和強化工作。必定找出重要的網路服務器(例如即時跟蹤客戶的伺服器)並對他們進行限制管理。這樣就能迅速準確地確定企業最重要的資產,並做好在內網的定位和許可權限制工作。
  7、建立可靠的無線訪問
  審查網路,為實現無線訪問建立基礎。排除無意義的無線訪問點,確保無線網路訪問的強制性和可利用性,並提供安全的無線訪問介面。將訪問點置於邊界防火牆之外,並允許用戶通過VPN技術進行訪問。
  8、建立安全過客訪問
  對於過客不必給予其公開訪問內網的許可權。許多安全技術人員執行的“內部無Internet訪問”的策略,使得員工給客戶一些非法的存取權限,導致了內網即時跟蹤的困難。因此,須在邊界防火牆之外建立過客訪問網路塊。
  9、創建虛擬邊界防護
  主機是被攻擊的主要對象。與其努力使所有主機不遭攻擊(這是不可能的),還不如在如何使攻擊者無法通過受攻擊的主機來攻擊內網方面努力。於是必須解決企業網路的使用和在企業經營範圍建立虛擬邊界防護這個問題。這樣,如果一個市場用戶的客戶機被侵入了,攻擊者也不會由此而進入到公司的R&D。因此要實現公司R&D與市場之間的存取權限控制。大家都知道怎樣建立互聯網與內網之間的邊界防火牆防護,現在也應該意識到建立網上不同商業用戶群之間的邊界防護。
  10、可靠的安全決策
  網路使用者也存在著安全隱患。有的使用者或許對網路安全知識非常欠缺,例如不知道RADIUS和TACACS之間的不同,或不知道代理閘道和分組過濾防火牆之間的不同等等,但是他們作為公司的合作者,也是網路的使用者。因此企業網就要讓這些用戶也容易使用,這樣才能引導他們自動的回應網路安全性原則。
返回列表