加強(qiáng)網(wǎng)絡(luò)安全的防范措施
加強(qiáng)網(wǎng)絡(luò)安全的防范措施
對(duì)多數(shù)企業(yè)來(lái)說(shuō),互聯(lián)網(wǎng)不僅帶來(lái)了豐富的網(wǎng)上資源,也把信息化帶進(jìn)了企業(yè),使得企業(yè)傳統(tǒng)運(yùn)作方式迎來(lái)了深刻的變革。互聯(lián)網(wǎng)極大地陳低了組織的運(yùn)營(yíng)和溝通成本,利用互聯(lián)網(wǎng),大多數(shù)員工可以更高效率的完成工作。下面是學(xué)習(xí)啦小編為大家整理的加強(qiáng)網(wǎng)絡(luò)安全的防范措施,希望大家能夠從中有所收獲!
加強(qiáng)網(wǎng)絡(luò)安全的防范措施:
作為一把“雙刃劍”,互聯(lián)網(wǎng)也給組織和企業(yè)帶來(lái)前所未有的威脅。全天候24小時(shí)在網(wǎng)絡(luò)上流動(dòng)的內(nèi)容當(dāng)中,存在著太多的風(fēng)險(xiǎn):垃圾郵件、惡意網(wǎng)站、網(wǎng)上欺詐、網(wǎng)絡(luò)病毒等無(wú)時(shí)無(wú)刻不在困擾著互聯(lián)網(wǎng)用戶,而另外一方面,網(wǎng)絡(luò)濫用行為,包括惡意的P2P下載、網(wǎng)絡(luò)游戲、IM等娛樂(lè)應(yīng)用擠占了組織有限的業(yè)務(wù)帶寬,同樣導(dǎo)致網(wǎng)絡(luò)應(yīng)用效率低下。
那么,如何繞開(kāi)這些互聯(lián)網(wǎng)弊端,充分享受互聯(lián)網(wǎng)給組織帶來(lái)的方便與高效,從而全方位打造安全高效的上網(wǎng)環(huán)境呢?
一、提升邊界防御
防火墻、IDS、IPS,是解決網(wǎng)絡(luò)安全問(wèn)題的基礎(chǔ)設(shè)備,他們所具備的過(guò)濾、安全功能能夠抵抗大多數(shù)來(lái)自外網(wǎng)的攻擊。配備這些傳統(tǒng)的網(wǎng)絡(luò)防護(hù)設(shè)備,實(shí)現(xiàn)面向網(wǎng)絡(luò)層的訪問(wèn)控制,是企業(yè)安全上網(wǎng)的前提。然而,在應(yīng)用內(nèi)容及其格式以爆炸速度增長(zhǎng)的今天,許多互聯(lián)網(wǎng)危害隱患存在于應(yīng)用層中,僅僅依照第三層信息決定其是否準(zhǔn)入,根本無(wú)法滿足安全的要求,我們還需要細(xì)粒度的應(yīng)用層策略控制。
IDC的調(diào)查報(bào)告顯示,至2006年,有超過(guò)90%的病毒將互聯(lián)網(wǎng)作為其傳播入口,通過(guò)電子郵件和網(wǎng)絡(luò)進(jìn)行病毒傳播的比例正逐步攀升,在網(wǎng)絡(luò)入口處把住病毒入侵的關(guān)口成了當(dāng)務(wù)之急,因此,除了上述的防火墻、IDS、IPS等基礎(chǔ)安全設(shè)備,你還需要部署一個(gè)有效的網(wǎng)關(guān)級(jí)殺毒引擎。
二、上網(wǎng)終端管理
網(wǎng)絡(luò)邊緣的外圍設(shè)備再先進(jìn)也無(wú)法保護(hù)內(nèi)部網(wǎng)絡(luò),來(lái)自局域網(wǎng)內(nèi)部的濫用、破壞也是威脅上網(wǎng)安全的重要因素。比如,客戶端的安全級(jí)別往往難以保證,這對(duì)于內(nèi)網(wǎng)用戶數(shù)量眾多的組織更為如此——缺乏安全措施的單機(jī),比如使用陳舊的操作系統(tǒng)、長(zhǎng)時(shí)間不更新個(gè)人防火墻和殺毒軟件、應(yīng)用具有潛在安全漏洞的軟件,都將成為局域網(wǎng)安全中一顆顆隱藏的定時(shí)炸彈。
為上網(wǎng)終端配置網(wǎng)絡(luò)準(zhǔn)入規(guī)則,通過(guò)對(duì)單點(diǎn)的安全評(píng)估和訪問(wèn)策略列表是實(shí)現(xiàn)客戶端全方位安全防護(hù)的最佳手段。對(duì)終端的安全策略列表應(yīng)該包括操作系統(tǒng)、運(yùn)行程序、系統(tǒng)進(jìn)程、注冊(cè)表等。
三、有害內(nèi)容過(guò)濾
互聯(lián)網(wǎng)是一個(gè)不可控的黑洞,無(wú)數(shù)不懷好意的網(wǎng)站使你上網(wǎng)沖浪時(shí)如履薄冰:隱藏蠕蟲(chóng)病毒、木馬插件的非法網(wǎng)站,各類(lèi)層出不窮的釣魚(yú)網(wǎng)站……都會(huì)讓組織在分享互聯(lián)網(wǎng)便利的同時(shí)帶來(lái)巨大的隱患。
針對(duì)這些有害內(nèi)容,URL庫(kù)過(guò)濾技術(shù)近年來(lái)得到廣泛采納,采用該技術(shù)將包含潛在威脅的網(wǎng)站攔截在外是保障上網(wǎng)安全的有效方式之一,當(dāng)然,還應(yīng)該考慮到一些釣魚(yú)網(wǎng)站采用的是SSL加密頁(yè)面,所以還需要結(jié)合證書(shū)驗(yàn)證、鏈接黑白名單等措施。對(duì)文件下載傳輸行為進(jìn)行規(guī)范也是必要的,將關(guān)鍵字、文件類(lèi)型、網(wǎng)絡(luò)服務(wù)與IP地址組進(jìn)行關(guān)聯(lián),規(guī)范下載策略,可以控制大部分由主動(dòng)下載造成的損害。
四、垃圾郵件過(guò)濾
還有一些不那么“有害”的信息——垃圾郵件,雖然未必會(huì)造成安全隱患,但卻能導(dǎo)致帶寬利用率,更重要的是工作效率的低下。
為了最大程度的減少這些影響帶寬利用率及工作效率的無(wú)用信息,必須找到一種區(qū)分垃圾郵件、正常郵件、可疑郵件的有效手段,比如垃圾郵件指紋識(shí)別技術(shù),減少誤判的隨機(jī)特征碼智能應(yīng)答技術(shù)等。
五、優(yōu)化帶寬資源
不管采取什么方式上網(wǎng),帶寬終究是有限的,在無(wú)法改變帶寬的前提下,如何優(yōu)化帶寬資源,使其效率最高,是必須解決的問(wèn)題。但現(xiàn)實(shí)的問(wèn)題是,網(wǎng)管員對(duì)自己?jiǎn)挝粌?nèi)部的帶寬有效利用情況無(wú)從獲知,就更談不上改善了。
要做到優(yōu)化帶寬資源,首先要考察內(nèi)網(wǎng)網(wǎng)絡(luò)使用情況,并形成可供決策的報(bào)表,有些廠商提供的數(shù)據(jù)中心就已經(jīng)可以提供豐富的報(bào)表分析功能。另外,針對(duì)網(wǎng)內(nèi)一些重要的網(wǎng)絡(luò)服務(wù),也有必要啟用QOS技術(shù),從而保證重要的服務(wù)先行,避免垃圾流量擠占重要服務(wù)的帶寬。
六、全面應(yīng)用管理
全球每天有120億條消息通過(guò)即時(shí)通訊工具(Instant Messaging,IM)被發(fā)送,這些IM應(yīng)用也許是員工在和同事、客戶討論工作,但更多的聊天對(duì)象卻是家人、朋友甚至是陌生人。此外,網(wǎng)絡(luò)上還有其它大量的和工作無(wú)關(guān)網(wǎng)絡(luò)應(yīng)用存在,包括網(wǎng)絡(luò)游戲、在線炒股、P2P下載等,這些工作時(shí)間內(nèi)的“豐富應(yīng)用”造成了組織生產(chǎn)效率的巨大浪費(fèi)。有些組織靠封端口、封服務(wù)器地址等方法在一定程度上有效,但由于服務(wù)器地址和端口會(huì)經(jīng)常變換,這導(dǎo)致封服務(wù)器地址和端口成為一項(xiàng)持續(xù)的高成本工作,只能是治標(biāo)不治本。
在全面應(yīng)用管理上更有效的封堵方法主要有兩種,一種是基于應(yīng)用協(xié)議和數(shù)據(jù)包的智能分析,另一種是針對(duì)流量進(jìn)行檢測(cè)。前者是通過(guò)分析IP數(shù)據(jù)包首部的服務(wù)類(lèi)型、協(xié)議、源地址、目的地址以及數(shù)據(jù)包的數(shù)據(jù)部分,能夠更好的發(fā)現(xiàn)特定服務(wù)。后者則可以針對(duì)特定用戶的網(wǎng)絡(luò)連接情況進(jìn)行分析,當(dāng)網(wǎng)絡(luò)流量和網(wǎng)絡(luò)連接超出規(guī)定的閥值時(shí),用戶的行為將被限制流量。
互聯(lián)網(wǎng)對(duì)企業(yè)還有一個(gè)重要的危害是信息的過(guò)度流動(dòng)。由于它是一個(gè)開(kāi)放系統(tǒng),只要使用者輕點(diǎn)鼠標(biāo),企業(yè)與組織的機(jī)密信息就能瞬間以光的速度到達(dá)競(jìng)爭(zhēng)對(duì)手那里。而一些攻擊性、侮辱性的網(wǎng)絡(luò)漫罵/謠言,則可能會(huì)導(dǎo)致組織不必要的內(nèi)部糾紛。另外,內(nèi)部員工通過(guò)組織網(wǎng)絡(luò)隨意發(fā)表的言論,也可能給組織帶來(lái)法律上的風(fēng)險(xiǎn)。
要防范這些風(fēng)險(xiǎn),應(yīng)該從IM、HTTP、FTP、EMAIL等各個(gè)可能的出口,對(duì)外發(fā)信息進(jìn)行審計(jì)和監(jiān)控。所采取的措施應(yīng)該包括記錄與保存,對(duì)關(guān)鍵字的審計(jì),甚至對(duì)一些關(guān)鍵的信息進(jìn)行延遲審計(jì)。
七、應(yīng)用權(quán)限設(shè)置
對(duì)網(wǎng)絡(luò)用戶進(jìn)行權(quán)限設(shè)置是一種很好的分級(jí)管理的措施。就流量?jī)?yōu)化而言,傳統(tǒng)的帶寬管理只能對(duì)特定服務(wù)分配相應(yīng)的百分比帶寬,屬于“一刀切”行為。更具效力的網(wǎng)絡(luò)流量?jī)?yōu)化方式是基于用戶的流量控制技術(shù),再結(jié)合各種不同應(yīng)用的角色分配,可以有更好效果。具體說(shuō)來(lái),在廣域網(wǎng)的訪問(wèn)中,有些部門(mén)的特殊應(yīng)用是應(yīng)該而且必須獲得獨(dú)占性資源的,例如總部的管理層同各分公司主管召開(kāi)的視頻會(huì)議,而有些部門(mén)的非工作相關(guān)服務(wù)則不應(yīng)獲得那么高的帶寬,例如采購(gòu)部門(mén)的P2P下載。通過(guò)分組流量控制,你可以對(duì)不同用戶組使用的服務(wù)進(jìn)行精細(xì)的帶寬分配,保障重要部門(mén)的重要服務(wù)得到足夠帶寬。
除了服務(wù)管理,時(shí)間計(jì)劃也是網(wǎng)絡(luò)管理中的重要手段,這包括微觀時(shí)間管理和宏觀時(shí)間管理,前者包括將一周中每一天的時(shí)間進(jìn)行劃分,在特定時(shí)間允許特定部門(mén)進(jìn)行特定活動(dòng),后者包括為各個(gè)部門(mén)的員工設(shè)置一周內(nèi)每天的總上網(wǎng)時(shí)間,這是保證網(wǎng)絡(luò)利用效率最大化的好手段。
長(zhǎng)期以來(lái),組織管理者為了營(yíng)造一個(gè)安全高效的網(wǎng)絡(luò)應(yīng)用環(huán)境采取的是傳統(tǒng)管理方式,如規(guī)章制度、使用守則、獎(jiǎng)懲措施等。實(shí)際上,解鈴還需系鈴人,信息技術(shù)帶來(lái)的負(fù)面影響最終還是要靠信息技術(shù)來(lái)解決。好的上網(wǎng)環(huán)境的建設(shè)是一個(gè)周密的系統(tǒng)工程,以上8種手段給我們打造安全高效的上網(wǎng)環(huán)境提供了一個(gè)開(kāi)闊的思路。