网络通信 频道

内网安全10大脆弱性和对策

  目前先进的网络安全设备在阻止网络恶人入侵你的企业方面做了极好的工作。但是,当网络恶人确实进入到你的安全环境中的时候,你要做什么呢?遗憾的是世界上的所有手段对于目前最恶毒的网络恶人都没有多少效果。以下是你的网络可能被从内部攻破的10个途径,以及你能够采取什么措施来保证企业服务器的安全。

  1. 优盘。不管你是否相信,优盘实际上是你能够从防火墙内部感染一个网络的常用方法,如果不是最常用的方法的话。这有许多理由:优盘价格便宜,体积小、存储许多数据并且能够在多种设备之间使用。优盘的普遍应用促使黑客开发出一种有针对性的恶意软件,如臭名昭著的Conficker蠕虫。这种蠕虫能够在连接到USB端口的时候自动执行。更严重的是默认的操作系统设置一般都允许大多数程序(包括恶意程序)自动运行。这相当于你的邻居每一个人都有一把你的电子车库门的钥匙,并且利用这个钥匙打开其他人的车库门。

  怎么办:修改计算机默认的自动运行政策。你在这里可以找到在Windows环境中如何去做的资料。网址是:http://support.microsoft.com/kb/967715

  2. 笔记本电脑和上网本:笔记本电脑是一种考虑周到的便携式设备,包含完整的操作系统,能够使用内置电池工作并且配置了以太网端口可以直接连接到一个网络。此外,笔记本电脑中也许已经有了在后台运行的恶意代码,其任务是寻找网络和发现其它可供感染的系统。这台笔记本电脑也许属于一个内部的员工或者属于一个从开放的办公室来访或者工作的客户。

  除了被感染的笔记本电脑破坏内部网络之外,重要的是要考虑这些笔记本电脑本身的问题。所有的公司都拥有绝对不允许带出办公楼的敏感资料(如工资信息、医疗记录、家庭地址、电话号码和社会安全保险号码等)。当这些信息存储在没有安全措施的便携式电脑中的时候,那是很危险的,因为便携式电脑很容易带出去。我们看到过许多存储了敏感数据的笔记本电脑丢失的例子。除非这个笔记本电脑使用一种严格的加密算法,否则,任何文件系统的数据都是很容易恢复的。

  怎么办:对于敏感的数据采用一个加密的文件系统。有许多现成的解决方案可供选择,还有开源软件解决方案,如TrueCrypt。对于进出内部系统的端点实施控制也是重要的。虚拟专用网、DV和WiFi接入等敏感信息不应该永久性地存储在笔记本电脑或者上网本等设备上。

  3. 无线接入点:无线接入点为这个网络附近的任何用户提供直接的连接。攻击驾驶员(驾驶汽车搜索没有安全保护措施的WiFi网络的人)实施的无线攻击是很常见的并且曾造成重大损失。Marshalls和TJMaxx公司的东家TJ Stores曾经遭受过使用这种方式进行的攻击。入侵者侵入了这家公司处理和存储客户交易数据的计算机系统 。这些交易数据包括客户的信用卡、借记卡、支票和退货交易等信息。据报道,这次入侵使TJ Stores商店的损失超过了5亿美元。

  无线接入点本身是不安全的,无论是否使用加密措施都是如此。无线加密协议等协议都包含已知的安全漏洞,使用Aircrack等攻击框架就很容易攻破。如果不使用强口令,WPA(无线保护接入)和WPA2等更安全的协议也容易受到字典攻击。

  怎么办:建议使用带RADIUS(远程认证拨入用户服务协议)的WPA2企业版以及能够进行身份识别和强制执行安全措施的接入点。应该使用强混合口令并且不断地更换口令。一般来说,无线接入点只是为了连接方便,因此,通常没有必要把无线接入点连接到工作环境。

0
相关文章