内网是网络安全最薄弱的环节,绝大多数的安全事件来自内部。就企业网络管理来说,工作量最大的部分是客户端,对网络正常运转最大威胁也来自客户端。大型网络一般结构较为复杂,用户使用水平参差不齐,而网络管理人员编制有限,往往难以面对数量重大的客户端事件。事实证明,只有解决网络内部的安全问题,才可以排除网络中最大的安令隐患。本文就比较常见的几个企业IT的安全问题进行阐述并给出建议,希望对您有所帮助。
1、企业网络安全管理应该注意的几个点
(1).网络IP地址管理
企业局域网的IP地址管理是网络管理遇到的首要问题,如何正确地对企业内部的IP地址进行规划和管理,是每一个网络安全管理人员所要面对的必然科目之一。IP地址的管理包含每个员工的IP地址的分配和规划,访客进入网络中可以使用的IP地址,VLAN的划分,VLAN的划分原则,各个VLAN之间采用策略进行控制。
目前在企业网络安全中,IP地址的混乱是大家遇到的首要问题。小规模的企业表现出来的问题要少些,但是稍微有些规模的企业,IP地址的混乱,则严重影响了正常的工作。IP地址冲突、IP丢失、自动分配的IP数量不够等问题层出不穷。而一些恶意软件或病毒,正是利用企业内部IP地址混乱,造成企业内部的网络常常访问不正常。
(2).网络防病毒
防病毒是每个企业IT遇到的老大难问题,病毒可以通过不同的途径渗透到企业网内部,在内部进行传播。病毒甚至可以隐藏在图片、视频内部,通过播放器自动加载恶意的程序到系统中间去。
个人版的防病毒由于其防病毒效果完全取决于防病毒使用者对病毒的理解程度,病毒库和引擎的不统一也是造成病毒泛滥的一个原因。不同品牌的防病毒程序存在于企业网中。造成了策略的严重不统一,针对不同的病毒采用不同的方法处理。直接后果就是,大家的计算机在不同的水平线上,通过网络间的互相拷贝,使得病毒又重复地传播开来。
相信大家都有这样的感觉,就算是每台计算机上安装上几种杀毒软件,病毒却依然清除不干净。在一个企业网内部安装多种不同的防病毒软件或一种个人版防病毒软件,效果是近似的。
(3).网络流量管理
网络流量的问题是对企业网影响比较大的问题,有些网络流量是正常的,有些是非正常的,也有隐形的网络流量和显性的网络流量。实际的情况是,就算一台计算机没有任何操作,网络流量依然很大。企业局域网如果有几台这样的计算机,整个公司的网络出口就基本上被屏蔽了,而具体使用者却对此一无所知。还有一种比较常见的情况是网络下载和视频,都需要比较高的网络流量,而现在网络下载和视频也是员工们最喜欢使用的网络手段。
通过P2P软件,在很短时间内下载上G的文件,似乎是很平常的事情,但带来的问题是,当这些员工把下载工具一打开,整个公司的正常业务基本上陷入瘫痪状态。
(4).服务器可靠性维护
在当今信息社会,就算是再小的企业,都会拥有至少一台服务器,这些服务器为企业的发展提供了可靠的保证。大部分服务器上面,保存着企业重要的数据,如财务、档案等。很多企业,只是使用比较简单的手段进行备份,而且这些备份,大部分是离线的,如每天一次,每两天一次等。一旦服务器发生故障,数据丢失是必然的,对于大部分企业来讲,花费昂贵成本,构建实时备份中心,有一定难度。
服务器作为企业信息的核心,很多时候得不到有效保护。有一些服务器,甚至连机柜都没有,任何一个人都可以随便访问服务器内的内容,可以打开服务器,可以向服务器上传内容,安装程序。造成服务器操作系统的不稳定,应用程序更是随时可能发生问题。
(5).信息资源和介质的安全问题
每个企业都有代表其核心竞争力的信息资源,这些信息资源以不同的方式存在,有的是文档数据,有的是视频数据,有的是语音数据等等。它们可能被存储在不同的介质上,最常见的是存储在硬盘或光盘上,这些存储介质都是易损的,如果我们不严格加以保护,造成的结果往往是在需要使用这些数据的时候,没有办法读取其内容。
介质缺乏有效管理还带来的一个比较大的问题是信息泄露,光盘或硬盘被其他无关人员看到或借用,甚至存储数据的人员本身就是泄密者,这种行为往往给企业带来巨大的损失。
(6).资产的管理
企业为员工提供的软硬件资产是要求员工在工作的环境下,为企业创造价值,可是很多员工却把这些资产滥用,甚至挪为私用,缺乏管理的U盘上存放着私人信息,管理不善的计算机、CPU、内存,甚至网卡、主板都被使用者更换掉,为企业带来损失。
笔者就曾经遇到由于员工不使用企业统一购买的正版软件,而是使用自行安装的盗版软件,造成工作环境不稳定,为企业带来无法估量的损失。资产的损坏带来的损失有时是隐藏的,并非那么明显。但是一旦发现,却是难以弥补的。
#p#副标题#e#
2、针对问题的应对措施
(1).VLAN划分和IP-MAc地址绑定
只要有部门划分的企业,必须进行VLAN划分,VLAN划分可以规划为以下几个部分:
网络设备连接的VLAN,交换机之间互联,需要划分VLAN,然后指定对应的物理端口到相应的VLAN,这部分VLAN可以规划为ID相对比较大的取值,如从2000-2200。
网络交换机提供给终端用户接入的VLAN,可以为每个部门、每个楼层分配一个独立的VLAN,这部分VLAN可以规划为ID从lO-1999,这部分预留空间比较大,甚至根据需要可以为每个交换机端口,每个终端分配一个VLAN。
网络管理和数据中心VPN及其他应用VLAN,这部分VLAN ID可以取2300-4096之间的数值。不同的VLAN之间采用策略进行控制,缺省状态下,不同VLAN之间是不能访问的。除非有特别的需求,而且访问也必须做流向的控制。
VLAN划分完毕后,IP-MAC绑定就显得尤为重要了,IP-MAC绑定可以在接入交换机上完成,也可以借助专用工具完成。绑定后的计算机,不仅可以避免ARP病毒的攻击,而且也非常有助于网络管理员根据IP地址进行管理。
(2).网络防病毒+IP MAc地址绑定+ARP防火墙
网络防病毒的软件至关重要,对防病毒软件的要求是:能支持多种平台,至少是在Windows系列操作系统上都能运行。能提供中心管理工具,对各类服务器和工作站统一管理和控制;在软件安装、病毒代码升级等方面,可通过服务器直接进行分发,尽可能减少客户端维护工作量;病毒代码的升级要迅速有效。
AV-test是一个第三方的防病毒软件评测机构,可以选在AV-test方面处于综合性能靠前的产品。以一台服务器作为中央控制一级服务器,实现对网络中所有计算机的保护和监控,并使用其中有效的管理功能,如,管理员可以向客产端发送病毒警报、强制对远程客户端进行病毒扫描、锁定远程客产端等。正常情况下,一级服务器病毒代码库升级后半分钟内,客户端的病毒代码库也进行了同步更新。
需要注意的是,防病毒软件到目前为止都是只升级病毒库和升级引擎+病毒库的两种方式,不同的杀毒软件的方式是不同的。一定要选择即要升级病毒库同时升级病毒引擎的版本。否则,大量防病毒软件,虽然数据库是最新的,但是软件却是以前的版本,尽管厂家宣称可以实现,但是,事实上却是很多新的类型的病毒,老引擎根本没有办法消除。
(3).流量排名和流量实时控制
流量排名和流量实时控制可以实现两个层面的有效保护,第一层面是网络安全管理员可以对网络设备及终端计算机进行流量分析及控制。对终端计算机的流量管理主要有两部分功能:一是对终端计算机的总流入及流出流量的采集,并可以通过设定阈值对异常流量进行告警。二是对终端计算机某个网络应用或网络接口网络流量的阈值设定,通过策略可以限制网络连接流出流量只能在某个范围,保证其他主机的有效带宽使用。这种管理的方式比较粗放。难以判断正常流量和异常流量之间的差别。
第二层面是采用专用的流量分析控制工具,这种工具是基于网关型的,把硬件设备安装在网络的出口处,这样,流过流量分析控制工具的数据流都会被采集到,并可以进行控制。这种工具全部是基于应用分析的,网络管理员可以根据收到的实时数据对网络内的流量进行实时分析,并绘制流量分析表,为更好地管理网络提供依据。
在较为完善的内部网络中,两种方法可以统一,第一种进行终端之间内部流量的控制和管理,第二种进行与互联网的流量控制和管理。
(4).严格的机房管理制度和双人上岗的服务器管理
要建立机房管理制度,就要建立机房,机房不只是一个安放机器的房间,而是一个管理体系,机房为企业重要的服务器提供了一个载体,这个载体是一个很好的保护容器,整个公司的信息核心,都必须在这个容器中健壮地成长。对于容器的访问授权则就变得很重要了。
机房管理制度应该满足至少双人才能上岗,这样,每次进入机房内部的人员至少是两个人,这两个人互相监督,互相进行日志记录,每次机房的访问都应该有详细的日志记录。同时,服务器的维护也是相同的道理,每次针对服务器的更改必须是两个人。避免由于一个人的误操作,造成服务器宕机、瘫痪等情况发生。
(5).外设控制+专人保管+信息加密
采用专用工具或者是管理手段,将外设进行封存,如可能带来信息泄密的USB口,可以采用贴封条的方法进行封存,不容许员工使用,以免重要的数据被拷贝。或者采用专用软件来实现对这些端口的控制,甚至购买没有这些端口的电脑等。
任何备份的数据或者介质,都必须由专人看管,用专用的柜子保存,柜子内部要注意防潮、防虫、防鼠等。每次介质的提取都必须得到主管领导的认可,而不能随意获得企业备份的数据。
每个临时的或者是最终载体上的数据,理想的情况下都应该是被加密保护。不用明文的优点在于当发生丢失时不会丢失内部的数据,缺点是必须建立相应的密钥管理制度,密钥不能单独由某个人保管,也不能各个部门各保存一个,而应该采用分段保存的方法,不同的人掌握密钥的一部分。
在实际情况中,可以根据具体的事实在以上信息保护的手段中选择。以不影响企业主体业务和效率的情况下选择最优的解决方案。
(6).资产管理和报警
对于大型客户端,可能会出现客户端用户随意拆卸网络终端硬件的现象,这会给网络终端的管理带来混乱,甚至可能造成网络硬件设备资产流失。
专用系统可自动探测终端硬件情况:具体包括客户端计算机名、CPU型号、内存大小、硬盘品牌及大小、网卡型号及速度,MAC等大小、设备编号等。所有数据上报至数据中心,自动生成报表信息存入相关数据库,并可对其变化报警。
系统能够自动地收集计算机已有的各种硬件资产及软件资产信息。对于不便自动收集的资产信息,系统也提供方便的手工方式录入。同时,对网络的软件及硬件系统资产变更情况进行跟踪,一旦资产信息发生变更,代理立刻以事件的形式通告系统服务器,通过事件处理,资产能够很好地被管理起来。
系统也提供完善的针对资产信息的综合查询及报表统计功能,使得管理员能够迅速统计某类资产的分布情况或某些网络对象的资产情况等信息。系统提供可定制的模糊查询功能,方便进行特殊需要的检索。
写在最后:企业IT安全是个系统工程,类似于“木桶原理”,一点疏忽也许会使得我们构筑的安全体系形同虚设。无论怎样,分析总结网络运维中各种不安全因素,并找出解决办法这是大家的共识。
