对于拥有机密数据或敏感数据的组织来说,最可怕的现实是网络安全威胁(例如:僵尸网络,蠕虫,和黑客攻击)是永无止境的。
其中,僵尸网络是最可怕的网络安全威胁。这些由网络犯罪者制造出来的,高度成熟的,漏洞探查式的威胁几乎是无形的。不像前几年那些破坏磁盘,让网络罢工的蠕虫和特洛伊木马,僵尸程序会让网络和计算机持续地运行,然后把数据发送给“僵尸主”,并且,它们很难被探查到。
大多数国家和当地的政府机构都采取了一些措施,尽量减少网络被渗透的几率,如果一次攻击发生了,可以把这个威胁隔离开来,然后再排除它。但是,因为政府机构总是被要求少花钱多办事,所以,它们的网络安全策略可能并不充分。为了帮助政府机构制定出一套可以满足它们的特定需求的策略来,针对政府机构的规模,类型,可用的预算,和必须要保护的敏感信息,CDW-G提供了以下这些方法:
1、安装Windows防火墙
虽然可能对于终端用户来说,禁用它的吸引力会更大一些,但是一个配置合理的Windows防火墙可以阻止许多基于网络的攻击。对于那些拥有很多配置相同的机器的大型机构来说,这个方法尤其适用。
2、禁用自动运行功能
自动运行功能可以自动地安装软件,为了防止操作系统盲目地运行一些来自于外部的命令,这个功能应该被禁用。
3、不要相信密码
对本地账户进行控制(尤其是本地的管理员账户)是至关重要的,这可以隔离并消除一些威胁。禁用计算机的自动连接功能可以防止僵尸程序扩散到整个内部网络。在一些存储着高度机密数据的环境中,这一点显得尤为重要。
4、考虑一下网络分割
在大多数计算环境中,工作站都无需跨部门地进行通信。关闭这个功能可以有效地防止僵尸程序进行扩散。IT经理应该建立私有的虚拟局域网(VLAN:virtual local area networks),或者在子网之间建立访问控制列表(ACL:access control lists)来限制“暴露”程度。这个策略也许并不是最合适的,但是,在声音和数据混合通信的环境中,这个策略可以防止在传输过程中negotiate一个虚拟回路(virtual circuit)。
5、提供最少的权限
当用户不是工作站管理员的时候,恶意软件很难通过下载的方式来传播,它们也很难通过自动运行方法驻留在一个系统中。如果不给用户提供管理员权限的话,恶意软件很难通过它们的用户账户凭证来传播,计算机也很难被感染。
6、安装主机入侵防御系统
为了防止僵尸程序在一个系统中“安家落户”,IT经理应该在特定的网络层上添加基于漏洞的防护,例如在特定的硬件和软件之间的交互层上添加额外的防护。这个方法并不能修复操作系统或应用软件中的技术缺陷或漏洞,但是它可以减少攻击成功的机会。虽然这些工具是十分有效的,但是它们是十分昂贵的,而且,它们通常很难部署。
7、加强监控
很多人都知道如何在正常情况下运维一个网络,当一个僵尸程序入侵引起了微小的异常的时候,要能实时地做出判断。持续不断地进行监控绝对是一个好主意,你可以使用一些产品来收集网络流量方面的数据,让一些设备来监控异常情况,探测并阻止入侵。但是,使用远程管理的安全服务也可以填补这块空白,加强监控也许已经超出许多政府机构的能力范围了。
8、对流出这个网络的数据进行过滤
僵尸程序通常会和一个或多个远程的服务器(黑客使用这些服务器来获取一些私有的信息)进行通信。为了阻止这些通信,以及和它们有关的威胁,政府机构应该防止那些机密的数据流出这个网络,输出过滤(egress filtering)就是这方面的一个工具。政府机构应该通过代理(在下文中会详细说明),内容过滤器,或者通过部署一个数据丢失防护(DLP:data loss prevention)解决方案对流向互联网的数据进行过滤。
9、使用一个代理服务器
虽然这种方法无法阻止所有的恶意输出数据流,但是,对于监控和控制Web访问,以及阻止一些想绕过安全机制的企图来说,通过一个代理服务器对输出的数据流进行过滤是第二道屏障。
10、安装基于信誉度的过滤器
像IronPort和WebSense那样的工具可以帮助你阻止来自于可疑地址(这些地址可能是潜在的恶意软件来源)的e-mail。
11、对DNS查询进行监控
一个工作站对域名解析系统(DNS:domain name system)查询的响应方式通常应该是对可能已经被感染的工作站的签名进行早期预警。具体来说,那些包含存活时间极短的值的响应都应该被监控,存活时间短很可能意味着已经被感染了。监控可以让系统管理员在感染扩散以前采取一些措施。
这里提到的这些步骤针对政府机构的具体规模,以及IT部门的规模和预算,给网络安全策略提供一个框架。CDW-G建议,各个政府机构应该对每个步骤进行评估,设计出一套可以满足它们的特定需求的策略来。