防火墙和其它反病毒类软件都是很好的安全产品,但是要让你的网络体系具有最高级别的安全等级,还需要你具有一定的主动性。
你是不是每天都会留意各种黑客攻击、病毒和蠕虫入侵等消息?不过当你看到这些消息时,也许你的系统已经受到攻击了。而现在,我要给你介绍一种更具主动性的网络安全模型,通过它,就算再出现什么新病毒,你也可以对企业的网络系统感到放心。
类似于防火墙或者反XX类软件(如反病毒、反垃圾邮件、反间谍软件等),都是属于被动型或者说是反应型安全措施。在攻击到来时,这类软件都会产生相应的对抗动作,它们可以作为整个安全体系的一部分,但是,你还需要建立一种具有主动性的安全模型,防护任何未知的攻击,保护网络安全。另外,虽然在安全方面时刻保持警惕是非常必要的,但是事实上很少有企业有能力24小时不间断的派人守护网络。
在实现一个具有主动性的网络安全架构前,你需要对现有的主流网络安全体系有一个大概的了解。防护方法包括四个方面:防火墙、VPN、反病毒软件,以及入侵检测系统(IDS)。防火墙可以检测数据包并试图阻止有问题的数据包,但是它并不能识别入侵,而且有时候会将有用的数据包阻止。VPN则是在两个不安全的计算机间建立起一个受保护的专用通道,但是它并不能保护网络中的资料。反病毒软件是与其自身的规则密不可分的,而且面对黑客攻击,基本没有什么反抗能力。同样,入侵检测系统也是一个纯粹的受激反应系统,在入侵发生后才会有所动作。
虽然这四项基本的安全措施对企业来说至关重要,但是实际上,一个企业也许花费了上百万购买和建立的防火墙、VPN、反病毒软件以及IDS系统,但是面对黑客所采用的“通用漏洞批露”(CVE)攻击方法却显得无能为力。CVE本质上说是应用程序内部的漏洞,它可以被黑客利用,用来攻击网络、窃取信息,并使网络瘫痪。据2004 E-Crime Survey(2004 电子犯罪调查)显示,90%的网络安全问题都是由于CVE引起的。
具有主动性的网络安全模式是对上述四种安全措施的综合管理,使得用户可以从这四种安全措施中获得最大的安全性,同时也是为用户添加一个漏洞管理系统。在这种系统中,一个更有效的防火墙可以正确的拦截数据资料。一个更有效的反病毒程序则更少机会被激活,因为攻击系统的病毒数量更少了。而IDS则成为了一个备份系统,因为很少人能入侵系统而激活报警机制。而使用漏洞管理系统来防止CVE带来的入侵则是整个系统最重要的部分。
为什么这么说呢?从上面提到的调查看,95%的攻击是由于系统的漏洞或对系统的错误配置而造成的。在现实生活中也是一样,大家都试图将窃贼拒之门外,而很少考虑到当盗贼已经进入屋子后该怎防护。正如你不会在外出时让大门敞开,为什么不给网络再加一把锁呢。
实现主动性的网络安全模型
那么作为一家企业的技术人员,你该如何保护企业的网络呢?下面我会介绍几个简单的步骤,帮助你实现一个具有主动性的安全网络。首先你需要开发一套安全策略,并强迫所有企业人员遵守这一规则。同时,你需要屏蔽所有的移动设备,并开启无线网络的加密功能以增强网络的安全级别。为你的无线路由器打好补丁并确保防火墙可以正常工作是非常重要的。之后检查系统漏洞,如果发现漏洞就立即用补丁或其它方法将其保护起来,这样可以防止黑客利用这些漏洞窃取公司的资料,或者令你的网络瘫痪。以下是各个步骤的实现细节:
开发一个安全策略
实现良好的网络安全总是以一个能够起到作用的安全策略为开始的。就算这个安全策略只有一页,公司的全体人员包括总经理在内,都必须按照这个策略来执行。基本的规则包括从指导员工如何建立可靠的密码到业务连续计划以及灾难恢复计划(BCP和DRP)。比如,你应该有针对客户的财产和其它保密信息的备份策略,比如一个镜象系统,以便在灾难发生后可以迅速恢复数据。在有些情况,你的BCP和DRP也许需要一个“冷”或“热”的站点,以便当灾难发生或者有攻击时你可以快速将员工的工作重新定向到新的站点。执行一个共同的安全策略也就意味着你向具有主动性安全网络迈出了第一步。
减少对安全策略的破坏
不论是有限网络,还是笔记本或者无线设备,都很有可能出现破坏安全策略的情况。很多系统没有装防病毒软件、防火墙软件,同时却安装了很多点对点的传输程序 (如Kazaa、Napster、Gnutella、BT、eMule等)以及即时消息软件等,它们都是网络安全漏洞的根源。因此,你必须强制所有的终端安装反病毒软件,并开启Windows XP内建的防火墙,或者安装商业级的桌面防火墙软件,同时卸载点对点共享程序以及乱七八糟的聊天软件。