學(xué)習(xí)啦>學(xué)習(xí)電腦>電腦安全>網(wǎng)絡(luò)安全知識(shí)>

如何解決內(nèi)網(wǎng)的安全問題

時(shí)間: 若木632 分享

  以下是OMG小編為大家收集整理的文章,希望對(duì)大家有所幫助。

  在真實(shí)的世界里,確實(shí)有很多因技術(shù)因素而造成的內(nèi)網(wǎng)安全困局,其中最重要的就是混雜平臺(tái)問題。即使在一些小企業(yè)當(dāng)中,也可能存在著超過一種以上的操作系統(tǒng)環(huán)境。比如那些需要Windows操作系統(tǒng)處理日常辦公業(yè)務(wù),同時(shí)又需要iMac進(jìn)行設(shè)計(jì)工作的廣告公司。而一些組織雖然只使用一個(gè)廠商提供的操作系統(tǒng),由于計(jì)算機(jī)硬件配置參差不齊,很難保證使用相同版本的操作系統(tǒng)。

  就我們所見的一個(gè)酒店客戶來說,Novell的服務(wù)器系統(tǒng)是經(jīng)常用來支撐酒店業(yè)務(wù)軟件運(yùn)行的,而相匹配的終端甚至包括了遺留的DOS系統(tǒng)。通常文件服務(wù)和Web服務(wù)的控制要由windows 2003 Server或更高版本的服務(wù)器操作系統(tǒng)來完成,而辦公區(qū)域則混合著從windows 98到Windows XP等不同版本的桌面操作系統(tǒng)。

  最直接的一點(diǎn),由于混雜的操作系統(tǒng)種類,該酒店的管理員在處理防病毒、補(bǔ)丁更新、數(shù)據(jù)備份乃至各種內(nèi)部應(yīng)用服務(wù)的時(shí)候,都需要為這種情況付出大量的額外努力。

  而在設(shè)備管理和跟蹤的過程中,也經(jīng)常會(huì)出現(xiàn)一些死角,導(dǎo)致偶有未被登錄在案的計(jì)算機(jī)節(jié)點(diǎn)在網(wǎng)絡(luò)中工作而卻茫然不知??梢哉f,投入到信息安全的成本有很大一部分都因?yàn)榛祀s平臺(tái)問題而被浪費(fèi)掉了,這導(dǎo)致的最直接結(jié)果就是沒有更多的資源來真正提升內(nèi)網(wǎng)安全防護(hù)的質(zhì)量,從而形成了一個(gè)內(nèi)網(wǎng)安全泥潭。

  在看到羅列與此的這些問題時(shí),安全管理員一定會(huì)有似曾相識(shí)的感覺。這個(gè)列表中的問題都相當(dāng)常見而且流行,可以作為內(nèi)網(wǎng)安全的優(yōu)先關(guān)注點(diǎn),也可以作為在選擇內(nèi)網(wǎng)安全工具和技術(shù)解決方案時(shí)的映射目標(biāo),最重要的是我們需要正確地認(rèn)識(shí)使用哪些技術(shù)可以有效地處理這些問題。

  目前,國(guó)內(nèi)也有很多CIO選擇TIPS安全防護(hù)平臺(tái),對(duì)內(nèi)網(wǎng)進(jìn)行有效管理。通過建立四級(jí)的防護(hù)體系:首先就是以硬件級(jí)防護(hù)為基礎(chǔ),建立可信可控的信息系統(tǒng);其次,建立四級(jí)可信認(rèn)證機(jī)制的縱深防御體系;接著是實(shí)現(xiàn)身份鑒別、介質(zhì)管理、數(shù)據(jù)保護(hù)、安全審計(jì)、實(shí)時(shí)監(jiān)控等一系列基本防護(hù)要求;最后,安全性、管理性并重,系統(tǒng)既突出安全性,更注重可管理性

  系統(tǒng)安全補(bǔ)丁自動(dòng)分發(fā)

  很多管理員都知道微軟提供了應(yīng)用于企業(yè)內(nèi)部網(wǎng)絡(luò)的產(chǎn)品補(bǔ)丁更新解決方案,但是卻不見得都部署和使用過這種方式的更新,畢竟接入互聯(lián)網(wǎng)下載安全更新實(shí)在是太方便了。然而,在現(xiàn)實(shí)的應(yīng)用環(huán)境中,并不是所有時(shí)候都可以簡(jiǎn)單地讓所有終端計(jì)算機(jī)都不受控制地接入互聯(lián)網(wǎng)。

  Windows服務(wù)器更新服務(wù)(WSUS)是相對(duì)常用的補(bǔ)丁更新工具,運(yùn)行于服務(wù)器操作系統(tǒng)上,能夠向各種版本的、包含更新代理機(jī)制的桌面Windows操作系統(tǒng)傳遞和部署更新文件。而對(duì)于需要重啟控制、計(jì)劃安排、更新清單和更豐富管理界面的用戶來說,付費(fèi)的系統(tǒng)管理服務(wù)器(SMS)將是一個(gè)不錯(cuò)的選擇。

  不過,在遇到混雜平臺(tái)環(huán)境時(shí),微軟的產(chǎn)品就無(wú)法滿足需要了,企業(yè)可能需要求助于CA的Unicenter這樣的第三方商業(yè)產(chǎn)品來管理各種不同操作系統(tǒng)的補(bǔ)丁更新。對(duì)于Linux等非微軟操作系統(tǒng)來說,對(duì)面向企業(yè)應(yīng)用環(huán)境的更新分發(fā)工具的需要似乎還沒有那么迫切,不過隨著這些操作系統(tǒng)使用比例的提高,也是該重視起來的時(shí)候了。

  加密電子文檔同時(shí)不影響正常使用

  對(duì)于數(shù)據(jù)安全來說,根據(jù)數(shù)據(jù)所對(duì)應(yīng)的安全等級(jí)進(jìn)行適當(dāng)?shù)募用鼙Wo(hù)是最基本的手段之一。就那些相對(duì)公開化的業(yè)務(wù)應(yīng)用來說,基于公鑰加密和證書認(rèn)證等手段的體系是相對(duì)比較成熟和流行的,而PKI則是其中最典型的代表。一般常用的CA體系架構(gòu)相對(duì)簡(jiǎn)便,也具有絕大多數(shù)用戶所需的功能。

  從存儲(chǔ)數(shù)據(jù)的各個(gè)計(jì)算機(jī)節(jié)點(diǎn)來說,現(xiàn)在有大量免費(fèi)的加密工具和數(shù)據(jù)擦除工具可用。不過其提供的保密級(jí)別往往較低,而且在操作系統(tǒng)層以及應(yīng)用層進(jìn)行加密,往往會(huì)衍生出其他的安全問題。對(duì)于密級(jí)較高的電子文檔,應(yīng)該盡可能應(yīng)用BIOS防護(hù)卡等硬件設(shè)備,限制數(shù)據(jù)的存取,并通過芯片級(jí)加密保護(hù)硬盤上的數(shù)據(jù)。

  另外,目前基于USB接口的存儲(chǔ)設(shè)備比如U盤、移動(dòng)硬盤等,也可以通過智能判斷和權(quán)限控制功能,來對(duì)其中的數(shù)據(jù)進(jìn)行更好的安全管理。在更加高端的領(lǐng)域,用戶可能需要對(duì)數(shù)據(jù)的流向采取非常嚴(yán)格的控制,甚至規(guī)定必須使用簽收刻錄光盤的方式來交換某些數(shù)據(jù)。對(duì)于這類問題國(guó)內(nèi)廠商已經(jīng)提出了不少有效的解決方案。

  例如鼎普科技的數(shù)據(jù)單向?qū)牍芾硐到y(tǒng)就相當(dāng)具有創(chuàng)新意義,這個(gè)系統(tǒng)利用了光纖單向傳輸?shù)奶匦?,在物理層保證數(shù)據(jù)的流向正確。在使用過程中,鼎普科技的設(shè)備一端連入存儲(chǔ)涉密數(shù)據(jù)的計(jì)算機(jī)終端,一端連入U(xiǎn)盤等數(shù)據(jù)源,即可實(shí)現(xiàn)數(shù)據(jù)的安全存入,而不會(huì)出現(xiàn)涉密數(shù)據(jù)被非法泄漏的問題。從中可以看出,作為以文檔加密作為內(nèi)網(wǎng)安全起點(diǎn)的國(guó)內(nèi)用戶來說,也許確實(shí)只有國(guó)內(nèi)的廠商才真正了解國(guó)內(nèi)用戶的需求。

  防止擴(kuò)散的無(wú)線信號(hào)泄漏組織的有價(jià)值數(shù)據(jù)

  以Wi-Fi為代表的無(wú)線局域網(wǎng)技術(shù)似乎已經(jīng)成為便利性與安全性相互制約的一個(gè)經(jīng)典示例了。盡管Wi-Fi本身的安全性一直相對(duì)脆弱,但是在內(nèi)部網(wǎng)絡(luò)中提供無(wú)線接入能力仍舊成為越來越多企業(yè)的選擇。對(duì)于Wi-Fi無(wú)線接入點(diǎn)的管理應(yīng)該具有相對(duì)較高的安全強(qiáng)度和級(jí)別,至少不能將其與其它普通的網(wǎng)絡(luò)節(jié)點(diǎn)等同視之。

  應(yīng)用WPA加密無(wú)線數(shù)據(jù)通信是必要的,盡管只要攻擊者有足夠的耐心,還是可能從嗅探到的數(shù)據(jù)中破解密鑰,但是其難度相對(duì)于WEP等舊有加密方式來說無(wú)疑要困難得多。如果需要更高的安全級(jí)別,可以考慮在無(wú)線鏈路上增加令牌驗(yàn)證和訪問控制等手段,以提供較強(qiáng)的安全控管能力。

  對(duì)各種移動(dòng)終端進(jìn)行接入控制

  對(duì)于筆記本電腦以及越來越多的智能手機(jī)終端,企業(yè)所能做的安全管理似乎總顯得有些力不從心。除了對(duì)無(wú)線局域網(wǎng)接入進(jìn)行控制之外,這類終端可能引起的問題還有很多。藍(lán)牙作為極為通用和具有時(shí)尚意味的連接方式,安全性卻存在一些脆弱點(diǎn)。

  為了更好地和其它藍(lán)牙設(shè)備進(jìn)行連接,藍(lán)牙往往被設(shè)置成相對(duì)較低的安全認(rèn)證等級(jí),而事實(shí)上很多設(shè)備在出廠時(shí)默認(rèn)就被設(shè)為最低的級(jí)別,比如大部分的手機(jī)產(chǎn)品都是如此。由于僅在鏈路層提供有限的安全控制,所以藍(lán)牙安全更多地依賴于上層協(xié)議甚至應(yīng)用層來進(jìn)行安全管理。

  想真正實(shí)現(xiàn)藍(lán)牙安全應(yīng)該強(qiáng)制性地在藍(lán)牙傳送數(shù)據(jù)時(shí)結(jié)合其它安全驗(yàn)證措施。雖然這通常很難處理,但不應(yīng)該被忽視。對(duì)于手持設(shè)備來說,WAP站點(diǎn)訪問是提供業(yè)務(wù)處理和辦公信息獲取的通行方式之一。WTLS協(xié)議雖然出于性能考慮已經(jīng)做了一些簡(jiǎn)化,但是仍是一種具有較高安全性的解決方案。

  另外一個(gè)通行的原則是盡量將WAP網(wǎng)關(guān)置于防火墻保護(hù)之后,因?yàn)閿?shù)據(jù)在到達(dá)WAP網(wǎng)關(guān)后往往會(huì)被解密而失去了WTLS的保護(hù),在其流出WAP網(wǎng)關(guān)之后往往容易被俘獲。

如何解決內(nèi)網(wǎng)的安全問題

以下是OMG小編為大家收集整理的文章,希望對(duì)大家有所幫助。 在真實(shí)的世界里,確實(shí)有很多因技術(shù)因素而造成的內(nèi)網(wǎng)安全困局,其中最重要的就是混雜平臺(tái)問題。即使在一些小企業(yè)當(dāng)中,也可能存在著超過一種以上的操作系統(tǒng)環(huán)境。比如那些需要W
推薦度:
點(diǎn)擊下載文檔文檔為doc格式
75414