當(dāng)前位置:首頁(yè) > 消費(fèi)電子 > 視頻技術(shù)
[導(dǎo)讀]   內(nèi)網(wǎng)安全管理對(duì)于企業(yè)來(lái)說(shuō)變得愈加的重要,一個(gè)企業(yè)的安全問(wèn)題影響著企業(yè)各方面的發(fā)展,我們對(duì)于企業(yè)的分析就從企業(yè)的安全設(shè)計(jì)談起,看看在此方面上都存在哪些內(nèi)容。   弊病一:客戶端補(bǔ)丁升級(jí)

  內(nèi)網(wǎng)安全管理對(duì)于企業(yè)來(lái)說(shuō)變得愈加的重要,一個(gè)企業(yè)的安全問(wèn)題影響著企業(yè)各方面的發(fā)展,我們對(duì)于企業(yè)的分析就從企業(yè)的安全設(shè)計(jì)談起,看看在此方面上都存在哪些內(nèi)容。

  弊病一:客戶端補(bǔ)丁升級(jí)依賴于員工的自覺(jué)

  現(xiàn)在企業(yè)中大部分用戶采用的都是Windows客戶端。而這個(gè)客戶端的特點(diǎn)就是補(bǔ)丁特別的多,包括IE補(bǔ)丁、Offcie辦公軟件補(bǔ)丁等等。如果不及時(shí)打上補(bǔ)丁的話,則很容易病毒利用,成為其傳播的便捷渠道。不過(guò)可惜的是,有不少的IT 負(fù)責(zé)人不重視補(bǔ)丁方面的管理與控制。如有些管理員,純粹依靠用戶的自覺(jué),來(lái)進(jìn)行補(bǔ)丁的管理。如在客戶端上通過(guò)自動(dòng)更新服務(wù)來(lái)對(duì)給系統(tǒng)打補(bǔ)丁。采取這個(gè)操作是,需要客戶端用戶的手工操作。如需要進(jìn)行手工確認(rèn)是否需要進(jìn)行補(bǔ)丁升級(jí)、升級(jí)完成后可能還需要重新啟動(dòng)等等?,F(xiàn)實(shí)的情況是有些用戶認(rèn)為這么操作比較麻煩,為此都不會(huì)自覺(jué)的去升級(jí)補(bǔ)丁。如此的話,就給內(nèi)網(wǎng)的安全造成了比必要的安全隱患。

  為此筆者建議,對(duì)于補(bǔ)丁的管理,最好采取統(tǒng)一的解決方案。如微軟有一個(gè)補(bǔ)丁管理的工具,可以在服務(wù)器上控制強(qiáng)制對(duì)客戶端系統(tǒng)打補(bǔ)丁。如在下次啟動(dòng)之前給系統(tǒng)自動(dòng)打補(bǔ)丁等等。這么設(shè)計(jì)即可以保障內(nèi)部網(wǎng)絡(luò)的安全,也可以對(duì)用戶的不利影響降至到最低。總之筆者認(rèn)為,最好不要將補(bǔ)丁更新的權(quán)利交給用戶。大部分用戶并不會(huì)正確行使這個(gè)權(quán)力。

  弊病二:自簽名證書(shū)不兼容會(huì)惹禍

  IE瀏覽器一直是微軟操作系統(tǒng)與服務(wù)器的安全重災(zāi)區(qū)。其中用戶的不正確設(shè)置是其總要的一個(gè)原因。微軟為了改善這種情況,在微軟的一些產(chǎn)品中,如Exchange中加入了自簽名證書(shū)。簡(jiǎn)單的說(shuō),就是當(dāng)企業(yè)用戶沒(méi)有采取任何安全措施的話,那么系統(tǒng)就會(huì)自動(dòng)啟用自簽名證書(shū),以啟用一定的安全加密機(jī)制,如SSL加密等等。

  這種默認(rèn)的安全措施在一定程度上提高了系統(tǒng)應(yīng)用的安全性。特別是對(duì)于那些沒(méi)有安全觀念的用戶來(lái)說(shuō),能夠啟動(dòng)不少的幫助。但是到現(xiàn)在為止,這個(gè)自簽名證書(shū)的作用只限于微軟的產(chǎn)品。如企業(yè)現(xiàn)在使用的是Exchange的服務(wù)器,然后采用IE瀏覽器去訪問(wèn)這個(gè)郵箱的話,沒(méi)有問(wèn)題。但是如果采用其他的瀏覽器去訪問(wèn)的話,就可能會(huì)出現(xiàn)不兼容的問(wèn)題。如瀏覽器會(huì)提示用戶系統(tǒng)并不信任這一類(lèi)的證書(shū)。有些管理員為了減少這種麻煩,就索性將自簽名證書(shū)的功能也禁用掉。這無(wú)疑減弱了企業(yè)內(nèi)部網(wǎng)絡(luò)服務(wù)器的安全性。

  弊病三:不注重后續(xù)的追蹤

  有不少的企業(yè),在網(wǎng)絡(luò)設(shè)計(jì)與組建時(shí),非常關(guān)注企業(yè)內(nèi)部網(wǎng)絡(luò)的安全。如禁用不必要的服務(wù)、禁止使用移動(dòng)設(shè)備等等。但是在這方面他們也存在著一定的誤區(qū)。就是非常重視前期的設(shè)計(jì)與配置,但是卻缺少后續(xù)的追蹤機(jī)制。

  如對(duì)于文件服務(wù)器來(lái)說(shuō),企業(yè)可能有比較安全的權(quán)限訪問(wèn)機(jī)制等安全措施。但是卻缺少訪問(wèn)審核機(jī)制。也就是說(shuō)無(wú)法判斷這個(gè)安全措施是否到位,也無(wú)法分析用戶是否存在著越權(quán)的訪問(wèn)。在這種情況下,可能只有在最后出現(xiàn)問(wèn)題的時(shí)候,才能夠發(fā)現(xiàn)這方面的不足。筆者建議,在前期做好安全設(shè)計(jì)與相關(guān)的配置固然重要,但是在后續(xù)日常工作中也需要最好追蹤分析的工作。當(dāng)發(fā)現(xiàn)原有的配置跟不上企業(yè)安全的需求時(shí),需要進(jìn)行及時(shí)的調(diào)整。如對(duì)于文件服務(wù)器來(lái)說(shuō),可以啟用審計(jì)功能。將用戶的未經(jīng)授權(quán)的訪問(wèn)都記錄在案。然后對(duì)這個(gè)數(shù)據(jù)進(jìn)行分析,以判斷用戶可能的攻擊行為。

  弊病四:沒(méi)有使用逆向代理來(lái)減少端口的開(kāi)銷(xiāo)

  隨著企業(yè)信息化管理的普及,現(xiàn)在企業(yè)越來(lái)越不滿足于內(nèi)部用戶使用企業(yè)的信息化系統(tǒng)。如有些企業(yè)可能會(huì)在外地開(kāi)設(shè)辦事處。企業(yè)就希望這些辦事處的人員也能夠訪問(wèn)企業(yè)內(nèi)部的服務(wù)器。再如為了出差在外的員工工作的方便,也允許他們從公共網(wǎng)絡(luò)連接企業(yè)內(nèi)部的服務(wù)器。

  如果要允許企業(yè)內(nèi)部的服務(wù)器被外部用戶通過(guò)互聯(lián)網(wǎng)進(jìn)行訪問(wèn),那么就必須要在防火墻上開(kāi)啟多個(gè)端口。而這種情形就會(huì)增加企業(yè)內(nèi)部的安全隱患。道理很簡(jiǎn)單,這就好像是開(kāi)一幢房子開(kāi)了多個(gè)門(mén)。管理員無(wú)法兼顧到多個(gè)門(mén)的安全。如企業(yè)部署了微軟的即時(shí)通信套件。如果需要允許外部用戶使用這個(gè)即時(shí)通信服務(wù)器的話,那么就需要在防火墻上開(kāi)啟十幾個(gè)端口。這無(wú)疑大大降低了企業(yè)內(nèi)部網(wǎng)絡(luò)的安全性。當(dāng)遇到這種情況是,筆者建議使用逆向代理機(jī)制。逆向代理的服務(wù)器一般位于互聯(lián)網(wǎng)和本地需要開(kāi)發(fā)多個(gè)端口的服務(wù)器之間,基本上跟防火墻服務(wù)器是并列的。采用逆向代理的話,可以讓服務(wù)器在進(jìn)入外網(wǎng)前先隱藏起來(lái),同時(shí)還可以保障外部的惡意請(qǐng)求不會(huì)到達(dá)服務(wù)器。在安全方面,跟NAT技術(shù)有異曲同工之妙。不過(guò)從管理成本與性能開(kāi)銷(xiāo)上來(lái)說(shuō),要比NAT服務(wù)器低很多。

  弊病五:在同一個(gè)服務(wù)器上部署過(guò)多的應(yīng)用程序

  在同一個(gè)服務(wù)器上部署多個(gè)應(yīng)用程序,這種情況在企業(yè)中也是司空見(jiàn)慣的事情。這雖然可以在一定程度上降低企業(yè)信息化部署的成本,但是也增加了服務(wù)器的安全隱患。假設(shè)現(xiàn)在一家企業(yè)的一個(gè)服務(wù)器上部署了三種應(yīng)用,此時(shí)包括操作系統(tǒng)在內(nèi)的話,其實(shí)就有四種信息化系統(tǒng)。如果一種信息化系統(tǒng)存在2個(gè)安全漏洞的話,那么這臺(tái)服務(wù)器現(xiàn)在就有了8個(gè)漏洞。如果沒(méi)有采取嚴(yán)格安全措施的話,那么攻擊者只要利用其中的任何一個(gè)漏洞,就有可能竊取服務(wù)器上的內(nèi)容,甚至控制服務(wù)器。

  這就好像一條鏈條。如果鏈條上的一個(gè)個(gè)環(huán)越多,其安全性能相對(duì)來(lái)說(shuō)就越差。因?yàn)槿魏我粋€(gè)環(huán)斷掉的話,整條鏈條就會(huì)報(bào)廢掉。而環(huán)越多的話,則出現(xiàn)斷掉的可能性就會(huì)越大??偟膩?lái)說(shuō),企業(yè)如果需要在一臺(tái)服務(wù)器上部署多個(gè)應(yīng)用程序并不是不行,但是在數(shù)量上需要有所限制。一般情況下不要超過(guò)三個(gè)。同時(shí)對(duì)于一些重要的應(yīng)用,如數(shù)據(jù)庫(kù)等的功能,最好采取單獨(dú)的應(yīng)用服務(wù)器,以保障其安全。而且還需要采取一些必要的措施,如虛擬CPU等技術(shù),來(lái)給多個(gè)應(yīng)用程序提供相對(duì)獨(dú)立的工作環(huán)境。

  弊病六:對(duì)郵件等需要授權(quán)的訪問(wèn)沒(méi)有采取SSL加密機(jī)制

  企業(yè)中不少的信息化系統(tǒng)需要授權(quán)才能夠進(jìn)行訪問(wèn)。如對(duì)于郵件系統(tǒng),用戶只能夠訪問(wèn)自己的郵箱。對(duì)于文件服務(wù)器,也只能夠訪問(wèn)授權(quán)允許訪問(wèn)的文件。而這些控制,基本上都是通過(guò)用戶名與密碼來(lái)進(jìn)行限制的。

  在內(nèi)部網(wǎng)絡(luò)中,先主要采用的是HTTP與HTTPS兩種訪問(wèn)機(jī)制。前者HTTP其特點(diǎn)是對(duì)于傳輸中的數(shù)據(jù)沒(méi)有進(jìn)行任何的加密措施。即用戶名與密碼在網(wǎng)絡(luò)中都是明文傳輸?shù)?。如此的話,通過(guò)網(wǎng)絡(luò)嗅探器等工具,就可以輕而易舉的竊取到用戶的用戶名與密碼。從而進(jìn)行破壞活動(dòng)。而如果用戶名與密碼信息泄露的話,最好的安全措施也無(wú)濟(jì)于事。筆者的建議是,對(duì)于一些重要的應(yīng)用,如郵件、文件服務(wù)器等等,最好采用HTTPS協(xié)議。這個(gè)協(xié)議的特點(diǎn)是在數(shù)據(jù)傳輸過(guò)程中采用SSL加密機(jī)制對(duì)數(shù)據(jù)進(jìn)行加密,以確保用戶名與密碼的安全。

  內(nèi)網(wǎng)安全管理中的內(nèi)容很復(fù)雜,很廣泛,文章就知識(shí)介紹了幾種弊病,供大家參考。但是這絕對(duì)是比較經(jīng)典的一些問(wèn)題。各位可以針對(duì)企業(yè)自己的實(shí)際情況,來(lái)進(jìn)行自我檢查。對(duì)于內(nèi)部網(wǎng)絡(luò)安全來(lái)說(shuō),要重在預(yù)防。

本站聲明: 本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布,目的在于傳遞更多信息,并不代表本站贊同其觀點(diǎn),本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專(zhuān)欄作者,如若文章內(nèi)容侵犯您的權(quán)益,請(qǐng)及時(shí)聯(lián)系本站刪除。
換一批
延伸閱讀

9月2日消息,不造車(chē)的華為或?qū)⒋呱龈蟮莫?dú)角獸公司,隨著阿維塔和賽力斯的入局,華為引望愈發(fā)顯得引人矚目。

關(guān)鍵字: 阿維塔 塞力斯 華為

倫敦2024年8月29日 /美通社/ -- 英國(guó)汽車(chē)技術(shù)公司SODA.Auto推出其旗艦產(chǎn)品SODA V,這是全球首款涵蓋汽車(chē)工程師從創(chuàng)意到認(rèn)證的所有需求的工具,可用于創(chuàng)建軟件定義汽車(chē)。 SODA V工具的開(kāi)發(fā)耗時(shí)1.5...

關(guān)鍵字: 汽車(chē) 人工智能 智能驅(qū)動(dòng) BSP

北京2024年8月28日 /美通社/ -- 越來(lái)越多用戶希望企業(yè)業(yè)務(wù)能7×24不間斷運(yùn)行,同時(shí)企業(yè)卻面臨越來(lái)越多業(yè)務(wù)中斷的風(fēng)險(xiǎn),如企業(yè)系統(tǒng)復(fù)雜性的增加,頻繁的功能更新和發(fā)布等。如何確保業(yè)務(wù)連續(xù)性,提升韌性,成...

關(guān)鍵字: 亞馬遜 解密 控制平面 BSP

8月30日消息,據(jù)媒體報(bào)道,騰訊和網(wǎng)易近期正在縮減他們對(duì)日本游戲市場(chǎng)的投資。

關(guān)鍵字: 騰訊 編碼器 CPU

8月28日消息,今天上午,2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)開(kāi)幕式在貴陽(yáng)舉行,華為董事、質(zhì)量流程IT總裁陶景文發(fā)表了演講。

關(guān)鍵字: 華為 12nm EDA 半導(dǎo)體

8月28日消息,在2024中國(guó)國(guó)際大數(shù)據(jù)產(chǎn)業(yè)博覽會(huì)上,華為常務(wù)董事、華為云CEO張平安發(fā)表演講稱,數(shù)字世界的話語(yǔ)權(quán)最終是由生態(tài)的繁榮決定的。

關(guān)鍵字: 華為 12nm 手機(jī) 衛(wèi)星通信

要點(diǎn): 有效應(yīng)對(duì)環(huán)境變化,經(jīng)營(yíng)業(yè)績(jī)穩(wěn)中有升 落實(shí)提質(zhì)增效舉措,毛利潤(rùn)率延續(xù)升勢(shì) 戰(zhàn)略布局成效顯著,戰(zhàn)新業(yè)務(wù)引領(lǐng)增長(zhǎng) 以科技創(chuàng)新為引領(lǐng),提升企業(yè)核心競(jìng)爭(zhēng)力 堅(jiān)持高質(zhì)量發(fā)展策略,塑強(qiáng)核心競(jìng)爭(zhēng)優(yōu)勢(shì)...

關(guān)鍵字: 通信 BSP 電信運(yùn)營(yíng)商 數(shù)字經(jīng)濟(jì)

北京2024年8月27日 /美通社/ -- 8月21日,由中央廣播電視總臺(tái)與中國(guó)電影電視技術(shù)學(xué)會(huì)聯(lián)合牽頭組建的NVI技術(shù)創(chuàng)新聯(lián)盟在BIRTV2024超高清全產(chǎn)業(yè)鏈發(fā)展研討會(huì)上宣布正式成立。 活動(dòng)現(xiàn)場(chǎng) NVI技術(shù)創(chuàng)新聯(lián)...

關(guān)鍵字: VI 傳輸協(xié)議 音頻 BSP

北京2024年8月27日 /美通社/ -- 在8月23日舉辦的2024年長(zhǎng)三角生態(tài)綠色一體化發(fā)展示范區(qū)聯(lián)合招商會(huì)上,軟通動(dòng)力信息技術(shù)(集團(tuán))股份有限公司(以下簡(jiǎn)稱"軟通動(dòng)力")與長(zhǎng)三角投資(上海)有限...

關(guān)鍵字: BSP 信息技術(shù)
關(guān)閉
關(guān)閉