快捷搜索:

打造企业网络安全的六大守则

编者按:收集是脆弱的,对一样平常用户来说,他们对付收集安然还仅仅是停顿在安装一个杀毒软件的层面上,还有的人无邪的以为这样就万事大年夜吉,连病毒库都不去更新。这样怎么能抵盖住黑客不法入侵和病毒的肆虐....

1、安装操作系统或利用法度榜样时不要应用默认值

险些所有的操作系统或利用法度榜样的厂商都邑供给用户快速安装的功能,虽然厂商的设计是为了方便用户,然则在绝大年夜多半用户不知情的环境下,系统却同光阴却安装了许多不需要功能。比拟之下,这种所谓采默认值安装的操作系统或利用法度榜样,每每是造成安然破绽的罪魁。主要缘故原由是由于用户平日不会去留意那些从来不用的功能,而且有许许多多的用户,包孕IT的治理职员,根本就不知道自己在应用中的操作系统或利用法度榜样上到底安装了哪些器械。一旦这些不明的功能呈现破绽,而偏偏用户又一无所知,且未实时加以修补的话,那每每会成为黑客入侵的最佳通道。

就操作系统来说,采纳预设的安装平日都邑连带安装越过用户所需的功能与收集办事,可巧黑客最爱好经由过程这些收集办事与通讯端口来进行入侵的动作。是以,若你所安装或开放的功能、收集办事与通讯端口越少,黑客就越不得其门而入。同样地,以默认值安装的利用法度榜样,平日内含不需要的典型法度榜样或是Scripts。一些常见的网站办事器破绽等于因这些典型法度榜样或是Scripts所造成,黑客可以使用这些不为用户所知的典型法度榜样或Scripts所造成的破绽来进行入侵、或取得该系统上的信息。绝大年夜多半被安装在利用法度榜样上的典型法度榜样或是Scripts不仅未颠末严谨的安然节制与设计,也未落实差错反省的事情,相反地,却成了黑客进行buffer overflow缓冲区溢位进击的最佳通道。

假如你曾经应用厂商供给的快速安装法度榜样来安装操作系统与利用法度榜样,而且尚未删除不需要的收集办事并安装所有的修补法度榜样的话,你的系统极有可能破绽一箩筐,且相称轻易导致黑客入侵。即便你设定过相关的功能,你的操作系统或利用法度榜样仍有可能有破绽,以是你可以应用端口号扫描对象(port scanner)或是破绽扫描对象(vulnerability scanner)来作一确认。牢记删除或关闭操作系统或是利用法度榜样上不需要的功能、收集办事与通讯端口。虽然在企业里要落实这些安然治理事情无意偶尔相称费时辛勤,然则企业可以事先制定标准的操作系统与利用法度榜样的安装规范来阐明一样平常用户或IT治理职员可以安装那些功能或办事,以有效办理此一问题。

2、应用先辈的用户帐号/密码设定与组合

帐号与密号的应用平日是许多系统预设的第一,同时也是独一的防护步伐。是以,黑客假如能取得用户的帐号与密码,那即可节制被入侵的系统。事实上,有许多的用户的密码要不是很轻易被估中,便是应用系统预设的密码,愈甚者,还有些人根本就不设密码。用户应该要牢记把握避免应用欠妥的密码、系统预设密码、或是应用空缺密码的原则。

先辈的密码系统包孕两部分,一部分是「加密(encode)」,另一部分是「解密(decode)」。当一个密码设定完成后,会被以「明码」或是「暗码」的形式记录起来,以招供证之用,我们假设法度榜样把密码存在「password.txt」档案中,而我们的密码假设为「ken」。

当档案颠末加密后,下次打开这个档案就会被要求读入一个密码,假如是「明码」,那我们例子中的「password.txt」中就会被记载密码是「ken」,可是这很不安然,用写字板就可以轻松破解这个密码。

「暗码」就对照先辈了,他会被从新编码再储存,而且从新编码的要领很多,可能是一种很特殊的排列组合,这完全看设计者若何发挥。例如设定把他转成16进位码算作编码,以是这个密码「ken」颠末处置惩罚就变成「68」、「74」、「77」,然后存在「password.txt」里的就成了「687477」,想解开「暗码」平日要花较多功夫。最新的编码技巧就更厉害了,像 UNIX、Windows 系列中也常用到这些新技巧,便是所谓的弗成逆算法。刚刚「暗码」中的「687477」,假如你知道规则,那是可以易如反掌反推回去的,顿时就可以获得「ken」这三个字。为了办理这个问题,人们采纳了弗成逆的算法,便是让你无法返推回去。

密码的安然性是相对的,只如果密码就会有被破解的环境,只不过是被光阴的若干问题。那怎么设定密码,才能达到最好的效果?在此我供给下列几项反省措施供大年夜家参考:

(1) 准时考查系统上应用中与未应用中的帐号并予以记录,尤其对与Internet相连接的Router、Switch、Firewall、Server等主机上的密码应一一反省。

(2) 拟订企业信息系统用户帐号治理政策,具体规范增添用户帐号、以及删除不再继承应用的帐号时之应留意事变。

(3) 准时确认系统上是否呈现未经授权的新帐号,并且删除不再应用的帐号。

(4) 应用密码破解对象来反省用户的密码设定是否安然。在履行此一事情时,你该当取得主管的批准与授权。

(5) 离人员工或是委外厂商应用之帐号、以及不再应用的帐号应合时予以删除。

有效办理帐号/密码安然问题的第一步便是禁止应用空缺密码,任何被发明应用空缺密码的帐号应该急速设定密码或是删除该帐号,并按照企业安然政策来治理用户帐号/密码。有关帐号治理方面,应该把握下列原则:

(1) 帐号与密码弗成以相同。

(2) 避免应用字典上的词汇做为密码。

(3) 不要拿自己的名字、生日、电话号码来作为密码。

(4) 弗成以应用空缺密码。

(5) 密码之组成至少需6个字符以上。

(6) 密码之组成应包孕英文大年夜小写字母、符号、数字。

(7) 按应用目的与特点,密码至少每45 - 90天替换一次。

(8) 弗成以将密码抄录在纸张上或置于"民众,"场所,如贴在谋略机屏幕前。

(9) 避免应用公开场合的谋略机处置惩罚紧张资料,如网吧、藏书楼、黉舍谋略机中间等,以免密码被窃听或掉慎留下记录遭使用。

企业内紧张信息的应用,应结合严格帐号治理与成分认证法度榜样,以确保信息之应用仅及于授权的用户。成分认证除了须有完善的帐号治理作搭配外,用户可采纳所谓one-time password动态式密码、PKI公开金钥、数字签章等要领来共同,不仅可确认用户身特别,更毋须担心密码被窃,同时还可确保资料的精确性与弗成否认性。

3、关闭不需要的收集通讯端口

收集通讯端口是合法用户连接至主机端取得办事的通道,同样地,黑客也是使用同样的道路来入侵。以是说,你主机上开放的通讯端口越多,他人就越轻易与你的系统联机。是以,削减系统上开放的通讯端口数目是收集安然最有效的警备步伐之一,除了有需要对外供给办事的通讯端口之外,其它通讯端口应予以关闭。

你可以使用操作系统上内建的"netstat"指令来反省哪些通讯端口是处于开放或是聆听的状态,然则光靠netstat是不敷的,你还可以应用端口号扫描对象(port scanner)来做更进一步切实着实认。假如"netstat"与端口号扫描对象所孕育发生的结果不合的话,你应该急速做深入的反省。一旦两者的结果切合,接下来等于进行埠号确认的事情,除要懂得每一个通讯端口开放的缘故原由之外,你应该掌握每一个开放的通讯端口所代表的意义与其相关的收集办事。任何无法确认或鉴其余收集通讯端口应该尽快关闭。颠末netstat与端口号扫描的结果应该加以记录并保存,以作为日后按期安然考查时拿来比对是否呈现了不明或多余的通讯端口。

今朝有许多端口号扫描对象,最着名确当属"nmap". 它供给Unix与Windows两种版本:

(1) Unix版本的网址在:http://www.insecure.org/nmap/

(2) Windows NT/2000版本的网址在:http://www.eeye.com.html/Research/Tools/nmapnt.html

当你进行端口号扫描时,牢记对1-65,535的埠号做周全性的TCP与UDP端口号扫描,以免遗漏落了任何可能开放的通讯端口。别的,你该当在取得收集主管的书面批准与授权之后,才可进行端口号的扫描的事情。要分外留意的是,某些操作系统与内含特殊TCP/IP客栈功能的收集设备,在被扫描时可能会发生弗成预期的反映。此外,假如你未事先声明或见告相关职员,端口号扫描的动作也可能会触动入侵侦测或防火墙,而被误判为进击的行径。是以进行端口号扫描时,你不得不审慎行事。

一旦你已掌握系统上开放的通讯端口有哪些之后,接下来即为确认该系统应该开放的通讯端口是哪些,而哪些又是不需要,且必须关闭或删除的通讯端口。例如你对外办事的网站办事器,应该只开放http/80埠,DNS办事器应该只开放dns/53埠,邮件办事器应该只开放smtp/25埠、pop3/110埠。假如你发明贵单位恰恰有上述对外办事的办事器,则请仔细反省你的办事器是否只开放的前述的通讯端口。假如不是,那你应该尽快将其它非需要性的通讯端口予以关闭或删除。你可以经由过程编辑、改动inetd.conf以及相关设定文件来对Unix系统作一端口号开放的限定与治理。

值得一提的是,万一系统被植入后门法度榜样或是被使用来算作跳板做进一步进击时,黑客必须应用特定的收集办事通讯端口(port)对其他系统进行入侵。这些后门法度榜样多数应用特定的通讯端口号(port number),你可以用Nmap或是Nessus之类的Freeware或是套装扫描对象来检测出可疑的通讯活动。当然,防火墙的功能除了可将你收集上不需要的通讯端口关闭,保护你的企业内部收集,并过滤来往的收集应用,以防止黑客入侵之外,当你的内部收集掉慎被植入后门有可能被算作跳板使用时,只要精确地设定你的防火墙,可以避免在外的黑客经由过程后门法度榜样所打开的特定通讯端口进行破坏,由于防火墙只会容许合法通讯端口的应用,并阻挡统统不法的收集联机。

4、对进进出的IP封包进行过滤

捏造IP地址是黑客惯用来暗藏踪迹的技俩。举例来说,smurf 进击

您可能还会对下面的文章感兴趣: