当企业在找出了可能的威胁来源和可能导致的损害以后,制定适当的安全策略和保护措施就变得比较容易了。企业可以选择多种技术??从杀毒软件包到专用的网络安全硬件(例如防火墙和入侵检测系统),来为网络的所有部分提供保护。
与一个建筑物一样,网络也需要多层保护才能真正安全。
在确定了这种解决方案以后,就可以部署能够周期性地检测网络中的安全漏洞,提供持续、主动的安全保护的工具。另外还需要聘请专业的网络安全顾问来帮助企业为网络设计合适的安全解决方案,或者确保现有的解决方案的及时和安全。在所有这些选择都准备好以后,就可以在不严重影响用户对于快速、方便地访问信息的需求的前提下,实现足够的保护。
十大安全注意事项
1. 鼓励或者要求员工选择比较复杂的密码。
2. 要求员工每90天更换一次密码。
3. 确保您的杀毒软件的版本是最新的。
4. 让员工了解电子邮件附件的安全风险。
5. 实施一个完整的、全面的网络安全解决方案。
6. 定期评估您的安全状况。
7. 当一个员工离开公司时,立刻取消该员工的网络访问权限。
8. 如果您让员工在家工作,就要为远程数据流量提供一个安全的、集中管理的服务器。
9. 定期升级您的Web服务器软件。
10. 不要运行任何不必要的网络服务。
杀毒软件包
大多数计算机都装有杀毒软件,如果该软件被及时更新并正确维护,它就可以抵御大多数病毒攻击。杀毒软件行业依靠一个庞大的用户网络来提供对新病毒的早期预警,以便迅速地开发和发放杀毒程序。由于每个月诞生的新病毒数以千计,所以保持最新的病毒数据库非常重要。病毒数据库是杀毒软件包中含有的病毒记录,它可以用于发现已知的病毒。著名的杀毒软件供应商将在它们的网页上公布最新的杀毒程序,以及用于提醒用户定期地采集新数据的软件。网络安全策略应当保证网络上的所有计算机都都具有最新的病毒数据库,并且最好是由同一个杀毒软件包提供保护??这有助于最大限度地降低维护和升级成本。定期地升级软件本身也很重要。病毒的设计者们通常会将通过杀毒软件包的检测作为他们的首要目标。
安全策略
在设置一个网络时,无论它是一个局域网(LAN)、虚拟LAN(VLAN)还是广域网(WAN),在刚开始时设置最基本的安全策略非常重要。安全策略是一些根据安全需求,以电子化的方式设计和存储的规则,用于控制访问权限等领域。当然,安全策略也包括一个企业所执行的书面的或者口头的规定。另外,企业必须决定由谁来实施和管理这些策略,以及怎样通知员工这些规则。
安全策略、设备和多设备管理的作用相当于一个中央安全控制室,安全人员在其中监控建筑物或者园区的安全,进行巡逻或者发出警报
(1) 采用什么策略?
所实施的策略应当控制谁可以访问网络的哪个部分,以及如何防止未经授权的用户进入访问受限的领域。例如,通常只有人力资源部门的成员有权查看员工的薪资历史。密码通常可以防止员工进入受限的领域。一些基本的书面策略,例如警告员工不要在工作场所张贴他们的密码等,通常可以预先防止安全漏洞。可以访问网络的某些部分的客户或者供应商也必须受到策略的适当管理。
(2) 谁来实施和管理策略?
制定策略和维护网络及其安全的个人或者群体必须有权访问网络的每个部分。而且,网络策略管理部门应当获得极为可靠,拥有所需要的技术能力的人员。如前所述,大部分网络安全漏洞都来自于内部,所以这个负责人或者群体必须确保其本身不是一个潜在的威胁。一旦被任命,网络管理人员就可以利用复杂的软件工具,来帮助他们通过基于浏览器的界面,制定、分配、实施和审核安全策略。
(3) 您怎样向员工传达这些策略?
如果相关各方都不知道和了解规则,那规则实际上没有任何用处。为传达现有的策略、策略的更改、新的策略以及对于即将到来的病毒或者攻击的安全警报制定有效的机制是非常重要的。
身份识别
您的策略一旦确定,就必须采用身份识别方法和技术来帮助进行准确的身份认证,并验证用户和他们的用户缺陷。
访问控制服务器的作用相当于负责地点安全的准入卡和门卫,它可以为流量和用户提供集中的身份认证、授权和记帐(AAA)。
密码
确保网络的特定领域都得到了"密码保护"??只有那些具有专门的密码的人才能进入??是确保只有那些拥有特定权限的人才能进入网络的某个特定领域的最简单、最常用的方法。在上面提到的物理安全系统中,密码的作用类似于准入卡。但是,如果用户没有保管好他的密码,最强大的网络安全基础设施实际上也是没有用的。很多用户选择用便于记忆的数字或者单词来作为自己的密码,例如生日、电话号码或者宠物的名字,其他一些用户则永远不更改他们的密码,并且不注意保密。关于密码的黄金规则或者策略是:
1. 定期更改密码
2. 尽可能让密码不具有任何意思
3. 决不要将密码泄露给任何人,直到离开公司为止
将来,一些密码可能会被生物技术所取代,这种技术可以根据用户的生理特征来辨别用户的身份,例如指纹、眼纹或者声纹。
数字认证
数字认证或者公共密钥认证是驾驶执照和护照的电子式等价物,由制定的认证授权机构(CA)发布。数字认证主要用于在通过互联网建立加密通道时,例如在虚拟专用网(VPN)中时进行认证。
访问控制
在一个用户通过密码获得对网络的访问权限之前,网络必须判断该密码的有效性。访问控制服务器可以根据所存储的用户简历,验证用户的身份,判断该用户可以访问哪部分信息。在与之类似的物理安全系统中,访问控制服务器的作用相当于检查准入卡的门卫。
访问控制列表和防火墙类似于建筑物外墙上的门锁,只让经过授权的用户(拥有钥匙或者胸牌的用户)进出。
防火墙
防火墙是一个部署在网络基础设施中的硬件或者软件解决方案,它可以通过限制对于某些特定的网络资源的访问,实施一个企业的安全策略。在类似的物理安全系统中,防火墙的作用相当于通往建筑物内的一个房间的外门上的门锁??它只允许那些经过授权的用户,例如那些拥有钥匙和准入卡的用户进入。有些版本的防火墙技术甚至适用于家庭使用。防火墙可以在网络和外部世界之间创建一个保护层。事实上,防火墙在接入点处复制了网络,以便它可以在没有严重延迟的情况下接收和发送经过授权的数据。但是,它具有内置的过滤器,这些过滤器可以不让未经授权的或者可能具有危险的数据进入实际的系统。它还会把所有尝试过的入侵记录下来,提交给网络管理员。
加密
加密技术确保了消息不会被除经过授权的接受者以外的任何人阻截或者读取。加密通常用于保护那些在某个公共网络上传输的数据,它可以利用先进的数学算法来"搅乱"消息和它们的附件。目前存在多种加密算法,但是有些算法更为安全。加密提供了维持日益流行的VPN技术所必须的安全性。VPN是基于公共网络(例如互联网)的专用连接或者隧道。它们用于将远程办公人员、移动员工、分支机构和业务伙伴连接到企业网络,或者互相连接到一起。所有VPN硬件和软件设备都支持先进的加密技术,从而可以为它们所传输的数据提供最大程度的保护。
虚拟专用网(VPN)类似于携带着重要的货物驶向某个指定地点的装甲车,它们可以确保安全的、保密的传输。
入侵检测
企业继续部署防火墙,将其作为它们的中央门卫,以防止未经授权的用户进入它们的系统。但是,网络安全技术在很多地方类似于物理的安全系统,其中之一就是没有任何一种技术可以满足所有需要??因而一个层次化的防御系统可以带来最佳的效果。越来越多的企业开始寻求利用其他的安全技术来抵御防火墙本身无法消除的风险和漏洞。基于网络的入侵检测系统(IDS)可以提供全天候的网络监控。IDS可以分析网络中的分组数据流,查找未经授权的活动(例如黑客的攻击),让用户在系统受到危害之前对安全漏洞采取措施。当检测到未经授权的活动时,IDS可以向管理控制台发送警告,其中含有详细的活动信息,还可以要求其他系统(例如路由器)中断未经授权的进程。在类似的物理系统中,IDS类似于一个摄像机和移动传感器;它可以检测未经授权的或者值得怀疑的活动,并可以与自动执行的响应系统(例如守卫系统)合作阻止该活动。
入侵检测类似于一个监控摄像机和移动传感器,可以检测活动、发送警告,采取防御措施。扫描系统类似于一个安全守卫,可以在有人闯入之前,检查和关闭敞开的门和窗户。
网络扫描
网络扫描器可以对网络系统进行详细的分析,以生成一个网络资产的电子式库存列表,并检测可能会带来安全危害的漏洞。这种技术让网络管理人员可以在入侵者发现安全漏洞之前,找到并修补这些安全漏洞。在类似的物理安全系统中,扫描类似于执行周期性的建筑物巡逻,以确保门被锁好,窗户被关好。它有助于评估和了解风险,从而让用户可以采取纠正措施。
专业经验
尽管电子化的扫描工具可以彻底地检测网络安全漏洞,但是由专业的安全顾问所进行的安全评估可以进一步加强它们的作用。安全评估
