2009-07-10 14:43
1.未更改网络设备的缺省密码 “我们发现,很多企业的服务器、交换机、路由器以及其它网络设备都使用缺省密码---通常是‘password’或‘admin’,这是多么令人难以置信。” Tippett说。“大多数CIO们认为,这个问题不可能发生在他们身上,而事实则恰恰相反。”
为了避免这个问题,你需要对你网络中的每一台网络设备进行一次彻底的漏洞扫描,而不仅仅是核心或关键设备,Tippett说。然后修改每台设备的缺省密码。根据Verizon Business的研究结果,在过去的一年中所发生的网络侵害案件中,有一半以上是由于某个网络设备使用缺省密码而给犯案人员留下了可乘之机。 2. 多台网络设备“共享”同一个密码
企业的IT部门常常对多个服务器使用相同的密码,并且很多人都知道这个密码。就密码本省而言,它的安全性可能非常高---一个数字和字母的复杂组合,但是,一旦它被多个系统共享,那么所有这些系统都处于危险之中。
例如,某个知道这一“通用”密码的人离职了,而他很有可能在新公司还是使用同一密码。或者某个负责部署非关键系统比如数据中心冷却系统的外包人员,很有可能对其负责的所有客户的所有系统使用相同的密码。在这些情况下,如果密码被某个黑客得到,那么他就可以进入许多服务器并且造成很大的破坏。
Tippett说,企业IT部门需要制定一个流程---无论是自动还是手动---以确保服务器密码不会在多个系统之间共享,并且还要定期更换,这样才能保证密码安全。最简单也最有效的办法就是专门找一个人负责保管企业目前服务器的所有密码。
3.未能有效找出Web服务器的SQL编码错误
根据Verizon Business的研究结果,最常见的黑客攻击是对连接到Web服务器的SQL数据库的攻击,这大约占到了研究记录的79%。而黑客侵入这些系统的方式是利用Web表单提交一个SQL命令。如果表单的编码是正确的,那么它是不会接受SQL命令的。但是,有时开发人员的编码食物就可能“创造”所谓的SQL注入漏洞,黑客可以一用这些漏洞直接从数据库中查询他们所需要的信息。
Tippett说,避免SQL注入攻击的最简单方法就是运行一个应用防火墙,首先把它设置为“学习”模式,以便能够观察用户如何把数据输入字段中,然后将该应用防火墙设置为“操作”模式,这样SQL命令就不能“注入”字段中了。SQL编码问题十分普遍。“如果一个企业对自己的100台服务器进行测试,它们可能会发现其中90台有SQL注入问题。” Tippett说。
通常情况下,企业仅仅解决了核心服务器的SQL注入漏洞,但是他们忽略了很重要的一点:黑客往往是通过非关键系统进入到他们的网络的。Tippett建议网络管理员利用访问控制列表对网络进行划分,限制服务器同非重要设备的通讯。这样就可以有些地防止黑客利用一个小小的SQL编码错误非法获取数据。 4.未正确配置访问控制列表
使用访问控制列表分割网络是确保服务器不会越界的最简单有效的方式,它能确保每台网络设备或系统只与它们需要的服务器或系统进行通讯。例如,如果你允许业务合作伙伴可以通过你的VPN访问你内网中的两台服务器,那么你应该在访问控制列表中进行设置,确保这些业务合作伙伴只能访问这两台服务器,而不能越界。即便是某个黑客利用合作伙伴的这个通道进入你的企业内网,那么他也仅仅能窃取这两台服务器上的数据,危害范围大大降低。 “但是,现实情况却是,利用VPN进入企业网络的黑客往往在内网中畅通无阻,” Tippett说。事实上,如果所有企业都能正确配置访问控制列表,那么过去的一年中所发生
的网络侵害事件就能减少66%。配置访问控制列表是一件非常简单的工作,而CIO们不愿做这件事的理由是它涉及到将路由器用作防火墙,这是许多网络管理员并不希望的。 5.允许不安全的远程访问和管理软件
黑客侵入企业内网最常用的手段之一就是使用远程访问和管理软件包,比如
PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。通常,这些应用软件都缺乏最基本的保障措施,比如安全的密码。
解决这一问题的最简单方法就是对你的整个IP地址空间运行一个外部扫描,寻找PCAnywhere、Virtual Network Computing (VNC)或Secure Shell (SSH)。一旦检测到这些应用,立刻对其增加额外的保障措施,比如令牌或证书。除此以外,另一种方法就是扫描外部路由器的NetFlow数据,看看有没有远程访问管理流量出现在你的网络中。
根据Verizon Business的报告,不安全的远程访问和管理软件所占的比例也是非常高的,达到了27%。
6.没有对非关键应用进行基本漏洞扫描或测试
根据Verizon Business的研究结果,近80%的黑客攻击都是由于Web应用存在安全漏洞造成的。网络管理人员知道,系统最大的漏洞就在Web应用中,所以他们用尽浑身解数对关键系统和Web系统进行测试。
现在的问题是,大多数黑客攻击利用的都是企业内网非关键系统的安全漏洞。“主要问题是,我们疯狂的测试核心网络应用,而忽略了非Web应用测试,” Tippett说。因此,他建议网络管理员在做漏洞扫描或测试时应该把网撒的更大更广泛。
“我们从小受的教育就是一定要根据轻重缓解安排工作,但是不良分子却不管所谓的轻重缓急,哪个容易攻破,他们就进入哪个。”Tippett说。“一旦他们进入你的网络,他们就在里面为所欲为。”
7.未能对服务器采取有效的保护措施,恶意软件泛滥
Verizon Business的研究报告表明,服务器恶意软件大约占到了所有安全漏洞的38%。大多数恶意软件是由黑客远程安装的,用来窃取用户的数据。通常情况下,恶意软件都是定制的,所以它们不能被防病毒软件发现。网络管理员查找服务器恶意软件(比如键盘记录软件或间谍软件)的一个有效手段就是在自己的每台服务器上运行一个基于主机的入侵检测系统软件,而不仅仅是核心服务器。
Tippett表示,一些非常简单的方法就可以避免许多这类攻击,比如服务器锁定,这样新的应用就无法在它上面运行。“网络管理人员通常不愿意这样做,因为他们认为这可能会使安装新软件变得有些复杂,”Tippett说。“而事实上,如果你要安装新应用,你可以先开锁,安装完毕后,再锁上就OK了。”
8.没有正确配置路由器,从而禁止不必要的流量
恶意软件的一种很流行的破坏方式就是在服务器上安装后门或命令脚本。而防止黑客利用后门或命令脚本进行破坏的方法之一就是使用访问空盒子列表对网络进行划分。这样就可以防止服务器向非法的方向发送数据。例如,邮件服务器只能发送邮件流,而不是SSH流。除此以外,另一种方法就是将路由器用于缺省拒绝出口过滤,阻止所有出站流量,除非你想要留下某些有用信息。
“只有2%的企业这样做了。我感到困惑的是为什么这样一项简单的工作其余98%的企业没有做,” Tippett说。
9.不清楚重要数据信息的存储位置,没有严格遵守支付卡行业数据安全标准
大多数企业网络管理人员认为,他们确切地知道关键数据的存储位置,比如信用卡信息、社会安全号码或其它个人身份识别信息,并且对这些存储关键信息的服务器采用了最高级别
的安全措施。但是,显示情况却是这些数据还有可能存储在网络上的其它地方,比如备份网站或软件开发部。
正是这些次要的、非关键服务器才更容易受到攻击,从而导致核心数据被窃,给企业带来严重的灾难。查找所有关键数据存储位置的一个简单方法就是执行网络发现过程。“我们通常会在网络上安装一个探测器,这样我们就能看到关键数据从哪里出来的,并且要用到哪里去,” Tippett说。
所谓的PCI DSS 实施包括对银行信用卡/借记卡不同品牌12项非常严格的安全标准审查,审查其使用环境与信息安全问题的政策和程序,从而有效地保护持卡人的个人信息。“但大多数企业网络管理人员没有遵守PCI标准。” Tippett说。有时,虽然网络管理人员对他们所知道的信用卡数据存储服务器执行了PCI标准,但是,在托管这些重要数据的其它未知服务器上却没有采取任何措施。
根据Verizon Business的报告,98%的网络犯案记录都涉及到信用卡数据,但是,只有19%的企业遵循PCI标准。“显而易见的,遵循PCI标准真的很有效,” Tippett说。 10.没有一个全面的备份/灾难恢复计划
并不是做备份有多么困难。问题是很多时候你会因为忙乱而忘记了他们。因为大多数的系统管理员往往一天下来都忙得头昏脑涨,而备份看起 来是件浪费时间,毫无意义的工作——直到你真正需要它们之前。
显然,你需要备份企业的重要数据。我不是暗示大多数管理员们没有适当的备份策略。但是这些备份策略中,有很多策略十年来从未改变过。 你按照规定的时间间隔,用磁带备份了指定的重要文件,然后你就把它抛在脑后了。你没有考虑过评估与校正备份策略,甚至你都没有定期测 试备份磁带,以确认你的数据的确被正确备份下来了。直到某一天你不得不这么做(磁带系统毁坏了,甚至更惨——你遭遇了一次灾难性的数 据损失,现在你不得不使用备份来恢复)
至于灾难恢复,拥有一个完善考虑过的灾难恢复计划往往更糟。也许,在你的抽屉里就躺着一份写好的商务持续性计划,但是它真的是最新的 吗?它的确考虑到了你的所有设备和人员吗?所有重要的人员都了解该计划吗?(举个例子,也许在计划完成之后,又有新人被提升到了关键 的位置上。)这个计划已经覆盖了所有的重要因素吗?包括如何尽可能迅速的发现问题,如何提醒相关人员,如何隔离被影响的系统,以及如 何修复和恢复生产? 11. 忽视警报信号
UPS已经显示了一周的警报,提醒你是时候更换这老古董了。邮件服务器突然每天都会重起好几次。用户投诉他们的网页连接会突然神秘中断几 分钟而后再恢复正常。不过所有的一切似乎都还在正常运转,所以你稍稍推迟了检查问题的时间„„直到某一天,你刚上班,网络就瘫痪了。
正如对待我们自己的身体健康状况一样,你应当及早留心网络故障的早期危险信号,并在问题变得严重之前及早将它揪出来。 12.从不记录变动情况
当你对服务器的设置作过变动之后,应当花点时间把它记录下来。当物理损坏的灾难发生时,或者你的操作系统损坏以致你不得不从头开始重 做系统时,你会很高兴你事先做了这个工作。甚至有时候,情况根本没刚才说的发生灾难这么糟——你只是刚刚对服务器的设置作了变更,但 是看起来它并没按照你的预期方式进行工作,而不巧的是此时你却又忘记了原来的设置是什么。
的确,做记录花了你一点时间。但是就像备份一样,它值得你花这些时间。 13.从不在LOG记录上浪费空间
节省磁盘空间的一个方法是放弃使用LOG记录功能,或者设置你的LOG记录文件每增长到一个很小的数值后就覆盖旧文件。但是实际问题是磁盘 空间其实相对便宜,但是相对于没有了LOG文件后,你抓耳挠腮去查找问题所在并试图解决问题所花费的数小时而言,无论是从金钱还是你所遭 受的挫折,所节省的空间都实在没有多大价值。 某些软件默认状态下,没有自动打开他们的LOG记录功能。但是如果你想在问题出现后的众多悲痛中解救自己的话,记住这个原理:“任何可以 被记录的东西都应该被记录下来”。
14.不及时安装重要的更新
“这不会发生在我身上”的乐观综合症导致了许多网络的垮台。的确,某些更新和补丁有时会打断重要的应用软件,导致连接故障,或者干脆 瘫痪操作系统。因此你应该在部署之前彻底的测试这些升级程序,以避免上述现象的发生。但是一旦确认这些更新或补丁安全后,你应当尽可 能快地安装它们。
想想Nimda以及其他主要病毒、蠕虫对系统造成的巨大损害吧,虽然针对它们的补丁早已被放了出来。
15.推迟升级以节约时间和金钱
升级你的操作系统以及特殊应用软件可能既费时又费钱。但是推迟升级太久费用可能会更加昂贵,特别是对安全而言。有2个原因:
新软件通常内置更好的安全机制。与以前相比,现在对安全代码的关注明显高多了。 供应商一般在一定时间之后就会停止对老版本软件的支持。这意味着停止发布相应的安全补丁,所以如果你还继续运行老版本的软件,你将无 法抵御新的攻击威胁。 如果在你的企业内升级全部系统并不可行,那么分批进行升级,首先升级最容易受到攻击的系统。
16.管理口令粗枝大叶
虽然多元认证(智能卡、指纹认证)等正变得日益流行,绝大多数企业依旧在依靠用户名和密码来登录网络系统。不良的口令策略以及粗枝大叶 的口令管理会成为安全系统最薄弱的一环,让恶意攻击者无需多少技术即可侵入你的系统。
要求口令必须足够长度、足够复杂(最好采用通行字短语),要求用户定期更改口令,不许使用重复的口令。通过Windows的组策略或第三方软 件产品执行口令策略。确保用户已经进行过口令保密性教育,并事先警告他们社会学工程师用于探取他们口令的相关技术。 如果可能,实行一个除口令或PIN码之外的二次认证(你有什么或你是什么)。 17.无时无刻试图取悦所有人
网络管理员的工作并不需要每个人都喜欢你。你常常需要设定并执行人们不喜欢的规则。要抵御“例外”的诱惑(比如——“喔,看在你的份 上,我们会设置防火墙,让你可以使用即时通信软件”)
你的工作只是确保用户可以正常工作——除此以外没有别的。 18.从来不关心任何人
正如在网络的安全性和完整性处于危险时你要坚守阵地一样,聆听管理层和用户们的需求也同样重要。找出他们完成工作所需的支持,并在你 的职责范围内尽可能的让他们的工作变得更容易(你的职责就是确保一个安全可靠的网络)。
不要忽略网络首先存在的理由:为了人们可以共享文件与设备,发送和接收邮件,访问Internet,等等。如果你让这些都变得分外困难,他们 可能会寻找方法绕过你的保密措施,这也许会引发更厉害的安全威胁。
19.不教别人做你的工作,以此确保自己的不可或缺
这是一个企业界的普遍误解,而不仅仅是在IT界。你认为,如果你是唯一知道邮件服务器如何设置的人,是唯一知道所有交换机所在的人,你的工作就变得安全了。这也是许多系统管理员不肯记录网络设置与变化的另一个原因。
悲哀的现实是:没有人是不可或缺的。如果你因为某种原因离开了,公司会继续运作。你的保密措施可能会对你的继任者造成很大的困难,但 是最后他或她还是会解决的。 而在你工作的这段时间内,如果你不训练他人来接手你的工作,你可能会将自己锁定在当前的工作岗位上,难以得到升迁„„甚至难以获得一次休假。
1.网络服务器的管理
配置和管理服务器属性,安装和设置TCP/IP协议和远程访问服务协议,安装和管理DNS服务器,安装和配置网际命名服务器WINS。安装许可证服务器,为终端服务客户颁发许可证,管理本地和远程式终端。
对服务器上的信息不断地进行充实与更新,更新WWW页面信息、向数据库服务器注入新的数据、管理邮件服务器的用户信箱等。
2.网络用户的管理
网络管理员在保证网络安全可靠运行的前提条件下,根据单位人员的工作职权和人员变动情况,为每个用户设置账户、密码和分配不同的网络访问权限,设置对Web内容的访问权限等。 单位的主管领导拥有“至高无上”的权限,可以对任何网络服务进行任何操作,享有各种业务数据的访问权限,还要保证机密数据的安全。单位的各部门人员拥有同种权限,可以设置用户组,享有与他们所承担工作相应的权限并能执行与他们工作相关的任务。单位的所有员工都WWW、FTP、E-mail和某些数据库资源进行浏览、查询和下载,使用打印机进行文件打印的基本权限。
限制Web 服务器可登录的账号数量,及时注销过期用户和已挂断的拨号用户,关闭不用的网络服务等。
3.网络文件和目录的管理
首先要依据网络操作系统选择相应的文件系统。Window NT平台有FAT(文件分配表)和NTFS文件系统,NTFS是Windows NT提供的高性能、高可靠性和高安全性的网络文件系统。 设置目录和文件的共享权限和安全性权限,导出需共享的目录,建立逻辑驱动器与共享目录的连接。
检查文件系统的安全,定期地搜索系统信息并与主检查表进行比较,查找所有未授权用户随意修改的文件,并且应该确保在被修改之后能够恢复文件系统。
防止数据丢失和数据修复,网络数据备份和建立数据镜像站点(将数据完全地复制到另一台计算机上),数据文件重定向恢复和对敏感数据的加密管理等。
4.网络打印机的配置和管理
创建网络打印机服务器,设置网络打印机的策略、共享属性和安全规则。
5.IP地址的管理
IP地址管理是计算机网络能够保持高效运行的关键。如果IP地管理不当,网络很容易出现IP地址冲突,就会导致合法的IP地址用户不能正常享用网络资源,影响网络正常业务的开展。
目前中小型计算机网络中大多数采用C类地址,每个IP子网可以拥有200台计算机或网络设备,待日后计算机网络扩展。IP地址的分配一般有三种途径:
一是给网络设备分配特定的IP地址。对于服务器、经常上网的计算机和网络设备一般给予一个固定的IP地址。
二是对某些计算机的IP地址进行动态分配,对于那些不经常上网或是移动性较强的计算机,可以采用动态主机配置协议(DHCP)来动态配置IP地址,以节约IP地址资源,也便于网络管理员对这些网络设备的管理。
三是对一些工作站的访问分配公用IP地址。当一个工作站需要对网络进行访问时,集中式IP管理软件为它为配一个IP地址:当工作站完成对网络的访问后,收回分配给工作站的IP地址,这个IP地址成为公用的IP地址。
6.网络安全管理
网络管理员导出监视配置,设置图表视图选项、系统管理报警选项、事件日志类型。建立审核策略,监视网络活动、网络流量和网络服务。进行帮障的分主测试,分析网络帮障发生概率,严格管理防火墙账号和口令,堵塞入侵者的功击路径,应会入侵者功击等。
7.网络布线的日常维护
根据员工的调动与工作需要在网络上增加新的服务器、工作站和联网设备,替换被损坏的线缆或排除网络线缆接头帮障等,都需要对网络布线系统进行维护。
(1)建立网络布线基准文档。在线缆系统安装后,网络管理员使用电缆测试仪对线缆进行周期性检测,确保布线系统的质量。在评估认证后,将电缆测试仪存储的测试结果复制到计算机上并打印出来,作为网络布线基准文档。
(2)网络布线故障的测试与定位。将网络布线系统分割为若干个逻辑元素,每个逻辑元素包含一段岩固定链路、分线盒和跳接电缆。使用电缆测试仪逐个测试逻辑元素,若电缆测试仪显示开路的距离,可以确定开路或短路的位置;若发现接线映射故障,多数是固定链路两面三刀端的误接;若是衰减过在,多数是劣质电缆。使用替代法验证可疑元件。
8.关键设备的管理
计算机网络 有的关键设备一般包括网络的主干交换机、中心路由器以及关键服务器。对这些网络设备的管理,除了通过风管软件实行监视其工作状态外,更要做好它们的备份工作。现在许多厂商都推出了关键服务器备份解决方案,备份服务器能够保持与主服务器之间的操作和运行同步,这样就保证了关键数据库的数据一致性和可靠性,以备将来主服务器出现故障时备份服务器及时替代主服务器的工作。
路由器与广域风连接一般通过在其他广域风端口上配置V.25bis接口来做高可靠性广域网连接的拨号备份,当主链路因故障断开时,备份链路就能够及时拨号建立,继续主链路上的数据传输。
对主干交换机的备份,目前似乎很少有厂商能提供比较系统的解决方案,因而只有靠网络管理员在日常管理中加强对主干交换机的性能和工作状态的监视,以维护网络主干交换机的正常工作。
因篇幅问题不能全部显示,请点此查看更多更全内容