內網安全威脅不同於網絡邊界威脅。網絡邊界安全技術,防止來自互聯網的攻擊,主要是防止來自公共網絡服務器如HTTP或SMTP的攻擊。網絡邊界防範(如邊界防火墻系統等。)降低了有經驗的黑客只通過上網和寫程序就能訪問企業網的概率。內網安全威脅主要來自企業內部。惡意黑客攻擊通常是先控制局域網內的壹臺服務器,然後以此為基地對互聯網上的其他主機發起惡意攻擊。因此,我們應該在邊界實施黑客保護措施,同時建立和加強內網防範策略。
2.限制VPN訪問
虛擬專用網(VPN)用戶的訪問對內部網的安全構成了極大的威脅。因為他們將被削弱的桌面操作系統置於企業防火墻的保護之外。顯然,VPN用戶可以訪問內部網。因此,有必要避免給每個VPN用戶完全訪問內部網的權限。這樣,可以使用登錄控制權限列表來限制VPN用戶的登錄權限級別,即只需要賦予他們所需的訪問權限級別,例如訪問郵件服務器或其他可選網絡資源的權限。
3.為合作企業網絡建立內部網式的邊界保護。
合作企業網絡也是內部網絡安全問題的壹個主要原因。例如,雖然安全管理員知道如何使用實用的技術來完成防火墻和保護MS-SQL,但Slammer蠕蟲仍然可以入侵內部網,這是因為企業給了合作夥伴訪問內部資源的權限。因此,由於合作夥伴的網絡安全策略和活動無法控制,所以應該為每個合作企業創建壹個DMZ,將他們需要訪問的資源放在相應的DMZ中,不允許他們訪問內網的其他資源。
4、自動跟蹤安全策略
實時跟蹤安全策略的智能自動實施是有效實現網絡安全實踐的關鍵。它帶來了商業活動的重大變革,大大超過了手工安全策略的功效。業務活動的現狀要求企業使用壹種自動檢測方法來檢測業務活動中的各種變化,因此安全策略也必須與之相適應。例如,實時跟蹤企業員工的雇傭和解雇情況、實時跟蹤網絡利用率並記錄與計算機的對話的文件服務器。簡而言之,我們應該確保每天的所有活動都遵循安全政策。
5.關閉無用的網絡服務器。
壹個大型企業網絡可能支持四五個服務器同時傳輸電子郵件,有些企業網絡還會有幾十個其他服務器監視SMTP端口。這些主機很可能是郵件服務器的潛在攻擊點。所以需要逐個中斷網絡服務器進行審查。如果程序(或程序中的邏輯單元)作為窗口文件服務器運行,但不具有文件服務器的功能,請關閉文件的* * *共享協議。
6.首先保護重要資源。
如果數千萬臺計算機(例如,30,000臺計算機)連接到壹個內部網,那麽期望讓每臺主機都處於鎖定狀態和補丁狀態是非常不現實的。大型企業網絡的安全考慮壹般都存在優中選優的問題。這樣首先要對服務器的效益進行分析和評估,然後對內網的每臺網絡服務器進行檢查、分類、修復和加固。壹定要找到重要的網絡服務器(比如實時跟蹤客戶的服務器)並加以限制。這樣才能快速準確的確定企業最重要的資產,做好內網的定位和權限限制。
7.建立可靠的無線接入。
檢查網絡,為無線接入奠定基礎。消除無意義的無線接入點,保證無線網絡接入的強制性和可用性,提供安全的無線接入接口。將接入點放在邊界防火墻之外,允許用戶通過VPN技術訪問。
8.建立安全的乘客通道。
路人不需要被允許公開訪問內部網。很多安全技術人員實行的“內部禁止上網”的政策,使得員工給客戶壹些非法的訪問權限,導致內網難以實時跟蹤。因此,有必要在邊界防火墻之外建立壹個乘客訪問網絡塊。
9.創建虛擬邊界保護
主機是攻擊的主要目標。與其試圖保護所有主機免受攻擊(這是不可能的),不如試圖阻止攻擊者通過被攻擊的主機攻擊內網。因此,必須解決企業網絡的使用問題和企業業務範圍內虛擬邊界保護的建立問題。這樣,如果壹個市場用戶的客戶端被黑,攻擊者就不會進入公司的R & amp;d .因此,要實現公司的R & amp;d和市場之間的訪問控制。每個人都知道如何在互聯網和內部網之間建立邊界防火墻保護,現在我們也應該知道如何在互聯網上建立不同業務用戶之間的邊界保護。
10,可靠的安全決策
網絡用戶也存在安全風險。有些用戶可能缺乏網絡安全知識,比如RADIUS和TACACS的區別,或者代理網關和包過濾防火墻的區別,但他們作為公司的合作夥伴也是網絡用戶。因此,企業網絡應該使這些用戶易於使用,從而引導他們自動響應網絡安全策略。
此外,在技術上,還需要采用安全交換機,備份重要數據,使用代理網關,保證操作系統的安全性,使用主機保護系統和入侵檢測系統。