企业网络安全如何保障
来源:中国IT实验室 更新时间:2009-11-30

   随着各种漏洞不断地被曝光,不断地被黑客利用,不仅为企业本身带来了损失,也可能给用户带来巨大的损失,比如去年的闹得沸沸扬扬的DNS漏洞,黑客利用该漏洞可以成功的控制任意一个网站。这个漏洞会造成用户输入正确的银行网址却很可能登录到黑客伪造的站点,那么用户的损失可想而知。

  治理漏洞已经成为企业网络安全管理中重要的一环。那么面对众多的网络漏洞,怎么才能保障企业网络的安全呢?很多企业都会部署相关的安全解决方案,例如防病毒网关、防火墙、入侵防护系统、VPN、访问控制、身份认证等,这些安全产品确实可以起到安全防护的作用。

  但仅有这些还是不够的,网络管理员还需要做好漏洞防护工作,保护好管理员账户,只有做到这两个基本点才能让我们的网络更加安全,让我们的企业在千疮百孔的网络中安全行驶。

  主动扫描

  想要做好漏洞防护,首先需要知道有哪些漏洞,这样才能进行修补。所以,漏洞防护的第一项工作就是对现有主机进行扫描,查清有哪些漏洞。现在主流的扫描方式有两种,一是网络扫描,即用网络中的一台主机对网络内的全部主机进行扫描,这里要利用一些网络隐患扫描工具(如RJ-iTop),对网络内的所有电脑进行扫描,可以发现这些主机的操作系统的漏洞。

  二是主机扫描,也就是把内网上所有主机都安装扫描工具,然后每台主机进行扫描。利用我们经常使用杀毒软件,像卡巴、瑞星、诺顿、360安全卫士等,他们都自带有漏洞扫描工具,通过扫描网络安全管理员可以非常轻松的找出操作系统中存在的漏洞。

  这两种扫描方式都有自身的不足,第一种方法扫描不够细致,第二种方法又太过费时费力,所以笔者建议这两种方法要交替进行,这样才能得到最全面的漏洞信息。

  定期扫描

  漏洞可能每天都会出现,想要得到更高的安全性,当然是扫描频率越高越好,这样我们可以最早的发现漏洞。然而我们也都清楚,系统扫描相当的消耗系统资源,会对主机以及网络的性能产生很大的影响,员工的工作效率会受到影响。这里特别要指出的是,不要在工作时间采用网络扫描,因为这会大大消耗企业的网络带宽,经过测试可以发现,传输同样大小的文件,开启网络扫描要比不开启多用一倍的时间。

  所以在安全和效率间找一个平衡点是非常重要的,对于网络扫描来说我们建议在夜间进行,这样不会影响到任何的工作,可以固定为每天凌晨的1-2点来进行。对于主机扫描就相对灵活些,中午的吃饭时间是个不错的选择,可以快速进行也不影响员工工作。这样两种扫描方式每天各进行一次就可以了,更快的频率会使系统的负担加重,造成不必要的麻烦。

  漏洞扫描到了,那么赶快安装漏洞补丁吧。别急,修补前需要做好测试工作。

  测试兼容性

  相信多数人都有这样的习惯,一旦发现了漏洞,就会马上下载相关的补丁程序并安装运行。但是经验告诉我们,如果这个补丁与你的主机的一个程序有冲突,你的麻烦可就多了。所以在这里提醒大家,我们在打漏洞补丁时,最好还是在几台电脑上进行试运行,看看是否和其他软件有冲突。

  虽然例如微软操作系统及其办公软件所公布的补丁在发布前也会进行一些测试。但是,他们测试的内容很可能不涉及你的企业所用到的软件程序。所以为了避免事后后悔,就别怕麻烦,装补丁前好好测试下兼容性。

  漏洞修补完了就万事大吉了吗?当然不是,漏洞只是攻击者的入口,攻击者想要得到的是网络管理员的权限,那么管理员的账户和密码就是网络安全的关键,一起来看看有哪些好的方法来保护我们的网络安全。

  检查是否有隐性帐户的存在

  微软操作系统是支持多用户,一个操作系统中,可以有多个用户。在控制面板的帐户设置中,就可以查看当前操作系统的所有用户记录。然而你是否知道,帐户记录是可以隐形的。很多攻击者在取得管理员帐户之后通常不会使用这个帐户进行非法操作,而是利用管理员的权限,创建一个新的用户名,然后将它隐藏。这样,控制面板用户帐户里就看不到这个帐户的信息的,攻击者也就可以肆虐你的网络了。

  那么当我们怀疑电脑被黑的时候,就要先检查是否有隐型用户名,并及时将其删除它。

  在图形界面下,我们是无法看到该隐形帐户的存在,自然不能对其进行修改删除。所以想要查看是否有隐形帐户的存在,只能在DOS状态下查看或者利用相关软件常看,最后在注册表中进行修改或删除。看到这里相信有些用户可以想到,这个方法也可以让管理员使用啊。没错,把管理员账户设置成隐形的既可以防止普通用户,也能阻止一部分攻击者,能使我们的网络更加的安全。

  不显示上次登陆名

  不在登陆界面显示上次登陆的帐户,这也可以提高管理员账户的安全性。由于系统默认是显示登录帐户的,所以我们要对其进行修改。首先,双击“我的电脑”,打开“控制面板”,打开“管理工具”,打开“本地安全策略”。其次,在打开的窗口中,选择“本地策略”,选择“安全选项”,最后找到“交互式登陆:不显示上次的用户名”。这样在下次登陆电脑时,就不会显示上次登陆的用户名,设置完了别忘了试一试哦。

  修改管理员帐户名称

  攻击者一般都会认为Administrator是管理员帐号,其实我们可以将计就计,把账户名改了,把Administrator设为最低权限。对于真正的管理员账号我们要把名字起的简单,越普通越好。

  不定期的更改密码策略

  作为网络管理员,我们要不定期的修改密码,从而避免因为密码泄露而造成损失。设置密码更改的频率不用太高,但时间要不固定,三天一变,一周一变等都可以。虽然会增加一定的工作量,但可以提高密码的安全性。另外,密码的复杂程度也很重要,简单来说就是越复杂越好,字母数字的组合是必须的,长度最好超过10位。

  总结

  上面介绍的都是企业网络防护的基础,但也是最容易被忽视的地方。现在的网络漏洞、网络威胁虽多,但并不全是无法阻止的,只要网络管理员更加的用心更加的细心一些,企业的网络安全性也会有很高的提升的。