中小企业网络安全管理漏洞集
来源:硅谷动力 更新时间:2008-06-12

 笔者将试图通过几篇文章,结合自己的工作经验,想穷举企业网络管理员在企业网络安全管理工作中可能存在的漏洞。让同行可以引以为戒,尽可能的避免因为网络安全管理不当,而给企业带来不必要的损失。

  安全漏洞一:没有修改默认用户名与密码

  企业在部署路由器或者交换机,以及各种服务器的时候,一般为了管理的方便,厂方都会设置一个默认的用户名与口令,最常见的如用户名为admin,密码也为admin或者为空。默认的用户名与密码,同个厂家出的都一样,这就非常危险。稍有经验的网络管理员,对各个厂商生产的不同型号的产品的默认用户名与密码都耳熟能详。只要给出具体产品型号,对于其默认用户名与密码,他们可以说个八九不离十。所以,在部署这些设备的时候,若不修改默认用户名与密码,很可能就是给不法入侵者敞开了大门。

  1、有时候,管理员在管理设备时,可能会开一个临时的远程登陆管理员帐号。如我子公司现在有一个Linux的文件服务器。当子公司有问题需要我出面解决的时候,我会让他们开一个临时具有管理员权限的帐户,我可以通过这个帐户远程登陆解决。但他们给我开帐户的时候,有时只设置帐户没有设置密码,有时帐户跟密码一样;再或者把原先关闭的默认管理员帐户给开启了,没有修改密码的情况下给我使用。一不小心,就可能给非法入侵者提供了一个很好的入侵机会。所以,我们在建立一些临时性的管理员帐户时,也要像建立永久性管理员帐户那样,设置比较复杂的管理员用户与密码,增加破解的难度。

  2、企业增加无线路由设备时,没有设置连接密码,设置无线路由器的管理用户与密码为默认,没有修改。随着企业笔记本采用越来越广,随之为了工作的方便,无线路由设备采用的也越来越多。象我们公司,在会议室、会客室、培训室等公共场所都放置了无线路由器。这使得我们需要在这些地方进行临时性办公或者开会的时候,上网非常方便。利用笔记本的无线上网功能,不需要再通过网线就可以上网。但这也给我们企业的网络安全带来了很大的安全隐患。如当有客户来公司,若我们没有给无线路由器设置访问密码或者没有修改无线路由器的管理员密码,他们可以不经过我们允许访问我们企业的内部网络,甚至查询服务器上的信息。若我们只是给无线访问设置了连接密码,而没有更改无线路由器的默认用户名与密码的话,那么这个无线路由器就会赤裸裸的显示在人家面前,让人家蹂躏。所以,要及时更改这些设备的默认管理员用户与密码。

  3、VPN服务器的默认管理员与密码若没有修改的话,那有多危险呢?若没有给企业的VPN服务器修改默认管理员帐户与密码的话,就好象没有给厂区的大门上锁一样,什么人都可以进出了。那企业的网络还谈得上安全吗?而且,现在扫描工具网络上多的是。一些非法入侵者可能只需要利用这些扫描工具,花个一天时间,就能够知道整个华南地区的企业网络,其对外启了哪些服务,有没有安全性弱的管理员帐户与密码,包括你企业是否采用了VPN服务器,并且,若你服务器的管理员与密码没有更改的话,或者是一些纯数字的简单密码,如123456,则这个扫描工具可以把这些信息暴露无疑。

  一般只有带有OS系统的硬件设备,如路由器、交换机、防火墙、VPN设备等等,都有默认的用户名与密码。对于这些设备,我们都需要更改默认的用户名与密码,而且密码设置的时候,也不能采用简单的密码,很容易被人破解,至少也要采用跟数字与字符结合的密码。不要小看这个简单的组合,破解的难度比纯数字的密码,难度要高好几千倍。

 安全漏洞二:员工安全知识缺乏,没有网络安全的观念

  其实,大部分企业网络安全方面的问题都是由于员工的一些不恰当操作所造成的。由于他们没有这方面的专业知识来区分网络行为的的好坏,这给企业的网络安全带了了很大的漏洞。如企业员工在收到一封陌生人发来的带有附件的邮件时,他们不会产生任何的怀疑,会毫不犹豫的打开邮件的附件,此时,病毒或者木马就会乘虚而入,等带时机。而这些情况,对于用户来说,他们都是不知情的。

  所以,企业网络安全管理的重点,应该放在对员工平时网络行为的管理控制上,把网络安全威胁的苗头,消除在源头上。

  1、加强对用户权限的管理。一般的员工,不需要有操作系统或者服务器很高的权限。若他们的权限比较小,不能更改系统文件的配置,如安装软件或者更改注册表、使用系统命令等等,那么,即使他们中木马了,影响也是很小的。因为缺乏权限,这些木马与病毒不会大规模的在企业内部爆发与蔓延开来。所以,不要给企业内部的员工赋予过高的权限。在不影响他们正常工作的前提下,一般来说,权限是越小越好。如一般的程序安装、脚本执行等功能都可以限制掉。从而把用户的不理智行为所造成的损失降低到最少。

  2、加强对病毒邮件的监督力度。曾几何时,电子邮件成为了企业员工办公不可少的工具之一。但是,这也成为了木马、病毒等最好的繁殖基地。如有些木马与病毒,可以假借用户好友的名义发送邮件给用户。现在不少的邮件病毒,一个用户感染后,他就可以利用这个用户的邮件地址发送邮件给他的联系人,在附件中带有病毒或者木马。这种方式是非常隐蔽而且有效的木马与病毒传播方式。因为作为员工来手,对于朋友或者同事发送过来的邮件,总是没有任何防备的。他们在收到朋友发过来的邮件时,即使他们会感到奇怪,为什么平时没有什么联系的朋友会发邮件给自己,他们也不会打电话或者其他形式进行确认,而是毫不忧郁的打开邮件及附件,结果就中招了。根据有些权威公司的调查,发现现在邮件病毒已经成为了威胁企业网络安全的头号杀手。所以,我们在平时的工作中,要加强对用户的邮件的监控,特别是最好采取一定的策略,强制用户的邮件附件必须要经过病毒扫描才能打开。也可以采取一定的策略,要求外部发送过来的邮件,如人事部门的求职邮件等等,不能以附件形式接收,求职信必须在正文中写出。这无疑是防止邮件病毒的一个切实有效的方法,可以最大限度的防止因为员工的“糊涂”,而给企业网络安全管理带来的冲击。

  3、员工对于企业的网络安全过分的信赖或者依赖。有些员工,在自己家里电脑上上网,可能会小心翼翼。对于QQ上的一些不了解的网址不会轻易打开,也不会去访问一些不干净的网站,有QQ好友发一个网址过来,他们还要先问问是不是病毒。但是,在企业中,他们就放开胆子了。无论谁发给网址过来,他们都会不经确认的去浏览;或者去上一些非法的网站。在他们眼中,要么认为企业的网络是非常安全的,不会中毒的;要么认为反正自己的电脑中毒了也有网络管理员会维护,没有关系的。有了这些想法之后,他们在网上冲浪后,就没有了任何的顾忌。但是,这是因为没有了顾忌,肆无忌惮,就给了病毒、木马很好的机会。他们可以随着员工的“愚蠢”而侵袭我们的网络。针对这种情况,一方面我们在不影响工作的情况下,可以屏蔽QQ、MSN等比较容易传播病毒的即时聊天工具;同时,也可以对员工上外部网络进行限制。平时工作不必要上外网的,那就可以把他们的外网断掉。即防止了他们在上班时间上网聊天、逛论坛等没有给企业创造价值的工作,同时,也有效防止了他们带病毒进来,提高了网络的安全性。这是一举多得的方法,我们何乐而不为呢!

文件服务器的采用,确实给我们的工作带来了很大的方便。为此,我们不需要为每台电脑的文件备份而烦恼,我们也不用为系统崩溃导致重要文件丢失而头疼。确实,文件服务器的使用,对于企业信息化管理来说,是一个很大的进度,其在一定程度上,也体现了知识管理的内涵。

  但是,我们在文件服务器管理上也存在一些安全漏洞。这些漏洞导致我们文件服务器存为了企业数据泄密的一个重大毒瘤。

  如文件服务器没有设置查询权限。有些企业为了管理的方便或者缺乏一些有效的管理工具,把文件服务器上的文件对企业全部用户都是开放的,只是设置了只有具体的部门才能够修改,而对于查看的话,企业内部每个员工都可以查看。这就导致企业的保存在文件服务器上的一些机密信息,员工可以轻松的访问到。如一些产品的不同供应商之间的报价信息,若企业有名员工跟某个供应商有稍微一点关系,则这个员工就可以把这个报价信息泄露给供应商,而这个供应商就可以以这个报价表为基础,报一个更有利的价格。如此的话,企业就会失去在价格管理上的主动权。同时,对于其他供应商来说,也失去了公平竞争的权利。

  除了这个权限之外,在用户名与密码管理上,也存在这一些缺陷。如对于每个部门设置一个用户名,但是,密码的话,都是一致的。如此的话,一些对企业心存不满的员工,知道他人的用户名之后,就可以假借他人的用户名而登陆到文件服务器上,进行一些破坏动作。如文件的恶意删除与修改等等。我在这方面有一个惨痛的教训。那是我在一家企业中,负责企业的文件服务器的相关工作。那时候,我为了贪图方便,我给每个用户设置了一个用户名,用户名为他们员工编号;而密码的话,也跟他们的员工编号一样。一天,员工像我反映,他们文件服务器上的文件被改的一塌糊涂,修改的被修改,删除的被删除。我通过访问日志一查,在短短的一个小时内,同一个IP地址竟然有多大十几个不同用户名的访问,而且执行的就是修改与删除的操作。后来经过追查,原来有个部门的员工以为犯错误被公司开除。他心怀不满,就用这种手段来对公司进行报复。还好,我事先有服务器备份,损失的只是当天的文件修改数据。虽然如此,但是,也吓了我一跳。我马上着手修改用户的文件服务器访问密码,用户的访问密码每个人都不一样,并且只有我知道。同时,对于用户的相关权限,特别是修改与删除权限,做了严格的限制。简单的说,对于文件的删除与修改动作,原则上只有文件所有人,即文件的创立者才可以修改与删除。其他的,最多只有查询的操作。这个意外事件,可把我吓出了一身冷汗。

  在文件服务器上,可以说保存这切要一切有价值的资料,包括公开的与不公开的。所以对文件服务器的安全管理至关重要。对此,我有几个建议。

  1、针对不同的员工,设置不同的用户名与密码。并且,密码的话,最后员工不需要知道。我们在给他们进行系统配置的时候,可以让操作系统自动记住密码。如此的话,在用户进行服务器登陆操作时,不会因为输入密码而泄露。如此的话,其他员工就不能在其他电脑上利用别人的用户名访问文件服务器。

  2、对于用户文件访问的权限要严格限制。特别是对于修改与删除的权限,要有特殊的限制。一般来说,只有文件的主人才能够进行删除与修改动作。如此的话,可以保障文件的统一性。文件是否被修改或者删除,文件的主人都知道。这对于文件服务器的安全来说,尤其的关键。若文件的主人都不知道文件什么时候被更改的,被修改了什么内容,那么不是很危险?万一被修改了机密数据,那么就可能给员工自己与企业造成很大的损失。

  3、对于文件执行安全级别的管理。如一些对于全公司公开的文件,如公司的管理制度,常用到的表单如费用报销单之类的,这些公开的信息,最好能够设立一个专门的文件夹,用来存放这些类似通知的文件,当然,权限上,一般用户来说只有查询权限。同时,按文件重要性的部门,可以分为部门专用文件、管理层共享文夹等等。通俗的说,沿用国家对于信息安全的制度。如保密级别为五星级的文件,只有高层管理员才能查看,而保密级别为一星级的则只有部门内部可以查看,没有保密级别的,全体员工都可以查看。根据企业对于安全的需求,可以设置不同的级别。在文件创建的时候,文件创建这就要设置具体的安全级别。然后我们要做的就是根据他们设置的安全级别,赋予其对应的权限。

 安全漏洞四:没有采用企业级的杀毒软件

  根据我的了解,有很多企业,无论是大型企业,还是中小型企业,都没有部署企业级别的杀毒软件。而真是这些企业,每次病毒横行的时候,如熊猫烧香病毒泛滥的时候,他们都不能够兴免与难。

  为什么我强烈要求部署企业级别的杀毒软件,而不赞成使用单机版的杀毒软件呢?

  一方面,企业级别的杀毒软件,我们可以安排统一升级。在采用单机版的杀毒软件的时候,虽然其也有定时升级的功能,但是,员工有时候,会因为升级会导致系统速度变慢等原因,所以,会把定时升级的功能关掉。这使得杀毒软件没有按时完成升级,给病毒有了可乘之机。

  其次,安装企业级别的杀毒软件,还有一个单机版本没有的好处。就是我们可以对每个员工的客户端进行统一管理。如一些不安分的员工,有时候访问网站的时候,可能会提示因为病毒防火墙的原因而不能访问某个网站,他们就会乖乖的关键病毒防火墙,从而让病毒侵入。而利用了企业级别的杀毒软件,我们可以进行统一管理。如可以限制,所有客户端不能自己关闭杀毒软件及病毒防火墙;我们可以根据需要,在统一时间安排软件的升级,如我们可以在每天中午休息的时候,安排各个客户端进行杀毒软件的升级等等。这些统一的管理,对于我们来说,是保障各个客户端安全的有效工具。

  第三,有些企业级别的杀毒软件,还带有漏洞扫描与发布的功能。我们还可以凭借这个功能,完成对企业内的所有客户端,进行补丁的管理。我们都知道,补丁是防治病毒与密码程序最好的工具之一。即使给操作系统及应用软件打上最新的补丁,是防止病毒与密码入侵的很好的手段。同时,在某个病毒泛滥的时候,如熊猫烧香病毒流行时,我们也有必要对全部的客户端进行一次漏洞扫描,看看其是否已经打上了熊猫烧香病毒的补丁。此时,若我们一个个客户端去查询,那么可见其工作量有多大。此时,我们就可以借助企业级别的杀毒软件,帮我们自动扫描各个客户端,看其是否已经打上了这个补丁。如此处理的话,效率要高的多。

  有些企业级别的杀毒软件,还提供了一些额外的管理功能。如有的杀毒软件,提供了开机杀毒功能。若是单机版的话,用户很可能为了增加开机的速度,直接把这个开机杀毒功能取消掉。但是,我们都知道,开机杀毒是一个清除一些顽固病毒的很好的手段。利用这个开机杀毒功能,我们可以杀掉一些在操作系统中无法杀掉的病毒。所以,开机杀毒是一个比较有效的杀毒方法。但是,开机杀毒确实会影响开机速度,而且,有饿没有必要每次开机的时候,都进行杀毒。此时,我们可以利用企业级别的杀毒软件,强制每台客户端在开机时都进行杀毒,同时,也可以设置具体的频率,如在每个星期的星期一进行强制开机杀毒等等。

  企业级的杀毒软件,有统一管理企业各个客户端的功能,包括统一升级病毒库、统一补丁管理、统一漏洞扫描、强制杀毒等功能,通过这个统一的平台,屏蔽了用户在客户端对杀度软件进行不正当操作,所以是保护企业网络安全的一顶安全帽。相信企业网络在这个企业级的杀毒软件的庇佑下,其安全性能必将有质的提升,网络必将更加稳定,病毒、木马将没有用武之地。