安全隱患分析和基本系統結構資訊的收集

2021-09-03 03:45:16 字數 4236 閱讀 3881

以下內容摘自業界唯一一本真正從全域性視角介紹網路安全系統設計的圖書——

《網路工程師必讀——網路安全系統設計》

一書。目前該書在卓越網上僅需要72折

:1.5.1安全隱患分析和基本系統結構資訊的收集

在做乙個詳細的安全策略方案之前,我們首先要十分清楚哪些是對企業網路的安全構成威脅的主要因素,然後再從主要因素入手,逐一蒐集當前網路系統的基本系統結構和安全配置資訊。你應該主要蒐集自己所在企業的網路系統硬體平台、作業系統、資料庫管理系統、應用程式、網路型別/結構、連通效能等方面的具體資料資訊。通過這些資料你可以對網路系統結構有乙個較完全的了解,可以得到乙份完全的功能級的系統圖表和對所有主要硬體、軟體資源功能的詳盡描述,這對開發安全策略是十分重要的。雖然在本章開始部分就已介紹了企業網路安全隱患的主要**,但那只是從巨集觀方面進行的闡述,具體到乙個企業還是有許多細節要充分考慮的。

總的來說,企業網路的安全隱患是多方面的,綜合起來可以分為:網路安全隱患、物理安全隱患和網路裝置自身安全隱患三大類。下面具體介紹。

1.網路安全隱患

在企業網路方面可能存在的安全隱患主要表現在以下幾個方面。

(1)網路拓撲不合理帶來的安全隱患

企業網路中,應當做到內部網路與外部網路的安全隔離,體現在企業網路拓撲設計上就是統一採用伺服器經過路由器和防火牆上網,原則上不允許企業內部使用者從自己的電腦上通過撥號上網。因為這種直接撥號上網在無形之中就給整個企業網路開了乙個後門。要想連線外部網路必須通過企業防火牆的過濾與監控。如果條件許可,可以採用盡可能安全的網路體系結構,甚至劃分dmz非軍事區,在非軍事區的兩端分別過濾指定的資料報。

(2)osi/rm參考模型中各層通訊的安全隱患。

osi/rm參考模型的每層都可能成為***的目標,因為在每層中執行的服務和協議都可能存一些安全漏洞。我們必須停靠相應的技術、產品和方案來加以彌補。具體osi/rm參考模型中主要安全隱患分析參見本章前面的1.2節,具體的防護措施將在本書後面各章介紹。

(3)病毒和***安全隱患

隨著近年來計算機的普及,病毒也越來越氾濫,為了保護資料,企業應當完善病毒防禦體系,避免資料被病毒破壞。當然這裡的防毒體系不再是平常我們個人所用的單機版防毒軟體,而強烈建議採用網路版的防毒系統。

(5)使用者身份認證安全隱患

在網路系統中,有遠端訪問許可權的使用者應盡可能少,而且對具有遠端訪問許可權的使用者連線也應盡量採用先進的加密與身份認證手段,及時彌補認證手段中存在的缺陷。另外當員工向自己的客戶或**商傳送關鍵郵件時,最好採用郵件加密和數字簽名等手段,以確保資料傳輸的安全。不允許在工作中通過qq或msn向外傳送資料。

(6)防火牆的侷限性隱患

不要認為公司使用了防火牆就能夠萬無一失了,因為防火牆必須開放某些埠,同時還有很多可以繞過防火牆的***方法。各種型別的防火牆都有其侷限性與缺陷,應當及時與防火牆的廠家聯絡,取得防火牆的最新補丁。另外設定不當的防火牆過濾規則可能會起到相反的作用,在配置防火牆策略時一定要注意。

(7)軟體本身的安全漏洞隱患

迄今為止沒有一款軟體是牢不可摧的,各種系統總會有大大小小的安全漏洞,應當及時修補這些漏洞,並對系統做好盡可能安全的各項設定,盡量採用服務最小化原則。目前所發現的微軟的windows系統的安全漏洞比較多,更應及時安裝補丁。

在軟體方面,主要是考慮各種網路伺服器作業系統和應用伺服器的安全,因為這是***者首選的***的目標。目前主流的網路伺服器作業系統有windows、unix和linux這三種,但是不管是哪種型別的作業系統,每隔一段時間都會被發現有一些大大小小的漏洞,其中有很多漏洞可以使***者直接取得系統管理員的高階控制許可權。伺服器一旦被控制,那後果是不堪設想的,輕則會被拿來作為進攻其他機器的跳板,重則可能造成資訊洩漏,更有甚者可能會破壞你所有的資料。但是只要扎扎實實地做好系統的各項安全設定工作,及時打上各種作業系統的補丁,堵住一系列的安全漏洞,同時加強在系統及企業資訊保安方面的管理,我們還是可以抵禦絕大多數***的。

另外,有很多基於作業系統的軟體或者是資料庫系統的漏洞也可能使得***者取得系統許可權,例如,iis的各種大大小小的漏洞,ms sql server的漏洞和oracle的漏洞等。同時作業系統和資料庫系統等的弱密碼策略也是系統的巨大安全隱患,所以也必須加強作業系統和資料庫系統的密碼管理,提高密碼的複雜性。

同時要注意,網路上沒有絕對安全的伺服器,也沒有絕對安全的主機,即使在一段時間內實現了安全,但是隨著新的漏洞被發現,新的***手段被發現,你的伺服器又會處於威脅之下。所以我們必須保持對伺服器和所有工作系統及時更新,以及時堵住******、***的途徑。

(8)it管理漏洞帶來的安全隱患

(9)檔案共享和使用者許可權安全隱患

在企業網路內部有時我們必須為所有或部分使用者提供一些共享檔案,但如果共享許可權配置不當,這些都可能給企業網路帶來安全隱患。如具有寫許可權的賬戶就可以在對方計算機上放置檔案,這些檔案就可能是***們安排的惡意程式。還有就是對一些企業的敏感資料,一定要嚴格限制使用者的訪問許可權。

2.物理安全隱患

物理安全隱患是指網路裝置或工作場所使用不當可能帶來的安全隱患,特別嚴重的是採用無線區域網連線的企業使用者。主要包括機房安全隱患,資料安全隱患和使用者習慣安全隱患。

(1)機房安全隱患

機房作為企業網路系統的核心所在,其安全性應該是最高的。因為在其中不僅集中了整個企業網路的核心裝置,而且它還是整個企業網路正常執行的核心、企業資訊中心和企業資料中心。對於這麼重要的工作場所,現在絕大多數企業沒有給予足夠的重視,所有員工進出機房就像進出辦公大廳一樣隨便,還有的企業甚至允許員工進入機房使用伺服器等裝置登入,更有甚者在管理員不在的情況下機房長期開敞,這些都可能給整個企業網路帶來巨大的安全隱患。只要有一些別有用心的人,就很容易使整個企業網路處於停止、癱瘓,甚至崩潰狀態。因為雖然網路伺服器可能進不去,但是對其他各種網路裝置,包括ups電源等都是十分容易控制的,只要把某些網線一拔、電源一關就可能造成嚴重的安全事件。而對於一些技能高超的***來說,在機房中長時間沒人,或者被允許使用伺服器登入時就可以很輕鬆地竊取伺服器中的關鍵資料或資訊,為他日後進行網路***打下基礎。這樣的安全隱患,對於乙個有責任心的it經理或網管員來說,真是想都不敢想,然而卻實實在在地在許多企業,特別是中小企業中存在。

一般來說,為了杜絕機房不安全事件的發生,我們必須在下班後,或者在管理員不在機房的情況下,用有效的鎖鎖住機房,並且盡可能封鎖其他進入機房的途徑。對於本企業中一些使用者需要進入機房的情況,要事先做好相應的規定,這樣一來執行起來就容易許多,否則很可能上、下不討好。同時要注意,現在無線網路技術已非常發達,一些技術高超的***可以通過各種無線手段,如電磁***技術竊取伺服器資料,所以建議在機房周圍劃出一定的安全區,防止別人通過電磁手段擷取網路中的資料,甚至是截獲螢幕顯示。

(2)資料安全隱患

對於企業網路資料應當及時做好各種型別的備份(具體選擇哪種備份型別,依據各自企業的容災方案而定),而且資料的備份**應當儲存在安全的專用保管櫃或租用的銀行保管箱中。這裡的安全包括物理上的安全(就是指鑰匙不容易自配、保管櫃不容易被撬開)和環境上的安全,如不潮濕、沒蟲咬、鼠咬危險。

如有必要採用雙機熱備份甚至是異地容災系統,計算機應當處於ups不間斷電源的保護之下,防止因突然斷電導致意外資料丟失。網路的電纜也不能夠暴露在可視範圍內,防止別人採用電子手段通過電纜的電磁洩漏竊取重要資料(如果條件許可,盡量採用光纖)。另外,敏感的資訊不能夠放在桌面或抽屜等別人可以接觸到的地方,對於敏感的列印文件和磁帶應當及時申請銷毀。

(3)使用者習慣安全

it經理或網管員必須做好員工培訓計畫,使企業中所有使用計算機的員工,養成當離開自己的電腦或伺服器時,隨時鎖住電腦或登出登入賬戶的習慣,不要把寫有密碼或者密碼提示的便條放在桌面上。如果員工所使用的電腦在cmos中有開機密碼設定項,建議由系統管理員設定開機密碼(之所以應由管理員來設,主要是為了預防員工離職後不給管理員密碼,帶來不必要的麻煩),這樣在關機後其他不知道密碼的使用者就不能使用這台電腦登入系統了。

還有,如果自己所使用的電腦裝有軟碟機、光碟機,最好在平常不用時在cmos中禁用這兩個驅動器,只是當需要使用時再啟用它們。但這個cmos設定一定要加密碼保護。加密碼後,其他使用者就不能隨便更改了,杜絕了非法使用者修改cmos設定進入系統,或者使用一些可能給網路帶來安全隱患的裝置,如軟碟機、光碟(它們都可能因使用帶毒**而感染網路)。

3.網路裝置自身的安全隱患

儘管,網路硬體裝置受***的難度要遠比軟體高,但在一些特殊行業中,網路裝置自身的安全性也要受到足夠的重視。因為***者都知道,一旦成功***並實施***,可以獲得巨大的利益,這點***難度也就不是主要考慮的方面了。

目前企業網路中最主要的網路裝置包括交換機、路由器和防火牆這三大類,還有就是各種wlan裝置。對這些裝置自身的安全保護考慮主要是採用部件、裝置和線路冗餘方式進行。

在了解了以上各方面的網路安全隱患後,我們接下來就要按上述隱患收集當前企業網路安全系統的運**況。當然還要包括整個企業網路系統結構,這對於網路安全策略的設計非常重要。

Docker資料安全隱患分析

docker容器為應用的編寫 分發和部署帶來真正翻天覆地的變化。容器的目的是靈活性,讓應用可按需啟用,無論何時以及何地。當然無論我們在 使用應用,我們都需要資料。對於資料應該如何對映到容器主要有兩個流派。第乙個流派稱我們將資料保留在容器中 第二個稱我們在容器外儲存永久性資料,這些資料可超越任何單個容...

Linux基本系統命令

1.橫向擴充套件 集群 人多力量大 a.負載均衡集群 b.高可用集群 c.高效能集群 應用層 hadoop集群 map reduces hdfs 2.縱向擴充套件 應用遷移 1.電源 2.bios晶元 程式 第乙個工作 加電自檢,檢查硬體裝置是否正常.第二個工作 啟動系統 1.選擇系統啟動 a.系統...

Arch Linux 安裝基本系統

dhcpcd ping baidu.com timedatectl set ntp true檢視系統硬碟資訊 fdisk lbios 和 mbr 掛載點分割槽 分割槽型別 建議大小 mnt dev sd x 1linux 剩餘空間 swap dev sd x 2linux swap 交換空間 大於 ...