安全隱患分析和基本系統結構信息的收集

如下內容摘自業界惟一一本真正從全局視角介紹網絡安全系統設計的圖書——《網絡工程師必讀——網絡安全系統設計》一書。目前該書在卓越網上僅須要72折:http://www.amazon.cn/mn/detailApp?ref=DT_BG&uid=479-8465001-9671654&prodid=bkbk975360

1.5.1安全隱患分析和基本系統結構信息的收集

在作一個詳細的安全策略方案以前，咱們首先要十分清楚哪些是對企業網絡的安全構成威脅的主要因素，而後再從主要因素入手，逐一搜集當前網絡系統的基本系統結構和安全配置信息。你應該主要蒐集本身所在企業的網絡系統硬件平臺、操做系統、數據庫管理系統、應用程序、網絡類型/結構、連通性能等方面的具體數據信息。經過這些數據你能夠對網絡系統結構有一個較徹底的瞭解，能夠獲得一份徹底的功能級的系統圖表和對全部主要硬件、軟件資源功能的詳盡描述，這對開發安全策略是十分重要的。雖然在本章開始部分就已介紹了企業網絡安全隱患的主要來源，但那只是從宏觀方面進行的闡述，具體到一個企業仍是有許多細節要充分考慮的。

總的來講，企業網絡的安全隱患是多方面的，綜合起來能夠分爲：網絡安全隱患、物理安全隱患和網絡設備自身安全隱患三大類。下面具體介紹。

1．網絡安全隱患

在企業網絡方面可能存在的安全隱患主要表如今如下幾個方面。

（1）網絡拓撲不合理帶來的安全隱患

企業網絡中，應當作到內部網絡與外部網絡的安全隔離，體如今企業網絡拓撲設計上就是統一採用服務器通過路由器和防火牆上網，原則上不容許企業內部用戶從本身的電腦上經過撥號上網。由於這種直接撥號上網在無形之中就給整個企業網絡開了一個後門。要想鏈接外部網絡必須經過企業防火牆的過濾與監控。若是條件許可，能夠採用儘量安全的網絡體系結構，甚至劃分DMZ非軍事區，在非軍事區的兩端分別過濾指定的數據包。

（2）OSI/RM參考模型中各層通訊的安全隱患。

OSI/RM參考模型的每層均可能成爲***的目標，由於在每層中運行的服務和協議均可能存一些安全漏洞。咱們必須停靠相應的技術、產品和方案來加以彌補。具體OSI/RM參考模型中主要安全隱患分析參見本章前面的1.2節，具體的防禦措施將在本書後面各章介紹。

（3）病毒和***安全隱患

隨着近年來計算機的普及，病毒也愈來愈氾濫，爲了保護數據，企業應當完善病毒防護體系，避免數據被病毒破壞。固然這裏的防毒體系再也不是日常咱們我的所用的單機版殺毒軟件，而強烈建議採用網絡版的殺毒系統。

（4）數據下載和數據存儲安全隱患

隨着Internet的普及，不少軟件均可以共享，在使用每個應用程序時都要注意其出處，儘可能到大的、可信站點下載，以避免受到***程序或數據驅動型病毒的***。另外還要注意使用的應用程序存在的各項漏洞，及時修正。在數據的保護方面應該採用數據備份與災難恢復體系，根據企業的需求採用相應的數據備份策略，爲關鍵應用提供在線的熱備份系統，若是要求很高還應當考慮採用異地容災體系。

（5）用戶身份認證安全隱患

在網絡系統中，有遠程訪問權限的用戶應儘量少，並且對具備遠程訪問權限的用戶鏈接也應儘可能採用先進的加密與身份認證手段，及時彌補認證手段中存在的缺陷。另外當員工向本身的客戶或供應商發送關鍵郵件時，最好採用郵件加密和數字簽名等手段，以確保數據傳輸的安全。不容許在工做中經過QQ或MSN向外發送數據。

（6）防火牆的侷限性隱患

不要認爲公司使用了防火牆就可以萬無一失了，由於防火牆必須開放某些端口，同時還有不少能夠繞過防火牆的***方法。各類類型的防火牆都有其侷限性與缺陷，應當及時與防火牆的廠家聯繫，取得防火牆的最新補丁。另外設置不當的防火牆過濾規則可能會起到相反的做用，在配置防火牆策略時必定要注意。

（7）軟件自己的安全漏洞隱患

迄今爲止沒有一款軟件是牢不可摧的，各類系統總會有大大小小的安全漏洞，應當及時修補這些漏洞，並對系統作好儘量安全的各項設置，儘可能採用服務最小化原則。目前所發現的微軟的Windows系統的安全漏洞比較多，更應及時安裝補丁。

在軟件方面，主要是考慮各類網絡服務器操做系統和應用服務器的安全，由於這是***者首選的***的目標。目前主流的網絡服務器操做系統有Windows、UNIX和Linux這三種，可是無論是哪一種類型的操做系統，每隔一段時間都會被發現有一些大大小小的漏洞，其中有不少漏洞可使***者直接取得系統管理員的高級控制權限。服務器一旦被控制，那後果是不堪設想的，輕則會被拿來做爲進攻其餘機器的跳板，重則可能形成信息泄漏，更有甚者可能會破壞你全部的數據。可是隻要紮紮實實地作好系統的各項安全設置工做，及時打上各類操做系統的補丁，堵住一系列的安全漏洞，同時增強在系統及企業信息安全方面的管理，咱們仍是能夠抵禦絕大多數***的。

另外，有不少基於操做系統的軟件或者是數據庫系統的漏洞也可能使得***者取得系統權限，例如，IIS的各類大大小小的漏洞，MS SQL Server的漏洞和Oracle的漏洞等。同時操做系統和數據庫系統等的弱密碼策略也是系統的巨大安全隱患，因此也必須增強操做系統和數據庫系統的密碼管理，提升密碼的複雜性。

同時要注意，網絡上沒有絕對安全的服務器，也沒有絕對安全的主機，即便在一段時間內實現了安全，可是隨着新的漏洞被發現，新的***手段被發現，你的服務器又會處於威脅之下。因此咱們必須保持對服務器和全部工做系統及時更新，以及時堵住******、***的途徑。

（8）IT管理漏洞帶來的安全隱患

公司內部員工的權限設置，離職員工的帳號處理等都是企業存在的安全隱患。對於暫停使用的員工帳戶，網絡管理員要當即禁用。對於已離開公司的員工的帳戶必定要及時註銷或者刪除。內、外網用戶的訪問控制必須有適當的身份驗證機制，對外網的遠程訪問網絡活動應及時監控。本書的第10章介紹了Windows Server 2003系統的基準安全策略配置方法。

（9）文件共享和用戶權限安全隱患

在企業網絡內部有時咱們必須爲全部或部分用戶提供一些共享文件，但若是共享權限配置不當，這些均可能給企業網絡帶來安全隱患。如具備寫權限的帳戶就能夠在對方計算機上放置文件，這些文件就多是***們安排的惡意程序。還有就是對一些企業的敏感數據，必定要嚴格限制用戶的訪問權限。

2．物理安全隱患

物理安全隱患是指網絡設備或工做場所使用不當可能帶來的安全隱患，特別嚴重的是採用無線局域網鏈接的企業用戶。主要包括機房安全隱患，數據安全隱患和用戶習慣安全隱患。

（1）機房安全隱患

機房做爲企業網絡系統的核心所在，其安全性應該是最高的。由於在其中不只集中了整個企業網絡的核心設備，並且它仍是整個企業網絡正常運行的核心、企業信息中心和企業數據中心。對於這麼重要的工做場所，如今絕大多數企業沒有給予足夠的重視，全部員工進出機房就像進出辦公大廳同樣隨便，還有的企業甚至容許員工進入機房使用服務器等設備登陸，更有甚者在管理員不在的狀況下機房長期開敞，這些均可能給整個企業網絡帶來巨大的安全隱患。只要有一些別有用心的人，就很容易使整個企業網絡處於中止、癱瘓，甚至崩潰狀態。由於雖然網絡服務器可能進不去，可是對其餘各類網絡設備，包括UPS電源等都是十分容易控制的，只要把某些網線一拔、電源一關就可能形成嚴重的安全事件。而對於一些技能高超的***來講，在機房中長時間沒人，或者被容許使用服務器登陸時就能夠很輕鬆地竊取服務器中的關鍵數據或信息，爲他往後進行網絡***打下基礎。這樣的安全隱患，對於一個有責任心的IT經理或網管員來講，真是想都不敢想，然而卻實實在在地在許多企業，特別是中小企業中存在。

通常來講，爲了杜絕機房不安全事件的發生，咱們必須在下班後，或者在管理員不在機房的狀況下，用有效的鎖鎖住機房，而且儘量封鎖其餘進入機房的途徑。對於本企業中一些用戶須要進入機房的狀況，要事先作好相應的規定，這樣一來執行起來就容易許多，不然極可能上、下不討好。同時要注意，如今無線網絡技術已很是發達，一些技術高超的***能夠經過各類無線手段，如電磁***技術竊取服務器數據，因此建議在機房周圍劃出必定的安全區，防止別人經過電磁手段截取網絡中的數據，甚至是截獲屏幕顯示。

（2）數據安全隱患

對於企業網絡數據應當及時作好各類類型的備份（具體選擇哪一種備份類型，依據各自企業的容災方案而定），並且數據的備份媒體應當保存在安全的專用保管櫃或租用的銀行保管箱中。這裏的安全包括物理上的安全（就是指鑰匙不容易自配、保管櫃不容易被撬開）和環境上的安全，如不潮溼、沒蟲咬、鼠咬危險。

若有必要採用雙機熱備份甚至是異地容災系統，計算機應當處於UPS不間斷電源的保護之下，防止因忽然斷電致使意外數據丟失。網絡的電纜也不可以暴露在可視範圍內，防止別人採用電子手段經過電纜的電磁泄漏竊取重要數據（若是條件許可，儘可能採用光纖）。另外，敏感的信息不可以放在桌面或抽屜等別人能夠接觸到的地方，對於敏感的打印文檔和磁帶應當及時申請銷燬。

（3）用戶習慣安全

IT經理或網管員必須作好員工培訓計劃，使企業中全部使用計算機的員工，養成當離開本身的電腦或服務器時，隨時鎖住電腦或註銷登陸帳戶的習慣，不要把寫有密碼或者密碼提示的便條放在桌面上。若是員工所使用的電腦在CMOS中有開機密碼設置項，建議由系統管理員設置開機密碼（之因此應由管理員來設，主要是爲了預防員工離職後不給管理員密碼，帶來沒必要要的麻煩），這樣在關機後其餘不知道密碼的用戶就不能使用這臺電腦登陸系統了。

還有，若是本身所使用的電腦裝有軟驅、光驅，最好在日常不用時在CMOS中禁用這兩個驅動器，只是當須要使用時再啓用它們。但這個CMOS設置必定要加密碼保護。加密碼後，其餘用戶就不能隨便更改了，杜絕了非法用戶修改CMOS設置進入系統，或者使用一些可能給網絡帶來安全隱患的設備，如軟驅、光盤（它們均可能因使用帶毒媒體而感染網絡）。

3．網絡設備自身的安全隱患

儘管，網絡硬件設備受***的難度要遠比軟件高，但在一些特殊行業中，網絡設備自身的安全性也要受到足夠的重視。由於***者都知道，一旦成功***並實施***，能夠得到巨大的利益，這點***難度也就不是主要考慮的方面了。

目前企業網絡中最主要的網絡設備包括交換機、路由器和防火牆這三大類，還有就是各類WLAN設備。對這些設備自身的安全保護考慮主要是採用部件、設備和線路冗餘方式進行。

在瞭解了以上各方面的網絡安全隱患後，咱們接下來就要按上述隱患收集當前企業網絡安全系統的運行狀況。固然還要包括整個企業網絡系統結構，這對於網絡安全策略的設計很是重要。