安全经验谈连载之:防护网络安全原则
显然,防护网络的第一步是防护网络中的所有计算机,包括个人工作站和服务器。然而,这只是网络安全的一部分,防火墙必不可少,大多数专家还建议用IDS,有许多IDS可供选择,有些甚至还是免费的。IDS可以检测攻击行为,像端口扫描,这可能预示着有人尝试侵入网络边界安全。假如网络很大,就要考虑用带防火墙的路由器把网络分成若干部分,这样的话,一个部分发生问题,不会影响成个网络。这里,可以考虑把所有重要的服务器都放在一个安全区域内,这通常叫DMZ区。
如Web服务器是对外提供服务的,并且 常受到攻击,把他们单独放在一个区域内是比较合理的。许多网络管理员会考虑在Web服务器与其它网络之间再放一个防火墙。这样的话,骇客就算利用服务器漏洞侵入了Web服务器,也不能进入整个网络。同时,一定要有策略指导用户如何使用系统,再健壮的安全系统都会因为用户的稍不注意而功亏一篑。一定要记住必须要有安全策略指导用户哪些能做,哪些不能做。
在加固服务器(打补丁,关闭不必要的服务等)的同时,也需要加固路由器。如何加固路由器需要咨询相应的安全厂商,但是这里有一些基本原则:
1、使用强壮的密码:所有的路由器都可配置。因此,必须要遵循统一的安全策略, 少字符、复杂度、生存期、密码历史等要求。如果路由器支持加密(如Cisco及一些大厂商),那么 好加密。
2、使用日志:大多数路由器有日志功能。应该把此功能打开,就像监视服务日志那样。
3、安全原则:一些基本的路由安全准则要遵守。
4、不要响应非本地网络内主机的ARP(Address Resolution Protocol,地址解析协议)。
5、网络内不需要端口应该在路由器关闭。
6、不是从本地网络内发起的数据不予转发(此条为企业网原则,不适用于透传情况)。
以上是总体原则。好了,还是理一下防护网络的常规动作吧。分为两个级别:一般级和增强级。
一般级:没有达到这个要求,是很危险的。
1、所有的工作站和服务器都应用基本PC安全清单(基本安全级别)。
2、在内网和外网连接处部署包过滤防火墙。
3、在内网和外网连接处部署代理服务器。
4、所有路由器都设置为不转发广播包。
5、所有密码长度至少8位,6个月至少修改一次。
6、服务器物理安全措施到位,只有必要的人员才能接触。
7、有明确策略规定禁止从internet下载任何软件。
8、有明确策略规定如何处理邮件附件。
9、有明确策略规定如何处理离职员工。
10、加强员工安全意识并遵守企业策略。
11、每月至少备份和检查一次服务器日志。
12、每周所有服务器至少备份一次,每个月的备份移出并安全存储。
13、只有管理员才具有完全控制权限。
增强级:满足一般级的前提下,增加如下安全措施。
14、在网络边界部署状态包检查防火墙。
15、所有通往子网的路由器都具有包过滤防火墙功能。
16所有服务器每天至少备份一次。每个礼拜的备份移出并安全存储。
17、制定一个明确的灾难恢复计划,并对IT人员进行培训。
18、安装入侵检测系统。
19、每周至少备份和检查一次服务器日志。
20、每60天对所有计算机检查和更新补丁。
21、对所有特权网络管理员进行额外的背景检查。
22、所有计算机的浏览器在中等安全级别设置的基础上执行自定义设置。
23、所有密码长度至少8位,包含混合字符,并每90天修改一次。
24、至少每90天对所有计算机利用安全分析器和端口扫描器进行检查。
25、外部登陆只在非常严格的条件下才允许,如利用VPN。
26、所有安全活动(备份、扫描、下载补丁、更改密码、增加/删除用户,更改许可等等)都必须记录,记录内容包括执行人、时间、授权人等。
27、每个季度执行一次安全审计,包括检查补丁、日志、策略。
28、每年对整个网络进行一次安全审计,包括管理员个人背景、模拟攻击测验、包嗅探、日志审计等等。
29、定期的给用户发送安全更新警告,提示当前网络欺骗、病毒、木马等信息。
30、废旧介质(硬盘、磁带等)要完全销毁。
至此,可以说安全保障的本职工作已经做的相当好了,但前一部分的侧重点在“物”,我们堵住了设备的“漏洞”。前面介绍过,“人”的因素也很重要,赌不住人性的“漏洞”,只能功亏一篑。易中天以人物说故事,以故事说历史,以历史说人性,古今多少年,还是落脚点在人性上,可见人性多么关键。网络安全也一样,离不开人的因素,而且是个动态对抗的过程,没有一成不变的理论,只有举一反三,灵活运用。下面就介绍一下如何洞悉人性弱点,防止网络欺骗。