公司有哪些網絡安全隱患
許多公司在剛建立時,需要解決一些安全隱患,來維護好公司的利益,那么,公司有什么網絡安全隱患呢?學習啦小編在這里給大家一一列出。
一、網絡安全隱患
在企業(yè)網絡方面可能存在的安全隱患主要表現在以下幾個方面。
(1)網絡拓撲不合理帶來的安全隱患
企業(yè)網絡中,應當做到內部網絡與外部網絡的安全隔離,體現在企業(yè)網絡拓撲設計上就是統(tǒng)一采用服務器經過路由器和防火墻上網,原則上不允許企業(yè)內部用戶從自己的電腦上通過撥號上網。因為這種直接撥號上網在無形之中就給整個企業(yè)網絡開了一個后門。要想連接外部網絡必須通過企業(yè)防火墻的過濾與監(jiān)控。如果條件許可,可以采用盡可能安全的網絡體系結構,甚至劃分DMZ非軍事區(qū),在非軍事區(qū)的兩端分別過濾指定的數據包。
(2)OSI/RM參考模型中各層通信的安全隱患。
OSI/RM參考模型的每層都可能成為攻擊的目標,因為在每層中運行的服務和協(xié)議都可能存一些安全漏洞。我們必須??肯鄳募夹g、產品和方案來加以彌補。具體OSI/RM參考模型中主要安全隱患分析參見本章前面的1.2節(jié),具體的防護措施將在本書后面各章介紹。
(3)病毒和黑客安全隱患
隨著近年來計算機的普及,病毒也越來越泛濫,為了保護數據,企業(yè)應當完善病毒防御體系,避免數據被病毒破壞。當然這里的防毒體系不再是平常我們個人所用的單機版殺毒軟件,而強烈建議采用網絡版的殺毒系統(tǒng)。
(4)數據下載和數據存儲安全隱患
隨著Internet的普及,很多軟件都可以共享,在使用每一個應用程序時都要注意其出處,盡量到大的、可信站點下載,以免受到木馬程序或數據驅動型病毒的攻擊。另外還要注意使用的應用程序存在的各項漏洞,及時修正。在數據的保護方面應該采用數據備份與災難恢復體系,根據企業(yè)的需求采用相應的數據備份策略,為關鍵應用提供在線的熱備份系統(tǒng),如果要求很高還應當考慮采用異地容災體系。
(5)用戶身份認證安全隱患
在網絡系統(tǒng)中,有遠程訪問權限的用戶應盡可能少,而且對具有遠程訪問權限的用戶連接也應盡量采用先進的加密與身份認證手段,及時彌補認證手段中存在的缺陷。另外當員工向自己的客戶或供應商發(fā)送關鍵郵件時,最好采用郵件加密和數字簽名等手段,以確保數據傳輸的安全。不允許在工作中通過QQ或MSN向外發(fā)送數據。
(6)防火墻的局限性隱患
不要認為公司使用了防火墻就能夠萬無一失了,因為防火墻必須開放某些端口,同時還有很多可以繞過防火墻的攻擊方法。各種類型的防火墻都有其局限性與缺陷,應當及時與防火墻的廠家聯系,取得防火墻的最新補丁。另外設置不當的防火墻過濾規(guī)則可能會起到相反的作用,在配置防火墻策略時一定要注意。
(7)軟件本身的安全漏洞隱患
迄今為止沒有一款軟件是牢不可摧的,各種系統(tǒng)總會有大大小小的安全漏洞,應當及時修補這些漏洞,并對系統(tǒng)做好盡可能安全的各項設置,盡量采用服務最小化原則。目前所發(fā)現的微軟的Windows系統(tǒng)的安全漏洞比較多,更應及時安裝補丁。
在軟件方面,主要是考慮各種網絡服務器操作系統(tǒng)和應用服務器的安全,因為這是攻擊者首選的攻擊的目標。目前主流的網絡服務器操作系統(tǒng)有Windows、UNIX和Linux這三種,但是不管是哪種類型的操作系統(tǒng),每隔一段時間都會被發(fā)現有一些大大小小的漏洞,其中有很多漏洞可以使攻擊者直接取得系統(tǒng)管理員的高級控制權限。服務器一旦被控制,那后果是不堪設想的,輕則會被拿來作為進攻其他機器的跳板,重則可能造成信息泄漏,更有甚者可能會破壞你所有的數據。但是只要扎扎實實地做好系統(tǒng)的各項安全設置工作,及時打上各種操作系統(tǒng)的補丁,堵住一系列的安全漏洞,同時加強在系統(tǒng)及企業(yè)信息安全方面的管理,我們還是可以抵御絕大多數入侵的。
另外,有很多基于操作系統(tǒng)的軟件或者是數據庫系統(tǒng)的漏洞也可能使得攻擊者取得系統(tǒng)權限,例如,IIS的各種大大小小的漏洞,MS SQL Server的漏洞和Oracle的漏洞等。同時操作系統(tǒng)和數據庫系統(tǒng)等的弱密碼策略也是系統(tǒng)的巨大安全隱患,所以也必須加強操作系統(tǒng)和數據庫系統(tǒng)的密碼管理,提高密碼的復雜性。
同時要注意,網絡上沒有絕對安全的服務器,也沒有絕對安全的主機,即使在一段時間內實現了安全,但是隨著新的漏洞被發(fā)現,新的攻擊手段被發(fā)現,你的服務器又會處于威脅之下。所以我們必須保持對服務器和所有工作系統(tǒng)及時更新,以及時堵住黑客入侵、攻擊的途徑。
(8)IT管理漏洞帶來的安全隱患
公司內部員工的權限設置,離職員工的賬號處理等都是企業(yè)存在的安全隱患。對于暫停使用的員工賬戶,網絡管理員要立即禁用。對于已離開公司的員工的賬戶一定要及時注銷或者刪除。內、外網用戶的訪問控制必須有適當的身份驗證機制,對外網的遠程訪問網絡活動應及時監(jiān)控。本書的第10章介紹了Windows Server 2003系統(tǒng)的基準安全策略配置方法。
(9)文件共享和用戶權限安全隱患
在企業(yè)網絡內部有時我們必須為所有或部分用戶提供一些共享文件,但如果共享權限配置不當,這些都可能給企業(yè)網絡帶來安全隱患。如具有寫權限的賬戶就可以在對方計算機上放置文件,這些文件就可能是黑客們安排的惡意程序。還有就是對一些企業(yè)的敏感數據,一定要嚴格限制用戶的訪問權限。
二、物理安全隱患
物理安全隱患是指網絡設備或工作場所使用不當可能帶來的安全隱患,特別嚴重的是采用無線局域網連接的企業(yè)用戶。主要包括機房安全隱患,數據安全隱患和用戶習慣安全隱患。
(1)機房安全隱患
機房作為企業(yè)網絡系統(tǒng)的核心所在,其安全性應該是最高的。因為在其中不僅集中了整個企業(yè)網絡的核心設備,而且它還是整個企業(yè)網絡正常運行的核心、企業(yè)信息中心和企業(yè)數據中心。對于這么重要的工作場所,現在絕大多數企業(yè)沒有給予足夠的重視,所有員工進出機房就像進出辦公大廳一樣隨便,還有的企業(yè)甚至允許員工進入機房使用服務器等設備登錄,更有甚者在管理員不在的情況下機房長期開敞,這些都可能給整個企業(yè)網絡帶來巨大的安全隱患。只要有一些別有用心的人,就很容易使整個企業(yè)網絡處于停止、癱瘓,甚至崩潰狀態(tài)。因為雖然網絡服務器可能進不去,但是對其他各種網絡設備,包括UPS電源等都是十分容易控制的,只要把某些網線一拔、電源一關就可能造成嚴重的安全事件。而對于一些技能高超的黑客來說,在機房中長時間沒人,或者被允許使用服務器登錄時就可以很輕松地竊取服務器中的關鍵數據或信息,為他日后進行網絡攻擊打下基礎。這樣的安全隱患,對于一個有責任心的IT經理或網管員來說,真是想都不敢想,然而卻實實在在地在許多企業(yè),特別是中小企業(yè)中存在。
一般來說,為了杜絕機房不安全事件的發(fā)生,我們必須在下班后,或者在管理員不在機房的情況下,用有效的鎖鎖住機房,并且盡可能封鎖其他進入機房的途徑。對于本企業(yè)中一些用戶需要進入機房的情況,要事先做好相應的規(guī)定,這樣一來執(zhí)行起來就容易許多,否則很可能上、下不討好。同時要注意,現在無線網絡技術已非常發(fā)達,一些技術高超的黑客可以通過各種無線手段,如電磁滲透技術竊取服務器數據,所以建議在機房周圍劃出一定的安全區(qū),防止別人通過電磁手段截取網絡中的數據,甚至是截獲屏幕顯示。