經(jīng)濟(jì)低迷期企業(yè)網(wǎng)絡(luò)安全評估刻不容緩

經(jīng)濟(jì)持續(xù)低迷還不見底，企業(yè)為了節(jié)約成本壓縮IT預(yù)算已成為必然趨勢。緊縮的IT預(yù)算，使得當(dāng)初拍板的網(wǎng)絡(luò)建設(shè)規(guī)劃紛紛流產(chǎn)或者被無限期擱置。遭此變故，企業(yè)網(wǎng)絡(luò)有些步履維艱，而且“目前的金融危機(jī)打破了良好的金融秩序，惡意軟件制造者正利用我們注意力分散而給予我們重重一擊?！贝送?，在危機(jī)浪潮中人心思變企業(yè)中的離職或者跳槽人員也越來越多，信息保密面臨嚴(yán)峻考驗(yàn)。所有這些使得網(wǎng)絡(luò)安全問題日益彰顯，作為網(wǎng)絡(luò)管理者，是需要對企業(yè)網(wǎng)絡(luò)重新進(jìn)行安全評估并制定應(yīng)對措施的時(shí)候了。
    一、企業(yè)網(wǎng)絡(luò)安全評估
    1、主要安全威脅來自Internet
    接入Internet，一方面改善了企業(yè)的網(wǎng)絡(luò)環(huán)境，為員工上網(wǎng)的條件得到改善;另一方面也給企業(yè)帶來更高的風(fēng)險(xiǎn)，特別是一些結(jié)構(gòu)復(fù)雜、規(guī)劃混亂，安全不到位的網(wǎng)絡(luò)更是如此。低迷經(jīng)濟(jì)為病毒流行推波助瀾，再加上黑客攻擊更加頻繁，而企業(yè)的設(shè)備升級、網(wǎng)絡(luò)改造、員工培訓(xùn)等措施都跟不上，所以來自 Internet的安全威脅顯得咄咄逼人。
    2、來自“無知”員工的潛在威脅
    在企業(yè)中絕大多數(shù)是非IT人員，這些人員中相當(dāng)一部分只能用PC做自己的本職工作，在他們的意識(shí)里安全那是IT人員的事情于己無關(guān)。由于他們的安全意識(shí)、安全技能普遍不高，往往會(huì)有意無意地“制造”一些網(wǎng)絡(luò)安全事故。下面是在很多企業(yè)中非常普遍的現(xiàn)象：
    (1).由于員工的防范意識(shí)普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴(kuò)散到絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)。特別是部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長時(shí)間處于帶毒運(yùn)行、反復(fù)發(fā)作，而維護(hù)人員則疲于奔命。
    (2).個(gè)別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強(qiáng)行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢，甚至被遠(yuǎn)程控制。
    (3).部分網(wǎng)站網(wǎng)頁含有惡意代碼，強(qiáng)行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計(jì)算機(jī)反應(yīng)緩慢。另外，有些員工使用公司計(jì)算機(jī)上網(wǎng)聊天、聽歌、看電影、打游戲，部分員工全天24小時(shí)啟用P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴(yán)格的計(jì)算機(jī)使用管理制度也很難保障企業(yè)中的計(jì)算機(jī)只用于企業(yè)業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控能力不強(qiáng)。
    3、來自惡意員工的直接威脅
    經(jīng)濟(jì)持續(xù)低迷，企業(yè)減員增效勢在必行，因此有一部分人會(huì)被裁掉。另外，面對企業(yè)的困境也有個(gè)別人會(huì)跳槽到其他企業(yè)。所有這些人員會(huì)往往會(huì)有意、無意甚至惡意地竊取企業(yè)信息，故意破壞企業(yè)網(wǎng)絡(luò)。其中下列行為是非常普遍的：
    (1).出于報(bào)復(fù)心理，某些離職的員工會(huì)將企業(yè)的某些機(jī)密信息帶出去，更有甚者會(huì)非法賣給原企業(yè)的競爭對手。就筆者所見、所聞，這樣的案例非常多。特別是經(jīng)濟(jì)低迷時(shí)期，來自企業(yè)原員工的泄密、竊密犯罪卻愈演愈烈。由于企業(yè)的制度不完善、安全措施不到位，對于此類犯罪取證非常困難，不少企業(yè)只能吃啞巴虧。
    (2).由于經(jīng)濟(jì)持續(xù)低迷使得市場緊縮，同行業(yè)之間的生存競爭更加激烈。這樣的大環(huán)境造成企業(yè)之間的不正當(dāng)競爭，相互之間收買對方員工竊取機(jī)密信息或者挖對方的人才已經(jīng)非常普遍。在利益的驅(qū)動(dòng)下，個(gè)別人員會(huì)通過各種手段收集企業(yè)的機(jī)密信息，然后待價(jià)而沽出賣或者作為跳槽的籌碼。以筆者了解，幾乎超過一般以上的人會(huì)通過CD/DVD、U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)設(shè)備將企業(yè)數(shù)據(jù)在未經(jīng)允許的情況下帶走。此外，通過電子郵件轉(zhuǎn)移數(shù)據(jù)也是這些竊密者采用的一條途徑。而當(dāng)前不少企業(yè)對信息的保密措施不到位，在這些人員離開公司前并不會(huì)對其進(jìn)行文件和電子文檔的審查。
    (3).除了竊密之外，還有個(gè)別人會(huì)地對企業(yè)的網(wǎng)絡(luò)或者設(shè)備進(jìn)行惡意的破壞。比如惡意修改網(wǎng)絡(luò)配置造成網(wǎng)絡(luò)故障，主動(dòng)感染病毒破壞企業(yè)數(shù)據(jù)，在客戶端種馬等等。由于不少企業(yè)網(wǎng)絡(luò)規(guī)劃不夠合理，另外，既沒有做好防范措施，又善后措施跟不上。有不少離職者還會(huì)去訪問企業(yè)的網(wǎng)絡(luò)或設(shè)備，他們往往能夠如愿。
    4、來自網(wǎng)絡(luò)管理者的無作為
    不少企業(yè)的網(wǎng)絡(luò)管理者，更多的時(shí)候就象“救火隊(duì)隊(duì)長”，出沒于網(wǎng)絡(luò)故障現(xiàn)場。通常的情況是這樣的：為給企業(yè)中的用戶電腦提供正常的標(biāo)準(zhǔn)的工作環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費(fèi)了信息管理中心人員一定的精力和時(shí)間。同時(shí)又難以限制用戶安裝軟件，導(dǎo)致管理人員必須花費(fèi)其50%以上的精力用于維護(hù)用戶的PC系統(tǒng)。比如，局域網(wǎng)共享，包括默認(rèn)共享(無意)，文件共享(有意)，一些病毒比如ARP通過廣播四處泛濫，影響到整個(gè)片區(qū)辦公電腦的正常工作。所有這些，讓信息維護(hù)人員疲于奔命無所作為，更無法集中精力去開發(fā)網(wǎng)絡(luò)系統(tǒng)的深層次功能，提升整個(gè)企業(yè)網(wǎng)絡(luò)的性能和價(jià)值。
    二、管理和應(yīng)對策略
    上面的評估結(jié)果是筆者結(jié)合自身企業(yè)網(wǎng)絡(luò)管理的經(jīng)驗(yàn)，以及與同行交流中的所見、所聞得出的，應(yīng)該說具有普遍性。而且在當(dāng)前經(jīng)濟(jì)低迷期，企業(yè)網(wǎng)絡(luò)、信息安全問題陡然升級，作為企業(yè)的網(wǎng)絡(luò)管理者應(yīng)該應(yīng)該有應(yīng)對的策略和措施。
    1、制定并完善制度
    光靠技術(shù)是不能徹底解決問題的，還需要制定規(guī)范、細(xì)致的制度。當(dāng)然，出臺(tái)制度需要企業(yè)老總的支持并由IT負(fù)責(zé)人牽頭制定和實(shí)施。因?yàn)橄嚓P(guān)行政與技術(shù)關(guān)系不大，所以筆者就此略過。需要說明的上面所說的制度，主要是企業(yè)信息的保密制度和員工IT技術(shù)培訓(xùn)制度。另外，制度一定要細(xì)化，責(zé)任和義務(wù)要明晰。
    2、從技術(shù)上有效控制
    不同的企業(yè)因?yàn)榫W(wǎng)絡(luò)環(huán)境的不同，可采用的技術(shù)手段是不同的，所以任何人不肯能提供一攬子的解決方案。下面筆者和大家分享一下我們的解決方案，希望對大家有用。
    因?yàn)槠髽I(yè)IT預(yù)算緊縮，不可能購置硬件通過改造來加強(qiáng)網(wǎng)絡(luò)安全，所以我們決定通過部署域來提升網(wǎng)絡(luò)安全。域環(huán)境的作用是顯而易見的，首先，通過部署統(tǒng)一的安全策略，方便安全集中管理;其次，按照企業(yè)要求限定所有機(jī)器只能運(yùn)行必需的應(yīng)用軟件，方便軟件集中管理;再次，利用AD可以統(tǒng)一客戶端桌面，IE、TCP/IP等設(shè)置，方便環(huán)境集中管理;后，以活動(dòng)目錄作為企業(yè)基礎(chǔ)架構(gòu)的根本，為公司整體統(tǒng)一管理做基礎(chǔ)，而且其它ISA、防病毒服務(wù)器、補(bǔ)丁分發(fā)服務(wù)器、文件服務(wù)器等服務(wù)都可通過域服務(wù)器來實(shí)施有效管理。當(dāng)然，建立域服務(wù)器來統(tǒng)一定義客戶端機(jī)器的安全策略，規(guī)范，引導(dǎo)用戶安全使用辦公電腦。下面是具體的實(shí)施措施：
    (1).限制用戶權(quán)限和實(shí)名制
    建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時(shí)嚴(yán)格控制用戶的權(quán)限。設(shè)為首頁員工帳號(hào)只有標(biāo)準(zhǔn)user權(quán)限，不允許信息系統(tǒng)管理員泄露域管理員密碼和本地管理員密碼。因?yàn)?，在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中，普通員工只具備標(biāo)準(zhǔn)的power user權(quán)限，實(shí)際上是對工作環(huán)境有效的保護(hù)。
    員工的工作PC必須嚴(yán)格遵守OU命名規(guī)則，同時(shí)實(shí)現(xiàn)實(shí)名負(fù)責(zé)制。指定員工對該P(yáng)C負(fù)責(zé)，這不但是固定資產(chǎn)管理的要求，也是網(wǎng)絡(luò)安全管理的要求。對PC實(shí)施員工實(shí)名負(fù)責(zé)是至關(guān)重要的，一旦發(fā)現(xiàn)該員工電腦中毒和在廣播病毒包，信息系統(tǒng)管理員能準(zhǔn)確定位，迅速做出反應(yīng)，避免擴(kuò)大影響。
    (2).限制PC權(quán)限
    即使是管理員，使用Administrator權(quán)限上網(wǎng)，稍有不慎，便掉入網(wǎng)絡(luò)陷阱。非授權(quán)不得開放管理員密碼，否則增加的風(fēng)險(xiǎn)和工作量將由本人承擔(dān)。所有辦公電腦的本地管理員密碼由域控制器負(fù)責(zé)人掌握、設(shè)定或變更。
    (3).防火墻上封鎖端口
    在防火墻上只開放常用或業(yè)務(wù)系統(tǒng)需要的端口，如80、25、21、110、443，其它端口一律封鎖，有效實(shí)施對P2P和BT軟件的封鎖。公司部分使用證券軟件，需要另作過濾。
    (4).信息中心安全
    接入網(wǎng)絡(luò)的計(jì)算機(jī)必須接受信息中心的管理。通過在防火墻上設(shè)置相關(guān)的策略，允許經(jīng)信息中心核準(zhǔn)的某些IP組可以在本機(jī)上直接訪問 Internet，或某些IP組只能連接局域網(wǎng)的應(yīng)用服務(wù)器，對于不遵守OU命名規(guī)則的機(jī)器IP和沒有經(jīng)過信息系統(tǒng)管理員授權(quán)的機(jī)器IP，不允許訪問 Internet和Intranet，只能單機(jī)使用。
    (5).WSUS服務(wù)器
    部署WSUS服務(wù)器，統(tǒng)一管理PC的系統(tǒng)更新，這樣就該能夠?qū)崿F(xiàn)補(bǔ)丁的安全可靠。另外，對于SQL Server、Exchange的安全更新也由WSUS實(shí)現(xiàn)同樣管理。WSUS服務(wù)器與域服務(wù)器相配合，通過組策略設(shè)定客戶端PC和服務(wù)器系統(tǒng)的自動(dòng)更新服務(wù)。
    (6).防病毒服務(wù)器
    建立防病毒服務(wù)器(比如瑞星、諾頓)，通過防病毒及時(shí)更新計(jì)算機(jī)的病毒庫，增強(qiáng)整體的病毒抵御能力，及時(shí)消滅網(wǎng)內(nèi)病毒。
    (7).加強(qiáng)組策略
    檢查用戶的計(jì)算機(jī)是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計(jì)算機(jī)才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計(jì)算機(jī)，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計(jì)算機(jī)的安全性，減少了企業(yè)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風(fēng)險(xiǎn)。
    (8).其它措施
    除了上面安全措施之外，還有以下幾個(gè)方面也不能忽視。數(shù)據(jù)過濾，在主干設(shè)備上做數(shù)據(jù)過濾，屏蔽掉非辦公應(yīng)用的數(shù)據(jù)流。遠(yuǎn)程維護(hù)，使用遠(yuǎn)程管理軟件進(jìn)行遠(yuǎn)程維護(hù)，實(shí)現(xiàn)快速的維護(hù)響應(yīng)。入侵檢測防御系統(tǒng)，借助于入侵檢測防御系統(tǒng)，使得管理員可以根據(jù)記錄進(jìn)行統(tǒng)計(jì)分析，發(fā)現(xiàn)有潛在危險(xiǎn)的辦公計(jì)算機(jī)，可以有針對性地進(jìn)行預(yù)防性檢查。
    總結(jié)：經(jīng)濟(jì)持續(xù)低迷，IT預(yù)算大幅壓縮，企業(yè)網(wǎng)絡(luò)改造規(guī)劃流產(chǎn)，信息泄密問題凸顯，這一切迫使我們需要對企業(yè)網(wǎng)絡(luò)重新進(jìn)行安全評估，從而制定有效的應(yīng)對措施。畢竟IT預(yù)算壓縮，但I(xiàn)T服務(wù)卻不能縮水，作為企業(yè)IT重要組成部分的網(wǎng)絡(luò)更是責(zé)無旁貸。后，希望本文能夠?yàn)榇蠹姨峁椭?