經(jīng)濟低迷期企業(yè)網(wǎng)絡(luò)安全評估刻不容緩

經(jīng)濟持續(xù)低迷還不見底，企業(yè)為了節(jié)約成本壓縮IT預(yù)算已成為必然趨勢。緊縮的IT預(yù)算，使得當初拍板的網(wǎng)絡(luò)建設(shè)規(guī)劃紛紛流產(chǎn)或者被無限期擱置。遭此變故，企業(yè)網(wǎng)絡(luò)有些步履維艱，而且“目前的金融危機打破了良好的金融秩序，惡意軟件制造者正利用我們注意力分散而給予我們重重一擊?！贝送?，在危機浪潮中人心思變企業(yè)中的離職或者跳槽人員也越來越多，信息保密面臨嚴峻考驗。所有這些使得網(wǎng)絡(luò)安全問題日益彰顯，作為網(wǎng)絡(luò)管理者，是需要對企業(yè)網(wǎng)絡(luò)重新進行安全評估并制定應(yīng)對措施的時候了。
    一、企業(yè)網(wǎng)絡(luò)安全評估
    1、主要安全威脅來自Internet
    接入Internet，一方面改善了企業(yè)的網(wǎng)絡(luò)環(huán)境，為員工上網(wǎng)的條件得到改善;另一方面也給企業(yè)帶來更高的風險，特別是一些結(jié)構(gòu)復(fù)雜、規(guī)劃混亂，安全不到位的網(wǎng)絡(luò)更是如此。低迷經(jīng)濟為病毒流行推波助瀾，再加上黑客攻擊更加頻繁，而企業(yè)的設(shè)備升級、網(wǎng)絡(luò)改造、員工培訓(xùn)等措施都跟不上，所以來自 Internet的安全威脅顯得咄咄逼人。
    2、來自“無知”員工的潛在威脅
    在企業(yè)中絕大多數(shù)是非IT人員，這些人員中相當一部分只能用PC做自己的本職工作，在他們的意識里安全那是IT人員的事情于己無關(guān)。由于他們的安全意識、安全技能普遍不高，往往會有意無意地“制造”一些網(wǎng)絡(luò)安全事故。下面是在很多企業(yè)中非常普遍的現(xiàn)象：
    (1).由于員工的防范意識普遍偏低，防毒措施往往不到位，一旦發(fā)生病毒感染，往往擴散到絡(luò)，令網(wǎng)絡(luò)陷于癱瘓狀態(tài)。特別是部分致命的蠕蟲病毒利用TCP/IP協(xié)議的各種漏洞，使得木馬、病毒傳播迅速，影響規(guī)模大，導(dǎo)致網(wǎng)絡(luò)長時間處于帶毒運行、反復(fù)發(fā)作，而維護人員則疲于奔命。
    (2).個別員工私自安裝從網(wǎng)絡(luò)下載安裝的軟件，這些從網(wǎng)絡(luò)上下載的軟件安裝包多數(shù)附帶各種插件、木馬和病毒，并在安裝過程中用戶不知情的情況下強行安裝在辦公電腦上，增加了辦公電腦大量的資源消耗，導(dǎo)致計算機反應(yīng)緩慢，甚至被遠程控制。
    (3).部分網(wǎng)站網(wǎng)頁含有惡意代碼，強行在用戶電腦上安裝各種網(wǎng)絡(luò)搜索引擎插件、廣告插件或中文域名插件等，增加了辦公電腦大量的資源消耗，導(dǎo)致計算機反應(yīng)緩慢。另外，有些員工使用公司計算機上網(wǎng)聊天、聽歌、看電影、打游戲，部分員工全天24小時啟用P2P軟件下載音樂和影視文件，由于flashget、迅雷和BT等軟件并發(fā)線程多，導(dǎo)致大量帶寬被部分員工占用，網(wǎng)絡(luò)速度緩慢，導(dǎo)致應(yīng)用軟件系統(tǒng)無法正常開展業(yè)務(wù)，即便是嚴格的計算機使用管理制度也很難保障企業(yè)中的計算機只用于企業(yè)業(yè)務(wù)本身，PC的業(yè)務(wù)專注性、管控能力不強。
    3、來自惡意員工的直接威脅
    經(jīng)濟持續(xù)低迷，企業(yè)減員增效勢在必行，因此有一部分人會被裁掉。另外，面對企業(yè)的困境也有個別人會跳槽到其他企業(yè)。所有這些人員會往往會有意、無意甚至惡意地竊取企業(yè)信息，故意破壞企業(yè)網(wǎng)絡(luò)。其中下列行為是非常普遍的：
    (1).出于報復(fù)心理，某些離職的員工會將企業(yè)的某些機密信息帶出去，更有甚者會非法賣給原企業(yè)的競爭對手。就筆者所見、所聞，這樣的案例非常多。特別是經(jīng)濟低迷時期，來自企業(yè)原員工的泄密、竊密犯罪卻愈演愈烈。由于企業(yè)的制度不完善、安全措施不到位，對于此類犯罪取證非常困難，不少企業(yè)只能吃啞巴虧。
    (2).由于經(jīng)濟持續(xù)低迷使得市場緊縮，同行業(yè)之間的生存競爭更加激烈。這樣的大環(huán)境造成企業(yè)之間的不正當競爭，相互之間收買對方員工竊取機密信息或者挖對方的人才已經(jīng)非常普遍。在利益的驅(qū)動下，個別人員會通過各種手段收集企業(yè)的機密信息，然后待價而沽出賣或者作為跳槽的籌碼。以筆者了解，幾乎超過一般以上的人會通過CD/DVD、U盤、移動硬盤等移動存儲設(shè)備將企業(yè)數(shù)據(jù)在未經(jīng)允許的情況下帶走。此外，通過電子郵件轉(zhuǎn)移數(shù)據(jù)也是這些竊密者采用的一條途徑。而當前不少企業(yè)對信息的保密措施不到位，在這些人員離開公司前并不會對其進行文件和電子文檔的審查。
    (3).除了竊密之外，還有個別人會地對企業(yè)的網(wǎng)絡(luò)或者設(shè)備進行惡意的破壞。比如惡意修改網(wǎng)絡(luò)配置造成網(wǎng)絡(luò)故障，主動感染病毒破壞企業(yè)數(shù)據(jù)，在客戶端種馬等等。由于不少企業(yè)網(wǎng)絡(luò)規(guī)劃不夠合理，另外，既沒有做好防范措施，又善后措施跟不上。有不少離職者還會去訪問企業(yè)的網(wǎng)絡(luò)或設(shè)備，他們往往能夠如愿。
    4、來自網(wǎng)絡(luò)管理者的無作為
    不少企業(yè)的網(wǎng)絡(luò)管理者，更多的時候就象“救火隊隊長”，出沒于網(wǎng)絡(luò)故障現(xiàn)場。通常的情況是這樣的：為給企業(yè)中的用戶電腦提供正常的標準的工作環(huán)境，安裝操作系統(tǒng)和應(yīng)用軟件已經(jīng)耗費了信息管理中心人員一定的精力和時間。同時又難以限制用戶安裝軟件，導(dǎo)致管理人員必須花費其50%以上的精力用于維護用戶的PC系統(tǒng)。比如，局域網(wǎng)共享，包括默認共享(無意)，文件共享(有意)，一些病毒比如ARP通過廣播四處泛濫，影響到整個片區(qū)辦公電腦的正常工作。所有這些，讓信息維護人員疲于奔命無所作為，更無法集中精力去開發(fā)網(wǎng)絡(luò)系統(tǒng)的深層次功能，提升整個企業(yè)網(wǎng)絡(luò)的性能和價值。
    二、管理和應(yīng)對策略
    上面的評估結(jié)果是筆者結(jié)合自身企業(yè)網(wǎng)絡(luò)管理的經(jīng)驗，以及與同行交流中的所見、所聞得出的，應(yīng)該說具有普遍性。而且在當前經(jīng)濟低迷期，企業(yè)網(wǎng)絡(luò)、信息安全問題陡然升級，作為企業(yè)的網(wǎng)絡(luò)管理者應(yīng)該應(yīng)該有應(yīng)對的策略和措施。
    1、制定并完善制度
    光靠技術(shù)是不能徹底解決問題的，還需要制定規(guī)范、細致的制度。當然，出臺制度需要企業(yè)老總的支持并由IT負責人牽頭制定和實施。因為相關(guān)行政與技術(shù)關(guān)系不大，所以筆者就此略過。需要說明的上面所說的制度，主要是企業(yè)信息的保密制度和員工IT技術(shù)培訓(xùn)制度。另外，制度一定要細化，責任和義務(wù)要明晰。
    2、從技術(shù)上有效控制
    不同的企業(yè)因為網(wǎng)絡(luò)環(huán)境的不同，可采用的技術(shù)手段是不同的，所以任何人不肯能提供一攬子的解決方案。下面筆者和大家分享一下我們的解決方案，希望對大家有用。
    因為企業(yè)IT預(yù)算緊縮，不可能購置硬件通過改造來加強網(wǎng)絡(luò)安全，所以我們決定通過部署域來提升網(wǎng)絡(luò)安全。域環(huán)境的作用是顯而易見的，首先，通過部署統(tǒng)一的安全策略，方便安全集中管理;其次，按照企業(yè)要求限定所有機器只能運行必需的應(yīng)用軟件，方便軟件集中管理;再次，利用AD可以統(tǒng)一客戶端桌面，IE、TCP/IP等設(shè)置，方便環(huán)境集中管理;后，以活動目錄作為企業(yè)基礎(chǔ)架構(gòu)的根本，為公司整體統(tǒng)一管理做基礎(chǔ)，而且其它ISA、防病毒服務(wù)器、補丁分發(fā)服務(wù)器、文件服務(wù)器等服務(wù)都可通過域服務(wù)器來實施有效管理。當然，建立域服務(wù)器來統(tǒng)一定義客戶端機器的安全策略，規(guī)范，引導(dǎo)用戶安全使用辦公電腦。下面是具體的實施措施：
    (1).限制用戶權(quán)限和實名制
    建立域控制器，并規(guī)定所有辦公電腦必須加入域，接受域控制器的管理，同時嚴格控制用戶的權(quán)限。設(shè)為首頁員工帳號只有標準user權(quán)限，不允許信息系統(tǒng)管理員泄露域管理員密碼和本地管理員密碼。因為，在如今各種流氓插件、廣告插件、木馬和病毒霸道橫行的網(wǎng)絡(luò)環(huán)境中，普通員工只具備標準的power user權(quán)限，實際上是對工作環(huán)境有效的保護。
    員工的工作PC必須嚴格遵守OU命名規(guī)則，同時實現(xiàn)實名負責制。指定員工對該PC負責，這不但是固定資產(chǎn)管理的要求，也是網(wǎng)絡(luò)安全管理的要求。對PC實施員工實名負責是至關(guān)重要的，一旦發(fā)現(xiàn)該員工電腦中毒和在廣播病毒包，信息系統(tǒng)管理員能準確定位，迅速做出反應(yīng)，避免擴大影響。
    (2).限制PC權(quán)限
    即使是管理員，使用Administrator權(quán)限上網(wǎng)，稍有不慎，便掉入網(wǎng)絡(luò)陷阱。非授權(quán)不得開放管理員密碼，否則增加的風險和工作量將由本人承擔。所有辦公電腦的本地管理員密碼由域控制器負責人掌握、設(shè)定或變更。
    (3).防火墻上封鎖端口
    在防火墻上只開放常用或業(yè)務(wù)系統(tǒng)需要的端口，如80、25、21、110、443，其它端口一律封鎖，有效實施對P2P和BT軟件的封鎖。公司部分使用證券軟件，需要另作過濾。
    (4).信息中心安全
    接入網(wǎng)絡(luò)的計算機必須接受信息中心的管理。通過在防火墻上設(shè)置相關(guān)的策略，允許經(jīng)信息中心核準的某些IP組可以在本機上直接訪問 Internet，或某些IP組只能連接局域網(wǎng)的應(yīng)用服務(wù)器，對于不遵守OU命名規(guī)則的機器IP和沒有經(jīng)過信息系統(tǒng)管理員授權(quán)的機器IP，不允許訪問 Internet和Intranet，只能單機使用。
    (5).WSUS服務(wù)器
    部署WSUS服務(wù)器，統(tǒng)一管理PC的系統(tǒng)更新，這樣就該能夠?qū)崿F(xiàn)補丁的安全可靠。另外，對于SQL Server、Exchange的安全更新也由WSUS實現(xiàn)同樣管理。WSUS服務(wù)器與域服務(wù)器相配合，通過組策略設(shè)定客戶端PC和服務(wù)器系統(tǒng)的自動更新服務(wù)。
    (6).防病毒服務(wù)器
    建立防病毒服務(wù)器(比如瑞星、諾頓)，通過防病毒及時更新計算機的病毒庫，增強整體的病毒抵御能力，及時消滅網(wǎng)內(nèi)病毒。
    (7).加強組策略
    檢查用戶的計算機是否具備了相應(yīng)的安全策略。只有符合相應(yīng)的安全策略的計算機才允許訪問外部網(wǎng)絡(luò)，不具備相應(yīng)安全條件的用戶計算機，不允許上網(wǎng)。這樣從根本上提高了企業(yè)用戶計算機的安全性，減少了企業(yè)用戶遭受蠕蟲、病毒、木馬以及間諜軟件的風險。
    (8).其它措施
    除了上面安全措施之外，還有以下幾個方面也不能忽視。數(shù)據(jù)過濾，在主干設(shè)備上做數(shù)據(jù)過濾，屏蔽掉非辦公應(yīng)用的數(shù)據(jù)流。遠程維護，使用遠程管理軟件進行遠程維護，實現(xiàn)快速的維護響應(yīng)。入侵檢測防御系統(tǒng)，借助于入侵檢測防御系統(tǒng)，使得管理員可以根據(jù)記錄進行統(tǒng)計分析，發(fā)現(xiàn)有潛在危險的辦公計算機，可以有針對性地進行預(yù)防性檢查。
    總結(jié)：經(jīng)濟持續(xù)低迷，IT預(yù)算大幅壓縮，企業(yè)網(wǎng)絡(luò)改造規(guī)劃流產(chǎn)，信息泄密問題凸顯，這一切迫使我們需要對企業(yè)網(wǎng)絡(luò)重新進行安全評估，從而制定有效的應(yīng)對措施。畢竟IT預(yù)算壓縮，但IT服務(wù)卻不能縮水，作為企業(yè)IT重要組成部分的網(wǎng)絡(luò)更是責無旁貸。后，希望本文能夠為大家提供幫助。