当前位置:首页 > 消费电子 > 视频技术
[导读]   内网安全管理对于企业来说变得愈加的重要,一个企业的安全问题影响着企业各方面的发展,我们对于企业的分析就从企业的安全设计谈起,看看在此方面上都存在哪些内容。   弊病一:客户端补丁升级

  内网安全管理对于企业来说变得愈加的重要,一个企业的安全问题影响着企业各方面的发展,我们对于企业的分析就从企业的安全设计谈起,看看在此方面上都存在哪些内容。

  弊病一:客户端补丁升级依赖于员工的自觉

  现在企业中大部分用户采用的都是Windows客户端。而这个客户端的特点就是补丁特别的多,包括IE补丁、Offcie办公软件补丁等等。如果不及时打上补丁的话,则很容易病毒利用,成为其传播的便捷渠道。不过可惜的是,有不少的IT 负责人不重视补丁方面的管理与控制。如有些管理员,纯粹依靠用户的自觉,来进行补丁的管理。如在客户端上通过自动更新服务来对给系统打补丁。采取这个操作是,需要客户端用户的手工操作。如需要进行手工确认是否需要进行补丁升级、升级完成后可能还需要重新启动等等。现实的情况是有些用户认为这么操作比较麻烦,为此都不会自觉的去升级补丁。如此的话,就给内网的安全造成了比必要的安全隐患。

  为此笔者建议,对于补丁的管理,最好采取统一的解决方案。如微软有一个补丁管理的工具,可以在服务器上控制强制对客户端系统打补丁。如在下次启动之前给系统自动打补丁等等。这么设计即可以保障内部网络的安全,也可以对用户的不利影响降至到最低。总之笔者认为,最好不要将补丁更新的权利交给用户。大部分用户并不会正确行使这个权力。

  弊病二:自签名证书不兼容会惹祸

  IE浏览器一直是微软操作系统与服务器的安全重灾区。其中用户的不正确设置是其总要的一个原因。微软为了改善这种情况,在微软的一些产品中,如Exchange中加入了自签名证书。简单的说,就是当企业用户没有采取任何安全措施的话,那么系统就会自动启用自签名证书,以启用一定的安全加密机制,如SSL加密等等。

  这种默认的安全措施在一定程度上提高了系统应用的安全性。特别是对于那些没有安全观念的用户来说,能够启动不少的帮助。但是到现在为止,这个自签名证书的作用只限于微软的产品。如企业现在使用的是Exchange的服务器,然后采用IE浏览器去访问这个邮箱的话,没有问题。但是如果采用其他的浏览器去访问的话,就可能会出现不兼容的问题。如浏览器会提示用户系统并不信任这一类的证书。有些管理员为了减少这种麻烦,就索性将自签名证书的功能也禁用掉。这无疑减弱了企业内部网络服务器的安全性。

  弊病三:不注重后续的追踪

  有不少的企业,在网络设计与组建时,非常关注企业内部网络的安全。如禁用不必要的服务、禁止使用移动设备等等。但是在这方面他们也存在着一定的误区。就是非常重视前期的设计与配置,但是却缺少后续的追踪机制。

  如对于文件服务器来说,企业可能有比较安全的权限访问机制等安全措施。但是却缺少访问审核机制。也就是说无法判断这个安全措施是否到位,也无法分析用户是否存在着越权的访问。在这种情况下,可能只有在最后出现问题的时候,才能够发现这方面的不足。笔者建议,在前期做好安全设计与相关的配置固然重要,但是在后续日常工作中也需要最好追踪分析的工作。当发现原有的配置跟不上企业安全的需求时,需要进行及时的调整。如对于文件服务器来说,可以启用审计功能。将用户的未经授权的访问都记录在案。然后对这个数据进行分析,以判断用户可能的攻击行为。

  弊病四:没有使用逆向代理来减少端口的开销

  随着企业信息化管理的普及,现在企业越来越不满足于内部用户使用企业的信息化系统。如有些企业可能会在外地开设办事处。企业就希望这些办事处的人员也能够访问企业内部的服务器。再如为了出差在外的员工工作的方便,也允许他们从公共网络连接企业内部的服务器。

  如果要允许企业内部的服务器被外部用户通过互联网进行访问,那么就必须要在防火墙上开启多个端口。而这种情形就会增加企业内部的安全隐患。道理很简单,这就好像是开一幢房子开了多个门。管理员无法兼顾到多个门的安全。如企业部署了微软的即时通信套件。如果需要允许外部用户使用这个即时通信服务器的话,那么就需要在防火墙上开启十几个端口。这无疑大大降低了企业内部网络的安全性。当遇到这种情况是,笔者建议使用逆向代理机制。逆向代理的服务器一般位于互联网和本地需要开发多个端口的服务器之间,基本上跟防火墙服务器是并列的。采用逆向代理的话,可以让服务器在进入外网前先隐藏起来,同时还可以保障外部的恶意请求不会到达服务器。在安全方面,跟NAT技术有异曲同工之妙。不过从管理成本与性能开销上来说,要比NAT服务器低很多。

  弊病五:在同一个服务器上部署过多的应用程序

  在同一个服务器上部署多个应用程序,这种情况在企业中也是司空见惯的事情。这虽然可以在一定程度上降低企业信息化部署的成本,但是也增加了服务器的安全隐患。假设现在一家企业的一个服务器上部署了三种应用,此时包括操作系统在内的话,其实就有四种信息化系统。如果一种信息化系统存在2个安全漏洞的话,那么这台服务器现在就有了8个漏洞。如果没有采取严格安全措施的话,那么攻击者只要利用其中的任何一个漏洞,就有可能窃取服务器上的内容,甚至控制服务器。

  这就好像一条链条。如果链条上的一个个环越多,其安全性能相对来说就越差。因为任何一个环断掉的话,整条链条就会报废掉。而环越多的话,则出现断掉的可能性就会越大。总的来说,企业如果需要在一台服务器上部署多个应用程序并不是不行,但是在数量上需要有所限制。一般情况下不要超过三个。同时对于一些重要的应用,如数据库等的功能,最好采取单独的应用服务器,以保障其安全。而且还需要采取一些必要的措施,如虚拟CPU等技术,来给多个应用程序提供相对独立的工作环境。

  弊病六:对邮件等需要授权的访问没有采取SSL加密机制

  企业中不少的信息化系统需要授权才能够进行访问。如对于邮件系统,用户只能够访问自己的邮箱。对于文件服务器,也只能够访问授权允许访问的文件。而这些控制,基本上都是通过用户名与密码来进行限制的。

  在内部网络中,先主要采用的是HTTP与HTTPS两种访问机制。前者HTTP其特点是对于传输中的数据没有进行任何的加密措施。即用户名与密码在网络中都是明文传输的。如此的话,通过网络嗅探器等工具,就可以轻而易举的窃取到用户的用户名与密码。从而进行破坏活动。而如果用户名与密码信息泄露的话,最好的安全措施也无济于事。笔者的建议是,对于一些重要的应用,如邮件、文件服务器等等,最好采用HTTPS协议。这个协议的特点是在数据传输过程中采用SSL加密机制对数据进行加密,以确保用户名与密码的安全。

  内网安全管理中的内容很复杂,很广泛,文章就知识介绍了几种弊病,供大家参考。但是这绝对是比较经典的一些问题。各位可以针对企业自己的实际情况,来进行自我检查。对于内部网络安全来说,要重在预防。

本站声明: 本文章由作者或相关机构授权发布,目的在于传递更多信息,并不代表本站赞同其观点,本站亦不保证或承诺内容真实性等。需要转载请联系该专栏作者,如若文章内容侵犯您的权益,请及时联系本站删除。
换一批
延伸阅读

9月2日消息,不造车的华为或将催生出更大的独角兽公司,随着阿维塔和赛力斯的入局,华为引望愈发显得引人瞩目。

关键字: 阿维塔 塞力斯 华为

加利福尼亚州圣克拉拉县2024年8月30日 /美通社/ -- 数字化转型技术解决方案公司Trianz今天宣布,该公司与Amazon Web Services (AWS)签订了...

关键字: AWS AN BSP 数字化

伦敦2024年8月29日 /美通社/ -- 英国汽车技术公司SODA.Auto推出其旗舰产品SODA V,这是全球首款涵盖汽车工程师从创意到认证的所有需求的工具,可用于创建软件定义汽车。 SODA V工具的开发耗时1.5...

关键字: 汽车 人工智能 智能驱动 BSP

北京2024年8月28日 /美通社/ -- 越来越多用户希望企业业务能7×24不间断运行,同时企业却面临越来越多业务中断的风险,如企业系统复杂性的增加,频繁的功能更新和发布等。如何确保业务连续性,提升韧性,成...

关键字: 亚马逊 解密 控制平面 BSP

8月30日消息,据媒体报道,腾讯和网易近期正在缩减他们对日本游戏市场的投资。

关键字: 腾讯 编码器 CPU

8月28日消息,今天上午,2024中国国际大数据产业博览会开幕式在贵阳举行,华为董事、质量流程IT总裁陶景文发表了演讲。

关键字: 华为 12nm EDA 半导体

8月28日消息,在2024中国国际大数据产业博览会上,华为常务董事、华为云CEO张平安发表演讲称,数字世界的话语权最终是由生态的繁荣决定的。

关键字: 华为 12nm 手机 卫星通信

要点: 有效应对环境变化,经营业绩稳中有升 落实提质增效举措,毛利润率延续升势 战略布局成效显著,战新业务引领增长 以科技创新为引领,提升企业核心竞争力 坚持高质量发展策略,塑强核心竞争优势...

关键字: 通信 BSP 电信运营商 数字经济

北京2024年8月27日 /美通社/ -- 8月21日,由中央广播电视总台与中国电影电视技术学会联合牵头组建的NVI技术创新联盟在BIRTV2024超高清全产业链发展研讨会上宣布正式成立。 活动现场 NVI技术创新联...

关键字: VI 传输协议 音频 BSP

北京2024年8月27日 /美通社/ -- 在8月23日举办的2024年长三角生态绿色一体化发展示范区联合招商会上,软通动力信息技术(集团)股份有限公司(以下简称"软通动力")与长三角投资(上海)有限...

关键字: BSP 信息技术
关闭
关闭