吉宁讲师观点 / 企业培训师观点 / 企业培训师观点:企业网安全全攻略

企业培训师观点:企业网安全全攻略

吉宁博士 2015年12月12日 企业培训师观点

不少企业认为,自己单位无论是名气还是规模都不显眼,别人不会平白无故地攻击自己。其实,在一无法纪二无制度的虚拟网络世界中,现实生活中所有的阴险和卑鄙都表现得一览无余,那些平时不注意的人,往往在遭受攻击并付出惨重代价后才后悔不已。在网络里,几乎每个人都面临着安全威胁,每个人都有必要对企业网安全有所了解,并能处理安全危机。

  本期编发的一组保护企业网安全的措施,分别从安全策略、防护措施、防病毒措施以及预防垃圾邮件等几个影响企业网安全的关键层面着手,希望读者能从中体会企业网安全的防护方法。

  主动预防5大策略

  1、充分认识内外攻击

  在进行企业网安全设计时,首先要了解自己的网络可能面临的攻击。在网络中,各类不同的企业所面临的危险是不相同的,每个企业都有自己独特的漏洞及安全隐患。随着企业网络逐步延伸到供应商、顾客及合作伙伴处,外部威胁正变得日益严重。外部威胁主要指:未授权用户,如黑客、恶意破坏者或网络盗窃分子等对系统进行的破坏;对企业离职员工的管理不当,使他们在离开企业后仍能访问公司网络,形成威胁;此外,企业还必须考虑因设备故障及自然灾害,如火灾等带来的危险。

  2、寻找漏洞

  有时,寻找企业网弱点就像大海捞针一样,并不是所有的威胁都很明显,特别是当缺乏专业的信息安全技术专家帮助时。识别潜在威胁的一种方法是求助第三方,让他们对您企业的计算机系统进行扫描评估,查出是否有漏洞。现在市场上的许多安全产品能对整个系统进行完全扫描,这有利于管理员识别并修补漏洞。

  许多用户明明已经知道局域网系统存在着安全漏洞,但思想上并没有引起重视,只是侥幸地认为这样小的安全漏洞不会引起麻烦。但是,总会有对网络的复杂性和安全性理解更深刻的闯入者,小漏洞说不定能引起整个局域网系统的致命创伤。为确保万无一失,用户在工作中发现安全隐患时,应在第一时间堵住。

  3、预防病毒

  各色各样的新型病毒层出不穷,在过去几年里曾造成全球上千万美元的损失。与大多数安全威胁类似,病毒既袭击小公司,也会攻击大公司。要确保免受病毒入侵,不丢失数据,必须要经常使用杀毒软件。

  4、定期做检查

  局域网每天遭受的攻击类型是在不断变化的,因此针对这种攻击类型而采取的防范软件也必须及时更新,用户应该及时将防火墙或防病毒软件升级。

  不要以为设置了密码,入侵者就不能攻击系统了,其实许多密码很容易被破解,像John这一类的密码破解程序可从因特网上免费下载,经常修改密码对付这种盗用十分奏效。

  局域网中的共享访问功能虽给用户操作带来了方便,但也给整个系统带来了安全隐患,目前许多攻击是通过共享方式实现。笔者建议对局域网中每一次共享资源的访问,都应该使用身份验证机制,保证访问者的合法性。

  5、杜绝犯小错误

  一些用户常犯的错误可能会为黑客攻击留下把柄,例如操作系统及应用程序默认安装、密码设置不当、数据备份不完全、打开不必要的端口、发送与接收的数据包不进行过滤等。

  不要在自己的系统之内使用任何具有记忆命令的程序,这些程序能记录用户的击键动作甚至能以快照的形式记录到屏幕上发生的一切,如Windows下的“keylog”程序等。

  如果企业的局域网系统是请他人调试安装的,网管人员应该注意在网络调试好以后及时对整个网络系统加装安全保护。
此外,任何情况下,网管员不能随意透露自己企业网的任何安全信息。

  基本防护5大措施

  1.建立实用有效的密码,防止口令入侵

  所谓口令入侵,是指黑客利用一些软件解开被加密的口令文档,获得一定的权限进入他人计算机。有为数不少的企业员工习惯使用“password”或“pass”作为密码,这极易被黑客猜到,利用密码管理软件选择一个安全性好的密码十分必要;不依照常规、不定期更换密码也非常重要。一个好的密码应包括:

  ●至少8位字符以上;

  ●大小写字符混合;

  ●字母和数字任意组合在一起;

  ●包括一些特殊字符(如&、$、#、*等)。

  2.持续更新反病毒程序

  对复杂多变的网络环境和层出不穷的电脑病毒,一次性安装病毒防护程序并不能防范不断出现的新病毒,应该运行最新的防病毒系统,安装的病毒防护程序需要不断更新、升级。目前,更新杀毒软件主要依靠防病毒软件公司,一般都提供网上在线自动更新。

  3.定期给系统打补丁

  一个好的网络安全方案不应仅包括防火墙、入侵探测系统等,还应该有正确的使用和恰当的维护。通常,许多应用软件、系统程序(操作系统、网页浏览器、邮件阅读器等)总是在应用过程中会不断发现新漏洞或安全隐患,软件开发公司会就此发布公告,发布相应的补丁,它对小型企业和个人电脑所使用的相对不复杂的系统维护是有益的。但在将补丁程序应用于大系统前时,必须详细分析,以防与系统中运行的其他程序发生冲突。

  4.使用过滤工具

  目前,许多ISP都提供过滤工具,用于过滤访问的网页,对不允许访问的网页限制访问;大多数ISP还允许用户通过使用邮件列表过滤邮件,用于阻止不明邮件的接收。

  另外,当前许多新的计算机病毒通常是以电子邮件方式传播,所以个人电脑使用者应特别注意收到的不明邮件,尤其是带附件的电子邮件,可以考虑用专业工具来控制垃圾邮件的接收。

  5.在宽带处安装安全设备

  伴随着各类接入因特网方式的不断出现和普及(如使用宽频、DSL、卫星通讯等),在增加了网络速度和效率的同时,也提出了特殊的挑战。因为在线连接就意味着自身大量的数据能被持续发送出去,从而使企业的计算机系统一直处于不安全状态中,为黑客攻击计算机系统提供了条件。因此,使用宽带方式接入的系统应该安装额外的设备,即防火墙。

  防火墙可以阻止非法连接,对访问者设置检查和进入许可,只接收部分经过安全确认的访问者。尽管防火墙可以将部分恶意用户屏蔽于企业网络之外,可是,因为所有的防火墙都暴露在外,所以会受到外部的攻击或被以各种方式避开。鉴于防火墙提供的防护十分有限,企业应考虑设置入侵侦测系统用以补充防火墙技术的不足。
防火墙和入侵侦测系统应不断从供应商处获得更新版本。

  对抗垃圾邮件5招

  据IDC表示,目前全世界每天散布的网上垃圾邮件高达730亿封之多;而Gartner调查公司的调查数据表明,目前企业用户每天收到的邮件中有一半左右都是垃圾邮件。垃圾邮件的内容从各种小广告到成人网站,再到“如何快速致富”、“快速减肥”等内容,几乎无所不包,垃圾邮件已经成为了当今企业网上一个颇令人头痛的问题。

  由于在反垃圾邮件方面措施不利,国内许多ISP和免费邮件提供商的网站都受到过国际组织的投诉,甚至直接被列入垃圾源而导致地址被封,造成经济损失和用户不满。同时,因为垃圾邮件大量占用网络资源和员工的精力,企业也蒙受很大的损失。这一切都迫使我们严肃地从企业网安全方面看待反垃圾邮件的问题,从技术上、从管理上来减少这方面的隐患。

  垃圾邮件的表现多种多样,如何定义垃圾邮件现在国际上开始出现了大家认可的标准,但是从技术上,如何判断垃圾邮件、如何减少误判带来的邮件丢失同时达到满意的过滤效果,却成为当前热门的研究课题。对于企业网络,当前对抗垃圾邮件的措施并不少,但通常每一种独立使用都不够,需要综合使用多种方式进行保护和过滤,才能达到令人满意的效果。

  1.过滤黑名单“坏蛋”地址。包括两种做法:其一是过滤国际几个重要组织已经通报的垃圾源,例如MAPS等;其二是过滤自己企业用户报告的垃圾源。这里的垃圾源包括发送垃圾邮件的邮件地址和服务器。

  2.确认垃圾邮件中的“发送者”的真实性。有两种做法:其一是确认其域名的真实性;其二是测试一下其是否能够接收邮件,因为大多数垃圾邮件的发送者都不愿接受返回邮件。

  3.从邮件的实际内容智能判断。有四个层次的做法:其一是从邮件接收者的数目来看,数量太大的有垃圾邮件的倾向;其二是内容分析,过滤掉那些包含房屋租赁、工作招聘之类的广告信息;其三是定义过滤的模式,例如“快速致富”、“Losepounds!”等;其四最为复杂,为了更彻底地对抗垃圾邮件,有些情况下还需要部署能够进行多语种分析的过滤软件,来对抗全球范围内的垃圾邮件。

  4.保护自己的网络不被用作垃圾邮件中转站、甚至源头。关闭邮件中的匿名转发功能,对邮件转发进行认证等措施可以帮助做到这一点。

  5.对抗恶意邮件攻击。鉴于业界已经出现过利用邮件进行拒绝服务攻击的先例,所以,建立相应的邮件防护系统,防止自己的邮件服务器被淹没或者因过载而崩溃非常重要。另外还应该采取措施防止潜在的垃圾邮件者利用暴力猜测自己的邮件服务器上的账号列表来保护企业网安全。

About 吉宁博士

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。