|
隨著IT和通信系統在組織內的日益复雜,很多IT管理員并沒有認識到企業內部的安全隱患,本文將介紹訪問網路資源的五种方法及可能造成的信息威脅。
談到網路安全,許多人想到的是黑客、病毒、蠕虫、間諜軟體、rootkit等,殊不知內部人員造成的安全威脅更大,且更容易被忽視。國內外的案例一再表明,內部人員對公司網路、机密資料的危害絕不容忽視。比如,內部人員造成的數据被竊和破坏可導致高昂的代价和成本,并會造成潛在的后續影響,如生產力的下降,商業聲譽的損失等。所以企業應當對此高度重視。
隨著IT和通信系統在組織內的日益复雜,就需要更多數量的雇員、合約人、托管服務供應商來維護系統和網路。一些單位對于內部人員可以自由地訪問公司重要網路資源的現象漠然視之,并沒有意識到這种做法造成的高風險。
企業應當像監視外部人員一樣監視內部人員。然而由于工作上的原因,內部人員可以對公司資源擁有一些特許的訪問,這樣規范內部人員的網路行為就成為一件極具有挑戰性的事情。下面我們列示內部人員訪問網路資源的五种方法及其可能造成的威脅,IT管理人員應當對此采取相應的防護措施。
寬帶modem
現在許多單位仍采用寬帶modem上網,但對此卻缺乏集中管理,再加上口令簡單、容易猜測,有的單位長期不更換口令,這就為某些雇員提供了隨意進入網路的机會。有的單位為了解決這個問題,在不用modem時就將其撥掉,需要時再安裝上去。但有時企業需要做一些維護,如在發生災難時需要從遠程恢复關鍵系統。
考慮到modem是必須的,企業必須將運用于其它遠程網路訪問點的安全措施和身份驗證措施擴展到modem上。企業可以將雙因素認證措施擴展到modem上,或者用更新的設備替換舊設備,也可以采用支持多因素認證的更安全設備。這些措施都可以提供恰當的、高效的保護。
開放的文件傳輸
多數單位使用開放的文件傳輸。內部的技術人員和厂商利用這种不安全的、未受限的訪問來診斷故障,并實施恰當的修复并糾正問題。然而,他們也可能利用這种自由改變文件、刪除關鍵的組件或破坏系統(不管是有意為之還是無意這樣做),結果導致系統無法運行、網站受到破坏、數据被竊及其它的損害。
不滿的內部員工或者以前的雇員可能擁有做出上述舉動的知識和動机,但是,一個內部人員的威脅可能會造成更棘手的問題。即使雇員的意圖是好的,他也有可能粗心大意或犯一些無意的錯誤。同樣地,保護信息資產要求企業可以控制誰可以上傳和下載文件,并可以很輕易地記錄對系統文件的改變及作出這种改變的人員。
從傳統上看,限制和監視開放的文件傳輸要求在每台机器上都設置獨立的許可,這給IT部門造成了諸多麻煩。然而,新的技術,如厂商訪問和控制(VAC)系統,可以限制訪問和監視特定系統的活動,有的產品還可以監視整個組織范圍內的活動。
開放的telnet和SSH端口
使用第三方系統來遠程訪問及診斷系統故障的公司應當保障telnet和SSH端口的安全,或完全關閉這些端口。如果沒有設置恰當的保護,遠程技術人員就可以通過一個內部的IP地址而到達網路上的任何位置,而公司卻對此毫不知情。
假定遠程技術人員擁有公司IP地址分配方案是危險的事情。基礎結构設備經常要共享容易猜測的設備,這使得內部人員訪問可以輕易地未獲得授權的設備。
我們建議公司限制第三方通過telnet或ssh訪問公司典型的服務范圍之外的系統,除非這种會話能夠得到記錄或有團隊成員的保護。作為選擇,許多組織使用中間系統來构建這些會話的一個代理服務器,這就提高了控制和跟蹤的必要水平。
服務器控制台端口
技術人員經常要連接到控制台端口,特別是在路由器和Linux/Unix服務器上。為了提供可升級的服務,公司典型情況下會用終端服務器連接到串行端口。然而,默認情況下,終端服務器提供了最少的安全性。
通過獲得對單個終端服務器的訪問,一個內部人員可以訪問并可能損害大量的系統。因此,建議公司經常檢查服務器的安全特性,并將安全設備置于掌管敏感數据(例如,財務記錄、客戶數据、人力資源信息等)系統的控制台端口的外部。
未加監視的外聯網通信
外聯網為公司提供了一种便利,它使得公司可以向其厂商、客戶、合伙人等開放自己的網路,從而支持實時的協作。在与外部的單位或人員共享的系統數量少,而且這些系統上的授權水平得到了嚴格的控制時,外聯網(如IPSec、SSL、遠程桌面等)將發揮重大的作用。但是,典型的外聯網都要求授予較高級授權或者要求可以訪問多個系統,這將成為一個問題。但是太多的訪問并沒有注意授權,而且活動也沒有受到密切地監視和控制。厂商的訪問和控制系統需要為防止破坏和數据被竊而提供額外一層控制。
雖然許多第三方的供應商值得依賴,但做出這种假設是有風險的。不管是雇員或第三方的供應商訪問你的網路,人的動机總有相同之處。對于內部人員來講,有可能誤用,也有可能犯錯誤,還可能竊取數据。加強風險意識,并采取一些保護性的措施來減少風險。
|
簡體版
