本文出处:中国IT实验室
尽管安全漏洞会导致风险和成本的提升,但是互联网仍然是企业最快捷、最方便、最安全的交易场所之一。例如,在某家著名网站上,使用您的信用卡实际上比您在某家餐厅中用它来付款更加安全。但是,对安全漏洞的恐惧,会给很多企业带来一个比安全漏洞本身有过之而无不及的问题:对安全性的担忧,让很多人不愿意利用互联网进行商业交易。
为了解决这个问题,企业必须制定一套安全策略,以采取必要的安全措施,来安装和维护一套网络安全解决方案。而这些措施,不仅要切实可行,而且必须还要非常有效。同时企业必须要让他们的客户和潜在客户,了解它们在安全方面所做的努力。
那么,企业如何才能打造一套适合自身发展的网络安全策略呢?首要的是,企业要充分地了解和认识,谁是你的网络敌人和危害网络的安全因素是什么?
仔细思考一下,我们会发现,黑客、没有安全意识的员工、心怀不满的员工、喜欢打听消息的员工等可谓“您的网络敌人”;而病毒、特洛伊木马程序、攻击(侦察攻击、访问攻击、DoS攻击等)、破坏性程序、数据监听、社交工程和垃圾邮件等,都是危害企业网络安全的不可忽视的因素。由此,不难看出,危害网络的方式是多种多样。因此,我们要让一套网络安全解决方案充分发挥作用,它必须整合不同类型的保护方式,将它们集成到网络的各个部分,而安全措施的层次越多,在攻击造成损失之前制止攻击的可能性也就越大。
目前,网络安全市场上的网络安全产品类型,大多是依照安全连接、周边安全和入侵防范三个主要物理安全层次进行分类防护的。
第一层:安全连接
虚拟专用网是公共网络(例如互联网)上的专用连接。它们让用户可以在远离物理网络的地方,以与在企业内部工作时相同的安全等级和企业网络进行通信。如果我们用建筑物来比喻网络,那么VPN(虚拟专用网)就是一种装甲汽车,它可以沿着公共高速公路将机密信息从外界送到我们所在的建筑物。所有的VPN软件和硬件都采用了加密技术,这就确保了所传输的信息不会被除了接收者以外的任何人读取。它是利用先进的数据算法来“扰乱”信息及其附件的。
第二层:周边安全
如果我们将网络想象成一幢建筑物,那么周边安全就像是建筑物周围的围墙和门。周边安全可以控制用户对于关键性应用、服务和数据的访问,因此只有合法用户和信息可以从一个网络(信任域)进入另一个网络。
防火墙就像是一个锁起来的大门—只允许有钥匙(即用户简历和密码)的人进入。防火墙是一种通过分析进出网络的数据来保护专用网络的方法。它可以提供网络地址解析功能,从而可以隐藏防火墙内部的计算机IP地址。它可以利用基于分组的来源、目的地、端口或者其他基本信息的规则,判断是否允许分组进入网络。保障数据和网络资源的安全是电子商务获得成功的关键,而防火墙就是一种强制性的网络安全设备。在连接到互联网时,建议企业用户在任何接入互联网的地方都安装一个防火墙。
第三层:入侵防范
如果将您的网络想象成一幢建筑物,那么入侵防范就相当于监视建筑物周围围墙的监视摄像机和活动检测器。
入侵检测系统(IDS)是一种能够发现、报告可疑的活动,并采取可能的措施,监控某个计算机系统中未经授权活动的软件。它的作用很像在有人破窗而入时,能够鸣叫的家用防盗报警器。IDS主要分为两类:基于网络和基于主机,它可以监控各个计算机上的日志文件和数据。尽管IDS可能会发出很多错误的警报,但是由于防火墙不能阻止所有的入侵者,所以它们正在网络安全中扮演着越来越重要的角色。
目前,针对三层物理安全策略理念,各大网络安全厂商也都相应地推出了一些解决方案,为很多国内企业构筑起了各自的网络安全防线。像思科系统公司就提供了可以在所有三种安全层次中工作的硬件解决方案,而这种安全模式是建立在SAFE(企业安全架构)理念基础上,无疑这些文档是设计和维护安全网络的最佳实践指南。所以,我们有必要对一些安全产品的特点做一下了解。
PIX防火墙的三点主要好处
安全性:PIX防火墙是一种针对需求开发的设备,可以提供前所未有的保护等级,它与一种专用的、加固的操作系统紧密集成。在这个操作系统中,还集成了状态防火墙和IP安全(IPSec)虚拟专用网功能。
性能:PIX防火墙可以满足大型企业网络和服务供应商的需求。千兆位吞吐量,同时处理50万个连接的能力,速度高达100Mbps的IPSec三重DES加密标准意味着运营级的性能。
可靠性:通过部署一部冗余的热备用设备,来实现支持高可用性。该设备能够充当一个完全的冗余系统,保持当前的所有会话,从而能够以低廉的价格提供最高的弹性。
同时,PIX防火墙还具备多种特点:极低的整体运营成本、出色的故障恢复性能、集成的IDS特征、集成到整个安全解决方案中、最快的防火墙吞吐速度和免费的VPN客户端。
入侵检测系统的三点主要好处
一、入侵检测可以发现防火墙和虚拟专用网没有检测到的攻击。
二、可以实时监控互联网和外联网连接,保护关键性的资产、系统和资源—相当于现实生活中的监视摄像机。
三、思科IDS可以提供警报,智能化地阻止恶意攻击,甚至动态地重新配置网络,以避免以后再发生类似的攻击。
相关链接:
企业网络安全防护10个小技巧
1.鼓励或者要求员工选择比较复杂的密码;
2.要求员工每隔90天更改一次密码;
3.确认您的杀毒软件的病毒库是最新的;
4.向您的员工介绍电子邮件附件的危险性;
5.实施一个完整的、全面的网络安全解决方案;
6.定期评估您的安全策略;
7.在员工离开公司以后,尽快取消他(她)的网络访问权限;
8.如果您允许员工在家办公,就务必要为远程流量提供一个安全的、集中管理的服务器;
9.定期升级您的Web服务器软件;
10.不要运行任何不必要的网络服务。