·防火墻選擇

防火墻和其它反病毒類軟件都是很好的安全產(chǎn)品，但是要讓你的網(wǎng)絡體系具有最高級別的安全等級，還需要你具有一定的主動性。

你是不是每天都會留意各種黑客攻擊、病毒和蠕蟲入侵等消息？不過當你看到這些消息時，也許你的系統(tǒng)已經(jīng)受到攻擊了。而現(xiàn)在，我要給你介紹一種更具主動性的網(wǎng)絡安全模型，通過它，就算再出現(xiàn)什么新病毒，你也可以對企業(yè)的網(wǎng)絡系統(tǒng)感到放心。

類似于防火墻或者反XX類軟件(如反病毒、反垃圾郵件、反間諜軟件等)，都是屬于被動型或者說是反應型安全措施。在攻擊到來時，這類軟件都會產(chǎn)生相應的對抗動作，它們可以作為整個安全體系的一部分，但是，你還需要建立一種具有主動性的安全模型，防護任何未知的攻擊，保護網(wǎng)絡安全。另外，雖然在安全方面時刻保持警惕是非常必要的，但是事實上很少有企業(yè)有能力24小時不間斷的派人守護網(wǎng)絡。

在實現(xiàn)一個具有主動性的網(wǎng)絡安全架構前，你需要對現(xiàn)有的主流網(wǎng)絡安全體系有一個大概的了解。防護方法包括四個方面：防火墻、VPN、反病毒軟件，以及入侵檢測系統(tǒng)(IDS)。防火墻可以檢測數(shù)據(jù)包并試圖阻止有問題的數(shù)據(jù)包，但是它并不能識別入侵，而且有時候會將有用的數(shù)據(jù)包阻止。VPN則是在兩個不安全的計算機間建立起一個受保護的專用通道，但是它并不能保護網(wǎng)絡中的資料。反病毒軟件是與其自身的規(guī)則密不可分的，而且面對黑客攻擊，基本沒有什么反抗能力。同樣，入侵檢測系統(tǒng)也是一個純粹的受激反應系統(tǒng)，在入侵發(fā)生后才會有所動作。

雖然這四項基本的安全措施對企業(yè)來說至關重要，但是實際上，一個企業(yè)也許花費了上百萬購買和建立的防火墻、VPN、反病毒軟件以及IDS系統(tǒng)，但是面對黑客所采用的“通用漏洞批露”(CVE)攻擊方法卻顯得無能為力。CVE本質(zhì)上說是應用程序內(nèi)部的漏洞，它可以被黑客利用，用來攻擊網(wǎng)絡、竊取信息，并使網(wǎng)絡癱瘓。據(jù)2004 E-Crime Survey(2004 電子犯罪調(diào)查)顯示，90%的網(wǎng)絡安全問題都是由于CVE引起的。

·怎樣實現(xiàn)網(wǎng)絡防火墻作用

具有主動性的網(wǎng)絡安全模式是對上述四種安全措施的綜合管理，使得用戶可以從這四種安全措施中獲得最大的安全性，同時也是為用戶添加一個漏洞管理系統(tǒng)。在這種系統(tǒng)中，一個更有效的防火墻可以正確的攔截數(shù)據(jù)資料。一個更有效的反病毒程序則更少機會被激活，因為攻擊系統(tǒng)的病毒數(shù)量更少了。而IDS則成為了一個備份系統(tǒng)，因為很少人能入侵系統(tǒng)而激活報警機制。而使用漏洞管理系統(tǒng)來防止CVE帶來的入侵則是整個系統(tǒng)最重要的部分。

為什么這么說呢？從上面提到的調(diào)查看，95%的攻擊是由于系統(tǒng)的漏洞或對系統(tǒng)的錯誤配置而造成的。在現(xiàn)實生活中也是一樣，大家都試圖將竊賊拒之門外，而很少考慮到當盜賊已經(jīng)進入屋子后該怎防護。正如你不會在外出時讓大門敞開，為什么不給網(wǎng)絡再加一把鎖呢。

實現(xiàn)主動性的網(wǎng)絡安全模型

那么作為一家企業(yè)的技術人員，你該如何保護企業(yè)的網(wǎng)絡呢？下面我會介紹幾個簡單的步驟，幫助你實現(xiàn)一個具有主動性的安全網(wǎng)絡。首先你需要開發(fā)一套安全策略，并強迫所有企業(yè)人員遵守這一規(guī)則。同時，你需要屏蔽所有的移 動設備，并開啟無線網(wǎng)絡的加密功能以增強網(wǎng)絡的安全級別。為你的無線路由器打好補丁并確保防火墻可以正常工作是非常重要的。之后檢查系統(tǒng)漏洞，如果發(fā)現(xiàn)漏洞就立即用補丁或其它方法將其保護起來，這樣可以防止黑客利用這些漏洞竊取公司的資料，或者令你的網(wǎng)絡癱瘓。以下是各個步驟的實現(xiàn)細節(jié)： 　

開發(fā)一個安全策略

實現(xiàn)良好的網(wǎng)絡安全總是以一個能夠起到作用的安全策略為開始的。就算這個安全策略只有一頁，公司的全體人員包括總經(jīng)理在內(nèi)，都必須按照這個策略來執(zhí)行。基本的規(guī)則包括從指導員工如何建立可*的密碼到業(yè)務連續(xù)計劃以及災難恢復計劃(BCP和DRP)。比如，你應該有針對客戶的財產(chǎn)和其它保密信息的備份策略，比如一個鏡象系統(tǒng)，以便在災難發(fā)生后可以迅速恢復數(shù)據(jù)。在有些情況，你的BCP和DRP也許需要一個“冷”或“熱”的站點，以便當災難發(fā)生或者有攻擊時你可以快速將員工的工作重新定向到新的站點。執(zhí)行一個共同的安全策略也就意味著你向具有主動性安全網(wǎng)絡邁出了第一步。

·各項具體工作

減少對安全策略的破壞

不論是有限網(wǎng)絡，還是筆記本或者無線設備，都很有可能出現(xiàn)破壞安全策略的情況。很多系統(tǒng)沒有裝防病毒軟件、防火墻軟件，同時卻安裝了很多點對點的傳輸程序(如Kazaa、Napster、Gnutella、BT、eMule等)以及即時消息軟件等，它們都是網(wǎng)絡安全漏洞的根源。因此，你必須強制所有的終端安裝反病毒軟件，并開啟Windows XP內(nèi)建的防火墻，或者安裝商業(yè)級的桌面防火墻軟件，同時卸載點對點共享程序以及亂七八糟的聊天軟件。

封鎖移動設備

對于企業(yè)的網(wǎng)絡來說，最大的威脅可能就是來自那些隨處移 動的筆記本或其它移 動終端，它們具有網(wǎng)絡的接入權限，可以隨時接入公司的網(wǎng)絡。但是正因為它們具有移 動特性，可以隨著員工遷移到其它不安全的網(wǎng)絡并暴露在黑客的攻擊之下，當這些筆記本電腦再次回到公司的網(wǎng)絡環(huán)境時，就成了最大的安全隱患。其它無線終端也和筆記本有類似的情況。

據(jù)Forrester Research調(diào)查，到2005年，世界總共將有3500萬移 動設備用戶，而到2010年，這個數(shù)字將增加到150億。我們不是數(shù)學家，不需要具體算出到底這些移 動設備會給企業(yè)的網(wǎng)絡增加多少受攻擊的幾率，只需要知道這將是企業(yè)網(wǎng)絡安全所面臨的巨大考驗。任何一個系統(tǒng)都有可能由于未經(jīng)驗證的用戶的訪問而被感染。

通過安全策略，你可以讓網(wǎng)絡針對無線終端具有更多的審核，比如快速檢測到無線終端的接入，然后驗證這些終端是否符合你的安全策略，是否是經(jīng)過認證的用戶，是否有明顯的系統(tǒng)漏洞等。

開啟無線網(wǎng)絡加密功能

在無線網(wǎng)絡系統(tǒng)中，無線網(wǎng)絡加密 (Wireless Encryption，WEP)應該處于開啟狀態(tài)，并應該設置為最高安全級別。而且管理者的用戶名和密碼需要經(jīng)常及時更換。但是這些措施也并不能夠完全防止黑客通過你的無線路由器入侵企業(yè)內(nèi)部網(wǎng)絡。這是由于在大多數(shù)無線路由器中，都包含有目前尚未被修補的CVE，黑客可以利用這些CVE進行攻擊。一些高級的黑客會下載免費的工具對這些漏洞進行更高級的利用，以此完全攻破你的安全系統(tǒng)。

為無線路由器打補丁，并使用其自帶的防火墻功能

我強烈建議用戶在使用無線路由器時及時更新產(chǎn)品的固件，而且如果無線路由器有內(nèi)置防火墻功能，一定學習如何使用并配置它，開啟這個防火墻。你也可以限制同時接入無線路由器的用戶數(shù)量，如果企業(yè)員工數(shù)量不是很多，完全沒有必要讓路由器設置為可以接納無限多的用戶。比如企業(yè)只有十五個員工，那么就設置無線路由器只能同時接入十五個連接好了。

·設置防火墻

設置你的防火墻

雖然防火墻并沒有特別強的安全主動性，但是它可以很好的完成自己該做的那份工作。你應該為防火墻設置智能化的規(guī)則，以便關閉那些可能成為黑客入侵途徑的端口。比如1045端口就是SASSER蠕蟲的攻擊端口，因此你需要為防火墻建立規(guī)則，屏蔽所有系統(tǒng)上的1045端口。另外，當筆記本或其它無線設備連接到網(wǎng)絡中時，防火墻也應該具有動態(tài)的規(guī)則來屏蔽這些移 動終端的危險端口。

下載安裝商業(yè)級的安全工具

目前與安全有關的商業(yè)軟件相當豐富，你可以從網(wǎng)上下載相應的產(chǎn)品來幫助你保護企業(yè)網(wǎng)絡。這類產(chǎn)品從安全策略模板到反病毒、反垃圾郵件程序等，應有盡有。微軟也針對系統(tǒng)的漏洞不斷給出升級補丁。所有這些工具都可以有效地提升網(wǎng)絡的安全等級，因此你應該充分利用它們。

禁止?jié)撛诘目杀缓诳屠玫膶ο?/STRONG>

“瀏覽器助手(BHO)”是最常見的可被黑客利用的對象。它一般用來監(jiān)測用戶的頁面導航情況以及監(jiān)控文件下載。BHO一般是在用戶不知情的情況下被安裝在系統(tǒng)中的，由于它可以將外界的信息存入你的系統(tǒng)，因此對網(wǎng)絡安全來說是一個威脅。有些人利用BHO對象開發(fā)出了間諜軟件，并盡量將起隱藏起來。一般來說，間諜軟件都會不斷變種，盡量避免被流行的間諜軟件檢測程序所發(fā)現(xiàn)，直到間諜軟件檢測程序進行了升級。如果你想看看自己的系統(tǒng)中到底有多少BHO，可以從Definitive Solutions公司的網(wǎng)站上下載BHODemon工具進行檢測。

·注意事項

BHO是通過ADODB流對象在IE中運行的。通過禁止ADODB流對象，你就可以防止BHO寫入文件、運行程序以及在你的系統(tǒng)上進行其它一些動作。要禁止ADODB流對象，你可以訪問微軟的技術支持頁面。

留意最新的威脅

據(jù)計算機安全協(xié)會 (CSI)表示，2002 CSI/FBI計算機犯罪和安全調(diào)查顯示，“計算機犯罪和信息安全的威脅仍然不衰退，并且趨向于金融領域”。因此，你需要時刻留意網(wǎng)絡上的最新安全信息，以便保護自己的企業(yè)。網(wǎng)絡上很多地方可以提供最新的安全信息。

彌補已知的漏洞

系統(tǒng)上已知的漏洞被稱為“通用漏洞批露”(CVEs)，它是由MITRE組織匯編整理的漏洞信息。通過打補丁或其它措施，你可以將網(wǎng)絡中所有系統(tǒng)的CVE漏洞彌補好。目前通過工具軟件，你可以快速檢測系統(tǒng)的CVE漏洞并將其修補好。有關這方面更多的信息，你可以查閱cve.mitre.org網(wǎng)站。

總的來說，一個具有主動性的網(wǎng)絡安全模型是以一個良好的安全策略為起點的。之后你需要確保這個安全策略可以被徹底貫徹執(zhí)行。最后，由于移 動辦公用戶的存在，你的企業(yè)和網(wǎng)絡經(jīng)常處在變化中，你需要時刻比那些黑客、蠕蟲、惡意員工以及各種互聯(lián)網(wǎng)罪犯提前行動。要做到先行一步，你應該時刻具有主動性的眼光并在第一時刻更新的你安全策略，同時你要確保系統(tǒng)已經(jīng)安裝了足夠的防護產(chǎn)品，來阻止黑客的各種進攻嘗試。雖然安全性永遠都不是百分之百的，但這樣做足可以使你處于優(yōu)勢地位。