您的位置:首页 > 资讯中心 > 安全策略 > 正文

网络安全指南--中小企业网络安全指南

来源:IT专家网    2008-01-31

计算机安全由于它涉及到太多的专业领域,因此成为困扰用户的主要问题之一。我们在IT安全网站综合了一个中小企业主应该知道的一系列最重要的事情的清单,并且把重点放在稍微有一些技能就可以完成的保证计算机安全的简单工作和价格便宜的安全产品上。

  全面和完整的计算机安全是一个技能的话题和黑色的艺术,而不是一门科学。但是,有许多事情普通计算机用户使用免费的或者接近免费的能够增强保护的服务和产品就可以自己做。

  虽然真正坚定的攻击者能够突破任何安全措施,但是,谨慎一些就可以阻止机会主义者,阻止最严重的攻击和挽救你的企业的时间和金钱。

  这些关于9个不同话题的简单的清单将改善你的整个安全状况。我们还将提供我们推荐的产品的网络链接以及其它对于保持你的安全处于最新状态的有用的互联网资源。

  1.管理你的文件服务器和核心网络安全

  我们先从你的企业的最重要的部分开始:你的文件服务器和你的网络的其它核心部分。下面的措施不需要任何额外的成本,都是一些常识,并且与维护物理安全有关。这样,你的数据就不会“走”出你的办公楼:

  ·锁住你的文件服务器:存储共享的文件或者你的企业核心信息的其它材料的任何PC或者服务器机架都应该锁在一个单独的房间或者柜子里,保证这些设备的物理安全。你不能允许任何人把它们带出去。你的配线柜也要采取同样的安全措施,因为有人会比较容易地在那里安装一台设备窃听你的全部通讯。

  ·还要锁住你的远程站点:你在远程站点有其它与业务有重要关系的信息吗?如果有,你要保证这些电脑的安全(不要忘了笔记本电脑)。使用Kensington线锁这种简单的东西把电脑锁在家具上是有帮助的。

  ·设置网络接入权限:确认正确设置了网络接入权限,这样,个人信息(如薪水)就会保持不变。忽略批准权限是危险的。即使人员满编的IT部门可会忽略清除他们的网络许可,意外地允许不适当人拥有完全的访问权限。

  ·加密敏感的信息,特别是在笔记本电脑上的信息:你在笔记本电脑上有关于CEO或者财会的信息吗?如果有的话,应该使用PGP桌面软件加密或者使用类似的强大的公共密钥加密工具。

  ·关闭打印和文件共享:除了实际的文件和打印服务器之外,确认你关闭了办公室电脑中的文件和打印共享。不关闭这些共享将有可能使这些文件暴露在风险之下。

  ·留心数据的便携性:如果你的机构需要使用便携式USB“拇指”硬盘,要保证它们是有内置口令保护功能的U3型拇指硬盘。这样,如果这种拇指硬盘丢失,没有人能够利用这个数据。还有认真考虑优盘政策的需求(如禁止使用优盘),因为这些优盘是通过内部资源窃取数据的常用工具。

  专家技巧:锁住你的文件服务器只是良好的网络安全做法的开始。更高级的技术通常需要检测入侵者和扫描有漏洞的端口,以及审计防火墙记录和保证网络基础设施的关键部分使用最新的补丁和最新版本的软件。

  网络安全当前的趋势是把这些保护性措施整合到统一威胁管理产品中。这种产品在一台设备或者解决方案中至少要集成防火墙、杀毒软件和入侵防御系统。Sonicwall、Checkpoint软件公司和Juniper是这个领域的主要厂商。

  2.进行正确的备份

  一旦你使用物理锁保证了你的计算机的安全,下一步就是保证你对所有的数据执行了正确的备份。下面是需要考虑的一些因素:

  ·制作副本并把副本存储在站点之外:把企业重要数据的副本存储在DVD或者CD光盘上,把这些光盘存储在你的办公地点以外的地方。如果你的办公室发生了什么事情,你将在外面还有重要的数据。这不必是一个复杂的解决方案,仅仅保证你执行的解决方案的可靠性即可。这样,站点之外的副本就可以保持最新状态。

  ·定期进行备份:根据变化和可以容许的机器被盗或者不能工作而中断时间,每个星期或者每一天进行备份。

  ·获得备份帮助:一个方法是利用在线备份技术。对于大多数小企业来说,这些服务的成本每年不到100美元。这种备份服务很容易使用,能够轻松地让你的数据与厂商在他们站点上维护的服务器同步。

  我们喜欢的产品是:

  EVault (see www.evault.com)

  Foldershare (see www.foldershare.com)

  Jungledisk (see www.jungledisk.com)

  ·在服务器上安装备份硬盘:这将分散故障硬盘毁坏你的重要数据的风险。这种系统通常称作冗余备份或者镜像硬盘系统。大多数目前的操作系统都以最低的配置支持这个功能。这个成本是相对便宜的。

  专家技巧:你可以利用亚马逊使用简单存储服务的数据中心服务创建自己的备份,每GB数据只需几美分。包括样本、代码样本和关于如何使用这项服务的文章在内的更多的信息可以在亚马逊网站找到,网址是:http://www.amazon.com/gp/browse.html?node=16427261

  3.保护远程笔记本电脑:如果你的用户要把笔记本电脑带到办公室以外的地方,你还要保护这些笔记本电脑的安全。下面是一些需要考虑的问题:

  ·升级你的操作系统:如果你运行Windows XP,要保证每一个人都升级到了SP2版本。SP2能比原来版本提供更多的保护,安全漏洞要少一些。

  ·为笔记本电脑配防火墙:每一个远程用户在自己的电脑至少要有一个内置的个人防火墙。Macintosh OS X和Windows XP/Vista都提供了基本版本的防火墙。在旅行的时候,用户应该一直打开防火墙。

  ·增加额外的防火墙:最佳解决方案是你的网络要有强大的防火墙,远程用户除了原来配置的基本的防火墙之外还要有更强大的防火墙。例如,Windows用户还应该运行Prevx(每年25美元)或者付费版本的Zone Alarm(50美元)等额外的防火墙软件。这些防火墙很容易管理。当用户在机场或者其它公共网络上网时,这些防火墙能够阻止互联网上的任何人访问他们的移动系统。虽然Windows XP有自己的防火墙,但是,这种防火墙不能提供专业防火墙的保护能力。

  ·购买病毒保护产品:在每一个人的计算机上安装杀毒软件,无论其用户是否旅行。

  下面是一些免费和收费版本的杀毒软件产品:

  Prevx (http://www.prevx.com/buywizard.asp)

  ZoneAlarm互联网套装软件(http://www.zonelabs.com/store/

  content/catalog/)

  AVG Free Anti-virus (http://free.grisoft.com)

  Kaspersky Anti-virus(http://www.kaspersky.com)

  ·为笔记本电脑配置lojack防盗及寻回系统:如果你非常多疑,有许多类似于lojack汽车防盗及寻回系统的笔记本电脑跟踪服务。这些服务能够在笔记本电脑下一次连接到互联网之前关闭这台笔记本电脑。

  偷窃笔记本电脑跟踪服务的网站包括:

  Stolen laptop tracking services include:

  http://www.mylaptopgps.com/

  http://www.ztrace.com/

  http://www.sentryinc.com/ca-secure.html

  http://www.vericept.com

  http://www.absolute.com/

  专家技巧:有更多的端点安全产品能够检查笔记本电脑(或者其它连接到网络的设备)的健康状况,确定它是否安装了杀毒软件和采用了最新的补丁,并且还有其它的功能。我们将在第9个问题“端点安全”中详细说明。对于大企业来说,比安装个人防火墙更好的方法是利用企业版杀毒软件产品。企业版杀毒产品能够把软件更新发布给整个网络中的用户,保持每一个人的保护措施都自动更新。

4.保证Web服务器和你的互联网连接的安全

  如果你有一个互联网连接进入你的办公室,你需要保护你的办公室网络不被渗透或者攻击。黑客只需要几秒钟就可以扫描一个没有保护的网络,找到网络的进出端口和攻破你的计算机。黑客在你的系统中留下的软件能够控制你的网络,拷贝你的全部数据和把这些信息向全世界公开。下面是一些需要考虑的问题:

  ·采用一个管理的防火墙:选择诸如Checkpoint或者Sonicwall那样的管理的防火墙提供商,用少量的费用保护你的网络安全,不用增加额外的IT人员。一个网络防火墙把你的办公网络与互联网的其它部分隔离开来,使入侵更加困难。注意:对于个人计算机来说,这是与防火墙不同的产品。

  ·为你的员工的家庭网络配置一个防火墙:如果你有远程用户从事专有的财务信息的工作,要保证他们的家庭网络有设置正确的防火墙,特别是如果他们使用DSL或者线缆调制解调器的话。多数用户没有配置任何网络保护措施或者网络保护措施设置不正确,从而使在家庭中使用的办公计算机容易受到各种攻击。

  防火墙厂商及网址:

  Checkpoint Safe@Office (http://www.sofaware.com)

  Sonic Wall (http://www.sonicwall.com)

  SPI (http://www.SPIdynamics.com)

  Qualys (http://www.Qualys.com)

  ·扫描你的网络:如果你的机构维护一个网站,有两套不同的问题需要考虑。使用SPIdynamics和Qualys等公司提供的免费的扫描服务确认你的网络服务器没有因为设置不当而遭受攻击的漏洞。

  ·从一个互联网服务提供商那里运行你的网站:这是迄今为止比较好地方法。如果你有一个选择,你要尽可能在互联网服务提供商的地方运行你的网站,而不要在你的办公室运行那个网站。互联网服务提供商能够比你更好地保护网络,只需要一点额外的成本。这还可以释放一些用户出网连接的带宽。而且,互联网服务提供商通常提供某种形式的安全、数据完整性和运行时间的保证。

  对于网络安全需要理解的重要一点是它不是一个点的解决方案,需要比其它安全问题更警惕,因为网络是一个流动和变化的实体。对于更高级的选择来说,特别是如果你自己运行你的网站,请参阅IT安全入侵检测资源中心的内容(http://www.itsecurity.com/intrusion/) 。

  专家技巧:OWASP(开放式Web应用程序安全项目)组织(http://www.OWASP.org)是学习网络服务器安全漏洞的一个伟大的资源。他们的网站有一系列的工具和技术来锁住你的网络服务器和保护你的整个网络。

  5.你需要一个VPN吗?

  一个VPN(虚拟专用网)是你的远程用户穿过公共互联网连接到你的办公网络并且仍然保持连接的安全性的一种方法。这些产品的价格有数万美元,但是,我们下面推荐一些价格适中的产品。如果你能够对下面的至少一个问题给予肯定的答复,你就需要使用一个VPN。

  ·你有一个或者两个以上的远程用户需要访问办公网络文件吗?

  ·你有需要在下班时间访问公司网络的IT人员吗?

  ·你有需要连接的远程办公室吗?

  ·你与其他公司打交道的人需要访问你的办公网络资源吗?

  VPN通常在设置和维护方面很复杂的,但是,下面的厂商能够提供相对简单的解决方案。这些解决方案利用基于浏览器的软件工具。

  Fortinet (www.fortinet.com)

  SonicWall (www.sonicwall.com)

  Permeo (www.permeo.com)

  专家技巧:有很好的替代上述产品的东西。Checkpoint (Safe@Office)提供的管理的服务是把这个问题外包出去的一个选择。还有免费的VPN:LogMeIn提供的免费的VPN名为“Hamachi”(http://www.hamachi.cc/)和功能强大但是不是非常简单的OpenVPN (http://www.openvpn.net)。对于大型企业来说,Juniper和Aventail公司的VPN可能是最佳的解决方案。

  其它VPN资源包括:

  Virtual Private Networks Demystified (http://www.itsecurity.com/

  features/vpn-demystifi ed-safety-012307/)

  5个常见的VPN安全错误(http://www.itsecurity.com/

  whitepaper/5-vpn-security-mistakes/)

  6.无线安全

  在你的办公室有一个无线网络肯定是方便的。你不必担心用线路把每一个人都连接起来。对于密集的地方,这个成本是很低的,特别是在每一台笔记本电脑都配置内之的无线网络的时候。但是,拥有一个安全网络是一个大的安全问题。你需要做许多事情防止在坐在停车场的某个人下载你的全部数据。这里的关键问题在不增加额外成本的情况下使你的无线网络更安全。所有现代的产品都有能力做这件事。确认你得到了保护需要一些时间。下面是一些技巧:

  ·在你的无线接入点采用加密措施:虽然任何加密措施都比没有加密措施好,但是,你应该使用最好名为WPA2的最好加密方式。下面有一个链接告诉你做这个事情的一步一步的过程。

  ·隐藏你的接入点使用的服务集ID (SSID):或者把这个名称改为不能暴露你的公司身份或者地址的名字。

  · 关闭外部网络用户管理这个接入点的功能:没有充分的理由要打开这个功能。

  ·改变当前接入点默认的管理用户名和口令:让任何人都能轻松获得访问权限是没有意义的。

  专家技巧:下面是设置WPA2的链接:

  http://www. computerworld.com/action/article.do?command=viewArticleBasic&ta

  xonomyName=mobile_wireless&articleId=9002706&taxonomyId=15

  Trapeze Networks和Aruba等公司有更高级和更大规模的无线安全产品。这种产品能够协调配置和管理整个园区的无线覆盖。

  其它资源包括:

  如何保证无线局域网安全(http://www.dailywireless.

  com/features/secure-wireless-lan-021507/)

  每日无线安全资源中心(http://www.dailywireless.com/wireless-security/)

7.安全浏览

  有关被窃信用卡号码、钓鱼攻击和其它诈骗活动的恐怖故事已经使在线安全成为互联网用户最担心的问题。用户可以采取一些简单的步骤保护其个人信息的安全和你的商业信息的被窃。

  ·学习当在线共享敏感信息的时候保护自己:当你连接到你要发送金融信息或者其它私人信息的网站的时候,你要使用https://,确定你的浏览器窗口在下面显示一个锁的图标,表明启动了一个安全浏览进程。

  ·在浏览器软件安装一个最新的更新:如果你在使用火狐浏览器,你要升级到2.0以上版本。当钓鱼攻击网站试图窃取你的信息的时候,这些版本的火狐浏览器的自动检测工具就可以发现。IE 7.0也有这个功能,但是,你要认真进行测试以保证其兼容你的公司使用的网站,因为一直有关于兼容性问题的报告。

  ·培训你的用户保持警惕性:他们应该对告诉他们更新银行记录的电子邮件提出疑问,或者对于必须向金融机构做出答复才能获得意想不到的退款的要求提出质疑。

  专家技巧:从ITSecurity (www.itsecurity.com)网站发表的下列文章中你可以为你的用户找到更多的有关网络安全和技巧的文章。

  企业处理间谍软件的10项措施(http://www.itsecurity.com/features/ten-things-enterprise-spyware-012407/)

  企业处理恶意软件的方法(http://www.itsecurity.

  com/features/enterprise-malware-awareness-012607/)

  8.电子邮件和即时消息安全

  电子邮件应用广泛,是企业通讯的重要组成部分。即时消息正在成为一些企业的重要应用。拥有一套工具和动机的任何人都能够在互联网上轻松地监视或者中断这两种电子通讯系统。问一下你自己,如果这些电子信件或者消息曝光之后,这对你的企业会有多大的损害?下面是确认你得到保护的一些措施。

  根据你的公司使用即时消息的状况和你要花多少钱,有许多可以使用的策略。关键的问题是,保证你的电子邮件信息秘密的方式是使用加密措施。

  ·制定一个包括电子邮件和即时消息通讯的企业政策:确认你把这些政策向你的全部工作人员公布。查看下列内容作为政策的建议。

  ·考虑使用“PGP Universal”等电子邮件加密产品(不到100美元)或者免费的TrueCrypt:这是最佳的保护措施。你可以购买,但是不容易执行。当他们向你发送信息时,所有的邮件都要使用相同的加密软件。

  ·考虑使用加密措施的即时消息:最后,如果你在使用AOL或者MSN等公共即时消息提供商的服务,可以考虑使用一些加密的产品满足你的即时消息的需求,如AIMpro或者IBM的Sametime。

  AIMpro (http://aimpro.premiumservices.aol.com/)

  IBM Lotus Sametime (http://www-142.ibm.com/software/swlotus/

  sametime)

  PGP Universal (http://www.pgp.com/products/universal_

  gateway_email/index.html)

  TrueCrypt(http://www.truecrypt.org/)

  Sample email policy discussion (http://www.avolio.com/columns/email-sec-pol.html)

  你还可以得到有关电子邮件安全的详细信息和选择,包括IT安全网站(www.itsecurity.com)提供的更高级的评估服务,特别是下面的文章和章节:

  25个常见电子邮件安全错误(http://www.itsecurity.com/features/25-common-email-security-mistakes-022807/)

  电子邮件安全购买者指南(http://www.itsecurity.com/buyers-guides/email-security-buyers-guide/)

  电子邮件安全对比指南(http://www.itsecurity.com/whitepaper/whitepaper-email-security-comparison/)

  电子邮件安全资源中心(http://www.itsecurity.com/emailsecurity/)

  专家技巧:GFI MailSecurity(www.gfi .com)公司提供齐全的集成的电子邮件安全和保护产品。IronPort (www.ironport.com)和Barracuda Networks (www.barracuda.com)公司提供保护电子邮件服务器和过滤垃圾邮件和病毒的更高级的、价格更昂贵的设备。

  9.端点保护

  你认为你的企业网络是安全的。你购买了防火墙,甚至相信你已经正确地设置了防火墙。你有一个VPN,你为每一个人的PC都购买了杀毒软件。

  问题是如果一个用户把被感染的笔记本电脑带到办公室并且把病毒传播到网络,所有这些保护措施在几毫秒的时间里就没有用了。

  问题是端点安全并不是一个容易的、简单的或者便宜的事情。满足你的需求,满足你的用户允许的方便性以及你的网络基础设施能够承受的程度并不是一件容易的事情。因此,你能够做的简单和便宜的事情是什么呢?

  ·做目录:对你的办公室进行现场勘察,确认你的办公楼中所有的网络插座的位置,保证这些插座的位置都没有在公共区域或者你不容易监视的区域。

  ·加密你的无线连接:如果你没有采用我们提到的无线安全选择,现在是你采用这种选择的时候了。这有助于保护你的网络。

  ·聪明地对待病毒:对用户PC进行快速调查,确认所有的杀毒软件都是最新的。在许多情况下,定购的服务失效了或者没有续订服务。这对于你和用户都没有好处。

  ·进行真正的安全审计:这篇IT安全文章将告诉你如何开始。(http://www.itsecurity.com/features/it-security-audit-010407/)

  ·变换你的厂商:最后,如果你仍然不放心,可以考虑我们下面提到的两个厂商的解决方案。

  端点安全厂商:

  Trusted Network Technology (http://www.trustednetworktech.com/products.asp)

  Forescout (http://www.forescout.com/)

如果您认为本网站提供的资料侵犯您的版权,请及时通知我们, 我们将及时加上版权信息或立即删除相关内容,并向您致以诚挚的歉意。
  • 2016年7月,中研网承建国家气候中心的““智慧气候中心产品池”系统开发项目”,智慧气候中心产品池项目对国家气候中心所有的业务产品进行有效的整合和梳理;建立...
  • 2016年7月,中研网承建中国民俗学会的“非物质文化遗产本体知识管理平台:数据跟踪采集建档项目”,2014年11月28日,在法国巴黎举办的联合国教科文组织保护非物质...
  • 2016年6月,中研网承建北京基金小镇控股有限公司的“北京基金小镇移动互联网应用平台和核心数据库开发项目”,http://www.beijingfundtown.com 北京基金小镇...
  • 2016年,中研网承建中国复合材料集团有限公司的“中国复合材料集团有限公司网站平台项目”,http://www.ccgc.com.cn 中国复合材料集团有限公司自成立之日起...
  • 2016年,由中研网承建中国科学技术发展战略研究院科技投资研究所的创业风险投资信息系统项目建设。项目单位:科技部中国科技发展战略研究院、科技部火炬高技术产...
  • 2016年4月,中研网承建北京中实联展科技有限公司的“第23届中国国际复合材料工业技术展览会系统开发项目”。
蒙古英雄史诗大系 理想国 北京环保宣教中心 中国仪式音乐网 国家气象信息中心 THORPEX中国委员会 晁浩建声乐中心 中国民俗学网 中国石油造价信息网 国家气候中心 中科院电工研究所 中实联展 中国创业风险投资 中国科学技术战略研究院 中国气象学会-气象通信与信息技术委员会