源码论坛公告:本站是一个交流学习建站资源的社区论坛,旨在交流学习源码脚本等资源技术,欢迎大家投稿发言! 【点击此处将锦尚放在桌面

源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

 找回密码
 会员注册

QQ登录

只需一步,快速开始

查看: 1041|回复: 3
打印 上一主题 下一主题

内网安全8大脆弱性及对策

[复制链接]

387

主题

420

帖子

1693

金币

初级会员

Rank: 1

积分
4021
跳转到指定楼层
1#
发表于 2010-11-25 18:02:58 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
目前先进的网络安全设备在阻止黑客入侵方面做了有效的工作。但是,当恶意人士确实进入到你的安全环境中的时候,你要做什么呢?以下是你的网络可能被从内部攻破的8个途径,以及防护措施。

1. 优盘。不管你是否相信,优盘实际上是你能够从防火墙内部感染一个网络的常规途径。这有许多理由:优盘价格便宜,体积小、存储数据多并且能够在多种设备之间使用。优盘的普遍应用促使黑客开发出一种有针对性的恶意软件,如臭名昭著的Conficker蠕虫。这种蠕虫能够在连接到USB端口的时候自动执行。更严重的是默认的操作系统设置一般都允许大多数程序(包括恶意程序)自动运行。这相当于你的邻居每一个人都有一把你的电子车库门的钥匙,并且利用这个钥匙打开其他人的车库门。

怎么办:修改计算机默认的自动运行政策。

2. 笔记本电脑和上网本:笔记本电脑包含完整的操作系统,并能随意接入网络。此外,笔记本电脑中也许已经包含了在后台运行的恶意代码,其任务是寻找网络和发现其它可供感染的系统。这台笔记本电脑也许属于一个内部的员工或者属于一个来访的客户。

除了被感染的笔记本电脑破坏内部网络之外,重要的是要考虑这些笔记本电脑本身的问题。所有的公司都拥有绝对不允许带出办公楼的敏感资料。当这些信息存储在没有安全措施的便携式电脑中的时候,那是很危险的,因为便携式电脑很容易带出去。除非这个笔记本电脑使用一种严格的加密算法,否则,任何文件系统的数据都是很容易恢复的。

怎么办:对于敏感的数据采用一个加密的文件系统。有许多现成的解决方案可供选择,还有开源软件解决方案,如TrueCrypt。对于进出内部系统的端点实施控制也是重要的。虚拟专用网、DV和WiFi接入等敏感信息不应该永久性地存储在笔记本电脑或者上网本等设备上。

3. 无线接入点:无线接入点为这个网络附近的任何用户提供直接的连接。攻击驾驶员(驾驶汽车搜索没有安全保护措施的WiFi网络的人)实施的无线攻击是很常见的并且曾造成重大损失。无线接入点本身是不安全的,无论是否使用加密措施都是如此。无线加密协议等协议都包含已知的安全漏洞,使用Aircrack等攻击框架就很容易攻破。

怎么办:建议使用带RADIUS(远程认证拨入用户服务协议)的WPA2企业版以及能够进行身份识别和强制执行安全措施的接入点。应该使用强混合口令并且不断地更换口令。一般来说,无线接入点只是为了连接方便,因此,通常没有必要把无线接入点连接到工作环境。

4. 各种各样的USB接口设备、光盘和智能手机:优盘并不是IT部门需要担心的唯一的USB接口设备。许多设备都能够把数据存储到普通的文件系统中并且通过一个USB接口或者类似的连接进行读写。由于这不是这些设备的主要功能,这些设备通常被忘记是一种潜在的威胁。事实是,如果一个端点能够从这个设备上读取和执行数据,这种设备就能够同优盘一样造成威胁。这些设备包括数码相机、MP3播放机、打印机、扫描仪、传真机、甚至还有数码相框。在2008年,百思买报告称,他们在圣诞节销售的Insignia数码相框中发现了一种病毒。这种病毒直接来自于厂商。同时,同上面提到的优盘一样,光盘也是网络感染的一个原因,表面上合法的可记录介质能够用来拷贝数据进出网络。另外,智能手机能够引起上面所说的优盘和笔记本电脑引起的同样的威胁。而且,智能手机有可能避开传统的数据泄漏保护解决方案。如何阻止一个用户拍摄计算机显示屏的高清照片并且通过手机的3G网络用电子邮件把这个照片发出去?

怎么办:实施和强制执行资产控制和政策,规定什么设备可以进入这个环境以及什么时候可以进入这个环境。然后,定期使用政策提醒程序检测这些政策的执行情况。

5. 内部连接:公司内部员工也可能意外地或者故意地进入他们不会或者不应该接入的网络,使用本文介绍的一些手段破坏端点。也许一位员工在同事吃午饭的时候“借用”那个同事的电脑。也许一位员工让一位同事帮助他访问他无权访问的网络中的一个区域。

怎么办:应该经常改变口令。为员工规定身份识别和接入等级是必须的。他应该只有访问系统、文件共享等权限。任何特殊的要求应该呈报给有权批准这个请求的团队。

6. 特洛伊人:同特洛伊木马一样,特洛伊人以某种伪装的方式进入企业。他可能身穿工作服或者穿着合法的维修工的服装。这类骗子曾经进入过许多非常保密的环境,包括服务器机房等。根据我们自己的社交经验,我们一般不会阻止或者询问在我们的办公环境中的不认识的身穿工作服的人。一个无人监视的人不用1分钟就能进入服务器机房去感染整个网络。

怎么办:应该提醒员工有关授权第三方进入的事情。要通过询问一些问题来确定来人的身份,不要通过推测。

7. 事后诸葛亮:虽然这个列表重点介绍缓解利用数字技术的威胁,但是,我们不应该忘记人类的大脑在存储信息方面也是非常有效的。当你登录你的笔记本电脑的时候谁在注意你?你的复印件存储在什么地方?你在咖啡厅、机场等地方在笔记本电脑上阅读了什么保密的文件?

怎么办:最好的防御措施是只要操作敏感的数据就要谨慎并且对这种威胁保持警惕,你甚至要立即停下来观察你的周围环境。

8. 电子邮件:电子邮件是企业收发数据中经常使用的方法。然而,电子邮件经常被滥用。包含保密信息的邮件很容易发送到外部目标。此外,电子邮件本身也可能携带病毒。一个有针对性的电子邮件可能是为了窃取一个员工的访问证书。这些窃取的证书可以在第二阶段的攻击中使用。

怎么办:对于电子邮件的安全,来源的身份识别是关键。使用PGP等技术识别发件人的身份或者在发送敏感的信息之前提出一些简单的问题。应该强制执行对于广泛的化名电子邮件地址的访问控制。政策和提醒程序应该发给员工。


原文出自【比特网】,转载请保留原文链接:http://bbs.chinabyte.com/thread-453000-1-1.html
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享

16

主题

52

帖子

87

金币

初级会员

Rank: 1

积分
234
2#
发表于 2010-11-26 18:00:30 | 只看该作者
为了不扰乱会员对源码的测试,有问题咨询右侧客服不要直接回复,否则视为非法信息屏蔽会员ID!
看看,看不懂。。。。{:2_243:}

26

主题

7641

帖子

2400

金币

中级会员

Rank: 3Rank: 3

积分
10529
3#
发表于 2011-7-20 19:39:55 | 只看该作者
为了不扰乱会员对源码的测试,有问题咨询右侧客服不要直接回复,否则视为非法信息屏蔽会员ID!
桐乡外卖网 http://www.txwaimai.com
嘉兴外卖网 http://www.jxwaimai.com   
嘉兴交友网 http://www.jxyuan.com
绵阳房产网 http://www.myfcw.cn  
禾城主机   http://www.cn0573.net
嘉兴QQ群   http://qqun.cn0573.net  
桐乡做网站 http://im.cn0573.net

26

主题

7641

帖子

2400

金币

中级会员

Rank: 3Rank: 3

积分
10529
4#
发表于 2011-7-21 22:19:19 | 只看该作者
为了不扰乱会员对源码的测试,有问题咨询右侧客服不要直接回复,否则视为非法信息屏蔽会员ID!
桐乡外卖网 http://www.txwaimai.com
嘉兴外卖网 http://www.jxwaimai.com   
嘉兴交友网 http://www.jxyuan.com
绵阳房产网 http://www.myfcw.cn  
禾城主机   http://www.cn0573.net
嘉兴QQ群   http://qqun.cn0573.net  
桐乡做网站 http://im.cn0573.net
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

锦尚中国源码论坛

聚合标签|锦尚中国,为中国网站设计添动力 ( 鲁ICP备09033200号 ) |网站地图

GMT+8, 2024-11-16 09:27 , Processed in 0.162344 second(s), 25 queries .

带宽由 锦尚数据 提供 专业的数据中心

© 锦尚中国源码论坛 52jscn Inc. 非法入侵必将受到法律制裁 法律顾问:IT法律网 & 褚福省律师 锦尚爱心 版权申诉 版权与免责声明