一、做好基礎性的防護工作,伺服器安裝干凈的操作系統,不需要的服務一律不裝,多一項就多一種被入侵的可能性,打齊所有補丁,微軟的操作系統當然推薦 WIN2K3,性能和安全性比WIN2K都有所增強,選擇一款優秀的殺毒軟體,至少能對付大多數木馬和病毒的,安裝好殺毒軟體,設置好時間段自動上網升級,設置好帳號和許可權,設置的用戶盡可能的少,對用戶的許可權盡可能的小,密碼設置要足夠強壯。對於 MSSQL,也要設置分配好許可權,按照最小原則分配。最好禁用xp_cmdshell。有的網路有硬體防火牆,當然好,但僅僅依靠硬體防火牆,並不能阻擋 hacker的攻擊,利用反向連接型的木馬和其他的辦法還是可以突破硬體防火牆的阻擋。WIN2K3系統自帶的防火牆功能還不夠強大,建議打開,但還需要安裝一款優秀的軟體防火牆保護系統,我一般習慣用ZA,論壇有很多教程了。對於對互聯網提供服務的伺服器,軟體防火牆的安全級別設置為最高,然後僅僅開放提供服務的埠,其他一律關閉,對於伺服器上所有要訪問網路的程序,現在防火牆都會給予提示是否允許訪問,根據情況對於系統升級,殺毒軟體自動升級等有必要訪問外網的程序加到防火牆允許訪問列表。那麼那些反向連接型的木馬就會被防火牆阻止,這樣至少系統多了一些安全性的保障,給hacker入侵就多一些阻礙。網路上有很多基礎型的防護資料,大家可以查查相關伺服器安全配置方面的資料。
二、修補所有已知的漏洞,未知的就沒法修補了,所以要養成良好的習慣,就是要經常去關注。了解自己的系統,知彼知己,百戰百勝。所有補丁是否打齊,比如 mssql,server-U,論壇程序是否還有漏洞,每一個漏洞幾乎都是致命的,系統開了哪些服務,開了哪些埠,目前開的這些服務中有沒有漏洞可以被黑客應用,經常性的了解當前黑客攻擊的手法和可以被利用的漏洞,檢查自己的系統中是否存在這些漏洞。比如SQL注入漏洞,很多網站都是因為這個伺服器被入侵,如果我們作為網站或者伺服器的管理者,我們就應該經常去關注這些技術,自己經常可以用一些安全性掃描工具檢測檢測,比如X- scan,snamp, nbsi,PHP注入檢測工具等,或者是用當前比較流行的hacker入侵工具檢測自己的系統是否存在漏洞,這得針對自己的系統開的服務去檢測,發現漏洞及時修補。網路管理人員不可能對每一方面都很精通,可以請精通的人員幫助檢測,當然對於公司來說,如果系統非常重要,應該請專業的安全機構來檢測,畢竟他們比較專業。
三、伺服器的遠程管理,相信很多人都喜歡用server自帶的遠程終端,我也喜歡,簡潔速度快。但對於外網開放的伺服器來說,就要謹慎了,要想到自己能用,那麼這個埠就對外開放了,黑客也可以用,所以也要做一些防護了。一就是用證書策略來限制訪問者,給 TS配置安全證書,客戶端訪問需要安全證書。二就是限制能夠訪問伺服器終端服務的IP地址。三是可以在前兩者的基礎上再把默認的3389埠改一下。當然也可以用其他的遠程管理軟體,pcanywhere也不錯。
四、另外一個容易忽視的環節是網路容易被薄弱的環節所攻破,伺服器配置安全了,但網路存在其他不安全的機器,還是容易被攻破,「千里之堤,潰於蟻穴 」。利用被控制的網路中的一台機器做跳板,可以對整個網路進行滲透攻擊,所以安全的配置網路中的機器也很必要。說到跳板攻擊,水平稍高一點的hacker 攻擊一般都會隱藏其真實IP,所以說如果被入侵了,再去追查的話是很難成功的。Hacker利用控制的肉雞,肉雞一般都是有漏洞被完全控制的計算機,安裝了一些代理程序或者黑客軟體,比如DDOS攻擊軟體,跳板程序等,這些肉雞就成為黑客的跳板,從而隱藏了真實IP。
五、最後想說的是即使大家經過層層防護,系統也未必就絕對安全了,但已經可以抵擋一般的hacker的攻擊了。連老大微軟都不能說他的系統絕對安全。系統即使只開放80埠,如果服務方面存在漏洞的話,水平高的hacker還是可以鑽進去,所以最關鍵的一點我認為還是關注最新漏洞,發現就要及時修補。「攻就是防,防就是攻」 ,這個觀點我比較贊同,我說的意思並不是要去攻擊別人的網站,而是要了解別人的攻擊手法,更好的做好防護。比如不知道什麼叫克隆管理員賬號,也許你的機器已經被入侵並被克隆了賬號,可能你還不知道呢?如果知道有這種手法,也許就會更注意這方面。自己的網站如果真的做得無漏洞可鑽,hacker也就無可奈何了。
2. 網路安全防護的防護措施
訪問控制:對用戶訪問網路資源的許可權進行嚴格的認證和控制。例如,進行用戶身份認證,對口令加密、更新和鑒別,設置用戶訪問目錄和文件的許可權,控制網路設備配置的許可權,等等。數據加密防護:加密是防護數據安全的重要手段。加密的作用是保障信息被人截獲後不能讀懂其含義。
網路隔離防護:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網扎實現的。
其他措施:其他措施包括信息過濾、容錯、數據鏡像、數據備份和審計等。
3. 關於企業網路安全防範措施有哪些
從物理、網路、主機、應用、數據等層面考慮企業信息安全防範,每個層面都有具體的防範措施,比如物理有相應的機房環境監控系統、門禁系統等。網路有邊界入侵檢測、防護、防病毒、WAF等。主機有統一身份鑒別系統、主機入侵檢測系統、安全加固等。應用主要強調從身份鑒別、訪問控制、通信安全考慮安全防範,從應用系統自身考慮安全防範。數據主要有數據防泄密、數據傳輸安全VPN等。
4. 如何才能保障企業網路安全
1.做好基礎網路安全監測與防禦
加強員工的網路安全意識,定期對網路進行掃描,如發現安全問題,及時修復並做好基礎監測和防禦。
2.定期進行網路安全培訓
網管定期給全公司員工做網路安全培訓,讓員工了解網路安全基礎知識。可以創建模擬事件,讓員工可以直觀地了解網路釣魚攻擊的形式,以便在網路攻擊發生時你能及時識別並告知網管或聯系專業網路安全公司來解決。
3.使用復雜的密碼,並保持密碼更新頻率
對電腦、路由器、伺服器設置復雜的密碼,每年更改其次,切勿對多個設備設置相同或相似密碼。
10.接入高防服務
企業除了做好日常安全防護,還需要防止惡意流量攻擊。DDoS攻擊是最常見也最難防禦的網路攻擊之一,對於企業的伺服器殺傷力極大。而日常網路防護沒辦法防住攻擊力極強的DDoS攻擊,為了防止不必要的損失,企業可以接入墨者安全高防服務,通過墨者盾智能識別惡意流量來防止DDoS攻擊,保障伺服器穩定運行。
互聯網環境復雜,互聯網企業必須提高網路安全意識,做好防護。以上10個建議簡單、實用、可行性高,能幫助互聯網企業解決99%的網路安全問題。
5. 企業網路常見的攻擊手法和防護措施
隨著Internet/Intranet技術的飛速發展和廣泛應用,網路安全問題愈來愈突出,已成為當前的一大技術熱點。黑客技術的公開和有組織化,以及網路的開放性使得網路受到攻擊的威脅越來越大。而企業對這一問題嚴重性的認識和所具備的應付能力還遠遠不夠。加上管理不當,應用人員水平參差不齊,沒有有效的方式控制網路的安全狀況,企業理想中的安全與實際的安全程度存在巨大的差距。
1、網路安全面臨的威脅
(1)、人為的無意失誤,如操作員安全配置不當造成的安全漏洞,用戶安全意識不強,用戶口令選擇不慎,用戶將自己的帳號隨意轉借他人或與別人共享等都會對網路安全帶來威脅。
(2)、人為的惡意攻擊,來自內部的攻擊者往往會對內部網安全造成最大的威脅,因為他們本身就是單位內部人員,對單位的業務流程,應用系統,網路結構甚至是網路系統管理非常熟悉,而這些人員對Intranet發起攻擊的成功率可能最高,造成的損失最大,所以這部分攻擊者應該成為我們要防範的主要目標。
(3)、網路軟體的漏洞和「後門」網路軟體不可能是百分之百的無缺陷和無漏洞的,這些漏洞和缺陷恰恰是黑客進行攻擊的首選目標。曾經出現過的黑客攻入網路內部的事件大部分就是因為安全措施不完善所招致的苦果。另外,軟體的「後門」都是軟體公司的設計編程人員為了自便而設置的,一般不為外人所知,可一旦「後門」洞開,其造成的後果將不堪設想。
(4)、互聯網路的不安全因素,國際互聯網路是跨越時空的,所以安全問題也是跨越時空的。雖然我們國家的網路不發達,但是我們遭到的安全危險卻是同國外一樣的,這是一個很嚴重的問題。在不同的行業,所遭受的攻擊因行業和網路服務的不同而不同。在電信或者ICP市場,進攻服務系統比較多;而在銀行業,對數據系統的進攻相對更頻繁;政府方面,對服務的進攻,尤其是其信息發布系統很頻繁。
(5)、病毒入侵,目前,網路病毒種類繁多,病毒很容易通過互聯網或其他途徑(如通過各接入點、日常維護操作、磁碟、其他外網)進入網路內部各伺服器,造成網路擁塞、業務中斷、系統崩潰。而現在流行的各種新型網路病毒,將網路蠕蟲、計算機病毒、木馬程序合為一體,發展到融和了多種技術於一體,互相利用和協同,已不僅僅是單一的攻擊和漏洞利用,使系統自身防不勝防。病毒發作對系統數據的破壞性、和系統本身都將會造成很大的影響。
2、網路攻擊的一般方法
從黑客的角度來看,黑客可以利用的方式多種多樣,包括:
(1)使用探察軟體,猜測和分析操作系統類別、網路提供服務、網路的結構等;
(2)使用強制攻擊軟體對網路進行攻擊,例如針對POP的強行的密碼猜解,SQL的密碼猜解等;
(3)使用漏洞掃描工具,發現漏洞,進而採用緩存溢出等手段直接或者間接的獲取系統超級用戶許可權;如系統平台自身由於漏洞被黑客利用,將直接導致全廠業務服務的中斷。
(4)使用木馬進行非法連接;
(5)利用疏忽的資料庫簡單配置,例如超級管理員密碼簡單甚至為空或者用戶密碼和用戶名相同等漏洞,獲取資料庫的某些許可權,進而獲得系統的許可權。
(6)利用可信任的關系進行攻擊,例如深圳電信網站的某些資料庫設定的訪問地址,這樣黑客可以先攻擊這些被資料庫信任的地址進行逐「跳」的攻擊。
(7)DDOS攻擊,使用各種工具進行洪水攻擊;利用漏洞的拒絕服務攻擊。
3、企業網路安全防護措施
根據企業網路系統的實際防護需要,必須保護的內容包括:Web主機(門戶網站、OA系統等基於Web訪問的主機),資料庫主機,郵件伺服器等,網路入口,內部網路檢測。對企業重要的是有效防護Web伺服器的非法訪問和網頁被非法修改,防護資料庫伺服器數據被非授權用戶非法訪問或被黑客篡改、刪除。一旦發現伺服器遭入侵或網頁被篡改,能進行及時報警和恢復處理。
(1)防火牆,在外部網路同內部網路之間應設置防火牆設備。如通過防火牆過濾進出網路的數據;對進出網路的訪問行為進行控制和阻斷;封堵某些禁止的業務;記錄通過防火牆的信息內容和活動;對網路攻擊的監測和告警。禁止外部用戶進入內部網路,訪問內部機器;保證外部用戶可以且只能訪問到某些指定的公開信息;限制內部用戶只能訪問到某些特定的Intenet資源,如WWW服務、FTP服務、TELNET服務等;防火牆產品本身具有很強的抗攻擊能力。使用硬體防火牆,管理和維護更加方便有效。
(2)、入侵檢測系統,企業內部主機操作系統種類一般在兩種以上,而目前漏洞攻擊手法大部分是基於操作系統已有的安全漏洞進行攻擊,通過使用防火牆設備可以防範大部分的黑客攻擊,但是有些攻擊手法是通過防火牆上開啟的正常服務來實現的,而且防火牆不能防範內部用戶的惡意行為和誤操作。通過使用入侵檢測系統,可以監視用戶和系統的運行狀態,查找非法用戶和合法用戶的越權操作;檢測系統配置的正確性和安全漏洞,並提示管理員修補漏洞;對用戶非法活動的統計分析,發現攻擊行為的規律;檢查系統程序和數據的一致性和正確性;能夠實時對檢測到的攻擊行為進行反應。
(3)網路漏洞掃描入侵者一般總是通過尋找網路中的安全漏洞來尋找入侵點。進行系統自身的脆弱性檢查的主要目的是先於入侵者發現漏洞並及時彌補,從而進行安全防護。由於網路是動態變化的:網路結構不斷發生變化、主機軟體不斷更新和增添;所以,我們必須經常利用網路漏洞掃描器對網路設備進行自動的安全漏洞檢測和分析,包括:應用伺服器、WWW伺服器、郵件伺服器、DNS伺服器、資料庫伺服器、重要的文件伺服器及交換機等網路設備,通過模擬黑客攻擊手法,探測網路設備中存在的弱點和漏洞,提醒安全管理員,及時完善安全策略,降低安全風險。
(4)、防病毒系統要防止計算機病毒在網路上傳播、擴散,需要從Internet、郵件、文件伺服器和用戶終端四個方面來切斷病毒源,才能保證整個網路免除計算機病毒的干擾,避免網路上有害信息、垃圾信息的大量產生與傳播。單純的殺毒軟體都是單一版系統,只能在單台計算機上使用,只能保證病毒出現後將其殺滅,不能阻止病毒的傳播和未知病毒的感染;若一個用戶沒有這些殺毒軟體,它將成為一個病毒傳染源,影響其它用戶,網路傳播型病毒的影響更甚。只有將防毒、殺毒融為一體來考慮,才能較好的達到徹底預防和清除病毒的目的。
因此,使用網路防、殺毒的全面解決方案才是消除病毒影響的最佳辦法。它可以將進出企業網的病毒、郵件病毒進行有效的清除,並提供基於網路的單機殺毒能力。網路病毒防護系統能保證病毒庫的及時更新,以及對未知病毒的稽查。另外,要提高網路運行的管理水平,有效地、全方位地保障網路安全。
4、企業網路安全解決方案
廣義的計算機系統安全的范圍很廣,它不僅包括計算機系統本身,還包括自然災害(如雷電、地震、火災等),物理損壞(如硬碟損壞、設備使用壽命到期等),設備故障(如停電、電磁干擾等),意外事故等。
狹義的系統安全包括計算機主機系統和網路系統上的主機、網路設備和某些終端設備的安全問題,主要針對對這些系統的攻擊、偵聽、欺騙等非法手段的防護。以下所有的計算機系統安全均是狹義的系統安全范疇。規劃企業網路安全方案,要根據企業的網路現狀和網路安全需求,結合網路安全分析,一是需要加強對網路出口安全方面的控制和管理,防止安全事故的發生;二是加強內部網路訪問控制,以業務分工來規劃網路,限制網路用戶的訪問范圍;同時增加網路安全檢測設備,對用戶的非法訪問進行監控。我們建議,企業的安全解決方案一般應有下面一些做法:
(1)在Internet接入處,放置高性能硬體防火牆(包括防火牆+帶寬管理+流探測+互動IDS等)。防火牆要支持包過濾和應用級代理兩種技術,具有三種管理方式,能夠很方便的設置防火牆的各種安全策略,並且能夠與網路入侵檢測系統進行互動,相互配合,阻擋黑客的攻擊。
(2)在內網快速以大網交換機上連接一個網路入侵檢測系統,對進入內網的數據包進行檢查,確保沒有惡意的數據包進入,從而影響內網數據伺服器的正常工作。
(3)使用互聯網入侵檢測系統對DMZ區和內網的伺服器(包括Web伺服器/應用伺服器、數據伺服器、DNS伺服器、郵件伺服器和管理伺服器等),以及桌面計算機進行掃描和評估,進行人工安全分析,以確定其存在的各種安全隱患和漏洞,並根據掃描的結果提出加固建議,保護企業網路系統的正常工作。
(4)在各主要伺服器上安裝伺服器防病毒產品,對伺服器進行病毒防護,確保病毒不會進入各伺服器,並且不會通過伺服器進行傳播。
(5)用一台專用的PC伺服器安裝伺服器防病毒系統,並在內網上安裝工作站防病毒產品,通過伺服器防病毒系統對這些工作站進行管理和升級。
6. 如何給公司網站防護,構建企業網路安全防護
建議樓主可以試試360企業版。360企業版 = 360安全衛士 + 360管理控制中心, 360管理控制中心為企業集中管理內網電腦搭建了一個全能平台, 在統一的平台上滿足了廣大企業對於集中殺毒,體檢,打補丁的迫切需求。
7. 企業為什麼進行終端安全防護
員工在工作中的一些操作行為可能會給企業帶來一定的安全風險,比如說員工對電腦截屏、對文件外發、使用U盤拷貝等行為在一定程度上是能夠泄露數據的,不管員工是否是有意而為,企業都低估它對數據泄露的風險性。
企業信息安全是企業發展中重要環節,保護好企業信息安全對於企業是有益無害的,數據文件在一定程度上代表著企業的固定資產,而且對於企業信息安全可用域之盾工具進行有效的終端安全防護,比如把電腦中的文件進行加密處理,通過文檔透明加密的方式去加密,加密後的文件能夠保證不被隨意外發到區域網之外,無論是員工通過U盤拷貝還是其他形式外發,打開都是亂碼的情況,
文件加密在一定程度上決定了文件的安全性,而且還可通過文檔防勒索防止一些應用程序對電腦文件進行索取行為,用文件備份方式可輕松找回電腦中被刪除的文件,這樣能更好的保護文件安全性。
8. 如何做好企業信息安全防護工作
加強宣傳引導,切實提高安全防範意識
技術管理部門要因勢利導,加強宣傳引導,使幹部員工牢固樹立大局觀念,增強全行「一盤棋」意識,深刻領會信息安全管理的重要性。
嚴格內部管理,堅持內外兼防和內外並重
一方面要加強宣傳教育,提高技術人員思想素質,做到防微杜漸;另一方面要加強內部管理,建立各項健全的內部監控審計系統,進行工作內容審計等。
實行責任制,建立安全防範體系
信息安全管理要堅持統一領導、統一部署、統一規范,實行全行一盤棋,層層簽訂安全責任狀,各級行科技部門聯合起來,不留死角,共同構築牢固的網路安全防範體系。此外,將信息安全工作融入全行大安全保衛工作中去,明確部門分工,構築安全管理的幾道防線,技術部門負責技術安全,業務部門負責應用安全,保衛部門負責場地設施安全等。
明確崗位職責,提高網路防範水平
分支行技術部門的重要職責之一是信息安全管理,因此首先要充實計算機安全人員,將思想素質高、技術業務精的人員充實到安全崗位上來;另外明確各級安全員的崗位職責,並通過專業培訓、技術講座等多種形式,提高各級管理員的網路防範水平和應急處理能力,積極引進計算機安全專業技術人員。
增加安全產品的投入,提高技術防範能力
計算機網路系統牽一發而動全身,網路的安全性應是當前計算機安全管理工作的重中之重。電子化建設的資金應向計算機安全產品特別是網路安全產品的傾斜,添置一些關於網路系統漏洞掃描、入侵檢測等等方面的網路安全管理設備,並對現有的網路系統的安全性進行正確的評估;同時對通訊連接線路的安全程度需要進一步認證。
9. 網路安全防護措施,網路安全防護措施有哪些
首先,硬體上面要有投入,規模比較大的區域網,防火牆、三層交換機、上網行為管理都不能少。
其次,要有行政手段,建立企業內部上網規范。
再次,還要有技術手段來進行保障,最佳方案是:
1. 內網許可權管理用AD域。這樣可以用組策略來做很多限制,避免隨意安裝軟體導致區域網安全隱患。
2. 外網許可權用防火牆、上網行為管理。工作時段進行上網限制,否則只要有1-2個人進行P2P下載、看網路視頻,外網就基本上癱瘓了。
3. 沒有上網行為管理硬體的話,也可以部署上網行為管理軟體(比如「超級嗅探狗」、WFilter等)。可以通過旁路方式監控流量佔用、上網行為、禁止下載等,並且和域控結合。