企业网络安全存在的隐患及其对策

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,网络反病毒系列技术讲座之三,企业网络平安存在的隐患及其对策,前言,网络信息平安问题的起源,信息技术的开展带来平安性的挑战,网络信息平安的重要性,网络信息平安常见威胁,网络协议缺陷,主机系统配置,软件漏洞，后门,平安管理问题,企业网络平安,内部平安,公司的产品平安,财务信息,员工信息,内部效劳器密码被盗,外部平安,匿名邮件，恐吓信,企业形象,网络效劳器被入侵破坏,网络不平安的原因,自身缺陷,开放性,黑客，病毒破坏,黑客入侵的危害,一项由CSI/FBI Computer Crime and SecuritySurvey所发表的调查报告显示：在过去12个月，64%的金融单位的网络曾遭受到黑客入侵事件并导致亏损。另外，高达85%的受访者表示曾遇到过入侵事件导致的平安问题。这些事件除了显示现在企业网络存在的平安问题的严重性，也在提醒着企业的领导人和决策者企业平安危机的存在。,网络自身的平安缺陷,协议本身会泄露口令,连接可成为被盗用的目标,效劳器本身需要读写特权,基于地址,密码保密措施不强,某些协议经常运行一些无关的程序,业务内部可能隐藏着一些错误的信息,有些业务本身尚未完善，难以区分出错原因,有些业务设置复杂，很难完善的设立,使用CGI的业务,黑客入侵的危害,效劳中断,机密资料被盗,企业品牌形象,客户信赖程度,市场占有率甚至股价,常见攻击分类,口令破解：攻击者可通过获取口令文件然后运用口令破解工具获得口令也可通过猜测或窃听等方式获取口令；,连接盗用：在合法的通信连接建立后攻击者可通过阻塞或摧毁通信的一方来接管已经过认证建立起来的连接从而 假冒被接管方与对方通信；,常见攻击分类,效劳拒绝：攻击者可直接发动攻击也可通过控制其它主机发起 攻击使目标瘫痪如发送大量的数据洪流阻塞目标；,网络窃听：网络的开放性使攻击者可通过直接或间接窃听获取所需信息；,数据篡改：攻击者可通过截获并修改数据或重放数据等方式破坏数据的完整性；,常见攻击分类,地址欺骗：攻击者可通过伪装成被信任的IP 地址等方式来骗取目标的信任；,社会工程：攻击者可通过各种社交渠道获得有关目标的结构使用情况平安防范措施等有用信息从而提高攻击成功率；,常见攻击分类,恶意扫描：攻击者可编制或使用现有扫描工具发现目标的漏洞进而发起攻击；,根底设施破坏：攻击者可通过破坏DNS 或路由信息等根底设施使目标陷于孤立；,数据驱动攻击：攻击者可通过施放病毒特洛伊木马数据炸弹等方式破坏或遥控目标。,病毒带来的威胁,近年来全球重大电脑病毒疫情及损失的统计图：,实例：2003蠕虫王,对于我们所依赖的互联网结构而言，蠕虫无疑是一个巨大的威胁！,蠕虫新特性,传染方式多,传播速度快,去除难度大,破坏性强,企业面对的真正风险,网络效能：如何防卫网络根底设施，以免受到来自公司内部或外界的恶意攻击，例如效劳阻断或滥发广告信等等,防止诉讼：防范企业内部不当或非法使用具攻击性或不适当的互联网内容与电子邮件资源，以免招致不必要的诉讼,企业面对的真正风险,机密资料外泄：保护重要的企业机密资料，以免沦落外人之手,财物损失：确保一定的生产力，不至因为时间或资源的滥用以及系统当机而有任何损失，同时确保对公司资源的管理权,企业声誉：防止未受保护的计算机环境、运作失常、遗失客户私人数据与通讯过慢等因素，导致公司的信用与声誉遭受任何影响,网络平安的任务,保障各种网络资源,稳定可靠地运行,受控合法地使用,信息平安的任务,机密性confidentiality)完整性(integrity),抗否认性(non-repudiation)可用性(availability),其他,病毒防治预防内部犯罪,平安设计总目标,保障网络平安，可靠，高效，可控，持续地运行。,保障信息机密，完整，不可否认地传输和使用。,平安需求分析-平安防护,需要保护的对象：,硬件：路由器，工作站，效劳器，数据设备等；,软件：操作系统，应用软件，源代码，实用程序等；,数据：电子邮件，办公自动化，信息发布，业务系统。,设计原那么,先进与实用相统一,投入与产出相匹配,国际惯例通常是占总投入的10%到15%。,成熟与升级相衔接时效性,如何选择适宜的平安产品,网络防病毒软件,选型阶段的专家参与和网络拓扑契合性,杀毒产品本身的易用性和可定制性,针对杀毒产品的技术、效劳支持的可靠性和持续性,杀毒技术与周边信息的延展性,杀毒产品的升级流畅性和相关培训密度,如何选择适宜的平安产品,防火墙,防火墙的设计策略应遵循平安防范的根本原那么“除非明确允许，否那么就禁止；,防火墙本身支持平安策略，而不是添加上去的,如果组织机构的平安策略发生改变，可以参加新的效劳,有先进的认证手段或有挂钩程序，可以安装先进的认证方法,如果需要，可以运用过滤技术允许和禁止效劳,如何选择适宜的平安产品,防火墙,可以使用FTP和Telnet等效劳代理，以便先进的认证手段可以被安装和运行在防火墙上,应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动,如何选择适宜的平安产品,入侵检测系统,从性能上看，是否能捕获全部传输的数据包,应该看入侵特征库的大小，越大的数据库，检测的入侵特征越多，也就是说其防御能力也越强,检测到入侵情况后响应的方式如何，报警能力如何，生成的报表情况如何,如何选择适宜的平安产品,VPN产品,方便的安装和自动的操作管理,动态连接,平安性,平安意识,用户和厂商都处于萌芽阶段,企业网络平安建设投入缺乏,没有完善的制度,平安管理,加强内部人员的平安知识培训及职业道德教育,制定平安政策和法规,从技术上实现系统管理分权制约,从技术上保证口令的平安性,从程序上标准平安管理,平安升级,跟踪和研究网络攻击手段以便及时升级自己的系统,及时更新和使用平安产品的升级版本,及时采纳新出现的必须的平安产品,应在年度运行预算中留出平安保障和维护经费,保持与平安技术支持单位的良好合作关系,谢谢诸位！,