防護(hù)內(nèi)網(wǎng)安全的措施

　　限制VPN的訪問(wèn)

　　虛擬專用網(wǎng)(VPN) 用戶的訪問(wèn)對(duì)內(nèi)網(wǎng)的安全造成了巨大的威脅。在虛擬專用網(wǎng)中，任意兩個(gè)節(jié)點(diǎn)之間的連接并沒(méi)有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路，而是利用某種公眾網(wǎng)的資源動(dòng)態(tài)組成的。所以它們將弱化的桌面操作系統(tǒng)置于企業(yè)防火墻的防護(hù)之外。很明顯VPN用戶是可以訪問(wèn)企業(yè)內(nèi)網(wǎng)的，很明顯VPN其實(shí)是對(duì)內(nèi)網(wǎng)安全造成威脅的。

　　因此要避免給每一位VPN用戶訪問(wèn)內(nèi)網(wǎng)的全部權(quán)限。這樣可以利用登錄控制權(quán)限列表來(lái)限制VPN用戶的登錄權(quán)限的級(jí)別，即只需賦予他們所需要的訪問(wèn)權(quán)限級(jí)別即可，如訪問(wèn)郵件服務(wù)器或其他可選擇的網(wǎng)絡(luò)資源的權(quán)限。

　　為網(wǎng)站建立內(nèi)網(wǎng)型的邊界防護(hù)

　　很多企業(yè)都會(huì)有網(wǎng)絡(luò)上的合作伙伴，例如合作的媒體或者是合作的廠商等，雖然安全管理員雖然知道怎樣利用實(shí)際技術(shù)來(lái)完固防火墻，保護(hù)MS-SQL，但是Slammer蠕蟲仍能侵入內(nèi)網(wǎng)，這就是因?yàn)槠髽I(yè)給了他們的合作伙伴進(jìn)入內(nèi)部資源的訪問(wèn)權(quán)限。

　　既然不能控制合作者的網(wǎng)絡(luò)安全策略和活動(dòng)，那么就應(yīng)該為每一個(gè)合作企業(yè)創(chuàng)建一個(gè)DMZ，并將他們所需要訪問(wèn)的資源放置在相應(yīng)的DMZ中，不允許他們對(duì)內(nèi)網(wǎng)其他資源的訪問(wèn)，建立合作專區(qū)還是非常必要的。

　　關(guān)掉無(wú)用的網(wǎng)絡(luò)服務(wù)器

　　大型企業(yè)一般在采購(gòu)上由于人為原因重復(fù)性選擇或者是不合理選擇經(jīng)常會(huì)出現(xiàn)，因此難免有一家企業(yè)上跑著四五臺(tái)郵件服務(wù)器的情況，而實(shí)際的情況是兩臺(tái)機(jī)器即可完全解決。

　　這些主機(jī)中很可能有潛在的郵件服務(wù)器的攻擊點(diǎn)。因此要逐個(gè)中斷網(wǎng)絡(luò)服務(wù)器來(lái)進(jìn)行審查。若一個(gè)程序(或程序中的邏輯單元)作為一個(gè)window文件服務(wù)器在運(yùn)行但是又不具有文件服務(wù)器作用的，關(guān)掉該文件的共享協(xié)議。

　　創(chuàng)建虛擬邊界防護(hù)

　　主機(jī)是被攻擊的主要對(duì)象。與其努力使所有主機(jī)不遭攻擊(這是不可能的)，還不如在如何使攻擊者無(wú)法通過(guò)受攻擊的主機(jī)來(lái)攻擊內(nèi)網(wǎng)方面努力。于是必須解決企業(yè)網(wǎng)絡(luò)的使用和在企業(yè)經(jīng)營(yíng)范圍建立虛擬邊界防護(hù)這個(gè)問(wèn)題。這樣，如果一個(gè)市場(chǎng)用戶的客戶機(jī)被侵入了，攻擊者也不會(huì)由此而進(jìn)入到公司的 R&D.因此要實(shí)現(xiàn)公司R&D與市場(chǎng)之間的訪問(wèn)權(quán)限控制。大家都知道怎樣建立互聯(lián)網(wǎng)與內(nèi)網(wǎng)之間的邊界防火墻防護(hù)，現(xiàn)在也應(yīng)該意識(shí)到建立網(wǎng)上不同商業(yè)用戶群之間的邊界防護(hù)。

　　身份認(rèn)證設(shè)定訪問(wèn)等級(jí)

　　采用雙因素身份認(rèn)證的方式，可以達(dá)到高強(qiáng)度的安全保護(hù)，身份認(rèn)證可以通過(guò)智能卡、一次性口令，或者USB設(shè)備的方式進(jìn)行。當(dāng)然，啟動(dòng)前的授權(quán)方式必須是可定制的。用戶可以選擇使用密碼或令牌做為授權(quán)的方式。真正好的硬盤加密技術(shù)，并不是要通過(guò)繁瑣的加密步驟來(lái)困擾用戶，而是為硬盤本身提供應(yīng)有的保護(hù)。用戶每天都要登錄系統(tǒng)，因此在不影響用戶使用的前提下，簡(jiǎn)單的操作和高強(qiáng)度的保護(hù)，才能為用戶提供一個(gè)安全、便利的環(huán)境。當(dāng)然這基本上是針對(duì)文檔加密。

　　數(shù)據(jù)加密提供基礎(chǔ)安全

　　利用數(shù)據(jù)加密解決方案可保護(hù)筆記本電腦、工作站和服務(wù)器等設(shè)備的硬盤上所有文件(包括操作系統(tǒng)文件)的安全。即使硬盤被盜，企業(yè)依然可放心數(shù)據(jù)不會(huì)被非授權(quán)人瀏覽或獲取。雖然黑客可以潛入企業(yè)的服務(wù)器，但是，也無(wú)法對(duì)服務(wù)器上的數(shù)據(jù)和信息資產(chǎn)造成破壞，因?yàn)檫@些資產(chǎn)都得到了安全的加密保護(hù)。

　　雖然從目前來(lái)看，技術(shù)是解決安全問(wèn)題的主要方法，但是從實(shí)際的情況來(lái)看，合理的安全機(jī)制與決策，意識(shí)上對(duì)安全的重視才是解決安全問(wèn)題的正途。另外，也許安全問(wèn)題更多的是來(lái)自于內(nèi)部，僅僅是防范外網(wǎng)遠(yuǎn)遠(yuǎn)不能解決內(nèi)部的混亂。