企业网络安全方案部署失败是什么原因?企业网络安全怎样正确管理?
扩展型企业的概念给IT安全组合带来越来越严峻的问题,因为它们的敏感数据和有价值的数据经常会流出传统网络边界。为了保护企业不受多元化和低端低速可适应性的持久威胁,IT企业正在部署各种各样的新型网络安全设备:下一代防火墙、IDS与IPS设备、安全信息事件管理(SIEM)系统和高级威胁检测系统。理想情况下,这些系统将集中管理,遵循一个集中安全策略,隶属于一个普遍保护战略。
然而,在部署这些设备时,一些企业的常见错误会严重影响他们实现普遍保护的能力。本文将介绍在规划与部署新型网络安全设备时需要注意的问题,以及如何避免可能导致深度防御失败的相关问题。
不要迷信安全设备
一个最大的错误是假定安全设备本身是安全的。表面上这似乎很容易理解,但是一定要坚持这个立足点。所谓的"增强"操作系统到底有多安全?它的最新状态是怎样的?它运行的"超稳定"Web服务器又有多安全?
在开始任何工作之前,一定要创建一个测试计划,验证所有网络安全设备都是真正安全的。首先是从一些基础测试开始:您是否有在各个设备及其支持的网络、服务器和存储基础架构上按时升级、安装补丁和修复Bug?在根据一些记录当前已知漏洞信息的资料交换中心(如全国漏洞数据库)的数据进行检查,一定要定期升级和安装设备补丁。
然后,再转到一些更难处理的方面:定期评估多个设备配置的潜在弱点。加密系统和应用交付优化(ADO)设备的部署顺序不当也会造成数据泄露,即使各个设备本身能够正常工作。这个过程可以与定期执行的渗透测试一起进行。
评估网络安全设备的使用方式
对于任意安全设备而言,管理/控制通道最容易出现漏洞。所以,一定要注意您将要如何配置和修改安全设备--以及允许谁执行这些配置。如果您准备通过Web浏览器访问一个安全系统,那么安全设备将运行一个Web服务器,并且允许Web流量进出。这些流量是否有加密?它是否使用一个标准端口?所有设备是否都使用同一个端口(因此入侵者可以轻松猜测到)?它是通过一个普通网络连接(编内)还是独立管理网络连接(编外)进行访问?如果属于编内连接,那么任何通过这个接口发送流量的主机都可能攻击这个设备。如果它在一个管理网络上,那么至少您只需要担心网络上的其他设备。(如果它配置为使用串口连接和KVM,则更加好。)最佳场景是这样:如果不能直接访问设备,则保证所有配置变化都必须使用加密和多因子身份验证。而且,要紧密跟踪和控制设备管理的身份信息,保证只有授权用户才能获得管理权限。
应用标准渗透测试工具
如果您采用了前两个步骤,那么现在就有了很好的开始--但是工作还没做完。黑客、攻击和威胁载体仍然在不断地增长和发展,而且您必须定期测试系统,除了修复漏洞,还要保证它们能够抵挡已发现的攻击。
那么,攻击与漏洞有什么不同呢?攻击是一种专门攻破漏洞的有意行为。系统漏洞造成了攻击可能性,但是攻击的存在则增加了它的危害性--漏洞暴露从理论变为现实。
渗透测试工具和服务可以检查出网络安全设备是否容易受到攻击的破坏。一些开源工具和框架已经出现了很长时间,其中包括Network Mapper(Nmap)、Nikto、开放漏洞评估系统(Open Vulnerability Assessment System, OpenVAS)和Metasploit.当然 ,也有很多的商业工具,如McAfee(可以扫描软件组件)和Qualys的产品。
这些工具广泛用于标识网络设备处理网络流量的端口;记录它对于标准测试数据包的响应;以及通过使用OpenVAS和Metasploit测试它面对一些常见攻击的漏洞情况(更多出现在商业版本上)。
其他渗透测试工具则主要关注于Web服务器和应用,如OWASP Zed Attack Proxy(ZAP)和Arachni.通过使用标准工具和技术,确定安全设备的漏洞--例如,通过一个Web管理接口发起SQL注入攻击,您就可以更清晰地了解如何保护网络安全设备本身。
在部署网络安全设备时降低风险
没有任何东西是完美的,因此没有任何一个系统是毫无漏洞的。在部署和配置新网络安全设备时,如果没有应用恰当的预防措施,就可能给环境带来风险。采取正确的措施保护设备,将保护基础架构的其他部分,其中包括下面这些经常被忽视的常见防范措施:
修改默认密码和帐号名。
禁用不必要的服务和帐号。
保证按照制造商的要求更新底层操作系统和系统软件。
限制管理网络的管理接口访问;如果无法做到这一点,则要在上游设备(交换机和路由器)使用ACL,限制发起管理会话的来源。
由于攻击也在进化,所以要定期检查渗透测试。要保持OpenVAS和Metasploit等工具的更新,而且它们可以使用的攻击库也在稳步增长。
基线是什么呢?制定一个普遍保护策略只是开始。要保护现在漫无边际增长的设备和数据,您需要三样东西:一个普适保护策略、实现策略的工具与技术及保证这些工具与技术能够实现最大保护效果的政策与流程。所有政策与流程既要考虑网络安全设备本身(个体与整体)的漏洞,也要考虑专门针对这些漏洞且不断发展变化的攻击与威胁载体。
上就是避免企业网络安全设备部署失败的解决方案,谢谢阅读,希望能帮到大家,请继续关注驱动管家,我们会努力分享更多优秀的文章。
笔记本无线网络连接上了却不能上网是什么原因?
公司里用的是无线路由器的公用网络,输入密钥就能连上,为什么有的电脑直接就可以上外网,但有一台笔记本能连接到路由器但不管设置为自动获取IP地址还是指定IP地址,都无法连上外网,哪里有问题
详情2018-01-19 14:07:37责编:xm 来源:驱动管家百度浏览器网页怎么收藏?百度浏览器收藏网页步骤
导读:百度浏览器怎么收藏网页?以下这篇文章通过图文教程的形式,教大家百度浏览器如何收藏网页。
详情2018-01-25 10:19:29责编:xm 来源:驱动管家CPU虚拟化怎么开启?cpu虚拟化检测开启方法?
电脑技巧提供计算机知识,电脑使用技巧,电脑基础知识,让电脑爱好者可以快速学到电脑知识!
详情2018-01-03 15:03:24责编:xm 来源:驱动管家京东快递查询方法有哪些?怎样查询京东快递的物流信息?
很多朋友都不知道京东快递如何查询?其实查询方法有很多在我的订单下就有物流跟踪信息。另外很简单的打开页面底部京东快递官方网站,找到订单查询标签页,然后输入订单号即可
详情2018-01-06 15:28:05责编:xm 来源:驱动管家网络电视是什么?网络电视是智能电视吗?
究竟什么是网络电视?什么是智能电视?网络电视盒智能电视哪个好呢?下面小编就为大家深度讲解一下
详情2018-01-15 14:44:06责编:xm 来源:驱动管家u盘格式化不了怎么办?u盘格式化不了怎么解决?
有的时候我们插入U盘或者内存卡时显示无法格式化 也打不开 下面我们看一下解决办法
详情2018-01-06 13:53:58责编:xm 来源:驱动管家dhcp是什么?dhcp服务器是什么?
这篇文章主要介绍了DHCP是什么意思?DHCP基础知识介绍,本文用通俗易懂的语言描述了何谓DHCP,面向普通用户去解释,需要的朋友可以参考下
详情2018-01-27 18:06:33责编:xm 来源:驱动管家迅雷激活码是什么?迅雷激活码使用方法是什么?
关于迅雷激活码依照小编的理解,迅雷远程下载的激活码就是过渡该设备某种权限的意思,也就是说你输入这个设备的激活码后表示允许迅雷远程操作该设备进行远程下载,理解成绑定也可以,表示该激活码对应的PC迅雷、
详情2018-01-31 10:52:10责编:xm 来源:驱动管家电脑是怎么转换图片格式的?图片格式转换软件有哪些?
我相信很多人都会遇到这样的情况,有些电脑只能读取JPG格式的图片,g或者其他格式的图片就读取不了,那么电脑如何更改图片格式?下面小编就为大家详细介绍一下,来看看吧
详情2018-01-26 09:32:27责编:xm 来源:驱动管家QQ绿钻升级在哪儿升?QQ绿钻升级地址?
QQ绿钻豪华版正式上线,带来个性的闪电图标,并可享受最高18点 天的成长值。QQ绿钻怎么升级QQ绿钻豪华版?很简单,只要补差价升级即可,以下是详细升级教程。
详情2018-01-26 16:25:30责编:xm 来源:驱动管家
- 老毛桃winpe是用来做什么的?老毛桃winpe使用方法是什么?
- 百度云管家存储功能怎么用?百度云管家存储文件怎么操作?
- kk录像机录制声音怎么操作?kk录像机怎么使用?
- 小米盒子3和泰捷方盒相比哪个更值得购买呢
- 东芝m823类型笔记本的具体配置参数详解
- 在win7系统下怎么迅速打开xps文件?
- win7宽带连接的时候出现错误代码718是怎么回事
- 电脑开机老是出现“checking file system on F” 怎么跳过?
- 荣耀畅玩4x有哪些功能?荣耀畅玩4x硬件参数规格表
- 苹果手机ios9分屏怎么用?ios9分屏有哪些功能?
- 为什么任务栏中的触摸板图标不见了?笔记本触摸板怎么设置找回?
- 光驱弹不出来是怎么回事?光驱弹不出来怎么解决?
- raid驱动怎么安装?Linux系统加载raid驱动的方法
- itunes备份文件在哪?怎么利用itunes备份文件恢复设备数据?
- 小米手机助手传文件的操作是什么?小米手机助手功能介绍
- 东芝m503系列笔记本值得购买吗?东芝m503笔记本的配置
- 东芝m353笔记本电脑拆机方法是什么
- 有什么办法可以设置win10系统自带加密文件
- 什么叫做分布式操作系统?分布式操作系统详解
- iphone电池百分比在哪里设置?iphone6电池百分比设置方法