教你改善企業網路安全的八個技巧

　　好人和壞人總是爭先恐後，有時候他們在你前面，有時候你又在他們前面。可能更準確地說，安全是一場競賽，與扳手腕比賽類似。然而，儘管安全是一場永遠不會結束的旅行，你需要了解並充分利用沿途的檢查站，這些能夠幫助你改善企業的整體安全狀態，並且能夠在任何時間點評估你的安全狀態。在評估安全性後，你可以作出一些調整來改變安全配置。

　　正是出於這些考慮，本文為大家提供了改善安全的八個技巧：

　　1、優化物理安全

　　安全行業有句老話：如果壞人可以獲取計算機的物理控制，那就完蛋了。一旦他們拿到物理控制權，他們就可以使用各種工具來訪問磁碟甚至是記憶體的資料，當然，他們還可以訪問“p0wnd”計算機移出和移入的任何資訊。所以說，在考慮部署其他安全方法之前，物理安全是首先要考慮的。

　　物理安全包括：

　　　　• 進入電腦機房的金鑰、智慧卡或者生物識別門控技術
• 對電腦機房進出情況的視訊記錄
• 對電腦機房進出情況的日誌記錄和報告
• 在電腦機房的入口和出口部署保安或者其他觀察員

　　在防止攻擊者攻入你的系統方面，物理安全能發揮很大作用。但是物理安全只是第一步，我們都非常清楚，如果計算機連線到網路，壞人不需要物理訪問就能進行破壞活動。

　　2、使用基於主機的防火牆

　　網路防火牆似乎受到極大關注，網路防火牆確實有優點，但是很多人似乎誇大了它的保護能力。事實上，現在市面上大多數防火牆只能提供很小的安全保障，原因之一在於大多數最嚴重的攻擊往往來自於網路內部，所以網路防火牆阻止外部使用者訪問內部網資源的功能似乎沒有多大作用。

　　相比之下，基於主機的防火牆就能夠保護企業資產阻止所有攻擊者，無論時內部還是外部攻擊者。此外，高階主機防火牆還可以配置為只允許計算機向使用者提供的特定服務的入站連線。這些基於主機的防火牆(例如具有Advanced Security的Windows防火牆)甚至可以要求使用者或者機器再網路層進行身份驗證，這樣的話，沒有通過驗證或者沒有授權的使用者就不能進入應用程式層，應用程式層時大多數漏洞存在的地方，也是所有資料儲存的地方。

　　3、將你的網路劃分為安全區

　　在涉及安全分割槽方面來看，前端web防火牆與資料庫防火牆有所不同。託管公共可用檔案的檔案伺服器與託管機密營銷計劃的SharePoint伺服器也不相同。出戰SMTP中繼與反向web代理伺服器不同，因為它們位於不同的安全區。

　　你應該將你的資源劃分到不同的安全區，然後在這些區之間建立物理或者邏輯分割槽。如果你想要使用物理分割槽，你應該要確保分配到不同區域的資源有防火牆或者其他網路訪問控制裝置來分隔。如果你想要使用邏輯安全分割槽，你可以利用IPsec和伺服器以及域名隔離來建立安全區之間的虛擬分割槽。

　　建立安全區可以讓你集中安全力量，來保護最重要的資產。分配給較低安全區的不太重要的資產同樣也受到了保護，但是你花在較低安全區的時間和精力相對要少得多，因為洩漏的成本比較高安全區的資產的成本要低得多。

　　4、對所有資產執行最小特權

　　最小許可權原則是指使用者和管理員只能訪問他們的工作需要的資源和控制。使用者只能訪問他們工作需要訪問的網站，他們只能使用工作需要使用的應用程式，而管理員只能進行符合他們許可權的配置更改。

　　最近這段時間，最小許可權的整個原則似乎已經改變了，但是最小許可權的價值和有效性並沒有改變。對於每個特權級別，如果使用者或管理員擁有比其需要的更高許可權，就增加了洩漏的風險。使用者要使用ipad連線到企業資產，並不是好主意，我們經常遷就使用者的需求，而不是考慮他們必須的東西。

　　對於管理員而言，這個問題更加重要，因為他們經常具有完整許可權來進行任何操作。Exchange管理員、資料庫管理員、SharePoint管理員、CRM管理員和其他服務管理員都應該具有符合他們管理角色的訪問控制許可權。現代應用程式允許你將適當的許可權分配給不同層次的管理員，可以利用這個功能來分配許可權。

　　對於終端使用者而言，為他們提供工作需要的服務和資料訪問許可權，防止他們訪問其他資產。這同樣適用於應用程式。如果應用程式沒有位於批准名單上，那麼使用自動化的方法來防止應用程式安裝。

　　5、加密所有資訊

　　使用BitLocker進行全磁碟加密可以很好的保護你的關鍵資訊，甚至還可以幫助你防止物理洩漏。例如，如果有人從你的伺服器機房竊取了一臺伺服器，攻擊者會將驅動裝再伺服器上，讀取檔案系統，也就是所謂的離線攻擊。好訊息是使用BitLocker加密磁碟可以防止離線攻擊。

　　但是整個磁碟加密不再僅限於內建硬碟驅動。在Windows7和Windows Server 2008 R2中，你可以在USB金鑰、USB驅動和其他型別的可移動媒介上使用磁碟加密。制定政策要求儲存了公司資料的可移動媒介必須使用BitLocker加密。

　　連線到使用者智慧手機的可移動媒介也應該被加密。政策應該要求對智慧手機作業系統的使用必須支援microSD卡加密，如果公司資料將儲存在上面。儲存在手機內建記憶體的資料也應該被加密，使用者應該使用可以進行遠端清除的手機，以防丟失和被盜的情況。

　　6、更新、更新、更新!

　　可能你已經知道這一點，但是提高企業整體安全狀態的最有效的方法之一就是保持應用程式和安全更新的更新。雖然很多管理員會抱怨微軟產品經常需要更新，事實上，微軟比其他供應商更具安全意識，因為他們非常注重軟體更新，如果你使用的軟體的供應商很少更新，不要認為這樣很安全。安全更新其實是供應商對其軟體安全問題關注程度的反映。

　　更新應該儘可能快地完成，因為一旦安全補丁被發現，攻擊者和黑客就已經知道漏洞，並會試圖在補丁釋出和使用者安裝補丁的時間內利用它們。這也就是“零日”期間，這也是漏洞最容易被利用的時間。如果你使用自動更新，那麼漏洞利用期就會小得多。

　　然而，很多公司需要先對安全更新進行測試，因為他們有很多業務應用程式可能會受到每次安全更新的影響，所以他們需要提前測試相容性問題。在這種情況下，你可以通過部署外圍裝置(例如Microsoft威脅管理網管2010,專門用於阻止已知微軟漏洞)，這樣就可以縮短關鍵漏洞利用時期。

　　7、使用安全身份驗證機制

　　密碼破解技術的不斷髮展使短密碼很容易被發現，先進的破解技術甚至能夠破解強度高的密碼。如果你必須使用帳戶和密碼來作用你唯一的身份驗證機制，那麼必須要求所有密碼必須使15個或更多字元組成，包括大寫、小寫、數字和非字母數字字元。使用對於使用者有意義的複雜密碼(通常簡稱為“密碼短語”)可以讓使用者更好地記住密碼。但是在越來越移動化的世界，還有另一個問題。雖然記住長密碼短語很容易，但是將這麼長的密碼輸入智慧手機或者其他裝置非常麻煩。

　　更好的方法就是雙因素身份驗證，這要求使用者使用某種裝置(例如智慧卡或者令牌)以及密碼(在2FA空間有時也被稱為PIN)。當使用雙因素身份驗證時，即使密碼被破解了，仍然意義不大，除非攻擊者拿到了裝置本身。對於更安全的部署，應該新增額外的因素，例如語音識別、面部識別、指紋或者視網膜識別。

　　8、Secure Against Data Leakage

　　隨著雲端計算對我們的生活帶來越來越大的影響，基於網路的安全將開始對你的安全設計和購買具有更小的影響，因為安全將需要與資料更加靠近。這也是資料洩漏保護的用武之地。你可以對資訊進行嚴格訪問控制，所以只有授權使用者能夠訪問資訊。但是然後呢?授權使用者可以怎樣使用這個資訊?可以將資訊傳給未授權使用者嗎?使用者可以列印出來或者郵寄給別人嗎?使用者對其進行修改並放回儲存庫，而該資訊應該設定為只讀?

　　考慮一下如何保護授權使用者對資料的操作。如果你在使用微軟Office和SharePoint和Exchange，你可以利用微軟許可權管理服務來制定政策，控制使用者對資訊的操作。

　　總結

　　本文中，我們為大家提供了提高整體安全狀態的八個技巧。你可能已經知道所有技巧，或者部分技巧，但沒有部署全部安全技巧和方法。這些方法都是很容易部署的，請安排一些時間來學習這些技巧。