一、做好内网安全防护需首先做好超级用户安全管理
企业进行内网安全防护就是为了保证企业的信息安全。然而,对于计算机用户的管理是防护的重点,尤其是超级root用户的管理,因为root用户在UNIX/Linux系统中具有无限的权力,可以进行任何操作。root用户可以进行如下具有潜在危险的操作:
①添加、删除或者更改所有其他用户的账户。
②读写所有文件,以及创建新文件。
③添加/删除系统中的设备。
④安装新的系统软件。
⑤读取任何人的电子邮件。
⑥在局域网中探测网络通信,获取其他系统的用户名和密码。
⑦更改系统中所有的日志,删除所有超级用户访问的记录。
⑧冒充非特权用户,访问他们在其他需要验证登录访问的系统中的账户。
这些权力混合起来,使得root账户听起来很危险。不过,这其中许多操作是合理合法的,并且是每天必要的系统管理例行工作。例如,探测网络通信情况可以确定在什么地方产生了网络拥塞。 不过,如果一个入侵者获取到root权限,情况就大不妙了。他可以在系统中为所欲为,如删除或者窃取数据,删除或添加用户账户,或者安装特洛伊木马,从而透明地更改系统工作的方式。 使用su命令获取了root权限,root用户就可以使用su命令变为系统中任何其他用户,并启动具有有效ID的Shell。 这是一个安全漏洞:root用户可以冒充其他用户对数据进行操作和更改;对这些操作进行跟踪,最终只能跟踪到有效用户,而不是root。
一种比较有效的防止授权用户获取root权限的方法,是使用一个难以猜测的root密码。最佳的密码是完全随机的字母、数字和标点符号组合而成的字符串。不要写下root用户的密码,也不要把密码告诉其他的用户。
二、内网安全管理中不容忽视的系统监控策略
保证计算机系统的安全是企业进行内网安全管理的重要环节。计算机系统的安全是企业涉密信息安全的前提。企业尽管不断地在对系统进行修补,但由于软件系统的复杂性,新的安全漏洞总会层出不穷。 因此,除了对安全漏洞进行修补之外,还要对系统的运行状态进行实时网络监控,以便及时发现利用各种漏洞的入侵行为。
①启用系统审核机制。系统审核机制可以对系统中的各类事件进行跟踪记录并写入日志文件,以供管理员进行分析、查找系统和应用程序故障以及各类安全事件。 为了不影响系统性能,默认的内网安全策略并不对安全事件进行审核,对于关键的应用服务器和文件服务器来说,应启用所有的安全策略来发现黑客的入侵和入侵后的行为。
②日志监视。日志功能在某种程度上来说是入侵检测的得力帮手。在启用安全审核策略后,管理员应经常查看安全日志的记录,否则就失去了及时补救和防御的时机。 除了安全日志外,管理员还要注意检查各种服务或应用的日志文件。应在本地安全策略中设置如下审核策略:账户管理操作成功或失败时记录事件;登录操作成功及失败时记录事件;对象访问操作失败时记录事件;策略更改操作成功及失败时记录事件;特权使用操作失败时记录事件;系统事件操作成功或失败时记录事件;目录服务访问操作失败时记录事件;账户登录操作成功或失败时记录事件。
③监视开放的端口和连接。对日志的监视只能发现已经发生的入侵事件,对于正在进行的入侵和破坏行为就无能为力了。这时,就需要管理员掌握一些基本的实时网络监控技术来应对。
④监视共享。如果防范不严,最简单的入侵方法就是利用系统隐含的管理共享。因此,只要黑客能够扫描到IP和用户密码,就可以使用net use命令连接到共享上。 另外,当浏览到含有恶意脚本的网页时,计算机的硬盘也可能被共享。因此,监测本机的共享连接是非常重要的。系统监控策略目的是监控内部员工在操作计算机时是否发生违规行为,以便管理员进行分析。这在企业内网安全管理中有重要的作用。 面对复杂的文件管理和员工管理,传统的管理模式已力不从心,在此背景下防泄密系统应运而生。它提供了一系列可为企业提供全面安全保护的工具,能够有效解决企业数据安全管理的问题。
|