经常听人说安全是一次旅行,而不是目的地。确实是这样,因为在管理网络资产安全时,你总是要领先你的对手(想要窃取、修改和破坏你的数据的网络罪犯和不满员工等)一步。你不能停留在一个地方太久,因为你的对手总是会不断尝试新技术来攻入你的网络并获取数据。在很多情况下,***者甚至与网络泄漏没有直接关系,因为最具破坏性的***通常是由有授权的内部人员发起的。
好人和坏人总是争先恐后,有时候他们在你前面,有时候你又在他们前面。可能更准确地说,安全是一场竞赛,与扳手腕比赛类似。然而,尽管安全是一场永远不会结束的旅行,你需要了解并充分利用沿途的检查站,这些能够帮助你改善企业的整体安全状态,并且能够在任何时间点评估你的安全状态。在评估安全性后,你可以作出一些调整来改变安全配置。
正是出于这些考虑,本文为大家提供了改善安全的八个技巧:
1、优化物理安全
安全行业有句老话:如果坏人可以获取计算机的物理控制,那就完蛋了。一旦他们拿到物理控制权,他们就可以使用各种工具来访问磁盘甚至是内存的数据,当然,他们还可以访问“p0wnd”计算机移出和移入的任何信息。所以说,在考虑部署其他安全方法之前,物理安全是首先要考虑的。
物理安全包括:
进入电脑机房的密钥、智能卡或者生物识别门控技术
对电脑机房进出情况的视频记录
对电脑机房进出情况的日志记录和报告
在电脑机房的入口和出口部署保安或者其他观察员
在防止***者攻入你的系统方面,物理安全能发挥很大作用。但是物理安全只是第一步,我们都非常清楚,如果计算机连接到网络,坏人不需要物理访问就能进行破坏活动。
2、使用基于主机的防火墙
网络防火墙似乎受到极大关注,网络防火墙确实有优点,但是很多人似乎夸大了它的保护能力。事实上,现在市面上大多数防火墙只能提供很小的安全保障,原因之一在于大多数最严重的***往往来自于网络内部,所以网络防火墙阻止外部用户访问内部网资源的功能似乎没有多大作用。
相比之下,基于主机的防火墙就能够保护企业资产阻止所有***者,无论时内部还是外部***者。此外,高级主机防火墙还可以配置为只允许计算机向用户提供的特定服务的入站连接。这些基于主机的防火墙(例如具有AdvancedSecurity的Windows防火墙)甚至可以要求用户或者机器再网络层进行身份验证,这样的话,没有通过验证或者没有授权的用户就不能进入应用程序层,应用程序层时大多数漏洞存在的地方,也是所有数据存储的地方。
3、将你的网络划分为安全区
在涉及安全分区方面来看,前端web防火墙与数据库防火墙有所不同。托管公共可用文件的文件服务器与托管机密营销计划的SharePoint服务器也不相同。出战SMTP中继与反向web代理服务器不同,因为它们位于不同的安全区。
你应该将你的资源划分到不同的安全区,然后在这些区之间创建物理或者逻辑分区。如果你想要使用物理分区,你应该要确保分配到不同区域的资源有防火墙或者其他网络访问控制设备来分隔。如果你想要使用逻辑安全分区,你可以利用IPsec和服务器以及域名隔离来创建安全区之间的虚拟分区。
创建安全区可以让你集中安全力量,来保护最重要的资产。分配给较低安全区的不太重要的资产同样也受到了保护,但是你花在较低安全区的时间和精力相对要少得多,因为泄漏的成本比较高安全区的资产的成本要低得多。
4、对所有资产执行最小特权
最小权限原则是指用户和管理员只能访问他们的工作需要的资源和控制。用户只能访问他们工作需要访问的网站,他们只能使用工作需要使用的应用程序,而管理员只能进行符合他们权限的配置更改。
最近这段时间,最小权限的整个原则似乎已经改变了,但是最小权限的价值和有效性并没有改变。对于每个特权级别,如果用户或管理员拥有比其需要的更高权限,就增加了泄漏的风险。用户要使用ipad连接到企业资产,并不是好主意,我们经常迁就用户的需求,而不是考虑他们必须的东西。
对于管理员而言,这个问题更加重要,因为他们经常具有完整权限来进行任何操作。Exchange管理员、数据库管理员、SharePoint管理员、CRM管理员和其他服务管理员都应该具有符合他们管理角色的访问控制权限。现代应用程序允许你将适当的权限分配给不同层次的管理员,可以利用这个功能来分配权限。
对于最终用户而言,为他们提供工作需要的服务和数据访问权限,防止他们访问其他资产。这同样适用于应用程序。如果应用程序没有位于批准名单上,那么使用自动化的方法来防止应用程序安装。
5、加密所有信息
使用BitLocker进行全磁盘加密可以很好的保护你的关键信息,甚至还可以帮助你防止物理泄漏。例如,如果有人从你的服务器机房窃取了一台服务器,***者会将驱动装再服务器上,读取文件系统,也就是所谓的离线***。好消息是使用BitLocker加密磁盘可以防止离线***。
但是整个磁盘加密不再仅限于内置硬盘驱动。在Windows7和WindowsServer2008R2中,你可以在USB密钥、USB驱动和其他类型的可移动媒介上使用磁盘加密。制定政策要求存储了公司数据的可移动媒介必须使用BitLocker加密。
连接到用户智能手机的可移动媒介也应该被加密。政策应该要求对智能手机操作系统的使用必须支持microSD卡加密,如果公司数据将存储在上面。存储在手机内置内存的数据也应该被加密,用户应该使用可以进行远程清除的手机,以防丢失和被盗的情况。
6、更新、更新、更新!
可能你已经知道这一点,但是提高企业整体安全状态的最有效的方法之一就是保持应用程序和安全更新的更新。虽然很多管理员会抱怨微软产品经常需要更新,事实上,微软比其他供应商更具安全意识,因为他们非常注重软件更新,如果你使用的软件的供应商很少更新,不要认为这样很安全。安全更新其实是供应商对其软件安全问题关注程度的反映。
更新应该尽可能快地完成,因为一旦安全补丁被发现,***者和***就已经知道漏洞,并会试图在补丁发布和用户安装补丁的时间内利用它们。这也就是“零日”期间,这也是漏洞最容易被利用的时间。如果你使用自动更新,那么漏洞利用期就会小得多。
然而,很多公司需要先对安全更新进行测试,因为他们有很多业务应用程序可能会受到每次安全更新的影响,所以他们需要提前测试兼容性问题。在这种情况下,你可以通过部署外围设备(例如Microsoft威胁管理网管2010,专门用于阻止已知微软漏洞),这样就可以缩短关键漏洞利用时期。
7、使用安全身份验证机制
密码破解技术的不断发展使短密码很容易被发现,先进的破解技术甚至能够破解强度高的密码。如果你必须使用帐户和密码来作用你唯一的身份验证机制,那么必须要求所有密码必须使15个或更多字符组成,包括大写、小写、数字和非字母数字字符。使用对于用户有意义的复杂密码(通常简称为“密码短语”)可以让用户更好地记住密码。但是在越来越移动化的世界,还有另一个问题。虽然记住长密码短语很容易,但是将这么长的密码输入智能手机或者其他设备非常麻烦。
更好的方法就是双因素身份验证,这要求用户使用某种设备(例如智能卡或者令牌)以及密码(在2FA空间有时也被称为PIN)。当使用双因素身份验证时,即使密码被破解了,仍然意义不大,除非***者拿到了设备本身。对于更安全的部署,应该添加额外的因素,例如语音识别、面部识别、指纹或者视网膜识别。
8、SecureAgainstDataLeakage
随着云计算对我们的生活带来越来越大的影响,基于网络的安全将开始对你的安全设计和购买具有更小的影响,因为安全将需要与数据更加靠近。这也是数据泄漏保护的用武之地。你可以对信息进行严格访问控制,所以只有授权用户能够访问信息。但是然后呢?授权用户可以怎样使用这个信息?可以将信息传给未授权用户吗?用户可以打印出来或者邮寄给别人吗?用户对其进行修改并放回存储库,而该信息应该设置为只读?
考虑一下如何保护授权用户对数据的操作。如果你在使用微软Office和SharePoint和Exchange,你可以利用微软权限管理服务来制定政策,控制用户对信息的操作。
文章地址:http://blog.chinabyte.com/a/2775720.html?&via=801037803_WB.3RDAPI.URL.0.0

转载于:https://blog.51cto.com/blackvan/874020

八大妙招:改善企业网络安全相关推荐

  1. 镇江企业SEO:百度关键词收录小妙招!

    对于镇江企业SEO而言,我们经常会讨论:百度关键词收录的问题. 通常,针对初创的镇江企业而言,我们通常建议选择适当的关键词,而后在考量百度收录的问题,因此网站建设初期,选择关键词显得格外重要. 那么, ...

  2. 政企上云网络适配复杂,看华为云Stack有妙招

    本文分享自华为云社区<[华为云Stack][大架光临]第11期:政企上云网络适配复杂,看华为云Stack有妙招>,作者:华为云Stack网络架构师 姚博:华为云Stack网络技术专家 朱娜 ...

  3. APS排产提高生产效率的五大妙招

    很多的生产制造企业,除了本身企业想再进一步得到发展,另一方面也思考如何吸引更多的新客户,当然这个对于大多数企业来说,外部因素和环境只能去适应:那么显而易见,只能从企业内部去优化和改善,所以质量改进便成 ...

  4. 改善企业互联网安全性的方法—Vecloud微云

    一项来自金雅拓的研究发现,70%接受调查的客户会停止与遭遇数据泄露公司做生意.虽然不可能消除对公司业务互联网安全的所有威胁,但采取一些简单的步骤增强网络安全性,使业务更安全,并增加了保持客户基础的机会 ...

  5. 游山玩水拈花惹草 --- SAP 顾问出差期间自娱自乐的妙招

    游山玩水拈花惹草 --- SAP 顾问出差期间自娱自乐的妙招 最近五年,笔者一直从事各个企业的SAP项目的实施工作.由于工作性质和要求,需要常年在客户的现场提供咨询与技术支持服务,也就是说需要长期出差 ...

  6. 去除面部黑色素小妙招_去除暗黄皮肤的小妙招 7招让你白皙动人

    白皙的皮肤大概是每个女孩子心中都梦寐以求想拥有的,奈何自己的皮肤还是那么暗淡无光,还非常发黄,让人看起来特比没有精神,别担心,今天小编就跟大家分享一些去除暗黄皮肤的小妙招,让你美丽动人. 去除暗黄皮肤 ...

  7. 手机语音翻译的小妙招,一步一步教你!一键音频转文字

    原标题:手机语音翻译的小妙招,一步一步教你!一键音频转文字 电话销售是现在销售的一种重要途径,这些电话销售企业呼叫中心每日会产生大量的通话语音文件,很多时候他们为了服务营销挖掘,都会将这些录音文件进行 ...

  8. Tracup|工作时节省时间的三个奇异但是有用的小妙招

    我在工作的时候总是会感觉到缺乏时间,但是不要误会我的意思,我也像你一样尽我所能的确定任务优先级.制定目标.计划,委派和自动化.但是我仍然感到会缺乏时间. 随着不断的使用Tracup,我一直在思考一个问 ...

  9. 计算机怎么取消脱敏设置,脸过敏如何治疗 脸部快速脱敏的妙招

    在我们平时的日常生活中有很多人都遇到过脸部过敏的现象,一般脸过敏会使脸上过敏发红痒,很难受,也很影响美观,过敏首先要找到过敏源,那么脸过敏如何治疗?脸部快速脱敏的妙招. 脸过敏如何治疗 1.停用护肤品 ...

最新文章

  1. c语言如何将浮点数转换为字节,浅谈C语言整型与浮点型转换
  2. DL之BM:BM的前世今生
  3. 软件性能-概念、关注点、术语
  4. python查询mysql表名字动态日期_Python之路day11作业-MySQL表查询
  5. 【SDOI2014】数表【莫比乌斯反演】【树状数组】
  6. 使用c++制作微服务计算服务
  7. python爬取王者_python 爬取王者荣耀高清壁纸
  8. android rsa最大加密明文大小_Android 登录密码信息进行RSA加密示例
  9. (转)思科VPP源码分析(feature机制分析)
  10. 手把手教你做一个Excel 2007数据透视表(有图有真相)
  11. [视频相关2]网址解析接口
  12. 笔记1——海康威视摄像头关闭声音
  13. 大写锁定怎么解除(笔记本大写锁定怎么解除)
  14. MySQL数据库笔记——进阶篇
  15. 数据结构 —— 队列、栈、链表的区别
  16. Windows下安装openvino问题汇总
  17. ryu-manager报错SyntaxError: invalid syntax
  18. 区块链技术应用落地 区块链助力中小企业融资
  19. 来了,Chrome Canary 版新增网页广告屏蔽功能
  20. html自定义动画让元素下落,jQuery实现的模仿雨滴下落动画效果

热门文章

  1. C++基础部分_C++文件操作_二进制文件的读操作---C++语言工作笔记079
  2. Element-UI-主页面---Element-UI工作笔记007
  3. Sharding-Sphere,Sharding-JDBC_分库分表(垂直分库_垂直分表)_Sharding-Sphere,Sharding-JDBC分布式_分库分表工作笔记003
  4. Sentinel流控规则_QPS直接失败_分布式系统集群限流_线程数隔离_削峰填谷_流量控制_速率控制_服务熔断_服务降级---微服务升级_SpringCloud Alibaba工作笔记0033
  5. SpringCloud学习笔记015---Spring Boot集成RabbitMQ发送接收JSON
  6. 车牌识别训练出现问题
  7. JAVA Reflection(反射机制)续
  8. 面试题(用栈代替队列的操作和原生map实现)
  9. 掌握 Linux 调试技术
  10. linux 按照特定字符换行_在Linus Torvalds建议之后内核淘汰80个字符长度限制