企业网络安全方案.docx
《企业网络安全方案.docx》由会员分享,可在线阅读,更多相关《企业网络安全方案.docx(6页珍藏版)》请在冰点文库上搜索。
企业网络安全方案
2022年企业网络安全方案
企业网络平安方案
为了确保我们的努力取得实效,预先制定方案是必不行少的,方案指的是为某一次行动所制定的安排类文书。
那么大家知道方案怎么写才规范吗?
下面是我细心整理的企业网络平安方案,仅供参考,欢迎大家阅读。
企业网络平安方案1
三、定制密码。
应当更改路由器出厂设置的默认密码。
假如你让黑客知道了所用路由器的型号,他们就会知道路由器的默认密码。
而假如配置软件供应了允许远程管理的选项,就要禁用这项功能,以便没有人能够通过互联网限制路由器设置。
四、隐藏路由器名字。
选择了一个平安的名字后,就要隐藏路由器名字以免广播,这个名字又叫服务集标识符(SSID)。
一旦你完成了这了步,路由器就不会出现在你所在地区的路由器广播列表上,邻居及黑客因而就看不见你的无线网络。
以后你照样可以广播信号,而黑客须要困难的设备才能确定你有没有无线网络。
五、限制网络访问。
应当运用一种名为MAC地址过滤的方法(这与苹果公司的Mac机毫无关系),防止XX的计算机连接到你的无线网络。
为此,首先必需查明允许连接到你网络上的每一台计算机的介质访问限制(MAC)地址。
全部计算机统一采纳12个字符长的MAC地址来标识。
想查看你的那些计算机,点击“起先”,然后点击“运行”,输入cmd后点击“确定”。
这时就会打开带DOS提示符的新窗口。
输入ipconfig/all,按回车键,即可查看全部计算机网卡方面的信息。
“物理地址”(PhysicalAddress)这一栏显示了计算机的MAC地址。
一旦你拥有了授权MAC地址的列表,可以运用安装软件来访问路由器的MAC地址限制表。
然后,输入允许连接至网络的每一台计算机的MAC地址。
假如某个计算机的MAC地址没有出现在该列表上,它就无法连接到你的路由器和网络。
请留意:
这并非万无一失的平安方法。
阅历老到的黑客可以为自己的计算机设定一个虚假的MAC地址。
但他们须要知道你的授权计算机列表上有哪些MAC地址。
缺憾的是,因为MAC地址在传输时没有经过加密,所以黑客只要探测或监控你网络上传输的数据包,就能知道列表上有哪些MAC地址。
所以,MAC地址过滤只能应付黑客新手。
不过,假如你打消了黑客的念头,他们可能会放过你的网络,改而攻击没有过滤MAC地址的网络。
六、选择一种平安的加密模式。
为无线网络开发的第一种加密技术是有线对等保密(WEP)。
全部加密系统都运用一串字符(名为密钥)对数据进行加密及解密。
为了对网络上广播的数据包进行解密,黑客必需弄清晰相关密钥的内容。
密钥越长,供应的加密机制就越强。
WEP的缺点在于,密钥长度只有128位,而且从不改变,这样黑客就比较简单密钥。
近些年来开发的无线保真爱护接入2(WPA2)克服了WEP的部分缺陷。
WPA2运用256位的密钥,只适用于最新款式的路由器上,它是目前市面上大的加密机制。
数据包在广播过程中,WPA2加密密钥不断改变。
所以黑客想通过探测数据包来WPA2密钥,那纯粹是在奢侈时间。
因而,假如你的路由器比较新,也供应了加密选项,就应当选择WPA2,而不是选择WEP。
请留意:
WPA1适用于大企业,配置起来比较困难;WPA2适用于小公司和个人,有时被称为WPA—PSK(预共享密钥)。
WPA2消退不了全部风险。
用户登录到WPA2无线网络时会出现的风险。
为了获得访问权,用户必需供应名为预共享密钥的密码。
系统管理员在构建设置网络时,在每个用户的计算机上设好了这个密钥。
假如用户试图接入网络,黑客就会试图监控这个过程,从中预共享密钥的值。
一旦他们得逞,就能连接至网络。
幸运的是,预共享密钥的长度可在8个至63个字符之间,可以包含特别字符和空格。
为了尽量提高平安系数,无线网络上的密码应当包含63个字符,包括词典中查不到的随机组合。
这个网站可以生成随机的63个字符密码,你可以干脆拿来作为网络客户机和路由器的密码。
假如你运用了63个随机字符,黑客至少须要100万年的时间,才能出你的密码。
想知道任何长度的密码须要多少时间,可以访问。
七、限制广播区。
应当把路由器放在你所在大楼的中心,远离窗口或者大楼的四边。
这样一来,就可以限制路由器的广播区。
然后,带着笔记本电脑在大楼外面转一圈,看看能不能从旁边的停车场或街道收到路由器的信号。
一般来说,黑客运用的设备到达不了无线网络,他们也就无法闯入。
有些路由器让你能够限制广播的信号强度。
假如你有这个选项,就要把路由器的信号减弱到所须要的最弱强度。
可以考虑在晚上及不运用的其他时间段禁用无线路由器。
没必要关闭网络或Web服务器,只要拨下路由器的电源插头就行了。
这样既不会限制内部用户对网络的访问,也不会干扰一般用户运用你的网站。
八、考虑运用高级技术。
假如你看了本文之后,确定升级路由器,不妨考虑把原来的那只路由器用作蜜罐(honeypot)。
这其实是伪装的路由器,是为了吸引及挫败黑客而设置的。
只要插入原来的那只路由器,但不要把它与任何计算机连接起来。
把该路由器命名为Confidential,不要把SSID隐藏起来,而是要广播它。
九、实行主动。
不要坐以待毙。
采纳上述方法来爱护贵公司及数据、远离入侵者。
要熟识你所用路由器的种种选项,并且主动设置到位。
企业网络平安方案2
你不肯定非得是系统专家、才能更有效地爱护自己防范黑客。
很难阻挡黑客访问像电子信号这种看不见、摸不着的东西。
这就是为什么爱护无线网络平安始终颇具挑战性。
假如你的无线网络担心全,贵公司及数据就面临很大的风险。
那样,黑客们或许能够监控你访问了哪些网站,或者查看你与业务合作伙伴交换了哪些信息。
他们说不定还能登录到你的网络上、访问你的文件。
虽然无线网络始终简单受到黑客入侵,但它们的平安性还是得到了大大增加。
下面这些方法旨在帮你提高平安系数。
一、安装平安的无线路由器。
这个设备把你网络上的计算机连接到互联网。
请留意:
不是全部路由器都是天生一样的。
至少,路由器须要具有以下三种功能:
(1)支持最不简单被的密码;
(2)可以把自己隐藏起来,防止被网络外面XX、过于新奇的人望见;以及(3)防止任何人通过XX的计算机进入网络。
本文以BelkinInternational公司生产的路由器为例。
它和其他公司生产的'类似路由器广泛应用于如今的网络中。
它们的设置过程特别相像。
本文举荐的一些方法适用于这类设备。
请留意:
款式较老或价格较低的路由器可能供应不了同样的功能。
二、选择平安的路由器名字。
可以运用生产厂商的配置软件来完成这一步。
路由器的名字将作为广播点(又叫热点),你或试图连接至路由器广播区范围之内的无线网络的任何人都看得见它。
不要把路由器的品牌名或型号(如Belkin、Linksys或AppleTalk)作为其名字。
那样的话,黑客很简单找出路由器可能存在的平安漏洞。
同样,假如把你自己的姓名、住址、公司名称或项目团队等作为路由器的名字,这无异于帮助黑客猜出你的网络密码。
你可以通过这个方法来确保路由器名字的平安:
名字完全由随机字母和数字或者不会透露路由器型号或你身份的其他任何字符串组成。
企业网络平安方案3
扩展型企业的概念给IT平安组合带来越来越严峻的问题,因为它们的敏感数据和有价值的数据常常会流出传统网络边界。
为了爱护企业不受多元化和低端低速可适应性的长久威逼,IT企业正在部署各种各样的新型网络平安设备:
下一代防火墙、IDS与IPS设备、平安信息事务管理(SIEM)系统和高级威逼检测系统。
志向状况下,这些系统将集中管理,遵循一个集中平安策略,隶属于一个普遍爱护战略。
然而,在部署这些设备时,一些企业的常见错误会严峻影响他们实现普遍爱护的实力。
本文将介绍在规划与部署新型网络平安设备时须要留意的问题,以及如何避开可能导致深度防卫失败的相关问题。
不要迷信平安设备
一个最大的错误是假定平安设备本身是平安的。
表面上这好像很简单理解,但是肯定要坚持这个立足点。
所谓的"增加"操作系统究竟有多平安?
它的最新状态是怎样的?
它运行的"超稳定"Web服务器又有多平安?
在起先任何工作之前,肯定要创建一个测试安排,验证全部网络平安设备都是真正平安的。
首先是从一些基础测试起先:
您是否有在各个设备及其支持的网络、服务器和存储基础架构上按时升级、安装补丁和修复Bug?
在依据一些记录当前已知漏洞信息的资料交换中心(如全国漏洞数据库)的数据进行检查,肯定要定期升级和安装设备补丁。
然后,再转到一些更难处理的方面:
定期评估多个设备配置的潜在弱点。
加密系统和应用交付优化(ADO)设备的部署依次不当也会造成数据泄露,即使各个设备本身能够正常工作。
这个过程可以与定期执行的渗透测试一起进行。
评估网络平安设备的运用方式
对于随意平安设备而言,管理/限制通道最简单出现漏洞。
所以,肯定要留意您将要如何配置和修改平安设备--以及允许谁执行这些配置。
假如您打算通过Web阅读器访问一个平安系统,那么平安设备将运行一个Web服务器,并且允许Web流量进出。
这些流量是否有加密?
它是否运用一个标准端口?
全部设备是否都运用同一个端口(因此入侵者可以轻松揣测到)?
它是通过一个一般网络连接(编内)还是独立管理网络连接(编外)进行访问?
假如属于编内连接,那么任何通过这个接口发送流量的主机都可能攻击这个设备。
假如它在一个管理网络上,那么至少您只须要担忧网络上的其他设备。
(假如它配置为运用串口连接和KVM,则更加好。
)最佳场景是这样:
假如不能干脆访问设备,则保证全部配置改变都必需运用加密和多因子身份验证。
而且,要紧密跟踪和限制设备管理的身份信息,保证只有授权用户才能获得管理权限。
应用标准渗透测试工具
假如您采纳了前两个步骤,那么现在就有了很好的起先--但是工作还没做完。
hacker、攻击和威逼载体仍旧在不断地增长和发展,而且您必需定期测试系统,除了修复漏洞,还要保证它们能够抵抗已发觉的攻击。
那么,攻击与漏洞有什么不同呢?
攻击是一种特地攻破漏洞的有意行为。
系统漏洞造成了攻击可能性,但是攻击的存在则增加了它的危害性--漏洞暴露从理论变为现实。
渗透测试工具和服务可以检查出网络平安设备是否简单受到攻击的破坏。
一些开源工具和框架已经出现了很长时间,其中包括NetworkMapper(Nmap)、Nikto、开放漏洞评估系统(OpenVulnerabilityAssessmentSystem,OpenVAS)和Metasploit.当然,也有许多的商业工具,如McAfee(可以扫描软件组件)和Qualys的产品。
这些工具广泛用于标识网络设备处理网络流量的端口;记录它对于标准测试数据包的响应;以及通过运用OpenVAS和Metasploit测试它面对一些常见攻击的漏洞状况(更多出现在商业版本上)。
其他渗透测试工具则主要关注于Web服务器和应用,如OWASPZedAttackProxy(ZAP)和Arachni.通过运用标准工具和技术,确定平安设备的漏洞--例如,通过一个Web管理接口发起SQL注入攻击,您就可以更清楚地了解如何爱护网络平安设备本身。
在部署网络平安设备时降低风险
没有任何东西是完备的,因此没有任何一个系统是毫无漏洞的。
在部署和配置新网络平安设备时,假如没有应用恰当的预防措施,就可能给环境带来风险。
实行正确的措施爱护设备,将爱护基础架构的其他部分,其中包括下面这些常常被忽视的常见防范措施:
修改默认密码和帐号名。
禁用不必要的服务和帐号。
保证根据制造商的要求更新底层操作系统和系统软件。
限制管理网络的管理接口访问;假如无法做到这一点,则要在上游设备(交换机和路由器)运用ACL,限制发起管理睬话的来源。
由于攻击也在进化,所以要定期检查渗透测试。
要保持OpenVAS和Metasploit等工具的更新,而且它们可以运用的攻击库也在稳步增长。
基线是什么呢?
制定一个普遍爱护策略只是起先。
要爱护现在漫无边际增长的设备和数据,您须要三样东西:
一个普适爱护策略、实现策略的工具与技术及保证这些工具与技术能够实现最大爱护效果的政策与流程。
全部政策与流程既要考虑网络平安设备本身(个体与整体)的漏洞,也要考虑特地针对这些漏洞且不断发展改变的攻击与威逼载体。
升级会员 