內網(wǎng)安全的六大弊病

　　內網(wǎng)安全管理對于企業(yè)來說變得愈加的重要，一個企業(yè)的安全問題影響著企業(yè)各方面的發(fā)展，我們對于企業(yè)的分析就從企業(yè)的安全設計談起，看看在此方面上都存在哪些內容。

　　弊病一：客戶端補丁升級依賴于員工的自覺

　　現(xiàn)在企業(yè)中大部分用戶采用的都是Windows客戶端。而這個客戶端的特點就是補丁特別的多，包括IE補丁、Offcie辦公軟件補丁等等。如果不及時打上補丁的話，則很容易病毒利用，成為其傳播的便捷渠道。不過可惜的是，有不少的IT 負責人不重視補丁方面的管理與控制。如有些管理員，純粹依靠用戶的自覺，來進行補丁的管理。如在客戶端上通過自動更新服務來對給系統(tǒng)打補丁。采取這個操作是，需要客戶端用戶的手工操作。如需要進行手工確認是否需要進行補丁升級、升級完成后可能還需要重新啟動等等。現(xiàn)實的情況是有些用戶認為這么操作比較麻煩，為此都不會自覺的去升級補丁。如此的話，就給內網(wǎng)的安全造成了比必要的安全隱患。

　　為此筆者建議，對于補丁的管理，最好采取統(tǒng)一的解決方案。如微軟有一個補丁管理的工具，可以在服務器上控制強制對客戶端系統(tǒng)打補丁。如在下次啟動之前給系統(tǒng)自動打補丁等等。這么設計即可以保障內部網(wǎng)絡的安全，也可以對用戶的不利影響降至到最低?？傊P者認為，最好不要將補丁更新的權利交給用戶。大部分用戶并不會正確行使這個權力。

　　弊病二：自簽名證書不兼容會惹禍

　　IE瀏覽器一直是微軟操作系統(tǒng)與服務器的安全重災區(qū)。其中用戶的不正確設置是其總要的一個原因。微軟為了改善這種情況，在微軟的一些產(chǎn)品中，如Exchange中加入了自簽名證書。簡單的說，就是當企業(yè)用戶沒有采取任何安全措施的話，那么系統(tǒng)就會自動啟用自簽名證書，以啟用一定的安全加密機制，如SSL加密等等。

　　這種默認的安全措施在一定程度上提高了系統(tǒng)應用的安全性。特別是對于那些沒有安全觀念的用戶來說，能夠啟動不少的幫助。但是到現(xiàn)在為止，這個自簽名證書的作用只限于微軟的產(chǎn)品。如企業(yè)現(xiàn)在使用的是Exchange的服務器，然后采用IE瀏覽器去訪問這個郵箱的話，沒有問題。但是如果采用其他的瀏覽器去訪問的話，就可能會出現(xiàn)不兼容的問題。如瀏覽器會提示用戶系統(tǒng)并不信任這一類的證書。有些管理員為了減少這種麻煩，就索性將自簽名證書的功能也禁用掉。這無疑減弱了企業(yè)內部網(wǎng)絡服務器的安全性。

　　弊病三：不注重后續(xù)的追蹤

　　有不少的企業(yè)，在網(wǎng)絡設計與組建時，非常關注企業(yè)內部網(wǎng)絡的安全。如禁用不必要的服務、禁止使用移動設備等等。但是在這方面他們也存在著一定的誤區(qū)。就是非常重視前期的設計與配置，但是卻缺少后續(xù)的追蹤機制。

　　如對于文件服務器來說，企業(yè)可能有比較安全的權限訪問機制等安全措施。但是卻缺少訪問審核機制。也就是說無法判斷這個安全措施是否到位，也無法分析用戶是否存在著越權的訪問。在這種情況下，可能只有在最后出現(xiàn)問題的時候，才能夠發(fā)現(xiàn)這方面的不足。筆者建議，在前期做好安全設計與相關的配置固然重要，但是在后續(xù)日常工作中也需要最好追蹤分析的工作。當發(fā)現(xiàn)原有的配置跟不上企業(yè)安全的需求時，需要進行及時的調整。如對于文件服務器來說，可以啟用審計功能。將用戶的未經(jīng)授權的訪問都記錄在案。然后對這個數(shù)據(jù)進行分析，以判斷用戶可能的攻擊行為。

　　弊病四：沒有使用逆向代理來減少端口的開銷

　　隨著企業(yè)信息化管理的普及，現(xiàn)在企業(yè)越來越不滿足于內部用戶使用企業(yè)的信息化系統(tǒng)。如有些企業(yè)可能會在外地開設辦事處。企業(yè)就希望這些辦事處的人員也能夠訪問企業(yè)內部的服務器。再如為了出差在外的員工工作的方便，也允許他們從公共網(wǎng)絡連接企業(yè)內部的服務器。

　　如果要允許企業(yè)內部的服務器被外部用戶通過互聯(lián)網(wǎng)進行訪問，那么就必須要在防火墻上開啟多個端口。而這種情形就會增加企業(yè)內部的安全隱患。道理很簡單，這就好像是開一幢房子開了多個門。管理員無法兼顧到多個門的安全。如企業(yè)部署了微軟的即時通信套件。如果需要允許外部用戶使用這個即時通信服務器的話，那么就需要在防火墻上開啟十幾個端口。這無疑大大降低了企業(yè)內部網(wǎng)絡的安全性。當遇到這種情況是，筆者建議使用逆向代理機制。逆向代理的服務器一般位于互聯(lián)網(wǎng)和本地需要開發(fā)多個端口的服務器之間，基本上跟防火墻服務器是并列的。采用逆向代理的話，可以讓服務器在進入外網(wǎng)前先隱藏起來，同時還可以保障外部的惡意請求不會到達服務器。在安全方面，跟NAT技術有異曲同工之妙。不過從管理成本與性能開銷上來說，要比NAT服務器低很多。

　　弊病五：在同一個服務器上部署過多的應用程序

　　在同一個服務器上部署多個應用程序，這種情況在企業(yè)中也是司空見慣的事情。這雖然可以在一定程度上降低企業(yè)信息化部署的成本，但是也增加了服務器的安全隱患。假設現(xiàn)在一家企業(yè)的一個服務器上部署了三種應用，此時包括操作系統(tǒng)在內的話，其實就有四種信息化系統(tǒng)。如果一種信息化系統(tǒng)存在2個安全漏洞的話，那么這臺服務器現(xiàn)在就有了8個漏洞。如果沒有采取嚴格安全措施的話，那么攻擊者只要利用其中的任何一個漏洞，就有可能竊取服務器上的內容，甚至控制服務器。

　　這就好像一條鏈條。如果鏈條上的一個個環(huán)越多，其安全性能相對來說就越差。因為任何一個環(huán)斷掉的話，整條鏈條就會報廢掉。而環(huán)越多的話，則出現(xiàn)斷掉的可能性就會越大?？偟膩碚f，企業(yè)如果需要在一臺服務器上部署多個應用程序并不是不行，但是在數(shù)量上需要有所限制。一般情況下不要超過三個。同時對于一些重要的應用，如數(shù)據(jù)庫等的功能，最好采取單獨的應用服務器，以保障其安全。而且還需要采取一些必要的措施，如虛擬CPU等技術，來給多個應用程序提供相對獨立的工作環(huán)境。

　　弊病六：對郵件等需要授權的訪問沒有采取SSL加密機制

　　企業(yè)中不少的信息化系統(tǒng)需要授權才能夠進行訪問。如對于郵件系統(tǒng)，用戶只能夠訪問自己的郵箱。對于文件服務器，也只能夠訪問授權允許訪問的文件。而這些控制，基本上都是通過用戶名與密碼來進行限制的。

　　在內部網(wǎng)絡中，先主要采用的是HTTP與HTTPS兩種訪問機制。前者HTTP其特點是對于傳輸中的數(shù)據(jù)沒有進行任何的加密措施。即用戶名與密碼在網(wǎng)絡中都是明文傳輸?shù)?。如此的話，通過網(wǎng)絡嗅探器等工具，就可以輕而易舉的竊取到用戶的用戶名與密碼。從而進行破壞活動。而如果用戶名與密碼信息泄露的話，最好的安全措施也無濟于事。筆者的建議是，對于一些重要的應用，如郵件、文件服務器等等，最好采用HTTPS協(xié)議。這個協(xié)議的特點是在數(shù)據(jù)傳輸過程中采用SSL加密機制對數(shù)據(jù)進行加密，以確保用戶名與密碼的安全。

　　內網(wǎng)安全管理中的內容很復雜，很廣泛，文章就知識介紹了幾種弊病，供大家參考。但是這絕對是比較經(jīng)典的一些問題。各位可以針對企業(yè)自己的實際情況，來進行自我檢查。對于內部網(wǎng)絡安全來說，要重在預防。