六策略捍衛(wèi)網(wǎng)絡安全

引言： 為實現(xiàn)全面的信息安全，企業(yè)必須從六方面入手實施網(wǎng)絡安全防御策略，即：阻止、檢測、防御、誘騙、記錄、拖延。利用這六大策略可以為企業(yè)的網(wǎng)絡安全計劃構建一種整體化的方法，從而可以極大地減少風險。

為實現(xiàn)全面的信息安全，企業(yè)必須從六方面入手實施網(wǎng)絡安全防御策略，即：阻止、檢測、防御、誘騙、記錄、拖延。利用這六策略可以為企業(yè)的網(wǎng)絡安全計劃構建一種整體化的方法，從而可以極大地減少風險。

阻止

構建防御性的措施可以有效地阻擊黑客并保護網(wǎng)絡。任何管理者都不可輕視使用這種技術來阻止攻擊者引起嚴重的問題。

對網(wǎng)絡安全新手來說，尤其需要注意的是，不要使面向公眾的系統(tǒng)自動返回過于詳細的錯誤消息，防止攻擊者利用這些信息來對付企業(yè)。例如，在用戶輸錯了口令時，不要顯示“不正確的口令”，因為這可以使攻擊者知道其輸入的用戶名是真實存在的。此時，系統(tǒng)應顯示“不正確的用戶名或口令”之類的消息。如果攻擊者猜中了用戶名，系統(tǒng)給出這種消息，特權賬戶將會獲益。

安全管理者還應當實施賬戶鎖定策略：對于連續(xù)多次輸入錯誤口令的用戶應進行鎖定。安全系統(tǒng)應在一段時間之后才允許其訪問，或者在管理員解開其鎖定后才準許訪問。這可以防止攻擊者在短時間內(nèi)猜測大量的口令組合，還可以防止其在被鎖定后的再次嘗試。對于特權賬戶來說，這種做法尤其有用，因為這種賬戶最有可能成為蠻力攻擊的目標。

進一步的措施是，我們可以限制在一定周期內(nèi)從單一IP地址登錄的嘗試次數(shù)，從而防止口令猜測攻擊。如果攻擊者僅猜測了五次管理員的口令，他一般將沒有機會得到正確的口令。他必須在下一個周期才能嘗試猜測，如此反復。由此，攻擊者自己就會偃旗息鼓，并且往往會轉而選擇下一個更容易的目標。也許我們無法做到阻止所有攻擊的發(fā)生，但卻可以阻止攻擊者的進程。

檢測

部署自動化的入侵檢測系統(tǒng)（無論是部署基于網(wǎng)絡的還是基于主機的）是一個好主意，但監(jiān)視日志并查看異常行為也非常重要。

來自可疑IP地址的連接、在不正常時間的登錄、大量的登錄企圖等都有可能表明攻擊者正試圖進入，或者已經(jīng)取得了網(wǎng)絡的訪問權。對于檢測可疑行為來說，審計和警告都非常重要。例如，通過檢查日志并看到管理員賬戶有大量失敗的登錄企圖，我們可以判定管理員賬戶正遭受蠻力攻擊。在檢測可疑行為時，掌握特定時間的正常通信的參考資料是很有益的。通過前后比較，管理員就可以注意到數(shù)據(jù)中的異常。

防御

在信息安全問題上，防御既有被動的一面又有主動的一面。在網(wǎng)絡及其連接系統(tǒng)之間建立強健的防御，往往要從保持軟件和操作系統(tǒng)的補丁最新開始。這可以確保企業(yè)修復已知的漏洞，并限制攻擊者用于進入系統(tǒng)的攻擊媒介。

然而，如果攻擊者成功進入了網(wǎng)絡，就要采取應對措施了。通過防火墻阻止攻擊者的IP地址就是很好的選擇。更為重要的是，要注意到攻擊者的目標是什么，例如， 如果攻擊者正在利用一個潛在的漏洞攻擊一臺Web服務器，就要在挫敗其進入的企圖后，確保修補漏洞，保證其不易受到其攻擊。攻擊者有可能日后用一個不同的 IP地址登錄，并有可能繼續(xù)實施同樣的攻擊。如果攻擊者試圖猜測特權賬戶的口令，你應當考慮更改特權賬戶的名字，使公眾無法看到此名字。由此，由于攻擊者需要猜測用戶名，所以其猜測口令的難度也會極大增加。

誘騙

如果攻擊者正在對付的是一臺虛假的系統(tǒng)，而非擁有真實數(shù)據(jù)的系統(tǒng)，那將是非常不錯的部署。我們需要做是就是搭建一個蜜罐，其中的虛假系統(tǒng)保存的是虛假的敏感數(shù)據(jù)，目的是為了吸引攻擊者，使其遠離企業(yè)的真實數(shù)據(jù)。蜜罐技術在當今廣泛使用。

通過用有吸引力的數(shù)據(jù)和較低水平的安全，系統(tǒng)管理員就可以監(jiān)視攻擊者在蜜罐上的行為，同時用防火墻隔離和保護網(wǎng)絡的其余部分。蜜罐有多種形式，其維護成本和模仿真實機器的有效性也不同。蜜罐的成本依賴于企業(yè)對于發(fā)生在蜜罐內(nèi)部的行為進行監(jiān)視的數(shù)量期望。

記錄

不管攻擊是否成功地造成破壞，企業(yè)都應當記錄事件。即使是看似無關緊要的小事件，將其記錄在案也非常重要。

在事件發(fā)生時，我們應當記錄如下類型的信息：

1.連接到機器的IP地址，也就是攻擊者的機器是什么。2.遭受攻擊的服務器的地址是什么？3.攻擊類型是什么？4.攻擊發(fā)生的日期和時間。5.由事件產(chǎn)生的日志有哪些。

我們可以利用這種信息，注意到攻擊者的行為模式，根據(jù)其試圖實施的攻擊推斷出其目標，預測其下一步有可能攻擊的目標，并過濾此后的相關日志，以便查找相同類型的重復攻擊。

拖延

在攻擊者竊取敏感數(shù)據(jù)的過程中，他遭遇到的每一次阻礙都延緩其進程。所以，為防止第一層防御失效，建立多層防御很有必要。面向外部的防火墻是一個良好的開端，但許多企業(yè)為向客戶提供服務并保障業(yè)務能夠每天正常運轉，會開放一些必要的端口。那么，在攻擊者在找到突破第一層防御的方法之后，在其能夠到達敏感數(shù)據(jù)之前，企業(yè)應設置多層障礙。

訪問控制列表（ACL）可以限制誰可以在什么時間登錄到系統(tǒng)，這意味著攻擊者要想不留下失敗登錄的明顯痕跡，可能會很麻煩。

此外，復雜的長口令也是一個非?；镜牡吹玫匠浞质褂玫耐涎硬呗裕驗樗梢苑烙诹畈聹y、蠻力攻擊等。即使攻擊者取得了口令的哈希，并試圖用破解工具獲得明文口令，攻擊者也要花費更多時間，這意味著我們需要將口令設置得更復雜一些。

雖然沒有哪家公司希望使其系統(tǒng)離線，但是，如果你發(fā)現(xiàn)系統(tǒng)正遭受嚴重攻擊，就應當制定一個計劃（最好是提前制定好的計劃），規(guī)定在什么時間使其離線以及由誰發(fā)出通知。

這種做法是阻止很多攻擊的最有效方法。系統(tǒng)離線后，攻擊者就沒有辦法進入系統(tǒng)，這是最佳的拖延策略，可以使管理員首先修補造成攻擊者進入系統(tǒng)的任何漏洞，并為其節(jié)省給系統(tǒng)打補丁的大量時間。