防范內(nèi)部人員從五個(gè)途徑破壞網(wǎng)絡(luò)

dbn9981 2022-03-16

展開全文

　　內(nèi)部人員由于工作便利，往往會(huì)對(duì)企業(yè)網(wǎng)絡(luò)造成更大的破壞，并且很難監(jiān)控。該如何防止來自公司內(nèi)部人員的安全攻擊事件發(fā)生呢？本文分析了五種常見的途徑。
　　不久前，Cox通信公司的員工William Bryant故意破壞信息技術(shù)，導(dǎo)致該公司成千上萬個(gè)商業(yè)和居民用戶無法使用計(jì)算機(jī)、電信和911急救服務(wù)。雖然Bryant面臨10年有期徒刑和25萬美元罰款的下場(chǎng)，可對(duì)Cox公司來說，雖然其服務(wù)已經(jīng)完全恢復(fù)，但對(duì)其名譽(yù)造成的不利影響卻難以預(yù)測(cè)。
　　Cox案例，加上最近披露的美國(guó)宇航局、埃森哲、服裝零售商蓋普（Gap）和美可保健集團(tuán)（Medco）等多家機(jī)構(gòu)發(fā)生的安全事件為我們敲響了警鐘：內(nèi)部人員會(huì)帶來各種安全威脅。數(shù)據(jù)被偷和故意破壞會(huì)帶來慘重?fù)p失，與法規(guī)遵從有關(guān)的問題、巨額的法律訴訟費(fèi)、工作效率受影響等問題，可能造成的嚴(yán)重的后果――讓公司名譽(yù)掃地！
　　計(jì)算機(jī)安全學(xué)會(huì)（CSI）的最新調(diào)查顯示，內(nèi)部人員的威脅增加了17%；德勤會(huì)計(jì)師事務(wù)所與《CSO》雜志的近期調(diào)查同樣表明了這一趨勢(shì)。隨著IT和通信系統(tǒng)越來越復(fù)雜，需要管理這些系統(tǒng)的員工、承包商和托管服務(wù)提供商的數(shù)量也隨之增多。這些內(nèi)部人員對(duì)公司關(guān)鍵網(wǎng)絡(luò)的訪問常常不受限制、不受監(jiān)控，威脅猛增也就不足為奇。
　　因此，公司要像對(duì)待外部人員那樣嚴(yán)密監(jiān)控內(nèi)部人員。不過由于內(nèi)部人員擁有完成工作所需的較高的訪問權(quán)限，因此，對(duì)內(nèi)部人員進(jìn)行監(jiān)控難度很大。以下介紹內(nèi)部人員用來訪問網(wǎng)絡(luò)資源的五種最常見方法，并提醒IT人員采取措施防范隱含的威脅。
　　
　　途徑一：
　　通過調(diào)制調(diào)解器
　　
　　由于調(diào)制調(diào)解器缺乏集中管理，并且采用易于猜中的靜態(tài)密碼，因此，熟悉網(wǎng)絡(luò)知識(shí)的內(nèi)部人員很容易通過調(diào)制調(diào)解器進(jìn)入公司網(wǎng)絡(luò)。許多IT人員采取在不用調(diào)制調(diào)解器時(shí)撥掉電源的土辦法來解決這個(gè)問題。但如果撥掉電源，它們也就不可能發(fā)揮預(yù)期的作用――即遇到緊急事件或者停電時(shí)遠(yuǎn)程恢復(fù)關(guān)鍵系統(tǒng)。
　　由于調(diào)制調(diào)解器必不可少，企業(yè)必須把用來保護(hù)其他遠(yuǎn)程網(wǎng)絡(luò)入口點(diǎn)的安全和身份確認(rèn)措施同樣運(yùn)用于調(diào)制調(diào)解器中。因此，公司可以對(duì)調(diào)制調(diào)解器同樣采取雙因子驗(yàn)證措施，或者用內(nèi)置多因子驗(yàn)證機(jī)制的更安全的調(diào)制調(diào)解器換掉舊設(shè)備。
　　
　　途徑二：
　　通過開放的文件傳輸
　　大多數(shù)公司使用開放的文件傳輸來給網(wǎng)絡(luò)基礎(chǔ)設(shè)施打補(bǔ)丁。內(nèi)部技術(shù)人員和供應(yīng)商可利用這種訪問途徑，診斷故障、打上相應(yīng)補(bǔ)丁或者糾正問題。不過，他們也可能會(huì)濫用這種自由，更改文件、刪除關(guān)鍵組件、甚至破壞系統(tǒng)，從而導(dǎo)致系統(tǒng)無法運(yùn)行、網(wǎng)站被篡改、數(shù)據(jù)被偷及其他破壞。
　　一些滿腹牢騷或者被解雇的員工可能具有從事上述破壞活動(dòng)的知識(shí)和動(dòng)機(jī)。連本意是好的員工也有可能粗心大意，無意中犯錯(cuò)誤。因此，保護(hù)信息資產(chǎn)需要控制誰能夠上傳及下載文件，還要把系統(tǒng)出現(xiàn)的所有更改、誰作了更改等信息，清楚地記錄下來，以便于調(diào)閱。
　　過去，限制及監(jiān)控開放的文件傳輸要求對(duì)每臺(tái)機(jī)器設(shè)置單獨(dú)的許可，這給IT部門帶來了麻煩。供應(yīng)商訪問與控制（VAC）系統(tǒng)等新技術(shù)能夠限制訪問、監(jiān)控活動(dòng)――既可針對(duì)整個(gè)公司，也可針對(duì)特定的系統(tǒng)。
　　
　　途徑三：
　　開放的Telnet和SSH端口
　　借助第三方遠(yuǎn)程訪問系統(tǒng)及診斷故障的公司應(yīng)當(dāng)合理保護(hù)或者關(guān)閉Telnet和SSH端口。因?yàn)?，遠(yuǎn)程技術(shù)人員只要一個(gè)內(nèi)部的IP地址，就能利用這兩個(gè)端口悄悄進(jìn)入公司網(wǎng)絡(luò)中。
　　想當(dāng)然地以為技術(shù)人員對(duì)IP地址分配方案了解有限是很危險(xiǎn)的。此外，基礎(chǔ)設(shè)施設(shè)備常常共享一個(gè)容易猜中的密碼，這樣一來，內(nèi)部人員很容易訪問未授權(quán)的設(shè)備。
　　建議公司限制第三方通過Telnet或者SSH對(duì)系統(tǒng)訪問，不得超出服務(wù)的通常范圍，除非這種訪問被記錄下來，或者對(duì)方在貴公司工作人員陪同的情況下進(jìn)行訪問。另一個(gè)辦法是，使用中間系統(tǒng)為這些訪問建立代理服務(wù)器，這增加了控制及跟蹤級(jí)別。
　　
　　途徑四：
　　通過服務(wù)器控制臺(tái)端口
　　技術(shù)人員經(jīng)常在路由器和Linux/Unix服務(wù)器上，連接到串行控制臺(tái)端口。為了提供可擴(kuò)展的訪問服務(wù)，公司通常會(huì)使用終端服務(wù)器連接到串行控制臺(tái)端口。不過在默認(rèn)情況下，終端服務(wù)器具有極低的安全性。
　　內(nèi)部人員只要獲得對(duì)一臺(tái)終端服務(wù)器的訪問權(quán)，就可能訪問或破壞成千上萬個(gè)系統(tǒng)。正因?yàn)槿绱?，建議公司應(yīng)當(dāng)經(jīng)常檢查終端服務(wù)器的安全功能，并且在存放敏感數(shù)據(jù)（如財(cái)務(wù)記錄、客戶數(shù)據(jù)和人力資源信息）的系統(tǒng)的控制臺(tái)端口外面放置安全設(shè)備。
　　
　　途徑五：
　　未加監(jiān)控的外聯(lián)網(wǎng)流量
　　外聯(lián)網(wǎng)為許多公司提供了方便，讓公司可以向供應(yīng)商、客戶、合作伙伴開放自己的網(wǎng)絡(luò)，支持實(shí)時(shí)協(xié)作。如果與外部人員共享的系統(tǒng)數(shù)量少，這些系統(tǒng)上的授權(quán)級(jí)別又能得到嚴(yán)格控制，外聯(lián)網(wǎng)（如IPSec、SSL和遠(yuǎn)程桌面）的使用效果會(huì)相當(dāng)好。但是，外聯(lián)網(wǎng)也可能會(huì)成問題，因?yàn)橐苍S要訪問多個(gè)系統(tǒng)，或者必須授予接入者高級(jí)別的權(quán)限，公司常常無意中授予訪問者過大的訪問權(quán)，而訪問活動(dòng)也無法受到密切監(jiān)視及控制。
　　雖然許多第三方提供商值得信任，但應(yīng)該認(rèn)為這是有風(fēng)險(xiǎn)的。不管訪問網(wǎng)絡(luò)的是公司員工還是第三方提供商。內(nèi)部人員可能濫用網(wǎng)絡(luò)、可能犯錯(cuò)誤，也有可能偷取數(shù)據(jù)。加強(qiáng)安全意識(shí)，并且采取幾項(xiàng)保護(hù)措施，能夠降低風(fēng)險(xiǎn)。(清水編譯)

本站是提供個(gè)人知識(shí)管理的網(wǎng)絡(luò)存儲(chǔ)空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請(qǐng)注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購(gòu)買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自： dbn9981 > 《待分類1》

舉報(bào)/認(rèn)領(lǐng)