中小企業(yè)網(wǎng)絡(luò)安全管理漏洞集

中小企業(yè)網(wǎng)絡(luò)安全管理漏洞集筆者將試圖通過幾篇文章，結(jié)合自己的工作經(jīng)驗，想窮舉企業(yè)網(wǎng)絡(luò)管理員在企業(yè)網(wǎng)絡(luò)安全管理工作中可能存在的漏洞。讓同行可以引以為戒，盡可能的避免因為網(wǎng)絡(luò)安全管理不當，而給企業(yè)帶來不必要的損失。安全漏洞一：沒有修改默認用戶名與密碼企業(yè)在部署路由器或者交換機，以及各種服務(wù)器的時候，一般為了管理的方便，廠方都會設(shè)置一個默認的用戶名與口令，最常見的如用戶名為admin，密碼也為admin或者為空。默認的用戶名與密碼，同個廠家出的都一樣，這就非常危險。稍有經(jīng)驗的網(wǎng)絡(luò)管理員，對各個廠商生產(chǎn)的不同型號的產(chǎn)品的默認用戶名與密碼都耳熟能詳。只要給出具體產(chǎn)品型號，對于其默認用戶名與密碼，他們可以說個八九不離十。所以，在部署這些設(shè)備的時候，若不修改默認用戶名與密碼，很可能就是給不法入侵者敞開了大門。1、 有時候，管理員在管理設(shè)備時，可能會開一個臨時的遠程登陸管理員帳號。如我子公司現(xiàn)在有一個Linux的文件服務(wù)器。當子公司有問題需要我出面解決的時候，我會讓他們開一個臨時具有管理員權(quán)限的帳戶，我可以通過這個帳戶遠程登陸解決。但他們給我開帳戶的時候，有時只設(shè)置帳戶沒有設(shè)置密碼，有時帳戶跟密碼一樣；再或者把原先關(guān)閉的默認管理員帳戶給開啟了，沒有修改密碼的情況下給我使用。一不小心，就可能給非法入侵者提供了一個很好的入侵機會。所以，我們在建立一些臨時性的管理員帳戶時，也要像建立永久性管理員帳戶那樣，設(shè)置比較復雜的管理員用戶與密碼，增加破解的難度。2、 企業(yè)增加無線路由設(shè)備時，沒有設(shè)置連接密碼，設(shè)置無線路由器的管理用戶與密碼為默認，沒有修改。隨著企業(yè)筆記本采用越來越廣，隨之為了工作的方便，無線路由設(shè)備采用的也越來越多。象我們公司，在會議室、會客室、培訓室等公共場所都放置了無線路由器。這使得我們需要在這些地方進行臨時性辦公或者開會的時候，上網(wǎng)非常方便。利用筆記本的無線上網(wǎng)功能，不需要再通過網(wǎng)線就可以上網(wǎng)。但這也給我們企業(yè)的網(wǎng)絡(luò)安全帶來了很大的安全隱患。如當有客戶來公司，若我們沒有給無線路由器設(shè)置訪問密碼或者沒有修改無線路由器的管理員密碼，他們可以不經(jīng)過我們允許訪問我們企業(yè)的內(nèi)部網(wǎng)絡(luò)，甚至查詢服務(wù)器上的信息。若我們只是給無線訪問設(shè)置了連接密碼，而沒有更改無線路由器的默認用戶名與密碼的話，那么這個無線路由器就會赤裸裸的顯示在人家面前，讓人家蹂躪。所以，要及時更改這些設(shè)備的默認管理員用戶與密碼。3、 VPN服務(wù)器的默認管理員與密碼若沒有修改的話，那有多危險呢？若沒有給企業(yè)的VPN服務(wù)器修改默認管理員帳戶與密碼的話，就好象沒有給廠區(qū)的大門上鎖一樣，什么人都可以進出了。那企業(yè)的網(wǎng)絡(luò)還談得上安全嗎？而且，現(xiàn)在掃描工具網(wǎng)絡(luò)上多的是。一些非法入侵者可能只需要利用這些掃描工具，花個一天時間，就能夠知道整個華南地區(qū)的企業(yè)網(wǎng)絡(luò)，其對外啟了哪些服務(wù)，有沒有安全性弱的管理員帳戶與密碼，包括你企業(yè)是否采用了VPN服務(wù)器，并且，若你服務(wù)器的管理員與密碼沒有更改的話，或者是一些純數(shù)字的簡單密碼，如123456，則這個掃描工具可以把這些信息暴露無疑。一般只有帶有OS系統(tǒng)的硬件設(shè)備，如路由器、交換機、防火墻、VPN設(shè)備等等，都有默認的用戶名與密碼。對于這些設(shè)備，我們都需要更改默認的用戶名與密碼，而且密碼設(shè)置的時候，也不能采用簡單的密碼，很容易被人破解，至少也要采用跟數(shù)字與字符結(jié)合的密碼。不要小看這個簡單的組合，破解的難度比純數(shù)字的密碼，難度要高好幾千倍。安全漏洞二：員工安全知識缺乏，沒有網(wǎng)絡(luò)安全的觀念其實，大部分企業(yè)網(wǎng)絡(luò)安全方面的問題都是由于員工的一些不恰當操作所造成的。由于他們沒有這方面的專業(yè)知識來區(qū)分網(wǎng)絡(luò)行為的的好壞，這給企業(yè)的網(wǎng)絡(luò)安全帶了了很大的漏洞。如企業(yè)員工在收到一封陌生人發(fā)來的帶有附件的郵件時，他們不會產(chǎn)生任何的懷疑，會毫不猶豫的打開郵件的附件，此時，病毒或者木馬就會乘虛而入，等帶時機。而這些情況，對于用戶來說，他們都是不知情的。所以，企業(yè)網(wǎng)絡(luò)安全管理的重點，應(yīng)該放在對員工平時網(wǎng)絡(luò)行為的管理控制上，把網(wǎng)絡(luò)安全威脅的苗頭，消除在源頭上。1、 加強對用戶權(quán)限的管理。一般的員工，不需要有操作系統(tǒng)或者服務(wù)器很高的權(quán)限。若他們的權(quán)限比較小，不能更改系統(tǒng)文件的配置，如安裝軟件或者更改注冊表、使用系統(tǒng)命令等等，那么，即使他們中木馬了，影響也是很小的。因為缺乏權(quán)限，這些木馬與病毒不會大規(guī)模的在企業(yè)內(nèi)部爆發(fā)與蔓延開來。所以，不要給企業(yè)內(nèi)部的員工賦予過高的權(quán)限。在不影響他們正常工作的前提下，一般來說，權(quán)限是越小越好。如一般的程序安裝、腳本執(zhí)行等功能都可以限制掉。從而把用戶的不理智行為所造成的損失降低到最少。2、 加強對病毒郵件的監(jiān)督力度。曾幾何時，電子郵件成為了企業(yè)員工辦公不可少的工具之一。但是，這也成為了木馬、病毒等最好的繁殖基地。如有些木馬與病毒，可以假借用戶好友的名義發(fā)送郵件給用戶?，F(xiàn)在不少的郵件病毒，一個用戶感染后，他就可以利用這個用戶的郵件地址發(fā)送郵件給他的聯(lián)系人，在附件中帶有病毒或者木馬。這種方式是非常隱蔽而且有效的木馬與病毒傳播方式。因為作為員工來手，對于朋友或者同事發(fā)送過來的郵件，總是沒有任何防備的。他們在收到朋友發(fā)過來的郵件時，即使他們會感到奇怪，為什么平時沒有什么聯(lián)系的朋友會發(fā)郵件給自己，他們也不會打電話或者其他形式進行確認，而是毫不憂郁的打開郵件及附件，結(jié)果就中招了。根據(jù)有些權(quán)威公司的調(diào)查，發(fā)現(xiàn)現(xiàn)在郵件病毒已經(jīng)成為了威脅企業(yè)網(wǎng)絡(luò)安全的頭號殺手。所以，我們在平時的工作中，要加強對用戶的郵件的監(jiān)控，特別是最好采取一定的策略，強制用戶的郵件附件必須要經(jīng)過病毒掃描才能打開。也可以采取一定的策略，要求外部發(fā)送過來的郵件，如人事部門的求職郵件等等，不能以附件形式接收，求職信必須在正文中寫出。這無疑是防止郵件病毒的一個切實有效的方法，可以最大限度的防止因為員工的“糊涂”，而給企業(yè)網(wǎng)絡(luò)安全管理帶來的沖擊。3、 員工對于企業(yè)的網(wǎng)絡(luò)安全過分的信賴或者依賴。有些員工，在自己家里電腦上上網(wǎng)，可能會小心翼翼。對于QQ上的一些不了解的網(wǎng)址不會輕易打開，也不會去訪問一些不干凈的網(wǎng)站，有QQ好友發(fā)一個網(wǎng)址過來，他們還要先問問是不是病毒。但是，在企業(yè)中，他們就放開膽子了。無論誰發(fā)給網(wǎng)址過來，他們都會不經(jīng)確認的去瀏覽；或者去上一些非法的網(wǎng)站。在他們眼中，要么認為企業(yè)的網(wǎng)絡(luò)是非常安全的，不會中毒的；要么認為反正自己的電腦中毒了也有網(wǎng)絡(luò)管理員會維護，沒有關(guān)系的。有了這些想法之后，他們在網(wǎng)上沖浪后，就沒有了任何的顧忌。但是，這是因為沒有了顧忌，肆無忌憚，就給了病毒、木馬很好的機會。他們可以隨著員工的“愚蠢”而侵襲我們的網(wǎng)絡(luò)。針對這種情況，一方面我們在不影響工作的情況下，可以屏蔽QQ、MSN等比較容易傳播病毒的即時聊天工具；同時，也可以對員工上外部網(wǎng)絡(luò)進行限制。平時工作不必要上外網(wǎng)的，那就可以把他們的外網(wǎng)斷掉。即防止了他們在上班時間上網(wǎng)聊天、逛論壇等沒有給企業(yè)創(chuàng)造價值的工作，同時，也有效防止了他們帶病毒進來，提高了網(wǎng)絡(luò)的安全性。這是一舉多得的方法，我們何樂而不為呢！文件服務(wù)器的采用，確實給我們的工作帶來了很大的方便。為此，我們不需要為每臺電腦的文件備份而煩惱，我們也不用為系統(tǒng)崩潰導致重要文件丟失而頭疼。確實，文件服務(wù)器的使用，對于企業(yè)信息化管理來說，是一個很大的進度，其在一定程度上，也體現(xiàn)了知識管理的內(nèi)涵。但是，我們在文件服務(wù)器管理上也存在一些安全漏洞。這些漏洞導致我們文件服務(wù)器存為了企業(yè)數(shù)據(jù)泄密的一個重大毒瘤。如文件服務(wù)器沒有設(shè)置查詢權(quán)限。有些企業(yè)為了管理的方便或者缺乏一些有效的管理工具，把文件服務(wù)器上的文件對企業(yè)全部用戶都是開放的，只是設(shè)置了只有具體的部門才能夠修改，而對于查看的話，企業(yè)內(nèi)部每個員工都可以查看。這就導致企業(yè)的保存在文件服務(wù)器上的一些機密信息，員工可以輕松的訪問到。如一些產(chǎn)品的不同供應(yīng)商之間的報價信息，若企業(yè)有名員工跟某個供應(yīng)商有稍微一點關(guān)系，則這個員工就可以把這個報價信息泄露給供應(yīng)商，而這個供應(yīng)商就可以以這個報價表為基礎(chǔ)，報一個更有利的價格。如此的話，企業(yè)就會失去在價格管理上的主動權(quán)。同時，對于其他供應(yīng)商來說，也失去了公平競爭的權(quán)利。除了這個權(quán)限之外，在用戶名與密碼管理上，也存在這一些缺陷。如對于每個部門設(shè)置一個用戶名，但是，密碼的話，都是一致的。如此的話，一些對企業(yè)心存不滿的員工，知道他人的用戶名之后，就可以假借他人的用戶名而登陸到文件服務(wù)器上，進行一些破壞動作。如文件的惡意刪除與修改等等。我在這方面有一個慘痛的教訓。那是我在一家企業(yè)中，負責企業(yè)的文件服務(wù)器的相關(guān)工作。那時候，我為了貪圖方便，我給每個用戶設(shè)置了一個用戶名，用戶名為他們員工編號；而密碼的話，也跟他們的員工編號一樣。一天，員工像我反映，他們文件服務(wù)器上的文件被改的一塌糊涂，修改的被修改，刪除的被刪除。我通過訪問日志一查，在短短的一個小時內(nèi)，同一個IP地址竟然有多大十幾個不同用戶名的訪問，而且執(zhí)行的就是修改與刪除的操作。后來經(jīng)過追查，原來有個部門的員工以為犯錯誤被公司開除。他心懷不滿，就用這種手段來對公司進行報復。還好，我事先有服務(wù)器備份，損失的只是當天的文件修改數(shù)據(jù)。雖然如此，但是，也嚇了我一跳。我馬上著手修改用戶的文件服務(wù)器訪問密碼，用戶的訪問密碼每個人都不一樣，并且只有我知道。同時，對于用戶的相關(guān)權(quán)限，特別是修改與刪除權(quán)限，做了嚴格的限制。簡單的說，對于文件的刪除與修改動作，原則上只有文件所有人，即文件的創(chuàng)立者才可以修改與刪除。其他的，最多只有查詢的操作。這個意外事件，可把我嚇出了一身冷汗。在文件服務(wù)器上，可以說保存這切要一切有價值的資料，包括公開的與不公開的。所以對文件服務(wù)器的安全管理至關(guān)重要。對此，我有幾個建議。1、 針對不同的員工，設(shè)置不同的用戶名與密碼。并且，密碼的話，最后員工不需要知道。我們在給他們進行系統(tǒng)配置的時候，可以讓操作系統(tǒng)自動記住密碼。如此的話，在用戶進行服務(wù)器登陸操作時，不會因為輸入密碼而泄露。如此的話，其他員工就不能在其他電腦上利用別人的用戶名訪問文件服務(wù)器。2、 對于用戶文件訪問的權(quán)限要嚴格限制。特別是對于修改與刪除的權(quán)限，要有特殊的限制。一般來說，只有文件的主人才能夠進行刪除與修改動作。如此的話，可以保障文件的統(tǒng)一性。文件是否被修改或者刪除，文件的主人都知道。這對于文件服務(wù)器的安全來說，尤其的關(guān)鍵。若文件的主人都不知道文件什么時候被更改的，被修改了什么內(nèi)容，那么不是很危險？萬一被修改了機密數(shù)據(jù)，那么就可能給員工自己與企業(yè)造成很大的損失。3、 對于文件執(zhí)行安全級別的管理。如一些對于全公司公開的文件，如公司的管理制度，常用到的表單如費用報銷單之類的，這些公開的信息，最好能夠設(shè)立一個專門的文件夾，用來存放這些類似通知的文件，當然，權(quán)限上，一般用戶來說只有查詢權(quán)限。同時，按文件重要性的部門，可以分為部門專用文件、管理層共享文夾等等。通俗的說，沿用國家對于信息安全的制度。如保密級別為五星級的文件，只有高層管理員才能查看，而保密級別為一星級的則只有部門內(nèi)部可以查看，沒有保密級別的，全體員工都可以查看。根據(jù)企業(yè)對于安全的需求，可以設(shè)置不同的級別。在文件創(chuàng)建的時候，文件創(chuàng)建這就要設(shè)置具體的安全級別。然后我們要做的就是根據(jù)他們設(shè)置的安全級別，賦予其對應(yīng)的權(quán)限。安全漏洞四：沒有采用企業(yè)級的殺毒軟件根據(jù)我的了解，有很多企業(yè)，無論是大型企業(yè)，還是中小型企業(yè)，都沒有部署企業(yè)級別的殺毒軟件。而真是這些企業(yè)，每次病毒橫行的時候，如熊貓燒香病毒泛濫的時候，他們都不能夠興免與難。為什么我強烈要求部署企業(yè)級別的殺毒軟件，而不贊成使用單機版的殺毒軟件呢？一方面，企業(yè)級別的殺毒軟件，我們可以安排統(tǒng)一升級。在采用單機版的殺毒軟件的時候，雖然其也有定時升級的功能，但是，員工有時候，會因為升級會導致系統(tǒng)速度變慢等原因，所以，會把定時升級的功能關(guān)掉。這使得殺毒軟件沒有按時完成升級，給病毒有了可乘之機。其次，安裝企業(yè)級別的殺毒軟件，還有一個單機版本沒有的好處。就是我們可以對每個員工的客戶端進行統(tǒng)一管理。如一些不安分的員工，有時候訪問網(wǎng)站的時候，可能會提示因為病毒防火墻的原因而不能訪問某個網(wǎng)站，他們就會乖乖的關(guān)鍵病毒防火墻，從而讓病毒侵入。而利用了企業(yè)級別的殺毒軟件，我們可以進行統(tǒng)一管理。如可以限制，所有客戶端不能自己關(guān)閉殺毒軟件及病毒防火墻；我們可以根據(jù)需要，在統(tǒng)一時間安排軟件的升級，如我們可以在每天中午休息的時候，安排各個客戶端進行殺毒軟件的升級等等。這些統(tǒng)一的管理，對于我們來說，是保障各個客戶端安全的有效工具。第三，有些企業(yè)級別的殺毒軟件，還帶有漏洞掃描與發(fā)布的功能。我們還可以憑借這個功能，完成對企業(yè)內(nèi)的所有客戶端，進行補丁的管理。我們都知道，補丁是防治病毒與密碼程序最好的工具之一。即使給操作系統(tǒng)及應(yīng)用軟件打上最新的補丁，是防止病毒與密碼入侵的很好的手段。同時，在某個病毒泛濫的時候，如熊貓燒香病毒流行時，我們也有必要對全部的客戶端進行一次漏洞掃描，看看其是否已經(jīng)打上了熊貓燒香病毒的補丁。此時，若我們一個個客戶端去查詢，那么可見其工作量有多大。此時，我們就可以借助企業(yè)級別的殺毒軟件，幫我們自動掃描各個客戶端，看其是否已經(jīng)打上了這個補丁。如此處理的話，效率要高的多。有些企業(yè)級別的殺毒軟件，還提供了一些額外的管理功能。如有的殺毒軟件，提供了開機殺毒功能。若是單機版的話，用戶很可能為了增加開機的速度，直接把這個開機殺毒功能取消掉。但是，我們都知道，開機殺毒是一個清除一些頑固病毒的很好的手段。利用這個開機殺毒功能，我們可以殺掉一些在操作系統(tǒng)中無法殺掉的病毒。所以