中小企業(yè)網(wǎng)絡安全管理漏洞集

中小企業(yè)網(wǎng)絡安全管理漏洞集筆者將試圖通過幾篇文章，結合自己的工作經(jīng)驗，想窮舉企業(yè)網(wǎng)絡管理員在企業(yè)網(wǎng)絡安全管理工作中可能存在的漏洞。讓同行可以引以為戒，盡可能的避免因為網(wǎng)絡安全管理不當，而給企業(yè)帶來不必要的損失。安全漏洞一：沒有修改默認用戶名與密碼企業(yè)在部署路由器或者交換機，以及各種服務器的時候，一般為了管理的方便，廠方都會設置一個默認的用戶名與口令，最常見的如用戶名為admin，密碼也為admin或者為空。默認的用戶名與密碼，同個廠家出的都一樣，這就非常危險。稍有經(jīng)驗的網(wǎng)絡管理員，對各個廠商生產(chǎn)的不同型號的產(chǎn)品的默認用戶名與密碼都耳熟能詳。只要給出具體產(chǎn)品型號，對于其默認用戶名與密碼，他們可以說個八九不離十。所以，在部署這些設備的時候，若不修改默認用戶名與密碼，很可能就是給不法入侵者敞開了大門。1、 有時候，管理員在管理設備時，可能會開一個臨時的遠程登陸管理員帳號。如我子公司現(xiàn)在有一個Linux的文件服務器。當子公司有問題需要我出面解決的時候，我會讓他們開一個臨時具有管理員權限的帳戶，我可以通過這個帳戶遠程登陸解決。但他們給我開帳戶的時候，有時只設置帳戶沒有設置密碼，有時帳戶跟密碼一樣；再或者把原先關閉的默認管理員帳戶給開啟了，沒有修改密碼的情況下給我使用。一不小心，就可能給非法入侵者提供了一個很好的入侵機會。所以，我們在建立一些臨時性的管理員帳戶時，也要像建立永久性管理員帳戶那樣，設置比較復雜的管理員用戶與密碼，增加破解的難度。2、 企業(yè)增加無線路由設備時，沒有設置連接密碼，設置無線路由器的管理用戶與密碼為默認，沒有修改。隨著企業(yè)筆記本采用越來越廣，隨之為了工作的方便，無線路由設備采用的也越來越多。象我們公司，在會議室、會客室、培訓室等公共場所都放置了無線路由器。這使得我們需要在這些地方進行臨時性辦公或者開會的時候，上網(wǎng)非常方便。利用筆記本的無線上網(wǎng)功能，不需要再通過網(wǎng)線就可以上網(wǎng)。但這也給我們企業(yè)的網(wǎng)絡安全帶來了很大的安全隱患。如當有客戶來公司，若我們沒有給無線路由器設置訪問密碼或者沒有修改無線路由器的管理員密碼，他們可以不經(jīng)過我們允許訪問我們企業(yè)的內(nèi)部網(wǎng)絡，甚至查詢服務器上的信息。若我們只是給無線訪問設置了連接密碼，而沒有更改無線路由器的默認用戶名與密碼的話，那么這個無線路由器就會赤裸裸的顯示在人家面前，讓人家蹂躪。所以，要及時更改這些設備的默認管理員用戶與密碼。3、 VPN服務器的默認管理員與密碼若沒有修改的話，那有多危險呢？若沒有給企業(yè)的VPN服務器修改默認管理員帳戶與密碼的話，就好象沒有給廠區(qū)的大門上鎖一樣，什么人都可以進出了。那企業(yè)的網(wǎng)絡還談得上安全嗎？而且，現(xiàn)在掃描工具網(wǎng)絡上多的是。一些非法入侵者可能只需要利用這些掃描工具，花個一天時間，就能夠知道整個華南地區(qū)的企業(yè)網(wǎng)絡，其對外啟了哪些服務，有沒有安全性弱的管理員帳戶與密碼，包括你企業(yè)是否采用了VPN服務器，并且，若你服務器的管理員與密碼沒有更改的話，或者是一些純數(shù)字的簡單密碼，如123456，則這個掃描工具可以把這些信息暴露無疑。一般只有帶有OS系統(tǒng)的硬件設備，如路由器、交換機、防火墻、VPN設備等等，都有默認的用戶名與密碼。對于這些設備，我們都需要更改默認的用戶名與密碼，而且密碼設置的時候，也不能采用簡單的密碼，很容易被人破解，至少也要采用跟數(shù)字與字符結合的密碼。不要小看這個簡單的組合，破解的難度比純數(shù)字的密碼，難度要高好幾千倍。安全漏洞二：員工安全知識缺乏，沒有網(wǎng)絡安全的觀念其實，大部分企業(yè)網(wǎng)絡安全方面的問題都是由于員工的一些不恰當操作所造成的。由于他們沒有這方面的專業(yè)知識來區(qū)分網(wǎng)絡行為的的好壞，這給企業(yè)的網(wǎng)絡安全帶了了很大的漏洞。如企業(yè)員工在收到一封陌生人發(fā)來的帶有附件的郵件時，他們不會產(chǎn)生任何的懷疑，會毫不猶豫的打開郵件的附件，此時，病毒或者木馬就會乘虛而入，等帶時機。而這些情況，對于用戶來說，他們都是不知情的。所以，企業(yè)網(wǎng)絡安全管理的重點，應該放在對員工平時網(wǎng)絡行為的管理控制上，把網(wǎng)絡安全威脅的苗頭，消除在源頭上。1、 加強對用戶權限的管理。一般的員工，不需要有操作系統(tǒng)或者服務器很高的權限。若他們的權限比較小，不能更改系統(tǒng)文件的配置，如安裝軟件或者更改注冊表、使用系統(tǒng)命令等等，那么，即使他們中木馬了，影響也是很小的。因為缺乏權限，這些木馬與病毒不會大規(guī)模的在企業(yè)內(nèi)部爆發(fā)與蔓延開來。所以，不要給企業(yè)內(nèi)部的員工賦予過高的權限。在不影響他們正常工作的前提下，一般來說，權限是越小越好。如一般的程序安裝、腳本執(zhí)行等功能都可以限制掉。從而把用戶的不理智行為所造成的損失降低到最少。2、 加強對病毒郵件的監(jiān)督力度。曾幾何時，電子郵件成為了企業(yè)員工辦公不可少的工具之一。但是，這也成為了木馬、病毒等最好的繁殖基地。如有些木馬與病毒，可以假借用戶好友的名義發(fā)送郵件給用戶?，F(xiàn)在不少的郵件病毒，一個用戶感染后，他就可以利用這個用戶的郵件地址發(fā)送郵件給他的聯(lián)系人，在附件中帶有病毒或者木馬。這種方式是非常隱蔽而且有效的木馬與病毒傳播方式。因為作為員工來手，對于朋友或者同事發(fā)送過來的郵件，總是沒有任何防備的。他們在收到朋友發(fā)過來的郵件時，即使他們會感到奇怪，為什么平時沒有什么聯(lián)系的朋友會發(fā)郵件給自己，他們也不會打電話或者其他形式進行確認，而是毫不憂郁的打開郵件及附件，結果就中招了。根據(jù)有些權威公司的調(diào)查，發(fā)現(xiàn)現(xiàn)在郵件病毒已經(jīng)成為了威脅企業(yè)網(wǎng)絡安全的頭號殺手。所以，我們在平時的工作中，要加強對用戶的郵件的監(jiān)控，特別是最好采取一定的策略，強制用戶的郵件附件必須要經(jīng)過病毒掃描才能打開。也可以采取一定的策略，要求外部發(fā)送過來的郵件，如人事部門的求職郵件等等，不能以附件形式接收，求職信必須在正文中寫出。這無疑是防止郵件病毒的一個切實有效的方法，可以最大限度的防止因為員工的“糊涂”，而給企業(yè)網(wǎng)絡安全管理帶來的沖擊。3、 員工對于企業(yè)的網(wǎng)絡安全過分的信賴或者依賴。有些員工，在自己家里電腦上上網(wǎng)，可能會小心翼翼。對于QQ上的一些不了解的網(wǎng)址不會輕易打開，也不會去訪問一些不干凈的網(wǎng)站，有QQ好友發(fā)一個網(wǎng)址過來，他們還要先問問是不是病毒。但是，在企業(yè)中，他們就放開膽子了。無論誰發(fā)給網(wǎng)址過來，他們都會不經(jīng)確認的去瀏覽；或者去上一些非法的網(wǎng)站。在他們眼中，要么認為企業(yè)的網(wǎng)絡是非常安全的，不會中毒的；要么認為反正自己的電腦中毒了也有網(wǎng)絡管理員會維護，沒有關系的。有了這些想法之后，他們在網(wǎng)上沖浪后，就沒有了任何的顧忌。但是，這是因為沒有了顧忌，肆無忌憚，就給了病毒、木馬很好的機會。他們可以隨著員工的“愚蠢”而侵襲我們的網(wǎng)絡。針對這種情況，一方面我們在不影響工作的情況下，可以屏蔽QQ、MSN等比較容易傳播病毒的即時聊天工具；同時，也可以對員工上外部網(wǎng)絡進行限制。平時工作不必要上外網(wǎng)的，那就可以把他們的外網(wǎng)斷掉。即防止了他們在上班時間上網(wǎng)聊天、逛論壇等沒有給企業(yè)創(chuàng)造價值的工作，同時，也有效防止了他們帶病毒進來，提高了網(wǎng)絡的安全性。這是一舉多得的方法，我們何樂而不為呢！文件服務器的采用，確實給我們的工作帶來了很大的方便。為此，我們不需要為每臺電腦的文件備份而煩惱，我們也不用為系統(tǒng)崩潰導致重要文件丟失而頭疼。確實，文件服務器的使用，對于企業(yè)信息化管理來說，是一個很大的進度，其在一定程度上，也體現(xiàn)了知識管理的內(nèi)涵。但是，我們在文件服務器管理上也存在一些安全漏洞。這些漏洞導致我們文件服務器存為了企業(yè)數(shù)據(jù)泄密的一個重大毒瘤。如文件服務器沒有設置查詢權限。有些企業(yè)為了管理的方便或者缺乏一些有效的管理工具，把文件服務器上的文件對企業(yè)全部用戶都是開放的，只是設置了只有具體的部門才能夠修改，而對于查看的話，企業(yè)內(nèi)部每個員工都可以查看。這就導致企業(yè)的保存在文件服務器上的一些機密信息，員工可以輕松的訪問到。如一些產(chǎn)品的不同供應商之間的報價信息，若企業(yè)有名員工跟某個供應商有稍微一點關系，則這個員工就可以把這個報價信息泄露給供應商，而這個供應商就可以以這個報價表為基礎，報一個更有利的價格。如此的話，企業(yè)就會失去在價格管理上的主動權。同時，對于其他供應商來說，也失去了公平競爭的權利。除了這個權限之外，在用戶名與密碼管理上，也存在這一些缺陷。如對于每個部門設置一個用戶名，但是，密碼的話，都是一致的。如此的話，一些對企業(yè)心存不滿的員工，知道他人的用戶名之后，就可以假借他人的用戶名而登陸到文件服務器上，進行一些破壞動作。如文件的惡意刪除與修改等等。我在這方面有一個慘痛的教訓。那是我在一家企業(yè)中，負責企業(yè)的文件服務器的相關工作。那時候，我為了貪圖方便，我給每個用戶設置了一個用戶名，用戶名為他們員工編號；而密碼的話，也跟他們的員工編號一樣。一天，員工像我反映，他們文件服務器上的文件被改的一塌糊涂，修改的被修改，刪除的被刪除。我通過訪問日志一查，在短短的一個小時內(nèi)，同一個IP地址竟然有多大十幾個不同用戶名的訪問，而且執(zhí)行的就是修改與刪除的操作。后來經(jīng)過追查，原來有個部門的員工以為犯錯誤被公司開除。他心懷不滿，就用這種手段來對公司進行報復。還好，我事先有服務器備份，損失的只是當天的文件修改數(shù)據(jù)。雖然如此，但是，也嚇了我一跳。我馬上著手修改用戶的文件服務器訪問密碼，用戶的訪問密碼每個人都不一樣，并且只有我知道。同時，對于用戶的相關權限，特別是修改與刪除權限，做了嚴格的限制。簡單的說，對于文件的刪除與修改動作，原則上只有文件所有人，即文件的創(chuàng)立者才可以修改與刪除。其他的，最多只有查詢的操作。這個意外事件，可把我嚇出了一身冷汗。在文件服務器上，可以說保存這切要一切有價值的資料，包括公開的與不公開的。所以對文件服務器的安全管理至關重要。對此，我有幾個建議。1、 針對不同的員工，設置不同的用戶名與密碼。并且，密碼的話，最后員工不需要知道。我們在給他們進行系統(tǒng)配置的時候，可以讓操作系統(tǒng)自動記住密碼。如此的話，在用戶進行服務器登陸操作時，不會因為輸入密碼而泄露。如此的話，其他員工就不能在其他電腦上利用別人的用戶名訪問文件服務器。2、 對于用戶文件訪問的權限要嚴格限制。特別是對于修改與刪除的權限，要有特殊的限制。一般來說，只有文件的主人才能夠進行刪除與修改動作。如此的話，可以保障文件的統(tǒng)一性。文件是否被修改或者刪除，文件的主人都知道。這對于文件服務器的安全來說，尤其的關鍵。若文件的主人都不知道文件什么時候被更改的，被修改了什么內(nèi)容，那么不是很危險？萬一被修改了機密數(shù)據(jù)，那么就可能給員工自己與企業(yè)造成很大的損失。3、 對于文件執(zhí)行安全級別的管理。如一些對于全公司公開的文件，如公司的管理制度，常用到的表單如費用報銷單之類的，這些公開的信息，最好能夠設立一個專門的文件夾，用來存放這些類似通知的文件，當然，權限上，一般用戶來說只有查詢權限。同時，按文件重要性的部門，可以分為部門專用文件、管理層共享文夾等等。通俗的說，沿用國家對于信息安全的制度。如保密級別為五星級的文件，只有高層管理員才能查看，而保密級別為一星級的則只有部門內(nèi)部可以查看，沒有保密級別的，全體員工都可以查看。根據(jù)企業(yè)對于安全的需求，可以設置不同的級別。在文件創(chuàng)建的時候，文件創(chuàng)建這就要設置具體的安全級別。然后我們要做的就是根據(jù)他們設置的安全級別，賦予其對應的權限。安全漏洞四：沒有采用企業(yè)級的殺毒軟件根據(jù)我的了解，有很多企業(yè)，無論是大型企業(yè)，還是中小型企業(yè)，都沒有部署企業(yè)級別的殺毒軟件。而真是這些企業(yè)，每次病毒橫行的時候，如熊貓燒香病毒泛濫的時候，他們都不能夠興免與難。為什么我強烈要求部署企業(yè)級別的殺毒軟件，而不贊成使用單機版的殺毒軟件呢？一方面，企業(yè)級別的殺毒軟件，我們可以安排統(tǒng)一升級。在采用單機版的殺毒軟件的時候，雖然其也有定時升級的功能，但是，員工有時候，會因為升級會導致系統(tǒng)速度變慢等原因，所以，會把定時升級的功能關掉。這使得殺毒軟件沒有按時完成升級，給病毒有了可乘之機。其次，安裝企業(yè)級別的殺毒軟件，還有一個單機版本沒有的好處。就是我們可以對每個員工的客戶端進行統(tǒng)一管理。如一些不安分的員工，有時候訪問網(wǎng)站的時候，可能會提示因為病毒防火墻的原因而不能訪問某個網(wǎng)站，他們就會乖乖的關鍵病毒防火墻，從而讓病毒侵入。而利用了企業(yè)級別的殺毒軟件，我們可以進行統(tǒng)一管理。如可以限制，所有客戶端不能自己關閉殺毒軟件及病毒防火墻；我們可以根據(jù)需要，在統(tǒng)一時間安排軟件的升級，如我們可以在每天中午休息的時候，安排各個客戶端進行殺毒軟件的升級等等。這些統(tǒng)一的管理，對于我們來說，是保障各個客戶端安全的有效工具。第三，有些企業(yè)級別的殺毒軟件，還帶有漏洞掃描與發(fā)布的功能。我們還可以憑借這個功能，完成對企業(yè)內(nèi)的所有客戶端，進行補丁的管理。我們都知道，補丁是防治病毒與密碼程序最好的工具之一。即使給操作系統(tǒng)及應用軟件打上最新的補丁，是防止病毒與密碼入侵的很好的手段。同時，在某個病毒泛濫的時候，如熊貓燒香病毒流行時，我們也有必要對全部的客戶端進行一次漏洞掃描，看看其是否已經(jīng)打上了熊貓燒香病毒的補丁。此時，若我們一個個客戶端去查詢，那么可見其工作量有多大。此時，我們就可以借助企業(yè)級別的殺毒軟件，幫我們自動掃描各個客戶端，看其是否已經(jīng)打上了這個補丁。如此處理的話，效率要高的多。有些企業(yè)級別的殺毒軟件，還提供了一些額外的管理功能。如有的殺毒軟件，提供了開機殺毒功能。若是單機版的話，用戶很可能為了增加開機的速度，直接把這個開機殺毒功能取消掉。但是，我們都知道，開機殺毒是一個清除一些頑固病毒的很好的手段。利用這個開機殺毒功能，我們可以殺掉一些在操作系統(tǒng)中無法殺掉的病毒。所以