防范内部人员从五个途径破坏网络

  weiyd741030 ·  2008-07-05 08:22  ·  58312 次点击
防范内部人员从五个途径破坏网络
内部人员由于工作便利,往往会对企业网络造成更大的破坏,并且很难监控。该如何防止来自公司内部人员的安全攻击事件发生呢?本文分析了五种常见的途径。
不久前,Cox通信公司的员工WilliamBryant故意破坏信息技术,导致该公司成千上万个商业和居民用户无法使用计算机、电信和911急救服务。虽然Bryant面临10年有期徒刑和25万美元罚款的下场,可对Cox公司来说,虽然其服务已经完全恢复,但对其名誉造成的不利影响却难以预测。
Cox案例,加上最近披露的美国宇航局、埃森哲、服装零售商盖普(Gap)和美可保健集团(Medco)等多家机构发生的安全事件为我们敲响了警钟:内部人员会带来各种安全威胁。数据被偷和故意破坏会带来惨重损失,与法规遵从有关的问题、巨额的法律诉讼费、工作效率受影响等问题,可能造成的严重的后果——让公司名誉扫地!
计算机安全学会(CSI)的最新调查显示,内部人员的威胁增加了17%;德勤会计师事务所与《CSO》杂志的近期调查同样表明了这一趋势。随着IT和通信系统越来越复杂,需要管理这些系统的员工、承包商和托管服务提供商的数量也随之增多。这些内部人员对公司关键网络的访问常常不受限制、不受监控,威胁猛增也就不足为奇。
因此,公司要像对待外部人员那样严密监控内部人员。不过由于内部人员拥有完成工作所需的较高的访问权限,因此,对内部人员进行监控难度很大。以下介绍内部人员用来访问网络资源的五种最常见方法,并提醒IT人员采取措施防范隐含的威胁。
途径一:
通过调制调解器
由于调制调解器缺乏集中管理,并且采用易于猜中的静态密码,因此,熟悉网络知识的内部人员很容易通过调制调解器进入公司网络。许多IT人员采取在不用调制调解器时拨掉电源的土办法来解决这个问题。但如果拨掉电源,它们也就不可能发挥预期的作用——即遇到紧急事件或者停电时远程恢复关键系统。
由于调制调解器必不可少,企业必须把用来保护其他远程网络入口点的安全和身份确认措施同样运用于调制调解器中。因此,公司可以对调制调解器同样采取双因子验证措施,或者用内置多因子验证机制的更安全的调制调解器换掉旧设备。
途径二:
通过开放的文件传输
大多数公司使用开放的文件传输来给网络基础设施打补丁。内部技术人员和供应商可利用这种访问途径,诊断故障、打上相应补丁或者纠正问题。不过,他们也可能会滥用这种自由,更改文件、删除关键组件、甚至破坏系统,从而导致系统无法运行、网站被篡改、数据被偷及其他破坏。
一些满腹牢骚或者被解雇的员工可能具有从事上述破坏活动的知识和动机。连本意是好的员工也有可能粗心大意,无意中犯错误。因此,保护信息资产需要控制谁能够上传及下载文件,还要把系统出现的所有更改、谁作了更改等信息,清楚地记录下来,以便于调阅。
过去,限制及监控开放的文件传输要求对每台机器设置单独的许可,这给IT部门带来了麻烦。供应商访问与控制(VAC)系统等新技术能够限制访问、监控活动——既可针对整个公司,也可针对特定的系统。
途径三:
开放的Telnet和SSH端口
借助第三方远程访问系统及诊断故障的公司应当合理保护或者关闭Telnet和SSH端口。因为,远程技术人员只要一个内部的IP地址,就能利用这两个端口悄悄进入公司网络中。
想当然地以为技术人员对IP地址分配方案了解有限是很危险的。此外,基础设施设备常常共享一个容易猜中的密码,这样一来,内部人员很容易访问未授权的设备。
建议公司限制第三方通过Telnet或者SSH对系统访问,不得超出服务的通常范围,除非这种访问被记录下来,或者对方在贵公司工作人员陪同的情况下进行访问。另一个办法是,使用中间系统为这些访问建立代理服务器,这增加了控制及跟踪级别。
途径四:
通过服务器控制台端口
技术人员经常在路由器和Linux/Unix服务器上,连接到串行控制台端口。为了提供可扩展的访问服务,公司通常会使用终端服务器连接到串行控制台端口。不过在默认情况下,终端服务器具有极低的安全性。
内部人员只要获得对一台终端服务器的访问权,就可能访问或破坏成千上万个系统。正因为如此,建议公司应当经常检查终端服务器的安全功能,并且在存放敏感数据(如财务记录、客户数据和人力资源信息)的系统的控制台端口外面放置安全设备。
途径五:
未加监控的外联网流量
外联网为许多公司提供了方便,让公司可以向供应商、客户、合作伙伴开放自己的网络,支持实时协作。如果与外部人员共享的系统数量少,这些系统上的授权级别又能得到严格控制,外联网(如IPSec、SSL和远程桌面)的使用效果会相当好。但是,外联网也可能会成问题,因为也许要访问多个系统,或者必须授予接入者高级别的权限,公司常常无意中授予访问者过大的访问权,而访问活动也无法受到密切监视及控制。
虽然许多第三方提供商值得信任,但应该认为这是有风险的。不管访问网络的是公司员工还是第三方提供商。内部人员可能滥用网络、可能犯错误,也有可能偷取数据。加强安全意识,并且采取几项保护措施,能够降低风险

1 条回复

whszzx  2010-07-13 08:57
防范内部人员是非常重要

 回复

你需要  登录  或  注册  后参与讨论!